Имеется организация в github на бесплатном тарифе.
Имеется несколько закрытых репозиториев.
Хочется иметь reusable workflow, который можно вызывать из этих закрытых репозиториев. Хранить его нужно в публичном репозитории, т.к. на бесплатном тарифе нельзя вызывать reusable workflow из закрытых репозиториев.
К этой организации прикреплены self hosted runners. Они должны использоваться для этого workflow.
В документации написано:
We recommend that you only use self-hosted runners with private repositories. This is because forks of your public repository can potentially run dangerous code on your self-hosted runner machine by creating a pull request that executes the code in a workflow.
В самом публичном репозитории с reusable workflows ничего кроме них самих и какой-нибудь документации ничего не будет.
Хочется понять, как правильно и безопасно это всё организовать.
