GitHub Actions Audit

请审计这个 GitHub 仓库中的 Actions 工作流安全性，重点检查 21 项常见问题，包括 action 版本是否固定、GITHUB_TOKEN 权限是否过大、secrets 使用是否安全，以及是否存在命令注入风险。请按严重程度输出问题清单和修复建议。

一份按严重程度排序的安全审计报告，列出发现的问题、受影响文件及修复建议。

请比较这个 PR 中修改前后的 GitHub Actions workflow，找出新引入的安全风险，特别关注权限提升、未固定第三方 action、从不可信输入拼接 shell 命令等问题，并说明风险原因。

针对 PR 变更的风险审查结果，指出新增问题、影响范围和建议修改方式。

基于当前 GitHub Actions 工作流配置，给出一份安全加固清单，覆盖最小权限、固定 action 版本、密钥管理、runner 使用和输入校验，并给出可操作的 YAML 修改建议。

一份可执行的安全加固清单，包含具体配置建议和示例修改方向。