问在回购系统中的分支上使用pull_request vs pull_request_target

EN

我想在我们的回购中使用这个GitHub动作来检查PRs。我们在同一个回购中创建一个支路的拉请求，在该请求中进行反馈/合并，并合并到主服务器中。我使用pull_request事件触发器来触发操作。

我得到了一个错误：

错误:需要参数标记或opts.auth

当我在虚拟公关上测试这个动作时，像这样的评论让我觉得在行动中的这一行没有得到GITHUB_TOKEN。

在这 GitHub安全实验室的帖子中，我看到：

通过触发的pull_request_target工作流具有对目标存储库的写权限。他们还可以访问目标存储库的秘密。对于在pull_request上从同一个存储库中的分支触发的工作流也是如此，但从外部分叉触发的工作流却不是这样。后者的理由是，如果创建PR的用户已经对目标存储库拥有写权限，则共享存储库机密是安全的。

由此，我猜想pull_request应该能够访问该令牌。

我是不是在我们的设置中遗漏了什么？