Я не уверен, что кто-нибудь действительно может ответить за вас. Я думаю, это зависит от того, насколько деликатно и какой уровень риска вы можете позволить себе принять.
Я бы предложил, если вы обеспокоены безопасностью своих секретов, - не использовать действия сторонних разработчиков GitHub напрямую. Всегда разветвляйте действие и используйте ваш форк в рабочих процессах. Это предотвратит возможность изменения кем-либо действия, которое вы используете для захвата секретов и отправки их на какой-либо внешний сервер, находящийся под их контролем.