以下の点が異なる。
- fork に対してリポジトリへの Write 権限を与えるかどうか
- secrets を読めるかどうか
- デフォルトでどのコミットを checkout するか
詳細は https://securitylab.github.com/research/github-actions-preventing-pwn-requests/
色々ややこしい・・
Approving workflow runs from public forks - GitHub Docs
Security hardening for GitHub Actions - GitHub Docs
GitHub Actions improvements for fork and pull request workflows | The GitHub Blog
Managing GitHub Actions settings for a repository - GitHub Docs
↑org, enterprise 単位での設定もある