fix foreach

02-validation/01-resource-validation/1. require-resource-limits.yaml

@@ -26,14 +26,14 @@ spec:
         - kube-system
         - kyverno
     validate:
+      message: >-
+        Все контейнеры в поде '{{ request.object.metadata.name }}'
+        обязаны иметь resources.limits.memory и resources.limits.cpu.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Контейнер '{{ element.name }}' в поде '{{ request.object.metadata.name }}'
-          не имеет resource limits. Добавьте resources.limits.memory и resources.limits.cpu.
         pattern:
           resources:
             limits:

02-validation/01-resource-validation/3. disallow-latest-tag.yaml

@@ -25,14 +25,14 @@ spec:
         namespaces:
         - kube-system
     validate:
+      message: >-
+        Один из образов в поде '{{ request.object.metadata.name }}' использует
+        тег :latest или не имеет тега. Используйте конкретный тег или digest.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Образ '{{ element.image }}' использует тег :latest или не имеет тега.
-          Используйте конкретный тег (nginx:1.25.3) или digest (nginx@sha256:...).
         deny:
           conditions:
             any:

02-validation/01-resource-validation/4. allow-only-trusted-registries.yaml

@@ -27,15 +27,14 @@ spec:
         - kube-system
         - kyverno
     validate:
+      message: >-
+        Один из образов в поде '{{ request.object.metadata.name }}' из недоверенного реестра.
+        Разрешены: registry.company.com/, gcr.io/company-project/.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Образ '{{ element.image }}' из недоверенного реестра.
-          Разрешены: registry.company.com/, gcr.io/company-project/.
-          Загрузите образ в внутренний реестр и обновите манифест.
         deny:
           conditions:
             all:

02-validation/02-security/disallow-dangerous-capabilities.yaml

@@ -26,14 +26,14 @@ spec:
         namespaces:
         - kube-system
     validate:
+      message: >-
+        Один из контейнеров в поде '{{ request.object.metadata.name }}' добавляет
+        запрещённые capabilities. Разрешена только NET_BIND_SERVICE.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Контейнер '{{ element.name }}' добавляет запрещённые capabilities.
-          Разрешена только NET_BIND_SERVICE. Пересмотрите необходимость привилегий.
         deny:
           conditions:
             any:

02-validation/02-security/disallow-privileged-containers.yaml

@@ -26,14 +26,14 @@ spec:
         namespaces:
         - kube-system
     validate:
+      message: >-
+        Один из контейнеров в поде '{{ request.object.metadata.name }}'
+        имеет securityContext.privileged: true. Запрещено.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Контейнер '{{ element.name }}' имеет securityContext.privileged: true.
-          Привилегированные контейнеры запрещены. Удалите поле или установите false.
         deny:
           conditions:
             any:

02-validation/02-security/require-drop-all-capabilities.yaml

@@ -25,14 +25,14 @@ spec:
         namespaces:
         - kube-system
     validate:
+      message: >-
+        Каждый контейнер в поде '{{ request.object.metadata.name }}' должен
+        сбрасывать все capabilities: securityContext.capabilities.drop: [ALL].
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @) |
           merge(request.object.spec.ephemeralContainers[] || `[]`, @)
-        message: >-
-          Контейнер '{{ element.name }}' не сбрасывает все capabilities.
-          Добавьте securityContext.capabilities.drop: [ALL].
         deny:
           conditions:
             all:

02-validation/02-security/require-run-as-non-root.yaml

@@ -45,11 +45,13 @@ spec:
         namespaces:
         - kube-system
     validate:
+      message: >-
+        Один из контейнеров в поде '{{ request.object.metadata.name }}'
+        использует runAsUser: 0 (root). Установите runAsUser >= 1000.
       foreach:
       - list: >-
           request.object.spec.containers[] |
           merge(request.object.spec.initContainers[] || `[]`, @)
-        message: "Контейнер '{{ element.name }}' использует runAsUser: 0 (root). Установите runAsUser >= 1000."
         deny:
           conditions:
             any: