pub/kyverno-2026-example
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix foreach

Browse Source
This commit is contained in:
Vassiliy Yegorov
2026-05-19 17:16:39 +07:00
parent e995770695
commit f980b651d9
11 changed files with 37 additions and 29 deletions
Download Patch File Download Diff File Expand all files Collapse all files
02-validation/02-security/disallow-dangerous-capabilities.yaml
+3 -3
View File
@@ -26,14 +26,14 @@ spec:
namespaces:
- kube-system
validate:
message: >-
Один из контейнеров в поде '{{ request.object.metadata.name }}' добавляет
запрещённые capabilities. Разрешена только NET_BIND_SERVICE.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Контейнер '{{ element.name }}' добавляет запрещённые capabilities.
Разрешена только NET_BIND_SERVICE. Пересмотрите необходимость привилегий.
deny:
conditions:
any:
02-validation/02-security/disallow-privileged-containers.yaml
+3 -3
View File
@@ -26,14 +26,14 @@ spec:
namespaces:
- kube-system
validate:
message: >-
Один из контейнеров в поде '{{ request.object.metadata.name }}'
имеет securityContext.privileged: true. Запрещено.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Контейнер '{{ element.name }}' имеет securityContext.privileged: true.
Привилегированные контейнеры запрещены. Удалите поле или установите false.
deny:
conditions:
any:
02-validation/02-security/require-drop-all-capabilities.yaml
+3 -3
View File
@@ -25,14 +25,14 @@ spec:
namespaces:
- kube-system
validate:
message: >-
Каждый контейнер в поде '{{ request.object.metadata.name }}' должен
сбрасывать все capabilities: securityContext.capabilities.drop: [ALL].
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @) |
merge(request.object.spec.ephemeralContainers[] || `[]`, @)
message: >-
Контейнер '{{ element.name }}' не сбрасывает все capabilities.
Добавьте securityContext.capabilities.drop: [ALL].
deny:
conditions:
all:
02-validation/02-security/require-run-as-non-root.yaml
+3 -1
View File
@@ -45,11 +45,13 @@ spec:
namespaces:
- kube-system
validate:
message: >-
Один из контейнеров в поде '{{ request.object.metadata.name }}'
использует runAsUser: 0 (root). Установите runAsUser >= 1000.
foreach:
- list: >-
request.object.spec.containers[] |
merge(request.object.spec.initContainers[] || `[]`, @)
message: "Контейнер '{{ element.name }}' использует runAsUser: 0 (root). Установите runAsUser >= 1000."
deny:
conditions:
any: