Context
PR #78 vervangt het ingebouwde ArgoCD default AppProject met een restrictief rig-platform AppProject op odcn-production — pin op exacte source-repos, destination-namespaces, en cluster-scoped resource-whitelist. Hiermee is een supply-chain-takeover via push naar GitOps-repos beperkt.
Waarom follow-up
PR #78 richtte zich bewust op productie eerst (hoogste blast radius). Sandbox (sandboxed-local) draait nog steeds met default AppProject (sourceRepos: *, destinations: *, clusterResourceWhitelist: *) — een tweede instap-pad voor dezelfde aanval, alleen op een dev-cluster.
Aanpak
Vergelijkbare overlay-edit als #78 maar op sandboxed-local:
- Nieuwe
rig-platform AppProject in sandbox-overlay
- Source-repos op de daadwerkelijke sandbox-repos (Forgejo in-cluster)
- Destinations pinning op sandbox-namespaces
- Cluster-resource-whitelist op de daadwerkelijke kinds (kruisrefereer met sandbox-overlays)
- Applications van
project: default naar project: rig-platform
Eenvoudiger dan #78 want geen SOPS-versleutelde overlay-onbekenden.
Bron-PR
Context
PR #78 vervangt het ingebouwde ArgoCD
defaultAppProject met een restrictiefrig-platformAppProject opodcn-production— pin op exacte source-repos, destination-namespaces, en cluster-scoped resource-whitelist. Hiermee is een supply-chain-takeover via push naar GitOps-repos beperkt.Waarom follow-up
PR #78 richtte zich bewust op productie eerst (hoogste blast radius). Sandbox (
sandboxed-local) draait nog steeds metdefaultAppProject (sourceRepos: *,destinations: *,clusterResourceWhitelist: *) — een tweede instap-pad voor dezelfde aanval, alleen op een dev-cluster.Aanpak
Vergelijkbare overlay-edit als #78 maar op
sandboxed-local:rig-platformAppProject in sandbox-overlayproject: defaultnaarproject: rig-platformEenvoudiger dan #78 want geen SOPS-versleutelde overlay-onbekenden.
Bron-PR