Context
PR #78 (ArgoCD AppProject) sluit het pad waarop een push naar main van RijksICTGilde/RIG-Cluster direct in productie kan landen via ArgoCD-sync. Daarmee is een willekeurige push een directe RCE-vector op de productie-cluster mits iemand schrijfrechten heeft op main.
Waarom follow-up
PR #78 perkt de schade in (AppProject beperkt wat ArgoCD mag toepassen) maar adresseert het instappunt niet. Branch protection op main voorkomt onbedoelde of malafide directe pushes en dwingt review-flow af.
Aanpak
GitHub repo-settings → Branches → main:
Bron
Context
PR #78 (ArgoCD AppProject) sluit het pad waarop een push naar main van
RijksICTGilde/RIG-Clusterdirect in productie kan landen via ArgoCD-sync. Daarmee is een willekeurige push een directe RCE-vector op de productie-cluster mits iemand schrijfrechten heeft op main.Waarom follow-up
PR #78 perkt de schade in (AppProject beperkt wat ArgoCD mag toepassen) maar adresseert het instappunt niet. Branch protection op main voorkomt onbedoelde of malafide directe pushes en dwingt review-flow af.
Aanpak
GitHub repo-settings → Branches → main:
Bron