4.1 KiB
4.1 KiB
IwoooS 高價值配置控管 Guard
| 項目 | 內容 |
|---|---|
| 日期 | 2026-06-15 |
| 狀態 | repo_snapshot_guard_ready |
| 腳本 | scripts/security/iwooos-config-control-guard.py |
| 模式 | repo snapshot only,不連線主機、不讀 secret、不做 runtime 動作 |
| runtime gate | 0 |
1. 目的
此 guard 將「所有重要配置都要被資安控管」從文件盤點推進成可重複執行的驗證基線。它讀取既有 Markdown 與 JSON snapshot,確認下列配置面都有只讀控管帳本、owner gate、拒收條件與 0 / false 邊界:
| 類別 | 代表配置面 |
|---|---|
| Public gateway | Nginx、reverse proxy、公開 route、rendered diff、nginx -t 證據收件規則 |
| DNS / TLS | certbot、certificate path、ACME route、renewal owner |
| K8s / ArgoCD | production manifest、GitOps change evidence、rollback revision |
| Secrets / Runner | workflow、runner attestation、secret name parity、injection route |
| Runtime config | public / admin / API route、CORS、frontend env、Sentry tunnel、webhook / callback |
| Network | SSH、sudoers、known_hosts、防火牆、NodePort、WireGuard |
| Backup / DR | backup、restore、offsite、escrow、retention、Velero |
| Monitoring | Prometheus、Alertmanager、Grafana、SigNoz、Sentry、Langfuse、Telegram route |
| Cross-product | VibeWork、agent-bounty-protocol、StockPlatform、Bitan、Tsenyang 等產品邊界 |
2. 驗證內容
iwooos-config-control-guard.py 目前固定檢查:
high-value-config-control-coverage.snapshot.json必須有 14 類配置,C0 類別 8 個,owner response required 14 個,owner response received / accepted 為0 / 0,runtime gate 與 action button 為0。- 每個高價值配置類別的 evidence refs 必須能在 repo 中找到對應文件、snapshot、schema、腳本或 source path。
- Public gateway、DNS / TLS、Docker / systemd、SSH / firewall、Backup / restore、K8s / ArgoCD、CD / runner / secret、Public runtime、Monitoring、agent-bounty-protocol 等帳本必須符合既定 schema、status、candidate count、reviewer checks、outcome lanes 與 blocked actions。
- 各帳本 summary 中的
*_authorized_count、*_executed_count、*_received_count、*_accepted_count、*_allowed_count、runtime_gate_count、action_button_count、request_sent_count必須維持0。 execution_boundaries中所有 runtime / host / workflow / secret / scan / deploy 授權旗標必須維持false;只有not_authorization=true是安全宣告。security-supply-chain-contract-manifest.snapshot.json必須維持36個 contract,default enforcement 為mirror_only,且每個 contract 都有 forbidden actions 與存在的 schema / snapshot / human docs ref。
3. 指令
python3 scripts/security/iwooos-config-control-guard.py --root .
預期輸出:
IWOOOS_CONFIG_CONTROL_GUARD_OK
主進度 guard 已串接此 guard:
python3 scripts/security/security-mirror-progress-guard.py --root .
預期仍為:
SECURITY_MIRROR_PROGRESS_GUARD_OK
4. 邊界
此 guard 通過只代表 repo snapshot 層的配置控管基線完整,不代表:
- owner response 已收到或接受。
- Nginx reload、
nginx -t、DNS query、TLS probe、certbot renew 已授權。 - ArgoCD sync、kubectl、workflow 修改、runner 啟用、secret 讀取 / 輪替已授權。
- SSH、firewall、port open / close、WireGuard / NodePort / NetworkPolicy 變更已授權。
- backup run、restore drill、offsite sync、retention change、escrow marker write 已授權。
- active scan、Kali
/execute、agent-bounty runtime、payout、withdrawal 或 production deploy 已授權。
5. 完成度
| 工作 | 完成度 | 說明 |
|---|---|---|
| 高價值配置集中 guard | 100% |
已新增腳本並可獨立執行 |
| 主進度 guard 串接 | 100% |
security-mirror-progress-guard.py 已呼叫此 guard |
| dry-run 證據同步 | 100% |
security-mirror-dry-run.snapshot.json 已新增 CHECK_CONFIG_CONTROL_GUARD |
| runtime / host / secret / scan / deploy 授權 | 0% |
全部維持 0 / false |