3.5 KiB
3.5 KiB
Security Supply Chain Approval Queue
| 項目 | 內容 |
|---|---|
| 日期 | 2026-05-13 |
| 狀態 | 草案 |
| Schema | docs/schemas/security_approval_queue_v1.schema.json |
| Snapshot | docs/security/security-approval-queue.snapshot.json |
| 預設模式 | approval_only |
| 原則 | AwoooP 可以顯示與排隊,但不得執行 |
0. 核心結論
本 queue 把目前 Security Supply Chain 已整理出的高風險或敏感邊界,集中成 AwoooP 可 mirror 的 approval queue。
它不是授權清單。所有 queue item 都只能顯示、排序、建立 approval candidate,不能直接執行。
S3.0 開始,人工批准範圍由 security_approval_gate_v1 承接。S3.1 開始,實際人工決策結果由 security_approval_decision_record_v1 保存。S3.2 開始,AwoooP 可用 security_approval_review_packet_v1 把 queue/gate 轉成可審查封包。Queue 負責排序候選;Gate 負責限制批准範圍;Review Packet 負責讓人好審;Decision Record 負責稽核紀錄。
目前狀態:
| 指標 | 數量 |
|---|---|
| queue items | 8 |
| pending approval | 7 |
| block candidate | 1 |
| execution authorized | false |
| runtime changes authorized | false |
| raw secret storage authorized | false |
1. Review 順序建議
| 順序 | Queue item | 為什麼先看 |
|---|---|---|
| 1 | kali-finding-runtime-ingestion-approval-20260513 |
先接 redacted finding evidence,風險低、價值高 |
| 2 | kali-safe-web-crawl-approval-20260513 |
TLS/header/basic crawl 屬低噪音,但仍需批准 scope |
| 3 | gitea-private-internal-server-side-inventory-2026-05-12 |
Gitea 全量版本轉 GitHub 的前置 gate |
| 4 | source-control-target-repo-approval-bundle-20260513 |
逐 repo owner / visibility / canonical 決策 |
| 5 | source-control-ref-truth-review-bundle-20260513 |
refs truth / deprecated / release tag review |
| 6 | kali-credentialed-scan-approval-20260513 |
需要憑證,風險較高 |
| 7 | kali-full-upgrade-reboot-approval-20260513 |
需要維護窗口、snapshot、rollback 與 post-check |
| 8 | kali-execute-endpoint-approval-20260513 |
CRITICAL,預設 block candidate,不應接入 runtime |
2. AwoooP 可以做
- 顯示 queue item、risk、state、required reviewers。
- 顯示 evidence refs 與 blocked reason。
- 建立 approval candidate。
- 保存人工決策結果與 audit evidence。
- 依 review order 提醒下一個低摩擦 gate。
- 將批准範圍對齊
security_approval_gate_v1,用security_approval_review_packet_v1顯示審查封包,再把決策結果寫入security_approval_decision_record_v1,但不觸發執行。
3. AwoooP 不可以做
- 不直接啟動 Kali scan。
- 不直接呼叫 Kali
/execute。 - 不建立 GitHub repo。
- 不修改 repo visibility。
- 不 sync refs。
- 不切 GitHub primary。
- 不保存 raw secret、token、cookie、private key 或 exploit payload。
- 不把 LOW / MEDIUM observation 變成 blocking gate。
4. 初期策略
最適合先批准的不是高強度掃描,而是 kali-finding-runtime-ingestion-approval-20260513。
原因是它只允許接收已脫敏 security_finding_v1 摘要,能讓 Kali findings 進入 AwoooP 可見性與 audit,卻不會改變 firewall、RBAC、NetworkPolicy、deploy 或 Git 主控面。
kali-execute-endpoint-approval-20260513 則應維持 block candidate。除非未來建立 allowlist、disable gate、完整 audit 與人工 exception,否則不應讓 AwoooP runtime 直接碰這條路徑。