136e65b400
All checks were successful
CD Pipeline / deploy (push) Successful in 1m8s
回應 vuln-verifier 對前版規則 3e 的 8/9 PoC 繞過警告。 新增/強化擋點: - psql -f / heredoc / 重定向:hook 看不到 SQL 內容 → 一律擋 - multi-statement: ; 後接內容(去 -- 與 /* */ 註解後判斷)→ 擋 - writable CTE: WITH ... DELETE/INSERT/UPDATE → 擋 - /run/secrets, /proc/*/environ → 擋 - pg_read_file / pg_read_binary_file / lo_export / lo_import → 擋 - COPY ... FROM PROGRAM → 擋 - VACUUM FULL / REINDEX / REFRESH MATERIALIZED / CLUSTER 加入寫入黑名單 - env 加 (?!\\s+\\w+=) lookahead,避免誤殺 env VAR=value - alias/function 包裝 docker exec:警告(無法靜態判斷後續呼叫) - 白名單 prefix 不收 WITH(防 writable CTE 漏網),改收 SELECT/EXPLAIN/SHOW/VALUES/TABLE settings.json: 累積本輪 session 的 read-only 工具放行(py_compile、python3)。