Skip to content

docs: деплой после закрытия аудита (секрет-файл, hardening, модель тегов)#34

Merged
iAmScienceMan merged 2 commits into
developfrom
docs/deployment-prod-layout
Jun 12, 2026
Merged

docs: деплой после закрытия аудита (секрет-файл, hardening, модель тегов)#34
iAmScienceMan merged 2 commits into
developfrom
docs/deployment-prod-layout

Conversation

@iAmScienceMan

@iAmScienceMan iAmScienceMan commented Jun 12, 2026

Copy link
Copy Markdown
Contributor

актуализирует docs/DEPLOYMENT.md под состояние прод-хоста после закрытия findings #2/#5/#6:

  • токен теперь docker secret (secrets/bot_token + TOKEN_FILE), .env и env_file убраны
  • описан hardening сервиса (read_only, cap_drop, no-new-privileges, pids/mem limits, tmpfs) и опорный вид compose
  • зафиксировано принятое решение по модели тегов: compose остаётся на :latest как локальном указателе, которым управляет CD через digest (вариант с пином digest в compose отвергнут, причина в доке)
  • из раздела отката убран .last-known-good (файл больше не пишется и не используется), ручной откат описан через pull+tag, как делает CD
  • в .env.example добавлен TOKEN_FILE

картина на проде уже соответствует доке: контейнер healthy, rootfs read-only, токена в /proc/1/environ нет

@iAmScienceMan iAmScienceMan added the bug Something isn't working label Jun 12, 2026
@iAmScienceMan iAmScienceMan self-assigned this Jun 12, 2026
@iAmScienceMan iAmScienceMan requested a review from insvrg3ncy June 12, 2026 12:04
@codecov

codecov Bot commented Jun 12, 2026

Copy link
Copy Markdown

Codecov Report

✅ All modified and coverable lines are covered by tests.

📢 Thoughts on this report? Let us know!

@iAmScienceMan @claude
ci: временно отключить gitleaks (нужна org-лицензия GITLEAKS_LICENSE)
1616057 
gitleaks-action для GitHub-организаций требует GITLEAKS_LICENSE и без него
падает на проверке лицензии, не дойдя до сканирования. Отключаем до получения
ключа; секреты пока сканирует trivy fs (scanners: secret).

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
@iAmScienceMan iAmScienceMan merged commit 49c5fea into develop Jun 12, 2026
9 checks passed
iAmScienceMan added a commit that referenced this pull request Jun 12, 2026
@iAmScienceMan
Merge pull request #34 from sys-class/docs/deployment-prod-layout
d942b52 
docs: деплой после закрытия аудита (секрет-файл, hardening, модель тегов)
@iAmScienceMan iAmScienceMan deleted the docs/deployment-prod-layout branch June 12, 2026 12:37
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@insvrg3ncy insvrg3ncy Awaiting requested review from insvrg3ncy

Assignees

@iAmScienceMan iAmScienceMan

Labels

bug Something isn't working

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@iAmScienceMan