fix: skip Rekor tlog verification in Kyverno policy #154

claude · 2026-02-18T09:39:19+01:00

claude commented

2026-02-18 09:39:19 +01:00

Kyverno tries to fetch Rekor TUF root from sigstore.dev but K8s nodes have no internet. Add ignoreTlog and ignoreSCT flags.

claude added 1 commit 2026-02-18 09:39:19 +01:00

fix: skip Rekor tlog and SCT verification in Kyverno policy

AI Review / AI Code Review (pull_request) Successful in 1s

Details

PR Checks / Validate & Security Scan (pull_request) Successful in 10s

Details

f8f27657f1

Private infrastructure has no internet access from K8s nodes.
Kyverno was failing to verify signatures because it tried to
fetch Rekor TUF root from tuf-repo-cdn.sigstore.dev (timeout).

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

claude commented

2026-02-18 09:39:30 +01:00

AI Code Review

Обзор PR выглядит хорошо. Минимальное изменение с правильным обоснованием.

Позитивные моменты:

✅ Решает реальную проблему (воздухозазор — K8s без интернета)
✅ Флаги ignoreTlog и ignoreSCT — стандартные параметры Cosign, поддерживаемые Kyverno
✅ Не ломает существующую валидацию (публичный ключ остаётся)
✅ Изменение ограничено одной политикой, риск регрессии минимален

Замечания:

Документация — добавьте комментарий в манифест, почему флаги нужны:

# ignoreTlog: true — K8s nodes offline, skip Rekor transparency log verification
# ignoreSCT: true — skip SCT verification from sigstore.dev

Проверка перед мержем:
- Протестирована ли политика на реальном K8s после изменения? (pod creation не должен зависнуть на Rekor)
- Есть ли тесты в CI (если они есть в репозитории)?
Из практики: Убедитесь, что это не обходит критическую проверку безопасности. Если Rekor TUF root-ы нужны для валидации цепи доверия — может быть лучше:
- Подготовить root offlined и замонтировать в pod через ConfigMap, или
- Использовать sigstoreRoot с локальным публичным ключом
Но если это temp-решение для воздухозазора — OK.

Готово к merge, если проведена проверка на K8s после изменения.

Automated review by Claude Haiku | advisory, does not block merge

## AI Code Review Обзор PR выглядит хорошо. Минимальное изменение с правильным обоснованием. **Позитивные моменты:** - ✅ Решает реальную проблему (воздухозазор — K8s без интернета) - ✅ Флаги `ignoreTlog` и `ignoreSCT` — стандартные параметры Cosign, поддерживаемые Kyverno - ✅ Не ломает существующую валидацию (публичный ключ остаётся) - ✅ Изменение ограничено одной политикой, риск регрессии минимален **Замечания:** 1. **Документация** — добавьте комментарий в манифест, почему флаги нужны: ```yaml # ignoreTlog: true — K8s nodes offline, skip Rekor transparency log verification # ignoreSCT: true — skip SCT verification from sigstore.dev ``` 2. **Проверка перед мержем:** - Протестирована ли политика на реальном K8s после изменения? (pod creation не должен зависнуть на Rekor) - Есть ли тесты в CI (если они есть в репозитории)? 3. **Из практики:** Убедитесь, что это не обходит критическую проверку безопасности. Если Rekor TUF root-ы нужны для валидации цепи доверия — может быть лучше: - Подготовить root offlined и замонтировать в pod через ConfigMap, или - Использовать `sigstoreRoot` с локальным публичным ключом Но если это temp-решение для воздухозазора — OK. **Готово к merge**, если проведена проверка на K8s после изменения. --- _Automated review by Claude Haiku | advisory, does not block merge_

claude merged commit 38432ac92c into main

2026-02-18 09:41:26 +01:00

claude deleted branch fix/kyverno-skip-rekor

2026-02-18 09:41:26 +01:00

claude referenced this issue from a commit

2026-02-18 09:41:28 +01:00

Merge pull request 'fix: skip Rekor tlog verification in Kyverno policy' (#154) from fix/kyverno-skip-rekor into main

Sign in to join this conversation.

1 Participants

Notifications

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: claude/k8s-apps#154