fix: skip Rekor tlog verification in Kyverno policy #154

Merged
claude merged 1 commits from fix/kyverno-skip-rekor into main 2026-02-18 09:41:26 +01:00
Owner

Kyverno tries to fetch Rekor TUF root from sigstore.dev but K8s nodes have no internet. Add ignoreTlog and ignoreSCT flags.

Kyverno tries to fetch Rekor TUF root from sigstore.dev but K8s nodes have no internet. Add ignoreTlog and ignoreSCT flags.
claude added 1 commit 2026-02-18 09:39:19 +01:00
fix: skip Rekor tlog and SCT verification in Kyverno policy
All checks were successful
AI Review / AI Code Review (pull_request) Successful in 1s
PR Checks / Validate & Security Scan (pull_request) Successful in 10s
f8f27657f1
Private infrastructure has no internet access from K8s nodes.
Kyverno was failing to verify signatures because it tried to
fetch Rekor TUF root from tuf-repo-cdn.sigstore.dev (timeout).

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
Author
Owner

AI Code Review

Обзор PR выглядит хорошо. Минимальное изменение с правильным обоснованием.

Позитивные моменты:

  • Решает реальную проблему (воздухозазор — K8s без интернета)
  • Флаги ignoreTlog и ignoreSCT — стандартные параметры Cosign, поддерживаемые Kyverno
  • Не ломает существующую валидацию (публичный ключ остаётся)
  • Изменение ограничено одной политикой, риск регрессии минимален

Замечания:

  1. Документация — добавьте комментарий в манифест, почему флаги нужны:

    # ignoreTlog: true — K8s nodes offline, skip Rekor transparency log verification
    # ignoreSCT: true — skip SCT verification from sigstore.dev
    
  2. Проверка перед мержем:

    • Протестирована ли политика на реальном K8s после изменения? (pod creation не должен зависнуть на Rekor)
    • Есть ли тесты в CI (если они есть в репозитории)?
  3. Из практики: Убедитесь, что это не обходит критическую проверку безопасности. Если Rekor TUF root-ы нужны для валидации цепи доверия — может быть лучше:

    • Подготовить root offlined и замонтировать в pod через ConfigMap, или
    • Использовать sigstoreRoot с локальным публичным ключом

    Но если это temp-решение для воздухозазора — OK.

Готово к merge, если проведена проверка на K8s после изменения.


Automated review by Claude Haiku | advisory, does not block merge

## AI Code Review Обзор PR выглядит хорошо. Минимальное изменение с правильным обоснованием. **Позитивные моменты:** - ✅ Решает реальную проблему (воздухозазор — K8s без интернета) - ✅ Флаги `ignoreTlog` и `ignoreSCT` — стандартные параметры Cosign, поддерживаемые Kyverno - ✅ Не ломает существующую валидацию (публичный ключ остаётся) - ✅ Изменение ограничено одной политикой, риск регрессии минимален **Замечания:** 1. **Документация** — добавьте комментарий в манифест, почему флаги нужны: ```yaml # ignoreTlog: true — K8s nodes offline, skip Rekor transparency log verification # ignoreSCT: true — skip SCT verification from sigstore.dev ``` 2. **Проверка перед мержем:** - Протестирована ли политика на реальном K8s после изменения? (pod creation не должен зависнуть на Rekor) - Есть ли тесты в CI (если они есть в репозитории)? 3. **Из практики:** Убедитесь, что это не обходит критическую проверку безопасности. Если Rekor TUF root-ы нужны для валидации цепи доверия — может быть лучше: - Подготовить root offlined и замонтировать в pod через ConfigMap, или - Использовать `sigstoreRoot` с локальным публичным ключом Но если это temp-решение для воздухозазора — OK. **Готово к merge**, если проведена проверка на K8s после изменения. --- _Automated review by Claude Haiku | advisory, does not block merge_
claude merged commit 38432ac92c into main 2026-02-18 09:41:26 +01:00
claude deleted branch fix/kyverno-skip-rekor 2026-02-18 09:41:26 +01:00
Sign in to join this conversation.
No Reviewers
No Label
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: claude/k8s-apps#154
No description provided.