feat: make yamllint and kubeconform strict in CI #215
Loading…
x
Reference in New Issue
Block a user
No description provided.
Delete Branch "feat/strict-linters"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Summary
Test plan
AI Code Review
Error: Reached max turns (1)
Automated review by Claude Haiku | advisory, does not block merge
AI Code Review
Рецензирую PR по безопасности, надёжности и best practices Kubernetes.
Критические проблемы
1. Hardcoded пароли → переменные окружения ✅ Хорошо
Kc@Adm1nInfra2026!на$(env:KC_INFRA_ADMIN_PASSWORD)— правильный подходkeycloak-configcli-secretsсуществует и содержит оба ключа (KC_INFRA_ADMIN_PASSWORD,KC_INFRA_CLAUDE_PASSWORD)kubectl get secret keycloak-configcli-secrets -n keycloak -o yaml2. CI/CD — обработка ошибок
|| trueиз kubeconform хорошо, но yamllint pip install должен быть в base image или pre-step, а не в workflow--break-system-packagesопасен в контейнере — лучше использовать venv или alpine с system pippython -m pipс--userфлагом3. Kubernetes OIDC client
kubernetesсpublicClient: trueиdirectAccessGrantsEnabled: true— правильно для kubelogin (Phase 15)pkce.code.challenge.method: S256)kubernetesclient secret синхронизирован в OpenBaosecret/k8s/keycloak/kubernetesдля kubelogin конфига4. Authentication flow
direct-grant-no-otpkubernetesclient? Или есть связь в clientFlow?Средние проблемы
5. ConfigMap размер
kubectl get configmap -A | grep realm-configmap— размер в пределах 1MB?6. Test plan неполный
kubectl get secret keycloak-configcli-secrets -n keycloakсуществуетkubernetesclient (локальный тест)Рекомендации
Или проще: использовать готовый image
cytopia/yamllintв Docker workflow.Итог: PR логически правильный (strict linting, secrets externalisation, K8s OIDC), но нужна проверка:
keycloak-configcli-secretsSecret существует и заполненkubernetesclient имеет явную ссылку наdirect-grant-no-otpflowОдобрить после этих проверок.
Automated review by Claude Haiku | advisory, does not block merge