Gitea act_runner не имеет docker внутри workflow-контейнера —
"docker not found" маскировался через `|| true`, Layer C по факту
не работал. Заменено на:
- Hadolint v2.12.0 binary (curl + chmod)
- GitLeaks v8.21.2 (tarball)
- Semgrep через python3 venv + pip
Все три по-прежнему warning-only, но теперь реально сканируют.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Новый workflow .gitea/workflows/security.yml — параллельно с deploy.yml,
запускается на push в main + на PR. Все три инструмента warning-only:
- Hadolint: bad practices в Dockerfile
- GitLeaks: поиск секретов в истории (полный clone fetch-depth: 0)
- Semgrep: SAST с конфигами p/javascript + p/react + p/typescript + p/security-audit
Не блокируют deploy — findings собираются в логи job'а.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>