- npm audit fix: устранены 5 vulnerabilities (где возможно без --force):
- path-to-regexp <0.1.13 (ReDoS, HIGH)
- nodemailer 6.x patch
- qs 6.7.x DoS (transitively через body-parser + express)
- .gitleaks.toml: расширен allowlist для scripts/indexnow.js* и
scripts/indexnow-ping.sh — содержат публичный IndexNow KEY, не секрет.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
GitLeaks: 8 false-positives на vgrf_ru (IndexNow public key + legacy
WP plugin code) — добавлен .gitleaks.toml с allowlist:
- public/<32hex>.txt + корневой <32hex>.txt (IndexNow validation files)
- wp-content/** (legacy WordPress plugin code, не настоящие секреты)
- const KEY = '<32hex>' паттерн
Hadolint DL4006: добавлен SHELL pipefail в начале каждой stage.
npm audit: убран из Dockerfile (там кэшировался Docker layer'ом и
по факту не запускался при unchanged package-lock.json). Вынесен в
.gitea/workflows/security.yml как отдельный job — каждый push, реально.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Gitea act_runner не имеет docker внутри workflow-контейнера —
"docker not found" маскировался через `|| true`, Layer C по факту
не работал. Заменено на:
- Hadolint v2.12.0 binary (curl + chmod)
- GitLeaks v8.21.2 (tarball)
- Semgrep через python3 venv + pip
Все три по-прежнему warning-only, но теперь реально сканируют.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Описывает все автоматические проверки: Trivy, npm audit (A), Nuclei (B), Hadolint+GitLeaks+Semgrep (C). Email для приватных репортов: admin@hhivp.com.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Новый workflow .gitea/workflows/security.yml — параллельно с deploy.yml,
запускается на push в main + на PR. Все три инструмента warning-only:
- Hadolint: bad practices в Dockerfile
- GitLeaks: поиск секретов в истории (полный clone fetch-depth: 0)
- Semgrep: SAST с конфигами p/javascript + p/react + p/typescript + p/security-audit
Не блокируют deploy — findings собираются в логи job'а.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- Dockerfile: npm audit HIGH/CRITICAL warning-only после npm ci/install
- CI (для тех у кого ещё не было): Trivy scan собранного образа
HIGH/CRITICAL severity, --ignore-unfixed, --exit-code 0 (warning-only)
Часть multi-layer security plan: Layer A (минимум), B (Nuclei DAST weekly cron)
и C (GitLeaks + Semgrep + Hadolint) — отдельными задачами в Singularity.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Паттерн Cuberto: только mark по умолчанию, при hover/focus раскрывается с текстом справа. SVG-mark в currentColor наследует цвет родителя — гармонирует с любой темой. Border 1px solid currentColor вместо плотного чёрного фона.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Заменил длинную строку «Сайт разработан и сопровождается…»
на компактный credit-блок с маркой и текстом «Разработка — hhivp.com».
SVG mark локально (public/hhivp-mark.svg) — без cross-origin запросов.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
JSON-LD теперь массив: AutoPartsStore + WebSite. Creator —
entity-сигнал тех-партнёрства для AI Overviews / Я.Нейро.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- Footer.astro: добавлена подпись "Сайт разработан и сопровождается
техническим партнёром — ООО «АйТи Решения»" со ссылкой на hhivp.com
(по образу stbolshevik.ru/partners/).
- global.css: стиль .developer (light text 0.78rem с dashed-подчёркнутой
ссылкой).
- Base.astro: добавлен Speculation Rules API inline в <head> для
пререндера same-origin ссылок на hover/pointerdown (Chromium 122+).