Commit Graph

18 Commits

Author SHA1 Message Date
Dmitry Gusev
4425bdc516 fix(security): npm audit fix + GitLeaks allowlist for indexnow.js
All checks were successful
deploy / deploy (push) Successful in 52s
security / security (push) Successful in 2m42s
- npm audit fix: устранены 5 vulnerabilities (где возможно без --force):
  - path-to-regexp <0.1.13 (ReDoS, HIGH)
  - nodemailer 6.x patch
  - qs 6.7.x DoS (transitively через body-parser + express)

- .gitleaks.toml: расширен allowlist для scripts/indexnow.js* и
  scripts/indexnow-ping.sh — содержат публичный IndexNow KEY, не секрет.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 19:11:20 +03:00
Dmitry Gusev
a3ac273b90 fix(security): GitLeaks allowlist + Dockerfile DL4006 + npm audit в CI
Some checks failed
deploy / deploy (push) Has been cancelled
security / security (push) Has been cancelled
GitLeaks: 8 false-positives на vgrf_ru (IndexNow public key + legacy
WP plugin code) — добавлен .gitleaks.toml с allowlist:
- public/<32hex>.txt + корневой <32hex>.txt (IndexNow validation files)
- wp-content/** (legacy WordPress plugin code, не настоящие секреты)
- const KEY = '<32hex>' паттерн

Hadolint DL4006: добавлен SHELL pipefail в начале каждой stage.

npm audit: убран из Dockerfile (там кэшировался Docker layer'ом и
по факту не запускался при unchanged package-lock.json). Вынесен в
.gitea/workflows/security.yml как отдельный job — каждый push, реально.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 18:54:10 +03:00
Dmitry Gusev
4a8715766e feat(security): GitHub Actions security.yml (mirror coverage)
All checks were successful
deploy / deploy (push) Successful in 55s
security / security (push) Successful in 2m29s
Дополнительный security-сканирование на GitHub mirror: hadolint-action, gitleaks-action, semgrep, trivy-action. Запускается на push + PR + weekly cron (Mon 03:00 UTC).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 17:56:39 +03:00
Dmitry Gusev
23f5b8d57b docs(readme): README с описанием стека, deploy и security (GitHub mirror)
Some checks failed
deploy / deploy (push) Has been cancelled
security / security (push) Has been cancelled
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 17:52:59 +03:00
Dmitry Gusev
da8e648816 fix(security): nativе binaries вместо docker run (Gitea fix)
Some checks failed
deploy / deploy (push) Has been cancelled
security / security (push) Has been cancelled
Gitea act_runner не имеет docker внутри workflow-контейнера —
"docker not found" маскировался через `|| true`, Layer C по факту
не работал. Заменено на:
- Hadolint v2.12.0 binary (curl + chmod)
- GitLeaks v8.21.2 (tarball)
- Semgrep через python3 venv + pip

Все три по-прежнему warning-only, но теперь реально сканируют.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 17:49:28 +03:00
Dmitry Gusev
7eda77de0e docs(security): SECURITY.md с описанием Layer A+B+C stack
All checks were successful
deploy / deploy (push) Successful in 58s
security / security (push) Successful in 7s
Описывает все автоматические проверки: Trivy, npm audit (A), Nuclei (B), Hadolint+GitLeaks+Semgrep (C). Email для приватных репортов: admin@hhivp.com.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 17:04:44 +03:00
Dmitry Gusev
27a7ac2d42 feat(security): Hadolint + GitLeaks + Semgrep workflow (Layer C)
Some checks failed
security / security (push) Has been cancelled
deploy / deploy (push) Has been cancelled
Новый workflow .gitea/workflows/security.yml — параллельно с deploy.yml,
запускается на push в main + на PR. Все три инструмента warning-only:

- Hadolint: bad practices в Dockerfile
- GitLeaks: поиск секретов в истории (полный clone fetch-depth: 0)
- Semgrep: SAST с конфигами p/javascript + p/react + p/typescript + p/security-audit

Не блокируют deploy — findings собираются в логи job'а.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 16:51:08 +03:00
Dmitry Gusev
e87e6e0066 feat(security): Trivy в CI + npm audit в Dockerfile (Layer A)
Some checks failed
deploy / deploy (push) Has been cancelled
- Dockerfile: npm audit HIGH/CRITICAL warning-only после npm ci/install
- CI (для тех у кого ещё не было): Trivy scan собранного образа
  HIGH/CRITICAL severity, --ignore-unfixed, --exit-code 0 (warning-only)

Часть multi-layer security plan: Layer A (минимум), B (Nuclei DAST weekly cron)
и C (GitLeaks + Semgrep + Hadolint) — отдельными задачами в Singularity.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 16:47:11 +03:00
Dmitry Gusev
0bedb25678 feat(footer): hover-pill credit «Сделано в hhivp.com» с border вместо плотного фона
All checks were successful
deploy / deploy (push) Successful in 57s
Паттерн Cuberto: только mark по умолчанию, при hover/focus раскрывается с текстом справа. SVG-mark в currentColor наследует цвет родителя — гармонирует с любой темой. Border 1px solid currentColor вместо плотного чёрного фона.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 07:00:30 +03:00
Dmitry Gusev
32932a1a78 style(footer): mark на чёрном фоне 22px (вместо синего 18px)
All checks were successful
deploy / deploy (push) Successful in 52s
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 06:43:52 +03:00
Dmitry Gusev
7e716e9f94 feat(footer): робот hhivp вместо текстового mark в SVG
All checks were successful
deploy / deploy (push) Successful in 1m1s
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 06:39:40 +03:00
Dmitry Gusev
b626ff97a3 feat(footer): visible credit с маленьким лого hhivp
All checks were successful
deploy / deploy (push) Successful in 53s
Заменил длинную строку «Сайт разработан и сопровождается…»
на компактный credit-блок с маркой и текстом «Разработка — hhivp.com».
SVG mark локально (public/hhivp-mark.svg) — без cross-origin запросов.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 05:46:23 +03:00
Dmitry Gusev
6e996fa23d feat(schema): add WebSite + creator (hhivp.com) to JSON-LD
All checks were successful
deploy / deploy (push) Successful in 1m0s
JSON-LD теперь массив: AutoPartsStore + WebSite. Creator —
entity-сигнал тех-партнёрства для AI Overviews / Я.Нейро.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-24 05:07:54 +03:00
Dmitry Gusev
8ce20825f6 feat(footer): подпись о техническом партнёре + Speculation Rules
All checks were successful
deploy / deploy (push) Successful in 1m3s
- Footer.astro: добавлена подпись "Сайт разработан и сопровождается
  техническим партнёром — ООО «АйТи Решения»" со ссылкой на hhivp.com
  (по образу stbolshevik.ru/partners/).
- global.css: стиль .developer (light text 0.78rem с dashed-подчёркнутой
  ссылкой).
- Base.astro: добавлен Speculation Rules API inline в <head> для
  пререндера same-origin ссылок на hover/pointerdown (Chromium 122+).
2026-05-23 23:56:31 +03:00
Dmitry Gusev
381a9a90a4 chore(robots): add ChatGPT-User + OAI-SearchBot + Applebot-Extended
Some checks failed
deploy / deploy (push) Has been cancelled
2026-05-23 23:47:42 +03:00
Dmitry Gusev
602ecd871d redesign: главная — 2-колоночный contact-grid на desktop (адрес+телефоны слева, карта справа), container 76rem
All checks were successful
deploy / deploy (push) Successful in 46s
2026-05-22 05:27:53 +03:00
Dmitry Gusev
ed27dcfc14 feat: скаффолд Astro 5 SSG (главная + /privacy + consent gate)
Some checks failed
deploy / deploy (push) Failing after 14s
- Главная: hero, адрес Люблинская 100 (Аквапарк ФЭНТАЗИ), 4 кликабельных tel:, карта Яндекса
- /privacy: политика 152-ФЗ + ConsentRevoke (отозвать/сбросить)
- Аналитика перенесена 1:1 с WP: Яндекс.Метрика 47169531 (Webvisor) + GA4 GT-WRF7ZZ8
- Скрипты в type=text/plain, активируются после согласия (pit-consent в localStorage+cookie)
- robots.txt с явным Allow для GPTBot/ClaudeBot/PerplexityBot/Google-Extended/CCBot
- llms.txt + ai.txt (spawning.ai стандарт)
- IndexNow ключ 901a779d62ca4702ad810c863b45e1f7
- JSON-LD AutoPartsStore с адресом и 4 телефонами
- nginx:1.29-alpine runtime, контейнер на :4147
- Gitea Actions deploy.yml + Trivy scan + IndexNow ping
2026-05-22 04:31:55 +03:00
6ff1827690 Initial commit 2026-05-22 04:24:25 +03:00