Files

Build and Deploy GooSeek / build-and-deploy (push) Has been cancelled

Details

security: upgrade Gitea to 1.25.4, add security headers

- Update Gitea from 1.22.6 to 1.25.4 (fixes CVE-2026-20736, CVE-2026-20912)
- Disable public registration
- Disable Swagger API
- Add nginx-ingress security headers:
  - X-Content-Type-Options: nosniff
  - X-XSS-Protection: 1; mode=block
  - Referrer-Policy: strict-origin-when-cross-origin
  - Permissions-Policy
- Enable HSTS preload
- Reorganize Gitea K8s manifests into gitea/ directory

Made-with: Cursor

2026-03-02 22:01:51 +03:00

1.4 KiB

Raw Blame History

Недоделки — начать отсюда

Gitea Security Update ВЫПОЛНЕН ✅

Сделано (Security Hardening) — 2 марта 2026

Обновлена версия Gitea: 1.22.6 → 1.25.4 (исправлены CVE-2026-20736, CVE-2026-20912)
Регистрация отключена — "Registration is disabled"
Swagger API отключён — /api/swagger возвращает 404
HSTS включён
Cookies: HttpOnly, Secure, SameSite=Lax
X-Frame-Options: SAMEORIGIN

K8s манифесты (`backend/deploy/k8s/gitea/`)

namespace.yaml, pvc.yaml, configmap.yaml
deployment.yaml, service.yaml, ingress.yaml
kustomization.yaml, deploy.sh

Оставшиеся улучшения (низкий приоритет)

Добавить CSP header через глобальный ConfigMap nginx-ingress
Добавить X-Content-Type-Options через nginx-ingress

Ранее сделано

Learning кабинет полностью готов
Medicine сервис полностью готов
CI/CD workflow для Gitea Actions
Все K8s манифесты для всех сервисов

Контекст для продолжения

Сервер: 192.168.31.59 (внутренний), 5.187.77.89 (внешний)
Gitea: https://git.gooseek.ru — версия 1.25.4 ✅
K3s + Nginx Ingress + Cert-Manager работают

1.4 KiB Raw Blame History Unescape Escape

Недоделки — начать отсюда

Gitea Security Update ВЫПОЛНЕН ✅

Сделано (Security Hardening) — 2 марта 2026

K8s манифесты (backend/deploy/k8s/gitea/)

Оставшиеся улучшения (низкий приоритет)

Ранее сделано

Контекст для продолжения

1.4 KiB

Raw Blame History

K8s манифесты (`backend/deploy/k8s/gitea/`)