7abff8f73ff9a042a5d03b81654827eb427fa981
Три прямых фикса по /cso security audit на v2.45.2: ## Finding #1 (HIGH): Backend containers run as root ordinis-app / ordinis-read-api / ordinis-projection-writer Dockerfile'ы запускали JVM от root (eclipse-temurin:21-jre default'но не задаёт USER). Compromise через Spring CVE / Jackson deserialization → root-в-контейнере = escalation surface на ноду через любой pod misconfig. Добавлено: `RUN groupadd -r -g 10001 app && useradd -r -u 10001 -g app -s /sbin/nologin app` + `USER app`. UID 10001 — outside system (0-999) и distribution reserved (1000-9999). `--chown=app:app` на COPY чтобы JVM могла прочитать jar. ordinis-migrations (USER liquibase) и docs (nginx default) уже non-root. ## Finding #2 (HIGH): .env / .env.local not in .gitignore `.gitignore` блокировал *.pem, *.key, .gstack/, .claude/ — но не .env. Развработчик с realный dotenv для local dev мог случайно `git add .` и закоммитить creds. Сейчас нет committed .env (verified) но защита нулевая. Добавлено: `.env`, `.env.local`, `.env.*.local`, `*.env` + whitelist `!.env.example`, `!.env.template`, `!.env.sample` для шаблонов. Существующий tracked `ordinis-admin-ui/.env.example` остался tracked (verified `git ls-files | grep .env.example`). ## Finding #3 (MEDIUM): Spring Actuator permitAll() — defense-in-depth gap SecurityConfig had `requestMatchers("/actuator/**").permitAll()` → любой pod в кластере мог `curl ordinis-app:8080/actuator/env` и получить ORDINIS_KEYCLOAK_ADMIN_CLIENT_SECRET, DB creds и пр. VERIFIED: nginx ingress на проде НЕ проксирует /actuator/* (SPA fallback отдаёт index.html), так что не exposed на интернет. Но pod-to-pod в кластере = открыто. Defense in two layers: 1. SecurityConfig: split actuator routes — /actuator/health/**, /actuator/info, /actuator/prometheus → permitAll /actuator/** → denyAll Probes/Prometheus scrape работают, остальное блок. 2. application.yml для всех трёх Spring apps: narrowed default exposure to "health,info,prometheus". Поддерживается env override MANAGEMENT_ENDPOINTS_WEB_EXPOSURE_INCLUDE для staging diagnostic (включить env/configprops/loggers только когда нужно дебажить autoconfig). ## Тесты - mvn package — все 15 модулей SUCCESS - ordinis-rest-api + ordinis-auth tests — SUCCESS ## Manual verify post-deploy После пророллится v2.45.3: - staging+prod liveness/readiness probes должны остаться зелёными (/actuator/health/{liveness,readiness} в permitAll list). - Prometheus scrape /actuator/prometheus → 200. - ssh pod && curl localhost:8080/actuator/env → должен вернуть 401/403 (или 404 если endpoint вообще выключен через exposure). ## Откат Если probes сломаются (маловероятно — health endpoints whitelisted) — revert этого MR. Image rollback к v2.45.2 через helm.
Ordinis
MDM сервис для НСИ ЦУОД ОДХ (Оперативное и Долговременное Хранение). Часть линейки Terravault. Ордо/порядок (от лат. ordo) — упорядоченные классификаторы и справочные данные.
ЦУОД — anchor-клиент v1, второй клиент = свой config bundle, без code change.
Maven multimodule
ordinis/
├── ordinis-domain JPA entities, JSONB types, bitemporal model
├── ordinis-validation JSON Schema validator (networknt)
├── ordinis-events-api DTO для Kafka (semver shared module)
├── ordinis-outbox Outbox pattern + @Scheduled poller
├── ordinis-rest-api Admin write API (CRUD, bundle import)
├── ordinis-app Spring Boot main: writer side
├── ordinis-read-api Read service (PG replica + scope filtering)
├── ordinis-projection-writer Опц.: Kafka → Redis projection (feature-flagged)
├── ordinis-cuod-bundle ЦУОД config: JSON Schema, seed, Grafana dashboards
└── ordinis-migrations Liquibase changelogs → Helm pre-upgrade Job (1-shot)
Стек
- Java 21, Spring Boot 3.4
- PostgreSQL 18 + PostGIS 3.6 + btree_gist (EXCLUSION CONSTRAINT)
- Apache Kafka 4.2 (KRaft, SASL SCRAM-SHA-512)
- Hibernate Envers (tx-time) + valid_from/valid_to (effective-time) — bitemporal
- Liquibase
- Spring Cloud Config + Spring Cloud Vault (Kubernetes auth)
- Micrometer + Prometheus
- LogstashEncoder JSON stdout → Loki через Alloy
- OpenTelemetry → Tempo (OTLP gRPC)
Архитектурные принципы
- Generic dictionary engine + ЦУОД config bundle (Approach B). Engine не знает про "КА"/"наземные станции" — узнаёт через JSON Schema из bundle
- Bitemporal: Envers для tx-time + valid_from/valid_to для effective-time + EXCLUSION CONSTRAINT
- 3 scope-топика Kafka (
public/internal/restricted) — изоляция через ACL, не через filter в consumer - System boundary: 3 deployable делят БД (master+replica). Внешние consumers — только REST/Kafka, никогда прямо в БД
- Tiered performance: 1k RPS из коробки (PG replica + Caffeine). 10k+ RPS включается per-dictionary через Redis projection
- Audit log в БД (compliance), технические логи в Loki
Build
mvn clean install # все модули
mvn -pl ordinis-app -am package -DskipTests # только app + transitive
docker build -f ordinis-app/Dockerfile -t ordinis-app:0.1.0 .
docker build -f ordinis-migrations/Dockerfile -t ordinis-migrations:0.1.0 ordinis-migrations/
Связанные репо
- terravault/ordinis-infra — k8s манифесты, helm values
- terravault/ordinis-config — Spring Cloud Config (feature flags, business params)
Description
Languages
TypeScript
49.7%
Java
43.7%
HTML
5.5%
CSS
0.7%
Dockerfile
0.3%