Skill.md検索

変更ファイルを push 前に自動で静的解析し、本番反映直前の重大な問題を検出・ブロックできます。 iSCSI 配置制約違反や CNP（Cilium Network Policy）カバレッジ漏れなど、home-cluster 固有のルール違反を即座に指摘します。 機密値スキャンで、パスワード・トークン・API キー・接続文字列などの平文値をコミット前に検出。PUBLIC リポジトリへの流出を防止します。 PSA（Pod Security Admission）準拠チェックで、runAsNonRoot・allowPrivilegeEscalation・seccompProfile・readOnlyRootFilesystem などの 16/19 namespace restricted 設定を確認。 未コミット変更・ステージ済み変更・リポジトリ全体など、複数のモードで検査範囲を柔軟に指定できます。 home-cluster や Kubernetes 本番環境を運用する SRE・DevOps エンジニア マニフェストやプロビジョニングコードを安全に push したいチーム セキュリティ・コンプライアンス要件を自動で強制したい環境 ネットワークポリシーや PSA 準拠を手動確認から解放したい方 モード（$ARGUMENTS で切り替え）: 無指定で未コミット変更、--staged でステージ済み、--all でリポジトリ全体をスキャン。apps/、helm-values/、manifests/ 配下を Glob で列挙。 Tier 1 — Critical（5ルール）: ① iSCSI nodeAffinity: qnap-iscsi StorageClass 参照時、worker ノード（wn-*）への配置指定を確認。CP ノード（cp-*）には iSCSI ドライバなし。 ② CNP カバレッジ: 新ワークロード追加時、該当 namespace 対応 CNP（manifests//netpol-*.yaml）が存在・Pod カバーを確認。hostNetwork=true は除外。 ③ 機密値スキャン: password/token/apiKey/secret の平文値、Secret マニフェストの base64 データ、ハードコード Bearer トークン・API キー・接続文字列、.env・credentials ファイルを検出。secretKeyRef/secretName 参照・空文字列・プレースホルダーは除外。 ④ PSA compliance: helm-values/manifests のワークロードで runAsNonRoot: true、allowPrivilegeEscalation: false、seccompProfile.type: RuntimeDefault|Localhost、capabilities.drop: [ALL]、readOnlyRootFilesystem: true（推奨）を確認。kube-system/monitoring/trident は privileged enforce 例外。 ⑤ readOnlyRootFilesystem + /tmp: readOnlyRootFilesystem: true 設定時、/tmp マウント確認。