kubewarden-controller - это контроллер Kubernetes, который позволяет динамически регистрировать политики допуска Kubewarden. По замыслу, Po…

kubewarden-controller - это контроллер Kubernetes, который позволяет динамически регистрировать политики допуска Kubewarden. По замыслу, PolicyPolicy и AdmissionPolicyGroup могут оценивать только ресурсы с пространственными именами. Ресурсы, подлежащие оценке, определяются правилами, предоставленными пользователем при определении политики. Могут существовать ресурсы Kubernetes с пространственными именами, которые не должны проверяться политиками AdmissionPolicy и AdmissionPolicyGroup из-за их чувствительной природы. Например, PolicyReport - это ресурсы с пространственными именами, содержащие список объектов, не соответствующих требованиям, найденных внутри пространства имен. Злоумышленник может использовать либо AdmissionPolicy, либо AdmissionPolicyGroup, чтобы предотвратить создание и обновление объектов PolicyReport, чтобы скрыть несоответствующие ресурсы. Более того, тот же злоумышленник может использовать изменяющую AdmissionPolicy, чтобы изменить содержимое PolicyReport, созданного в пределах пространства имен. Начиная с версии 1.21.0, правила валидации, применяемые к AdmissionPolicy и AdmissionPolicyGroup, были ужесточены, чтобы предотвратить их валидацию чувствительных типов ресурсов с пространственными именами.