homelab-infra/ops/policy-checks/README.md

Policy Checks

Manuelle, read-only Repo-Pruefungen fuer homelab-infra.

Ziel:

• offensichtliche Fehler vor einem Push oder Deploy erkennen
• dokumentierte Ausnahmen sichtbar halten, aber nicht als Fehlalarm behandeln
• keine Container aendern, keine Deploys ausloesen, keine Dateien ausserhalb des Reports schreiben

Start

Aus dem Repo-Root:

powershell -ExecutionPolicy Bypass -File .\ops\policy-checks\check_repo.ps1

Mit Report-Datei:

powershell -ExecutionPolicy Bypass -File .\ops\policy-checks\check_repo.ps1 -ReportPath .\ops\policy-checks\last-report.md

Was geprueft wird

• docker compose config --quiet fuer alle Compose-Dateien
• SHA256-Digests nur dann, wenn ein Digest im Image steht
• keine echten .env- oder stack.env-Dateien im Repo
• Datenbank-/Cache-Dienste nicht im frontend_net
• security_opt: no-new-privileges:true
• Host-Port-Mappings
• Traefik-Router mit Host(...) und Middleware-Standard fuer geschuetzte Admin-/Ops-Dienste
• sichtbare Report-Punkte fuer dokumentierte Ausnahmen wie user: "0", privileged: true oder network_mode: host
• digest-gepinnte mutable Tags bleiben sichtbar; nur explizit dokumentierte Ausnahmen werden als Info statt Warning gewertet

Wichtige Betriebsregel

Dieses Script ist absichtlich erstmal nur ein manuelles Werkzeug.

• kein Cronjob
• keine taegliche Automatik
• keine CI-Pflicht im ersten Schritt

Empfohlene Nutzung:

• vor Pushes mit Compose-/Traefik-/Netzwerk-Aenderungen
• vor neuen Stacks
• vor groesseren Hardening-Sprints

Exit-Code

• 0: keine kritischen Findings
• 1: mindestens ein kritisches Finding

Warnings brechen den Lauf nicht.