Встроенные меры#

  • Контейнер только для чтения (read_only: true), документация смонтирована ro.
  • Basic Auth на все маршруты.
  • Заголовки: CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy и др.
  • Мета noindex / X-Robots-Tag — снижение случайной индексации внутренних каталогов.

Рекомендации по эксплуатации — SECURITY.md в репозитории.

Секреты#

Не коммитьте .env. В CI используйте защищённые переменные (в GitVerse — секреты репозитория) для токенов API и SSH-ключей деплоя.

TLS и прокси#

Если TLS терминируется перед Caddy, может потребоваться отдельная правка Caddyfile (например отключение tls на сайте или доверие к заголовкам прокси). Текущая поставка рассчитана на прямой HTTPS к Caddy или использование tls internal для внутренних сетей.

Backward HTTP API публикации Эксплуатация Forward