@runsec/mcp 1.0.1

package/src/rules/data/semgrep-rules/browser-agent.yaml

@@ -0,0 +1,260 @@
+rules:
+  - id: runsec.browser-agent.brw-001
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        browser = await p.chromium.launch(   args=[],   headless=True, )
+    pattern-either:
+      - pattern: |-
+          browser = await p.chromium.launch(
+            args=["--no-sandbox","--disable-setuid-sandbox"],
+            headless=True,
+          )
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-001\\b'
+    message: |-
+      RunSec Detection [BRW-001]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-002
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        context = await browser.new_context(ignoreHTTPSErrors=False) page = await context.new_page()
+    pattern-either:
+      - pattern: |-
+          context = await browser.new_context(ignoreHTTPSErrors=True)
+          page = await context.new_page()
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-002\\b'
+    message: |-
+      RunSec Detection [BRW-002]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-003
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        browser = await p.chromium.launch(headless=True)
+    pattern-either:
+      - pattern: |-
+          browser = await p.chromium.launch(headless=False)
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-003\\b'
+    message: |-
+      RunSec Detection [BRW-003]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-004
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        await page.route(\"**/*\", lambda route: route.abort() if \"stun\" in route.request.url else route.continue_())
+    pattern-either:
+      - pattern: |-
+          await page.evaluate(() => new RTCPeerConnection().createOffer())
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-004\\b'
+    message: |-
+      RunSec Detection [BRW-004]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-005
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        allowed = {\"scrollToTop\",\"extractText\"} cmd = request.json()[\"cmd\"] if cmd not in allowed: raise ValueError(\"cmd rejected\") await page.evaluate(\"(arg) => window.scrollTo(0,0)\", None)
+    pattern-either:
+      - pattern: |-
+          user_js = request.json()["script"]
+          await page.evaluate(user_js)
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-005\\b'
+    message: |-
+      RunSec Detection [BRW-005]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-006
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        browser = await p.chromium.launch(args=[])
+    pattern-either:
+      - pattern: |-
+          browser = await p.chromium.launch(
+            args=["--disable-web-security","--disable-site-isolation-trials"],
+          )
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-006\\b'
+    message: |-
+      RunSec Detection [BRW-006]: Ошибка доступа к @Docs (Playwright/Selenium)
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-007
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        target = user_input_url if target.startswith(\"file://\"):     raise ValueError(\"file protocol is forbidden\") await page.goto(target, wait_until=\"domcontentloaded\")
+    pattern-either:
+      - pattern: |-
+          target = user_input_url
+          await page.goto(target)
+          # attacker can pass file:///etc/passwd
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-007\\b'
+    message: |-
+      RunSec Detection [BRW-007]: Playwright Security Best Practices; OWASP Web Security Testing Guide
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-008
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        import ipaddress from urllib.parse import urlparse  def _blocked_host(host: str) -> bool:     if host in {\"localhost\"}:         return True     try:         ip = ipaddress.ip_address(host)         return ip.is_loopback or ip.is_private or ip.is_link_local     except ValueError:         return False  parsed = urlparse(url) if _blocked_host(parsed.hostname or \"\") or (parsed.hostname == \"169.254.169.254\"):     raise ValueError(\"blocked destination\") await page.goto(url, wait_until=\"domcontentloaded\")
+    pattern-either:
+      - pattern: |-
+          await page.goto(url)
+          # url may be http://127.0.0.1:... or http://169.254.169.254/...
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-008\\b'
+    message: |-
+      RunSec Detection [BRW-008]: Playwright Security Best Practices; OWASP Web Security Testing Guide
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-009
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        context = await browser.new_context() try:     page = await context.new_page()     page.set_default_navigation_timeout(10000)     await page.goto(url, timeout=10000, wait_until=\"domcontentloaded\") finally:     await context.close()
+    pattern-either:
+      - pattern: |-
+          context = await browser.new_context()
+          page = await context.new_page()
+          await page.goto(url)
+          # context.close() missing
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-009\\b'
+    message: |-
+      RunSec Detection [BRW-009]: Playwright Security Best Practices; OWASP Web Security Testing Guide
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-010
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        context = await browser.new_context(accept_downloads=False) page = await context.new_page() resp = await page.goto(url, wait_until=\"domcontentloaded\") content_type = (resp.headers.get(\"content-type\", \"\") if resp else \"\") allowed = {\"text/html\", \"application/json\"} if content_type.split(\";\")[0] not in allowed:     raise ValueError(\"blocked MIME type\")
+    pattern-either:
+      - pattern: |-
+          context = await browser.new_context(accept_downloads=True)
+          download = await page.wait_for_event("download")
+          path = await download.path()
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-010\\b'
+    message: |-
+      RunSec Detection [BRW-010]: Playwright Security Best Practices; OWASP Web Security Testing Guide
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-011
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        const note = request.body.note ... await page.evaluate((value) => { document.querySelector("#out").textContent = value }, note)
+    pattern-either:
+      - pattern: |-
+          const note = request.body.note
+          ...
+          await page.evaluate((value) => { document.querySelector("#out").innerHTML = value }, note)
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-011\\b'
+    message: |-
+      RunSec Detection [BRW-011]: CWE-79
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-012
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        const cmd = request.body.cmd allowed = {"scrollTop":"window.scrollTo(0,0)"} if (!(cmd in allowed)) throw new Error("cmd rejected") ... await page.evaluate(allowed[cmd])
+    pattern-either:
+      - pattern: |-
+          const script = request.body.script
+          ...
+          await page.evaluate((s) => eval(s), script)
+          ...
+          const fn = new Function(script)
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-012\\b'
+    message: |-
+      RunSec Detection [BRW-012]: CWE-95
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.browser-agent.brw-013
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        const patch = request.body.patch for (const k of Object.keys(patch)) {   if (["__proto__","constructor","prototype"].includes(k)) throw new Error("blocked key") } ... Object.assign(config, patch)
+    pattern-either:
+      - pattern: |-
+          const patch = request.body.patch
+          ...
+          target.__proto__ = patch
+          ...
+          Object.assign(config, patch)
+      - pattern-regex: 'Vulnerable:\\s*BRW\\-013\\b'
+    message: |-
+      RunSec Detection [BRW-013]: CWE-1321
+    languages:
+      - generic
+    severity: WARNING

package/src/rules/data/semgrep-rules/cloud-secrets.yaml

@@ -0,0 +1,316 @@
+rules:
+  - id: runsec.cloud-secrets.sec-001
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Блокировать link-local metadata endpoints в egress policy; использовать IMDSv2/metadata proxy с явной авторизацией.
+    pattern-either:
+      - pattern: |-
+          requests.get("http://169.254.169.254/latest/meta-data/")
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-001\\b'
+    message: |-
+      RunSec Detection [SEC-001]: CWE-918
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-002
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Хранить секреты только в Secret/external secrets manager (Vault/KMS), шифровать at-rest и ограничить RBAC.
+    pattern-either:
+      - pattern: |-
+          kind: ConfigMap
+          data:
+            DB_PASSWORD: supersecret
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-002\\b'
+    message: |-
+      RunSec Detection [SEC-002]: CWE-798
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-003
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        privileged: false, allowPrivilegeEscalation: false, runAsNonRoot: true, минимальные capabilities.
+    pattern-either:
+      - pattern: |-
+          securityContext:
+            privileged: true
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-003\\b'
+    message: |-
+      RunSec Detection [SEC-003]: CWE-250
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-004
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Запретить опасные hostPath mounts; использовать CSI/ephemeral volumes с ограниченными правами.
+    pattern-either:
+      - pattern: |-
+          hostPath:
+            path: /var/run/docker.sock
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-004\\b'
+    message: |-
+      RunSec Detection [SEC-004]: CWE-284
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-005
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Отключить auto-mount по умолчанию; выдавать токен только workload-ам, которым он необходим.
+    pattern-either:
+      - pattern: |-
+          automountServiceAccountToken: true
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-005\\b'
+    message: |-
+      RunSec Detection [SEC-005]: CWE-200
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-006
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Никогда не логировать весь ENV; применять allowlist полей и redaction для секретов.
+    pattern-either:
+      - pattern: |-
+          logger.info("env=%s", os.environ)
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-006\\b'
+    message: |-
+      RunSec Detection [SEC-006]: CWE-532
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-007
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Использовать workload identity / IAM role / short-lived STS tokens без hardcode.
+    pattern-either:
+      - pattern: |-
+          AWS_SECRET_ACCESS_KEY = "AKIA..."
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-007\\b'
+    message: |-
+      RunSec Detection [SEC-007]: CWE-798
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-008
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Проверять подпись, issuer, audience, exp, nbf, alg allowlist.
+    pattern-either:
+      - pattern: |-
+          jwt.decode(token, options={"verify_signature": False})
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-008\\b'
+    message: |-
+      RunSec Detection [SEC-008]: CWE-347
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-009
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Хранить Vault auth через AppRole/K8s auth + short-lived token, ротацию и scoped policies; обязательно использовать Vault Agent Injector для автоматической доставки и ротации токенов/секретов в workload.
+    pattern-either:
+      - pattern: |-
+          vault_token: s.xxxxx
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-009\\b'
+    message: |-
+      RunSec Detection [SEC-009]: CWE-522
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-010
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Всегда verify=True, mTLS/CA pinning, запрет insecure transport.
+    pattern-either:
+      - pattern: |-
+          vault_client = hvac.Client(url=VAULT_URL, verify=False)
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-010\\b'
+    message: |-
+      RunSec Detection [SEC-010]: CWE-295
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-011
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Включить SSE-KMS/CMK, ограничить доступ bucket policy и включить audit trail.
+    pattern-either:
+      - pattern: |-
+          s3.put_object(Bucket=b, Key=k, Body=secret_blob)
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-011\\b'
+    message: |-
+      RunSec Detection [SEC-011]: CWE-311
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-012
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Принцип least privilege: ограничить actions/resources и контекст ключей.
+    pattern-either:
+      - pattern: |-
+          "Action": "kms:*", "Resource": "*"
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-012\\b'
+    message: |-
+      RunSec Detection [SEC-012]: CWE-732
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-013
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Удалить/закрыть debug endpoints, включить authz + environment gating для non-prod only.
+    pattern-either:
+      - pattern: |-
+          @app.get("/debug/secrets")
+          def dump(): return os.environ
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-013\\b'
+    message: |-
+      RunSec Detection [SEC-013]: CWE-200
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-014
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Обязательная ротация секретов/ключей (TTL), автоматизация revoke/renew и контроль просрочки.
+    pattern-either:
+      - pattern: |-
+          rotation_days = None
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-014\\b'
+    message: |-
+      RunSec Detection [SEC-014]: CWE-613
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-015
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Masked/protected CI variables, secret scanning в pipeline, запрет echo/print секретов.
+    pattern-either:
+      - pattern: |-
+          echo $PROD_DB_PASSWORD
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-015\\b'
+    message: |-
+      RunSec Detection [SEC-015]: CWE-312
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-016
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Использовать kind: ExternalSecret, ссылающийся на SecretStore/ClusterSecretStore (Vault backend), и исключить хранение секретов в Git.
+    pattern-either:
+      - pattern: |-
+          kind: Secret
+          stringData:
+            password: plain-text
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-016\\b'
+    message: |-
+      RunSec Detection [SEC-016]: ESO + Vault best practices
+    languages:
+      - generic
+    severity: WARNING
+  - id: runsec.cloud-secrets.sec-017
+    metadata:
+      runsec_version: v1.0
+      confidence: |-
+        0.9
+      exploit_scenario: |-
+        Атакующий доставляет входные данные, соответствующие anti-pattern; реальный ущерб зависит от приёмника (sink), конфигурации и границ доверия.
+      fix_template: |-
+        Передавать секреты как файлы через volumeMounts (Vault Agent Injector или ESO synced volume), читать пароль из файловой системы, а не из ENV.
+    pattern-either:
+      - pattern: |-
+          env:
+            - name: DB_PASSWORD
+              value: supersecret
+      - pattern-regex: 'Vulnerable:\\s*SEC\\-017\\b'
+    message: |-
+      RunSec Detection [SEC-017]: K8s secret delivery hardening
+    languages:
+      - generic
+    severity: WARNING