漏洞总结 漏洞概述 在 Helm 的插件安装功能中,当启用签名验证选项( )时,如果插件缺少对应的签名文件( ),系统原本仅打印警告信息("WARNING: No provenance file found...")并继续执行安装。这导致未经验证的插件可以被安装,存在签名验证绕过(Bypass)的安全漏洞。 影响范围 受影响组件: 命令。 受影响文件: (核心逻辑修复) (文档注释更新) (测试用例更新) 修复方案 修改 中的 函数逻辑: 1. 当检测到 为空(即缺少 文件)时,不再仅打印警告,而是直接返回错误 ,强制终止安装过程。 2. 确保只有在验证成功或明确禁用验证( )的情况下才允许安装。 相关代码 (测试验证逻辑)** 以下代码展示了修复后的验证逻辑及对应的测试用例,用于确保缺少签名文件时安装会失败: