Cilium 开源 CI/CD 安全加固方案

开源项目的 CI/CD 安全是个老大难问题：完全开放怕恶意 PR 挖矿或窃取 secrets，完全封闭又扼杀社区贡献。Cilium 的方案核心是把"代码审查通过"作为执行 CI 的前置条件，而不是简单的 fork/PR 即触发。

这和 Sigstore 的 cosign 签名验证形成互补——后者保的是制品完整性，前者保的是执行过程的权限边界。如果你在维护 Kubernetes 相关项目或任何接受外部贡献的基础设施代码，这套机制比 GitHub 默认的 pull_request_target 配置安全得多，值得直接抄作业。

特别要关注他们对"已审查代码被后续恶意修改"的防护，这是多数团队容易忽略的二次攻击向量。