From 232d75f1ad52d1a2892b7802afb042b7f2f9672e Mon Sep 17 00:00:00 2001 From: ogt Date: Thu, 25 Jun 2026 19:27:33 +0800 Subject: [PATCH] docs(logbook): record P0 security incident convergence gate [skip ci] --- docs/LOGBOOK.md | 39 +++++++++++++++++++++++++++++++++++++++ 1 file changed, 39 insertions(+) diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index 6cce33aee..c541d3640 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,42 @@ +## 2026-06-25|IwoooS P0 資安事件收斂 Gate source-side 完成 + +**背景**:近期 Wazuh API / registry、主機入侵、端口異動與告警可讀性都仍缺少可接受的 owner evidence;前端與治理文件也必須避免把 raw log、工作視窗對話、個人名稱、內網資訊或單點綠燈當成資安完成。本輪先把即時性資安風險收斂成一個只讀 P0 Gate,避免在 Wazuh API / registry、主機鑑識、Nginx、firewall、host runtime、告警 receipt、SOC case 與跨專案 runtime 邊界之間繼續散落。 + +**完成**: +- 新增 `scripts/security/iwooos-p0-security-incident-convergence-gate.py`,讀取 12 個既有只讀 snapshot,輸出 `iwooos_p0_security_incident_convergence_gate_v1`。 +- 新增 `docs/security/IWOOOS-P0-SECURITY-INCIDENT-CONVERGENCE-GATE.md` 與 committed snapshot。 +- `/zh-TW/iwooos` 新增 `P0 資安事件收斂 Gate`,首屏後段顯示 12 個來源、8 條 P0 線、已接受 `0%`、執行期 `0`。 +- 8 條 P0 線已各自可見:Wazuh API / 登錄、主機鑑識、公開入口 / Nginx、SSH / firewall、Docker / systemd、告警收件、SOC 事件單、跨專案與 runtime 邊界。 +- `zh-TW` 與 `en` 鏡像文案都維持繁中;前端未加入工作視窗對話、raw prompt、個人 namespace、內網位址、secret、token 或未脫敏 log。 + +**Commit / Deploy**: +- Code commit:`97affa69 feat(iwooos): add P0 security incident convergence gate`。 +- Deploy marker:尚未產生。 +- Production verification:尚未執行;不得宣稱正式站已可見。 + +**驗證**: +- `python3 -m py_compile scripts/security/iwooos-p0-security-incident-convergence-gate.py` 通過。 +- `python3 scripts/security/iwooos-p0-security-incident-convergence-gate.py --root . --output /tmp/iwooos-p0-security-incident-convergence-gate.verify.json --generated-at 2026-06-25T19:23:16+08:00`:`sources=12 lanes=8 blocked=8 registry=0 evidence=0 runtime_gate=0`。 +- `python3 scripts/security/security-mirror-progress-guard.py --root .` 通過。 +- `python3 scripts/security/iwooos-frontend-display-redaction-guard.py --root .` 通過。 +- `pnpm --filter @awoooi/web exec tsc --noEmit --incremental false` 通過。 +- `python3 -c "import json; [json.load(open(path)) for path in ['apps/web/messages/zh-TW.json','apps/web/messages/en.json','docs/security/iwooos-p0-security-incident-convergence-gate.snapshot.json']]"` 通過。 +- `git diff --check` 通過。 +- 敏感字串掃描目標檔無命中:內網位址、本機使用者路徑、工作視窗指令文字、委派原文標籤、授權標頭、bearer token 與 private key。 + +**完成度同步**: +- IwoooS P0 資安事件收斂 Gate:`0% -> 100%` source-side。 +- P0 事件線:`8 / 8` 已建立,但 `8 / 8` 仍 blocked waiting owner evidence。 +- Source snapshot:`12 / 12` 已收斂。 +- Wazuh Dashboard API connection / version accepted:`0 / 0`。 +- Wazuh manager registry accepted:`0%`。 +- Owner response received / accepted:`0 / 0`。 +- Redacted evidence received / accepted:`0 / 0`。 +- Runtime gate / action button:`0 / 0`。 +- IwoooS 整體:暫不因 source-side Gate 上修;仍需 owner evidence、Wazuh API / registry、host forensic refs、Nginx / firewall / service readback、alert receipt、SOC case 與 production verification。 + +**邊界**:本輪沒有連線 Wazuh、沒有 SSH、沒有 live scan、沒有 Kali active scan、沒有 Wazuh active response、沒有 Nginx test / reload、沒有 firewall change、沒有 host write、沒有 Docker / systemd restart、沒有 ArgoCD sync、沒有 workflow 修改、沒有 secret collection、沒有 Telegram 實發、沒有 SOAR case 建立、沒有 production write,也沒有把工作視窗溝通內容放上前端。 + ## 2026-06-25|19:19 Credential escrow read-only blocker refresh **背景**:最新 post-start quick check 已回 `FULL_STACK_GREEN_DR_ESCROW_BLOCKED`,服務面已綠;剩餘不能宣稱 DR complete 的原因需要再次確認是否仍是 credential escrow evidence,而不是 backup/offsite 本身。