From 5af90d13673dba8c185687e7b8402496b1bed7bd Mon Sep 17 00:00:00 2001 From: Your Name Date: Thu, 21 May 2026 14:49:25 +0800 Subject: [PATCH] feat(web): show owner response validation approval detail --- apps/web/messages/en.json | 58 +++++++ apps/web/messages/zh-TW.json | 58 +++++++ .../awooop/approvals/[run_id]/page.tsx | 141 ++++++++++++++++++ docs/LOGBOOK.md | 14 ++ .../security/SECURITY-MIRROR-STATUS-ROLLUP.md | 2 + .../SECURITY-SUPPLY-CHAIN-PROGRESS.md | 6 +- ...ecurity-mirror-status-rollup.snapshot.json | 31 +++- .../security-mirror-progress-guard.py | 108 ++++++++++++++ 8 files changed, 415 insertions(+), 3 deletions(-) diff --git a/apps/web/messages/en.json b/apps/web/messages/en.json index 71ab5061d..b0f73d2fa 100644 --- a/apps/web/messages/en.json +++ b/apps/web/messages/en.json @@ -4870,6 +4870,64 @@ "tools": "Tools" } }, + "ownerResponseValidationDecisionBoundary": { + "title": "Owner Response Validation Approval Decision Boundary", + "subtitle": "The approval decision page mirrors the S4.13 validation rollup and S4.9-S4.12 response packets as read-only state; this is not owner response acceptance, GitHub primary approval, repo, refs, workflow / secret, or runtime authorization.", + "badge": "Read-only approval boundary", + "openIwooos": "Open IwoooS", + "decisionRefsTitle": "Approval validation references", + "boundaryLabel": "Validation / approval decision boundary", + "boundaryTitle": "No owner-response validation approval action can run yet", + "boundaryDetail": "This section only explains how the approval decision page understands the four packets, 22 response templates, received / accepted / rejected still at 0, and the separation between approval buttons and owner-response validation. It does not mark owner responses received or accepted, create security approval records, create platform runs, link the execution router, create repos, change refs, modify workflow / secrets, collect secret values, switch the primary source, or open a runtime gate.", + "metrics": { + "packets": { + "label": "Response packets", + "detail": "S4.9-S4.12 remain waiting for owner responses." + }, + "templates": { + "label": "Response templates", + "detail": "22 templates are future intake formats, not responses accepted by the approval decision." + }, + "received": { + "label": "Received", + "detail": "Still 0; the approval detail must not turn visibility into intake state." + }, + "accepted": { + "label": "Accepted", + "detail": "Still 0; this can only change after redacted evidence passes validation." + }, + "decisionAcceptance": { + "label": "Decision acceptance", + "detail": "Still 0; approving execution is not accepting owner responses." + }, + "displaySections": { + "label": "Display sections", + "detail": "8 sections only explain validation flow and the approval boundary." + } + }, + "decisionRefs": { + "validationRollup": { + "title": "S4.13 Validation Rollup", + "detail": "Pins the four packets, cross-packet validation, evidence routing, review checklist, and result lanes, but does not create approval acceptance or remediation execution." + }, + "giteaAttestation": { + "title": "S4.9 Gitea Inventory Owner Attestation", + "detail": "5 templates still wait for owner response; the approval page can only mark the next intake focus." + }, + "githubTarget": { + "title": "S4.10 GitHub Target Owner Decision", + "detail": "7 target owner / visibility / standard responses remain unaccepted; repos or primary switches must not be created automatically." + }, + "refsTruth": { + "title": "S4.11 Refs Truth Owner Response", + "detail": "5 truth categories still wait for redacted responses; refs must not be synced, deleted, or force-pushed." + }, + "workflowSecret": { + "title": "S4.12 Workflow / Secret Name Owner Response", + "detail": "5 name and redacted-evidence categories still wait for responses; only name inventories are allowed, never raw secret values." + } + } + }, "details": { "title": "Run Details", "runId": "Run ID", diff --git a/apps/web/messages/zh-TW.json b/apps/web/messages/zh-TW.json index c0fbf912a..40f70d1d9 100644 --- a/apps/web/messages/zh-TW.json +++ b/apps/web/messages/zh-TW.json @@ -4871,6 +4871,64 @@ "tools": "工具" } }, + "ownerResponseValidationDecisionBoundary": { + "title": "負責人回覆驗收審批決策邊界", + "subtitle": "審批決策頁同步顯示 S4.13 驗收彙整與 S4.9-S4.12 四包來源回覆仍只可讀;這不是負責人回覆接受、GitHub 主要來源批准、專案庫、分支 / 標籤參照、工作流程 / 機密設定或執行期授權。", + "badge": "只讀審批邊界", + "openIwooos": "開啟 IwoooS", + "decisionRefsTitle": "審批驗收參照", + "boundaryLabel": "驗收 / 審批決策邊界", + "boundaryTitle": "目前沒有負責人回覆驗收審批可執行動作", + "boundaryDetail": "這個區塊只說明審批決策頁如何理解四包、22 個回覆範本、已收到 / 已接受 / 已拒收仍為 0,以及審批按鈕與負責人回覆驗收仍然分離;不標記負責人回覆已收到或已接受、不建立資安審批紀錄、不建立平台執行、不接執行路由器、不建立專案庫、不改分支 / 標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源,也不開執行期閘門。", + "metrics": { + "packets": { + "label": "回覆包", + "detail": "S4.9-S4.12 四包仍等待負責人回覆。" + }, + "templates": { + "label": "回覆範本", + "detail": "22 個範本只代表未來可收件格式,不代表審批決策已接受回覆。" + }, + "received": { + "label": "已收到", + "detail": "目前仍為 0;審批詳情不得把可視性改寫成收件狀態。" + }, + "accepted": { + "label": "已接受", + "detail": "目前仍為 0;只有脫敏證據通過驗收後才能改變。" + }, + "decisionAcceptance": { + "label": "審批接受", + "detail": "目前仍為 0;核准執行不等於接受負責人回覆。" + }, + "displaySections": { + "label": "顯示區塊", + "detail": "8 個顯示區塊只用於說明驗收流程與審批邊界。" + } + }, + "decisionRefs": { + "validationRollup": { + "title": "S4.13 驗收彙整", + "detail": "固定四包、跨包驗收、證據路由、審查清單與結果分流,但不產生審批接受或補救執行。" + }, + "giteaAttestation": { + "title": "S4.9 Gitea 清冊負責人證明", + "detail": "5 個範本仍等待負責人回覆;審批頁只能標記下一個收件焦點。" + }, + "githubTarget": { + "title": "S4.10 GitHub 目標負責人決策", + "detail": "7 個目標負責人 / 可見性 / 標準回覆仍未接受,不得自動建立專案庫或切主要來源。" + }, + "refsTruth": { + "title": "S4.11 分支 / 標籤真相負責人回覆", + "detail": "5 類真相判定仍等待脫敏回覆,不得同步、刪除或強制推送分支 / 標籤參照。" + }, + "workflowSecret": { + "title": "S4.12 工作流程 / 機密名稱負責人回覆", + "detail": "5 類名稱與脫敏證據仍等待回覆;只允許名稱清冊,不允許機密明文值。" + } + } + }, "details": { "title": "執行詳情", "runId": "執行 ID", diff --git a/apps/web/src/app/[locale]/awooop/approvals/[run_id]/page.tsx b/apps/web/src/app/[locale]/awooop/approvals/[run_id]/page.tsx index c45ed6029..3a95aa38b 100644 --- a/apps/web/src/app/[locale]/awooop/approvals/[run_id]/page.tsx +++ b/apps/web/src/app/[locale]/awooop/approvals/[run_id]/page.tsx @@ -15,6 +15,7 @@ import { CheckCircle, Clock, RefreshCw, + ShieldAlert, ShieldCheck, X, XCircle, @@ -54,6 +55,12 @@ interface RemediationHistoryItem { created_at?: string | null; } +type OwnerResponseValidationDecisionRef = { + phase: string; + key: string; + contract: string; +}; + interface RunRemediationHistory { incident_ids?: string[]; total?: number; @@ -67,6 +74,52 @@ interface RunDetailResponse { const API_BASE = process.env.NEXT_PUBLIC_API_URL ?? ""; +const ownerResponseValidationDecisionRefs: OwnerResponseValidationDecisionRef[] = [ + { + phase: "S4.13", + key: "validationRollup", + contract: "source_control_owner_response_validation_rollup_v1", + }, + { + phase: "S4.9", + key: "giteaAttestation", + contract: "gitea_inventory_owner_attestation_response_v1", + }, + { + phase: "S4.10", + key: "githubTarget", + contract: "github_target_owner_decision_response_v1", + }, + { + phase: "S4.11", + key: "refsTruth", + contract: "source_control_ref_truth_owner_response_v1", + }, + { + phase: "S4.12", + key: "workflowSecret", + contract: "source_control_workflow_secret_name_owner_response_v1", + }, +]; + +const ownerResponseValidationDecisionBoundaries = [ + "owner_response_validation_received_count=0", + "owner_response_validation_accepted_count=0", + "owner_response_validation_rejected_count=0", + "approval_decision_owner_response_linked=false", + "owner_response_acceptance_authorized=false", + "security_approval_record_created=false", + "platform_run_creation_authorized=false", + "execution_router_linked=false", + "repo_creation_authorized=false", + "refs_sync_authorized=false", + "workflow_modification_authorized=false", + "secret_value_collection_allowed=false", + "github_primary_switch_authorized=false", + "runtime_execution_authorized=false", + "action_buttons_allowed=false", +]; + const STATE_STYLE: Record = { waiting_approval: "border-[#d9b36f] bg-[#fff7e8] text-[#8a5a08]", running: "border-[#9bb6d9] bg-[#eef5ff] text-[#1f5b9b]", @@ -196,6 +249,92 @@ function ApprovalRemediationEvidence({ ); } +function OwnerResponseValidationDecisionBoundaryPanel() { + const t = useTranslations("awooop.approvalDecision.ownerResponseValidationDecisionBoundary"); + const metrics = [ + { label: t("metrics.packets.label"), value: "4", detail: t("metrics.packets.detail") }, + { label: t("metrics.templates.label"), value: "22", detail: t("metrics.templates.detail") }, + { label: t("metrics.received.label"), value: "0", detail: t("metrics.received.detail") }, + { label: t("metrics.accepted.label"), value: "0", detail: t("metrics.accepted.detail") }, + { label: t("metrics.decisionAcceptance.label"), value: "0", detail: t("metrics.decisionAcceptance.detail") }, + { label: t("metrics.displaySections.label"), value: "8", detail: t("metrics.displaySections.detail") }, + ]; + + return ( +
+
+
+
+
+

{t("subtitle")}

+
+
+ + {t("badge")} + + + {t("openIwooos")} +
+
+ +
+ {metrics.map((item) => ( +
+

{item.label}

+

{item.value}

+

{item.detail}

+
+ ))} +
+ +
+
+

{t("decisionRefsTitle")}

+
+ {ownerResponseValidationDecisionRefs.map((item) => ( +
+ {item.phase} +
+

+ {t(`decisionRefs.${item.key}.title` as never)} +

+

+ {t(`decisionRefs.${item.key}.detail` as never)} +

+

{item.contract}

+
+
+ ))} +
+
+ +
+
+
+

{t("boundaryTitle")}

+

{t("boundaryDetail")}

+
+ {ownerResponseValidationDecisionBoundaries.map((item) => ( +
+ {item} +
+ ))} +
+
+
+
+ ); +} + function DecisionDialog({ decision, runId, @@ -486,6 +625,8 @@ export default function ApprovalDecisionPage({ emptyLabel={t("empty")} /> + +

{t("details.title")}

diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index 3a7f4911e..f3cd6e0c3 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,17 @@ +## 2026-05-21 | 資安供應鏈 S2.79:AwoooP 審批決策負責人回覆驗收審批邊界 + +**背景**:S2.78 已把負責人回覆驗收放進 AwoooP 執行詳情,但 `/awooop/approvals/[run_id]` 是真正會出現核准 / 拒絕決策的頁面,需要更明確區分「人工審批」與「負責人回覆驗收」;避免使用者把審批按鈕誤認為已收到 / 已接受 S4.9-S4.12 回覆或 GitHub 主要來源批准。 + +**完成**: +- `/awooop/approvals/[run_id]` 新增「負責人回覆驗收審批決策邊界」,顯示 S4.13 驗收彙整、S4.9 Gitea 清冊負責人證明、S4.10 GitHub 目標負責人決策、S4.11 分支 / 標籤真相負責人回覆與 S4.12 工作流程 / 機密名稱負責人回覆五個參照。 +- 審批邊界顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0 與 8 個顯示區塊,並連回 `/iwooos`。 +- `security_mirror_status_rollup_v1` 新增 `s2_79_awooop_approval_detail_owner_response_validation_boundary` 與 `show_awooop_approval_detail_owner_response_validation_boundary`。 +- `security-mirror-progress-guard.py` 已驗證審批詳情邊界元件、i18n 鍵、五個來源參照與 `false` 邊界。 + +**仍禁止**: +- S2.79 是 AwoooP 審批決策只讀呈現,不代表負責人回覆已收到 / 已接受、負責人回覆接受、資安審批紀錄已建立、平台執行已建立、執行路由器已接上、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、機密明文值收集、GitHub 主要來源切換、Gitea 停用、Kali `/execute`、SSH 登入、主機更新、阻擋型控制或執行期閘門。 +- 整體資安網百分比仍是 58%;框架 / 治理 / 文件 / 結構定義 / 只讀證據仍約 80-85%;真正落地執行 / 執行期匯入 / GitHub 主要來源 / AwoooP 正式入口仍約 35-40%。 + ## 2026-05-21 | 資安供應鏈 S2.78:AwoooP 執行詳情負責人回覆驗收詳情邊界 **背景**:S2.77 已把負責人回覆驗收放進 AwoooP 執行監控清單,但單一 `/awooop/runs/[run_id]` 詳情頁仍需要同一條只讀驗收邊界,避免使用者把 Run 詳情、MCP Gateway、補救試跑或時間線誤認為負責人回覆已收到、已接受或可啟動執行。 diff --git a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md index 4106e5eda..188bee20f 100644 --- a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md +++ b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md @@ -60,6 +60,7 @@ | AwoooP 租戶管理負責人回覆驗收租戶範圍 | S2.76 已在 `/awooop/tenants` 顯示負責人回覆驗收租戶範圍;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、租戶政策變更=0、8 個顯示區塊;仍不把租戶範圍當成已收到 / 已接受、租戶政策批准、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | | AwoooP 執行監控負責人回覆驗收執行邊界 | S2.77 已在 `/awooop/runs` 顯示負責人回覆驗收執行邊界;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、資安執行數=0、8 個顯示區塊;仍不把執行邊界當成已收到 / 已接受、審批紀錄、平台執行、執行路由器、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | | AwoooP 執行詳情負責人回覆驗收詳情邊界 | S2.78 已在 `/awooop/runs/[run_id]` 顯示負責人回覆驗收詳情邊界;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0、8 個顯示區塊;仍不把詳情邊界當成已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、執行路由器、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | +| AwoooP 審批決策負責人回覆驗收審批邊界 | S2.79 已在 `/awooop/approvals/[run_id]` 顯示負責人回覆驗收審批邊界;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0、8 個顯示區塊;仍不把審批決策當成已收到 / 已接受、負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | | Dry-run | `contract_defined_not_executed`;已納入 `CHECK_PROGRESS_GUARD` 與 `CHECK_OWNER_RESPONSE_GUARD`,latest local validation 為 `repo_snapshot_guard_pass`,仍不代表 production ingestion | | Runtime actions | `false` | | Payload ingestion | `false` | @@ -185,6 +186,7 @@ | S2.76 AwoooP 租戶管理負責人回覆驗收租戶範圍 | framework detail | 0 | 只在 `/awooop/tenants` 顯示負責人回覆驗收租戶範圍,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、租戶政策變更=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、tenant_policy_mutation_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不改租戶政策、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | | S2.77 AwoooP 執行監控負責人回覆驗收執行邊界 | framework detail | 0 | 只在 `/awooop/runs` 顯示負責人回覆驗收執行邊界,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、資安執行數=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、security_run_created=false、execution_router_linked=false、approval_record_created=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不建立平台執行、不接執行路由器、不建立審批紀錄、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | framework detail | 0 | 只在 `/awooop/runs/[run_id]` 顯示負責人回覆驗收詳情邊界,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、驗收執行=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、run_detail_owner_response_linked=false、run_detail_approval_record_created=false、mcp_execution_authorized=false、remediation_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不建立審批紀錄、不啟動 MCP 或補救、不建立平台執行、不接執行路由器、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | +| S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | framework detail | 0 | 只在 `/awooop/approvals/[run_id]` 顯示負責人回覆驗收審批邊界,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、審批接受=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、approval_decision_owner_response_linked=false、owner_response_acceptance_authorized=false、security_approval_record_created=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把審批決策當負責人回覆接受、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | headline 進度要再往上,至少需要下列任一高層 gate 有實質 evidence: diff --git a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md index 99dab23a6..7009857c9 100644 --- a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md +++ b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md @@ -5,7 +5,7 @@ | 日期 | 2026-05-17 | | 狀態 | S0/S1 read-only evidence 建置中 | | 本階段完成 | 資安供應鏈 contract manifest + Source Control Approval Board + Draft Reconcile Plan + Ref Detail Diff + Ref Truth Classification + Source Control Ref Truth Owner Response 收件包 + GitHub Primary Readiness Gate + GitHub Primary Rollback ADR + GitHub Target Owner Decision Response 收件包 + Gitea 認證清冊匯出請求 + Gitea 認證清冊匯入驗收契約 + Gitea 清冊覆蓋 Owner Attestation + Gitea Owner Attestation Approval Lane 對齊 + Gitea Owner Attestation Response 收件包 + Workflow / Secret Name Inventory + Workflow / Secret Name Local Evidence + Workflow / Secret Name Redacted Export Request + Workflow / Secret Name Owner Response 收件包 + Source Control Owner Response Validation Rollup + Kali 112 live integration status + Security Finding contract + Kali scan scope approval package + Security Approval Queue + S3 人工批准 Gate + S3 人工決策紀錄 + S3 人工審查封包 + S3 人工決策狀態轉移 + S3 後續 runtime gate 準備契約 + 鏡像 readiness index + 鏡像接收計畫 + 鏡像事件信封 + 鏡像路由矩陣 + 鏡像驗收契約 + 鏡像隔離契約 + 鏡像 dry-run 報告契約 + 鏡像狀態彙整契約 + IwoooS 前端態勢入口 + IwoooS posture projection contract + IwoooS 既有前端資安頁面整合 + IwoooS 覆蓋與邊界矩陣 + IwoooS 只讀資安處理旅程 + IwoooS owner evidence readiness board + IwoooS host coverage view + IwoooS host action gate matrix + IwoooS host evidence readiness board + IwoooS host evidence collection order + IwoooS host evidence intake preflight + IwoooS host evidence review outcome lanes + IwoooS host evidence review handoff packets + IwoooS host evidence reviewer checklist + IwoooS host evidence reviewer outcome lanes + IwoooS host owner decision candidate packets + IwoooS host owner decision review checklist + IwoooS host owner decision review outcome lanes + IwoooS host owner decision record draft packets + IwoooS host owner decision record draft review checklist + IwoooS host owner decision record draft review outcome lanes + IwoooS host owner decision record write-up packets + IwoooS host owner decision record write-up review checklist + IwoooS host owner decision record write-up review outcome lanes + IwoooS host owner decision record formal candidate packets + IwoooS host owner decision record formal candidate review checklist + IwoooS host owner decision record formal candidate review outcome lanes + IwoooS host owner decision record formal record queue packets + IwoooS host owner decision record formal record queue review checklist + IwoooS host owner decision record formal record queue review outcome lanes + IwoooS host owner decision record human handoff readiness packets + IwoooS host owner decision record human handoff readiness review checklist + IwoooS host owner decision record human handoff readiness review outcome lanes + IwoooS host owner decision record human record owner review candidate packets + IwoooS host owner decision record human record owner review candidate checklist + IwoooS host owner decision record human record owner review candidate outcome lanes + IwoooS host owner decision record human record owner review preparation packets + IwoooS host owner decision record human record owner review preparation checklist + IwoooS progress acceleration lanes + IwoooS owner response next-action focus + IwoooS S4.9 owner response preflight + IwoooS S4.9 owner response request templates + IwoooS progress hold movement gates + IwoooS AwoooP read-only landing readiness + IwoooS AwoooP cross-session handoff packets + AwoooP 首頁 IwoooS 資安鏡像候選 + AwoooP 工作鏈路 IwoooS 資安鏡像候選 + AwoooP 審批佇列 IwoooS owner response 只讀焦點 | -| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 | +| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 | | 原則 | 低摩擦分階段;文件、schema、read-only evidence 優先;不做 runtime enforcement、不切 primary | ## 0. 本階段完成後整體進度 @@ -28,7 +28,7 @@ python3 scripts/security/security-mirror-progress-guard.py ### 0.2 Headline 58% 不代表停滯 -近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.78 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 +近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.79 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready、AwoooP read-only landing。這五個 gate 目前仍全部是 0 / false,所以 headline 不應被灌水提高。 @@ -141,6 +141,7 @@ S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner respons | S2.76 AwoooP 租戶管理負責人回覆驗收租戶範圍 | 已完成草案,在 `/awooop/tenants` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、租戶政策變更=0 與 8 個顯示區塊;仍不把租戶範圍當成已收到 / 已接受、租戶政策批准、主要來源切換或執行期閘門 | 0 | | S2.77 AwoooP 執行監控負責人回覆驗收執行邊界 | 已完成草案,在 `/awooop/runs` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、資安執行數=0 與 8 個顯示區塊;仍不把執行邊界當成已收到 / 已接受、審批紀錄、平台執行、主要來源切換或執行期閘門 | 0 | | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 已完成草案,在 `/awooop/runs/[run_id]` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0 與 8 個顯示區塊;仍不把詳情邊界當成已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、主要來源切換或執行期閘門 | 0 | +| S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 已完成草案,在 `/awooop/approvals/[run_id]` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0 與 8 個顯示區塊;仍不把審批決策當成已收到 / 已接受、負責人回覆接受、主要來源切換或執行期閘門 | 0 | headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner response 收到並通過脫敏驗收,或人工批准後出現 active runtime gate、redacted payload ingestion、GitHub primary readiness 這類落地 evidence。 @@ -238,6 +239,7 @@ headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner respons | S2.76 AwoooP 租戶管理負責人回覆驗收租戶範圍 | 完成草案 | `/awooop/tenants` 新增負責人回覆驗收租戶範圍,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、租戶政策變更=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在 AWOOOI 第一租戶視野理解負責人回覆驗收仍只是只讀租戶缺口;租戶範圍仍不是租戶政策批准、審批紀錄、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.77 AwoooP 執行監控負責人回覆驗收執行邊界 | 完成草案 | `/awooop/runs` 新增負責人回覆驗收執行邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、資安執行數=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在執行監控理解負責人回覆驗收仍只是只讀執行缺口;執行邊界仍不是審批紀錄、平台執行、執行路由器、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 完成草案 | `/awooop/runs/[run_id]` 新增負責人回覆驗收詳情邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、驗收執行=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在單一執行詳情理解負責人回覆驗收仍只是只讀詳情缺口;詳情邊界仍不是審批紀錄、MCP 執行、補救執行、平台執行、執行路由器、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | +| S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 完成草案 | `/awooop/approvals/[run_id]` 新增負責人回覆驗收審批邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、審批接受=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在真正核准 / 拒絕前理解審批決策仍不是負責人回覆驗收;審批邊界仍不是負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S3 approval gate | 進行中 | `security_approval_gate_v1` 已建立 8 個人工 gate items:7 pending、1 block candidate、0 approved | 不得繞過人工批准;批准後仍需 follow-up runtime gate | | S3.0 人工批准 Gate 契約 | 完成草案 | 定義批准範圍、決策選項、required reviewers、still forbidden 與 follow-up runtime gate | AwoooP 可記錄決策,不可執行 gate item | | S3.1 人工決策紀錄契約 | 完成草案 | `security_approval_decision_record_v1` 已建立;目前 0 筆 decision records、0 個 runtime action 授權 | AwoooP 可稽核決策,不可把決策當執行 | diff --git a/docs/security/security-mirror-status-rollup.snapshot.json b/docs/security/security-mirror-status-rollup.snapshot.json index 7bf32c7e2..e8cdcbe9e 100644 --- a/docs/security/security-mirror-status-rollup.snapshot.json +++ b/docs/security/security-mirror-status-rollup.snapshot.json @@ -1406,6 +1406,18 @@ "runtime_delta": false, "execution_authorized": false, "not_authorization": true + }, + { + "delta_id": "s2_79_awooop_approval_detail_owner_response_validation_boundary", + "display_order": 108, + "completed_stage": "S2.79 AwoooP 審批決策負責人回覆驗收審批邊界", + "progress_axis": "framework_detail", + "headline_percent_delta": 0, + "framework_delta_visible": true, + "why_headline_unchanged": "AwoooP 審批決策只新增負責人回覆驗收審批邊界,顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0、8 個顯示區塊與 S4.13 / S4.9-S4.12 來源收件參照;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false,不標記負責人回覆已收到 / 已接受、不把審批決策當負責人回覆接受、不建立專案庫、不改分支 / 標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea。", + "runtime_delta": false, + "execution_authorized": false, + "not_authorization": true } ], "next_safe_actions": [ @@ -1810,6 +1822,22 @@ "從 AwoooP 執行詳情修改工作流程 / 機密設定、切 GitHub 主要來源、停用 Gitea 或開執行期閘門" ] }, + { + "action_id": "show_awooop_approval_detail_owner_response_validation_boundary", + "title": "AwoooP 審批決策顯示負責人回覆驗收審批邊界", + "mode": "observe", + "source_contract": "security_mirror_status_rollup_v1", + "allowed_processing": [ + "在 /awooop/approvals/[run_id] 顯示 S2.79 負責人回覆驗收審批邊界", + "顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0 與 8 個顯示區塊", + "連到 /iwooos 只讀入口,不新增負責人回覆接受、專案庫、可見性、分支 / 標籤參照、工作流程、機密設定、主要來源或 Gitea 停用動作" + ], + "blocked_processing": [ + "把 AwoooP 審批決策負責人回覆驗收邊界當成負責人回覆已收到、已接受或 GitHub 主要來源批准", + "從 AwoooP 審批決策建立專案庫、改可見性、同步 / 刪除 / 強制推送分支或標籤參照,或收機密明文值", + "從 AwoooP 審批決策修改工作流程 / 機密設定、切 GitHub 主要來源、停用 Gitea 或開執行期閘門" + ] + }, { "action_id": "enforce_traditional_chinese_security_surface_wording", "title": "IwoooS / AwoooP 資安可視區塊維持繁體中文呈現", @@ -2233,7 +2261,8 @@ "S2.75 新增 AwoooP 審批佇列負責人回覆驗收只讀審查邊界;/awooop/approvals 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、approval_record_created=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把審批邊界當負責人回覆已收到 / 已接受、審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", "S2.76 新增 AwoooP 租戶管理負責人回覆驗收租戶範圍;/awooop/tenants 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、租戶政策變更=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、tenant_source_control_scope_accepted=false、tenant_policy_mutation_authorized=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把租戶範圍當負責人回覆已收到 / 已接受、租戶政策批准、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", "S2.77 新增 AwoooP 執行監控負責人回覆驗收執行邊界;/awooop/runs 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、資安執行數=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、security_run_created=false、owner_response_validation_run_created=false、platform_run_creation_authorized=false、execution_router_linked=false、approval_record_created=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把執行邊界當負責人回覆已收到 / 已接受、審批紀錄、平台執行、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", - "S2.78 新增 AwoooP 執行詳情負責人回覆驗收詳情邊界;/awooop/runs/[run_id] 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、run_detail_owner_response_linked=false、run_detail_approval_record_created=false、mcp_execution_authorized=false、remediation_execution_authorized=false、platform_run_creation_authorized=false、execution_router_linked=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把詳情邊界當負責人回覆已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。" + "S2.78 新增 AwoooP 執行詳情負責人回覆驗收詳情邊界;/awooop/runs/[run_id] 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、run_detail_owner_response_linked=false、run_detail_approval_record_created=false、mcp_execution_authorized=false、remediation_execution_authorized=false、platform_run_creation_authorized=false、execution_router_linked=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把詳情邊界當負責人回覆已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", + "S2.79 新增 AwoooP 審批決策負責人回覆驗收審批邊界;/awooop/approvals/[run_id] 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、approval_decision_owner_response_linked=false、owner_response_acceptance_authorized=false、security_approval_record_created=false、platform_run_creation_authorized=false、execution_router_linked=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把審批決策邊界當負責人回覆已收到 / 已接受、負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。" ], "forbidden_actions": [ "start_kali_scan", diff --git a/scripts/security/security-mirror-progress-guard.py b/scripts/security/security-mirror-progress-guard.py index f8c9d9205..d12a159bc 100755 --- a/scripts/security/security-mirror-progress-guard.py +++ b/scripts/security/security-mirror-progress-guard.py @@ -97,6 +97,18 @@ def validate(root: Path) -> None: awooop_approvals_page = ( root / "apps" / "web" / "src" / "app" / "[locale]" / "awooop" / "approvals" / "page.tsx" ).read_text(encoding="utf-8") + awooop_approval_detail_page = ( + root + / "apps" + / "web" + / "src" + / "app" + / "[locale]" + / "awooop" + / "approvals" + / "[run_id]" + / "page.tsx" + ).read_text(encoding="utf-8") awooop_contracts_page = ( root / "apps" / "web" / "src" / "app" / "[locale]" / "awooop" / "contracts" / "page.tsx" ).read_text(encoding="utf-8") @@ -315,6 +327,7 @@ def validate(root: Path) -> None: "s2_76_awooop_tenants_owner_response_validation_scope", "s2_77_awooop_runs_owner_response_validation_boundary", "s2_78_awooop_run_detail_owner_response_validation_boundary", + "s2_79_awooop_approval_detail_owner_response_validation_boundary", ] assert_equal( "progress_delta_ledger.delta_ids", @@ -464,6 +477,11 @@ def validate(root: Path) -> None: [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], "show_awooop_run_detail_owner_response_validation_boundary", ) + assert_contains( + "rollup.next_safe_actions.action_ids", + [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], + "show_awooop_approval_detail_owner_response_validation_boundary", + ) assert_contains( "rollup.next_safe_actions.action_ids", [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], @@ -6054,6 +6072,96 @@ def validate(root: Path) -> None: key, ) + assert_text_contains( + "awooop_approval_detail_page.owner_response_validation_decision_panel", + awooop_approval_detail_page, + "OwnerResponseValidationDecisionBoundaryPanel", + ) + assert_text_contains( + "awooop_approval_detail_page.owner_response_validation_decision_refs", + awooop_approval_detail_page, + "ownerResponseValidationDecisionRefs", + ) + assert_text_contains( + "awooop_approval_detail_page.owner_response_validation_decision_iwooos_link", + awooop_approval_detail_page, + 'href="/iwooos"', + ) + for text in [ + "source_control_owner_response_validation_rollup_v1", + "gitea_inventory_owner_attestation_response_v1", + "github_target_owner_decision_response_v1", + "source_control_ref_truth_owner_response_v1", + "source_control_workflow_secret_name_owner_response_v1", + "owner_response_validation_received_count=0", + "owner_response_validation_accepted_count=0", + "owner_response_validation_rejected_count=0", + "approval_decision_owner_response_linked=false", + "owner_response_acceptance_authorized=false", + "security_approval_record_created=false", + "platform_run_creation_authorized=false", + "execution_router_linked=false", + "repo_creation_authorized=false", + "refs_sync_authorized=false", + "workflow_modification_authorized=false", + "secret_value_collection_allowed=false", + "github_primary_switch_authorized=false", + "runtime_execution_authorized=false", + "action_buttons_allowed=false", + ]: + assert_text_contains( + "awooop_approval_detail_page.owner_response_validation_decision_boundary", + awooop_approval_detail_page, + text, + ) + for key in [ + "title", + "subtitle", + "badge", + "openIwooos", + "decisionRefsTitle", + "boundaryLabel", + "boundaryTitle", + "boundaryDetail", + "metrics", + "decisionRefs", + ]: + assert_contains( + "web_messages.zh-TW.awooop.approvalDecision.ownerResponseValidationDecisionBoundary", + list(web_messages_zh["awooop"]["approvalDecision"]["ownerResponseValidationDecisionBoundary"].keys()), + key, + ) + assert_contains( + "web_messages.en.awooop.approvalDecision.ownerResponseValidationDecisionBoundary", + list(web_messages_en["awooop"]["approvalDecision"]["ownerResponseValidationDecisionBoundary"].keys()), + key, + ) + for key in [ + "validationRollup", + "giteaAttestation", + "githubTarget", + "refsTruth", + "workflowSecret", + ]: + assert_contains( + "web_messages.zh-TW.awooop.approvalDecision.ownerResponseValidationDecisionBoundary.decisionRefs", + list( + web_messages_zh["awooop"]["approvalDecision"]["ownerResponseValidationDecisionBoundary"][ + "decisionRefs" + ].keys() + ), + key, + ) + assert_contains( + "web_messages.en.awooop.approvalDecision.ownerResponseValidationDecisionBoundary.decisionRefs", + list( + web_messages_en["awooop"]["approvalDecision"]["ownerResponseValidationDecisionBoundary"][ + "decisionRefs" + ].keys() + ), + key, + ) + assert_text_contains("awooop_approvals_page.security_owner_response_panel", awooop_approvals_page, "SecurityOwnerResponseGatePanel") assert_text_contains("awooop_approvals_page.iwooos_link", awooop_approvals_page, 'href="/iwooos"') for text in [