From 73664116c381cc5a19e8a160f24e80f09f68d821 Mon Sep 17 00:00:00 2001 From: Your Name Date: Sun, 24 May 2026 11:27:03 +0800 Subject: [PATCH] feat(web): add owner assignment decision checklist --- apps/web/messages/en.json | 76 ++++++++ apps/web/messages/zh-TW.json | 76 ++++++++ apps/web/src/app/[locale]/iwooos/page.tsx | 173 ++++++++++++++++++ docs/LOGBOOK.md | 14 ++ .../security/SECURITY-MIRROR-STATUS-ROLLUP.md | 2 + .../SECURITY-SUPPLY-CHAIN-PROGRESS.md | 6 +- ...ecurity-mirror-status-rollup.snapshot.json | 28 +++ .../security-mirror-progress-guard.py | 101 ++++++++++ 8 files changed, 474 insertions(+), 2 deletions(-) diff --git a/apps/web/messages/en.json b/apps/web/messages/en.json index ea149ff6d..75530992a 100644 --- a/apps/web/messages/en.json +++ b/apps/web/messages/en.json @@ -4215,6 +4215,82 @@ } } }, + "ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard": { + "title": "人工決策正式紀錄負責人指派決策檢查清單", + "subtitle": "指派決策準備包後,仍要逐項檢查八個只讀條件;這不是紀錄負責人指派、正式紀錄、人工批准或執行授權。現在檢查項=8、通過=0、已決策=0、執行期閘門=0。", + "checkLabel": "決策檢查", + "confirmationLabel": "確認條件", + "guardLabel": "仍不會做", + "boundaryTitle": "指派決策檢查清單維持的保護線", + "summary": { + "checks": { + "label": "檢查項", + "detail": "八個只讀檢查先可見,避免準備包被直接視為已決策。" + }, + "passed": { + "label": "通過", + "detail": "目前為 0;沒有任何指派決策檢查被標記通過。" + }, + "decisions": { + "label": "已決策", + "detail": "目前為 0;仍沒有任何正式負責人指派決策。" + }, + "runtime": { + "label": "執行期閘門", + "detail": "目前為 0;檢查清單不會啟動執行期。" + } + }, + "items": { + "decisionTraceReadable": { + "title": "決策追溯可讀檢查", + "body": "確認結果分流、準備包、退回理由與證據索引是否能被人工完整追溯。", + "confirmation": "只標記追溯鏈是否足以供人工閱讀。", + "guard": "不建立正式紀錄、不更新審批狀態、不標記已接受。" + }, + "ownerIdentityConfirmable": { + "title": "負責人身分可確認檢查", + "body": "確認候選負責人、代理人、角色名稱、來源證據與缺口欄位是否可人工判讀。", + "confirmation": "只標記身分欄位是否可確認。", + "guard": "不代填姓名、不查外部帳號、不自動指派。" + }, + "scopeSnapshotCurrent": { + "title": "範圍快照有效檢查", + "body": "確認主機、專案、服務、專案庫、網站、工作流程與機密名稱範圍仍是目前可審版本。", + "confirmation": "只標記範圍快照是否足以進人工判讀。", + "guard": "不掃描、不登入主機、不修改專案庫或工作流程。" + }, + "authorityBoundaryChecked": { + "title": "權責邊界已檢查", + "body": "確認確認、審查、指派、正式紀錄、批准與執行沒有被混用。", + "confirmation": "只標記邊界是否仍需人工修正。", + "guard": "不把確認當批准,不把批准當執行。" + }, + "evidenceChainReadable": { + "title": "證據鏈可讀檢查", + "body": "確認交接、檢查、結果分流、準備包與後續人工決策可以互相追溯。", + "confirmation": "只標記證據鏈是否完整可讀。", + "guard": "不產生審批編號、不建立正式紀錄、不更改原始 evidence。" + }, + "quarantineExceptionChecked": { + "title": "隔離與例外已檢查", + "body": "確認敏感載荷、缺欄、例外、退回與補證原因已用脫敏 metadata 呈現。", + "confirmation": "只標記隔離原因與例外欄位是否可讀。", + "guard": "不保存秘密值、不顯示明文、不把隔離內容交給前端。" + }, + "mutationRejectionChecked": { + "title": "變更拒收已檢查", + "body": "確認沒有夾帶專案庫、分支 / 標籤參照、工作流程、機密設定、部署或主機變更要求。", + "confirmation": "只標記是否需要拒收並重送只讀版本。", + "guard": "不建立專案庫、不同步 refs、不改工作流程 / 機密設定、不部署。" + }, + "runtimePrimarySeparated": { + "title": "執行與主要來源分離檢查", + "body": "確認 Kali、SSH、主機更新、修復、GitHub 主要來源切換或 Gitea 停用都留在獨立閘門。", + "confirmation": "只標記後續是否需要獨立人工閘門。", + "guard": "不呼叫 Kali、不開 SSH、不更新主機、不切主要來源、不停用 Gitea。" + } + } + }, "awooopReadOnlyLandingReadiness": { "title": "AwoooP Read-Only Landing Readiness", "subtitle": "S2.51 turns the AwoooP main-line read-only consumption path for IwoooS / security mirror state into an intake readiness board. This is landing readiness, not production_landing_enabled, and it does not connect an execution router.", diff --git a/apps/web/messages/zh-TW.json b/apps/web/messages/zh-TW.json index 69a5c6920..7b71e8046 100644 --- a/apps/web/messages/zh-TW.json +++ b/apps/web/messages/zh-TW.json @@ -4216,6 +4216,82 @@ } } }, + "ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard": { + "title": "人工決策正式紀錄負責人指派決策檢查清單", + "subtitle": "指派決策準備包後,仍要逐項檢查八個只讀條件;這不是紀錄負責人指派、正式紀錄、人工批准或執行授權。現在檢查項=8、通過=0、已決策=0、執行期閘門=0。", + "checkLabel": "決策檢查", + "confirmationLabel": "確認條件", + "guardLabel": "仍不會做", + "boundaryTitle": "指派決策檢查清單維持的保護線", + "summary": { + "checks": { + "label": "檢查項", + "detail": "八個只讀檢查先可見,避免準備包被直接視為已決策。" + }, + "passed": { + "label": "通過", + "detail": "目前為 0;沒有任何指派決策檢查被標記通過。" + }, + "decisions": { + "label": "已決策", + "detail": "目前為 0;仍沒有任何正式負責人指派決策。" + }, + "runtime": { + "label": "執行期閘門", + "detail": "目前為 0;檢查清單不會啟動執行期。" + } + }, + "items": { + "decisionTraceReadable": { + "title": "決策追溯可讀檢查", + "body": "確認結果分流、準備包、退回理由與證據索引是否能被人工完整追溯。", + "confirmation": "只標記追溯鏈是否足以供人工閱讀。", + "guard": "不建立正式紀錄、不更新審批狀態、不標記已接受。" + }, + "ownerIdentityConfirmable": { + "title": "負責人身分可確認檢查", + "body": "確認候選負責人、代理人、角色名稱、來源證據與缺口欄位是否可人工判讀。", + "confirmation": "只標記身分欄位是否可確認。", + "guard": "不代填姓名、不查外部帳號、不自動指派。" + }, + "scopeSnapshotCurrent": { + "title": "範圍快照有效檢查", + "body": "確認主機、專案、服務、專案庫、網站、工作流程與機密名稱範圍仍是目前可審版本。", + "confirmation": "只標記範圍快照是否足以進人工判讀。", + "guard": "不掃描、不登入主機、不修改專案庫或工作流程。" + }, + "authorityBoundaryChecked": { + "title": "權責邊界已檢查", + "body": "確認確認、審查、指派、正式紀錄、批准與執行沒有被混用。", + "confirmation": "只標記邊界是否仍需人工修正。", + "guard": "不把確認當批准,不把批准當執行。" + }, + "evidenceChainReadable": { + "title": "證據鏈可讀檢查", + "body": "確認交接、檢查、結果分流、準備包與後續人工決策可以互相追溯。", + "confirmation": "只標記證據鏈是否完整可讀。", + "guard": "不產生審批編號、不建立正式紀錄、不更改原始 evidence。" + }, + "quarantineExceptionChecked": { + "title": "隔離與例外已檢查", + "body": "確認敏感載荷、缺欄、例外、退回與補證原因已用脫敏 metadata 呈現。", + "confirmation": "只標記隔離原因與例外欄位是否可讀。", + "guard": "不保存秘密值、不顯示明文、不把隔離內容交給前端。" + }, + "mutationRejectionChecked": { + "title": "變更拒收已檢查", + "body": "確認沒有夾帶專案庫、分支 / 標籤參照、工作流程、機密設定、部署或主機變更要求。", + "confirmation": "只標記是否需要拒收並重送只讀版本。", + "guard": "不建立專案庫、不同步 refs、不改工作流程 / 機密設定、不部署。" + }, + "runtimePrimarySeparated": { + "title": "執行與主要來源分離檢查", + "body": "確認 Kali、SSH、主機更新、修復、GitHub 主要來源切換或 Gitea 停用都留在獨立閘門。", + "confirmation": "只標記後續是否需要獨立人工閘門。", + "guard": "不呼叫 Kali、不開 SSH、不更新主機、不切主要來源、不停用 Gitea。" + } + } + }, "awooopReadOnlyLandingReadiness": { "title": "AwoooP 只讀接入就緒度", "subtitle": "S2.51 把 AwoooP 主線要如何只讀消費 IwoooS / 資安鏡像狀態整理成接入準備面板。這是接入就緒度,不是 production landing enabled,也不接 execution router。", diff --git a/apps/web/src/app/[locale]/iwooos/page.tsx b/apps/web/src/app/[locale]/iwooos/page.tsx index f4b1d9bf2..f4d3ac4eb 100644 --- a/apps/web/src/app/[locale]/iwooos/page.tsx +++ b/apps/web/src/app/[locale]/iwooos/page.tsx @@ -267,6 +267,14 @@ type OwnerResponseFormalRecordOwnerAssignmentDecisionPreparationPacket = { tone: 'steady' | 'warn' | 'locked' } +type OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistItem = { + key: string + check: string + value: string + icon: typeof ShieldCheck + tone: 'steady' | 'warn' | 'locked' +} + type CoverageGroup = { key: string count: string @@ -1242,6 +1250,42 @@ const ownerResponseFormalRecordOwnerAssignmentDecisionPreparationBoundaries = [ 'gitea_disablement_authorized=false', ] +const ownerResponseFormalRecordOwnerAssignmentDecisionChecklistItems: OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistItem[] = [ + { key: 'decisionTraceReadable', check: 'ADC1', value: '0', icon: ListChecks, tone: 'warn' }, + { key: 'ownerIdentityConfirmable', check: 'ADC2', value: '0', icon: FileText, tone: 'warn' }, + { key: 'scopeSnapshotCurrent', check: 'ADC3', value: '0', icon: ClipboardCheck, tone: 'warn' }, + { key: 'authorityBoundaryChecked', check: 'ADC4', value: '0', icon: ShieldCheck, tone: 'warn' }, + { key: 'evidenceChainReadable', check: 'ADC5', value: '0', icon: SearchCheck, tone: 'warn' }, + { key: 'quarantineExceptionChecked', check: 'ADC6', value: '0', icon: Lock, tone: 'locked' }, + { key: 'mutationRejectionChecked', check: 'ADC7', value: '0', icon: AlertTriangle, tone: 'locked' }, + { key: 'runtimePrimarySeparated', check: 'ADC8', value: '0', icon: GitBranch, tone: 'locked' }, +] + +const ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoundaries = [ + 'owner_response_formal_record_owner_assignment_decision_check_count=8', + 'owner_response_formal_record_owner_assignment_decision_check_passed_count=0', + 'owner_response_formal_record_owner_assignment_decision_created_count=0', + 'owner_response_formal_record_owner_assigned_count=0', + 'owner_response_formal_record_created_count=0', + 'owner_response_formal_record_approved_count=0', + 'owner_response_formal_record_runtime_gate_count=0', + 'owner_response_formal_record_owner_assignment_decision_checklist_only=true', + 'owner_response_formal_record_owner_assignment_authorized=false', + 'owner_response_formal_record_write_authorized=false', + 'owner_response_formal_record_approval_authorized=false', + 'owner_response_formal_record_execution_authorized=false', + 'runtime_execution_authorized=false', + 'active_runtime_gate_count=0', + 'action_buttons_allowed=false', + 'not_authorization=true', + 'secret_value_collection_allowed=false', + 'repo_creation_authorized=false', + 'refs_sync_authorized=false', + 'workflow_modification_authorized=false', + 'github_primary_switch_authorized=false', + 'gitea_disablement_authorized=false', +] + const coverageGroups: CoverageGroup[] = [ { key: 'signals', @@ -4447,6 +4491,133 @@ function OwnerResponseFormalRecordOwnerAssignmentDecisionPreparationBoard() { ) } +function OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistCard({ + item, +}: { + item: OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistItem +}) { + const t = useTranslations('iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard') + const Icon = item.icon + const textWrap = { overflowWrap: 'anywhere' as const, wordBreak: 'break-word' as const } + return ( +
+
+
+ + {t('checkLabel')} +
+ {item.check} +
+
+ {item.value} +
+

+ {t(`items.${item.key}.title` as never)} +

+

+ {t(`items.${item.key}.body` as never)} +

+
+ {t('confirmationLabel')} + + {t(`items.${item.key}.confirmation` as never)} + + {t('guardLabel')} + + {t(`items.${item.key}.guard` as never)} + +
+
+ ) +} + +function OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard() { + const t = useTranslations('iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard') + const summaryItems = [ + { key: 'checks', value: '8', tone: 'warn' as const }, + { key: 'passed', value: '0', tone: 'steady' as const }, + { key: 'decisions', value: '0', tone: 'locked' as const }, + { key: 'runtime', value: '0', tone: 'locked' as const }, + ] + return ( +
+
+

{t('title')}

+

+ {t('subtitle')} +

+
+
+ {summaryItems.map(item => ( +
+
+ {t(`summary.${item.key}.label` as never)} + +
+
+ {item.value} +
+

+ {t(`summary.${item.key}.detail` as never)} +

+
+ ))} +
+
+ {ownerResponseFormalRecordOwnerAssignmentDecisionChecklistItems.map(item => ( + + ))} +
+
+
+ +

{t('boundaryTitle')}

+
+
+ {ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoundaries.map(item => ( + + {item} + + ))} +
+
+
+ ) +} + function CoverageCard({ item }: { item: CoverageGroup }) { const t = useTranslations('iwooos.coverage') const Icon = item.icon @@ -5614,6 +5785,8 @@ export default function IwoooSPage({ params }: { params: { locale: string } }) { + +

{t('awooopReadOnlyLandingReadiness.title')}

diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index dbd47e34e..ce29147e4 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,17 @@ +## 2026-05-24 | 資安供應鏈 S2.99:IwoooS 人工決策正式紀錄負責人指派決策檢查清單 + +**背景**:S2.98 已把正式紀錄負責人指派決策準備包放進 IwoooS;本輪補上「可進人工指派決策前,要逐項檢查哪些條件」的只讀清單,避免使用者或 AwoooP 平行 Session 把準備包誤認成已通過、已指派紀錄負責人、已建立正式紀錄、人工批准或執行命令。 + +**完成**: +- `/iwooos` 新增「人工決策正式紀錄負責人指派決策檢查清單」,顯示決策追溯可讀檢查、負責人身分可確認檢查、範圍快照有效檢查、權責邊界已檢查、證據鏈可讀檢查、隔離與例外已檢查、變更拒收已檢查、執行與主要來源分離檢查八個檢查項。 +- 看板固定顯示檢查項=8、通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0,並標示 `owner_response_formal_record_owner_assignment_decision_checklist_only=true`、`owner_response_formal_record_owner_assignment_authorized=false`、`owner_response_formal_record_write_authorized=false`、`owner_response_formal_record_approval_authorized=false`、`owner_response_formal_record_execution_authorized=false`。 +- `security_mirror_status_rollup_v1` 新增 `s2_99_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board` 與 `show_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board`。 +- `security-mirror-progress-guard.py` 已納入人工決策正式紀錄負責人指派決策檢查清單看板、i18n 鍵、八個檢查項與 `false` 邊界檢查。 + +**仍禁止**: +- S2.99 是 IwoooS 只讀正式紀錄負責人指派決策檢查清單,不代表人工回覆已收到 / 已接受 / 已匯入、紀錄負責人已指派、人工批准、正式決策、正式審批紀錄建立、資安審批、機密明文值收集、Kali `/execute`、SSH 登入、主機更新、掃描 / 執行 / 修復、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、GitHub 主要來源切換、Gitea 停用或執行期閘門。 +- 整體資安網百分比仍是 58%;框架 / 治理 / 文件 / 結構定義 / 只讀證據仍約 80-85%;真正落地執行 / 執行期匯入 / GitHub 主要來源 / AwoooP 正式入口仍約 35-40%。 + ## 2026-05-24 | 資安供應鏈 S2.98:IwoooS 人工決策正式紀錄負責人指派決策準備包 **背景**:S2.97 已把正式紀錄負責人指派確認結果分流放進 IwoooS;本輪補上「可進人工指派決策前,要整理哪些資料包」的只讀準備層,避免使用者或 AwoooP 平行 Session 把可進決策誤認成已指派紀錄負責人、已建立正式紀錄、人工批准或執行命令。 diff --git a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md index d4875198f..032dce0dd 100644 --- a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md +++ b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md @@ -42,6 +42,7 @@ | IwoooS 正式紀錄負責人指派確認清單 | S2.96 已在 `/iwooos` 顯示人工決策正式紀錄負責人指派確認清單;檢查項=8、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;`owner_response_formal_record_owner_assignment_checklist_only=true`、`runtime_execution_authorized=false`、`active_runtime_gate_count=0`、`action_buttons_allowed=false`、`not_authorization=true`,仍不代表紀錄負責人指派、正式紀錄、人工批准、GitHub 主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | | IwoooS 正式紀錄負責人指派確認結果分流 | S2.97 已在 `/iwooos` 顯示人工決策正式紀錄負責人指派確認結果分流;分流=8、可進人工指派決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;`owner_response_formal_record_owner_assignment_outcome_only=true`、`runtime_execution_authorized=false`、`active_runtime_gate_count=0`、`action_buttons_allowed=false`、`not_authorization=true`,仍不代表紀錄負責人指派、正式紀錄、人工批准、GitHub 主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | | IwoooS 正式紀錄負責人指派決策準備包 | S2.98 已在 `/iwooos` 顯示人工決策正式紀錄負責人指派決策準備包;準備包=8、可進決策=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;`owner_response_formal_record_owner_assignment_decision_preparation_only=true`、`runtime_execution_authorized=false`、`active_runtime_gate_count=0`、`action_buttons_allowed=false`、`not_authorization=true`,仍不代表紀錄負責人指派、正式紀錄、人工批准、GitHub 主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | +| IwoooS 正式紀錄負責人指派決策檢查清單 | S2.99 已在 `/iwooos` 顯示人工決策正式紀錄負責人指派決策檢查清單;檢查項=8、通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;`owner_response_formal_record_owner_assignment_decision_checklist_only=true`、`runtime_execution_authorized=false`、`active_runtime_gate_count=0`、`action_buttons_allowed=false`、`not_authorization=true`,仍不代表紀錄負責人指派、正式紀錄、人工批准、GitHub 主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | | AwoooP approvals IwoooS owner response focus | S2.55 已把 S4.9-S4.12 owner response 下一個人工收件焦點放進 `/awooop/approvals` 只讀面板;received=0、accepted=0、active runtime gates=0、headline=58%、approval_record_created=false;仍不新增 approve、execute、deploy、primary switch、refs action 或 runtime gate | | AwoooP contracts IwoooS security contract candidate | S2.56 已把四個 security mirror contract refs 放進 `/awooop/contracts` 只讀面板;total contracts=36、ready=33、partial=2、active runtime gates=0、contract_publish_authorized=false;仍不發布 contract revision、不改 lifecycle、不寫 platform contracts API、不新增 action button | | AwoooP tenants IwoooS tenant scope candidate | S2.57 已把 AWOOOI first tenant、IwoooS security mirror、Kali 112 / Dev 168 / Dev 111 與 S4.9-S4.12 owner response waiting 放進 `/awooop/tenants` 只讀面板;host coverage=3、tenant policy changes=0、tenant_migration_mode_changed=false;仍不改 migration mode、不改 tenant policy、不寫 platform tenants API、不新增 action button | @@ -225,6 +226,7 @@ | S2.96 IwoooS 人工決策正式紀錄負責人指派確認清單 | framework detail | 0 | 只在 `/iwooos` 顯示人工決策正式紀錄負責人指派確認清單,呈現檢查項=8、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;owner_response_formal_record_owner_assignment_checklist_only=true、owner_response_formal_record_owner_assignment_authorized=false、owner_response_formal_record_write_authorized=false、owner_response_formal_record_approval_authorized=false、owner_response_formal_record_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把指派確認清單當紀錄負責人指派、正式紀錄、人工批准、審批紀錄、執行期閘門、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | | S2.97 IwoooS 人工決策正式紀錄負責人指派確認結果分流 | framework detail | 0 | 只在 `/iwooos` 顯示人工決策正式紀錄負責人指派確認結果分流,呈現分流=8、可進人工指派決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;owner_response_formal_record_owner_assignment_outcome_only=true、owner_response_formal_record_owner_assignment_authorized=false、owner_response_formal_record_write_authorized=false、owner_response_formal_record_approval_authorized=false、owner_response_formal_record_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把指派確認結果分流當紀錄負責人指派、正式紀錄、人工批准、審批紀錄、執行期閘門、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | | S2.98 IwoooS 人工決策正式紀錄負責人指派決策準備包 | framework detail | 0 | 只在 `/iwooos` 顯示人工決策正式紀錄負責人指派決策準備包,呈現準備包=8、可進決策=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;owner_response_formal_record_owner_assignment_decision_preparation_only=true、owner_response_formal_record_owner_assignment_authorized=false、owner_response_formal_record_write_authorized=false、owner_response_formal_record_approval_authorized=false、owner_response_formal_record_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把指派決策準備包當紀錄負責人指派、正式紀錄、人工批准、審批紀錄、執行期閘門、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | +| S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | framework detail | 0 | 只在 `/iwooos` 顯示人工決策正式紀錄負責人指派決策檢查清單,呈現檢查項=8、通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;owner_response_formal_record_owner_assignment_decision_checklist_only=true、owner_response_formal_record_owner_assignment_authorized=false、owner_response_formal_record_write_authorized=false、owner_response_formal_record_approval_authorized=false、owner_response_formal_record_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把指派決策檢查清單當紀錄負責人指派、正式紀錄、人工批准、審批紀錄、執行期閘門、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換、Gitea 停用、Kali / SSH / 主機更新或執行期授權 | headline 進度要再往上,至少需要下列任一高層 gate 有實質 evidence: diff --git a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md index db0be8505..de3cfa898 100644 --- a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md +++ b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md @@ -5,7 +5,7 @@ | 日期 | 2026-05-17 | | 狀態 | S0/S1 read-only evidence 建置中 | | 本階段完成 | 資安供應鏈 contract manifest + Source Control Approval Board + Draft Reconcile Plan + Ref Detail Diff + Ref Truth Classification + Source Control Ref Truth Owner Response 收件包 + GitHub Primary Readiness Gate + GitHub Primary Rollback ADR + GitHub Target Owner Decision Response 收件包 + Gitea 認證清冊匯出請求 + Gitea 認證清冊匯入驗收契約 + Gitea 清冊覆蓋 Owner Attestation + Gitea Owner Attestation Approval Lane 對齊 + Gitea Owner Attestation Response 收件包 + Workflow / Secret Name Inventory + Workflow / Secret Name Local Evidence + Workflow / Secret Name Redacted Export Request + Workflow / Secret Name Owner Response 收件包 + Source Control Owner Response Validation Rollup + Kali 112 live integration status + Security Finding contract + Kali scan scope approval package + Security Approval Queue + S3 人工批准 Gate + S3 人工決策紀錄 + S3 人工審查封包 + S3 人工決策狀態轉移 + S3 後續 runtime gate 準備契約 + 鏡像 readiness index + 鏡像接收計畫 + 鏡像事件信封 + 鏡像路由矩陣 + 鏡像驗收契約 + 鏡像隔離契約 + 鏡像 dry-run 報告契約 + 鏡像狀態彙整契約 + IwoooS 前端態勢入口 + IwoooS posture projection contract + IwoooS 既有前端資安頁面整合 + IwoooS 覆蓋與邊界矩陣 + IwoooS 只讀資安處理旅程 + IwoooS owner evidence readiness board + IwoooS host coverage view + IwoooS host action gate matrix + IwoooS host evidence readiness board + IwoooS host evidence collection order + IwoooS host evidence intake preflight + IwoooS host evidence review outcome lanes + IwoooS host evidence review handoff packets + IwoooS host evidence reviewer checklist + IwoooS host evidence reviewer outcome lanes + IwoooS host owner decision candidate packets + IwoooS host owner decision review checklist + IwoooS host owner decision review outcome lanes + IwoooS host owner decision record draft packets + IwoooS host owner decision record draft review checklist + IwoooS host owner decision record draft review outcome lanes + IwoooS host owner decision record write-up packets + IwoooS host owner decision record write-up review checklist + IwoooS host owner decision record write-up review outcome lanes + IwoooS host owner decision record formal candidate packets + IwoooS host owner decision record formal candidate review checklist + IwoooS host owner decision record formal candidate review outcome lanes + IwoooS host owner decision record formal record queue packets + IwoooS host owner decision record formal record queue review checklist + IwoooS host owner decision record formal record queue review outcome lanes + IwoooS host owner decision record human handoff readiness packets + IwoooS host owner decision record human handoff readiness review checklist + IwoooS host owner decision record human handoff readiness review outcome lanes + IwoooS host owner decision record human record owner review candidate packets + IwoooS host owner decision record human record owner review candidate checklist + IwoooS host owner decision record human record owner review candidate outcome lanes + IwoooS host owner decision record human record owner review preparation packets + IwoooS host owner decision record human record owner review preparation checklist + IwoooS progress acceleration lanes + IwoooS owner response next-action focus + IwoooS S4.9 owner response preflight + IwoooS S4.9 owner response request templates + IwoooS progress hold movement gates + IwoooS AwoooP read-only landing readiness + IwoooS AwoooP cross-session handoff packets + AwoooP 首頁 IwoooS 資安鏡像候選 + AwoooP 工作鏈路 IwoooS 資安鏡像候選 + AwoooP 審批佇列 IwoooS owner response 只讀焦點 | -| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 + IwoooS AwoooP 資安入口覆蓋狀態板 + IwoooS 階段式資安收斂節奏圖 + IwoooS 下一步人工收件作戰板 + IwoooS 人工回覆安全驗收閘道 + IwoooS 人工回覆審查結果分流 + IwoooS 人工決策準備佇列 + IwoooS 人工決策紀錄草稿防誤用 + IwoooS 人工決策正式紀錄負責人指派確認準備包 + IwoooS 人工決策正式紀錄負責人指派確認清單 + IwoooS 人工決策正式紀錄負責人指派確認結果分流 + IwoooS 人工決策正式紀錄負責人指派決策準備包 | +| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 + IwoooS AwoooP 資安入口覆蓋狀態板 + IwoooS 階段式資安收斂節奏圖 + IwoooS 下一步人工收件作戰板 + IwoooS 人工回覆安全驗收閘道 + IwoooS 人工回覆審查結果分流 + IwoooS 人工決策準備佇列 + IwoooS 人工決策紀錄草稿防誤用 + IwoooS 人工決策正式紀錄負責人指派確認準備包 + IwoooS 人工決策正式紀錄負責人指派確認清單 + IwoooS 人工決策正式紀錄負責人指派確認結果分流 + IwoooS 人工決策正式紀錄負責人指派決策準備包 + IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | | 原則 | 低摩擦分階段;文件、schema、read-only evidence 優先;不做 runtime enforcement、不切 primary | ## 0. 本階段完成後整體進度 @@ -28,7 +28,7 @@ python3 scripts/security/security-mirror-progress-guard.py ### 0.2 Headline 58% 不代表停滯 -近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.98 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 +近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.99 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready、AwoooP read-only landing。這五個 gate 目前仍全部是 0 / false,所以 headline 不應被灌水提高。 @@ -161,6 +161,7 @@ S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner respons | S2.96 IwoooS 人工決策正式紀錄負責人指派確認清單 | 已完成草案,在 `/iwooos` 顯示八個人工決策正式紀錄負責人指派確認檢查項、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派確認清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 | 0 | | S2.97 IwoooS 人工決策正式紀錄負責人指派確認結果分流 | 已完成草案,在 `/iwooos` 顯示八條人工決策正式紀錄負責人指派確認結果分流、可進人工指派決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派確認結果分流當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 | 0 | | S2.98 IwoooS 人工決策正式紀錄負責人指派決策準備包 | 已完成草案,在 `/iwooos` 顯示八個人工決策正式紀錄負責人指派決策準備包、可進決策=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派決策準備包當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 | 0 | +| S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | 已完成草案,在 `/iwooos` 顯示八個人工決策正式紀錄負責人指派決策檢查項、通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派決策檢查清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 | 0 | headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner response 收到並通過脫敏驗收,或人工批准後出現 active runtime gate、redacted payload ingestion、GitHub primary readiness 這類落地 evidence。 @@ -278,6 +279,7 @@ headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner respons | S2.96 IwoooS 人工決策正式紀錄負責人指派確認清單 | 完成草案 | `/iwooos` 新增正式紀錄負責人指派確認清單看板,顯示指派身分可讀檢查、負責人範圍有效檢查、權責邊界可讀檢查、證據追溯可讀檢查、審查結果引用檢查、代理與備援說明檢查、變更要求拒收檢查、執行與主要來源分離檢查八個確認檢查 | 使用者與另一個 AwoooP Session 能理解指派確認仍只是人工檢查清單;確認清單仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.97 IwoooS 人工決策正式紀錄負責人指派確認結果分流 | 完成草案 | `/iwooos` 新增正式紀錄負責人指派確認結果分流看板,顯示維持指派確認等待、要求身分說明補齊、要求負責人範圍更新、要求權責邊界修正、可進人工指派決策、隔離敏感載荷、拒收變更要求、另開執行或主要來源閘門八條結果分流 | 使用者與另一個 AwoooP Session 能理解指派確認清單後只會進入只讀結果分流;結果分流仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.98 IwoooS 人工決策正式紀錄負責人指派決策準備包 | 完成草案 | `/iwooos` 新增正式紀錄負責人指派決策準備包看板,顯示結果分流追溯包、負責人身分包、範圍快照包、權責邊界包、證據審查包、隔離與例外包、變更拒收包、執行與主要來源閘門包八個準備包 | 使用者與另一個 AwoooP Session 能理解可進人工指派決策前仍只是資料準備;準備包仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | +| S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | 完成草案 | `/iwooos` 新增正式紀錄負責人指派決策檢查清單看板,顯示決策追溯可讀檢查、負責人身分可確認檢查、範圍快照有效檢查、權責邊界已檢查、證據鏈可讀檢查、隔離與例外已檢查、變更拒收已檢查、執行與主要來源分離檢查八個檢查項 | 使用者與另一個 AwoooP Session 能理解指派決策前仍只是人工檢查清單;檢查清單仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S3 approval gate | 進行中 | `security_approval_gate_v1` 已建立 8 個人工 gate items:7 pending、1 block candidate、0 approved | 不得繞過人工批准;批准後仍需 follow-up runtime gate | | S3.0 人工批准 Gate 契約 | 完成草案 | 定義批准範圍、決策選項、required reviewers、still forbidden 與 follow-up runtime gate | AwoooP 可記錄決策,不可執行 gate item | | S3.1 人工決策紀錄契約 | 完成草案 | `security_approval_decision_record_v1` 已建立;目前 0 筆 decision records、0 個 runtime action 授權 | AwoooP 可稽核決策,不可把決策當執行 | diff --git a/docs/security/security-mirror-status-rollup.snapshot.json b/docs/security/security-mirror-status-rollup.snapshot.json index d7917031c..37cae0409 100644 --- a/docs/security/security-mirror-status-rollup.snapshot.json +++ b/docs/security/security-mirror-status-rollup.snapshot.json @@ -1646,6 +1646,18 @@ "runtime_delta": false, "execution_authorized": false, "not_authorization": true + }, + { + "delta_id": "s2_99_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board", + "display_order": 128, + "completed_stage": "S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單", + "progress_axis": "framework_detail", + "headline_percent_delta": 0, + "framework_delta_visible": true, + "why_headline_unchanged": "IwoooS 只新增人工決策正式紀錄負責人指派決策檢查清單看板,顯示 8 個只讀檢查項:決策追溯可讀檢查、負責人身分可確認檢查、範圍快照有效檢查、權責邊界已檢查、證據鏈可讀檢查、隔離與例外已檢查、變更拒收已檢查、執行與主要來源分離檢查,並固定通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;owner_response_formal_record_owner_assignment_decision_checklist_only=true、owner_response_formal_record_owner_assignment_authorized=false、owner_response_formal_record_write_authorized=false、owner_response_formal_record_approval_authorized=false、owner_response_formal_record_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false,不把指派決策檢查清單當紀錄負責人指派、正式紀錄、人工批准、審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定、主要來源切換或執行期授權。", + "runtime_delta": false, + "execution_authorized": false, + "not_authorization": true } ], "next_safe_actions": [ @@ -2370,6 +2382,22 @@ "從正式紀錄負責人指派決策準備包呼叫 Kali、開 SSH、更新主機、切 GitHub 主要來源、停用 Gitea、收機密明文值或開執行期閘門" ] }, + { + "action_id": "show_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board", + "title": "IwoooS 顯示人工決策正式紀錄負責人指派決策檢查清單", + "mode": "observe", + "source_contract": "source_control_owner_response_validation_rollup_v1", + "allowed_processing": [ + "在 /iwooos 顯示 S2.99 人工決策正式紀錄負責人指派決策檢查清單", + "顯示決策追溯可讀檢查、負責人身分可確認檢查、範圍快照有效檢查、權責邊界已檢查、證據鏈可讀檢查、隔離與例外已檢查、變更拒收已檢查、執行與主要來源分離檢查八個只讀檢查項", + "只讓人工知道指派決策前需要逐項檢查哪些條件,不自動指派紀錄負責人、不建立正式紀錄、不批准、不建立執行期閘門" + ], + "blocked_processing": [ + "把正式紀錄負責人指派決策檢查清單當成人工批准、正式決策、審批紀錄、紀錄負責人指派或已接受回覆", + "從正式紀錄負責人指派決策檢查清單建立專案庫、改可見性、同步 / 刪除 / 強制推送分支或標籤參照,或修改工作流程 / 機密設定", + "從正式紀錄負責人指派決策檢查清單呼叫 Kali、開 SSH、更新主機、切 GitHub 主要來源、停用 Gitea、收機密明文值或開執行期閘門" + ] + }, { "action_id": "enforce_traditional_chinese_security_surface_wording", "title": "IwoooS / AwoooP 資安可視區塊維持繁體中文呈現", diff --git a/scripts/security/security-mirror-progress-guard.py b/scripts/security/security-mirror-progress-guard.py index 89e092568..ffa95412f 100755 --- a/scripts/security/security-mirror-progress-guard.py +++ b/scripts/security/security-mirror-progress-guard.py @@ -347,6 +347,7 @@ def validate(root: Path) -> None: "s2_96_iwooos_owner_response_formal_record_owner_assignment_checklist_board", "s2_97_iwooos_owner_response_formal_record_owner_assignment_outcome_board", "s2_98_iwooos_owner_response_formal_record_owner_assignment_decision_preparation_board", + "s2_99_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board", ] assert_equal( "progress_delta_ledger.delta_ids", @@ -596,6 +597,11 @@ def validate(root: Path) -> None: [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], "show_iwooos_owner_response_formal_record_owner_assignment_decision_preparation_board", ) + assert_contains( + "rollup.next_safe_actions.action_ids", + [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], + "show_iwooos_owner_response_formal_record_owner_assignment_decision_checklist_board", + ) assert_contains( "rollup.next_safe_actions.action_ids", [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], @@ -7341,6 +7347,50 @@ def validate(root: Path) -> None: iwooos_projection_page, text, ) + assert_text_contains( + "iwooos_page.owner_response_formal_record_owner_assignment_decision_checklist_items", + iwooos_projection_page, + "ownerResponseFormalRecordOwnerAssignmentDecisionChecklistItems", + ) + assert_text_contains( + "iwooos_page.owner_response_formal_record_owner_assignment_decision_checklist_testid", + iwooos_projection_page, + 'data-testid="iwooos-owner-response-formal-record-owner-assignment-decision-checklist-board"', + ) + assert_text_contains( + "iwooos_page.owner_response_formal_record_owner_assignment_decision_checklist_component", + iwooos_projection_page, + "OwnerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard", + ) + for text in [ + "owner_response_formal_record_owner_assignment_decision_check_count=8", + "owner_response_formal_record_owner_assignment_decision_check_passed_count=0", + "owner_response_formal_record_owner_assignment_decision_created_count=0", + "owner_response_formal_record_owner_assigned_count=0", + "owner_response_formal_record_created_count=0", + "owner_response_formal_record_approved_count=0", + "owner_response_formal_record_runtime_gate_count=0", + "owner_response_formal_record_owner_assignment_decision_checklist_only=true", + "owner_response_formal_record_owner_assignment_authorized=false", + "owner_response_formal_record_write_authorized=false", + "owner_response_formal_record_approval_authorized=false", + "owner_response_formal_record_execution_authorized=false", + "runtime_execution_authorized=false", + "active_runtime_gate_count=0", + "action_buttons_allowed=false", + "not_authorization=true", + "secret_value_collection_allowed=false", + "repo_creation_authorized=false", + "refs_sync_authorized=false", + "workflow_modification_authorized=false", + "github_primary_switch_authorized=false", + "gitea_disablement_authorized=false", + ]: + assert_text_contains( + "iwooos_page.owner_response_formal_record_owner_assignment_decision_checklist_boundary", + iwooos_projection_page, + text, + ) for key in [ "title", "subtitle", @@ -8331,6 +8381,57 @@ def validate(root: Path) -> None: list(web_messages_en["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionPreparationBoard"]["items"].keys()), key, ) + for key in [ + "title", + "subtitle", + "checkLabel", + "confirmationLabel", + "guardLabel", + "boundaryTitle", + "summary", + "items", + ]: + assert_contains( + "web_messages.zh-TW.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard", + list(web_messages_zh["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard", + list(web_messages_en["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"].keys()), + key, + ) + for key in ["checks", "passed", "decisions", "runtime"]: + assert_contains( + "web_messages.zh-TW.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard.summary", + list(web_messages_zh["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"]["summary"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard.summary", + list(web_messages_en["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"]["summary"].keys()), + key, + ) + for key in [ + "decisionTraceReadable", + "ownerIdentityConfirmable", + "scopeSnapshotCurrent", + "authorityBoundaryChecked", + "evidenceChainReadable", + "quarantineExceptionChecked", + "mutationRejectionChecked", + "runtimePrimarySeparated", + ]: + assert_contains( + "web_messages.zh-TW.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard.items", + list(web_messages_zh["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"]["items"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard.items", + list(web_messages_en["iwooos"]["ownerResponseFormalRecordOwnerAssignmentDecisionChecklistBoard"]["items"].keys()), + key, + ) owner_summary = owner_rollup["summary"] assert_equal("owner_rollup.total_received_response_count", owner_summary["total_received_response_count"], 0)