diff --git a/apps/web/messages/en.json b/apps/web/messages/en.json index c013086f9..5c29ad4f0 100644 --- a/apps/web/messages/en.json +++ b/apps/web/messages/en.json @@ -2943,6 +2943,70 @@ } } }, + "securityConvergenceRoadmap": { + "title": "階段式資安收斂節奏", + "subtitle": "把目前的收斂策略明確寫在 IwoooS:初期先做可視化與提醒,不直接阻擋;等負責人回覆、脫敏證據、人工審查、回滾條件與後驗證都齊全,再分階段收緊。", + "movementLabel": "推進條件", + "guardLabel": "仍不會做", + "boundaryTitle": "逐步收緊仍維持的保護線", + "summary": { + "mode": { + "label": "目前節奏", + "value": "先可視", + "detail": "初期只做觀察與提醒,不直接阻擋產品流程。" + }, + "coverage": { + "label": "入口覆蓋", + "detail": "AwoooP 8 個實際入口已可見資安邊界。" + }, + "accepted": { + "label": "已接受回覆", + "detail": "S4.9-S4.12 仍是 0;不能把看板當收件完成。" + }, + "runtime": { + "label": "執行期閘門", + "detail": "仍為 0;所有執行仍要獨立人工批准。" + } + }, + "items": { + "visibilityFirst": { + "title": "先建立可視框架", + "body": "AwoooP 8 個入口已能看到 IwoooS 邊界與目前狀態,讓使用者知道資安網正在形成。", + "movement": "下一步是把覆蓋狀態與負責人回覆缺口保持同步,不急著阻擋。", + "guard": "不把入口覆蓋當成審批、執行、阻擋或落地授權。" + }, + "ownerResponse": { + "title": "等待負責人回覆", + "body": "22 個回覆範本仍等待脫敏回覆;這是後續真正收緊前的第一個高層門檻。", + "movement": "收到並通過驗收後,才重新評估下一輪收斂幅度。", + "guard": "不把請求已準備好當成已收到或已接受。" + }, + "redactedEvidence": { + "title": "收脫敏證據", + "body": "目前沒有匯入 payload;後續只能先收可驗證、可隔離、可回溯的脫敏證據。", + "movement": "schema、遮罩、來源、隔離與拒收規則都通過後,才進入下一步。", + "guard": "不收機密明文值、不保存 token value、不直接改外部系統。" + }, + "humanDecision": { + "title": "人工審查後再升級", + "body": "資安收斂要經過人工審查與風險分級,避免初期把 LOW / MEDIUM 訊號直接變成阻擋。", + "movement": "人工決策、範圍、維護窗口、回滾與後驗證條件齊全才升級。", + "guard": "不讓單一看板或進度數字自動提高限制。" + }, + "runtimeGate": { + "title": "最後才開執行期閘門", + "body": "目前主動執行期閘門仍為 0;任何 Kali、SSH、主機更新或修復都還在獨立批准之外。", + "movement": "只有人工批准、範圍、回滾與後驗證完整時,才另開執行期閘門。", + "guard": "不從 IwoooS 前端建立掃描、執行、修復或主機更新動作。" + }, + "sourceControlCutover": { + "title": "主要來源切換排最後", + "body": "GitHub 主要來源、Gitea 停用、分支 / 標籤參照與工作流程 / 機密設定仍全部等待負責人證據。", + "movement": "至少一批專案庫完成目標、分支 / 標籤、工作流程 / 機密名稱與回滾就緒後才重估。", + "guard": "不建立專案庫、不改可見性、不同步參照、不切主要來源、不停用 Gitea。" + } + } + }, "awooopReadOnlyLandingReadiness": { "title": "AwoooP Read-Only Landing Readiness", "subtitle": "S2.51 turns the AwoooP main-line read-only consumption path for IwoooS / security mirror state into an intake readiness board. This is landing readiness, not production_landing_enabled, and it does not connect an execution router.", diff --git a/apps/web/messages/zh-TW.json b/apps/web/messages/zh-TW.json index a0f13ba39..e46984794 100644 --- a/apps/web/messages/zh-TW.json +++ b/apps/web/messages/zh-TW.json @@ -2944,6 +2944,70 @@ } } }, + "securityConvergenceRoadmap": { + "title": "階段式資安收斂節奏", + "subtitle": "把目前的收斂策略明確寫在 IwoooS:初期先做可視化與提醒,不直接阻擋;等負責人回覆、脫敏證據、人工審查、回滾條件與後驗證都齊全,再分階段收緊。", + "movementLabel": "推進條件", + "guardLabel": "仍不會做", + "boundaryTitle": "逐步收緊仍維持的保護線", + "summary": { + "mode": { + "label": "目前節奏", + "value": "先可視", + "detail": "初期只做觀察與提醒,不直接阻擋產品流程。" + }, + "coverage": { + "label": "入口覆蓋", + "detail": "AwoooP 8 個實際入口已可見資安邊界。" + }, + "accepted": { + "label": "已接受回覆", + "detail": "S4.9-S4.12 仍是 0;不能把看板當收件完成。" + }, + "runtime": { + "label": "執行期閘門", + "detail": "仍為 0;所有執行仍要獨立人工批准。" + } + }, + "items": { + "visibilityFirst": { + "title": "先建立可視框架", + "body": "AwoooP 8 個入口已能看到 IwoooS 邊界與目前狀態,讓使用者知道資安網正在形成。", + "movement": "下一步是把覆蓋狀態與負責人回覆缺口保持同步,不急著阻擋。", + "guard": "不把入口覆蓋當成審批、執行、阻擋或落地授權。" + }, + "ownerResponse": { + "title": "等待負責人回覆", + "body": "22 個回覆範本仍等待脫敏回覆;這是後續真正收緊前的第一個高層門檻。", + "movement": "收到並通過驗收後,才重新評估下一輪收斂幅度。", + "guard": "不把請求已準備好當成已收到或已接受。" + }, + "redactedEvidence": { + "title": "收脫敏證據", + "body": "目前沒有匯入 payload;後續只能先收可驗證、可隔離、可回溯的脫敏證據。", + "movement": "schema、遮罩、來源、隔離與拒收規則都通過後,才進入下一步。", + "guard": "不收機密明文值、不保存 token value、不直接改外部系統。" + }, + "humanDecision": { + "title": "人工審查後再升級", + "body": "資安收斂要經過人工審查與風險分級,避免初期把 LOW / MEDIUM 訊號直接變成阻擋。", + "movement": "人工決策、範圍、維護窗口、回滾與後驗證條件齊全才升級。", + "guard": "不讓單一看板或進度數字自動提高限制。" + }, + "runtimeGate": { + "title": "最後才開執行期閘門", + "body": "目前主動執行期閘門仍為 0;任何 Kali、SSH、主機更新或修復都還在獨立批准之外。", + "movement": "只有人工批准、範圍、回滾與後驗證完整時,才另開執行期閘門。", + "guard": "不從 IwoooS 前端建立掃描、執行、修復或主機更新動作。" + }, + "sourceControlCutover": { + "title": "主要來源切換排最後", + "body": "GitHub 主要來源、Gitea 停用、分支 / 標籤參照與工作流程 / 機密設定仍全部等待負責人證據。", + "movement": "至少一批專案庫完成目標、分支 / 標籤、工作流程 / 機密名稱與回滾就緒後才重估。", + "guard": "不建立專案庫、不改可見性、不同步參照、不切主要來源、不停用 Gitea。" + } + } + }, "awooopReadOnlyLandingReadiness": { "title": "AwoooP 只讀接入就緒度", "subtitle": "S2.51 把 AwoooP 主線要如何只讀消費 IwoooS / 資安鏡像狀態整理成接入準備面板。這是接入就緒度,不是 production landing enabled,也不接 execution router。", diff --git a/apps/web/src/app/[locale]/iwooos/page.tsx b/apps/web/src/app/[locale]/iwooos/page.tsx index d49df00a0..70a2ba092 100644 --- a/apps/web/src/app/[locale]/iwooos/page.tsx +++ b/apps/web/src/app/[locale]/iwooos/page.tsx @@ -123,6 +123,14 @@ type AwoooPCoverageStatus = { tone: 'steady' | 'warn' | 'locked' } +type SecurityConvergenceStep = { + key: string + step: string + value: string + icon: typeof ShieldCheck + tone: 'steady' | 'warn' | 'locked' +} + type CoverageGroup = { key: string count: string @@ -518,6 +526,30 @@ const awooopCoverageBoundaries = [ 'gitea_disablement_authorized=false', ] +const securityConvergenceSteps: SecurityConvergenceStep[] = [ + { key: 'visibilityFirst', step: 'R1', value: '8/8', icon: SearchCheck, tone: 'steady' }, + { key: 'ownerResponse', step: 'R2', value: '0/22', icon: ClipboardCheck, tone: 'warn' }, + { key: 'redactedEvidence', step: 'R3', value: '0', icon: FileText, tone: 'warn' }, + { key: 'humanDecision', step: 'R4', value: '0', icon: ListChecks, tone: 'warn' }, + { key: 'runtimeGate', step: 'R5', value: '0', icon: Lock, tone: 'locked' }, + { key: 'sourceControlCutover', step: 'R6', value: '0', icon: GitBranch, tone: 'locked' }, +] + +const securityConvergenceBoundaries = [ + 'phase_tightening_mode=gradual', + 'initial_enforcement_level=observe_warn_only', + 'blocking_controls_enabled=false', + 'runtime_execution_authorized=false', + 'active_runtime_gate_count=0', + 'action_buttons_allowed=false', + 'owner_response_required_before_blocking=true', + 'not_authorization=true', + 'kali_execute_authorized=false', + 'host_update_authorized=false', + 'github_primary_switch_authorized=false', + 'gitea_disablement_authorized=false', +] + const coverageGroups: CoverageGroup[] = [ { key: 'signals', @@ -1504,6 +1536,125 @@ function AwoooPCoverageBoard({ locale }: { locale: string }) { ) } +function SecurityConvergenceStepCard({ item }: { item: SecurityConvergenceStep }) { + const t = useTranslations('iwooos.securityConvergenceRoadmap') + const Icon = item.icon + const textWrap = { overflowWrap: 'anywhere' as const, wordBreak: 'break-word' as const } + return ( +
+
+
+ + {item.step} +
+ + {item.value} + +
+

+ {t(`items.${item.key}.title` as never)} +

+

+ {t(`items.${item.key}.body` as never)} +

+
+ {t('movementLabel')} + + {t(`items.${item.key}.movement` as never)} + + {t('guardLabel')} + + {t(`items.${item.key}.guard` as never)} + +
+
+ ) +} + +function SecurityConvergenceRoadmapBoard() { + const t = useTranslations('iwooos.securityConvergenceRoadmap') + const summaryItems = [ + { key: 'mode', value: t('summary.mode.value'), tone: 'steady' as const }, + { key: 'coverage', value: '8/8', tone: 'steady' as const }, + { key: 'accepted', value: '0', tone: 'warn' as const }, + { key: 'runtime', value: '0', tone: 'locked' as const }, + ] + return ( +
+
+

{t('title')}

+

+ {t('subtitle')} +

+
+
+ {summaryItems.map(item => ( +
+
+ {t(`summary.${item.key}.label` as never)} + +
+
+ {item.value} +
+

+ {t(`summary.${item.key}.detail` as never)} +

+
+ ))} +
+
+ {securityConvergenceSteps.map(item => ( + + ))} +
+
+
+ +

{t('boundaryTitle')}

+
+
+ {securityConvergenceBoundaries.map(item => ( + + {item} + + ))} +
+
+
+ ) +} + function CoverageCard({ item }: { item: CoverageGroup }) { const t = useTranslations('iwooos.coverage') const Icon = item.icon @@ -2635,6 +2786,8 @@ export default function IwoooSPage({ params }: { params: { locale: string } }) { + +

{t('awooopReadOnlyLandingReadiness.title')}

diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index 998af87ac..cf0ab8cd1 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -1,3 +1,17 @@ +## 2026-05-21 | 資安供應鏈 S2.81:IwoooS 階段式資安收斂節奏圖 + +**背景**:統帥多次提醒初期不要把資安限制拉得太高,否則會讓產品、架構與流程變複雜。S2.80 已把 AwoooP 8 個入口覆蓋狀態集中呈現;本輪把「先可視、再收件、再人工審查、最後才開執行期閘門」的收斂節奏放進 IwoooS,讓使用者理解資安網會慢慢收攏,而不是突然阻擋。 + +**完成**: +- `/iwooos` 新增「階段式資安收斂節奏」看板,顯示先建立可視框架、等待負責人回覆、收脫敏證據、人工審查後再升級、最後才開執行期閘門、主要來源切換排最後六個步驟。 +- 看板固定顯示入口覆蓋 8/8、已接受回覆=0、執行期閘門=0,並明確標示 `initial_enforcement_level=observe_warn_only`、`blocking_controls_enabled=false`。 +- `security_mirror_status_rollup_v1` 新增 `s2_81_iwooos_gradual_convergence_roadmap` 與 `show_iwooos_gradual_convergence_roadmap`。 +- `security-mirror-progress-guard.py` 已納入收斂節奏看板、i18n 鍵、六個收斂步驟與 `false` 邊界檢查。 + +**仍禁止**: +- S2.81 是 IwoooS 只讀收斂節奏,不代表阻擋型控制已啟用、負責人回覆已收到 / 已接受、資安審批、Kali `/execute`、SSH 登入、主機更新、掃描 / 執行 / 修復、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、機密明文值收集、GitHub 主要來源切換、Gitea 停用或執行期閘門。 +- 整體資安網百分比仍是 58%;框架 / 治理 / 文件 / 結構定義 / 只讀證據仍約 80-85%;真正落地執行 / 執行期匯入 / GitHub 主要來源 / AwoooP 正式入口仍約 35-40%。 + ## 2026-05-21 | 資安供應鏈 S2.80:IwoooS AwoooP 資安入口覆蓋狀態板 **背景**:S2.72-S2.79 已把負責人回覆驗收邊界分別放進 AwoooP 首頁、工作鏈路、合約、租戶、執行監控、執行詳情、審批佇列與審批決策;但使用者需要在 IwoooS 有一個集中入口,清楚看見「哪些 AwoooP 頁面已被資安網納管」,而不是只能逐頁感覺零散進度。 diff --git a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md index 5a0c2a035..578b562f1 100644 --- a/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md +++ b/docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md @@ -62,6 +62,7 @@ | AwoooP 執行詳情負責人回覆驗收詳情邊界 | S2.78 已在 `/awooop/runs/[run_id]` 顯示負責人回覆驗收詳情邊界;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0、8 個顯示區塊;仍不把詳情邊界當成已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、執行路由器、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | | AwoooP 審批決策負責人回覆驗收審批邊界 | S2.79 已在 `/awooop/approvals/[run_id]` 顯示負責人回覆驗收審批邊界;S4.13 驗收彙整與 S4.9-S4.12 四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0、8 個顯示區塊;仍不把審批決策當成已收到 / 已接受、負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | | IwoooS AwoooP 資安入口覆蓋狀態板 | S2.80 已在 `/iwooos` 顯示 AwoooP 8 個實際入口覆蓋狀態;AwoooP 入口=8、已可見覆蓋=8、執行期閘門=0、執行按鈕=0;仍不把入口覆蓋當成負責人回覆已收到 / 已接受、資安審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門 | +| IwoooS 階段式資安收斂節奏圖 | S2.81 已在 `/iwooos` 顯示初期先可視、只提醒、不阻擋的收斂節奏;六個步驟為可視框架、負責人回覆、脫敏證據、人工審查、執行期閘門、主要來源切換;仍不啟用阻擋型控制、不開執行期閘門、不呼叫 Kali / SSH / 主機更新、不建立專案庫、不改分支 / 標籤參照、不改工作流程 / 機密設定、不切主要來源、不停用 Gitea | | Dry-run | `contract_defined_not_executed`;已納入 `CHECK_PROGRESS_GUARD` 與 `CHECK_OWNER_RESPONSE_GUARD`,latest local validation 為 `repo_snapshot_guard_pass`,仍不代表 production ingestion | | Runtime actions | `false` | | Payload ingestion | `false` | @@ -189,6 +190,7 @@ | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | framework detail | 0 | 只在 `/awooop/runs/[run_id]` 顯示負責人回覆驗收詳情邊界,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、驗收執行=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、run_detail_owner_response_linked=false、run_detail_approval_record_created=false、mcp_execution_authorized=false、remediation_execution_authorized=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不建立審批紀錄、不啟動 MCP 或補救、不建立平台執行、不接執行路由器、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | | S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | framework detail | 0 | 只在 `/awooop/approvals/[run_id]` 顯示負責人回覆驗收審批邊界,呈現四包、範本=22、已收到=0、已接受=0、已拒收=0、審批接受=0、顯示區塊=8、S4.13 與 S4.9-S4.12 五個來源參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、approval_decision_owner_response_linked=false、owner_response_acceptance_authorized=false、security_approval_record_created=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把審批決策當負責人回覆接受、不建立 GitHub 專案庫、不改可見性、不同步 / 刪除 / 強制推送分支或標籤參照、不改工作流程 / 機密設定、不收機密明文值、不切主要來源、不停用 Gitea | | S2.80 IwoooS AwoooP 資安入口覆蓋狀態板 | framework detail | 0 | 只在 `/iwooos` 顯示 AwoooP 8 個實際入口與 8 個已可見覆蓋,呈現 `/awooop`、`/awooop/work-items`、`/awooop/contracts`、`/awooop/tenants`、`/awooop/runs`、`/awooop/runs/[run_id]`、`/awooop/approvals`、`/awooop/approvals/[run_id]` 對應 S2.72-S2.79;awooop_route_coverage_count=8、awooop_route_coverage_visible_count=8、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true,不把入口覆蓋當負責人回覆已收到 / 已接受、審批、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換或執行期授權 | +| S2.81 IwoooS 階段式資安收斂節奏圖 | framework detail | 0 | 只在 `/iwooos` 顯示初期先可視、只提醒、不阻擋的逐步收斂路線,呈現可視框架=8/8、負責人回覆=0/22、脫敏證據=0、人工決策=0、執行期閘門=0、主要來源切換=0;phase_tightening_mode=gradual、initial_enforcement_level=observe_warn_only、blocking_controls_enabled=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、owner_response_required_before_blocking=true、not_authorization=true,不把收斂節奏圖當阻擋型控制、Kali / SSH / 主機更新、專案庫建立、分支 / 標籤參照同步、工作流程 / 機密設定修改、主要來源切換、Gitea 停用或執行期授權 | headline 進度要再往上,至少需要下列任一高層 gate 有實質 evidence: diff --git a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md index 0f361cd83..5cb347a66 100644 --- a/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md +++ b/docs/security/SECURITY-SUPPLY-CHAIN-PROGRESS.md @@ -5,7 +5,7 @@ | 日期 | 2026-05-17 | | 狀態 | S0/S1 read-only evidence 建置中 | | 本階段完成 | 資安供應鏈 contract manifest + Source Control Approval Board + Draft Reconcile Plan + Ref Detail Diff + Ref Truth Classification + Source Control Ref Truth Owner Response 收件包 + GitHub Primary Readiness Gate + GitHub Primary Rollback ADR + GitHub Target Owner Decision Response 收件包 + Gitea 認證清冊匯出請求 + Gitea 認證清冊匯入驗收契約 + Gitea 清冊覆蓋 Owner Attestation + Gitea Owner Attestation Approval Lane 對齊 + Gitea Owner Attestation Response 收件包 + Workflow / Secret Name Inventory + Workflow / Secret Name Local Evidence + Workflow / Secret Name Redacted Export Request + Workflow / Secret Name Owner Response 收件包 + Source Control Owner Response Validation Rollup + Kali 112 live integration status + Security Finding contract + Kali scan scope approval package + Security Approval Queue + S3 人工批准 Gate + S3 人工決策紀錄 + S3 人工審查封包 + S3 人工決策狀態轉移 + S3 後續 runtime gate 準備契約 + 鏡像 readiness index + 鏡像接收計畫 + 鏡像事件信封 + 鏡像路由矩陣 + 鏡像驗收契約 + 鏡像隔離契約 + 鏡像 dry-run 報告契約 + 鏡像狀態彙整契約 + IwoooS 前端態勢入口 + IwoooS posture projection contract + IwoooS 既有前端資安頁面整合 + IwoooS 覆蓋與邊界矩陣 + IwoooS 只讀資安處理旅程 + IwoooS owner evidence readiness board + IwoooS host coverage view + IwoooS host action gate matrix + IwoooS host evidence readiness board + IwoooS host evidence collection order + IwoooS host evidence intake preflight + IwoooS host evidence review outcome lanes + IwoooS host evidence review handoff packets + IwoooS host evidence reviewer checklist + IwoooS host evidence reviewer outcome lanes + IwoooS host owner decision candidate packets + IwoooS host owner decision review checklist + IwoooS host owner decision review outcome lanes + IwoooS host owner decision record draft packets + IwoooS host owner decision record draft review checklist + IwoooS host owner decision record draft review outcome lanes + IwoooS host owner decision record write-up packets + IwoooS host owner decision record write-up review checklist + IwoooS host owner decision record write-up review outcome lanes + IwoooS host owner decision record formal candidate packets + IwoooS host owner decision record formal candidate review checklist + IwoooS host owner decision record formal candidate review outcome lanes + IwoooS host owner decision record formal record queue packets + IwoooS host owner decision record formal record queue review checklist + IwoooS host owner decision record formal record queue review outcome lanes + IwoooS host owner decision record human handoff readiness packets + IwoooS host owner decision record human handoff readiness review checklist + IwoooS host owner decision record human handoff readiness review outcome lanes + IwoooS host owner decision record human record owner review candidate packets + IwoooS host owner decision record human record owner review candidate checklist + IwoooS host owner decision record human record owner review candidate outcome lanes + IwoooS host owner decision record human record owner review preparation packets + IwoooS host owner decision record human record owner review preparation checklist + IwoooS progress acceleration lanes + IwoooS owner response next-action focus + IwoooS S4.9 owner response preflight + IwoooS S4.9 owner response request templates + IwoooS progress hold movement gates + IwoooS AwoooP read-only landing readiness + IwoooS AwoooP cross-session handoff packets + AwoooP 首頁 IwoooS 資安鏡像候選 + AwoooP 工作鏈路 IwoooS 資安鏡像候選 + AwoooP 審批佇列 IwoooS owner response 只讀焦點 | -| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 + IwoooS AwoooP 資安入口覆蓋狀態板 | +| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 + IwoooS AwoooP 資安入口覆蓋狀態板 + IwoooS 階段式資安收斂節奏圖 | | 原則 | 低摩擦分階段;文件、schema、read-only evidence 優先;不做 runtime enforcement、不切 primary | ## 0. 本階段完成後整體進度 @@ -28,7 +28,7 @@ python3 scripts/security/security-mirror-progress-guard.py ### 0.2 Headline 58% 不代表停滯 -近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.80 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 +近期 S4.10 請求包、範本狀態台帳、稽核事件範本、脫敏範例、收件檢查、收件預檢,S4.11 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.12 請求包 / 範本狀態台帳 / 稽核事件範本 / 脫敏範例 / 收件檢查 / 收件預檢,S4.13 證據路由規則 / 顯示區塊 / 狀態轉移規則 / 審查清單 / 審查結果分流 / 審查稽核事件範本 / 審查稽核顯示區塊 / 審查稽核收件檢查 / 審查稽核脫敏範例 / 審查稽核保留規則 / 審查稽核保留檢查 / 審查稽核交接包 / 交接檢查 / 平行 Session 同步檢查 / 衝突分流 / 復原檢查 / 復原結果分流,S1.3 低摩擦非阻擋升級分流、S2.8 IwoooS 前端態勢入口,以及 S2.9-S2.81 IwoooS / AwoooP 資安投影契約都是有效進展,但它們是框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒。因此整體百分比仍維持 58%,避免把只讀框架誤算成已落地執行。 S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready、AwoooP read-only landing。這五個 gate 目前仍全部是 0 / false,所以 headline 不應被灌水提高。 @@ -143,6 +143,7 @@ S2.50 也把「為什麼 58% 還不動」拆成五個可見 gate:owner respons | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 已完成草案,在 `/awooop/runs/[run_id]` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0 與 8 個顯示區塊;仍不把詳情邊界當成已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、主要來源切換或執行期閘門 | 0 | | S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 已完成草案,在 `/awooop/approvals/[run_id]` 顯示 S4.13 驗收彙整、四個來源收件包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0 與 8 個顯示區塊;仍不把審批決策當成已收到 / 已接受、負責人回覆接受、主要來源切換或執行期閘門 | 0 | | S2.80 IwoooS AwoooP 資安入口覆蓋狀態板 | 已完成草案,在 `/iwooos` 顯示 AwoooP 8 個實際入口、8 個已可見覆蓋、執行期閘門=0、執行按鈕=0,並把 S2.72-S2.79 的入口覆蓋集中成可讀地圖;仍不把入口覆蓋當成已收到 / 已接受、審批、主要來源切換或執行期閘門 | 0 | +| S2.81 IwoooS 階段式資安收斂節奏圖 | 已完成草案,在 `/iwooos` 顯示初期先可視、只提醒、不阻擋的六步收斂路線;仍不把節奏圖當成阻擋型控制、Kali / SSH / 主機更新、主要來源切換或執行期閘門 | 0 | headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner response 收到並通過脫敏驗收,或人工批准後出現 active runtime gate、redacted payload ingestion、GitHub primary readiness 這類落地 evidence。 @@ -242,6 +243,7 @@ headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner respons | S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 完成草案 | `/awooop/runs/[run_id]` 新增負責人回覆驗收詳情邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、驗收執行=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在單一執行詳情理解負責人回覆驗收仍只是只讀詳情缺口;詳情邊界仍不是審批紀錄、MCP 執行、補救執行、平台執行、執行路由器、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 完成草案 | `/awooop/approvals/[run_id]` 新增負責人回覆驗收審批邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、22 個範本、0 已收到、0 已接受、0 已拒收、審批接受=0 與 8 個顯示區塊 | 使用者與另一個 AwoooP Session 能在真正核准 / 拒絕前理解審批決策仍不是負責人回覆驗收;審批邊界仍不是負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | | S2.80 IwoooS AwoooP 資安入口覆蓋狀態板 | 完成草案 | `/iwooos` 新增 AwoooP 資安入口覆蓋狀態板,顯示 8 個實際入口、8 個已覆蓋、執行期閘門=0、執行按鈕=0,並列出 S2.72-S2.79 的入口路徑與只讀邊界 | 使用者與另一個 AwoooP Session 能在 IwoooS 集中理解 AwoooP 資安可見覆蓋已成形;覆蓋狀態仍不是負責人回覆已收到 / 已接受、資安審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 | +| S2.81 IwoooS 階段式資安收斂節奏圖 | 完成草案 | `/iwooos` 新增六步收斂節奏圖,顯示先可視、負責人回覆、脫敏證據、人工審查、執行期閘門與主要來源切換,並固定初期 `observe_warn_only` | 使用者與另一個 AwoooP Session 能理解資安限制會分階段收攏,而不是初期直接升高;節奏圖仍不是阻擋型控制、掃描 / 執行 / 修復、主機更新、主要來源切換或執行期閘門 | | S3 approval gate | 進行中 | `security_approval_gate_v1` 已建立 8 個人工 gate items:7 pending、1 block candidate、0 approved | 不得繞過人工批准;批准後仍需 follow-up runtime gate | | S3.0 人工批准 Gate 契約 | 完成草案 | 定義批准範圍、決策選項、required reviewers、still forbidden 與 follow-up runtime gate | AwoooP 可記錄決策,不可執行 gate item | | S3.1 人工決策紀錄契約 | 完成草案 | `security_approval_decision_record_v1` 已建立;目前 0 筆 decision records、0 個 runtime action 授權 | AwoooP 可稽核決策,不可把決策當執行 | diff --git a/docs/security/security-mirror-status-rollup.snapshot.json b/docs/security/security-mirror-status-rollup.snapshot.json index 30c4c4135..59a4b45d6 100644 --- a/docs/security/security-mirror-status-rollup.snapshot.json +++ b/docs/security/security-mirror-status-rollup.snapshot.json @@ -1430,6 +1430,18 @@ "runtime_delta": false, "execution_authorized": false, "not_authorization": true + }, + { + "delta_id": "s2_81_iwooos_gradual_convergence_roadmap", + "display_order": 110, + "completed_stage": "S2.81 IwoooS 階段式資安收斂節奏圖", + "progress_axis": "framework_detail", + "headline_percent_delta": 0, + "framework_delta_visible": true, + "why_headline_unchanged": "IwoooS 只新增階段式資安收斂節奏圖,明確顯示初期先可視、只提醒、不阻擋,並把入口覆蓋 8/8、負責人回覆已接受=0、脫敏證據匯入=0、人工決策=0、執行期閘門=0、主要來源切換=0 排成逐步收斂路線;phase_tightening_mode=gradual、initial_enforcement_level=observe_warn_only、blocking_controls_enabled=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false,不把收斂節奏圖當阻擋型控制、Kali / SSH / 主機更新、專案庫、分支 / 標籤參照、工作流程 / 機密設定、主要來源切換或 Gitea 停用授權。", + "runtime_delta": false, + "execution_authorized": false, + "not_authorization": true } ], "next_safe_actions": [ @@ -1866,6 +1878,22 @@ "從 IwoooS 覆蓋狀態板修改工作流程 / 機密設定、切 GitHub 主要來源、停用 Gitea、呼叫 Kali 或開執行期閘門" ] }, + { + "action_id": "show_iwooos_gradual_convergence_roadmap", + "title": "IwoooS 顯示階段式資安收斂節奏圖", + "mode": "observe", + "source_contract": "iwooos_posture_projection_v1", + "allowed_processing": [ + "在 /iwooos 顯示 S2.81 階段式資安收斂節奏圖", + "顯示先可視、負責人回覆、脫敏證據、人工審查、執行期閘門、主要來源切換六個收斂步驟", + "顯示 initial_enforcement_level=observe_warn_only、blocking_controls_enabled=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false,避免初期把資安限制拉得過高" + ], + "blocked_processing": [ + "把收斂節奏圖當成阻擋型控制、執行期授權或資安審批", + "從收斂節奏圖建立掃描、執行、修復、Kali、SSH、主機更新、專案庫、分支 / 標籤參照或工作流程 / 機密設定動作", + "從收斂節奏圖切 GitHub 主要來源、停用 Gitea、收機密明文值或提高 LOW / MEDIUM 訊號限制" + ] + }, { "action_id": "enforce_traditional_chinese_security_surface_wording", "title": "IwoooS / AwoooP 資安可視區塊維持繁體中文呈現", @@ -2291,7 +2319,8 @@ "S2.77 新增 AwoooP 執行監控負責人回覆驗收執行邊界;/awooop/runs 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、資安執行數=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、security_run_created=false、owner_response_validation_run_created=false、platform_run_creation_authorized=false、execution_router_linked=false、approval_record_created=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把執行邊界當負責人回覆已收到 / 已接受、審批紀錄、平台執行、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", "S2.78 新增 AwoooP 執行詳情負責人回覆驗收詳情邊界;/awooop/runs/[run_id] 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、run_detail_owner_response_linked=false、run_detail_approval_record_created=false、mcp_execution_authorized=false、remediation_execution_authorized=false、platform_run_creation_authorized=false、execution_router_linked=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把詳情邊界當負責人回覆已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", "S2.79 新增 AwoooP 審批決策負責人回覆驗收審批邊界;/awooop/approvals/[run_id] 顯示四包、22 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0、8 個顯示區塊、source_control_owner_response_validation_rollup_v1 與四個來源收件包參照;owner_response_validation_received_count=0、owner_response_validation_accepted_count=0、owner_response_validation_rejected_count=0、approval_decision_owner_response_linked=false、owner_response_acceptance_authorized=false、security_approval_record_created=false、platform_run_creation_authorized=false、execution_router_linked=false、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false、not_authorization=true,不把審批決策邊界當負責人回覆已收到 / 已接受、負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", - "S2.80 新增 IwoooS AwoooP 資安入口覆蓋狀態板;/iwooos 顯示 8 個 AwoooP 實際入口、8 個已覆蓋、執行期閘門=0、執行按鈕=0,並把 S2.72-S2.79 的入口覆蓋集中呈現;awooop_route_coverage_count=8、awooop_route_coverage_visible_count=8、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、gitea_disablement_authorized=false,不把入口覆蓋當負責人回覆已收到 / 已接受、資安審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。" + "S2.80 新增 IwoooS AwoooP 資安入口覆蓋狀態板;/iwooos 顯示 8 個 AwoooP 實際入口、8 個已覆蓋、執行期閘門=0、執行按鈕=0,並把 S2.72-S2.79 的入口覆蓋集中呈現;awooop_route_coverage_count=8、awooop_route_coverage_visible_count=8、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、not_authorization=true、repo_creation_authorized=false、refs_sync_authorized=false、workflow_modification_authorized=false、secret_value_collection_allowed=false、github_primary_switch_authorized=false、gitea_disablement_authorized=false,不把入口覆蓋當負責人回覆已收到 / 已接受、資安審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作或執行期閘門。", + "S2.81 新增 IwoooS 階段式資安收斂節奏圖;/iwooos 顯示先可視、負責人回覆、脫敏證據、人工審查、執行期閘門、主要來源切換六個收斂步驟,並固定初期 observe/warn-only 語義;phase_tightening_mode=gradual、initial_enforcement_level=observe_warn_only、blocking_controls_enabled=false、runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false、owner_response_required_before_blocking=true、not_authorization=true、kali_execute_authorized=false、host_update_authorized=false、github_primary_switch_authorized=false、gitea_disablement_authorized=false,不把收斂節奏圖當阻擋型控制、Kali / SSH / 主機更新、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定 / 主要來源動作、Gitea 停用或執行期閘門。" ], "forbidden_actions": [ "start_kali_scan", diff --git a/scripts/security/security-mirror-progress-guard.py b/scripts/security/security-mirror-progress-guard.py index 63fcd0452..67bbc2acf 100755 --- a/scripts/security/security-mirror-progress-guard.py +++ b/scripts/security/security-mirror-progress-guard.py @@ -329,6 +329,7 @@ def validate(root: Path) -> None: "s2_78_awooop_run_detail_owner_response_validation_boundary", "s2_79_awooop_approval_detail_owner_response_validation_boundary", "s2_80_iwooos_awooop_route_coverage_board", + "s2_81_iwooos_gradual_convergence_roadmap", ] assert_equal( "progress_delta_ledger.delta_ids", @@ -488,6 +489,11 @@ def validate(root: Path) -> None: [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], "show_iwooos_awooop_route_coverage_board", ) + assert_contains( + "rollup.next_safe_actions.action_ids", + [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], + "show_iwooos_gradual_convergence_roadmap", + ) assert_contains( "rollup.next_safe_actions.action_ids", [item["action_id"] for item in rollup["next_safe_actions"] if isinstance(item, dict)], @@ -6517,6 +6523,32 @@ def validate(root: Path) -> None: "gitea_disablement_authorized=false", ]: assert_text_contains("iwooos_page.awooop_coverage_boundary", iwooos_projection_page, text) + assert_text_contains("iwooos_page.security_convergence_steps", iwooos_projection_page, "securityConvergenceSteps") + assert_text_contains( + "iwooos_page.security_convergence_testid", + iwooos_projection_page, + 'data-testid="iwooos-security-convergence-roadmap"', + ) + assert_text_contains( + "iwooos_page.security_convergence_component", + iwooos_projection_page, + "SecurityConvergenceRoadmapBoard", + ) + for text in [ + "phase_tightening_mode=gradual", + "initial_enforcement_level=observe_warn_only", + "blocking_controls_enabled=false", + "runtime_execution_authorized=false", + "active_runtime_gate_count=0", + "action_buttons_allowed=false", + "owner_response_required_before_blocking=true", + "not_authorization=true", + "kali_execute_authorized=false", + "host_update_authorized=false", + "github_primary_switch_authorized=false", + "gitea_disablement_authorized=false", + ]: + assert_text_contains("iwooos_page.security_convergence_boundary", iwooos_projection_page, text) for key in [ "title", "subtitle", @@ -6655,6 +6687,46 @@ def validate(root: Path) -> None: list(web_messages_en["iwooos"]["awooopCoverage"]["items"].keys()), key, ) + for key in ["title", "subtitle", "movementLabel", "guardLabel", "boundaryTitle", "summary", "items"]: + assert_contains( + "web_messages.zh-TW.iwooos.securityConvergenceRoadmap", + list(web_messages_zh["iwooos"]["securityConvergenceRoadmap"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.securityConvergenceRoadmap", + list(web_messages_en["iwooos"]["securityConvergenceRoadmap"].keys()), + key, + ) + for key in ["mode", "coverage", "accepted", "runtime"]: + assert_contains( + "web_messages.zh-TW.iwooos.securityConvergenceRoadmap.summary", + list(web_messages_zh["iwooos"]["securityConvergenceRoadmap"]["summary"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.securityConvergenceRoadmap.summary", + list(web_messages_en["iwooos"]["securityConvergenceRoadmap"]["summary"].keys()), + key, + ) + for key in [ + "visibilityFirst", + "ownerResponse", + "redactedEvidence", + "humanDecision", + "runtimeGate", + "sourceControlCutover", + ]: + assert_contains( + "web_messages.zh-TW.iwooos.securityConvergenceRoadmap.items", + list(web_messages_zh["iwooos"]["securityConvergenceRoadmap"]["items"].keys()), + key, + ) + assert_contains( + "web_messages.en.iwooos.securityConvergenceRoadmap.items", + list(web_messages_en["iwooos"]["securityConvergenceRoadmap"]["items"].keys()), + key, + ) owner_summary = owner_rollup["summary"] assert_equal("owner_rollup.total_received_response_count", owner_summary["total_received_response_count"], 0)