Files
awoooi/docs/security/SECURITY-MIRROR-READINESS.md

77 lines
2.9 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# Security Supply Chain Mirror Readiness
| 項目 | 內容 |
|------|------|
| 日期 | 2026-05-13 |
| 狀態 | 草案 |
| Schema | `docs/schemas/security_mirror_readiness_v1.schema.json` |
| Snapshot | `docs/security/security-mirror-readiness.snapshot.json` |
| 預設 enforcement | `mirror_only` |
| 原則 | AwoooP 可 mirror / read-only 顯示,不可執行 |
## 0. 核心結論
本 readiness index 是給 AwoooP 主線的安全消費入口。
它回答三個問題:
1. 哪些 contract 已可 mirror
2. 哪些 contract 只能 partial mirror 或 contract-only 顯示?
3. AwoooP 消費時仍然禁止哪些動作?
目前統計:
| 狀態 | 數量 | 說明 |
|------|------|------|
| `ready_for_mirror` | 19 | 可直接 mirror 成 Operator Console / Runtime State / Channel Event / Audit evidence |
| `partial_ready` | 2 | 可 mirror但 evidence 仍不完整 |
| `contract_only` | 1 | 有 schema / handoff尚無正式 snapshot |
| `blocked` | 0 | 目前沒有禁止 mirror 的 contract |
這不代表可以執行。`execution_allowed=false` 對所有 contract 都成立。
## 1. Partial / Contract-only 項目
| Contract | 狀態 | 原因 | 下一步 |
|----------|------|------|--------|
| `security_finding_v1` | `partial_ready` | 目前只有 Kali sample snapshotruntime ingestion 尚未啟用 | 先 review `kali-finding-runtime-ingestion-approval-20260513` |
| `gitea_repo_inventory_v1` | `partial_ready` | 目前只有 public-only / blocked endpoint evidence | 先 review Gitea read-only inventory approval |
| `coding_task_v1` | `contract_only` | 已有 schema 與 handoff prompt尚無正式 coding task snapshot | 等 code review 產生實際 task 後再 mirror |
## 2. AwoooP Mirror Destinations
AwoooP 可以將 ready / partial contracts mirror 到:
1. Operator Console。
2. Runtime State。
3. Channel Event。
4. Audit evidence。
5. Approval Queue。
初期只顯示狀態、風險、review order、evidence refs 與 blocked reason。
## 3. 永久禁止
1. 不執行 mirror item。
2. 不啟動 Kali scan。
3. 不呼叫 Kali `/execute`
4. 不建立 GitHub repo。
5. 不修改 repo visibility。
6. 不 sync refs。
7. 不切 GitHub primary。
8. 不保存 raw secret、token、cookie、private key 或 exploit payload。
9. 不把 LOW / MEDIUM observation 變成 blocking gate。
## 4. 下一步建議
最安全的 S2 落地順序:
1. AwoooP 先 mirror `security_mirror_readiness_v1``security_supply_chain_contract_manifest_v1`
2. 再使用 `security_mirror_event_v1` 包裝每一筆 mirror payload。
3. 再 mirror `security_mirror_intake_plan_v1`,照 wave 執行 read-only intake。
4. 再 mirror `security_approval_queue_v1`,只顯示 review order。
5. 再 mirror `kali_integration_status_v1``kali_scan_scope_approval_v1`
6. 最後再 mirror source-control 相關 contracts。
整個 S2 不新增 execution router、不新增 action button、不新增 runtime blocker。