chore: initial public snapshot for github upload

2026-03-26 20:06:14 +08:00
commit 0e5ecd930e
3497 changed files with 1586236 additions and 0 deletions
--- a/reports/supply_flaky_budget_2026-03-25.md
+++ b/reports/supply_flaky_budget_2026-03-25.md
@@ -0,0 +1,46 @@
+# 供应侧测试 Flaky 预算与治理规则
+
+- 版本：v1.0
+- 日期：2026-03-25
+- 适用范围：`UI-SUP-*`、`SEC-SUP-*`、`UI-DESIGN-QA-*`
+
+---
+
+## 1. 预算定义
+
+1. 单用例 7 日 Flaky 率阈值：`<=2%`。
+2. 测试套件整体 Flaky 率阈值：`<=1%`。
+3. P0 用例允许 Flaky：`0`（任何抖动按失败处理）。
+
+计算方式：
+`flaky_rate = (retry_pass_count / total_executions) * 100%`
+
+---
+
+## 2. 处置规则
+
+1. Flaky 率 `>2%` 且 `<5%`：进入治理 Backlog，48 小时内修复。
+2. Flaky 率 `>=5%`：标记阻断项，禁止作为发布通过证据。
+3. P0 用例出现 flaky：立即冻结发布，按 P0 事件处理。
+
+---
+
+## 3. 治理动作
+
+1. 定位是否为环境抖动、数据污染、断言不稳定、异步等待不足。
+2. 增加固定数据集与可重复前置，禁止依赖随机时序。
+3. 对接口型用例增加 request_id 对账，避免误判。
+4. 每次修复需附“根因 + 修复点 + 复测结果”。
+
+---
+
+## 4. 报告字段（每周）
+
+1. `suite_name`
+2. `case_id`
+3. `execution_count`
+4. `retry_pass_count`
+5. `flaky_rate_pct`
+6. `owner`
+7. `status`（open/fixing/closed）
+8. `evidence_link`
--- a/reports/supply_gate_preflight_2026-03-25.md
+++ b/reports/supply_gate_preflight_2026-03-25.md
@@ -0,0 +1,48 @@
+# SUP Gate 执行前检查报告（Preflight）
+
+- 日期：2026-03-25
+- 目标：确认 `SUP-004~SUP-007` 是否具备执行条件
+- 执行命令：`bash scripts/supply-gate/run_all.sh`
+
+---
+
+## 1. 前置检查结果
+
+| 检查项 | 结果 | 说明 |
+|---|---|---|
+| `curl` 可用 | PASS | 本机已安装 |
+| `jq` 可用 | PASS | 本机已安装 |
+| `scripts/supply-gate/.env` 存在 | PASS | 已由 `.env.example` 生成占位文件 |
+| `API_BASE_URL` 可达 | FAIL | `staging.example.com` DNS 不可解析 |
+| `OWNER_BEARER_TOKEN` 已配置 | WARN | 当前为占位值，需平台短期 token |
+| `VIEWER_BEARER_TOKEN` 已配置 | WARN | 当前为占位值，需平台短期 token |
+| `ADMIN_BEARER_TOKEN` 已配置 | WARN | 当前为占位值，需平台短期 token |
+
+---
+
+## 2. 阻塞证据
+
+1. 原始日志：`tests/supply/artifacts/preflight/2026-03-25_run_all_dns_blocked.log`
+2. 错误摘要：
+   1. `curl: (6) Could not resolve host: staging.example.com`
+
+---
+
+## 3. 解锁动作（最小集合）
+
+1. 修正 `API_BASE_URL` 为当前可达的 staging/预发地址。
+2. 填充平台下发的短期 token（仅平台分发，不对外共享）。
+3. 执行：
+   1. `bash scripts/supply-gate/sup004_accounts.sh`
+   2. `bash scripts/supply-gate/sup005_packages.sh`
+   3. `bash scripts/supply-gate/sup006_settlements.sh`
+   4. `bash scripts/supply-gate/sup007_boundary.sh`
+4. 回填 `tests/supply/*.md` 与 `reports/supply_gate_review_2026-03-31.md`。
+
+---
+
+## 4. 当前门禁结论
+
+1. `SUP-004~SUP-007`：BLOCKED
+2. `SUP-008`：不通过（证据不足）
+3. 结论等级：`CONDITIONAL GO`（仅限设计层），执行层 `NO-GO` 直至补齐前置。
--- a/reports/supply_gate_review_2026-03-31.md
+++ b/reports/supply_gate_review_2026-03-31.md
@@ -0,0 +1,34 @@
+# SUP Gate 汇总评审（2026-03-31）
+
+- 关联任务：SUP-004~SUP-008
+
+## 1. 汇总结论
+
+- [ ] 通过
+- [ ] 有条件通过
+- [x] 不通过
+
+## 2. 分项结果
+
+| 任务ID | 结论 | 证据路径 | Owner |
+|---|---|---|---|
+| SUP-004 | BLOCKED | tests/supply/ui_sup_acc_report_2026-03-28.md | QA（待实名） |
+| SUP-005 | BLOCKED | tests/supply/ui_sup_pkg_report_2026-03-29.md | QA（待实名） |
+| SUP-006 | BLOCKED | tests/supply/ui_sup_set_report_2026-03-29.md | QA+FIN（待实名） |
+| SUP-007 | BLOCKED | tests/supply/sec_sup_boundary_report_2026-03-30.md | SEC+QA（待实名） |
+
+## 3. 风险与动作
+
+| 风险级别 | 描述 | 动作 | 截止日期 |
+|---|---|---|---|
+| P0 | `API_BASE_URL=staging.example.com` 不可解析，SUP-004~SUP-007 全链路未执行，发布证据缺失 | 修正 `API_BASE_URL` 为可达环境并重跑 `run_all.sh` | 2026-03-26 |
+| P1 | 报告负责人未实名签署 | 按 RACI 回填实名与电子签署记录 | 2026-03-26 |
+
+## 4. 签署
+
+1. 架构负责人：
+2. 安全负责人：
+3. QA负责人：
+4. 产品负责人：
+
+附：本次阻塞原始日志：`tests/supply/artifacts/preflight/2026-03-25_run_all_dns_blocked.log`
--- a/reports/supply_traceability_matrix_2026-03-25.csv
+++ b/reports/supply_traceability_matrix_2026-03-25.csv
@@ -0,0 +1,13 @@
+requirement_id,requirement_desc,api,test_case,metric,gate,owner,status,evidence_path
+R-ACC-001,账号凭证验证成功可视化,POST /api/v1/supply/accounts/verify,UI-SUP-ACC-001,verify_success_rate_pct,SUP-004,QA,PLANNED,tests/supply/ui_sup_acc_report_2026-03-28.md
+R-ACC-002,挂载需风险确认与审计,POST /api/v1/supply/accounts,UI-SUP-ACC-002,audit_coverage_pct,SUP-004,QA,PLANNED,tests/supply/ui_sup_acc_report_2026-03-28.md
+R-ACC-003,账号状态不跳态,POST /api/v1/supply/accounts/{id}/activate|POST /api/v1/supply/accounts/{id}/suspend,UI-SUP-ACC-003|UI-SUP-ACC-004,state_transition_integrity_pct,SUP-004,QA,PLANNED,tests/supply/ui_sup_acc_report_2026-03-28.md
+R-PKG-002,套餐发布满足保护价与状态约束,POST /api/v1/supply/packages/{id}/publish,UI-SUP-PKG-002,price_floor_violation_pass_through,SUP-005,QA,PLANNED,tests/supply/ui_sup_pkg_report_2026-03-29.md
+R-PKG-003,批量调价部分失败可回执,POST /api/v1/supply/packages/batch-price,UI-SUP-PKG-005,batch_receipt_completeness_pct,SUP-005,QA,PLANNED,tests/supply/ui_sup_pkg_report_2026-03-29.md
+R-SET-001,提现发起防重复防双扣,POST /api/v1/supply/settlements/withdraw,UI-SUP-SET-002|CON-SET-001,billing_conflict_rate_pct,SUP-006,QA+FIN,PLANNED,tests/supply/ui_sup_set_report_2026-03-29.md
+R-SET-002,处理中/已完成不可撤销,POST /api/v1/supply/settlements/{id}/cancel,UI-SUP-SET-003,state_jump_success_rate,SUP-006,QA,PLANNED,tests/supply/ui_sup_set_report_2026-03-29.md
+R-SET-003,对账单导出不泄露敏感信息,GET /api/v1/supply/settlements/{id}/statement,UI-SUP-SET-004|SEC-SUP-001,supplier_credential_exposure_events,SUP-006|SUP-007,SEC+QA,PLANNED,tests/supply/sec_sup_boundary_report_2026-03-30.md
+R-SEC-001,仅平台凭证入站,ALL northbound APIs,SEC-SUP-002,platform_credential_ingress_coverage_pct,SUP-007,SEC,PLANNED,tests/supply/sec_sup_boundary_report_2026-03-30.md
+R-SEC-002,外部query key全拒绝,ALL northbound APIs,SEC-SUP-002,query_key_external_reject_rate_pct,SUP-007,SEC,PLANNED,tests/supply/sec_sup_boundary_report_2026-03-30.md
+R-SEC-003,需求方不可绕平台直连,egress policy + detections,SEC-SUP-002|SEC-DIRECT-001,direct_supplier_call_by_consumer_events,SUP-007,SEC+SRE,PLANNED,tests/supply/sec_sup_boundary_report_2026-03-30.md
+R-UX-001,按钮可见性和禁用规则正确,UI-level,UI-DESIGN-QA-001~020,SUP_UI_button_rule_pass_rate,SUP-003|SUP-008,QA+UIUX,PLANNED,tests/supply/ui_design_qa_cases_v1_2026-03-25.md