Add safe artifact migration and status fixes
This commit is contained in:
phamnazage-jpg
@@ -150,6 +150,27 @@ hook 执行时会额外导出:
|
||||
artifacts/real-host-acceptance/<timestamp>/
|
||||
```
|
||||
|
||||
### Artifact 安全模式
|
||||
|
||||
默认:
|
||||
|
||||
```bash
|
||||
ARTIFACT_SECURITY_MODE=safe
|
||||
ARTIFACT_INCLUDE_SECRETS=0
|
||||
```
|
||||
|
||||
含义:
|
||||
- `safe`:主 artifact 目录只允许落脱敏后的验收证据,可作为仓库内长期保留材料。
|
||||
- `debug`:允许额外生成本地敏感调试材料;这类材料不得作为默认主证据提交或长期保留。
|
||||
- `ARTIFACT_INCLUDE_SECRETS=1` 只允许用于本地短时调试;一旦开启,产物不再默认视为可入库证据。
|
||||
|
||||
`safe` 模式下的硬规则:
|
||||
- 不落完整 upstream / managed / user API key
|
||||
- 不落完整 bearer token
|
||||
- 不落可直接复用的 SQL 明文 key 语句
|
||||
- 不落 Redis cache key 原文
|
||||
- header 文件必须去掉 `Authorization` / `Cookie` / `Set-Cookie` / `x-api-key`
|
||||
|
||||
默认文件顺序:
|
||||
- `01-create-host.json`
|
||||
- `02-probe-host.json`
|
||||
@@ -165,6 +186,22 @@ artifacts/real-host-acceptance/<timestamp>/
|
||||
- `10-batch-detail.json`
|
||||
- `11-rollback.json`(若未跳过)
|
||||
|
||||
remote43 / 本地缩圈脚本若需要额外证据,会在同目录追加:
|
||||
- `00-local-key-source.json`(只保留 redacted key 指纹/前后缀)
|
||||
- `01-runtime-context.json`(仅保留 hash 后的 user/admin/managed 身份)
|
||||
- `05-subscription-access-prep.summary.json`(替代默认明文 SQL)
|
||||
- `07-redis-targeted-invalidation.json`(只保留失效动作结果,不保留 cache key 原文)
|
||||
- `08-subscription-group-state.json`(已裁剪 key 明文)
|
||||
- `21-summary.json` / `99-semantic-summary.json`(推荐长期保留的摘要证据)
|
||||
- 若你是在清理旧目录,而不是生成新验收产物,优先运行:
|
||||
```bash
|
||||
python3 scripts/migrate_historical_artifacts.py artifacts/real-host-acceptance
|
||||
```
|
||||
它会把主目录中的历史敏感材料迁到 `artifacts/real-host-acceptance-sensitive/`,并在原目录生成安全摘要版。
|
||||
- 历史目录迁移脚本当前已覆盖两层:
|
||||
1. 固定命名标准 artifact(runtime-context / key-source / redis invalidation / group-state / sql summary / headers)
|
||||
2. 复杂业务快照与 JSON-in-string 字段(`summary.json`、`99-summary.json`、`99-semantic-summary.json`、`05a-batch-detail-pre-access.json`、`07-access-status.json`、`10-batch-detail.json` 以及其中的 `DetailsJSON/details_json/probe_summary_json`)
|
||||
- 若迁移后仍看到类似 `00-managed-key-corrected.txt` 的手工 probe 文本,它们属于非标准人工产物,当前仍建议迁到 `artifacts/real-host-acceptance-sensitive/` 或直接删除。
|
||||
## 通过标准
|
||||
|
||||
至少同时满足:
|
||||
@@ -246,6 +283,9 @@ SKIP_ROLLBACK=1 scripts/real_host_acceptance.sh
|
||||
- 若 `curl -I --max-time 5 $CRM_HOST_BASE/healthz` 完全收不到 header
|
||||
- 就应先判定为 tunnel 失活或远端链路异常
|
||||
- 这类现象会在 `03-import.body.json` 中表现为 `get host version ... context deadline exceeded`
|
||||
25. 当前 artifact 安全模式默认是 `safe`:
|
||||
- 主目录 `artifacts/real-host-acceptance/` 只能保留脱敏后证据
|
||||
- 若为了缩圈必须看原始 SQL / headers / token 相关细节,应显式切到 `ARTIFACT_SECURITY_MODE=debug` 并把产物视为本地敏感材料,不进入仓库主证据区
|
||||
|
||||
## 建议固定执行的快速诊断顺序
|
||||
|
||||
|
||||
@@ -18,6 +18,72 @@
|
||||
- 只把“latest-head / fresh-host / current-code”直接相关的证据放进“最终证据”
|
||||
- 纯预跑、空目录、只到 preflight、已被后续更完整证据覆盖的目录,放入“可清理”
|
||||
|
||||
## Security 分层(新增硬规则)
|
||||
|
||||
### A. `safe` artifact(可入库)
|
||||
满足以下条件时,才允许留在 `artifacts/real-host-acceptance/` 并被文档直接引用:
|
||||
- 不包含完整 upstream / managed / user API key
|
||||
- 不包含完整 bearer token
|
||||
- 不包含 Redis cache key 原文
|
||||
- 不包含可直接执行的明文 SQL 凭据操作
|
||||
- headers 已去掉 `Authorization` / `Cookie` / `Set-Cookie` / `x-api-key`
|
||||
- 身份类字段(user_id / admin_user_id / managed_user_email)已改为 hash 或摘要
|
||||
|
||||
### B. `debug` artifact(本地敏感)
|
||||
以下材料只能作本地短时调试使用,不得视为主证据入库:
|
||||
- 明文 SQL(例如 subscription access prep 原始语句)
|
||||
- 带完整 key/token 的 runtime context
|
||||
- 未脱敏 headers / raw body
|
||||
- Redis cache key 原文
|
||||
|
||||
### C. 解释规则
|
||||
- 文档中的“最终证据”默认指 `safe` artifact
|
||||
- 若某目录只能在 `debug` 模式下复现价值,则应迁出主视图或只保留摘要版(例如 `21-summary.json` / `99-semantic-summary.json`)
|
||||
|
||||
### D. 历史目录迁移脚本
|
||||
当历史 `artifacts/real-host-acceptance/` 目录里仍残留旧版敏感材料时,使用:
|
||||
|
||||
```bash
|
||||
python3 scripts/migrate_historical_artifacts.py artifacts/real-host-acceptance
|
||||
```
|
||||
|
||||
默认行为:
|
||||
- 原地把可安全化文件改写成 `safe` 版本
|
||||
- 把明文敏感文件移动到 sibling 目录:
|
||||
- `artifacts/real-host-acceptance-sensitive/`
|
||||
- 为旧的 `05-subscription-access-prep.sql` 生成:
|
||||
- `05-subscription-access-prep.summary.json`
|
||||
- 为旧的 `07-redis-targeted-invalidation.txt` 生成:
|
||||
- `07-redis-targeted-invalidation.json`
|
||||
|
||||
当前脚本会处理的典型历史文件:
|
||||
- `00-local-key-source.json`
|
||||
- `01-runtime-context.json`
|
||||
- `00-context.json`
|
||||
- `05-subscription-access-prep.sql`
|
||||
- `07-redis-targeted-invalidation.txt`
|
||||
- `08-subscription-group-state.json`
|
||||
- `*.headers.txt`
|
||||
- `00-managed-key.txt`
|
||||
- `00-raw-user-key.txt`
|
||||
|
||||
脚本不会替你决定“最终证据 / 归档 / 清理”的业务分类;它只负责把旧目录先迁移到可安全审阅的形态。
|
||||
- 第二轮迁移已补覆盖复杂 JSON 快照:
|
||||
- `summary.json`
|
||||
- `99-summary.json`
|
||||
- `99-semantic-summary.json`
|
||||
- `05a-batch-detail-pre-access.json`
|
||||
- `07-access-status.json`
|
||||
- `10-batch-detail.json`
|
||||
- 对这类文件,脚本会递归处理常见敏感字段,并额外解析:
|
||||
- `DetailsJSON`
|
||||
- `details_json`
|
||||
- `probe_summary_json`
|
||||
这三类 JSON-in-string 字段,先反序列化再脱敏后写回。
|
||||
- 当前仍需人工关注的残留主要是非标准手工文本快照,例如:
|
||||
- `00-managed-key-corrected.txt`
|
||||
- 其他不在固定命名集合中的手工 probe 文本
|
||||
这些不影响“标准 artifact 已安全化”的结论,但不能直接把主目录视为 100% 无人工遗留。
|
||||
## 1. 可保留为最终证据
|
||||
|
||||
这些目录应长期保留,属于当前 Gate=`APPROVED` 的核心证据。
|
||||
|
||||
Reference in New Issue
Block a user