docs(logbook): record latest production baseline smoke [skip ci]

2026-06-27 01:22:33 +08:00
parent 5bbaa52521
commit c32ddac538
1 changed files with 41 additions and 1 deletions
--- a/docs/LOGBOOK.md
+++ b/docs/LOGBOOK.md
@@ -1,3 +1,32 @@
+## 2026-06-26｜D1I 最新正式基線同步：Delivery workbench、controlled apply、Wazuh metadata gate smoke
+
+**背景**：D1H 後，平行 delivery workbench release 與 Wazuh live metadata gate 繼續推進；為避免正式環境再次落後 main，本段只做最新 `gitea/main` fast-forward、正式 API / Browser smoke 與證據補帳，不新增 runtime 執行權限。
+
+**最新基線**：
+- Delivery workbench release merge：`b3294bc7c`。
+- 最新正式 deploy marker：`5bbaa5252 chore(cd): deploy b3294bc [skip ci]`。
+- 已包含：D1H promotion summary 修正 `fe74d8616`、P2-409 controlled apply `b7045a412`、Wazuh metadata gate `10a925bab`、Delivery closure workbench `b3294bc7c`。
+
+**正式 API smoke**：
+- `/api/v1/health?_v=5bbaa525-latest-prod`：`200 healthy`、`environment=prod`、`mock_mode=false`。
+- `/api/v1/agents/delivery-closure-workbench?_v=5bbaa525-latest-prod`：`delivery_closure_workbench_v1`、`status=blocked_delivery_actions_required`、平均完成 `67%`、高風險 blocker `23`、runtime / remote write / repo creation / refs sync / workflow trigger / secret values 全部 `false`。
+- `/api/v1/agents/agent-high-risk-owner-review-queue?_v=5bbaa525-latest-prod`：controlled apply queue `5`、critical break-glass queue `2`、high-risk owner review required count `0`、live execution / Telegram send / host write / kubectl / destructive count 全部 `0`。
+- `/api/v1/iwooos/wazuh-live-metadata-gate?_v=5bbaa525-latest-prod`：`blocked_waiting_live_metadata_owner_response`，正式路由讀回 `1`，owner / secret source metadata / manager health / readonly scope / post-enable readback / live query / active response / host write / runtime gate 全部 `0`。
+
+**正式 Browser smoke**：
+- Desktop `/zh-TW/delivery?_v=5bbaa525-delivery-desktop`：`交付 / Delivery`、`67`、`blocked`、`GitHub` 可見；`clientWidth=1434 / scrollWidth=1434`、`horizontalOverflow=false`、錯誤與內部工作片語命中 `0`。
+- Mobile `/zh-TW/delivery?_v=5bbaa525-delivery-mobile-final`：同組內容可見；`clientWidth=384 / scrollWidth=384`、`horizontalOverflow=false`、overflowing elements `0`。
+- Desktop `/zh-TW/iwooos?_v=5bbaa525-iwooos-desktop`：`八條 P0`、`Wazuh live`、`live metadata`、`disabled_waiting_iwooos_wazuh_owner_gate` 可見；無水平溢出與錯誤片語。
+- Mobile `/zh-TW/iwooos?_v=5bbaa525-iwooos-mobile`：`IwoooS`、`Wazuh live` 可見；`clientWidth=384 / scrollWidth=384`、`horizontalOverflow=false`。
+- Desktop `/zh-TW/governance?tab=automation-inventory&_v=5bbaa525-governance-desktop`：頁面正常載入，P2-409 / 受控 / break-glass 在頁內可搜尋命中；`clientWidth=1434 / scrollWidth=1434`、`horizontalOverflow=false`、錯誤與內部工作片語命中 `0`。
+
+**完成度 / 邊界**：
+- 最新正式基線回復 / 驗證：`100%`。
+- Delivery closure workbench 可視化：正式站 `100%`，但交付動作仍 blocked。
+- Controlled apply / break-glass readback：正式站 `100%`，live execution count 仍 `0`。
+- Wazuh live metadata gate readback：正式站 `100%`，owner / secret metadata / live query / runtime gate 仍 `0`。
+- 本段沒有 SSH、沒有 active scan、沒有 Telegram live send、沒有 Ansible apply、沒有 host write、沒有 secret value collection、沒有 destructive operation。
+
 ## 2026-06-26｜D1G IwoooS Wazuh live route 紅燈前移：Runtime board 與正式站讀回完成

 **背景**：正式站已確認 `/api/iwooos/wazuh` 不是 registry empty，而是 `disabled_waiting_iwooos_wazuh_owner_gate`；過去這個狀態只在頁面下方 Wazuh 卡片可見，容易讓 Runtime 資安總板看起來像只剩靜態 snapshot。此段把 Wazuh 只讀路由的公開安全 aggregate 狀態接進 Runtime 資安讀回首屏，讓 disabled、misconfigured、empty、below expected、unavailable 都成為 P0 紅燈。
@@ -12,16 +41,22 @@
 - Code commit：`9778cc22f feat(iwooos): surface Wazuh live route in runtime readback`。
 - 本段 deploy marker：`aa1e79ba5 chore(cd): deploy 9778cc2 [skip ci]`。
 - 最新正式 marker：`99cbe5022 chore(cd): deploy 4013c6a [skip ci]`，包含 `9778cc22f` 與後續 `4013c6a1a`。
+- Wazuh live metadata gate 補強 commit：`10a925bab feat(iwooos): expose Wazuh live metadata gate readback`。
+- 最新 Wazuh 正式 marker：`eb711d130 chore(cd): deploy 10a925b [skip ci]`。
 - Gitea：`#3539` code-review success；`#3538` CD 的 `tests` 與 `build-and-deploy` success 後被 deploy-marker / 後續 push 取消 post-check；最新 `#3542` code-review success、`#3541` CD success。額外 `#3540` validate 仍 queued，不阻擋 production deploy truth。

 **正式 API 讀回**：
 - `/api/v1/iwooos/runtime-security-readback?_v=4013c6a-wazuh-live-final`：`200`，`schema_version=iwooos_runtime_security_readback_v1`，`mode=committed_snapshot_readback_with_public_safe_wazuh_route_metadata`，`p0_lane_count=7`，`wazuh_live_status=disabled_waiting_iwooos_wazuh_owner_gate`，`wazuh_live_route_http_status=200`，`wazuh_live_route_degraded_count=1`，`wazuh_live_readonly_api_enabled_count=0`，`wazuh_live_agent_total=0`，`wazuh_live_metadata_available_count=0`，`runtime_gate_count=0`，`owner_response_accepted_count=0`，`wazuh_manager_registry_accepted_count=0`，`wazuh_live_route` lane 存在。
 - `/api/iwooos/wazuh?_v=4013c6a-final` 與 `/api/v1/iwooos/wazuh?_v=4013c6a-final`：`200 disabled_waiting_iwooos_wazuh_owner_gate`，`configured=false`，`readonly_api_enabled_count=0`，`runtime_gate_count=0`。
+- `/api/v1/iwooos/runtime-security-readback?_v=eb711d130-wazuh-meta-prod`：`200`，`p0_lane_count=8`，`control_plane_visibility_percent=84`，`actual_runtime_acceptance_percent=0`，`wazuh_live_metadata_gate_owner_accepted_count=0`，`wazuh_live_metadata_gate_live_query_authorized_count=0`，`runtime_gate_count=0`。
+- `/api/v1/iwooos/wazuh-live-metadata-gate?_v=eb711d130-wazuh-meta-prod`：`200 blocked_waiting_live_metadata_owner_response`，正式路由讀回 `1`，owner / secret source metadata / manager health / readonly scope / post-enable readback / live query / active response / host write / runtime gate 全部 `0`。
 - API response 均未含 `192.168.0.`、`工作視窗`、`批准！繼續`、`My request for Codex`、`In app browser`。

 **正式站瀏覽器驗證**：
 - Desktop `1280x900`：`/zh-TW/iwooos?_v=9778cc2-wazuh-live-route-desktop` 可見 `七條 P0 資安線`、`Wazuh live0/disabled_waiting_iwooos_wazuh_owner_gate`、`Wazuh 正式只讀路由`；console error `0`、horizontal overflow `false`、未出現內網 IP 或工作視窗內容。
 - Mobile `390x844`：`/zh-TW/iwooos?_v=4013c6a-wazuh-live-final-mobile` 可見 `七條 P0 資安線`、`Wazuh live`、`disabled_waiting_iwooos_wazuh_owner_gate`、`Wazuh 正式只讀路由`；`clientWidth=390`、`scrollWidth=384`、horizontal overflow `false`、console error `0`、未出現內網 IP 或工作視窗內容。
+- Desktop `1440x1000`：`/zh-TW/iwooos?_v=eb711d130-wazuh-meta-desktop` 可見 `八條 P0`、`Wazuh live`、`live metadata`、`disabled_waiting_iwooos_wazuh_owner_gate`；`clientWidth=1434 / scrollWidth=1434`、`horizontalOverflow=false`、錯誤字串與內部工作片語命中 `0`。
+- Mobile `390x844`：`/zh-TW/iwooos?_v=eb711d130-wazuh-meta-mobile` 可見 `八條 P0`、`Wazuh live`、`live metadata`、`disabled_waiting_iwooos_wazuh_owner_gate`；`clientWidth=384 / scrollWidth=384`、`horizontalOverflow=false`、overflowing elements `0`、錯誤字串與內部工作片語命中 `0`。

 **驗證**：
 - `pytest apps/api/tests/test_iwooos_runtime_security_readback.py apps/api/tests/test_iwooos_wazuh_api.py -q`：`10 passed`。
@@ -35,7 +70,8 @@

 **完成度**：
 - Wazuh live route 接入 Runtime board：正式站 `100%`。
- IwoooS Runtime 資安讀回層：`94% -> 95%`。
+- Wazuh live metadata gate readback：正式站 `100%`。
+- IwoooS Runtime 資安讀回層：`94% -> 96%`。
 - IwoooS 整體資安推進：維持 `65%`；不因 route 可見、lane 接上或 CD success 虛增 runtime acceptance。
 - Wazuh live metadata enable：仍 `0%`。
 - Wazuh manager registry accepted：仍 `0`。
@@ -57,12 +93,16 @@
 - Code commit：`fe74d8616 fix(api): expose controlled runtime promotion summaries`。
 - Deploy marker：`e506b9d5 chore(cd): deploy fe74d86 [skip ci]`。
 - 平行 `89b9e67a fix(ops): harden reboot API warmup evidence flow` 已在 deploy marker 前納入，正式站目前基準包含本段 API 修正與 reboot warmup evidence flow。
+- 最新正式 marker：`bfecd87c chore(cd): deploy b7045a4 [skip ci]`，再納入平行 `b7045a412 fix(agents): route p2-409 through controlled apply` 與 `6d1ea2921 docs(ops): refresh reboot SOP live baseline [skip ci]`；本段 promotion summary 修正仍包含在最新正式映像內。

 **正式 API 讀回**：
 - `/api/v1/health?_v=e506b9d5-controlled-runtime-summary`：`200`，`status=healthy`、`environment=prod`、`mock_mode=false`。
 - `/api/v1/agents/agent-report-status-board?_v=e506b9d5-controlled-runtime-summary`：`low_medium_high_controlled_apply_allowed=true`、`high_risk_human_approval_required=false`、`high_risk_auto_execution_enabled=true`、`workload_controlled_queue_total=12`。
 - `/api/v1/agents/agent-report-automation-review?_v=e506b9d5-controlled-runtime-summary`：`low_medium_high_controlled_auto_execution_enabled=true`、`high_risk_requires_approval=false`、`critical_break_glass_required=true`。
 - `/api/v1/platform/approvals?project_id=awoooi&limit=30&_v=e506b9d5-controlled-runtime-summary`：唯一現存 approval `INC-20260601-B51DFD` 顯示 `needs_human=false`、`next_step=auto_rollback_or_generate_repair_candidate`；該舊卡沒有 `repair_candidate_promotion_contract`，所以不會 retroactive 顯示 `runtime=controlled`，需新 incident 或重診產生 promotion contract 後才會出現。
+- `/api/v1/agents/agent-high-risk-owner-review-queue?_v=bfecd87c-controlled-apply-prod-final`：`high_risk_owner_review_required=false`、`high_risk_controlled_apply_enabled=true`、`controlled_apply_queue_count=5`、`critical_break_glass_queue_count=2`、`live_execution_count=0`、`telegram_send_count=0`、`host_write_count=0`。
+- `/zh-TW/governance?tab=automation-inventory&_v=bfecd87c-controlled-apply-desktop` desktop `1440x1000`：`P2-409`、受控執行、break-glass 可見；`clientWidth=1434 / scrollWidth=1434`、`horizontalOverflow=false`、錯誤字串與內部工作片語命中 `0`。
+- `/zh-TW/governance?tab=automation-inventory&_v=bfecd87c-controlled-apply-mobile` mobile `390x844`：`P2-409`、受控執行、break-glass 可見；`clientWidth=384 / scrollWidth=384`、`horizontalOverflow=false`、overflowing elements `0`、錯誤字串與內部工作片語命中 `0`。

 **驗證**：
 - `apps/api/venv/bin/python -m pytest apps/api/tests/test_repair_candidate_service.py apps/api/tests/test_awooop_operator_timeline_labels.py -q`：`77 passed`。