docs(iwooos): clarify Wazuh release handoff layers

docs/LOGBOOK.md

@@ -1,3 +1,21 @@
+## 2026-06-25｜Wazuh release handoff 分層狀態校正
+
+**背景**：Wazuh release handoff 仍把「Gitea push」寫成 `0%`，容易讓另一個工作視窗誤會 feature branch 尚未推送。實際狀態是 feature branch 已推送，但 formal main release、production deploy 與 live metadata env enable 仍為 `0%`。
+
+**完成**：
+- `IWOOOS-WAZUH-READONLY-API-RELEASE-HANDOFF.md` 新增目前分層狀態。
+- 拆開 `Gitea feature branch push=100%` 與 `Formal main release=0%`。
+- 明確保留 production deploy、Wazuh live metadata env enable、active response、host write、Kali active scan 皆為 `0%`。
+- 不硬寫最終 branch HEAD，避免文件 commit 後 hash 自我漂移；正式 release 前仍以 `git ls-remote` 與 `git log` 讀回。
+
+**驗證**：待本段提交前與 doc secrets / diff scan 一併執行。
+
+**完成度同步**：
+- Wazuh handoff 分層狀態正確性：`100%` source-side。
+- formal release / deploy / live registry accepted：仍為 `0%`。
+
+**邊界**：本輪只改文件，不合併主線、不部署、不查 Wazuh、不收 secret、不改主機。
+
 ## 2026-06-25｜IwoooS Wazuh 前台文案脫敏與繁中化
 
 **背景**：Wazuh 用戶端消失事故的前台說明不能只把工程代碼、英文流程詞或直白主機別名丟給使用者看。本輪只修 `/zh-TW/iwooos` Wazuh 回讀卡片文案，不新增 runtime action。

docs/security/IWOOOS-WAZUH-READONLY-API-RELEASE-HANDOFF.md

@@ -1,8 +1,16 @@
 # IwoooS Wazuh 只讀 API Release Handoff
 
-> 狀態：source-side 修補完成，等待具備正式 Gitea push / release 權限的 lane 合併與部署。
+> 狀態：source-side 修補完成，feature branch 已推送；仍等待具備正式 release 權限的 lane 合併到主線並部署。
 > 本文件不包含 secret、token、內網 Wazuh URL、raw log、raw Wazuh payload 或工作視窗逐字稿。
 
+## 目前分層狀態
+
+- feature branch：`codex/iwooos-wazuh-boundary-guard-20260624` 已推送到 Gitea；精確 HEAD 請用 `git ls-remote` 讀回，不在本文件硬寫避免文件 commit 後自我漂移。
+- formal main release：`0%`，尚未合併到 `main`。
+- production deploy：`0%`，正式 API 仍為部署前 404 邊界。
+- Wazuh live metadata env enable：`0%`，尚未收到正式負責人回覆、機密來源中繼資料、唯讀帳號範圍與 post-enable readback。
+- active response / host write / Kali active scan：`0%`，必須維持關閉。
+
 ## 根因判定
 
 `https://awoooi.wooo.work/api/iwooos/wazuh` production 目前回 `404 {"detail":"Not Found"}`，同時 `https://awoooi.wooo.work/zh-TW/iwooos` 回 `200`。
@@ -18,8 +26,8 @@
 
 本地 commit：
 
-- `codex/iwooos-wazuh-boundary-guard-20260624` Wazuh API commit 會在每次 rebase 後改變；請在 release 前用 `git log --oneline gitea/main..HEAD` 讀回，不硬寫在本文件內。
-- `codex/iwooos-wazuh-boundary-guard-20260624` 最終分支 HEAD 不硬寫在本文件內；請在 release 前用 `git rev-parse HEAD` 讀回，避免 commit 自我引用造成 hash 漂移。
+- `codex/iwooos-wazuh-boundary-guard-20260624` Wazuh API commit 會在每次 rebase 或文件同步後改變；請在 release 前用 `git log --oneline gitea/main..HEAD` 與 `git ls-remote` 讀回，不硬寫在本文件內。
+- `codex/iwooos-wazuh-boundary-guard-20260624` feature branch 已推送；但 feature branch push 不等於 formal main release、production deploy 或 Wazuh live metadata 授權。
 - Release patch set 需在最終 docs commit 後以 `git format-patch gitea/main..HEAD` 重新產生，再用 `shasum -a 256` 讀回；不得沿用 rebase 前或文件修正前的舊 patch SHA。
 
 變更範圍：
@@ -206,7 +214,8 @@ python3 scripts/security/wazuh-readonly-production-readback.py --json
 | Wazuh agent registry no-false-green | `100%` | source-side 已能區分 registry 空與低於預期；production live registry accepted 仍 `0` |
 | IwoooS 前台 Wazuh live metadata env gate 卡片 | `100%` | source-side 與本機桌機 / 手機驗證完成；production deploy 仍 `0` |
 | 乾淨套用 proof | `100%` | patch set 可落在最新 `gitea/main` 並通過同組 guard；最終 hash 以 release 前 readback 為準 |
-| Gitea push | `0%` | 受控 workspace HTTPS credential 缺失 |
+| Gitea feature branch push | `100%` | `codex/iwooos-wazuh-boundary-guard-20260624` 已推送；精確 HEAD 以 release 前讀回為準 |
+| Formal main release | `0%` | 尚未由正式 release lane 合併到 `main` |
 | Production deploy / readback | `0%` | 等待 release lane |
 | Wazuh server-side env enable | `0%` | 等待 owner gate 與 secrets 注入 |
 | Wazuh event refs / host forensic refs accepted | `0%` | 尚未收到合格證據 |