1591969578
Some checks failed
Code Review / ai-code-review (push) Successful in 13s
CD Pipeline / tests (push) Successful in 1m38s
CD Pipeline / build-and-deploy (push) Successful in 5m32s
CD Pipeline / post-deploy-checks (push) Successful in 1m30s
Ansible / Reboot Recovery Contract / validate (push) Has been cancelled
226 KiB
226 KiB
資安供應鏈整體進度
| 項目 | 內容 |
|---|---|
| 日期 | 2026-06-18 |
| 狀態 | IwoooS 64% 只讀治理推進中;高價值配置集中 guard、Package / Docker 供應鏈 repo-only baseline 與 Package / Docker 供應鏈 owner policy gate 已完成;Frontend public sensitive surface guard、Backup / Restore / Escrow owner response acceptance backfill、Backup / Restore / Escrow post-incident readback plan production verification、Monitoring / Alerting / Observability no-false-green owner response acceptance、Host Service change evidence acceptance、Host Service post-incident readback plan、AI provider / model routing owner response acceptance、CD / Runner / Secret 注入變更證據驗收、CD / Runner / Secret 注入事故後回讀計畫、Public / Admin / API runtime config 變更證據驗收、K8s / ArgoCD post-incident readback plan、Monitoring / Alerting / Observability post-incident readback plan 與 Public Gateway / Nginx post-incident readback plan 已完成;端口 / 防火牆變更證據驗收、主機服務事故回補與 K8s / ArgoCD GitOps 變更證據驗收已正式部署驗證;S4.9 owner response gate 仍是第一優先 |
| 本階段完成 | 資安供應鏈 contract manifest + Source Control Approval Board + Draft Reconcile Plan + Ref Detail Diff + Ref Truth Classification + Source Control Ref Truth Owner Response 收件包 + GitHub Primary Readiness Gate + GitHub Primary Rollback ADR + GitHub Target Owner Decision Response 收件包 + Gitea 認證清冊匯出請求 + Gitea 認證清冊匯入驗收契約 + Gitea 清冊覆蓋 Owner Attestation + Gitea Owner Attestation Approval Lane 對齊 + Gitea Owner Attestation Response 收件包 + Workflow / Secret Name Inventory + Workflow / Secret Name Local Evidence + Workflow / Secret Name Redacted Export Request + Workflow / Secret Name Owner Response 收件包 + Source Control Owner Response Validation Rollup + Kali 112 live integration status + Security Finding contract + Kali scan scope approval package + Security Approval Queue + S3 人工批准 Gate + S3 人工決策紀錄 + S3 人工審查封包 + S3 人工決策狀態轉移 + S3 後續 runtime gate 準備契約 + 鏡像 readiness index + 鏡像接收計畫 + 鏡像事件信封 + 鏡像路由矩陣 + 鏡像驗收契約 + 鏡像隔離契約 + 鏡像 dry-run 報告契約 + 鏡像狀態彙整契約 + IwoooS 前端態勢入口 + IwoooS posture projection contract + IwoooS 既有前端資安頁面整合 + IwoooS 覆蓋與邊界矩陣 + IwoooS 只讀資安處理旅程 + IwoooS owner evidence readiness board + IwoooS host coverage view + IwoooS host action gate matrix + IwoooS host evidence readiness board + IwoooS host evidence collection order + IwoooS host evidence intake preflight + IwoooS host evidence review outcome lanes + IwoooS host evidence review handoff packets + IwoooS host evidence reviewer checklist + IwoooS host evidence reviewer outcome lanes + IwoooS host owner decision candidate packets + IwoooS host owner decision review checklist + IwoooS host owner decision review outcome lanes + IwoooS host owner decision record draft packets + IwoooS host owner decision record draft review checklist + IwoooS host owner decision record draft review outcome lanes + IwoooS host owner decision record write-up packets + IwoooS host owner decision record write-up review checklist + IwoooS host owner decision record write-up review outcome lanes + IwoooS host owner decision record formal candidate packets + IwoooS host owner decision record formal candidate review checklist + IwoooS host owner decision record formal candidate review outcome lanes + IwoooS host owner decision record formal record queue packets + IwoooS host owner decision record formal record queue review checklist + IwoooS host owner decision record formal record queue review outcome lanes + IwoooS host owner decision record human handoff readiness packets + IwoooS host owner decision record human handoff readiness review checklist + IwoooS host owner decision record human handoff readiness review outcome lanes + IwoooS host owner decision record human record owner review candidate packets + IwoooS host owner decision record human record owner review candidate checklist + IwoooS host owner decision record human record owner review candidate outcome lanes + IwoooS host owner decision record human record owner review preparation packets + IwoooS host owner decision record human record owner review preparation checklist + IwoooS progress acceleration lanes + IwoooS owner response next-action focus + IwoooS S4.9 owner response preflight + IwoooS S4.9 owner response request templates + IwoooS progress hold movement gates + IwoooS AwoooP read-only landing readiness + IwoooS AwoooP cross-session handoff packets + AwoooP 首頁 IwoooS 資安鏡像候選 + AwoooP 工作鏈路 IwoooS 資安鏡像候選 + AwoooP 審批佇列 IwoooS owner response 只讀焦點 |
| 本階段追加 | AwoooP 合約儀表板 IwoooS 資安契約只讀候選 + AwoooP 租戶管理 IwoooS 資安租戶範圍只讀候選 + AwoooP 執行監控 IwoooS 執行狀態只讀候選 + 既有安全 / 合規頁面 IwoooS 只讀反向橋接 + 告警 / 錯誤 / 授權 / 治理頁面 IwoooS 只讀反向橋接 + 稽核 / 工程審查頁面 IwoooS 深色只讀反向橋接 + IwoooS 前端資安頁面連接狀態板 + IwoooS GitHub 主要來源就緒度只讀狀態板 + AwoooP 工作鏈路 GitHub 主要來源就緒度只讀工作項 + AwoooP 合約儀表板 GitHub 主要來源就緒度合約只讀候選 + AwoooP 審批佇列 GitHub 主要來源就緒度審批邊界 + AwoooP 首頁 GitHub 主要來源就緒度只讀摘要 + AwoooP 租戶管理 GitHub 主要來源就緒度租戶範圍 + AwoooP 執行監控 GitHub 主要來源就緒度執行邊界 + IwoooS / AwoooP 資安可視區塊繁體中文呈現防護檢查 + AwoooP 執行詳情 / 審批詳情繁體中文呈現防護檢查 + AwoooP 首頁負責人回覆驗收總覽 + AwoooP 工作鏈路負責人回覆驗收只讀工作項 + AwoooP 合約儀表板負責人回覆驗收契約只讀候選 + AwoooP 審批佇列負責人回覆驗收只讀審查邊界 + AwoooP 租戶管理負責人回覆驗收租戶範圍 + AwoooP 執行監控負責人回覆驗收執行邊界 + AwoooP 執行詳情負責人回覆驗收詳情邊界 + AwoooP 審批決策負責人回覆驗收審批邊界 + IwoooS AwoooP 資安入口覆蓋狀態板 + IwoooS 階段式資安收斂節奏圖 + IwoooS 下一步人工收件作戰板 + IwoooS 人工回覆安全驗收閘道 + IwoooS 人工回覆審查結果分流 + IwoooS 人工決策準備佇列 + IwoooS 人工決策紀錄草稿防誤用 + IwoooS 人工決策正式紀錄負責人指派確認準備包 + IwoooS 人工決策正式紀錄負責人指派確認清單 + IwoooS 人工決策正式紀錄負責人指派確認結果分流 + IwoooS 人工決策正式紀錄負責人指派決策準備包 + IwoooS 人工決策正式紀錄負責人指派決策檢查清單 + IwoooS S4.9 負責人回覆封套欄位 + IwoooS S4.9 負責人回覆封套送件前檢查 + IwoooS S4.9 負責人回覆封套送件前結果分流 + IwoooS S4.9 負責人回覆送件請求草稿 + IwoooS S4.9 負責人回覆送件鏈路摘要 + IwoooS 低摩擦分階段收斂主控 + IwoooS 低摩擦下一步行動邊界 + IwoooS 64% 進度移動訊號驗收條 + IwoooS 第一個進度解鎖路徑 + IwoooS 第一解鎖證據包 + IwoooS 第一解鎖證據包預檢分流 + IwoooS 第一解鎖證據包補件路徑 + IwoooS 第一解鎖證據包補件送審前檢查 + IwoooS 第一解鎖證據包補件送審結果分流 + IwoooS 第一解鎖證據包 reviewer 指派準備包 + IwoooS 第一解鎖證據包 reviewer 指派前檢查 + IwoooS 第一解鎖證據包 reviewer 指派前檢查結果分流 + IwoooS 正式只讀 landing 與 Kali 112 只讀證據進度重估 |
| 本階段追加補充 | IwoooS 目前具體工作地圖 + IwoooS 目前具體交付清單 + IwoooS 目前阻塞與解除條件 + IwoooS 三軸進度與全產品套用範圍 + IwoooS 全產品分階段套用台帳 + IwoooS 全產品 rollout 波次驗收門檻 + IwoooS 全產品 rollout 驗收結果分流 + IwoooS 全產品證據接線地圖 + IwoooS 全產品證據接線預檢 + IwoooS 全產品證據接線預檢結果分流 + IwoooS 全產品預檢補件回收台帳 + IwoooS 全產品補件重試門檻 + IwoooS 全產品重試結果分流 + IwoooS 全產品人工審查候選準備 + IwoooS 全產品人工審查候選預檢 + IwoooS 全產品人工審查候選預檢結果分流 + IwoooS 全產品人工審查候選預檢補件回收台帳 + IwoooS 全產品人工審查候選預檢補件重試門檻 + IwoooS 全產品只讀套用快照 + P2-145 owner response acceptance gate 正式驗證完成 |
| P0 追加 | IwoooS P0 配置控管優先序前台正式驗證完成;Nginx public gateway、DNS / TLS / certbot、K8s / ArgoCD / production manifests、Workflow / runner / secret metadata、Public / admin / API runtime config、agent-bounty runtime / treasury 六類先列為即時風險配置;高價值配置 Gate 已補上 k8s/nginx/**、scripts/ops/**/*cert*、scripts/ops/**/*tls*,sample 從 matched=0 / C0=0 收斂到 matched=3 / C0=2;Gate 預設工作樹 preflight 已可讀取 staged / unstaged / untracked,本地 smoke 對臨時 k8s/nginx/* 檔命中 C0;Owner Packet snapshot 已同步為 packets=3 / c0=2,Coverage snapshot 已同步最新 patterns;IwoooS / AwoooP 前台 Owner Packet 摘要已正式驗證 packet=3 / c0=2,feature commit e999c16b、deploy marker 16c6b983、Gitea code-review 2973 / CD 2972 success;IwoooS posture projection snapshot / schema / guard 已同步 packet=3 / c0=2,不再保留舊 1 / 0 口徑;高價值配置 Owner Packet 收件預檢已新增 checks=9 / lanes=5 / required_fields=27 / blocked_requests=16;高價值配置 Owner Request 草稿包已新增 drafts=3 / handoff_fields=11 / forbidden_payloads=12 / sent=0;Public Gateway live conf 匯出請求包已新增 requests=3 / c0=2 / redaction_rules=8 / received=0;Public Gateway redacted export 收件預檢已新增 candidates=3 / c0=2 / checks=10 / rejection_guards=12 / received=0 / accepted=0;Public Gateway rendered diff / nginx gate 草稿已新增 candidates=3 / c0=2 / stages=7 / blocked=14 / rendered_diff=0 / runtime=0;Public Gateway owner response acceptance 只讀帳本已新增 candidates=3 / c0=2 / fields=33 / checks=22 / lanes=8 / blocked=28 / accepted=0 / runtime=0,並補上手動 / 緊急 gateway 變更的 intent、approval / break-glass、route health、rollback validation 與 post-change monitoring 必填 ref;DNS / TLS / certbot Owner Confirmation Request 已新增 requests=4 / c0=4 / fields=9 / questions=5 / guards=12 / received=0 / accepted=0;K8s / ArgoCD manifest repo-only 清冊已新增 files=49 / c0=36 / yaml=45 / kinds=20 / blocked=13 / runtime=0;K8s / ArgoCD Owner Request Draft 已新增 drafts=4 / c0=3 / fields=11 / sent=0 / runtime=0;K8s / ArgoCD owner response acceptance 只讀帳本已新增 candidates=4 / c0=3 / fields=11 / checks=12 / lanes=7 / blocked=18 / accepted=0 / runtime=0;K8s / ArgoCD GitOps 變更證據驗收已新增 candidates=4 / c0=3 / write_capable=4 / evidence_fields=18 / checks=18 / lanes=8 / blocked=28 / accepted=0 / runtime=0;K8s / ArgoCD Post-incident Readback Plan 已新增 candidates=4 / c0=3 / c1=1 / write_capable=4 / required_fields=31 / reviewer_checks=28 / lanes=10 / blocked=41 / accepted=0 / runtime=0;CD / Runner / Secret 注入變更證據驗收已新增 candidates=5 / c0=4 / write_capable=5 / workflow_files=33 / secret_names=42 / runner_labels=5 / evidence_fields=19 / checks=19 / lanes=8 / blocked=32 / accepted=0 / runtime=0;Public / Admin / API runtime config 變更證據驗收已新增 candidates=6 / c0=5 / write_capable=6 / source_refs=20 / evidence_fields=21 / checks=21 / lanes=8 / blocked=32 / accepted=0 / runtime=0,並把 raw namespace、repo slug、內部狀態碼與內部協作內容外洩列為拒收 / 隔離;Frontend public sensitive surface guard 已新增 files=225 / patterns=12 / allowlisted=2 / violations=0 / runtime=0,讓 public runtime config 成熟度 64% -> 66%、高價值配置平均 69% -> 70%;Backup / Restore / Escrow owner response acceptance 只讀帳本已更新為 candidates=38 / write_capable=27 / fields=33 / owner_fields=23 / reviewer_checks=22 / lanes=9 / blocked=31 / accepted=0 / runtime=0;SSH / Firewall / Network Access owner response acceptance 只讀帳本已新增 candidates=16 / write_capable=6 / fields=13 / checks=15 / lanes=7 / blocked=22 / accepted=0 / runtime=0;端口 / 防火牆變更證據驗收只讀帳本已新增 candidates=14 / write_capable=6 / policy_or_exposure=5 / evidence_fields=16 / checks=16 / lanes=8 / blocked=24 / accepted=0 / runtime=0;owner response / live evidence / runtime gate / action buttons 仍全部為 0 |
| P0 agent-bounty 追加 | agent-bounty-protocol Owner Request Draft 已新增 drafts=11 / control=4 / surface=7 / write_capable=8 / treasury=4 / mcp_a2a=5 / fields=22 / forbidden_inputs=25 / blocked=28 / sent=0 / runtime=0;這是 repo / refs、deployment、data classification、MCP / A2A、cron / daemon、admin / treasury、webhook / traffic 的人工送件前草稿,不是 owner response、repo push、refs sync、workflow 修改、secret 收集、deploy、compose restart、DB migration、claim / submit、payout / withdrawal、cron / daemon、external send、host write 或 runtime gate |
| P1 追加 | Docker / systemd / Host Service Owner Request Draft 已新增 drafts=9 / write_capable=3 / fields=12 / blocked=14 / sent=0 / runtime=0;Docker / systemd / Host Service Owner Response Acceptance 已更新為 candidates=9 / write_capable=3 / live_evidence_required=8 / fields=34 / owner_fields=18 / reviewer_checks=21 / lanes=8 / blocked=27 / accepted=0 / runtime=0;Docker / systemd / Host Service Change Evidence Acceptance 已新增 candidates=9 / write_capable=3 / live_evidence_required=8 / evidence_fields=45 / required_fields=25 / reviewer_checks=26 / lanes=10 / blocked=39 / accepted=0 / runtime=0;Docker / systemd / Host Service Post-incident Readback Plan 已新增 candidates=9 / write_capable=3 / live_evidence_required=8 / readback_fields=36 / required_fields=28 / reviewer_checks=28 / lanes=10 / blocked=41 / accepted=0 / runtime=0;AI provider / Model Routing Owner Response Acceptance 已新增 candidates=8 / write_capable=5 / paid_provider=5 / data_egress=6 / fields=37 / owner_fields=24 / reviewer_checks=24 / lanes=10 / blocked=38 / accepted=0 / runtime=0;SSH / Firewall / Network Access Owner Request Draft 已新增 drafts=16 / write_capable=6 / fields=13 / blocked=16 / sent=0 / runtime=0;Backup / Restore / Escrow Owner Request Draft 已新增 drafts=38 / write_capable=27 / fields=14 / blocked=18 / sent=0 / runtime=0;Backup / Restore / Escrow Owner Response Acceptance 已更新為 candidates=38 / write_capable=27 / owner_fields=23 / reviewer_checks=22 / lanes=9 / blocked=31 / accepted=0 / runtime=0;Backup / Restore / Escrow Post-incident Readback Plan 已新增 candidates=38 / write_capable=27 / live_evidence_required=38 / restore_drill_required=38 / offsite_or_escrow_required=20 / retention_or_remote_delete_required=17 / required_fields=34 / reviewer_checks=32 / lanes=11 / blocked=51 / accepted=0 / runtime=0;Monitoring / Alerting / Observability Owner Request Draft 已新增 drafts=60 / write_capable=11 / fields=14 / blocked=24 / sent=0 / runtime=0;Monitoring / Alerting / Observability Owner Response Acceptance 已更新為 candidates=60 / write_capable=11 / live_evidence_required=60 / fields=38 / owner_fields=14 / reviewer_checks=23 / lanes=12 / blocked=34 / accepted=0 / runtime=0,並補 incident context、receiver receipt、stale alert、silence / dedup、post-reload readback 與 false-green risk review;上述全部仍是人工送件前草稿、只讀 acceptance 帳本或事故後回讀計畫,不是 owner response、change evidence accepted、live evidence、provider switch、外部 provider call、付費呼叫、prompt send、reload、restart、backup、restore、offsite sync、remote delete、Telegram send、alert smoke、host write 或 runtime gate |
| P2 供應鏈追加 | Package / Docker 供應鏈 repo-only baseline 已新增 package_json=6 / pyproject=4 / requirements=2 / dockerfiles=2 / compose=6 / gaps=5 / runtime=0;Package / Docker 供應鏈 owner policy gate 已新增 requests=6 / c0=2 / fields=8 / checks=12 / blocked=20 / sent=0 / accepted=0 / runtime=0;缺口為 Python lockfile 缺席、requirements 未 pin、Docker base image 未全數 digest pinning、Docker COPY --from 外部 image 未 digest pinning、compose image 未 digest pinning,以及 CVE / license / SBOM window 未定;目前尚未列入 36 個正式 AwoooP 消費 contract,後續若要前台消費需同步 manifest / readiness / route / rollup / dry-run / posture projection / guard count;本輪不 install、不 upgrade、不跑 CVE、不 pull / build / push image、不改 tag、不登入 registry、不部署 |
| 原則 | 低摩擦分階段;文件、schema、read-only evidence 優先;不做 runtime enforcement、不切 primary |
| P0 主控板 | docs/workplans/2026-06-04-iwooos-security-governance-p0.md |
0.0 2026-06-19 Telegram 告警可讀性防退化 Guard
本輪把 Telegram 告警從「最後出口 formatter 已存在」再補成可重跑 guard:telegram_alert_readability_guard_v1 固定 source_formatter_marker_count=11、final_exit_contract_count=3、test_contract_count=11、ai_signal_lane_count=7、host_resource_lane_count=6、blocked_raw_output_marker_count=12、required_output_marker_count=7。
此 guard 明確鎖住 _send_request()、send_alert_notification() 與 send_text() 都必須套用告警 normalizer;Host CPU / root Node.js / Prisma / Next build、Wazuh、Kali、Nginx drift、backup / restore、provider freshness 與 supply-chain 類訊號必須轉成脫敏 AI 事件卡,不得把 process list、raw JSON、內網 IP、完整路徑、URL、token 或 raw Wazuh / Nginx path 直接送進 Telegram。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;Telegram 實發、Bot API call、delivery receipt、owner response accepted、direct egress migration、workflow / script / API sender 修改、secret collection、raw payload storage、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot 與 guard,不送 Telegram、不 reload Alertmanager、不改 receiver route、不打 live alert。
0.0a 2026-06-18 Backup / Restore / Escrow 事故後回讀計畫
本輪把 Backup / Restore / Escrow 從 owner response acceptance 再補一層 post-incident readback plan:backup_restore_post_incident_readback_plan_v1 固定 candidates=38、write_capable=27、live_evidence_required=38、restore_drill_required=38、offsite_or_escrow_required=20、retention_or_remote_delete_required=17、required_readback_fields=34、reviewer_checks=32、outcome_lanes=11、blocked_actions=51,並讓 backup_restore_credential 只讀治理成熟度 64% -> 66%,高價值配置平均成熟度維持 71%。新增要求包含 actor、時間窗、改前改後 freshness、backup status readback、restore drill、隔離 restore target、offsite sync、remote delete guard、credential escrow non-secret proof、retention runway、retention / prune decision、dependency map、data classification、restore observer、alert textfile、cold-start scorecard、cross-project sync、rollback、post-change monitoring、防再發與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;post-incident readback received / accepted、backup status accepted、restore drill accepted、offsite sync accepted、credential escrow non-secret proof accepted、retention runway accepted、backup health no-false-green accepted、backup run、restore run、offsite sync、remote delete、credential escrow marker write、retention change、restic prune、rclone config、Velero、kubectl、SSH、secret collection、host write、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、投影契約與前端 marker,不執行任何 live backup / restore / offsite / host 動作。
0.1 2026-06-15 Public Gateway / Nginx 事故後回讀計畫
本輪把 Public Gateway / Nginx 從 rendered diff evidence acceptance 再補一層事故後回讀計畫:public_gateway_post_incident_readback_plan_v1 固定 candidates=3、c0=2、c1=1、write_capable=3、readback_fields=36、required_readback_fields=30、reviewer_checks=28、outcome_lanes=10、blocked_actions=41,並讓 nginx_public_gateway 只讀治理成熟度 90% -> 92%,高價值配置平均成熟度維持 71%。新增要求包含 actor、變更時間窗、change intent / break-glass、改前改後 route、source-to-live diff、nginx -t readback、reload / no-reload、route smoke、TLS / ACME、WebSocket、upstream、AI provider、monitoring、operator notification、cross-project sync、rollback validation、post-change monitoring、postcheck、recurrence guard 與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;readback received / accepted、actor accepted、before / after route state accepted、source-live diff accepted、nginx -t readback accepted、reload / no-reload accepted、route smoke accepted、TLS / ACME accepted、WebSocket accepted、upstream accepted、AI provider accepted、monitoring accepted、cross-project sync accepted、no-false-green accepted、live conf read、nginx -t、reload、route smoke、DNS / TLS probe、certbot renew、host write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、schema、投影契約與前端 marker,不 SSH、不讀 live Nginx conf、不執行 nginx -t、不 reload、不做 route smoke、不改 DNS / TLS、不 renew cert、不寫主機。
0.00aaaaaaaaaa 2026-06-15 K8s / ArgoCD post-incident readback plan
本輪把 K8s / ArgoCD 從 GitOps 變更證據驗收再補一層事故後回讀計畫:k8s_argocd_post_incident_readback_plan_v1 固定 candidates=4、c0=3、c1=1、write_capable=4、readback_fields=36、required_readback_fields=31、reviewer_checks=28、outcome_lanes=10、blocked_actions=41,並讓 k8s_production_gitops 只讀治理成熟度 64% -> 66%,高價值配置平均成熟度維持 71%。新增要求包含 actor、ArgoCD app health、sync status、Degraded / Pending、image pull / scheduling、rollout before / after、event / metrics / alert、drift scanner、CronJob schedule、NetworkPolicy / RBAC / Secret metadata、public/admin route、AI provider / monitoring、backup / restore、operator notification、cross-project sync、postcheck、recurrence guard 與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;readback received / accepted、ArgoCD health accepted、sync accepted、Pending / image pull accepted、drift accepted、route / AI / monitoring impact accepted、cross-project sync accepted、no-false-green accepted、ArgoCD API read、ArgoCD sync、kubectl、Helm、NetworkPolicy / NodePort / RBAC 變更、route smoke、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、schema、投影契約與前端 marker,不連 ArgoCD、不跑 kubectl、不套用 manifest、不改 Secret、不改 NetworkPolicy / NodePort / RBAC、不碰 cluster live state。
0.00aaaaaaaa 2026-06-15 Docker / systemd / Host Service post-incident readback plan
本輪把 Docker / systemd / Host Service 從變更證據驗收再補一層事故後回讀計畫:host_service_post_incident_readback_plan_v1 固定 candidates=9、write_capable=3、live_evidence_required=8、readback_fields=36、required_readback_fields=28、reviewer_checks=28、outcome_lanes=10、blocked_actions=41,並讓 docker_compose_systemd_host_config 只讀治理成熟度 62% -> 64%、高價值配置平均成熟度 70% -> 71%。新增要求包含 actor、boot / recovery window、before / after、Docker daemon、compose、systemd、failed unit、port binding、public / admin route、AI provider、monitoring、operator notification、cross-project sync、restoration evidence、post-check、recurrence guard 與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;readback received / accepted、Docker daemon accepted、compose accepted、systemd accepted、route recovery accepted、monitoring accepted、cross-project sync accepted、recurrence guard accepted、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、投影契約與前端 marker,不 SSH、不讀 live host、不碰 Docker daemon、systemd、repair-bot、Ansible、route smoke、Nginx、firewall、iptables 或主機。
0.00aaaaaaa 2026-06-15 Docker / systemd / Host Service change evidence acceptance
本輪把 Docker / systemd / host service 從 owner response acceptance 再補一層事故 / 變更證據驗收只讀帳本:host_service_change_evidence_acceptance_v1 固定 candidates=9、write_capable=3、live_evidence_required=8、change_evidence_fields=45、required_evidence_fields=25、reviewer_checks=26、outcome_lanes=10、blocked_actions=39,並讓 docker_compose_systemd_host_config 只讀治理成熟度 58% -> 62%。新增要求包含重啟 actor、before / after service state、Docker daemon state、compose / systemd state、failed unit review、port binding、dependency impact、cold-start sequence、route recovery、operator notification、cross-project sync 與 no-false-green service health。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;change evidence、Docker daemon state、compose stack state、systemd unit state、failed unit review、port binding、route recovery、operator notification、postcheck evidence、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣與前端 marker,不 SSH、不讀 live host、不碰 Docker daemon、systemd、repair-bot、Ansible、route smoke、Nginx、firewall、iptables 或主機。
0.00aaaaaa1 2026-06-15 AI provider / Model Routing owner response acceptance
本輪把 AI router provider policy、Ollama proxy gateway、fallback order / circuit breaker、cost budget / quota、privacy / data egress、benchmark / dry-run、model card / version inventory 與 agent replacement candidate boundary 從 policy-ready 推進到 owner response acceptance 只讀帳本:ai_provider_owner_response_acceptance_v1 固定 candidates=8、write_capable=5、paid_provider=5、data_egress=6、live_evidence_required=6、acceptance_fields=37、owner_fields=24、reviewer_checks=24、outcome_lanes=10、blocked_actions=38,並讓 ai_provider_model_routing 只讀治理成熟度 60% -> 64%。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;owner response、fallback order、dry-run、benchmark、cost review、privacy review、prompt redaction、quality gate、provider switch、external provider call、paid provider call、prompt send、live endpoint probe、secret collection、SDK install、model download、shadow / canary、production deploy、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣、模型卡片脫敏與前端 marker,不呼叫模型、不切 provider、不改 proxy、不新增付費呼叫、不外送資料。
0.00aaaaaaa 2026-06-15 Monitoring / Alerting / Observability 事故後回讀計畫
本輪把 Prometheus、Alertmanager、Grafana、SigNoz、Sentry、Langfuse、OTEL、receiver route、silence policy、Telegram Bot 與 alert chain smoke 從 owner response acceptance 再補一層事故後回讀計畫:monitoring_post_incident_readback_plan_v1 固定 candidates=60、write_capable=11、live_evidence_required=60、alert_rule=13、deploy_or_reload=6、readback_fields=39、required_readback_fields=30、reviewer_checks=28、outcome_lanes=11、blocked_actions=53,並讓 monitoring_alerting_observability 只讀治理成熟度 68% -> 70%。新增要求包含 actor、change / outage time window、change intent / break-glass、before / after alert state、rule / datasource / scrape state、receiver route state、reload / no-reload、receiver receipt、stale / pending / resolved review、silence / mute / dedup / inhibit review、dashboard / trace / log freshness、notification metadata、alert chain health、cross-project sync、rollback / disable validation、post-change monitoring、postcheck、recurrence guard 與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;readback received / accepted、receiver receipt accepted、stale / silence accepted、alert chain health accepted、Prometheus reload、Alertmanager reload、Grafana import、SigNoz apply、Sentry deploy、Langfuse change、OTEL reload、receiver route change、silence change、Telegram send、live alert fire、alert chain smoke、secret collection、host write、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、投影契約與前端 marker,不連 live monitoring、不 reload、不改告警規則、不送 Telegram、不打 live alert、不跑 alert-chain smoke。
0.00aaaaaa 2026-06-15 Monitoring / Alerting / Observability owner response acceptance
本輪把 Prometheus、Alertmanager、Grafana、SigNoz、Sentry、Langfuse、OTEL、receiver route、silence policy、Telegram Bot 與 alert chain smoke 從 owner request draft 推進到 owner response acceptance 只讀帳本:monitoring_owner_response_acceptance_v1 固定 candidates=60、write_capable=11、live_evidence_required=60、acceptance_fields=38、owner_fields=14、reviewer_checks=23、outcome_lanes=12、blocked_actions=34,並讓 monitoring_alerting_observability 只讀治理成熟度 62% -> 68%。這是 owner response 收件驗收與 no-false-green 回補帳本,不是 owner response received / accepted / rejected、Prometheus reload、Alertmanager reload、Grafana import、SigNoz apply、Sentry deploy、Langfuse change、OTEL reload、receiver route change、silence change、Telegram send、live alert fire、alert chain smoke、runtime approval package 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;owner response、live evidence、reload、receiver route、silence policy、Telegram Bot、alert smoke、secret collection、host write、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣與 workplan,不讀 live conf、不改告警規則、不 reload 服務、不送 Telegram、不打 live alert、不部署。
0.00aaaaa 2026-06-15 Public / Admin / API runtime config 變更證據驗收
本輪把公開產品頁、AwoooP 後台、API / CORS、frontend env、Sentry tunnel、webhook / callback 與跨產品 runtime route 從 policy-ready 推進到變更證據驗收只讀帳本:public_runtime_config_change_evidence_acceptance_v1 固定 candidates=6、c0=5、c1=1、write_capable=6、source_refs=20、required_evidence_fields=21、reviewer_checks=21、outcome_lanes=8、blocked_actions=32,並讓 public_admin_api_runtime_config 只讀治理成熟度 62% -> 64%,高價值配置平均只讀成熟度仍維持 68%。這是 metadata-only 收件驗收,不是 affected route accepted、admin/auth boundary accepted、API readback accepted、CORS diff accepted、frontend env diff accepted、i18n redaction accepted、desktop/mobile smoke accepted、sensitive scan accepted、runtime approval package、route / CORS / env / auth / webhook 變更、frontend / API deploy、production deploy 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;raw owner namespace、repo slug、內部狀態碼、內部協作文字、cookie、token、secret value、DSN value、raw payload 與未脫敏截圖均為拒收或隔離條件。前台只能顯示脫敏產品 / 專案名稱與控管狀態,不得顯示個人 namespace、內部協作內容或抱怨語句。本段只更新文件、snapshot、guard、覆蓋矩陣與前端 marker,不改 route、不改 CORS、不改 env、不部署、不碰主機。
2026-06-15 追加 Frontend public sensitive surface guard:public_frontend_sensitive_surface_guard_v1 固定掃描 files=225、patterns=12、allowlisted=2、violations=0、env_violation=0、runtime=0,並接入 security-mirror-progress-guard.py。此更新讓 public_admin_api_runtime_config 只讀治理成熟度 64% -> 66%,高價值配置平均成熟度 69% -> 70%;仍不是 production bundle scan accepted、desktop / mobile production smoke accepted、owner response accepted、route / CORS / env / auth / webhook 變更、frontend / API deploy 或 runtime gate。
0.00aaaab 2026-06-15 SSH / Network / Firewall 事故後回讀計畫
本輪把 SSH / Firewall / Network Access 從端口 / 防火牆變更證據驗收再補一層 post-incident readback plan:ssh_network_post_incident_readback_plan_v1 固定 candidates=14、write_capable=6、policy_or_exposure=5、required_readback_fields=24、reviewer_checks=24、outcome_lanes=10、blocked_actions=34,並讓 ssh_firewall_network_access 只讀治理成熟度 62% -> 64%,高價值配置平均成熟度仍維持 70%。這是 metadata-only 事故後回讀計畫,不是 post-incident readback accepted、actor attribution accepted、before / after accepted、service / public route / AI provider / monitoring impact accepted、operator notification accepted、cross-project sync accepted、restoration evidence accepted、recurrence guard accepted、firewall change、port close / open、route smoke、host restart、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;readback received / accepted、actor、before / after、impact、通知、跨專案同步、恢復證據、防再發與 no-false-green accepted 全部仍為 0 / false。本段只更新文件、snapshot、guard、投影契約與前端 marker,不碰 Nginx、firewall、iptables、ufw、Docker、systemd、主機、provider endpoint 或 live route。
0.00aaaa 2026-06-15 CD / Runner / Secret 注入變更證據驗收
本輪把 CD pipeline、程式碼審查、部署通知、執行器證明與 repository secret name parity / injection owner 從 workflow / secret name owner response 再補一層變更證據驗收只讀帳本:cd_runner_secret_injection_change_evidence_acceptance_v1 固定 candidates=5、c0=4、c1=1、write_capable=5、workflow_files=33、referenced_secret_names=42、runner_labels=5、required_evidence_fields=19、reviewer_checks=19、outcome_lanes=8、blocked_actions=32,並讓 secret_metadata 只讀治理成熟度 66% -> 68%、gitea_workflow_runner_source_control 只讀治理成熟度 70% -> 72%,高價值配置平均只讀成熟度仍維持 68%。這是 metadata-only 收件驗收,不是 workflow diff accepted、runner attestation accepted、secret parity accepted、secret injection route accepted、deploy marker readback accepted、guard result accepted、post-check accepted、runtime approval package、workflow modification、runner change、repo secret change、secret rotation、Gitea action dispatch、production deploy 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;workflow diff、runner attestation、secret name parity、secret injection route、deploy marker readback、guard result、postcheck evidence、runtime approval package、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣與前端 marker,不呼叫 Gitea / GitHub API、不讀 secret store、不讀 secret value、不修改 workflow、不啟用 runner、不 rotate secret、不 dispatch workflow、不觸發部署。
0.00aaaa0 2026-06-16 CD / Runner / Secret 注入事故後回讀計畫
本輪把 CD pipeline、程式碼審查、部署通知、執行器證明與 repository secret name parity / injection owner 從 change evidence acceptance 再補一層事故後回讀計畫:cd_runner_secret_injection_post_incident_readback_plan_v1 固定 candidates=5、c0=4、c1=1、write_capable=5、readback_fields=44、required_readback_fields=33、reviewer_checks=30、outcome_lanes=11、blocked_actions=52,並讓 secret_metadata 只讀治理成熟度 68% -> 70%、gitea_workflow_runner_source_control 只讀治理成熟度 72% -> 74%,高價值配置平均只讀成熟度仍維持 71%。新增要求包含 actor、change time window、workflow diff state、runner attestation、executor / host、workspace cleanup、permission scope、secret name parity、secret injection route、step-env secret guard、log redaction、deploy marker / Gitea run、webhook / notification receipt、before / after deploy state、cross-project sync、rollback validation、post-check、post-change monitoring、recurrence guard 與 no-false-green attestation。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;post-incident readback received / accepted、workflow diff state accepted、runner attestation accepted、secret name parity accepted、secret injection route accepted、deploy marker readback accepted、Gitea run readback accepted、log redaction readback accepted、workflow modification、workflow dispatch、runner change、repo secret change、secret injection change、webhook / deploy key / branch protection / CODEOWNERS change、K8s secret injection、ArgoCD sync、production deploy、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣、投影契約與前端 marker,不呼叫 Gitea / GitHub API、不讀 secret store、不讀 secret value、不修改 workflow、不啟用 runner、不 rotate secret、不 dispatch workflow、不觸發部署。
0.00aaaa1 2026-06-18 Telegram 通知出口旁路清冊
本輪把 repo 內 direct Telegram Bot API sendMessage 旁路納入 notification egress 只讀清冊:telegram_notification_egress_inventory_v1 固定 direct_bot_api_file_count=11、direct_bot_api_call_count=18、workflow_direct_bot_api_call_count=13、ops_script_direct_bot_api_call_count=4、api_direct_bot_api_call_count=1、gateway_normalized_callsite_count=56、gateway_final_exit_formatter_present_count=1、required_owner_field_count=18、reviewer_check_count=14、outcome_lane_count=9、blocked_action_count=22。這是 metadata-only 清冊,不是 owner response received / accepted、formatter convergence accepted、delivery receipt accepted、workflow / script modification、Telegram send、Bot API call、secret collection、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;direct Bot API migration authorized、Telegram send authorized、Bot API call authorized、workflow modification authorized、script modification authorized、secret value collection、raw payload storage、production write、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard 與通知模型,不改 workflow、不重構 API、不呼叫 Telegram、不讀 Bot token、不 dispatch workflow、不觸發部署。
同日再新增 telegram_notification_egress_owner_request_draft_v1,把 11 個 direct egress 檔案轉成人工送件前草稿。固定 request_draft_count=11、workflow 6、ops script 4、API direct 1、required_owner_field_count=19、preflight_check_count=16、outcome_lane_count=9、forbidden_payload_count=14、blocked_action_count=26。這是 handoff envelope,不是 request sent、recipient confirmed、audit event emitted、owner response accepted、formatter convergence accepted、workflow / script modification、API sender refactor、Telegram send、Bot API call、secret collection、production write 或 runtime gate。
同日再新增 telegram_notification_egress_migration_plan_draft_v1,把 11 份草稿排成 workflow notification wrapper、ops notification wrapper、API sender gateway 三個 no-runtime 遷移波次。固定 migration_candidate_count=11、workflow 6、ops script 4、API direct 1、proposed_wave_count=3、owner_response_required_count=11、maintenance_window_required_count=11、rollback_owner_required_count=11、migration_authorized_count=0、runtime_gate_count=0。這是遷移計畫草稿,不是 workflow / script / API sender 變更,也不是 Telegram send、Bot API call、secret collection 或 production write。
0.00aaaa2 2026-06-19 Telegram 通知出口防新增旁路與 owner response acceptance
本輪新增 telegram_notification_egress_no_new_bypass_guard_v1,把既有 18 個 direct send 固定成 no-new-bypass baseline,並把 sendDocument、sendPhoto、sendMediaGroup、editMessageText 等附件 / 編輯型 Bot API method 一併納入 repo source guard。固定 current_direct_bot_api_call_count=18、guarded_method_count=9、new_bypass_count=0、sendDocument_call_count=0、removed_baseline_call_count=0、runtime_gate_count=0。
同步新增 telegram_notification_egress_owner_response_acceptance_v1,把 11 個 direct egress 檔案轉成 reviewer 可驗收的 owner response acceptance 候選。2026-06-19 已補 message_readability_guard_ref=docs/security/telegram-alert-readability-guard.snapshot.json,讓 direct egress 遷移審查必須同時引用告警可讀性、脫敏、runtime_write_gate=controlled 事件卡語意、no-false-green guard,以及 Telegram send / runtime gate 仍為 0 / false 的邊界。固定 acceptance_candidate_count=11、workflow 6、ops script 4、API direct 1、acceptance_field_count=33、required_owner_field_count=19、reviewer_check_count=23、outcome_lane_count=10、forbidden_payload_count=14、blocked_action_count=35。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;既有 direct Bot API 收斂仍為 0%,owner response received / accepted、migration authorized、workflow / script / API sender modification、Telegram send、Bot API call、workflow dispatch、production deploy、secret value collection、raw payload storage、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot 與 guard,不送 Telegram、不讀 Bot token、不改 workflow、不改 host、不 dispatch workflow、不觸發部署。
0.00aaa 2026-06-15 K8s / ArgoCD GitOps 變更證據驗收
本輪把 K8s / ArgoCD 從 owner response acceptance 推進到 GitOps 變更證據驗收只讀帳本:k8s_argocd_change_evidence_acceptance_v1 固定 candidates=4、c0=3、write_capable=4、required_evidence_fields=18、reviewer_checks=18、outcome_lanes=8、blocked_actions=28,並讓 k8s_production_gitops 只讀治理成熟度 62% -> 64%,高價值配置平均只讀成熟度仍維持 68%。這是 metadata-only 收件驗收,不是 change evidence received / accepted、runtime approval package、ArgoCD API read、ArgoCD sync、kubectl action、Helm upgrade、NetworkPolicy apply、NodePort change、RBAC change、live cluster read、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;proposed commit、rendered manifest diff、ArgoCD app / sync revision、health before / after、rollout、route smoke、metrics / alert、secret metadata parity、blast radius、maintenance window、rollback revision、postcheck owner、runtime gate 與 action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣與前端 marker,不連 ArgoCD、不跑 kubectl、不套用 manifest、不改 secret、不改 NetworkPolicy / NodePort / RBAC。
0.00aa 2026-06-15 端口 / 防火牆變更證據驗收
本輪把 SSH / Firewall / Network Access 從 owner response acceptance 再補一層 change evidence acceptance 只讀帳本:port_firewall_change_evidence_acceptance_v1 固定 candidates=14、write_capable=6、policy_or_exposure=5、required_evidence_fields=16、reviewer_checks=16、outcome_lanes=8、blocked_actions=24,並讓 ssh_firewall_network_access 只讀治理成熟度 58% -> 60%,高價值配置平均只讀成熟度維持 68%。這是 metadata-only 事故 / 變更證據驗收,不是 change evidence received / accepted、live firewall read、SSH、firewall change、port close / open、NetworkPolicy apply、NodePort change、WireGuard change、route smoke、host restart、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;change evidence / actor / before-after / impact / cross-project sync / post-check / runtime gate / action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard、覆蓋矩陣與前端 marker,不碰 Nginx、firewall、iptables、ufw、Docker、systemd、主機或 live route。
0.00a 2026-06-14 Docker / systemd / host service owner response acceptance
本輪把 Docker / systemd / host service owner response acceptance 追加事故回補:host_service_owner_response_acceptance_v1 固定 candidates=9、write_capable=3、live_evidence_required=8、acceptance_fields=34、owner_fields=18、reviewer_checks=21、outcome_lanes=8、blocked_actions=27,並讓 docker_compose_systemd_host_config 只讀治理成熟度 54% -> 58%。新增要求包含 source-of-truth、服務依賴圖、port binding、cold-start sequence、incident recovery evidence 與 daemon / runner contention review。這是 metadata-only 收件驗收,不是 request sent、owner response received / accepted、live host read、SSH、Docker Compose、systemctl、repair-bot、Ansible、sudo、host write、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;owner response / live evidence / runtime gate / action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard 與覆蓋矩陣,不改前端 bundle、不部署、不碰 Docker daemon、systemd、repair-bot、Ansible、Nginx、firewall 或主機。
0.00 2026-06-14 DNS / TLS / certbot owner response acceptance
本輪把 DNS / TLS / certbot 從 owner confirmation request 草稿推進到 owner response acceptance 只讀帳本:domain_tls_certbot_owner_response_acceptance_v1 固定 candidates=4、c0=4、owner_fields=13、reviewer_checks=13、outcome_lanes=7、blocked_actions=20,並讓 dns_tls_certbot 只讀治理成熟度 74% -> 78%。這是 metadata-only 收件驗收,不是 request sent、owner response received / accepted、certificate coverage confirmed、DNS query、live TLS probe、certbot renew、Nginx reload、route smoke、host write、production write 或 runtime gate。
同步邊界:IwoooS headline 維持 64%,active runtime gate 維持 0;owner response / live evidence / runtime gate / action buttons 全部仍為 0 / false。本段只更新文件、snapshot、guard 與覆蓋矩陣,不改前端 bundle、不部署、不碰 DNS provider、TLS private key、certbot account、Nginx 或主機。
0.0 2026-06-04 IwoooS P0 狀態邊界
本輪工作只推進 IwoooS 規範、總帳、owner response gate 與跨 Session 同步邊界,不代表 runtime、Kali、GitHub primary 或 AwoooP execution 已授權。
| 面向 | 目前狀態 | 可否調高 |
|---|---|---|
| IwoooS 整體 | 64% | 否;S4.9 未收到 / 未接受前不得調高 |
| 框架 / 只讀證據 / 前台可視化 | 92% | 否;本輪只補治理與驗證流程 |
| runtime landing | 40-45% | 否;只讀頁可見不等於 runtime ingestion |
| active runtime gate | 0 | 否;必須維持 0 |
| owner response received / accepted | 0 / 0 | 否;只有合格 owner response 通過預檢與 reviewer checklist 後才可變更 |
| GitHub primary ready | 0 | 否;只讀盤點不建立 repo、不同步 refs、不切 primary |
| Kali 112 | 已納入只讀證據;完整維護未開始 | 否;不更新、不重啟、不 hardening、不 active scan |
P0 執行順序固定為:先同步 gitea/main 與另一個 AwoooP Session,再確認乾淨 worktree,然後只做 docs / snapshot / guard 類變更。每個可部署階段完成後才可進 production desktop / mobile sanity;純文件階段至少要跑相關只讀 guard 與 git diff --check。
0. 本階段完成後整體進度
0.1 2026-06-04 整體進度估算
| 進度面向 | 估算 | 判讀 |
|---|---|---|
| 整體資安網 | 64% | 框架與只讀治理已成形,AwoooP 正式只讀 landing 與 Kali 112 今日只讀證據已有正式站證據,仍等待 owner response、redacted payload、runtime gate 與 GitHub primary readiness |
| 框架 / 治理 / 文件 / schema / read-only evidence | 92% | 36 個主要 contract 中 33 ready、2 partial、1 contract-only、0 blocked,Kali 112 scanner health 與維護闖關路徑已前台化,且全產品只讀套用範圍已前台化 |
| 真正落地執行 / runtime ingestion / GitHub primary / AwoooP production landing | 40-45% | AwoooP 正式只讀 landing evidence=1、Kali 112 read-only evidence=1;owner response 仍 0、active runtime gate 仍 0、payload ingestion=false、github_primary_ready_count=0 |
這個進度估算用於雙 Session 同步與階段判讀,不是 approval、runtime execution、GitHub primary cutover 或 Kali scan authorization。現階段仍維持統帥要求的低摩擦策略:先建完整框架與 evidence,之後再分階段收斂。
本估算可用以下只讀 guard 驗證:
python3 scripts/security/security-mirror-progress-guard.py
0.2 Headline 64% 不代表 runtime 授權
近期 AwoooP production read-only landing 已有 commit、CD 與正式站路由證據,因此 headline 先從 58% 保守重估到 61%。2026-06-04 又將 Kali 112 SSH 只讀快照、scanner 127.0.0.1:8080/health 與正式站 /zh-TW/iwooos desktop / mobile 維護闖關路徑納入證據,因此目前保守重估到 64%。S4.10、S4.11、S4.12、S4.13、S1.3、S2.8 與 S2.9-S2.141 仍是有效進展,但多數屬於框架細節,不是負責人回覆、執行期閘門、生產匯入或 GitHub 主要來源就緒;因此不能把 64% 解讀成 runtime enforcement、Kali active scan、SSH 變更、主機更新或服務硬化授權。
S2.50 / S2.113 也把六個可見 gate 拆開:owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready、AwoooP read-only landing、Kali 112 read-only evidence。目前 AwoooP read-only landing evidence=1、Kali 112 read-only evidence=1;其餘四項仍是 0 / false,所以 headline 下一次不應被灌水提高。S2.141 只把「所有專案產品是否都有套用」改成 /iwooos 預設展開區的 compact snapshot,降低 UI/UX 理解成本;runtime delta 仍是 0。
| 最近完成 | 目前狀態 | headline delta |
|---|---|---|
| S4.10 request packet | 已完成草案,只顯示 owner 要回覆什麼 | 0 |
| S4.10 template status ledger | 已完成草案,9 個 targets 仍 waiting owner response | 0 |
| S4.10 audit event templates | 已完成草案,emitted_event_count=0 |
0 |
| S4.10 redaction examples | 已完成草案,只示範脫敏 metadata shape | 0 |
| S4.10 collection checks | 已完成草案,只維持 request / received / accepted 狀態分離 | 0 |
| S4.10 intake preflight checks | 已完成草案,只分類可收、補證、隔離或拒收 | 0 |
| S4.11 request packet | 已完成草案,只顯示 owner 要回覆哪 5 類 refs truth 問題 | 0 |
| S4.11 template status ledger | 已完成草案,5 類 refs truth responses 仍 waiting owner response | 0 |
| S4.11 audit event templates | 已完成草案,emitted_event_count=0 |
0 |
| S4.11 redaction examples | 已完成草案,只示範脫敏 metadata shape | 0 |
| S4.11 collection checks | 已完成草案,只維持 request / received / accepted 狀態分離 | 0 |
| S4.11 intake preflight checks | 已完成草案,只分類可審、補證、隔離、拒收或等待 | 0 |
| S4.12 request packet | 已完成草案,只顯示 owner 要回覆哪 5 類 workflow / secret 名稱問題 | 0 |
| S4.12 template status ledger | 已完成草案,5 類 workflow / secret 名稱 responses 仍 waiting owner response | 0 |
| S4.12 audit event templates | 已完成草案,emitted_event_count=0,只定義脫敏 metadata |
0 |
| S4.12 redaction examples | 已完成草案,只示範安全 metadata shape | 0 |
| S4.12 collection checks | 已完成草案,只維持 request / received / accepted 狀態分離 | 0 |
| S4.12 intake preflight checks | 已完成草案,只分類可審、補證、隔離或拒收 | 0 |
| S4.13 evidence routing rules | 已完成草案,只路由 owner evidence pointer 到補證、隔離、拒收、跨包 review 或只讀更新 | 0 |
| S4.13 display sections | 已完成草案,只固定 AwoooP 操作控制台的 read-only 呈現順序 | 0 |
| S4.13 state transition rules | 已完成草案,只固定 owner response validation 的 read-only 狀態語義 | 0 |
| S4.13 reviewer checklist | 已完成草案,只提供人工審查順序與只讀檢查提示 | 0 |
| S4.13 reviewer outcome lanes | 已完成草案,只分類等待、補證、隔離、拒收、跨包 review、只讀候選或等待 runtime gate | 0 |
| S4.13 reviewer audit event templates | 已完成草案,只定義未來可留痕的脫敏 metadata,emitted 仍為 0 | 0 |
| S4.13 reviewer audit display sections | 已完成草案,只固定 audit templates、允許 metadata、禁止 payload、0 emitted 與非授權邊界的顯示方式 | 0 |
| S4.13 reviewer audit collection checks | 已完成草案,只檢查 metadata-only、forbidden payload blocked、emitted=0、無 runtime side effect 與 counters 不變 | 0 |
| S4.13 reviewer audit redaction examples | 已完成草案,只示範 reviewer audit metadata 的安全顯示形狀 | 0 |
| S4.13 reviewer audit retention rules | 已完成草案,只定義 reviewer audit metadata 可保留的安全形狀與 raw payload 拒收邊界 | 0 |
| S4.13 reviewer audit retention checks | 已完成草案,只確認 retention rules 可見、metadata-only、raw payload / secret retention blocked、counter snapshot-only 與無 runtime side effect | 0 |
| S4.13 reviewer audit handoff packets | 已完成草案,只整理跨 Session resume、必讀 source packets、安全顯示欄位、禁止 runtime 誤讀、下一個 owner response focus 與後續 gates | 0 |
| S4.13 reviewer audit handoff checks | 已完成草案,只確認 handoff packets 可見、counters 不變、source packets 必讀、安全顯示欄位、runtime 誤讀阻擋與 next focus 未被標記 received | 0 |
| S4.13 parallel session sync checks | 已完成草案,只確認同一 PR 分支、latest delta、0 counters、false flags、source-control mutation 禁令與 S4.9 next focus | 0 |
| S4.13 parallel session conflict lanes | 已完成草案,只把 stale branch、stale delta、counter drift、runtime flag drift、source-control mutation request 與 next focus drift 分流到停下重讀或人工 review | 0 |
| S4.13 parallel session recovery checks | 已完成草案,只確認 conflict lane 後要重抓遠端、重讀 latest ledger、重跑只讀 guards、review diff、確認 false flags 與回到 S4.9 next focus | 0 |
| S4.13 parallel session recovery outcome lanes | 已完成草案,只分類 ready、branch diverged、ledger stale、guard failed、diff out-of-scope、runtime flag drift 或 next focus drift | 0 |
| S1.3 low-friction non-blocking escalation lanes | 已完成草案,只確認 LOW / MEDIUM、缺 owner response、partial mirror、source-control drift、Kali observe finding、workflow / secret name gap 與 headline holding 維持 observe / warn | 0 |
| S2.8 IwoooS frontend posture entry | 已完成草案,新增 /iwooos read-only Security Posture / Exposure 入口;此入口目前由後續 S2.169 重估為整體 64%、框架 92%、runtime 40-45%,仍顯示 Kali / source-control / approval boundary 與 non-blocking lanes |
0 |
| S2.9 IwoooS posture projection contract | 已完成草案,新增 iwooos_posture_projection_v1,把 /iwooos 的 posture、progress、lanes、evidence refs 與 forbidden actions 固定成可驗證 snapshot |
0 |
| S2.10 IwoooS existing frontend surface integration | 已完成草案,將前端既有 /security-compliance、/security、/compliance、/alerts、/errors、/authorizations、/governance、/alert-operation-logs、/awooop/approvals、/code-review 收成 IwoooS 只讀索引 |
0 |
| S2.11 IwoooS surface coverage boundary matrix | 已完成草案,將 10 個既有前端資安頁面分成訊號與暴露面、人工控制、治理與稽核、工程審查四面,並補 5 個重疊 / 衝突控制 | 0 |
| S2.12 IwoooS operator journey projection | 已完成草案,將讀態勢、開既有頁面、判讀非阻擋分流、收 owner evidence、等待人工決策、準備後續 runtime gate 固定為 6 個只讀旅程階段 | 0 |
| S2.13 IwoooS owner evidence readiness board | 已完成草案,將 S4.9 / S4.10 / S4.11 / S4.12 owner response、redacted finding ingestion、Kali scan scope、follow-up runtime gate 固定為 7 個只讀 readiness items | 0 |
| S2.14 IwoooS host coverage view | 已完成草案,將 Kali 112、開發主機 168、開發主機 111 固定為 3 個只讀 host coverage items;active scan、SSH 變更、主機更新、credentialed scan 與 runtime control 仍未批准 | 0 |
| S2.15 IwoooS host action gate matrix | 已完成草案,將 active scan、credentialed scan、Kali /execute、SSH / host change、Kali update、runtime blocking control 固定為 6 個只讀 gate items |
0 |
| S2.16 IwoooS host evidence readiness board | 已完成草案,將 scope boundary、owner decision、credential handling、maintenance window、rollback plan、validation metrics、redacted ingestion 固定為 7 個只讀 readiness items | 0 |
| S2.17 IwoooS host evidence collection order | 已完成草案,將七個主機 evidence readiness items 排成只讀收件順序與依賴關係;received / accepted 仍為 0 | 0 |
| S2.18 IwoooS host evidence intake preflight | 已完成草案,將主機 evidence 進人工 review 前的 metadata pointer、dependency、scope、owner decision、credential plaintext、raw payload 與 counter freeze 預檢顯示成只讀規則 | 0 |
| S2.19 IwoooS host evidence review outcome lanes | 已完成草案,將 preflight 後的 ready for human review、needs scope、needs owner decision、quarantine、reject raw payload、reject credential plaintext 與 waiting runtime gate 顯示成只讀分流 | 0 |
| S2.20 IwoooS host evidence review handoff packets | 已完成草案,將 scope summary、owner decision、credential handling、maintenance / rollback、validation metrics、redaction attestation 與 runtime gate pointer 顯示成七個只讀交接包 | 0 |
| S2.21 IwoooS host evidence reviewer checklist | 已完成草案,將 scope boundary、owner decision、credential handling、redaction、maintenance / rollback、validation metrics 與 runtime gate separation 顯示成七個只讀 reviewer checks | 0 |
| S2.22 IwoooS host evidence reviewer outcome lanes | 已完成草案,將 owner decision candidate、scope mismatch、owner expired、credential metadata failed、redaction failed、rollback missing 與 runtime gate required 顯示成七個只讀 outcome lanes | 0 |
| S2.23 IwoooS host owner decision candidate packets | 已完成草案,將 scope approval、scan mode、credential handling、maintenance window、rollback owner、validation metrics 與 runtime gate 顯示成七個只讀 owner decision candidate packets | 0 |
| S2.24 IwoooS host owner decision review checklist | 已完成草案,將 scope readable、scan mode not authorization、credential metadata-only、maintenance not change、rollback owner、validation metrics 與 runtime gate separation 顯示成七個只讀 owner review checks | 0 |
| S2.25 IwoooS host owner decision review outcome lanes | 已完成草案,將 ready for decision record、scope refresh、scan mode scope review、credential boundary failed、maintenance window missing、rollback owner missing 與 runtime gate required 顯示成七個只讀 owner review outcome lanes | 0 |
| S2.26 IwoooS host owner decision record draft packets | 已完成草案,將 scope statement、scan mode、credential boundary、maintenance constraints、rollback owner、validation metrics 與 runtime gate pointer 顯示成七個只讀 decision record 草稿包 | 0 |
| S2.27 IwoooS host owner decision record draft review checklist | 已完成草案,將 scope statement complete、scan mode still not approval、credential boundary metadata only、maintenance constraints readable、rollback owner readable、validation metrics linked 與 runtime gate still closed 顯示成七個只讀草稿核對項 | 0 |
| S2.28 IwoooS host owner decision record draft review outcome lanes | 已完成草案,將 ready for write-up、scope draft incomplete、scan mode ambiguous、credential boundary incomplete、maintenance constraints incomplete、rollback owner incomplete 與 runtime gate still required 顯示成七個只讀草稿核對結果分流 | 0 |
| S2.29 IwoooS host owner decision record write-up packets | 已完成草案,將 decision summary、approved scope、scan mode limits、credential boundary、maintenance / rollback、validation evidence 與 runtime gate pointer 顯示成七個只讀正式撰寫欄位 | 0 |
| S2.30 IwoooS host owner decision record write-up review checklist | 已完成草案,將 decision summary readable、scope / expiry complete、scan mode limits explicit、credential metadata-only、maintenance / rollback linked、validation evidence linked 與 runtime gate separate 顯示成七個只讀核對項 | 0 |
| S2.31 IwoooS host owner decision record write-up review outcome lanes | 已完成草案,將 ready for formal record candidate、decision summary needs clarification、scope / expiry needs refresh、scan mode limits ambiguous、credential boundary failed、maintenance / rollback incomplete 與 runtime gate still required 顯示成七個只讀結果分流 | 0 |
| S2.32 IwoooS host owner decision record formal candidate packets | 已完成草案,將 record identity、decision summary、approved scope、scan mode limits、credential boundary、maintenance / rollback、validation / runtime gate 顯示成七個只讀 formal candidate 欄位 | 0 |
| S2.33 IwoooS host owner decision record formal candidate review checklist | 已完成草案,將 record identity traceable、decision summary readable、scope / expiry consistent、scan limits not authorization、credential metadata-only、maintenance / rollback traceable 與 runtime gate closed 顯示成七個只讀候選核對項 | 0 |
| S2.34 IwoooS host owner decision record formal candidate review outcome lanes | 已完成草案,將 ready for human record queue、identity needs trace、summary needs clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete 與 runtime gate required 顯示成八個只讀結果分流 | 0 |
| S2.35 IwoooS host owner decision record formal record queue packets | 已完成草案,將 queue identity、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 顯示成八個只讀佇列資料包 | 0 |
| S2.36 IwoooS host owner decision record formal record queue review checklist | 已完成草案,將 queue identity traceable、decision summary readable、scope / expiry fresh、scan limits not authorization、credential metadata-only、maintenance / rollback linked、validation gate separate、no-execution attestation present 顯示成八個只讀核對項 | 0 |
| S2.37 IwoooS host owner decision record formal record queue review outcome lanes | 已完成草案,將 ready for human record owner handoff、identity trace refresh、summary clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate required 顯示成八個只讀結果分流 | 0 |
| S2.38 IwoooS host owner decision record human handoff readiness packets | 已完成草案,將 handoff identity、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、runtime gate separation 顯示成八個只讀 readiness packets | 0 |
| S2.39 IwoooS host owner decision record human handoff readiness review checklist | 已完成草案,將 identity trace、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、runtime gate separation 顯示成八個只讀 checklist items | 0 |
| S2.40 IwoooS host owner decision record human handoff readiness review outcome lanes | 已完成草案,將 ready candidate、identity trace refresh、owner boundary clarification、decision summary clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate required 顯示成九個只讀 outcome lanes | 0 |
| S2.41 IwoooS host owner decision record human record owner review candidate packets | 已完成草案,將 candidate identity、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 顯示成九個只讀 candidate packets | 0 |
| S2.42 IwoooS host owner decision record human record owner review candidate checklist | 已完成草案,將 identity traceable、owner boundary readable、decision summary readable、scope / expiry current、scan limits not authorization、credential metadata-only、maintenance / rollback traceable、validation / runtime gate separate、no-execution attestation present 顯示成九個只讀 checklist items | 0 |
| S2.43 IwoooS host owner decision record human record owner review candidate outcome lanes | 已完成草案,將 ready for human record owner review preparation candidate、identity trace refresh、owner boundary clarification、decision summary clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate required 顯示成九個只讀結果分流 | 0 |
| S2.44 IwoooS host owner decision record human record owner review preparation packets | 已完成草案,將 preparation identity trace、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 顯示成九個只讀 preparation packets | 0 |
| S2.45 IwoooS host owner decision record human record owner review preparation checklist | 已完成草案,將 preparation identity trace readable、owner boundary readable、decision summary readable、scope / expiry current、scan limits not authorization、credential metadata-only、maintenance / rollback traceable、validation / runtime gate separate、no-execution attestation present 顯示成九個只讀核對項 | 0 |
| S2.46 IwoooS progress acceleration lanes | 已完成草案,將 owner response、redacted ingestion、runtime gate、GitHub readiness、AwoooP landing 與 cadence compression 六個真正會影響進度感的解鎖 lane 顯示在 IwoooS;headline 仍只在高層 gate 有 evidence 時 review | 0 |
| S2.47 IwoooS owner response next-action focus | 已完成草案,將 S4.9 Gitea owner attestation 固定為下一個收件焦點,S4.10 / S4.11 / S4.12 依序排隊;received / accepted 仍為 0 | 0 |
| S2.48 IwoooS S4.9 owner response preflight | 已完成草案,將 S4.9 六個收件前檢查顯示在 IwoooS;request sent、received / accepted / rejected、preflight passed、audit emitted 仍為 0 | 0 |
| S2.49 IwoooS S4.9 owner response request templates | 已完成草案,將 S4.9 五個 request-ready-not-sent templates 顯示在 IwoooS;request sent、received / accepted / rejected、audit emitted 仍為 0 | 0 |
| S2.50 IwoooS progress hold movement gates | 已完成草案,將 headline 維持原因拆成 owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready、AwoooP read-only landing 與 Kali 112 read-only evidence 六個 gate;目前已成立 2 項,其餘仍為 0 / false | 0 |
| S2.51 IwoooS AwoooP read-only landing readiness | 已完成草案,將 AwoooP 只讀接入前的 rollup snapshot、evidence refs、guard checks、route groups、forbidden outputs 與 production handoff pending 顯示在 IwoooS;production_landing_enabled 仍為 false | 0 |
| S2.52 IwoooS AwoooP cross-session handoff packets | 已完成草案,將另一個 Session 接手前的 PR / branch、progress semantics、guard commands、forbidden runtime actions、read-only inputs 與 next coordination gate 顯示在 IwoooS;production_landing_enabled 仍為 false | 0 |
| S2.53 AwoooP home IwoooS security mirror candidate | 已完成草案,將 IwoooS / security mirror headline、framework、runtime、active gates 與四個接入檢查放入 AwoooP 首頁只讀候選面板;production_landing_enabled 仍為 false | 0 |
| S2.54 AwoooP work-items IwoooS security mirror candidate | 已完成草案,將 IwoooS / security mirror 顯示成 AwoooP 工作鏈路的觀察期只讀工作項;production_landing_enabled 仍為 false,active runtime gates 仍為 0 | 0 |
| S2.55 AwoooP approvals IwoooS owner response gate candidate | 已完成草案,將 S4.9-S4.12 owner response 下一個人工收件焦點放進 AwoooP 審批佇列的只讀面板;approval_record_created=false、runtime gate 仍為 0 | 0 |
| S2.56 AwoooP contracts IwoooS security contract candidate | 已完成草案,將四個 security mirror contract refs 放進 AwoooP 合約儀表板只讀面板;contract_publish_authorized=false、runtime gate 仍為 0 | 0 |
| S2.57 AwoooP tenants IwoooS tenant scope candidate | 已完成草案,將 AWOOOI first tenant、IwoooS security mirror、host coverage=3 與 owner response waiting 放進 AwoooP 租戶管理只讀面板;tenant_migration_mode_changed=false、tenant policy changes 仍為 0 | 0 |
| S2.58 AwoooP runs IwoooS run state candidate | 已完成草案,將 security mirror 執行狀態、read-only dry-run-only、owner response waiting 與 active runtime gates 0 放進 AwoooP Run 監控只讀面板;security_run_created=false、execution_router_linked=false | 0 |
| S2.59 existing security pages IwoooS reverse bridge | 已完成草案,將 SecurityPanel、CompliancePanel、standalone /security 與 /compliance 反向顯示 IwoooS 只讀納管狀態;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.60 security control pages IwoooS reverse bridge | 已完成草案,將 /alerts、/errors、/authorizations 與 /governance 反向顯示 IwoooS 只讀納管狀態;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.61 audit engineering pages IwoooS reverse bridge | 已完成草案,將 /alert-operation-logs 與 /code-review 反向顯示 IwoooS 深色只讀納管狀態;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.62 IwoooS frontend surface connection board | 已完成草案,在 /iwooos 顯示 10 個既有資安入口的 embedded bridge、direct bridge 與 AwoooP read-only candidate 連接狀態;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.63 IwoooS GitHub primary readiness board | 已完成草案,在 /iwooos 顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、refs truth accepted=0、workflow inventory complete=0/9、rollback ADR approved=0;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.64 AwoooP work-items GitHub primary readiness candidate | 已完成草案,在 /awooop/work-items 顯示 GitHub Primary Readiness 只讀工作項,連回 /iwooos,並顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、workflow inventory complete=0/9;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.65 AwoooP contracts GitHub primary readiness candidate | 已完成草案,在 /awooop/contracts 顯示 GitHub Primary Readiness 合約只讀候選,連回 /iwooos,並顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、workflow inventory complete=0/9;runtime_execution_authorized=false、active_runtime_gate_count=0、action_buttons_allowed=false |
0 |
| S2.66 AwoooP approvals GitHub primary readiness boundary | 已完成草案,在 /awooop/approvals 顯示 GitHub Primary Readiness 審批邊界,連回 /iwooos,並顯示 S4.9=0/5、S4.10=0/9、S4.11=0/5、S4.12=0/5、primary_ready_count=0;approval_record_created=false、runtime_execution_authorized=false、action_buttons_allowed=false |
0 |
| S2.67 AwoooP home GitHub primary readiness summary | 已完成草案,在 /awooop 顯示 GitHub Primary Readiness 只讀摘要,連回 /iwooos,並顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、workflow inventory complete=0/9;repo_creation_authorized=false、refs_mutation_authorized=false、secret_value_collection_allowed=false、runtime_execution_authorized=false、action_buttons_allowed=false |
0 |
| S2.68 AwoooP tenants GitHub primary readiness scope | 已完成草案,在 /awooop/tenants 顯示 GitHub Primary Readiness 租戶範圍,連回 /iwooos,並顯示 candidate repos=10、in-scope=9、owner response 0/24、tenant scope changes=0;tenant_source_control_scope_accepted=false、repo_creation_authorized=false、refs_mutation_authorized=false、tenant_policy_mutation_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false |
0 |
| S2.69 AwoooP runs GitHub primary readiness boundary | 已完成草案,在 /awooop/runs 顯示 GitHub Primary Readiness Run 邊界,連回 /iwooos,並顯示 candidate repos=10、in-scope=9、security runs=0、owner response 0/24、workflow inventory complete=0/9;security_run_created=false、execution_router_linked=false、repo_creation_authorized=false、refs_mutation_authorized=false、runtime_execution_authorized=false、action_buttons_allowed=false |
0 |
| S2.70 IwoooS / AwoooP security surface Traditional Chinese wording guard | 已完成草案,將 IwoooS / AwoooP 資安可視區塊的使用者可見英文標籤改成繁體中文,並由 guard 阻擋 Candidate repos、In-scope repos、Owner response、Workflow inventory、Active runtime gates、GitHub Primary Readiness 等英文標籤回流;技術 contract id 與 false flags 保留可追溯 | 0 |
| S2.71 AwoooP run detail Traditional Chinese wording guard | 已完成草案,將 AwoooP 執行詳情、審批決策與事件證據的使用者可見英文標籤改成繁體中文,並由 scoped guard 阻擋 Trace ID、Trigger、Tool、Scope、Dry-run、Tools、Incident Evidence、Run state、audit trail 等英文文案回流;技術 ID 與 false flags 保留可追溯 | 0 |
| S2.72 AwoooP 首頁負責人回覆驗收總覽 | 已完成草案,在 /awooop 顯示 S4.9/S4.10/S4.11/S4.12 四包負責人回覆、24 個回覆範本、已收到=0、已接受=0、已拒收=0 與人工審查驗收檢查;仍不標記負責人回覆已收到 / 已接受、不建立審批紀錄、不建立專案庫、不改分支 / 標籤參照、不開執行期閘門 |
0 |
| S2.73 AwoooP 工作鏈路負責人回覆驗收只讀工作項 | 已完成草案,在 /awooop/work-items 顯示四包負責人回覆、24 個回覆範本、已收到=0、已接受=0、已拒收=0、10 個跨包驗收、6 條證據路由與 8 個顯示區塊;仍不把工作項當成已收到 / 已接受、審批紀錄、主要來源切換或執行期閘門 |
0 |
| S2.74 AwoooP 合約儀表板負責人回覆驗收契約只讀候選 | 已完成草案,在 /awooop/contracts 顯示 S4.13 rollup、四個來源收件包、24 個回覆範本、已收到=0、已接受=0 與 8 個顯示區塊;仍不把合約候選當成已收到 / 已接受、審批紀錄、合約發布、主要來源切換或執行期閘門 |
0 |
| S2.75 AwoooP 審批佇列負責人回覆驗收只讀審查邊界 | 已完成草案,在 /awooop/approvals 顯示 S4.13 驗收彙整、四個來源收件包、24 個回覆範本、已收到=0、已接受=0、已拒收=0 與 8 個顯示區塊;仍不把審批邊界當成已收到 / 已接受、審批紀錄、主要來源切換或執行期閘門 |
0 |
| S2.76 AwoooP 租戶管理負責人回覆驗收租戶範圍 | 已完成草案,在 /awooop/tenants 顯示 S4.13 驗收彙整、四個來源收件包、24 個回覆範本、已收到=0、已接受=0、已拒收=0、租戶政策變更=0 與 8 個顯示區塊;仍不把租戶範圍當成已收到 / 已接受、租戶政策批准、主要來源切換或執行期閘門 |
0 |
| S2.77 AwoooP 執行監控負責人回覆驗收執行邊界 | 已完成草案,在 /awooop/runs 顯示 S4.13 驗收彙整、四個來源收件包、24 個回覆範本、已收到=0、已接受=0、已拒收=0、資安執行數=0 與 8 個顯示區塊;仍不把執行邊界當成已收到 / 已接受、審批紀錄、平台執行、主要來源切換或執行期閘門 |
0 |
| S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 已完成草案,在 /awooop/runs/[run_id] 顯示 S4.13 驗收彙整、四個來源收件包、24 個回覆範本、已收到=0、已接受=0、已拒收=0、驗收執行=0 與 8 個顯示區塊;仍不把詳情邊界當成已收到 / 已接受、審批紀錄、MCP 執行、補救執行、平台執行、主要來源切換或執行期閘門 |
0 |
| S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 已完成草案,在 /awooop/approvals/[run_id] 顯示 S4.13 驗收彙整、四個來源收件包、24 個回覆範本、已收到=0、已接受=0、已拒收=0、審批接受=0 與 8 個顯示區塊;仍不把審批決策當成已收到 / 已接受、負責人回覆接受、主要來源切換或執行期閘門 |
0 |
| S2.80 IwoooS AwoooP 資安入口覆蓋狀態板 | 已完成草案,在 /iwooos 顯示 AwoooP 8 個實際入口、8 個已可見覆蓋、執行期閘門=0、執行按鈕=0,並把 S2.72-S2.79 的入口覆蓋集中成可讀地圖;仍不把入口覆蓋當成已收到 / 已接受、審批、主要來源切換或執行期閘門 |
0 |
| S2.81 IwoooS 階段式資安收斂節奏圖 | 已完成草案,在 /iwooos 顯示初期先可視、只提醒、不阻擋的六步收斂路線;仍不把節奏圖當成阻擋型控制、Kali / SSH / 主機更新、主要來源切換或執行期閘門 |
0 |
| S2.82 IwoooS 下一步人工收件作戰板 | 已完成草案,在 /iwooos 顯示 S4.9-S4.12 四個人工收件包、22 個必備回覆、已收到=0、已接受=0、已拒收=0;仍不把作戰板當成寄送、已收件、審批、主要來源切換或執行期閘門 |
0 |
| S2.83 IwoooS 人工回覆安全驗收閘道 | 已完成草案,在 /iwooos 顯示六條人工回覆安全驗收分流、已匯入=0、已隔離=0、已拒收=0;仍不把閘道當成自動接受、正式匯入、機密明文收集、主要來源切換或執行期閘門 |
0 |
| S2.84 IwoooS 人工回覆審查結果分流 | 已完成草案,在 /iwooos 顯示七條人工回覆審查結果分流、可審查=0、已接受=0、已升級=0;仍不把分流當成自動決策、正式接受、人工審批完成、主要來源切換或執行期閘門 |
0 |
| S2.85 IwoooS 人工決策準備佇列 | 已完成草案,在 /iwooos 顯示六個人工決策前置準備項、可決策=0、已批准=0、執行期閘門=0;仍不把準備佇列當成人工批准、正式決策、審批紀錄、主要來源切換或執行期閘門 |
0 |
| S2.86 IwoooS 人工決策紀錄草稿防誤用 | 已完成草案,在 /iwooos 顯示六條人工決策紀錄草稿防誤用線、草稿=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把紀錄草稿當成正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.87 IwoooS 人工決策正式紀錄候選預檢 | 已完成草案,在 /iwooos 顯示七個人工決策正式紀錄候選預檢項、候選=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把候選當成正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.88 IwoooS 人工決策正式紀錄候選結果分流 | 已完成草案,在 /iwooos 顯示八條人工決策正式紀錄候選結果分流、可交接=0、已升格=0、執行期閘門=0;仍不把分流當成正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.89 IwoooS 人工決策正式紀錄負責人交接準備 | 已完成草案,在 /iwooos 顯示七個人工決策正式紀錄負責人交接包、可交接=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把交接準備當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.90 IwoooS 人工決策正式紀錄負責人交接驗收清單 | 已完成草案,在 /iwooos 顯示七個人工決策正式紀錄負責人交接驗收項、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把交接驗收清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.91 IwoooS 人工決策正式紀錄負責人交接驗收結果分流 | 已完成草案,在 /iwooos 顯示八條人工決策正式紀錄負責人交接驗收結果分流、可進檢查=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把交接驗收結果分流當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.92 IwoooS 人工決策正式紀錄負責人檢查準備包 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人檢查準備包、可檢查=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把負責人檢查準備包當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.93 IwoooS 人工決策正式紀錄負責人檢查清單 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人檢查項、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把負責人檢查清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.94 IwoooS 人工決策正式紀錄負責人檢查結果分流 | 已完成草案,在 /iwooos 顯示八條人工決策正式紀錄負責人檢查結果分流、可進人工指派確認=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把負責人檢查結果分流當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.95 IwoooS 人工決策正式紀錄負責人指派確認準備包 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人指派確認準備包、可確認=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派確認準備包當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.96 IwoooS 人工決策正式紀錄負責人指派確認清單 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人指派確認檢查項、通過=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派確認清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.97 IwoooS 人工決策正式紀錄負責人指派確認結果分流 | 已完成草案,在 /iwooos 顯示八條人工決策正式紀錄負責人指派確認結果分流、可進人工指派決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派確認結果分流當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.98 IwoooS 人工決策正式紀錄負責人指派決策準備包 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人指派決策準備包、可進決策=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派決策準備包當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | 已完成草案,在 /iwooos 顯示八個人工決策正式紀錄負責人指派決策檢查項、通過=0、已決策=0、已指派=0、正式紀錄=0、已批准=0、執行期閘門=0;仍不把指派決策檢查清單當成紀錄負責人指派、正式紀錄、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.100 / S2.169 IwoooS 64% 重估驗收紀錄 | 已完成草案,在 /iwooos 顯示七個 headline 重估判定項,移動訊號=2/6、S4.9 accepted=0/5、重估紀錄=已記錄;仍不把重估紀錄當成 owner response received / accepted、脫敏匯入、人工批准、主要來源切換或執行期閘門 |
3 |
| S2.101 IwoooS S4.9 Owner Response 人工收件工作單 | 已完成草案,在 /iwooos 顯示五個 S4.9 owner response 收件項、每項六個必填欄位、已收到=0、已接受=0、已拒收=0;仍不把人工收件工作單當成 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.102 IwoooS S4.9 負責人回覆封套欄位 | 已完成草案,在 /iwooos 顯示六個 S4.9 負責人回覆封套欄位、已填=0、已提交=0、已接受=0、已拒收=0;仍不把回覆封套欄位當成 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.103 IwoooS S4.9 負責人回覆封套送件前檢查 | 已完成草案,在 /iwooos 顯示六個送件前檢查、通過=0、可送件=0、已提交=0、已接受=0;仍不把送件前檢查當成 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.104 IwoooS S4.9 負責人回覆封套送件前結果分流 | 已完成草案,在 /iwooos 顯示七條送件前結果分流、可進收件=0、已隔離=0、已拒收=0、已提交=0、已接受=0;仍不把結果分流當成 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.105 IwoooS S4.9 負責人回覆送件請求草稿 | 已完成草案,在 /iwooos 顯示六個送件請求草稿項、可送件=0、已送出=0、稽核事件=0;仍不把送件請求草稿當成 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.106 IwoooS S4.9 負責人回覆送件鏈路摘要 | 已完成草案,在 /iwooos 以專業摘要帶顯示工作單、封套、送件前檢查、結果分流、請求草稿、人工送件閘門六段鏈路,目前焦點=request draft、已送出=0、已接受=0;仍不把送件鏈路摘要當成 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
0 |
| S2.107 前台安全合規 IwoooS 整合入口 | 已完成草案,保留 /security-compliance 並新增前台整合說明;2026-06-04 IwoooS current headline 已由主入口呈現 64%、執行閘門 0、只讀模式;/iwooos 同步顯示「前台安全合規整合判定」,確認安全合規整合、不移除、runtime gate 0、action button 0;仍不把前台入口整合當成 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
0 |
| S2.108 IwoooS 前台資安入口角色分流 | 已完成草案,在 /iwooos 顯示五個前台資安入口角色:IwoooS、/security-compliance、/security、/compliance、/awooop/approvals;仍不把入口分流當成 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
0 |
| S2.109 安全合規前台入口角色對照 | 已完成草案,在 /security-compliance 顯示五個前台資安入口角色對照:IwoooS、/security-compliance、/security、/compliance、/awooop/approvals;2026-05-31 已改為預設收合,降低第一屏資訊壓力;仍不把入口對照當成 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
0 |
| S2.110 安全合規低摩擦分階段收斂 | 已完成草案,在 /security-compliance 顯示五段收斂階梯:觀測與盤點、補齊證據、人工審查、批准後開閘、逐步收嚴;2026-05-31 已改為預設收合,維持低摩擦但不讓前台一次承載過多細節;仍不把收斂階梯當成 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
0 |
| S2.111 IwoooS 低摩擦分階段收斂主控 | 已完成草案,在 /iwooos 顯示五段收斂主控:觀測與盤點、補齊證據、人工審查、批准後開閘、逐步收嚴,並同步安全合規 S2.110 的低摩擦策略;仍不把主控視覺化當成 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
0 |
| S2.112 IwoooS 低摩擦下一步行動邊界 | 已完成草案,在 /iwooos 顯示只讀盤點與姿態整理、脫敏證據包、人工審查準備、執行期仍關閉四類下一步;仍不把行動邊界當成 runtime 授權、審批、掃描、修復、部署、主機變更、主要來源切換或執行期閘門 |
0 |
| S2.113 IwoooS 64% 進度移動訊號驗收條 | 已完成草案,在 /iwooos 顯示負責人回覆接受、脫敏證據匯入、執行期閘門、GitHub 主要來源就緒、AwoooP 落地證據與 Kali 112 只讀證據六個 headline movement signals;目前 AwoooP 落地證據=1、Kali 112 只讀證據=1,其餘四項仍為 0 / false;仍不把訊號驗收條當成 runtime 授權、審批、掃描、修復、部署、主機變更、主要來源切換或執行期閘門 |
0 |
| S2.114 IwoooS 第一個進度解鎖路徑 | 已完成草案,在 /iwooos 顯示 S4.9 負責人回覆的第一個進度解鎖路徑:收到負責人回覆、補齊脫敏證據參照、通過收件預檢、審查接受、成為進度審查候選;仍不把解鎖路徑當成送件完成、回覆已收到、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.115 IwoooS 第一解鎖證據包 | 已完成草案,在 /iwooos 顯示負責人判定 metadata、範圍與來源參照、脫敏聲明、收件預檢軌跡、審查接受摘要五個欄位;仍不把證據包定義當成送件完成、回覆已收到、證據已補齊、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.116 IwoooS 第一解鎖證據包預檢分流 | 已完成草案,在 /iwooos 顯示可進人工審查、補 owner metadata、補範圍參照、隔離 raw payload、拒收機密明文值、等待 reviewer 接受六條分流;仍不把預檢分流當成證據已補齊、審查已接受、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.117 IwoooS 第一解鎖證據包補件路徑 | 已完成草案,在 /iwooos 顯示補 owner metadata、補範圍參照、補脫敏聲明、補預檢軌跡、等待 reviewer queue 五步;仍不把補件路徑當成 request sent、證據已補齊、審查已接受、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.118 IwoooS 第一解鎖證據包補件送審前檢查 | 已完成草案,在 /iwooos 顯示 owner metadata 完整、範圍參照可追溯、脫敏聲明成立、預檢軌跡附上、禁止變更條款維持、reviewer queue 未開六項;仍不把送審前檢查當成 request sent、補件已送出、審查已接受、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.119 IwoooS 第一解鎖證據包補件送審結果分流 | 已完成草案,在 /iwooos 顯示可排入 reviewer queue、退回補件、隔離敏感材料、拒收變更要求、維持佇列未開、等待 reviewer 指派六條結果;仍不把結果分流當成 queue 已開、request sent、補件已送出、審查已接受、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.120 IwoooS 第一解鎖證據包 reviewer 指派準備包 | 已完成草案,在 /iwooos 顯示佇列狀態凍結、reviewer 角色邊界、範圍包、證據索引、衝突揭露、指派稽核草稿六個準備包;仍不把準備包當成 reviewer candidate 已成立、queue 已開、reviewer 已指派、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.121 IwoooS 第一解鎖證據包 reviewer 指派前檢查 | 已完成草案,在 /iwooos 顯示佇列仍關閉、角色邊界可追溯、範圍包可追溯、證據索引已脫敏、衝突揭露已釐清、稽核草稿只含 metadata 六項檢查;仍不把指派前檢查當成 reviewer candidate 已成立、queue 已開、reviewer 已指派、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.122 IwoooS 第一解鎖證據包 reviewer 指派前檢查結果分流 | 已完成草案,在 /iwooos 顯示維持佇列關閉、退回角色邊界、退回範圍包、隔離未脫敏證據、暫停衝突揭露、保留 metadata-only 稽核草稿六條結果;仍不把結果分流當成 reviewer candidate 已成立、queue 已開、reviewer 已指派、headline review 授權、runtime 授權或執行期閘門 |
0 |
| S2.123 IwoooS 目前具體工作地圖 | 已完成草案,在 /iwooos 顯示前台資安入口與使用者可視化、主機與範圍盤點框架、GitHub / Gitea 版本來源遷移準備、S4.9 負責人回覆與脫敏證據收件、reviewer / 人工審查流程、runtime 掃描修復部署與主機變更六條具體工作流;仍不把工作地圖當成 owner response 已收到、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.124 IwoooS 目前具體交付清單 | 已完成草案,在 /iwooos 顯示 IwoooS 前台可見工作台、主機範圍與證據欄位、GitHub / Gitea 遷移證據、S4.9 第一解鎖證據包、人工 reviewer 準備序列、runtime 開閘條件六項交付;仍不把交付清單當成 owner response 已收到、reviewer queue 已開、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.125 IwoooS 目前阻塞與解除條件 | 已完成草案,在 /iwooos 顯示 S4.9 owner response 尚未收到、脫敏證據參照尚未成立、reviewer queue 仍關閉、GitHub primary readiness 未成立、主機證據仍待收件、runtime gate 未開六個阻塞;仍不把阻塞解除圖當成 owner response 已收到、reviewer queue 已開、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.126 IwoooS 三軸進度與全產品套用範圍 | 已完成草案,在 /iwooos 顯示整體加權 64%、框架建置 92%、落地執行 40-45%,並把 AWOOOI / IwoooS / AwoooP、所有前台網站、GitHub / Gitea 專案庫、Kali 與開發主機、監控工具、VibeWork 與未來產品七類範圍標成全產品只讀套用;仍不把三軸進度當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.127 IwoooS 全產品分階段套用台帳 | 已完成草案,在 /iwooos 顯示核心產品、公開網站、版本來源、主機覆蓋、監控工具與未來產品六個 read-only rollout waves;runtime_wave_count=0、enforcement_wave_count=0、owner_response_accepted_count=0、active_runtime_gate_count=0,仍不把全產品台帳當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.128 IwoooS 全產品 rollout 波次驗收門檻 | 已完成草案,在 /iwooos 顯示只讀可視證據、負責人證據、脫敏審查、版本來源證明、主機安全窗口、回復與停用條件六個 gates;passed_count=0、owner_response_accepted_count=0、runtime_gate_open=false,仍不把驗收門檻當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.129 IwoooS 全產品 rollout 驗收結果分流 | 已完成草案,在 /iwooos 顯示維持只讀、退回補證、隔離敏感、版本待證、主機暫停、待人工審與 runtime 未開七條 outcomes;human_review_candidate=0、runtime_candidate=0、owner_response_accepted=0,仍不把結果分流當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.130 IwoooS 全產品證據接線地圖 | 已完成草案,在 /iwooos 顯示產品範圍、負責人回覆、脫敏證據、版本來源真相、主機安全窗口與監控工具摘要六條 metadata-only evidence channels;connected_product=0、owner_response_accepted=0、ready_for_runtime=0,仍不把接線地圖當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.131 IwoooS 全產品證據接線預檢 | 已完成草案,在 /iwooos 顯示範圍 metadata、負責人封套、脫敏邊界、版本來源真相、主機安全窗口與工具摘要六個 read-only preflight checks;passed=0、ready_for_connection=0、ready_for_runtime=0,仍不把預檢當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.132 IwoooS 全產品證據接線預檢結果分流 | 已完成草案,在 /iwooos 顯示維持只讀、退回範圍、退回封套、隔離敏感、版本暫停、主機暫停、工具待摘要與 runtime 關閉八條 read-only outcome lanes;ready_for_connection=0、returned=0、quarantined=0、runtime_candidate=0、owner_response_accepted=0、ready_for_runtime=0,仍不把預檢結果分流當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.133 IwoooS 全產品預檢補件回收台帳 | 已完成草案,在 /iwooos 顯示範圍補件、封套補件、脫敏重送、版本補證、主機窗口、工具摘要與 runtime 門檻七個 read-only recovery queues;submitted=0、accepted=0、ready_for_preflight_retry=0、ready_for_runtime=0,仍不把補件回收台帳當 request sent、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.134 IwoooS 全產品補件重試門檻 | 已完成草案,在 /iwooos 顯示範圍、封套、脫敏、版本、主機與工具摘要六個 read-only retry gates;retry_candidate=0、submitted=0、passed=0、ready_for_connection=0、ready_for_runtime=0,仍不把補件重試門檻當 request sent、預檢通過、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.135 IwoooS 全產品重試結果分流 | 已完成草案,在 /iwooos 顯示維持只讀候選、退回補件、隔離敏感、版本退回、主機暫停、摘要退回、等待人工審查與 runtime 仍關閉八條 read-only retry outcome lanes;ready_for_connection=0、returned=0、quarantined=0、human_review_candidate=0、runtime_candidate=0、ready_for_runtime=0,仍不把重試結果分流當接線完成、owner response 已收到、reviewer queue 開啟、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.136 IwoooS 全產品人工審查候選準備 | 已完成草案,在 /iwooos 顯示候選識別、結果來源、負責人與範圍、脫敏聲明、版本來源證據、主機窗口、工具摘要證據與 runtime 分離八個 read-only preparation packets;packet_completed=0、ready=0、queue_open=false、candidate_created=0、reviewer_assigned=0、audit_event_emitted=0、ready_for_runtime=0,仍不把人工審查候選準備當 reviewer candidate、reviewer queue、稽核事件、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.137 IwoooS 全產品人工審查候選預檢 | 已完成草案,在 /iwooos 顯示候選識別、結果來源、負責人與範圍、脫敏聲明、版本來源證據、主機窗口、工具摘要與 runtime 分離八個 read-only preflight checks;passed=0、ready_for_queue=0、queue_open=false、candidate_created=0、reviewer_assigned=0、audit_event_emitted=0、ready_for_runtime=0,仍不把候選預檢當 reviewer candidate、reviewer queue、稽核事件、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.138 IwoooS 全產品人工審查候選預檢結果分流 | 已完成草案,在 /iwooos 顯示維持只讀、退回識別、退回來源、退回範圍、隔離敏感、版本 / 主機暫停、等待人工審查與 runtime 仍關閉八條 read-only preflight outcome lanes;ready_for_queue=0、returned=0、quarantined=0、candidate_created=0、reviewer_assigned=0、audit_event_emitted=0、ready_for_runtime=0,仍不把預檢結果分流當 reviewer candidate、reviewer queue、稽核事件、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.139 IwoooS 全產品人工審查候選預檢補件回收台帳 | 已完成草案,在 /iwooos 顯示識別補件、來源補件、範圍補件、脫敏重送、版本補證、主機窗口補證、工具摘要補件與 runtime 聲明八個 read-only recovery queues;submitted=0、accepted=0、quarantined=0、ready_for_preflight_retry=0、ready_for_human_review=0、candidate_created=0、reviewer_assigned=0、audit_event_emitted=0、ready_for_runtime=0,仍不把補件回收台帳當補件已送出、已接受、預檢可重跑、reviewer queue、稽核事件、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.140 IwoooS 全產品人工審查候選預檢補件重試門檻 | 已完成草案,在 /iwooos 顯示識別、來源、範圍、脫敏、版本、主機窗口、工具摘要與 runtime 分離八個 read-only retry gates;candidate=0、submitted=0、passed=0、ready_for_preflight_retry=0、ready_for_human_review=0、candidate_created=0、reviewer_assigned=0、audit_event_emitted=0、ready_for_runtime=0,仍不把補件重試門檻當補件已送出、已接受、預檢通過、reviewer queue、稽核事件、runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
| S2.141 IwoooS 全產品只讀套用快照 | 已完成草案,在 /iwooos 預設展開區顯示六類產品套用 quick snapshot,讓使用者一眼看到 AWOOOI / IwoooS / AwoooP、前台網站、GitHub / Gitea 專案庫、Kali / 開發主機、監控工具與未來產品都已套只讀資安框架;runtime_ready=0、detail ledger 預設收合,仍不把快照當 runtime 授權、掃描、修復、部署、主機變更或版本來源操作 |
0 |
headline 要再往上,需要 S4.9 / S4.10 / S4.11 / S4.12 任一 owner response 收到並通過脫敏驗收,或人工批准後出現 active runtime gate、redacted payload ingestion、GitHub primary readiness 這類落地 evidence。
| 階段 | 狀態 | 目前結果 | 下一個 gate |
|---|---|---|---|
| S0 文件與契約同步 | 完成 | Kali / Codex / GitHub / Gitea / AwoooP 邊界已文件化,核心 schema 草案已建立 | AwoooP 只讀 mirror 消費 |
| S1 source-control read-only inventory | 進行中 | 已有 Gitea/GitHub refs、Gitea public-only user repo list、本機 remote、GitHub target probe、canonical lineage、110 refs evidence | Gitea private/internal 全量 repo list |
| S1.0 Gitea 全量 inventory approval | 完成草案 | 已建立 read-only token / admin export approval package | 統帥或 repo owner 批准 |
| S1.1 GitHub target 決策 | 完成草案 | 10 個 target 候選,9 個需人工批准;5 個 not_found_or_private 不得自動建立;S4.10 已補 owner response request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與收件包 |
owner / visibility / canonical response |
| S1.2 GitHub target 逐 repo approval | 完成草案 | 9 個 approval-required targets 已拆成逐 repo pending package,並彙整成 10-item approval board;S4.10 目前 response 0 筆 | 低摩擦逐項批准 |
| S1.2a refs reconcile plan | 完成草案 | awoooi、clawbot-v5、wooo-aiops 已產生 draft plan;狀態仍為 draft_blocked |
authenticated inventory + branch/tag diff + single-repo approval |
| S1.2b branch/tag detail diff | 完成草案 | 3 個 refs-blocked mapped repos 已完成 branch/tag 明細 diff;已忽略本 PR 分支避免 evidence 自我污染 | 人工判定真相來源與 deprecated refs |
| S1.2c refs 真相來源分類 | 完成草案 | 2026-06-04 已重產 current queue:194 個 ref review items 已分類,包含 4 個真相來源、142 個 drift deprecated 候選、3 個 release tags、20 個 GitHub-only refs;S4.11 已補 owner response request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與收件包 | repo owner 單 ref / 單 repo 判定 |
| S1.3 低摩擦 rollout policy | 完成草案 | observe-first / mirror-only matrix 已建立,並補 7 條 non-blocking escalation lanes:LOW / MEDIUM、缺 owner response、partial mirror、source-control drift、Kali observe finding、workflow / secret name gap、headline holding;全部 runtime_blocking_allowed=false |
AwoooP read-only policy 消費,不把 follow-up 直接升 blocking |
| S1.4 契約索引 | 完成草案 | 36 個主要 contract 已集中成 manifest;最新新增 IwoooS posture projection contract | AwoooP / IwoooS mirror-only contract registry |
| S1.5 Kali 112 live 整合狀態 | 完成第一波 | 112 已登入盤點、scanner API healthy、targeted scanner packages updated、Asia/Taipei timezone、no reboot required | scan result ingestion + /execute high-risk gate |
| S1.6 Kali finding / scan scope approval | 完成草案 | security_finding_v1 sample snapshot 與 kali_scan_scope_approval_v1 approval package 已建立;111/168 已納入 observe-only scope |
人工批准 safe crawl / credentialed scan / runtime ingestion / full-upgrade gate |
| S1.7 Security approval queue | 完成草案 | 8 個 approval queue items 已集中:7 pending approval、1 block candidate;AwoooP 可 mirror 但不得執行 | 先 review redacted finding ingestion,再 review safe crawl / Gitea inventory |
| S2 AwoooP mirror-only readiness | 完成草案 | security_mirror_readiness_v1 已整理 36 個 contracts:33 ready、2 partial、1 contract-only、0 blocked |
AwoooP 主線建立只讀入口 |
| S2.1 AwoooP mirror-only intake plan | 完成草案 | security_mirror_intake_plan_v1 已建立 5 個 intake waves 與 4 個 acceptance gates |
AwoooP 主線照 wave mirror,不新增 execution router |
| S2.2 AwoooP 鏡像事件信封 | 完成草案 | security_mirror_event_v1 已建立,要求每筆鏡像 payload 標示 execution_authorized=false 與 action_buttons_allowed=false |
AwoooP 鏡像 payload 統一信封 |
| S2.3 AwoooP 鏡像路由矩陣 | 完成草案 | security_mirror_route_v1 已建立 5 個 route groups,定義目的地、channel policy 與 review lane |
AwoooP 消費時不猜路由、不新增執行入口 |
| S2.4 AwoooP 鏡像驗收契約 | 完成草案 | security_mirror_acceptance_v1 已建立 8 個 acceptance checks;blocking 只針對鏡像資料不完整、未脫敏或進度估算被誤當授權 |
AwoooP 接入時可驗收,不升級成 runtime enforcement |
| S2.5 AwoooP 鏡像隔離契約 | 完成草案 | security_mirror_quarantine_v1 已建立 5 個 quarantine lanes;失敗 payload 必須等新 snapshot commit 後才能 retry |
AwoooP 可隔離壞資料,不阻擋 runtime |
| S2.6 AwoooP 鏡像 dry-run 報告契約 | 完成草案 | security_mirror_dry_run_v1 已建立 8 個 dry-run steps,已納入 CHECK_PROGRESS_GUARD 與 CHECK_OWNER_RESPONSE_GUARD;latest local validation 為 repo_snapshot_guard_pass;目前狀態仍為 contract defined not executed |
AwoooP 未來可回報演練結果,但不啟動 production ingestion |
| S2.7 AwoooP 鏡像狀態彙整契約 | 完成草案 | security_mirror_status_rollup_v1 已建立,彙整 S0-S4、approval queue summary 與下一個安全 gate;S4.13 已補 owner response validation rollup、evidence routing rules、display sections、state transition rules、reviewer checklist、reviewer outcome lanes、reviewer audit event templates、reviewer audit display sections、reviewer audit collection checks、reviewer audit redaction examples、reviewer audit retention rules、reviewer audit retention checks、reviewer audit handoff packets、reviewer audit handoff checks、parallel session sync checks、parallel session conflict lanes、parallel session recovery checks 與 parallel session recovery outcome lanes |
兩個 Session 用同一份 rollup 同步,不誤啟執行面 |
| S2.8 IwoooS 前端態勢入口 | 完成草案 | 已新增 /iwooos、Sidebar 入口與 Command Palette 入口;以 Security Posture / Exposure Management 方式顯示目前資安網狀態、Kali 112、source-control supply chain、approval boundary、non-blocking lanes 與 evidence refs |
使用者可看懂資安網進度與邊界,但不新增執行按鈕 |
| S2.9 IwoooS 前端投影契約 | 完成草案 | iwooos_posture_projection_v1 已建立,manifest / readiness / route / acceptance / dry-run / event sample 已同步 36 contracts / 33 ready 口徑;guard 會驗證 no action button、no runtime authorization 與 7 條 non-blocking lanes |
IwoooS 顯示資料不再只是頁面常數,而是可被 AwoooP / Security Session 驗證的只讀契約 |
| S2.10 IwoooS 既有前端資安頁面整合 | 完成草案 | /iwooos 新增既有資安頁面索引,涵蓋安全合規、舊安全、舊合規、告警、錯誤與 UX 稽核、授權中心、AI 治理、告警操作日誌、AwoooP approvals、AI Code Review |
使用者能從 IwoooS 看懂原本資安能力散在哪些頁面;仍只做 link-only 顯示,不新增 scan / execute / repair / blocking gate |
| S2.11 IwoooS 覆蓋與邊界矩陣 | 完成草案 | /iwooos 新增 coverage / boundary matrix,分成 signals、human control、governance audit、engineering review 四組,並顯示 preserve owner、no runtime lift、Code Review not deploy gate、AwoooP approval not security approval、frontend index not Kali caller 五條控制 |
使用者能理解重疊頁面的責任分界;仍不新增 runtime、Kali、deploy 或 blocking control |
| S2.12 IwoooS 只讀資安處理旅程 | 完成草案 | /iwooos 新增 6 階段處理旅程:讀態勢、開既有頁面、判讀非阻擋分流、收 owner evidence、等待人工決策、準備後續 runtime gate |
使用者能理解資安工作下一步,但每一步都是 status projection,不是 execution queue 或 action button |
| S2.13 IwoooS Owner Evidence Readiness | 完成草案 | /iwooos 新增 owner evidence readiness board,顯示下一步真正影響 headline progress 的 7 個 evidence / gate 缺口 |
可理解為什麼 64% 不應灌水提高;全部 received / accepted 仍為 0,不新增執行控制 |
| S2.14 IwoooS Host Coverage View | 完成草案 | /iwooos 新增主機覆蓋視圖,明確顯示 Kali 112 與 168 / 111 兩台開發主機已納入 observe-only 資安視野 |
使用者能看到指定主機已納管到資安架構視圖;仍不新增 SSH、scan、update、execute、credentialed scan 或 blocking control |
| S2.15 IwoooS Host Action Gate Matrix | 完成草案 | /iwooos 新增主機動作 gate 矩陣,將 active scan、credentialed scan、Kali /execute、SSH / host change、Kali update 與 runtime blocking control 拆成只讀 gate |
使用者能看懂主機動作為什麼仍需人工批准;仍不新增任何主機操作或 runtime enforcement |
| S2.16 IwoooS Host Evidence Readiness | 完成草案 | /iwooos 新增主機 evidence readiness board,顯示主機動作前仍缺 scope、owner decision、credential handling、maintenance window、rollback、validation metrics 與 redacted ingestion evidence |
使用者能看懂主機行動前置證據,不會把規劃誤認為已批准;仍不新增任何主機操作 |
| S2.17 IwoooS Host Evidence Collection Order | 完成草案 | /iwooos 新增主機 evidence 收件順序,將 scope、owner decision、credential handling、maintenance window、rollback、validation metrics 與 redacted ingestion 排成只讀依賴 |
使用者能知道下一步先收什麼;仍不把任何 evidence 標成 received / accepted,也不啟動掃描、SSH、更新或 runtime control |
| S2.18 IwoooS Host Evidence Intake Preflight | 完成草案 | /iwooos 新增主機 evidence intake preflight,顯示 metadata pointer、collection order、scope、owner decision、credential plaintext、raw payload 與 counter freeze 七個預檢 |
使用者能知道 evidence 送審前會先擋哪些風險;仍不收 raw payload、不收憑證明文、不推 received / accepted、不啟動 runtime |
| S2.19 IwoooS Host Evidence Review Outcome Lanes | 完成草案 | /iwooos 新增主機 evidence review outcome lanes,顯示可進人工審、補 scope、補 owner decision、隔離、拒收 raw payload、拒收憑證明文與等待 runtime gate 七個分流 |
使用者能理解 preflight 後的處理結果;仍不建立 approval record、不推 received / accepted、不啟動 runtime |
| S2.20 IwoooS Host Evidence Review Handoff Packets | 完成草案 | /iwooos 新增主機 evidence review handoff packets,顯示 scope summary、owner decision、credential handling、maintenance / rollback、validation metrics、redaction attestation、runtime gate pointer 七個交接包 |
使用者能理解送交人工 reviewer 前要準備哪些脫敏資料;仍不標記 received / accepted、不建立 approval record、不保存 raw payload / secret value、不啟動 runtime |
| S2.21 IwoooS Host Evidence Reviewer Checklist | 完成草案 | /iwooos 新增主機 evidence reviewer checklist,顯示 scope boundary match、owner decision scope / expiry、credential metadata-only、redaction pass、maintenance / rollback、validation metrics、runtime gate separated 七個檢查 |
使用者能理解人審不是執行授權;仍不標記 passed / received / accepted、不建立 approval record、不開 runtime gate |
| S2.22 IwoooS Host Evidence Reviewer Outcome Lanes | 完成草案 | /iwooos 新增主機 evidence reviewer outcome lanes,顯示 ready for owner decision、scope mismatch、owner decision expired、credential metadata failed、redaction failed、rollback missing、runtime gate required 七個分流 |
使用者能理解 checklist 後下一步;仍不標記 passed / accepted、不建立 approval record、不開 runtime gate、不執行主機動作 |
| S2.23 IwoooS Host Owner Decision Candidate Packets | 完成草案 | /iwooos 新增主機 owner decision candidate packets,顯示 scope approval、scan mode、credential handling、maintenance window、rollback owner、validation metrics、runtime gate 七個候選包 |
使用者能理解 owner 人工決策需要看哪些素材;仍不建立 decision record、不標記 approved、不開 runtime gate、不執行主機動作 |
| S2.24 IwoooS Host Owner Decision Review Checklist | 完成草案 | /iwooos 新增主機 owner decision review checklist,顯示 scope boundary readable、scan mode not authorization、credential boundary metadata only、maintenance window not change、rollback owner readable、validation metrics predefined、runtime gate still separate 七個檢查 |
使用者能理解 owner 決策前仍需核對哪些安全邊界;仍不建立 decision record、不標記 approved、不開 runtime gate、不執行主機動作 |
| S2.25 IwoooS Host Owner Decision Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision review outcome lanes,顯示 ready for decision record、scope needs refresh、scan mode needs scope、credential boundary failed、maintenance window missing、rollback owner missing、runtime gate required 七個分流 |
使用者能理解 owner review 後下一步;仍不標記 review passed、不建立 decision record、不標記 approved、不開 runtime gate、不執行主機動作 |
| S2.26 IwoooS Host Owner Decision Record Draft Packets | 完成草案 | /iwooos 新增主機 owner decision record draft packets,顯示 scope statement、scan mode、credential boundary、maintenance constraints、rollback owner、validation metrics、runtime gate pointer 七個草稿欄位 |
使用者能理解 formal decision record 草稿需要哪些 metadata;仍不建立 decision record、不標記 accepted、不建立 approval record、不開 runtime gate、不執行主機動作 |
| S2.27 IwoooS Host Owner Decision Record Draft Review Checklist | 完成草案 | /iwooos 新增主機 owner decision record draft review checklist,顯示 scope statement complete、scan mode still not approval、credential boundary metadata only、maintenance constraints readable、rollback owner readable、validation metrics linked、runtime gate still closed 七個核對項 |
使用者能理解 formal decision record 草稿進人審前仍需核對哪些條件;仍不標記 review passed、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.28 IwoooS Host Owner Decision Record Draft Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record draft review outcome lanes,顯示 ready for decision record write-up、scope draft incomplete、scan mode ambiguous、credential boundary incomplete、maintenance constraints incomplete、rollback owner incomplete、runtime gate still required 七個分流 |
使用者能理解 draft review 後下一步;仍不標記 review passed、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.29 IwoooS Host Owner Decision Record Write-Up Packets | 完成草案 | /iwooos 新增主機 owner decision record write-up packets,顯示 decision summary、approved scope、scan mode limits、credential boundary、maintenance / rollback、validation evidence、runtime gate pointer 七個正式撰寫欄位 |
使用者能理解 ready for write-up 仍只是欄位整理;仍不標記 write-up completed、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.30 IwoooS Host Owner Decision Record Write-Up Review Checklist | 完成草案 | /iwooos 新增主機 owner decision record write-up review checklist,顯示 decision summary readable、scope / expiry complete、scan mode limits explicit、credential metadata-only、maintenance / rollback linked、validation evidence linked、runtime gate separate 七個核對項 |
使用者能理解 write-up packets 後仍需只讀核對;仍不標記 review passed、不標記 write-up completed、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.31 IwoooS Host Owner Decision Record Write-Up Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record write-up review outcome lanes,顯示 ready for formal record candidate、decision summary needs clarification、scope / expiry needs refresh、scan mode limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate still required 七個分流 |
使用者能理解 write-up review 後仍只是只讀結果分流;仍不標記 review passed、不標記 write-up completed、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.32 IwoooS Host Owner Decision Record Formal Candidate Packets | 完成草案 | /iwooos 新增主機 owner decision record formal candidate packets,顯示 record identity、decision summary、approved scope、scan mode limits、credential boundary、maintenance / rollback、validation / runtime gate 七個候選欄位 |
使用者能理解 formal candidate 仍不是正式紀錄;仍不標記 finalized、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.33 IwoooS Host Owner Decision Record Formal Candidate Review Checklist | 完成草案 | /iwooos 新增主機 owner decision record formal candidate review checklist,顯示 record identity traceable、decision summary readable、scope / expiry consistent、scan limits still not authorization、credential boundary still metadata-only、maintenance / rollback traceable、runtime gate still closed 七個核對項 |
使用者能理解 formal candidate review 仍不是通過、完成或批准;仍不標記 review passed、不標記 finalized、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.34 IwoooS Host Owner Decision Record Formal Candidate Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record formal candidate review outcome lanes,顯示 ready for human record queue、record identity needs trace、decision summary needs clarification、scope / expiry need refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate still required 八個分流 |
使用者能理解 formal candidate review outcome 仍不是通過、完成或批准;仍不標記 review passed、不標記 finalized、不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.35 IwoooS Host Owner Decision Record Formal Record Queue Packets | 完成草案 | /iwooos 新增主機 owner decision record formal record queue packets,顯示 queue identity、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 八個資料包 |
使用者能理解 formal record queue packet 仍不是 enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.36 IwoooS Host Owner Decision Record Formal Record Queue Review Checklist | 完成草案 | /iwooos 新增主機 owner decision record formal record queue review checklist,顯示 identity traceable、decision summary readable、scope / expiry fresh、scan limits not authorization、credential metadata-only、maintenance / rollback linked、validation gate separate、no-execution attestation present 八個核對項 |
使用者能理解 formal record queue review 仍不是 review passed、enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.37 IwoooS Host Owner Decision Record Formal Record Queue Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record formal record queue review outcome lanes,顯示 ready for human record owner handoff、identity trace refresh、decision summary clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate required 八個分流 |
使用者能理解 formal record queue review outcome 仍不是 review passed、enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.38 IwoooS Host Owner Decision Record Human Handoff Readiness Packets | 完成草案 | /iwooos 新增主機 owner decision record human handoff readiness packets,顯示 handoff identity、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、runtime gate separation 八個準備包 |
使用者能理解 handoff readiness 仍不是 handoff started、handoff ready、review passed、enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.39 IwoooS Host Owner Decision Record Human Handoff Readiness Review Checklist | 完成草案 | /iwooos 新增主機 owner decision record human handoff readiness review checklist,顯示 identity trace readable、owner boundary readable、decision summary readable、scope / expiry current、scan limits not authorization、credential metadata-only、maintenance / rollback traceable、runtime gate separate 八個核對項 |
使用者能理解 handoff readiness review 仍不是 review passed、handoff started、handoff ready、enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.40 IwoooS Host Owner Decision Record Human Handoff Readiness Review Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record human handoff readiness review outcome lanes,顯示 ready for human record owner review candidate、identity trace needs refresh、owner boundary needs clarification、decision summary needs clarification、scope / expiry need refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate still required 九個分流 |
使用者能理解 handoff readiness review outcome 仍不是 review passed、handoff started、handoff ready、enqueue 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.41 IwoooS Host Owner Decision Record Human Record Owner Review Candidate Packets | 完成草案 | /iwooos 新增主機 owner decision record human record owner review candidate packets,顯示 candidate identity、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 九個候選資料包 |
使用者能理解 human record owner review candidate packet 仍不是 review started、review ready、handoff、owner decision、正式紀錄或批准;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.42 IwoooS Host Owner Decision Record Human Record Owner Review Candidate Checklist | 完成草案 | /iwooos 新增主機 owner decision record human record owner review candidate checklist,顯示 candidate identity traceable、owner boundary readable、decision summary readable、scope / expiry current、scan limits not authorization、credential boundary metadata-only、maintenance / rollback traceable、validation / runtime gate separate、no-execution attestation present 九個核對項 |
使用者能理解 human record owner review candidate checklist 仍不是 checklist passed、review started、review ready、owner decision 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.43 IwoooS Host Owner Decision Record Human Record Owner Review Candidate Outcome Lanes | 完成草案 | /iwooos 新增主機 owner decision record human record owner review candidate outcome lanes,顯示 ready for human record owner review preparation candidate、identity trace refresh、owner boundary clarification、decision summary clarification、scope / expiry refresh、scan limits ambiguous、credential boundary failed、maintenance / rollback incomplete、runtime gate still required 九個分流 |
使用者能理解 human record owner review candidate outcome 仍不是 checklist passed、review started、review ready、owner decision 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.44 IwoooS Host Owner Decision Record Human Record Owner Review Preparation Packets | 完成草案 | /iwooos 新增主機 owner decision record human record owner review preparation packets,顯示 preparation identity trace、owner boundary、decision summary、scope / expiry、scan limits、credential boundary、maintenance / rollback、validation / runtime gate、no-execution attestation 九個準備資料包 |
使用者能理解 human record owner review preparation packet 仍不是 preparation completed、review started、review ready、owner decision 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.45 IwoooS Host Owner Decision Record Human Record Owner Review Preparation Checklist | 完成草案 | /iwooos 新增主機 owner decision record human record owner review preparation checklist,顯示 preparation identity trace readable、owner boundary readable、decision summary readable、scope / expiry current、scan limits not authorization、credential metadata-only、maintenance / rollback traceable、validation / runtime gate separate、no-execution attestation present 九個只讀核對項 |
使用者能理解 human record owner review preparation checklist 仍不是 preparation completed、checklist passed、review started、review ready、owner decision 或正式紀錄;仍不建立 decision record、不標記 accepted、不開 runtime gate、不執行主機動作 |
| S2.46 IwoooS Progress Acceleration Lanes | 完成草案 | /iwooos 新增進度加速與 64% 解鎖面板,顯示 owner response、redacted ingestion、runtime gate、GitHub readiness、AwoooP landing 與 Kali read-only evidence 等 acceleration lanes |
前面看起來慢是因為 S2.38-S2.45 多數是防止誤讀的 framework detail;後續改採 milestone batch,但 acceleration lane 仍不是 owner response、進度加分、runtime gate、GitHub primary 或 production execution |
| S2.47 IwoooS Owner Response Next-Action Focus | 完成草案 | /iwooos 新增 owner response 下一步收件焦點,顯示 S4.9 Gitea owner attestation 先收、S4.10 GitHub target、S4.11 refs truth、S4.12 workflow / secret name 依序排隊 |
使用者能理解下一個有感工作是收斂 P0 owner response;focus 仍不是催收、代填、received、accepted、approval record、runtime gate、repo / refs mutation、secret value collection 或 GitHub primary |
| S2.48 IwoooS S4.9 Owner Response Preflight | 完成草案 | /iwooos 新增 S4.9 owner response 收件前 preflight,顯示 known attestation item、required owner fields、allowed decision、redacted evidence only、no execution request、all five items before accepted 六個檢查 |
使用者能理解下一步不是再拆 checklist,而是把第一個 P0 owner response 的可收件條件說清楚;preflight 仍不是 request sent、received、accepted、audit emitted、Gitea write、refs sync、runtime gate 或 GitHub primary |
| S2.49 IwoooS S4.9 Owner Response Request Templates | 完成草案 | /iwooos 新增 S4.9 owner response 五個回覆 template,顯示 public-only / local gap、org/user endpoint、110 adjacent source scope、repo owner / canonical scope、legacy / inaccessible disposition |
使用者能理解第一個 owner response 要回哪五題;templates 仍不是 request sent、received、accepted、audit emitted、Gitea inventory completed、Gitea write、refs sync、token collection、runtime gate 或 GitHub primary |
| S2.50 IwoooS Progress Hold Movement Gates | 完成草案 | /iwooos 新增「為什麼 64% 還不動」六個 movement gates,顯示 AwoooP read-only landing 與 Kali 112 read-only evidence 已成立,其餘 owner response accepted、redacted payload ingestion、active runtime gate、GitHub primary ready 仍未滿足 |
64% 維持不是卡死,而是不灌水;gate 顯示仍不是進度加分、授權、payload ingestion、runtime gate、GitHub primary 或 production landing |
| S2.51 IwoooS AwoooP Read-Only Landing Readiness | 完成草案 | /iwooos 新增 AwoooP 只讀 landing readiness,顯示 snapshot、evidence refs、guard checks、route groups、forbidden outputs 與 production handoff pending 六個接入條件 |
使用者與另一個 AwoooP Session 能看懂主線接入要消費什麼;readiness 仍不是 production landing enabled、execution router、action button、guard skip 或 headline 加分 |
| S2.52 IwoooS AwoooP Cross-Session Handoff Packets | 完成草案 | /iwooos 新增 AwoooP 跨 Session handoff,顯示 PR / branch anchor、progress semantics、required guard commands、forbidden runtime actions、read-only inputs 與 next coordination gate 六個接手 packets |
另一個 Session 可用同一 PR / branch / guard / rollup 口徑同步;handoff 仍不是 merge、deploy、primary switch、refs mutation、guard skip、production consumption 或 headline 加分 |
| S2.53 AwoooP Home IwoooS Security Mirror Candidate | 完成草案 | /awooop 首頁 IwoooS 資安鏡像候選面板已同步顯示 64%、92%、40-45%、0 active runtime gates 與 projection / guard / owner response / production landing 檢查 |
使用者能在 AwoooP 首頁直接感受到資安網狀態;候選面板仍不是 production landing enabled、execution router、runtime gate、action button 或 headline 加分 |
| S2.54 AwoooP Work-Items IwoooS Security Mirror Candidate | 完成草案 | /awooop/work-items S2.54 IwoooS 資安鏡像只讀工作項已同步顯示 64%、92%、40-45%、active runtime gates=0、owner response waiting 與 false 邊界,並連到 /iwooos |
使用者能在工作鏈路追蹤資安網,而不是只看首頁摘要;觀察項仍不是 production landing enabled、execution router、runtime gate、action button 或 headline 加分 |
| S2.55 AwoooP Approvals IwoooS Owner Response Gate Candidate | 完成草案 | /awooop/approvals IwoooS owner response 只讀審查焦點已同步顯示 S4.9-S4.12 收件順序、received=0、accepted=0、active runtime gates=0、headline=64%,並連到 /iwooos |
使用者能在審批佇列理解下一個人工收件焦點;面板仍不是 approval record、runtime gate、execution router、action button 或 headline 加分 |
| S2.56 AwoooP Contracts IwoooS Security Contract Candidate | 完成草案 | /awooop/contracts 新增 IwoooS 資安契約只讀候選,顯示四個 security mirror contract refs、36 total、33 ready、2 partial、active runtime gates=0,並連到 /iwooos |
使用者能在合約儀表板理解資安網背後的契約來源;面板仍不是 contract publish、lifecycle mutation、runtime gate、execution router、action button 或 headline 加分 |
| S2.57 AwoooP Tenants IwoooS Tenant Scope Candidate | 完成草案 | /awooop/tenants 新增 IwoooS 租戶資安範圍只讀候選,顯示 AWOOOI 第一租戶、IwoooS、host coverage=3、tenant policy changes=0,並連到 /iwooos |
使用者能在租戶管理理解資安網保護範圍;面板仍不是 migration mode change、tenant policy mutation、runtime gate、execution router、action button 或 headline 加分 |
| S2.58 AwoooP Runs IwoooS 執行狀態候選 | 完成草案 | /awooop/runs 新增 IwoooS 執行狀態只讀候選,顯示 run visibility=read-only、security runs=0、active runtime gates=0、owner accepted=0,並連到 /iwooos |
使用者能在 Run 監控理解資安網仍是只讀候選;面板仍不是 platform run created、execution router linked、runtime gate、execution queue、action button 或 headline 加分 |
| S2.59 Existing Security Pages IwoooS Reverse Bridge | 完成草案 | SecurityPanel、CompliancePanel、standalone /security 與 /compliance IwoooS 只讀橋接已同步顯示 64%、92%、runtime gates=0、action buttons=0,並連到 /iwooos |
使用者回到原本安全 / 合規頁也能知道它們已納入 IwoooS;橋接仍不是 owner response、runtime authorization、scan、repair、approve、deploy 或 blocking control |
| S2.60 Security Control Pages IwoooS Reverse Bridge | 完成草案 | /alerts、/errors、/authorizations 與 /governance IwoooS 只讀橋接已同步顯示 64%、92%、runtime gates=0、action buttons=0,並連到 /iwooos |
使用者能在告警、錯誤、授權與治理流程中看見資安網邊界;橋接仍不是 alert blocker、owner response、runtime authorization、scan、repair、approve、deploy 或 blocking control |
| S2.61 Audit / Engineering Pages IwoooS Reverse Bridge | 完成草案 | /alert-operation-logs 與 /code-review IwoooS 深色只讀橋接已同步顯示 64%、92%、runtime gates=0、action buttons=0,並連到 /iwooos |
使用者能在稽核操作日誌與 Code Review 控制面看見資安網邊界;橋接仍不是 Code Review blocker、Gitea/GitHub action、owner response、runtime authorization、scan、repair、approve、deploy 或 blocking control |
| S2.62 IwoooS Frontend Surface Connection Board | 完成草案 | /iwooos 新增 10 個既有資安入口的連接狀態板,區分 embedded bridge、direct bridge 與 AwoooP read-only candidate |
使用者能直接看見資安頁面目前怎麼接回 IwoooS;連接狀態仍不是 owner response、runtime authorization、Code Review blocker、Gitea/GitHub action、scan、repair、approve、deploy 或 blocking control |
| S2.63 IwoooS GitHub Primary Readiness Board | 完成草案 | /iwooos 新增 GitHub Primary Readiness 只讀狀態板,顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、refs truth accepted=0、workflow inventory complete=0/9、rollback ADR approved=0 |
使用者能理解 Gitea 長期轉 GitHub 的 readiness 缺口;狀態板仍不是 repo creation、visibility change、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.64 AwoooP Work-Items GitHub Primary Readiness Candidate | 完成草案 | /awooop/work-items 新增 GitHub Primary Readiness 只讀工作項,顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、workflow inventory complete=0/9,並連回 /iwooos |
使用者與另一個 AwoooP Session 能在工作鏈路理解 GitHub primary readiness 仍只是缺口追蹤;工作項仍不是 repo creation、visibility change、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.65 AwoooP Contracts GitHub Primary Readiness Candidate | 完成草案 | /awooop/contracts 新增 GitHub Primary Readiness 合約只讀候選,顯示 primary readiness、owner response validation、rollback ADR、workflow / secret name inventory 與 IwoooS projection refs |
使用者與另一個 AwoooP Session 能在合約控制面理解 GitHub primary readiness 仍只是只讀契約缺口;合約候選仍不是 repo creation、visibility change、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.66 AwoooP Approvals GitHub Primary Readiness Boundary | 完成草案 | /awooop/approvals 新增 GitHub Primary Readiness 審批邊界,顯示 S4.9 / S4.10 / S4.11 / S4.12 owner response lanes 全部仍未 accepted |
使用者與另一個 AwoooP Session 能在審批視野理解 GitHub primary readiness 仍只是 owner response 收件缺口;審批邊界仍不是 approval record、repo creation、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.67 AwoooP Home GitHub Primary Readiness Summary | 完成草案 | /awooop 新增 GitHub Primary Readiness 只讀摘要,顯示 primary readiness、owner response validation、rollback ADR、workflow / secret name inventory refs,並顯示 candidate repos=10、in-scope=9、primary_ready_count=0、owner response 0/24、workflow inventory complete=0/9 |
使用者與另一個 AwoooP Session 能在首頁理解 GitHub primary readiness 仍只是 source-control readiness 缺口;首頁摘要仍不是 repo creation、visibility change、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.68 AwoooP Tenants GitHub Primary Readiness Scope | 完成草案 | /awooop/tenants 新增 GitHub Primary Readiness 租戶範圍,顯示 AWOOOI first tenant source-control scope、S4.9、S4.10、S4.12 owner scope refs、candidate repos=10、in-scope=9、owner response 0/24、tenant scope changes=0 |
使用者與另一個 AwoooP Session 能在租戶視野理解 GitHub primary readiness 仍只是 owner scope 缺口;租戶範圍仍不是 tenant policy approval、repo creation、visibility change、refs mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.69 AwoooP Runs GitHub Primary Readiness Boundary | 完成草案 | /awooop/runs 新增 GitHub Primary Readiness Run 邊界,顯示 primary readiness、owner response validation、workflow / secret name inventory、rollback ADR refs,以及 security runs=0 |
使用者與另一個 AwoooP Session 能在 Run 監控理解 GitHub primary readiness 仍不能變成 platform run 或 execution router;Run 邊界仍不是 repo creation、visibility change、refs mutation、workflow / secret mutation、secret value collection、primary switch、Gitea disablement 或 runtime 授權 |
| S2.70 IwoooS / AwoooP Traditional Chinese Security Surface Guard | 完成草案 | zh-TW 前端資安可視文案改為繁體中文,並新增 guard 防止關鍵英文標籤回流 | 使用者看到的資安入口、AwoooP 首頁、租戶、執行、合約、審批等資安可視區塊以繁體中文理解;本修正仍只是文案與 guard,不是 runtime、repo、refs、workflow、secret、GitHub primary 或 Gitea 動作 |
| S2.71 AwoooP Run Detail Traditional Chinese Wording Guard | 完成草案 | zh-TW AwoooP 執行詳情、審批決策與事件證據文案改為繁體中文,並新增 scoped guard 防止詳情頁英文標籤回流 | 使用者進入執行時間線、審批決策與事件證據時能以繁體中文理解狀態、來源、MCP、補救試跑與稽核欄位;本修正仍只是文案與 guard,不是 approval record、runtime、repo、refs、workflow、secret、GitHub primary 或 Gitea 動作 |
| S2.72 AwoooP 首頁負責人回覆驗收總覽 | 完成草案 | /awooop 新增四包負責人回覆驗收總覽,顯示 24 個範本、0 已收到、0 已接受、0 已拒收、10 個跨包驗收、6 條證據路由、8 個顯示區塊、7 條狀態轉移、9 個審查清單項目與 7 條審查結果分流 |
使用者能在首頁看懂 GitHub 主要來源前真正卡住的是負責人證據收件與驗收;總覽仍不是審批紀錄、負責人回覆已接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、GitHub 主要來源或執行期閘門 |
| S2.73 AwoooP 工作鏈路負責人回覆驗收只讀工作項 | 完成草案 | /awooop/work-items 新增四包負責人回覆驗收工作項,顯示 24 個範本、0 已收到、0 已接受、0 已拒收、10 個跨包驗收、6 條證據路由與 8 個顯示區塊,並連回 /iwooos |
使用者與另一個 AwoooP Session 能在工作鏈路理解 GitHub 主要來源真正等待負責人回覆驗收;工作項仍不是審批紀錄、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.74 AwoooP 合約儀表板負責人回覆驗收契約只讀候選 | 完成草案 | /awooop/contracts 新增負責人回覆驗收契約候選,顯示 S4.13 rollup、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在合約控制面理解負責人回覆驗收仍只是只讀契約缺口;合約候選仍不是合約發布、審批紀錄、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.75 AwoooP 審批佇列負責人回覆驗收只讀審查邊界 | 完成草案 | /awooop/approvals 新增負責人回覆驗收只讀審查邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受、0 已拒收與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在審批佇列理解負責人回覆驗收仍只是只讀審查缺口;審批邊界仍不是審批紀錄、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.76 AwoooP 租戶管理負責人回覆驗收租戶範圍 | 完成草案 | /awooop/tenants 新增負責人回覆驗收租戶範圍,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受、0 已拒收、租戶政策變更=0 與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在 AWOOOI 第一租戶視野理解負責人回覆驗收仍只是只讀租戶缺口;租戶範圍仍不是租戶政策批准、審批紀錄、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.77 AwoooP 執行監控負責人回覆驗收執行邊界 | 完成草案 | /awooop/runs 新增負責人回覆驗收執行邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受、0 已拒收、資安執行數=0 與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在執行監控理解負責人回覆驗收仍只是只讀執行缺口;執行邊界仍不是審批紀錄、平台執行、執行路由器、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.78 AwoooP 執行詳情負責人回覆驗收詳情邊界 | 完成草案 | /awooop/runs/[run_id] 新增負責人回覆驗收詳情邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受、0 已拒收、驗收執行=0 與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在單一執行詳情理解負責人回覆驗收仍只是只讀詳情缺口;詳情邊界仍不是審批紀錄、MCP 執行、補救執行、平台執行、執行路由器、已接受回覆、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.79 AwoooP 審批決策負責人回覆驗收審批邊界 | 完成草案 | /awooop/approvals/[run_id] 新增負責人回覆驗收審批邊界,顯示 S4.13 驗收彙整、S4.9-S4.12 四個來源收件包、24 個範本、0 已收到、0 已接受、0 已拒收、審批接受=0 與 8 個顯示區塊 |
使用者與另一個 AwoooP Session 能在真正核准 / 拒絕前理解審批決策仍不是負責人回覆驗收;審批邊界仍不是負責人回覆接受、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.80 IwoooS AwoooP 資安入口覆蓋狀態板 | 完成草案 | /iwooos 新增 AwoooP 資安入口覆蓋狀態板,顯示 8 個實際入口、8 個已覆蓋、執行期閘門=0、執行按鈕=0,並列出 S2.72-S2.79 的入口路徑與只讀邊界 |
使用者與另一個 AwoooP Session 能在 IwoooS 集中理解 AwoooP 資安可見覆蓋已成形;覆蓋狀態仍不是負責人回覆已收到 / 已接受、資安審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.81 IwoooS 階段式資安收斂節奏圖 | 完成草案 | /iwooos 新增六步收斂節奏圖,顯示先可視、負責人回覆、脫敏證據、人工審查、執行期閘門與主要來源切換,並固定初期 observe_warn_only |
使用者與另一個 AwoooP Session 能理解資安限制會分階段收攏,而不是初期直接升高;節奏圖仍不是阻擋型控制、掃描 / 執行 / 修復、主機更新、主要來源切換或執行期閘門 |
| S2.82 IwoooS 下一步人工收件作戰板 | 完成草案 | /iwooos 新增下一步人工收件作戰板,顯示 S4.9-S4.12 四個收件包、22 個必備回覆、0 已收到、0 已接受、0 已拒收,並固定 human_intake_only |
可理解 64% 下一步要靠人工負責人回覆,而不是靠提高限制;作戰板仍不是寄送、收件完成、接受、審批、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.83 IwoooS 人工回覆安全驗收閘道 | 完成草案 | /iwooos 新增安全驗收閘道,顯示只接受脫敏證據、負責人範圍要齊全、機密明文直接隔離、專案庫動作要求先拒收、分支 / 標籤動作要求先拒收、執行要求一律另開閘門 |
使用者與另一個 AwoooP Session 能理解收件後如何安全處理,不會把人工回覆變成自動接受、正式匯入、機密明文收集、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.84 IwoooS 人工回覆審查結果分流 | 完成草案 | /iwooos 新增審查結果分流,顯示維持等待、要求補證、可進人工審查、隔離處理、拒收、只讀狀態更新、需要人工決策七條結果,並固定可審查=0、已接受=0、已升級=0 |
使用者與另一個 AwoooP Session 能理解驗收後仍需要人工判讀與只讀狀態分離;分流仍不是自動決策、正式接受、升級 runtime、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.85 IwoooS 人工決策準備佇列 | 完成草案 | /iwooos 新增人工決策準備佇列,顯示決策包草稿、證據追溯包、審查人指派、回滾窗口候選、執行期閘門分離與主要來源切換分離六個前置項目 |
使用者與另一個 AwoooP Session 能理解需要人工決策前仍只是準備資料;準備佇列仍不是人工批准、正式決策、審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.86 IwoooS 人工決策紀錄草稿防誤用 | 完成草案 | /iwooos 新增紀錄草稿防誤用看板,顯示紀錄身分草稿、決策範圍快照、審查角色預留、證據版本凍結、批准不等於執行、後續執行期指標六條保護線 |
使用者與另一個 AwoooP Session 能理解決策紀錄草稿仍不是正式紀錄或執行命令;紀錄草稿仍不是人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.87 IwoooS 人工決策正式紀錄候選預檢 | 完成草案 | /iwooos 新增正式紀錄候選預檢看板,顯示候選身分追溯、審查人身分邊界、證據版本鏈、範圍與期限、風險與回滾欄位、執行期分離、主要來源分離七個預檢項 |
使用者與另一個 AwoooP Session 能理解正式紀錄候選仍不是正式紀錄或批准;候選仍不是人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.88 IwoooS 人工決策正式紀錄候選結果分流 | 完成草案 | /iwooos 新增正式紀錄候選結果分流看板,顯示維持候選等待、退回草稿補齊、要求證據更新、要求審查說明、可交紀錄負責人、隔離敏感載荷、拒收變更要求、另開執行或切換閘門八條分流 |
使用者與另一個 AwoooP Session 能理解候選預檢後仍只是只讀分流;分流仍不是人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.89 IwoooS 人工決策正式紀錄負責人交接準備 | 完成草案 | /iwooos 新增正式紀錄負責人交接準備看板,顯示身分追溯包、決策脈絡包、證據鎖定包、審查備註包、風險回滾包、執行期閘門指標包、主要來源指標包七個交接包 |
使用者與另一個 AwoooP Session 能理解可交接仍只是資料準備;交接準備仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.90 IwoooS 人工決策正式紀錄負責人交接驗收清單 | 完成草案 | /iwooos 新增正式紀錄負責人交接驗收清單,顯示交接包完整性、負責人身分範圍、權責邊界比對、證據版本確認、審查備註確認、變更要求拒收檢查、執行與切換分離七個驗收項 |
使用者與另一個 AwoooP Session 能理解交接包進入負責人檢查前仍只是只讀驗收;交接驗收仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.91 IwoooS 人工決策正式紀錄負責人交接驗收結果分流 | 完成草案 | /iwooos 新增正式紀錄負責人交接驗收結果分流看板,顯示維持驗收等待、要求補齊交接包、要求負責人範圍說明、要求證據版本更新、可進負責人檢查、隔離敏感載荷、拒收變更要求、另開執行或切換閘門八條結果分流 |
使用者與另一個 AwoooP Session 能理解交接驗收後仍只是只讀分流;結果分流仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.92 IwoooS 人工決策正式紀錄負責人檢查準備包 | 完成草案 | /iwooos 新增正式紀錄負責人檢查準備包看板,顯示檢查身分包、交接結果快照、負責人範圍包、權責邊界包、證據追溯包、審查備註包、變更拒收包、執行切換指標包八個準備包 |
使用者與另一個 AwoooP Session 能理解可進負責人檢查仍只是資料準備;準備包仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.93 IwoooS 人工決策正式紀錄負責人檢查清單 | 完成草案 | /iwooos 新增正式紀錄負責人檢查清單看板,顯示身分追溯檢查、交接結果檢查、負責人範圍檢查、權責邊界檢查、證據追溯檢查、審查備註檢查、變更拒收檢查、執行切換分離檢查八個檢查項 |
使用者與另一個 AwoooP Session 能理解負責人檢查仍只是逐項人工確認;檢查清單仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.94 IwoooS 人工決策正式紀錄負責人檢查結果分流 | 完成草案 | /iwooos 新增正式紀錄負責人檢查結果分流看板,顯示維持負責人檢查等待、要求追溯鏈補齊、要求負責人範圍說明、要求權責邊界修正、可進人工指派確認、隔離敏感載荷、拒收變更要求、另開執行或主要來源閘門八條結果分流 |
使用者與另一個 AwoooP Session 能理解負責人檢查後仍只是只讀分流;結果分流仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.95 IwoooS 人工決策正式紀錄負責人指派確認準備包 | 完成草案 | /iwooos 新增正式紀錄負責人指派確認準備包看板,顯示指派身分候選包、負責人範圍確認包、權責邊界確認包、證據追溯確認包、審查結果引用包、代理與備援說明包、變更要求拒收確認包、執行與主要來源分離包八個準備包 |
使用者與另一個 AwoooP Session 能理解可進人工指派確認仍只是資料準備;準備包仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.96 IwoooS 人工決策正式紀錄負責人指派確認清單 | 完成草案 | /iwooos 新增正式紀錄負責人指派確認清單看板,顯示指派身分可讀檢查、負責人範圍有效檢查、權責邊界可讀檢查、證據追溯可讀檢查、審查結果引用檢查、代理與備援說明檢查、變更要求拒收檢查、執行與主要來源分離檢查八個確認檢查 |
使用者與另一個 AwoooP Session 能理解指派確認仍只是人工檢查清單;確認清單仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.97 IwoooS 人工決策正式紀錄負責人指派確認結果分流 | 完成草案 | /iwooos 新增正式紀錄負責人指派確認結果分流看板,顯示維持指派確認等待、要求身分說明補齊、要求負責人範圍更新、要求權責邊界修正、可進人工指派決策、隔離敏感載荷、拒收變更要求、另開執行或主要來源閘門八條結果分流 |
使用者與另一個 AwoooP Session 能理解指派確認清單後只會進入只讀結果分流;結果分流仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.98 IwoooS 人工決策正式紀錄負責人指派決策準備包 | 完成草案 | /iwooos 新增正式紀錄負責人指派決策準備包看板,顯示結果分流追溯包、負責人身分包、範圍快照包、權責邊界包、證據審查包、隔離與例外包、變更拒收包、執行與主要來源閘門包八個準備包 |
使用者與另一個 AwoooP Session 能理解可進人工指派決策前仍只是資料準備;準備包仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.99 IwoooS 人工決策正式紀錄負責人指派決策檢查清單 | 完成草案 | /iwooos 新增正式紀錄負責人指派決策檢查清單看板,顯示決策追溯可讀檢查、負責人身分可確認檢查、範圍快照有效檢查、權責邊界已檢查、證據鏈可讀檢查、隔離與例外已檢查、變更拒收已檢查、執行與主要來源分離檢查八個檢查項 |
使用者與另一個 AwoooP Session 能理解指派決策前仍只是人工檢查清單;檢查清單仍不是紀錄負責人指派、人工批准、正式審批紀錄、專案庫 / 分支與標籤參照 / 工作流程 / 機密設定動作、主要來源切換或執行期閘門 |
| S2.100 / S2.169 IwoooS 64% 重估驗收紀錄 | 完成草案 | /iwooos 顯示 64% 重估驗收紀錄看板,顯示 S4.9 負責人回覆驗收、脫敏 payload 匯入驗收、執行期閘門人工批准、GitHub 主要來源就緒證據、AwoooP 正式只讀消費證據、Kali 112 今日只讀證據與本次 headline review record 七個判定項 |
可直接看懂整體進度為何從 58% 到 61% 再保守重估到 64%,以及下一個真正能推動 headline 的實質 gate;重估紀錄仍不是 owner response received / accepted、脫敏匯入、人工批准、審批紀錄、主要來源切換或執行期閘門 |
| S2.101 IwoooS S4.9 Owner Response 人工收件工作單 | 完成草案 | /iwooos 新增 S4.9 Owner Response 人工收件工作單,看板列出 public-only / local gap、Gitea wooo endpoint 身分、110 adjacent source scope、repo owner / canonical scope、legacy / inaccessible disposition 五項回覆與六個必填欄位 |
使用者與另一個 AwoooP Session 能直接知道第一個會推動 64% 的 S4.9 owner response 要怎麼填、怎麼驗收與怎麼拒收;工作單仍不是 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.102 IwoooS S4.9 負責人回覆封套欄位 | 完成草案 | /iwooos 新增 S4.9 負責人回覆封套欄位看板,列出負責人角色 / 團隊、判定 / 處置、判定理由、受影響範圍、脫敏證據參照、後續負責人六個欄位 |
使用者與另一個 AwoooP Session 能直接知道 S4.9 負責人回覆要用哪六欄填回、審查者要逐欄驗收什麼;封套欄位仍不是 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.103 IwoooS S4.9 負責人回覆封套送件前檢查 | 完成草案 | /iwooos 新增 S4.9 負責人回覆封套送件前檢查看板,列出六欄完整、判定值允許、脫敏證據、範圍追溯、變更要求拒收、後續負責人追溯六個檢查項 |
使用者與另一個 AwoooP Session 能直接知道封套送出前要先檢查什麼;送件前檢查仍不是 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.104 IwoooS S4.9 負責人回覆封套送件前結果分流 | 完成草案 | /iwooos 新增 S4.9 負責人回覆封套送件前結果分流看板,列出維持封套等待、要求補齊欄位、要求修正判定、隔離敏感證據、要求修正範圍、拒收變更要求、維持後續負責人等待七條分流 |
使用者與另一個 AwoooP Session 能直接知道送件前檢查後要回到哪個補正或隔離分流;結果分流仍不是 request sent、owner response submitted / received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.105 IwoooS S4.9 負責人回覆送件請求草稿 | 完成草案 | /iwooos 新增 S4.9 負責人回覆送件請求草稿看板,列出收件範圍對應草稿、負責人收件對象草稿、脫敏證據參照草稿、禁止變更條款草稿、稽核事件範本草稿、人工送件閘門草稿六個草稿項 |
使用者與另一個 AwoooP Session 能直接知道封套通過預檢後仍需要人工整理與批准送件;送件請求草稿仍不是 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.106 IwoooS S4.9 負責人回覆送件鏈路摘要 | 完成草案 | /iwooos 新增 S4.9 負責人回覆送件鏈路摘要帶,以六段流程顯示人工收件工作單、回覆封套欄位、送件前檢查、結果分流、送件請求草稿、人工送件閘門,並把目前焦點固定為 request draft |
使用者與另一個 AwoooP Session 能用更專業的視覺摘要理解 S4.9 不是卡住,而是仍停在只讀送件前準備;送件鏈路摘要仍不是 request sent、owner response received / accepted、audit event emitted、人工批准、主要來源切換或執行期閘門 |
| S2.107 前台安全合規 IwoooS 整合入口 | 完成草案 | /security-compliance 保留既有 SecurityPanel / CompliancePanel 頁籤,並新增 IwoooS 短版主控列與前台整合說明;/iwooos 新增前台安全合規整合判定看板 |
專業判定是整合而非移除:安全合規維持前台熟悉入口,IwoooS 統一資安總覽與姿態來源;第一屏先講短版結論,細節再逐步展開;此整合仍不是 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
| S2.108 IwoooS 前台資安入口角色分流 | 完成草案 | /iwooos 新增前台資安入口角色分流看板,列出 IwoooS、/security-compliance、/security、/compliance、/awooop/approvals 五個入口 |
使用者能快速理解每個資安入口該看什麼:總覽、熟悉入口、事件、合規統計、人控等待;此分流仍不是 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
| S2.109 安全合規前台入口角色對照 | 完成草案 | /security-compliance 新增前台入口角色對照,列出 IwoooS、/security-compliance、/security、/compliance、/awooop/approvals 五個入口,並改為預設收合 |
使用者從熟悉的安全合規入口進來時,第一眼先看到主控結論;需要細節時再展開角色對照。此對照仍不是 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
| S2.110 安全合規低摩擦分階段收斂 | 完成草案 | /security-compliance 新增低摩擦分階段收斂階梯,列出觀測與盤點、補齊證據、人工審查、批准後開閘、逐步收嚴,並改為預設收合 |
使用者能理解目前不是卡住,而是刻意先建框架與證據鏈;後續只有人工批准後才會進入執行期與逐步收嚴,且不讓第一屏被過多細節壓住 |
| S2.111 IwoooS 低摩擦分階段收斂主控 | 完成草案 | /iwooos 新增低摩擦分階段收斂主控,列出觀測與盤點、補齊證據、人工審查、批准後開閘、逐步收嚴,並顯示 IwoooS 仍停在觀測優先 |
使用者從主入口就能理解整個資安網仍採低摩擦框架先行;這不是 runtime 授權、審批、掃描、修復、部署、主要來源切換或執行期閘門 |
| S2.112 IwoooS 低摩擦下一步行動邊界 | 完成草案 | /iwooos 新增低摩擦下一步行動邊界,列出只讀盤點與姿態整理、脫敏證據包、人工審查準備、執行期仍關閉四類行動 |
使用者能直接知道現階段可以繼續推框架與證據,但掃描、主機變更、部署、版本來源操作都仍等待明確批准與 runtime gate |
| S2.113 IwoooS 64% 進度移動訊號驗收條 | 完成草案 | /iwooos 顯示 64% 進度移動訊號驗收條,列出 owner response、脫敏 evidence、runtime gate、GitHub primary、AwoooP landing、Kali 112 read-only evidence 六個真實移動訊號 |
使用者能直接看到 64% 下一次要動起來需要哪些證據;目前 AwoooP landing evidence=1、Kali 112 read-only evidence=1,其餘四個訊號仍是 0 或 false,所以 headline 不灌水 |
| S2.114 IwoooS 第一個進度解鎖路徑 | 完成草案 | /iwooos 新增第一個進度解鎖路徑,將 S4.9 負責人回覆拆成收到回覆、脫敏證據參照、收件預檢、審查接受、進度審查候選五步 |
使用者能直接看到第一個真正可推動 64% 的路徑;目前 received / accepted / preflight passed 仍是 0,所以 headline 仍不提高 |
| S2.115 IwoooS 第一解鎖證據包 | 完成草案 | /iwooos 新增第一解鎖證據包,列出負責人判定 metadata、範圍與來源參照、脫敏聲明、收件預檢軌跡、審查接受摘要五個欄位 |
使用者能直接看到第一個解鎖路徑要補哪些 evidence;目前 filled / accepted 仍是 0,且 raw payload 與機密明文仍禁止收件 |
| S2.116 IwoooS 第一解鎖證據包預檢分流 | 完成草案 | /iwooos 新增第一解鎖證據包預檢分流,列出可審查、補 metadata、補範圍、隔離 payload、拒收機密值、等待 reviewer 六條結果 |
使用者能直接看到證據包進來後會怎麼被處理;目前 ready / accepted 仍是 0,所以 headline 仍不提高 |
| S2.117 IwoooS 第一解鎖證據包補件路徑 | 完成草案 | /iwooos 新增第一解鎖證據包補件路徑,列出補 owner metadata、補範圍參照、補脫敏聲明、補預檢軌跡、等待 reviewer queue 五步 |
使用者能直接看到預檢未通過時要怎麼補缺口;目前 ready / submitted / accepted 仍是 0,所以 headline 仍不提高 |
| S2.118 IwoooS 第一解鎖證據包補件送審前檢查 | 完成草案 | /iwooos 新增第一解鎖證據包補件送審前檢查,列出 owner metadata、範圍參照、脫敏聲明、預檢軌跡、禁止變更條款與 reviewer queue 六項 |
使用者能直接看到補件進 reviewer queue 前要檢查什麼;目前 passed / ready 仍是 0、queue=false,所以 headline 仍不提高 |
| S2.119 IwoooS 第一解鎖證據包補件送審結果分流 | 完成草案 | /iwooos 新增第一解鎖證據包補件送審結果分流,列出可排隊、退回補件、隔離敏感材料、拒收變更要求、維持佇列未開與等待 reviewer 指派六條結果 |
使用者能直接看到送審前檢查後可能如何分流;目前 ready_for_queue / returned / reviewer_assigned 仍是 0、queue=false,所以 headline 仍不提高 |
| S2.120 IwoooS 第一解鎖證據包 reviewer 指派準備包 | 完成草案 | /iwooos 新增第一解鎖證據包 reviewer 指派準備包,列出佇列狀態凍結、reviewer 角色邊界、範圍包、證據索引、衝突揭露與指派稽核草稿六個準備包 |
使用者能直接看到 reviewer 指派前還缺哪些安全資料;目前 ready / candidate / assigned 仍是 0、queue=false,所以 headline 仍不提高 |
| S2.121 IwoooS 第一解鎖證據包 reviewer 指派前檢查 | 完成草案 | /iwooos 新增第一解鎖證據包 reviewer 指派前檢查,列出佇列仍關閉、角色邊界可追溯、範圍包可追溯、證據索引已脫敏、衝突揭露已釐清與稽核草稿只含 metadata 六項 |
使用者能直接看到 reviewer 指派前檢查仍停在只讀核對;目前 passed / ready / candidate / assigned 仍是 0、queue=false,所以 headline 仍不提高 |
| S2.122 IwoooS 第一解鎖證據包 reviewer 指派前檢查結果分流 | 完成草案 | /iwooos 新增第一解鎖證據包 reviewer 指派前檢查結果分流,列出維持佇列關閉、退回角色邊界、退回範圍包、隔離未脫敏證據、暫停衝突揭露與保留 metadata-only 稽核草稿六條結果 |
使用者能直接看到檢查後仍不自動進 candidate 或 reviewer 指派;目前 ready_for_candidate / candidate / assigned / audit 仍是 0、queue=false,所以 headline 仍不提高 |
| S2.123 IwoooS 目前具體工作地圖 | 完成草案 | /iwooos 新增目前具體工作地圖,列出前台資安入口、主機盤點、GitHub / Gitea 遷移準備、S4.9 證據收件、reviewer 人工流程與 runtime 執行 gate 六條具體工作流 |
使用者能直接看到現在具體做了哪六類工作;目前 owner response received / accepted 仍是 0、active runtime gate=0,所以 headline 仍不提高 |
| S2.124 IwoooS 目前具體交付清單 | 完成草案 | /iwooos 新增目前具體交付清單,列出 IwoooS 前台可見工作台、主機範圍與證據欄位、GitHub / Gitea 遷移證據、S4.9 第一解鎖證據包、人工 reviewer 準備序列與 runtime 開閘條件 |
使用者能直接看到每項已交付內容、下一步與未開放動作;目前 evidence received / accepted 仍是 0、reviewer queue=false、runtime gate=0,所以 headline 仍不提高 |
| S2.125 IwoooS 目前阻塞與解除條件 | 完成草案 | /iwooos 新增目前阻塞與解除條件,列出 S4.9 owner response、脫敏證據、reviewer queue、GitHub primary readiness、主機證據與 runtime gate 六個阻塞 |
使用者能直接看到為什麼 64% 仍不移動,以及第一個可解除阻塞是 S4.9 owner response;目前 blocker resolved=0、runtime gate=0,所以 headline 仍不提高 |
| S2.126 IwoooS 三軸進度與全產品套用範圍 | 完成草案 | /iwooos 顯示三軸進度與全產品套用範圍,顯示整體加權 64%、框架建置 92%、落地執行 40-45%,並列出七類產品範圍 |
使用者能直接理解所有專案產品都先套只讀治理與可視化;目前 runtime product rollout=0、owner response accepted=0、active runtime gate=0,所以 headline 下一次仍需真證據 |
| S2.127 IwoooS 全產品分階段套用台帳 | 完成草案 | /iwooos 新增全產品分階段套用台帳,列出核心產品、公開網站、版本來源、主機覆蓋、監控工具與未來產品六個 rollout waves |
使用者能直接理解所有產品如何分波次套用;目前只進 read-only visibility wave,runtime / enforcement / owner accepted / active runtime gate 仍為 0,所以 headline 仍不提高 |
| S2.128 IwoooS 全產品 rollout 波次驗收門檻 | 完成草案 | /iwooos 新增全產品 rollout 波次驗收門檻,列出六個進 runtime 候選前必須通過的證據與人工門檻 |
使用者能直接理解全產品後續怎麼從只讀台帳往人工驗收前進;目前 passed / owner accepted / runtime gate 仍為 0,所以 headline 仍不提高 |
| S2.129 IwoooS 全產品 rollout 驗收結果分流 | 完成草案 | /iwooos 新增全產品 rollout 驗收結果分流,列出驗收後可能維持只讀、退回補證、隔離敏感、版本待證、主機暫停、待人工審或 runtime 未開 |
使用者能直接理解驗收後的下一步走向;目前 reviewer candidate / runtime candidate / owner accepted / active runtime gate 仍為 0,所以 headline 仍不提高 |
| S2.130 IwoooS 全產品證據接線地圖 | 完成草案 | /iwooos 新增全產品證據接線地圖,列出產品範圍、負責人回覆、脫敏證據、版本來源真相、主機安全窗口與監控工具摘要六條 metadata-only evidence channels |
使用者能直接理解所有產品下一步要補哪條證據線;目前 connected product / owner accepted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.131 IwoooS 全產品證據接線預檢 | 完成草案 | /iwooos 新增全產品證據接線預檢,列出範圍 metadata、負責人封套、脫敏邊界、版本來源真相、主機安全窗口與工具摘要六個 read-only preflight checks |
使用者能直接理解接線前要先通過哪些檢查與失敗分流;目前 passed / ready for connection / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.132 IwoooS 全產品證據接線預檢結果分流 | 完成草案 | /iwooos 新增全產品證據接線預檢結果分流,列出維持只讀、退回範圍、退回封套、隔離敏感、版本暫停、主機暫停、工具待摘要與 runtime 關閉八條 outcome lanes |
使用者能直接理解預檢後如何維持只讀、補件、隔離、暫停或 runtime 關閉;目前 ready for connection / returned / quarantined / runtime candidate / owner accepted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.133 IwoooS 全產品預檢補件回收台帳 | 完成草案 | /iwooos 新增全產品預檢補件回收台帳,列出範圍補件、封套補件、脫敏重送、版本補證、主機窗口、工具摘要與 runtime 門檻七個 recovery queues |
使用者能直接理解每個退回 / 隔離 / 暫停狀態後要補什麼、誰補、怎麼回到預檢;目前 submitted / accepted / ready for preflight retry / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.134 IwoooS 全產品補件重試門檻 | 完成草案 | /iwooos 新增全產品補件重試門檻,列出範圍、封套、脫敏、版本、主機與工具摘要六個 retry gates |
使用者能直接理解補件回收後要符合哪些條件才可重新進預檢候選;目前 retry candidate / submitted / passed / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.135 IwoooS 全產品重試結果分流 | 完成草案 | /iwooos 新增全產品重試結果分流,列出維持候選、退回、隔離、暫停、等待人工審查與 runtime 關閉八條 retry outcome lanes |
使用者能直接理解補件重試後會被分流到哪裡;目前 ready for connection / human review candidate / runtime candidate / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.136 IwoooS 全產品人工審查候選準備 | 完成草案 | /iwooos 新增全產品人工審查候選準備,列出候選識別、結果來源、負責人與範圍、脫敏聲明、版本來源、主機窗口、工具摘要與 runtime 分離八個 preparation packets |
使用者能直接理解等待人工審查前要整理哪些 metadata-only 包;目前 reviewer candidate / queue / assigned / audit emitted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.137 IwoooS 全產品人工審查候選預檢 | 完成草案 | /iwooos 新增全產品人工審查候選預檢,列出候選識別、結果來源、負責人與範圍、脫敏聲明、版本來源、主機窗口、工具摘要與 runtime 分離八個 preflight checks |
使用者能直接理解準備包進 reviewer queue 前還要通過哪些只讀預檢;目前 passed / ready for queue / reviewer candidate / audit emitted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.138 IwoooS 全產品人工審查候選預檢結果分流 | 完成草案 | /iwooos 新增全產品人工審查候選預檢結果分流,列出維持只讀、退回識別、退回來源、退回範圍、隔離敏感、版本 / 主機暫停、等待人工審查與 runtime 關閉八條 preflight outcome lanes |
使用者能直接理解預檢後會被分流到哪裡;目前 ready for queue / returned / quarantined / reviewer candidate / audit emitted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.139 IwoooS 全產品人工審查候選預檢補件回收台帳 | 完成草案 | /iwooos 新增全產品人工審查候選預檢補件回收台帳,列出識別、來源、範圍、脫敏、版本、主機、工具摘要與 runtime 聲明八個 recovery queues |
使用者能直接理解退回、隔離與暫停後要補什麼、由誰補、怎麼回到預檢;目前 submitted / accepted / ready for preflight retry / reviewer candidate / audit emitted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.140 IwoooS 全產品人工審查候選預檢補件重試門檻 | 完成草案 | /iwooos 新增全產品人工審查候選預檢補件重試門檻,列出識別、來源、範圍、脫敏、版本、主機窗口、工具摘要與 runtime 分離八個 retry gates |
使用者能直接理解補件回收後何時可以重新回到 S2.137 預檢;目前 retry candidate / submitted / passed / ready for preflight retry / reviewer candidate / audit emitted / ready for runtime 仍為 0,所以 headline 仍不提高 |
| S2.141 IwoooS 全產品只讀套用快照 | 完成草案 | /iwooos 預設展開區改放全產品 compact snapshot,六類產品狀態一屏可讀,完整三軸與 rollout 明細留在進階收合區 |
使用者能直接理解「所有專案產品都有套用,但目前只讀、低摩擦、runtime ready 仍 0」;這是 UI/UX 與可理解性推進,headline 仍不提高 |
| P2-145 AI Agent Owner Response 驗收門檻 | 正式驗證完成 | /governance?tab=automation-inventory 新增 P2-145 owner response acceptance gate 卡片;feature commit 386dbd07、deploy marker 36fbfc6b、Gitea code-review 2969 / CD 2968 success;正式 API readback、in-app browser smoke、desktop / mobile smoke 已確認 P2-144 回讀基線、5 條驗收 gate lane、6 個驗收檢查、6 個拒收規則、5 個操作事項與 received / accepted / rejected / Gateway / Telegram / production write 全部 0 |
使用者與另一個 AwoooP Session 能確認下一關只建立驗收門檻;未收到合格、遮罩、欄位完整、可驗證來源的外部正式回覆前,不得建立 acceptance receipt、不得進 reviewer / Gateway queue、不得發 Telegram、不得開 runtime gate,headline 仍不提高 |
| P0 配置控管優先序前台 | 正式驗證完成 | /iwooos 新增 P0 配置控管優先序看板,集中顯示 Nginx public gateway、DNS / TLS / certbot、K8s / ArgoCD / production manifests、Workflow / runner / secret metadata、Public / admin / API runtime config、agent-bounty runtime / treasury 六類即時風險配置;feature commit e992af89、deploy marker ed651a98、Gitea code-review 2971 / CD 2970 success;本地與正式 in-app browser、desktop 1440x1100、mobile 390x844 檢查通過,新增看板操作控制 0、水平溢位 0、工作視窗片語命中 0 |
使用者與另一個 AwoooP Session 能先看到哪些重要配置要優先被資安控管;這不是 Nginx live conf 讀取、nginx -t、reload、DNS / TLS probe、certbot renew、ArgoCD sync、kubectl、workflow / secret 修改、public route change、agent-bounty runtime、payout / withdrawal、production write 或 runtime gate |
| 高價值配置 Owner Packet 前台同步 | 正式驗證完成 | /iwooos 與 /awooop 已同步 owner packet snapshot,顯示 packet=3 / c0=2、Nginx public gateway、DNS / TLS / certbot 與 security tooling 影響範圍;feature commit e999c16b、deploy marker 16c6b983、Gitea code-review 2973 / CD 2972 success;本地與正式 desktop / mobile / in-app browser smoke 已確認必要文字與 boundary keys 可見、水平溢位 0、卡片內操作控制 0、危險連結 0、工作溝通片語命中 0 |
這是前台 read-only projection 對齊,不是 owner request sent、owner response received / accepted、Nginx reload、certbot renew、DNS / TLS probe、workflow 修改、secret rotation、agent-bounty runtime、host write、active scan、production write 或 runtime gate;headline 仍不提高 |
| IwoooS posture projection Owner Packet 數字同步 | 本地完成 | iwooos-posture-projection.snapshot.json、iwooos_posture_projection_v1.schema.json 與 security-mirror-progress-guard.py 已同步 high_value_config_owner_packet_count=3、high_value_config_owner_packet_c0_packet_count=2 |
這是 committed evidence / schema / guard drift closure,不是前端 bundle、CD、runtime gate、owner request sent、owner response received / accepted 或 production write;不需要 production browser smoke |
| 高價值配置 Owner Packet 收件預檢 | 本地完成 | high-value-config-owner-packet-intake-preflight.snapshot.json 已固定 packet_count=3、c0_packet_count=2、dispatch_preflight_check_count=9、reviewer_intake_lane_count=5、required_owner_field_total=27、blocked_request_count=16,並由 security-mirror-progress-guard.py 鎖住 packet ids、check ids、lane ids 與 false flags |
這是 request dispatch 前的只讀預檢與 reviewer intake lanes,不是 request sent、owner response received / accepted、reviewer queue write、Nginx reload、DNS / TLS change、workflow 修改、host write、active scan、production write 或 runtime gate;不需要 production browser smoke |
| 高價值配置 Owner Request 草稿包 | 本地完成 | high-value-config-owner-request-draft.snapshot.json 已固定 request_draft_count=3、c0_request_draft_count=2、handoff_envelope_field_count=11、required_owner_field_total=27、forbidden_payload_count=12、request_sent_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、handoff fields 與 false flags |
這是人工送件前草稿與 handoff envelope,不是 request sent、recipient confirmed、audit event emitted、owner response received / accepted、reviewer queue write、Nginx reload、DNS / TLS change、workflow 修改、host write、active scan、production write 或 runtime gate;不需要 production browser smoke |
| agent-bounty-protocol Owner Request Draft | 本地完成 | agent-bounty-owner-request-draft.snapshot.json 已固定 request_draft_count=11、control_boundary_request_count=4、product_surface_request_count=7、write_capable_request_draft_count=8、treasury_related_request_draft_count=4、mcp_a2a_related_request_draft_count=5、required_owner_field_count=22、forbidden_input_count=25、blocked_action_count=28、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags |
這是 agent-bounty-protocol repo / refs、deployment、product surface、MCP / A2A、cron / daemon、admin / treasury、webhook / traffic 的人工送件前 request draft,不是 request sent、owner response received / accepted、repo push、refs sync、workflow 修改、secret collection、deploy、compose restart、DB migration、claim / submit、payout / withdrawal、cron / daemon、external send、host write、production write 或 runtime gate;不需要 production browser smoke |
| Public Gateway live conf 匯出請求包 | 本地完成 | public-gateway-live-conf-export-request.snapshot.json 已固定 export_request_count=3、c0_export_request_count=2、redaction_rule_count=8、redacted_export_received_count=0、raw_live_conf_stored_count=0,並由 security-mirror-progress-guard.py 鎖住 export ids、redaction rules 與 false flags |
這是 owner-provided redacted export request draft,不是 request sent、live conf received、rendered diff ready、nginx -t、Nginx reload、route smoke、DNS / TLS probe、certbot renew、host write、production write 或 runtime gate;不需要 production browser smoke |
| Public Gateway redacted export 收件預檢 | 本地完成 | public-gateway-redacted-export-intake-preflight.snapshot.json 已固定 intake_candidate_count=3、c0_intake_candidate_count=2、validation_check_count=10、rejection_guard_count=12、reviewer_intake_lane_count=5、redacted_export_received_count=0、accepted_redacted_export_count=0,並由 security-mirror-progress-guard.py 鎖住 intake ids、validation checks、rejection guards、reviewer lanes 與 false flags |
這是 redacted export 收件前預檢,不是 request sent、recipient confirmed、redacted export received / accepted、raw live conf stored、rendered diff ready、nginx -t、Nginx reload、route smoke、DNS / TLS probe、certbot renew、host write、production write 或 runtime gate;不需要 production browser smoke |
| Public Gateway rendered diff / nginx gate 草稿 | 本地完成 | public-gateway-rendered-diff-gate-draft.snapshot.json 已固定 diff_gate_candidate_count=3、c0_diff_gate_candidate_count=2、preflight_stage_count=7、blocked_action_count=14、redacted_export_accepted_count=0、rendered_diff_ready_count=0、nginx_test_executed_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 diff gate ids、preflight stages、blocked actions 與 false flags |
這是 rendered diff / nginx / route smoke 分階段 gate 草稿,不是 redacted export accepted、rendered diff ready、nginx -t、Nginx reload、route smoke、DNS / TLS probe、certbot renew、host write、production write 或 runtime gate;不需要 production browser smoke |
| Public Gateway rendered diff evidence acceptance | 本地完成 | public-gateway-rendered-diff-acceptance.snapshot.json 已固定 diff_acceptance_candidate_count=3、c0_diff_acceptance_candidate_count=2、required_evidence_field_count=14、reviewer_check_count=15、outcome_lane_count=8、blocked_action_count=22、rendered_diff_accepted_count=0、nginx_test_evidence_accepted_count=0、route_smoke_result_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 acceptance ids、reviewer checks、outcome lanes、blocked actions 與 false flags |
這是 owner-provided rendered diff / nginx test / route smoke evidence 的只讀驗收帳本,不是 owner response accepted、rendered diff accepted、nginx -t、Nginx reload、route smoke、DNS / TLS probe、certbot renew、host write、production write 或 runtime gate;前端數字會隨本輪 commit / deploy 另行 smoke |
| Public Gateway / Nginx post-incident readback plan | 本地完成 | public-gateway-post-incident-readback-plan.snapshot.json 已固定 readback_candidate_count=3、c0_readback_candidate_count=2、required_readback_field_count=30、reviewer_check_count=28、outcome_lane_count=10、blocked_action_count=41、post_incident_readback_received_count=0、post_incident_readback_accepted_count=0、nginx_test_authorized_count=0、nginx_reload_authorized_count=0、route_smoke_authorized_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 readback ids、reviewer checks、outcome lanes、blocked actions 與 false flags |
這是 Nginx / Public Gateway 事故後回讀計畫,不是 live conf read、nginx -t、Nginx reload、route smoke、DNS / TLS probe、certbot renew、host write、production write 或 runtime gate;前端數字會隨本輪 commit / deploy 另行 smoke |
| DNS / TLS / certbot Owner Confirmation Request | 本地完成 | domain-tls-certbot-owner-confirmation-request.snapshot.json 已固定 owner_confirmation_request_count=4、c0_owner_confirmation_request_count=4、required_owner_field_count=9、confirmation_question_count=5、rejection_guard_count=12、owner_response_received_count=0、owner_response_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、confirmation questions、rejection guards 與 false flags |
這是 SAN / wildcard / 共用憑證覆蓋關係的 owner confirmation request 草稿,不是 request sent、recipient confirmed、owner response received / accepted、DNS query、TLS probe、certbot renew、Nginx reload、route smoke、host write、production write 或 runtime gate;不需要 production browser smoke |
| K8s / ArgoCD manifest repo-only 清冊 | 本地完成 | k8s-argocd-manifest-inventory.snapshot.json 已固定 file_count=49、c0_file_count=36、yaml_manifest_file_count=45、unique_kind_count=20、top_level_kind_marker_count=56、required_owner_field_count=11、evidence_gap_count=8、blocked_action_count=13,並由 security-mirror-progress-guard.py 鎖住 group ids、kind counts、blocked actions 與 false flags |
這是 repo-only manifest inventory,不是 live cluster read、ArgoCD API read、ArgoCD sync、kubectl apply / patch / delete、Helm upgrade、secret collection、manual pod restart、scale workload、RBAC / NetworkPolicy change、restore backup、production write 或 runtime gate;不需要 production browser smoke |
| K8s / ArgoCD Owner Request Draft | 已推送 / 已同步 | e8de19d7 已進 gitea/main;k8s-argocd-owner-request-draft.snapshot.json 已固定 request_draft_count=4、c0_request_draft_count=3、request_field_count=20、required_owner_field_count=11、evidence_gap_count=8、blocked_action_count=13、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags;AwoooP 平行 Session 已同步 |
這是人工送件前 request draft,不是 request sent、recipient confirmed、owner response received / accepted、rendered manifest diff、ArgoCD API read、ArgoCD sync、kubectl action、live cluster read、secret collection、production write 或 runtime gate;不需要 production browser smoke |
| K8s / ArgoCD Owner Response Acceptance | 本地完成 | k8s-argocd-owner-response-acceptance.snapshot.json 已固定 acceptance_candidate_count=4、c0_acceptance_candidate_count=3、required_owner_field_count=11、reviewer_check_count=12、outcome_lane_count=7、blocked_action_count=18、owner_response_received_count=0、owner_response_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 candidate ids、reviewer checks、outcome lanes、blocked actions 與 false flags |
這是 owner response 收件驗收帳本,不是 owner response received / accepted、ArgoCD API read、ArgoCD sync、kubectl action、live cluster read、secret collection、production write 或 runtime gate;不需要 production browser smoke |
| Docker / systemd / Host Service Owner Request Draft | 本地完成 | host-service-owner-request-draft.snapshot.json 已固定 request_draft_count=9、write_capable_request_draft_count=3、live_evidence_required_request_count=8、request_field_count=22、required_owner_field_count=12、blocked_action_count=14、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags |
這是 Docker Compose、systemd / repair-bot、Ansible role 與 host config backup 的人工送件前 request draft,不是 request sent、owner response received / accepted、live host read、Docker Compose action、systemctl action、repair-bot execution、Ansible apply、secret collection、host write、production write 或 runtime gate;不需要 production browser smoke |
| SSH / Firewall / Network Access Owner Request Draft | 本地完成 | ssh-network-owner-request-draft.snapshot.json 已固定 request_draft_count=16、write_capable_request_draft_count=6、live_evidence_required_request_count=16、request_field_count=23、required_owner_field_count=13、blocked_action_count=16、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags |
這是 SSH target、known_hosts、CI deploy SSH、monitoring SSH、backup SSH、sudoers、NetworkPolicy、NodePort、WireGuard 與 alert SSH action 的人工送件前 request draft,不是 request sent、owner response received / accepted、live host read、host keyscan、known_hosts patch、firewall / port change、NetworkPolicy apply、NodePort change、WireGuard change、secret collection、host write、production write 或 runtime gate;不需要 production browser smoke |
| Backup / Restore / Escrow Owner Request Draft | 本地完成 | backup-restore-owner-request-draft.snapshot.json 已固定 request_draft_count=38、write_capable_request_draft_count=27、live_evidence_required_request_count=38、request_field_count=24、required_owner_field_count=14、blocked_action_count=18、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags |
這是 backup、restore、offsite、credential escrow、retention、Velero、alert / health 與 DR runbook 的人工送件前 request draft,不是 request sent、owner response received / accepted、live backup evidence、backup run、restore run、offsite sync、remote delete、escrow marker write、retention change、restic prune、rclone config、Velero restore / backup、secret collection、host write、production write 或 runtime gate;不需要 production browser smoke |
| Backup / Restore / Escrow Owner Response Acceptance | 本地完成 | backup-restore-owner-response-acceptance.snapshot.json 已固定 acceptance_candidate_count=38、write_capable_acceptance_candidate_count=27、live_evidence_required_candidate_count=38、acceptance_field_count=33、required_owner_field_count=23、reviewer_check_count=22、outcome_lane_count=9、blocked_action_count=31、owner_response_received_count=0、owner_response_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 candidate ids、reviewer checks、outcome lanes、blocked actions 與 false flags |
這是 backup、restore、offsite、credential escrow、retention、Velero、alert / health、freshness SLO、隔離還原目標、遠端刪除保護、保留期 runway、金庫非明文復原證明與 DR runbook 的 owner response 收件驗收帳本,不是 owner response received / accepted、live backup evidence、backup run、restore run、offsite sync、remote delete、escrow marker write、retention change、restic prune、rclone config、Velero restore / backup、secret collection、host write、production write 或 runtime gate;前端數字會隨本輪 commit / deploy 另行 smoke |
| Backup / Restore / Escrow Post-incident Readback Plan | 正式站驗證完成 | backup-restore-post-incident-readback-plan.snapshot.json 已固定 readback_candidate_count=38、write_capable_readback_candidate_count=27、live_evidence_required_readback_candidate_count=38、restore_drill_readback_required_candidate_count=38、offsite_or_escrow_readback_required_candidate_count=20、retention_or_remote_delete_readback_required_candidate_count=17、required_readback_field_count=34、reviewer_check_count=32、outcome_lane_count=11、blocked_action_count=51、post_incident_readback_received_count=0、post_incident_readback_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 readback ids、reviewer checks、outcome lanes、blocked actions 與 false flags;code 1b9d44cf、deploy marker f5be4cb8、code-review 3084、CD 3083 成功,後續 7cb3fd32 production readback 仍命中 4 個 marker,desktop / mobile console error 0、forbidden hit 0、horizontal overflow false |
這是 backup / restore / escrow / retention 事故後回讀計畫,不是 owner response received / accepted、backup status accepted、restore drill accepted、offsite sync accepted、credential escrow proof accepted、backup run、restore run、offsite sync、remote delete、credential escrow marker write、retention change、restic prune、rclone config、Velero restore / backup、kubectl、SSH、secret collection、host write、production write 或 runtime gate;production verification 不提高任何 runtime / action count |
| Monitoring / Alerting / Observability Owner Request Draft | 本地完成 | monitoring-owner-request-draft.snapshot.json 已固定 request_draft_count=60、write_capable_request_draft_count=11、live_evidence_required_request_count=60、request_field_count=24、required_owner_field_count=14、blocked_action_count=24、request_sent_count=0、owner_response_received_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 request ids、blocked actions 與 false flags |
這是 Prometheus、Alertmanager、Grafana、SigNoz、Sentry、Langfuse、OTEL、Telegram / notification policy、deploy / reload scripts 與 alert chain smoke 的人工送件前 request draft,不是 request sent、owner response received / accepted、live evidence、Prometheus reload、Alertmanager reload、Grafana import、SigNoz apply、Sentry deploy、Langfuse change、OTEL reload、receiver route change、silence change、Telegram send、live alert fire、alert chain smoke、secret collection、host write、production write 或 runtime gate;不需要 production browser smoke |
| Monitoring / Alerting / Observability Post-incident Readback Plan | 本地完成 | monitoring-post-incident-readback-plan.snapshot.json 已固定 readback_candidate_count=60、write_capable_readback_candidate_count=11、live_evidence_required_readback_candidate_count=60、alert_rule_readback_candidate_count=13、deploy_or_reload_readback_candidate_count=6、required_readback_field_count=30、reviewer_check_count=28、outcome_lane_count=11、blocked_action_count=53、post_incident_readback_received_count=0、post_incident_readback_accepted_count=0、runtime_gate_count=0,並由 security-mirror-progress-guard.py 鎖住 readback ids、reviewer checks、outcome lanes、blocked actions 與 false flags |
這是監控 / 告警事故後回讀計畫,不是 owner response received / accepted、live evidence、Prometheus reload、Alertmanager reload、Grafana import、SigNoz apply、Sentry deploy、Langfuse change、OTEL reload、receiver route change、silence change、Telegram send、live alert fire、alert chain smoke、secret collection、host write、production write 或 runtime gate;前端數字會隨本輪 commit / deploy 另行 smoke |
| S3 approval gate | 進行中 | security_approval_gate_v1 已建立 8 個人工 gate items:7 pending、1 block candidate、0 approved |
不得繞過人工批准;批准後仍需 follow-up runtime gate |
| S3.0 人工批准 Gate 契約 | 完成草案 | 定義批准範圍、決策選項、required reviewers、still forbidden 與 follow-up runtime gate | AwoooP 可記錄決策,不可執行 gate item |
| S3.1 人工決策紀錄契約 | 完成草案 | security_approval_decision_record_v1 已建立;目前 0 筆 decision records、0 個 runtime action 授權 |
AwoooP 可稽核決策,不可把決策當執行 |
| S3.2 人工審查封包契約 | 完成草案 | security_approval_review_packet_v1 已建立;8 個 review packets、7 ready for human review、1 block candidate、0 個 runtime action 授權 |
AwoooP 可顯示 review lane,不可把 packet 當批准或執行 |
| S3.3 人工決策狀態轉移契約 | 完成草案 | security_approval_state_transition_v1 已建立;5 個 decision options 都有 next state、0 個 runtime action 授權 |
AwoooP 可顯示決策後狀態,不可把 transition 當執行 |
| S3.4 後續 runtime gate 準備契約 | 完成草案 | security_followup_runtime_gate_v1 已建立;8 個 gate templates、0 個 active runtime gates、0 個 approved scope |
AwoooP 可顯示前置 evidence、preflight checks 與 rollback / disable requirement,不可啟用 runtime gate |
| S4.0 GitHub primary readiness gate | 完成草案 | source_control_primary_readiness_gate_v1 已建立;10 個 candidate repos、9 個 in-scope blocked、0 個 primary ready;S4.10 已補 target owner response gate;S4.11 已補 refs truth owner response gate;S4.12 已補 workflow / secret 名稱 owner response gate |
AwoooP 可顯示 parity、owner、rollback ADR 缺口,不可切 primary |
| S4.1 Workflow / Secret 名稱 inventory 契約 | 完成草案 | source_control_workflow_secret_name_inventory_v1 已建立;10 個 candidate repos、9 個 in-scope repos 尚缺實際 inventory、0 個 complete、禁止收集 secret value |
AwoooP 可顯示 workflow / webhook / runner / deploy key / branch protection / CODEOWNERS / secret 名稱缺口,不可修改 workflow 或 secret |
| S4.2 Workflow / Secret 名稱 local evidence | 完成草案 | 已建立 local read-only collector 與 snapshot;9 個 local repos visible、5 個 local evidence repos、33 個 workflow files、42 個 referenced secret names、secret value detected=false | 補 webhook / deploy key / branch protection / repository secret parity 的 redacted evidence;仍不可切 primary |
| S4.3 Workflow / Secret 名稱 redacted export request | 完成草案 | 已建立 export request schema / snapshot / 人讀版;9 個 in-scope repos、5 類 export lanes:webhook、runner、deploy key、branch protection / CODEOWNERS、repository secret name parity;write token allowed=false | repo owner 或未來只讀 API 依 request 補 redacted export;仍不可收 secret value、不可修改 GitHub/Gitea |
| S4.12 Workflow / Secret Name Owner Response 收件包 | 完成草案 | 已建立 owner response schema / snapshot / 人讀版;1 個 owner response request packet、5 個 template statuses、3 個 audit event templates、5 個 redaction examples、6 個 collection checks、6 個 intake preflight checks、5 個 response templates、8 個 acceptance checks、10 個 rejection rules、candidate repos 10、in-scope repos 9、received response 0、accepted 0、audit events emitted 0、execution authorized=false | owner 依 request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與模板回覆 webhook、runner、deploy key、branch protection / CODEOWNERS、repository secret name parity;response 通過只更新 read-only inventory / export request / readiness wording,不代表收 secret value、改 workflow、啟用 runner 或 primary approval |
| S4.13 Source Control Owner Response Validation Rollup | 完成草案 | 已建立 validation rollup schema / snapshot / 人讀版;彙整 S4.9 / S4.10 / S4.11 / S4.12 四包 response packets、4 條 missing response lanes、4 步 owner response collection order、next collection candidate、24 個 response templates、10 個 cross-packet checks、6 條 evidence routing rules、8 個 display sections、7 條 state transition rules、9 個 reviewer checklist items、7 條 reviewer outcome lanes、4 個 reviewer audit event templates、5 個 reviewer audit display sections、6 個 reviewer audit collection checks、5 個 reviewer audit redaction examples、5 條 reviewer audit retention rules、6 個 reviewer audit retention checks、6 個 reviewer audit handoff packets、6 個 reviewer audit handoff checks、6 個 parallel session sync checks、6 條 parallel session conflict lanes、6 個 parallel session recovery checks、7 條 parallel session recovery outcome lanes、40 個 rejection rules、received / accepted / rejected response 皆為 0、reviewer audit emitted 仍為 0、execution authorized=false;latest local validation 為 SOURCE_CONTROL_OWNER_RESPONSE_GUARD_OK |
AwoooP 可顯示四包 owner response 驗收總覽、缺口摘要、建議收件順序、下一個建議收件項目、evidence routing、display sections、state transition rules、reviewer checklist、reviewer outcome lanes、reviewer audit event templates、reviewer audit display sections、reviewer audit collection checks、reviewer audit redaction examples、reviewer audit retention rules、reviewer audit retention checks、reviewer audit handoff packets、handoff checks、parallel session sync checks、parallel session conflict lanes、parallel session recovery checks、parallel session recovery outcome lanes 與 quarantine rules;rollup 不代表 approval、runtime gate、production ingestion、repo / refs / workflow / secret / runner 執行授權或 primary approval |
| S4.4 GitHub Primary rollback ADR | 完成草案 | 已建立 rollback ADR schema / snapshot / 人讀版;9 個 in-scope rollback drafts、0 owner approved、0 dry-run completed、0 active cutover | repo owner 審查 rollback owner、validation window 與 triggers;仍不可切 primary 或執行 rollback |
| S4.5 Gitea 認證清冊匯出請求 | 完成草案 | 已建立匯出請求 schema / snapshot / 人讀版;目前未認證公開範圍 repo 2 個、本機可見 Gitea unique repo 4 個、覆蓋缺口 2 個、匯出來源選項 2 類;允許收集 token value=false | repo owner 依只讀 token API 或已脫敏管理匯出補私有 / 內部全量 repo list;仍不可保存 token、不可 write Gitea、不可 refs sync |
| S4.6 Gitea 認證清冊匯入驗收契約 | 完成草案 | 已建立匯入驗收 schema / snapshot / 人讀版;目前 received payload 0、accepted 0、rejected 0;定義 10 個驗收檢查、10 個拒收規則與 4 個 quarantine lanes | owner 提供脫敏 payload 後先驗收 / 拒收 / 隔離;仍不可把驗收當 primary approval |
| S4.7 Gitea 清冊覆蓋 Owner Attestation | 完成草案 | 已建立 coverage attestation schema / snapshot / 人讀版;5 個 owner decision items、received attestation 0、accepted 0、execution authorized=false | owner 判定 public-only / local remote gap、org/user endpoint、110 adjacent source、canonical owner 與 legacy/inaccessible disposition;仍不可把 attestation 當 migration approval |
| S4.8 Gitea Owner Attestation Approval Lane 對齊 | 完成草案 | 已將既有 Gitea approval queue / gate / review packet / follow-up runtime gate 對齊 S4.7 先行條件;queue items 維持 8、review packets 維持 8、active runtime gates 維持 0 | AwoooP 先顯示 5 個 attestation items,owner decision 接受前不得執行 read-only inventory 或標記 complete |
| S4.9 Gitea Owner Attestation Response 收件包 | 完成草案 | 已建立 owner response schema / snapshot / 人讀版;1 個 owner response request packet、5 個 template statuses、3 個 audit event templates、5 個 redaction examples、8 個 display sections、6 個 collection checks、5 個 response templates、6 個 intake preflight checks、5 個 outcome lanes、8 個 acceptance checks、10 個 rejection rules、received response 0、accepted 0、execution authorized=false | owner 依 request packet 與模板回覆 S4.7 五個 items;AwoooP 先用 template status ledger / audit event templates / redaction examples / display sections / collection checks 維持 request / received / accepted 分離,再用 preflight / outcome lanes 判斷可審、補證、隔離、拒收或等待;response 通過只更新 read-only matrix / decision table / readiness gate,不代表 inventory 執行、audit production ingestion 或 primary approval |
| S4.10 GitHub Target Owner Decision Response 收件包 | 完成草案 | 已建立 owner decision response schema / snapshot / 人讀版;1 個 owner response request packet、9 個 template statuses、3 個 audit event templates、5 個 redaction examples、6 個 collection checks、6 個 intake preflight checks、9 個 response templates、8 個 acceptance checks、10 個 rejection rules、received response 0、accepted 0、execution authorized=false | owner 依 request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與模板回覆 9 個 GitHub target 的 owner / visibility / canonical;response 通過只更新 read-only decision table / approval package / approval board / readiness gate,不代表 repo creation、visibility change、refs sync 或 primary approval |
| S4.11 Source Control Ref Truth Owner Response 收件包 | 完成草案 | 已建立 owner response schema / snapshot / 人讀版;1 個 owner response request packet、5 個 template statuses、3 個 audit event templates、5 個 redaction examples、6 個 collection checks、6 個 intake preflight checks、5 個 response templates、8 個 acceptance checks、10 個 rejection rules、total ref review items 194、received response 0、accepted 0、audit events emitted 0、execution authorized=false | owner 依 request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與模板回覆 main/dev truth、deprecated drift、release tag、GitHub-only refs;response 通過只更新 read-only classification / reconcile / readiness wording,不代表 refs sync、delete、force push 或 primary approval |
| S4 migration execution | 未開始 | GitHub primary 長期方向已確認,但 refs / tags / workflow / secret 名稱尚未全量驗證,rollback ADR 仍待 owner approval | SHA/tag/workflow parity、rollback ADR owner approval 與 runtime gate |
1. 已建立的主要 evidence
| 類型 | 檔案 |
|---|---|
| AwoooP handoff | docs/security/AWOOOP-SECURITY-SUPPLYCHAIN-INTEGRATION-HANDOFF.md |
| Mirror-only 清單 | docs/security/AWOOOP-MIRROR-ONLY-CONSUMPTION-CHECKLIST.md |
| Gitea/GitHub migration inventory | docs/security/GITEA-GITHUB-MIGRATION-INVENTORY.md |
| Gitea server-side inventory runbook | docs/security/GITEA-SERVER-SIDE-INVENTORY-RUNBOOK.md |
| Gitea read-only inventory approval package | docs/security/GITEA-READONLY-INVENTORY-APPROVAL-PACKAGE.md |
| Gitea read-only inventory approval JSON | docs/security/gitea-readonly-inventory-approval.snapshot.json |
| Gitea 認證清冊匯出請求 | docs/security/GITEA-AUTHENTICATED-INVENTORY-EXPORT-REQUEST.md |
| Gitea 認證清冊匯出請求 JSON | docs/security/gitea-authenticated-inventory-export-request.snapshot.json |
| Gitea 認證清冊匯入驗收契約 | docs/security/GITEA-AUTHENTICATED-INVENTORY-IMPORT-ACCEPTANCE.md |
| Gitea 認證清冊匯入驗收契約 JSON | docs/security/gitea-authenticated-inventory-import-acceptance.snapshot.json |
| Gitea 清冊覆蓋 owner attestation | docs/security/GITEA-INVENTORY-COVERAGE-ATTESTATION.md |
| Gitea 清冊覆蓋 owner attestation JSON | docs/security/gitea-inventory-coverage-attestation.snapshot.json |
| Gitea owner attestation response 收件包 | docs/security/GITEA-INVENTORY-OWNER-ATTESTATION-RESPONSE.md |
| Gitea owner attestation response JSON | docs/security/gitea-inventory-owner-attestation-response.snapshot.json |
| Gitea 管理匯出 redaction checklist | docs/security/GITEA-ADMIN-EXPORT-REDACTION-CHECKLIST.md |
| Gitea org endpoint blocked evidence | docs/security/GITEA-ORG-REPO-INVENTORY-BLOCKED-SNAPSHOT.md |
| Source-control migration matrix | docs/security/SOURCE-CONTROL-MIGRATION-MATRIX.md |
| Canonical repo 判定表 | docs/security/SOURCE-CONTROL-CANONICAL-DECISION-TABLE.md |
| GitHub target 決策表 | docs/security/GITHUB-TARGET-VISIBILITY-DECISION-TABLE.md |
| GitHub target 決策 JSON | docs/security/github-target-decision.snapshot.json |
| GitHub target owner decision response 收件包 | docs/security/GITHUB-TARGET-OWNER-DECISION-RESPONSE.md |
| GitHub target owner decision response JSON | docs/security/github-target-owner-decision-response.snapshot.json |
| GitHub target repo approval package | docs/security/GITHUB-TARGET-REPO-APPROVAL-PACKAGE.md |
| GitHub target repo approval JSON | docs/security/github-target-repo-approval-package.snapshot.json |
| Source Control approval board | docs/security/SOURCE-CONTROL-APPROVAL-BOARD.md |
| Source Control approval board JSON | docs/security/source-control-approval-board.snapshot.json |
| Source Control draft reconcile plan | docs/security/SOURCE-CONTROL-RECONCILE-PLAN.md |
| Source Control draft reconcile plan JSON | docs/security/source-control-reconcile-plan.snapshot.json |
| Source Control branch/tag detail diff | docs/security/SOURCE-CONTROL-REF-DETAIL-DIFF.md |
| Source Control branch/tag detail diff JSON | docs/security/source-control-ref-detail-diff.snapshot.json |
| Source Control ref truth classification | docs/security/SOURCE-CONTROL-REF-TRUTH-CLASSIFICATION.md |
| Source Control ref truth classification JSON | docs/security/source-control-ref-truth-classification.snapshot.json |
| Source Control ref truth owner response 收件包 | docs/security/SOURCE-CONTROL-REF-TRUTH-OWNER-RESPONSE.md |
| Source Control ref truth owner response JSON | docs/security/source-control-ref-truth-owner-response.snapshot.json |
| Source Control GitHub primary readiness gate | docs/security/SOURCE-CONTROL-PRIMARY-READINESS-GATE.md |
| Source Control GitHub primary readiness gate JSON | docs/security/source-control-primary-readiness-gate.snapshot.json |
| Source Control GitHub primary rollback ADR | docs/security/SOURCE-CONTROL-PRIMARY-ROLLBACK-ADR.md |
| Source Control GitHub primary rollback ADR JSON | docs/security/source-control-primary-rollback-adr.snapshot.json |
| Source Control workflow / secret name inventory | docs/security/SOURCE-CONTROL-WORKFLOW-SECRET-NAME-INVENTORY.md |
| Source Control workflow / secret name inventory JSON | docs/security/source-control-workflow-secret-name-inventory.snapshot.json |
| Source Control workflow / secret name local evidence | docs/security/SOURCE-CONTROL-WORKFLOW-SECRET-NAME-LOCAL-EVIDENCE.md |
| Source Control workflow / secret name local evidence JSON | docs/security/source-control-workflow-secret-name-local-evidence.snapshot.json |
| Source Control workflow / secret name local collector | scripts/security/source-control-workflow-secret-name-local-inventory.py |
| Source Control workflow / secret name export request | docs/security/SOURCE-CONTROL-WORKFLOW-SECRET-NAME-EXPORT-REQUEST.md |
| Source Control workflow / secret name export request JSON | docs/security/source-control-workflow-secret-name-export-request.snapshot.json |
| Source Control workflow / secret name owner response 收件包 | docs/security/SOURCE-CONTROL-WORKFLOW-SECRET-NAME-OWNER-RESPONSE.md |
| Source Control workflow / secret name owner response JSON | docs/security/source-control-workflow-secret-name-owner-response.snapshot.json |
| Source Control owner response validation rollup | docs/security/SOURCE-CONTROL-OWNER-RESPONSE-VALIDATION-ROLLUP.md |
| Source Control owner response validation rollup JSON | docs/security/source-control-owner-response-validation-rollup.snapshot.json |
| Kali 112 integration status | docs/security/KALI-INTEGRATION-STATUS.md |
| Kali 112 integration status JSON | docs/security/kali-integration-status.snapshot.json |
| Security finding contract | docs/security/SECURITY-FINDING-CONTRACT.md |
| Security finding sample JSON | docs/security/security-finding-kali-sample.snapshot.json |
| Kali scan scope approval package | docs/security/KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md |
| Kali scan scope approval JSON | docs/security/kali-scan-scope-approval.snapshot.json |
| Security approval queue | docs/security/SECURITY-APPROVAL-QUEUE.md |
| Security approval queue JSON | docs/security/security-approval-queue.snapshot.json |
| Security approval gate | docs/security/SECURITY-APPROVAL-GATE.md |
| Security approval gate JSON | docs/security/security-approval-gate.snapshot.json |
| Security approval decision record | docs/security/SECURITY-APPROVAL-DECISION-RECORD.md |
| Security approval decision record JSON | docs/security/security-approval-decision-record.snapshot.json |
| Security approval review packet | docs/security/SECURITY-APPROVAL-REVIEW-PACKET.md |
| Security approval review packet JSON | docs/security/security-approval-review-packet.snapshot.json |
| Security approval state transition | docs/security/SECURITY-APPROVAL-STATE-TRANSITION.md |
| Security approval state transition JSON | docs/security/security-approval-state-transition.snapshot.json |
| Security follow-up runtime gate preparation | docs/security/SECURITY-FOLLOWUP-RUNTIME-GATE.md |
| Security follow-up runtime gate preparation JSON | docs/security/security-followup-runtime-gate.snapshot.json |
| Security mirror readiness | docs/security/SECURITY-MIRROR-READINESS.md |
| Security mirror readiness JSON | docs/security/security-mirror-readiness.snapshot.json |
| Security mirror intake plan | docs/security/SECURITY-MIRROR-INTAKE-PLAN.md |
| Security mirror intake plan JSON | docs/security/security-mirror-intake-plan.snapshot.json |
| 資安鏡像事件契約 | docs/security/SECURITY-MIRROR-EVENT-CONTRACT.md |
| 資安鏡像事件範例 JSON | docs/security/security-mirror-event-sample.snapshot.json |
| 資安鏡像路由矩陣 | docs/security/SECURITY-MIRROR-ROUTE.md |
| 資安鏡像路由矩陣 JSON | docs/security/security-mirror-route.snapshot.json |
| 資安鏡像驗收契約 | docs/security/SECURITY-MIRROR-ACCEPTANCE.md |
| 資安鏡像驗收契約 JSON | docs/security/security-mirror-acceptance.snapshot.json |
| 資安鏡像隔離契約 | docs/security/SECURITY-MIRROR-QUARANTINE.md |
| 資安鏡像隔離契約 JSON | docs/security/security-mirror-quarantine.snapshot.json |
| 資安鏡像 dry-run 報告契約 | docs/security/SECURITY-MIRROR-DRY-RUN.md |
| 資安鏡像 dry-run 報告契約 JSON | docs/security/security-mirror-dry-run.snapshot.json |
| 資安鏡像狀態彙整契約 | docs/security/SECURITY-MIRROR-STATUS-ROLLUP.md |
| 資安鏡像狀態彙整契約 JSON | docs/security/security-mirror-status-rollup.snapshot.json |
| 低摩擦 rollout policy | docs/security/SECURITY-LOW-FRICTION-ROLLOUT-POLICY.md |
| 低摩擦 rollout policy JSON | docs/security/security-rollout-policy.snapshot.json |
| Security Supply Chain contract manifest | docs/security/SECURITY-SUPPLY-CHAIN-CONTRACT-MANIFEST.md |
| Security Supply Chain contract manifest JSON | docs/security/security-supply-chain-contract-manifest.snapshot.json |
2. 現在不能做的事
- 不建立或刪除 GitHub / Gitea repo。
- 不修改 repo visibility。
- 不同步 refs、branch、tag。
- 不切 GitHub primary。
- 不把 Codex patch runner、Kali scan 或 deploy 接進 AwoooP runtime。
- 不保存 secret / token value。
2.1 初期不要過度收緊
- Read-only inventory、文件化、risk label、mirror evidence 可持續推進。
- 初期不把 LOW / MEDIUM observation 變成阻擋條件。
- 缺 owner response、partial mirror、source-control drift、Kali observe finding、workflow / secret name gap 或 headline holding 初期只建立 follow-up / owner review,不直接變 runtime blocker。
- 初期不要求所有 repo 一次完成最高等級 controls。
- 只針對不可逆或高風險動作設 approval gate。
- 每階段完成後再逐步收斂,避免讓產品、架構與部署流程突然變複雜。
3. 下一階段建議
- 先依 S4.9
GITEA-INVENTORY-OWNER-ATTESTATION-RESPONSE.md收到並驗收 S4.7GITEA-INVENTORY-COVERAGE-ATTESTATION.md的 owner response;S4.8 已把這件事接到既有 approval queue / gate / review packet / follow-up runtime gate。之後再依 S4.5GITEA-AUTHENTICATED-INVENTORY-EXPORT-REQUEST.md取得 Gitea 認證清冊;收到 payload 後依 S4.6GITEA-AUTHENTICATED-INVENTORY-IMPORT-ACCEPTANCE.md驗收 / 拒收 / 隔離。目前未認證公開範圍 2 個、本機可見 Gitea unique 4 個、覆蓋缺口 2 個、attestation items 5 個、owner response 0 筆;只能用只讀 token API 或已脫敏管理匯出補私有 / 內部 server-side 全量 repo list,不保存 token value。 - 依 S4.10
GITHUB-TARGET-OWNER-DECISION-RESPONSE.mdrequest packet / template status ledger / audit event templates / redaction examples / collection checks / intake preflight checks 與SOURCE-CONTROL-APPROVAL-BOARD.md對 9 個approval_required=true的 GitHub target 做 owner / visibility / canonical response;目前 response 0 筆、accepted 0 筆,通過後也只更新 read-only decision table / approval package / readiness gate,不代表 repo creation、visibility change、refs sync 或 primary approval。 - 依 S4.11
SOURCE-CONTROL-REF-TRUTH-OWNER-RESPONSE.mdrequest packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與SOURCE-CONTROL-REF-TRUTH-CLASSIFICATION.md對awoooi、clawbot-v5、wooo-aiops做單 repo / 單 ref owner response 驗收;audit event templates 目前 0 emitted,redaction examples 只示範安全 metadata shape,collection checks 只維持 request / received / accepted 分離,preflight 只分類可審、補證、隔離、拒收或等待,response 通過也只更新 read-only classification / reconcile / readiness wording,仍不得 push/delete refs 或 force push。 - 依 S4.12
SOURCE-CONTROL-WORKFLOW-SECRET-NAME-OWNER-RESPONSE.mdrequest packet / template status ledger / audit event templates / redaction examples / collection checks / intake preflight checks 與SOURCE-CONTROL-WORKFLOW-SECRET-NAME-EXPORT-REQUEST.md對 webhook、runner、deploy key、branch protection / CODEOWNERS、repository secret name parity 做 owner response 驗收;request packet 只顯示要回覆欄位與拒收 payload,template status ledger 只顯示 waiting,audit event templates 只定義 0 emitted 的脫敏 metadata,redaction examples 只示範安全 metadata shape,collection checks 只維持 request / received / accepted 分離,preflight 只分類可審、補證、隔離或拒收,不代表已送出、已收到、已接受或 production ingestion,response 通過也只更新 read-only inventory / export request / readiness wording,仍不得收 secret value、改 workflow 或啟用 runner。 - 依 S4.13
SOURCE-CONTROL-OWNER-RESPONSE-VALIDATION-ROLLUP.md集中檢查 S4.9 / S4.10 / S4.11 / S4.12 四包 response packets、evidence routing rules、display sections、state transition rules、reviewer checklist、reviewer outcome lanes、reviewer audit event templates、reviewer audit display sections、reviewer audit collection checks、reviewer audit redaction examples、reviewer audit retention rules、reviewer audit retention checks、reviewer audit handoff packets、handoff checks、parallel session sync checks、parallel session conflict lanes、parallel session recovery checks 與 parallel session recovery outcome lanes;rollup / routing / sections / transition rules / checklist / outcome lanes / audit templates / audit display sections / audit collection checks / audit redaction examples / audit retention rules / audit retention checks / audit handoff packets / handoff checks / parallel session sync checks / parallel session conflict lanes / parallel session recovery checks / parallel session recovery outcome lanes 通過也只更新 read-only wording,不代表 approval、production ingestion 或 execution authorization。 - 對
ewoooc/momo-pro-system完成 server-side canonical 判定。 - 依
KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md取得 safe crawl、credentialed scan、runtime ingestion、full-upgrade / reboot 等 gate 的人工批准;不得直接接/execute。 - AwoooP 主線先讀
security_mirror_readiness_v1、security_mirror_intake_plan_v1、security_mirror_event_v1、security_mirror_route_v1、security_mirror_acceptance_v1、security_mirror_quarantine_v1、security_mirror_dry_run_v1、security_mirror_status_rollup_v1、S4.13source_control_owner_response_validation_rollup_v1、security_approval_gate_v1、security_approval_decision_record_v1、security_approval_review_packet_v1、security_approval_state_transition_v1、security_followup_runtime_gate_v1、source_control_primary_readiness_gate_v1、source_control_primary_rollback_adr_v1與source_control_workflow_secret_name_inventory_v1,只建立 mirror-only / read-only policy 入口,不新增執行按鈕;其中 S4.13 需顯示四包 owner response validation rollup、missing lanes、collection order、next collection candidate、evidence routing rules、display sections、state transition rules、reviewer checklist、reviewer outcome lanes、reviewer audit event templates、reviewer audit display sections、reviewer audit collection checks、reviewer audit redaction examples、reviewer audit retention rules、reviewer audit retention checks、reviewer audit handoff packets、handoff checks、parallel session sync checks、parallel session conflict lanes、parallel session recovery checks 與 parallel session recovery outcome lanes,Gitea inventory 需同時顯示 S4.5 認證清冊匯出請求、S4.6 匯入驗收契約、S4.7 owner coverage attestation 與 S4.9 owner response request packet / template status ledger / audit event templates / redaction examples / display sections / collection checks / 收件包,GitHub target 決策需同時顯示 S4.10 owner response request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與 owner decision response templates,refs truth 需同時顯示 S4.11 owner response request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與 templates,workflow / secret inventory 需同時顯示 S4.3 redacted export request、S4.12 owner response request packet、template status ledger、audit event templates、redaction examples、collection checks、intake preflight checks 與 5 個 owner response templates,primary readiness 需同時顯示 S4.4 rollback ADR 草案。 - AwoooP 主線消費
security_rollout_policy_v1時,只做 read-only policy,不做 runtime blocking;7 條 non-blocking escalation lanes 只能顯示、建立 follow-up 或要求 owner review before blocking。 - AwoooP 主線再讀
security_approval_queue_v1、security_approval_gate_v1、security_approval_decision_record_v1、security_approval_review_packet_v1、security_approval_state_transition_v1、security_followup_runtime_gate_v1、source_control_primary_readiness_gate_v1、source_control_primary_rollback_adr_v1、source_control_workflow_secret_name_inventory_v1與security_supply_chain_contract_manifest_v1,顯示 review order、批准範圍、審查封包、決策紀錄、決策後狀態、後續 runtime gate 準備條件、Gitea inventory 覆蓋缺口、S4.5 認證匯出請求、S4.6 匯入驗收 / 隔離規則、S4.7 owner attestation items、S4.9 owner response request packet、S4.9 owner response template status ledger、S4.9 owner response audit event templates、S4.9 owner response redaction examples、S4.9 owner response display sections、S4.9 owner response collection checks、S4.9 owner response templates、S4.10 GitHub target owner response request packet、S4.10 GitHub target owner response template status ledger、S4.10 GitHub target owner response audit event templates、S4.10 GitHub target owner response redaction examples、S4.10 GitHub target owner response collection checks、S4.10 GitHub target owner response intake preflight checks、S4.10 GitHub target owner response templates、S4.11 refs truth owner response request packet、S4.11 refs truth owner response template status ledger、S4.11 refs truth owner response audit event templates、S4.11 refs truth owner response redaction examples、S4.11 refs truth owner response collection checks、S4.11 refs truth owner response intake preflight checks、S4.11 refs truth owner response templates、S4.12 workflow / secret 名稱 owner response request packet、S4.12 workflow / secret 名稱 owner response template status ledger、S4.12 workflow / secret 名稱 owner response audit event templates、S4.12 workflow / secret 名稱 owner response redaction examples、S4.12 workflow / secret 名稱 owner response collection checks、S4.12 workflow / secret 名稱 owner response intake preflight checks、S4.12 workflow / secret 名稱 owner response templates、S4.13 owner response validation rollup、evidence routing rules、display sections、state transition rules、reviewer checklist、reviewer outcome lanes、reviewer audit event templates、reviewer audit display sections、reviewer audit collection checks、reviewer audit redaction examples、reviewer audit retention rules、reviewer audit retention checks、reviewer audit handoff packets、reviewer audit handoff checks、parallel session sync checks、parallel session conflict lanes、parallel session recovery checks 與 parallel session recovery outcome lanes、S1.3 non-blocking escalation lanes、GitHub primary readiness blockers、rollback ADR 草案、workflow / secret 名稱 inventory 缺口、redacted export request 與 blocked reason,不新增 execution router。