awoooi/docs/security/GITEA-SERVER-SIDE-INVENTORY-RUNBOOK.md

# Gitea Server-side 全量 Repo Inventory Runbook

| 項目 | 內容 |
|------|------|
| 日期 | 2026-06-04 |
| 狀態 | read-only / export-only；P1-2 交接封套已整理 |
| 工具 | `scripts/security/gitea-repo-inventory.py` |
| 事件 | `gitea_repo_inventory_v1` |
| Approval package | `docs/security/GITEA-READONLY-INVENTORY-APPROVAL-PACKAGE.md` |
| Redaction checklist | `docs/security/GITEA-ADMIN-EXPORT-REDACTION-CHECKLIST.md` |
| S4.5 export request | `docs/security/GITEA-AUTHENTICATED-INVENTORY-EXPORT-REQUEST.md` |
| S4.6 import acceptance | `docs/security/GITEA-AUTHENTICATED-INVENTORY-IMPORT-ACCEPTANCE.md` |
| S4.7 coverage attestation | `docs/security/GITEA-INVENTORY-COVERAGE-ATTESTATION.md` |
| S4.9 owner response request packet / 收件包 | `docs/security/GITEA-INVENTORY-OWNER-ATTESTATION-RESPONSE.md` |
| P1-2 request handoff | `docs/security/GITEA-AUTHENTICATED-INVENTORY-EXPORT-REQUEST.md` |
| 原則 | 不寫入 Gitea、不搬 secret value、不建立或刪除 repo |

## 0. 核心結論

目前已確認 `wooo` 在 Gitea 上以 user endpoint 可讀到 2 個 public repos：

1. `wooo/awoooi`
2. `wooo/ewoooc`

但未提供只讀 token 時，這只能代表 public-only 可見範圍，不等同完整 server-side repo list。要滿足「Gitea 目前所有專案版本都轉移到 GitHub」，仍需要下列其中一種來源：

1. Gitea 只讀 token。
2. Gitea 管理介面匯出的 repo list JSON。
3. 由管理者在 Gitea 主機上產出的只含 repo metadata 的脫敏 JSON。

補充：`orgs/wooo/repos` 未認證查詢目前回 404，已保留於 `docs/security/GITEA-ORG-REPO-INVENTORY-BLOCKED-SNAPSHOT.md`。後續若確認 `wooo` 是 org 而非 user，應改用只讀 token 或管理匯出重新驗證。

上述兩條非 public-only 路徑都必須先走 `docs/security/GITEA-READONLY-INVENTORY-APPROVAL-PACKAGE.md`，不得在對話、文件或 LOGBOOK 中保存 token value。

S4.5 已補 `gitea_authenticated_inventory_export_request_v1`：正式要求 authenticated inventory 或 admin export 必須解釋 public-only 2 個 repos 與本機 Gitea remote 4 個 unique repos 的 coverage gap，且輸出仍只能是 `gitea_repo_inventory_v1.status=ok` evidence。

S4.6 已補 `gitea_authenticated_inventory_import_acceptance_v1`：收到 owner / 管理者提供的脫敏 payload 後，必須先依 S4.6 檢查 schema、URL 脫敏、coverage gap、redaction attestation 與敏感值隔離。此驗收仍不授權 repo 建立、refs sync 或 GitHub primary cutover。

S4.7 已補 `gitea_inventory_coverage_attestation_v1`：owner 必須先對 public-only / local remote gap、org/user endpoint、110 internal adjacent source、canonical owner 與 legacy/inaccessible repo disposition 作 scope decision。此 attestation 仍不授權 token 收集、repo 寫入、refs sync 或 primary cutover。

S4.9 已補 `gitea_inventory_owner_attestation_response_v1`：AwoooP 可先顯示 1 個 owner response request packet、5 個 template statuses、3 個 audit event templates、5 個 redaction examples 與 8 個 display sections，並用 6 個 collection checks 維持 request / received / accepted 分離；audit event templates 目前全為 `template_only_not_emitted`、0 emitted，只定義 request shown / response received metadata / outcome classified 的脫敏 metadata 欄位；redaction examples 只供 owner 參考安全回覆形狀；display sections 只固定只讀 UI 區塊順序；owner response 必須依 5 個 template 填寫，並先通過 6 個 intake preflight checks、5 個 outcome lanes 與基本驗收，才能把 S4.7 coverage attestation 視為可審 evidence。此 request packet / response 收件包仍不授權 read-only inventory runtime、repo migration、audit production ingestion 或 primary cutover。

2026-06-04 P1-2 已補 request handoff package：Gitea authenticated inventory request 必須先保留 S4.9 owner response gate 作為先行條件，並將只讀 token API 清冊與 redacted admin export 清冊兩條路徑拆開。交接包只要求 repo metadata、redacted URL、visibility scope、coverage notes 與 evidence refs；token value、write credential、DB dump、repo archive、git object pack、deploy key private key、webhook secret 與 runner registration token 全部拒收。此 handoff 只代表請求包可交接，不代表 payload received / accepted、inventory imported、status=ok、GitHub primary 或 runtime 授權。

## 1. Public-only 快照指令

```bash
python3 scripts/security/gitea-repo-inventory.py \
  --base-url http://192.168.0.110:3001 \
  --org wooo \
  --scope user \
  --github-owner owenhytsai \
  --output-json docs/security/gitea-repo-inventory.snapshot.json \
  --output-md docs/security/GITEA-REPO-INVENTORY-SNAPSHOT.md
```

預期狀態：`partial`。

## 2. 只讀 token 快照指令

執行前必須先取得 `approval_required_event_v1` 批准。

```bash
python3 scripts/security/gitea-repo-inventory.py \
  --base-url http://192.168.0.110:3001 \
  --org wooo \
  --scope user \
  --token-env GITEA_READONLY_TOKEN \
  --github-owner owenhytsai \
  --output-json docs/security/gitea-repo-inventory.snapshot.json \
  --output-md docs/security/GITEA-REPO-INVENTORY-SNAPSHOT.md
```

注意：

1. 執行前由操作者在安全 shell 內設定 `GITEA_READONLY_TOKEN`，不要把值貼入文件或 shell history。
2. 輸出只保存 `token_present=true`，不保存 token value。
3. 若 token 有權限讀 private/internal repos，狀態才可視為 `ok`。

## 3. 管理匯出 JSON 格式

工具接受以下三種結構：

```json
[
  {
    "full_name": "wooo/example",
    "name": "example",
    "owner": {
      "login": "wooo"
    },
    "private": true,
    "archived": false,
    "empty": false,
    "default_branch": "main",
    "clone_url": "http://192.168.0.110:3001/wooo/example.git",
    "ssh_url": "git@192.168.0.110:wooo/example.git"
  }
]
```

也接受：

```json
{
  "repos": []
}
```

或：

```json
{
  "repositories": []
}
```

## 4. 管理匯入指令

匯入前必須先確認 JSON 已 redacted，不含 token、password、webhook secret、deploy key private key 或 repository secret value。
詳細檢查表見 `docs/security/GITEA-ADMIN-EXPORT-REDACTION-CHECKLIST.md`。

```bash
python3 scripts/security/gitea-repo-inventory.py \
  --base-url http://192.168.0.110:3001 \
  --org wooo \
  --github-owner owenhytsai \
  --input-json /path/to/redacted-gitea-repos.json \
  --output-json docs/security/gitea-repo-inventory.snapshot.json \
  --output-md docs/security/GITEA-REPO-INVENTORY-SNAPSHOT.md
```

預期狀態：`ok`，且 `visibility_scope=admin_export`。

## 5. 不可包含的資料

1. API token value。
2. Git remote URL 內嵌 username/password/token。
3. Webhook secret value。
4. Deploy key private key。
5. Repository secret value。
6. Cookie、session、personal access token。

## 6. 進入 GitHub migration 前的 gate

只有在 `gitea_repo_inventory_v1.status=ok` 後，才可以進入下一階段：

1. 每個 repo 建立 GitHub target 決策。
2. 每個 repo 產生 branch/tag SHA diff。
3. 每個 repo 盤點 workflow / webhook / runner / secret 名稱。
4. 每個 repo 建立 mirror / archive / keep-local 判定。
5. 產出 GitHub primary ADR 與 rollback plan。

S4.6 驗收通過只代表「脫敏清冊 payload 可以變成 evidence」；S4.9 owner response 驗收通過只代表「S4.7 coverage gap 有可審 scope decision」。任何 GitHub repo 建立、visibility 修改、refs sync、primary cutover 或 Gitea 停用仍需後續人工批准與 runtime gate。