55 lines
2.9 KiB
Markdown
55 lines
2.9 KiB
Markdown
# 資安人工決策狀態轉移契約
|
||
|
||
| 項目 | 內容 |
|
||
|------|------|
|
||
| 日期 | 2026-05-13 |
|
||
| 狀態 | 草案 |
|
||
| Schema | `docs/schemas/security_approval_state_transition_v1.schema.json` |
|
||
| Snapshot | `docs/security/security-approval-state-transition.snapshot.json` |
|
||
| 模式 | `approval_state_transition_only` |
|
||
| runtime 執行授權 | `false` |
|
||
|
||
## 0. 核心結論
|
||
|
||
`security_approval_state_transition_v1` 是 S3.3 的人工決策狀態轉移契約。
|
||
|
||
它只回答一件事:人工 reviewer 對 review packet 做出 `approve_scope`、`reject`、`defer`、`request_more_evidence` 或 `keep_blocked` 後,AwoooP 可以如何更新狀態。
|
||
|
||
它不是 runner,也不是 runtime gate。任何 transition 都必須維持 `execution_authorized=false`。
|
||
|
||
S3.4 開始,`approve_scope` 後要顯示的前置 evidence、preflight checks 與 rollback / disable requirement 由 `security_followup_runtime_gate_v1` 定義。這仍只是準備模板,不代表 runtime gate 已啟用。
|
||
|
||
## 1. 決策到狀態
|
||
|
||
| Decision | Next state | 初期可做 | 仍需 runtime gate |
|
||
|----------|------------|----------|-------------------|
|
||
| `approve_scope` | `scope_approved_waiting_runtime_gate` | 進入設計、草案、只讀 inventory、低噪音 scope 或人工 exception 文件階段 | 是 |
|
||
| `reject` | `closed_rejected_no_action` | 記錄拒絕原因與 audit evidence | 否 |
|
||
| `defer` | `deferred_pending_owner_timing` | 等 owner、時間窗或條件明確 | 否 |
|
||
| `request_more_evidence` | `evidence_requested_waiting_snapshot_update` | 要求新的 redacted snapshot 或補 evidence | 否 |
|
||
| `keep_blocked` | `blocked_by_default` | 維持 blocked reason,只允許補 disable / allowlist / audit gate 設計 | 是 |
|
||
|
||
## 2. AwoooP 可做
|
||
|
||
1. 根據人工決策更新 packet / gate / rollup 的只讀狀態。
|
||
2. 將決策寫入 `security_approval_decision_record_v1`。
|
||
3. 對 `approve_scope` 依 `security_followup_runtime_gate_v1` 顯示 follow-up runtime gate required 與前置條件。
|
||
4. 對 `request_more_evidence` 顯示需要補哪一類 redacted evidence。
|
||
5. 對 `keep_blocked` 顯示 block candidate 仍未解除。
|
||
|
||
## 3. AwoooP 不可做
|
||
|
||
1. 不把 transition rule 當成執行命令。
|
||
2. 不因為 `approve_scope` 就立即啟動 scan、Kali `/execute`、repo 建立、visibility 修改、refs sync 或 GitHub primary cutover。
|
||
3. 不把 reject/defer/request_more_evidence 轉成 cleanup、rollback 或自動修復。
|
||
4. 不保存 raw secret、token、cookie、private key、credential value 或 exploit payload。
|
||
5. 不把 LOW / MEDIUM observation 變成 blocking gate。
|
||
|
||
## 4. 階段定位
|
||
|
||
S3.3 讓 AwoooP 對人工決策有一致狀態語義,避免「批准 scope」被誤解成「可以立刻執行」。
|
||
|
||
S3.4 補上後續 runtime gate 準備模板,讓等待 gate 的狀態更具體,但目前 `active_runtime_gates=0`。
|
||
|
||
這仍是低摩擦框架期。它讓流程更清楚,但不提高產品、部署或開發流程的資安阻力。
|