&j)dZddlmZddlmZmZmZmZdZdZ dZ dZ dZ dd Z dd Zdd Z dd Zdd ZddZddd ddZgdZy)uutils.snapshot_crossref_validator — Step 0b/0c/0d 통합 helper. task-2639 — real_merge_hooks chair_authorization snapshot 교차검증 정책 수정 (real merge 실행 0). Spec: memory/specs/system_real_merge_hooks_snapshot_crossref_spec_260523.md sha256: 12b8af006913833596562c55ab9a0acca935830be90c5f17f2af4b7e1e632621 회장 verbatim 10항목 (spec §2): 1. forbidden prefix 검사 전에 chair_authorization expected_files_snapshot 로드 2. changed_files 전체가 expected_files_snapshot 의 부분집합인지 확인 3. PR number / head_sha 가 chair_authorization 과 정확 일치 확인 4. snapshot 에 없는 forbidden prefix 파일 → NO_OP_FORBIDDEN_PATH 유지 5. snapshot 에 있는 파일이라도 production / secret / admin override 시 차단 6. .tasks/locks/* sanctioned push-gate artifact 는 분리 기록 7. tests/fixtures/INDEX.md 같은 doc-only → snapshot 일치 시 통과 가능 8. allow_reason 을 merge_decision.json 에 명시 9. broad prefix allowlist 금지 (snapshot exact match 만) 10. 기존 forbidden path 보안 의미 유지 (snapshot 정합 없으면 동일 동작) ANCHOR-2 (task md): "forbidden prefix 보안 가드 유지 · snapshot exact match 만 통과 · broad allowlist 금지" ) annotations)AnyDictListOptionalz$utils.snapshot_crossref_validator.v1%chair_authorization_snapshot_crossrefz .tasks/locks/)zutils/zscripts/z dispatch/)ghp_ github_pat_z -----BEGINz.pemsecret private_keycJ|y t|S#ttf$rYywxYw)u<int-convertible 한 PR 번호로 정규화. 실패 시 None.N)int TypeError ValueError)values R/home/jay/workspace/.worktrees/task-2645-dev2/utils/snapshot_crossref_validator.py _normalize_prr<s0 }5z z "s ""czt|tsgSg}|D]!}t|}||j|#|S)uDint convertible 한 PR 목록 정규화. 비정규 항목은 폐기.) isinstancelistrappend)valuesoutvns r_normalize_pr_listrFsF fd # C  !  = JJqM Jcpt|tsgS|jd}|gSt|tr9|jDcgc]}t|ts|}}t |St|t r+|Dcgc]}t|ts|}}t |SgScc}wcc}w)uexpected_files_snapshot 필드를 정렬된 string list 로 정규화. - dict → key 목록 - list → str 항목만 - None / 누락 → [] expected_files_snapshot)rdictgetkeysstrrsorted)chair_authorizationsnapkr"s r_extract_snapshot_keysr(Rs )4 0  " "#< =D | $99;=a*Q*<== $< D$ 6a:a#566 $< >6s B. B.B3B3cB||vry|D]}|j|syy)ureal_merge_hooks 와 동일 doctrine 으로 forbidden 판정. 의존 사이클을 피하기 위해 caller 가 FORBIDDEN_PATHS / FORBIDDEN_DIR_PREFIXES 를 주입한다 (validator 는 real_merge_hooks 를 import 하지 않음). TF) startswith)pathforbidden_pathsforbidden_dir_prefixesprefixs r _is_forbiddenr/gs2 ( ??6 " rc@tD]}|j|syy)u6production-area 디렉토리 prefix 매칭 (ANCHOR-4).TF)_PRODUCTION_DIR_PREFIXESr*)r+r.s r_is_production_pathr2ys%* ??6 " rcb|j}tD]}|j|vsyy)uL경로 문자열에 blocking-secret 의심 토큰이 포함되어 있는지.TF)lower_SECRET_TOKEN_PATTERNS)r+r4tokens r_has_secret_tokenr7s2 JJLE' ;;=E ! rN)r,r-c 4t|xsg}t|xsg}d}d}t|trt|trt|j d}|j d}t |j d} |j d} ||| vrd}t|t rt| tr|| vrd}t|txrd|v} t|} t| } g}g}g}g}||jd n|D]}t|t s|jtr|j|;t|||}|r9|| vr#|j||j|q|j||j||rtnd}t| Dchc]}t|s|c}}t| Dchc]}t!|s|c}}t"||| | ||||d |||d Scc}wcc}w) uJchair_authorization snapshot 교차검증 결과를 반환. Args: pr_identity: ``{"pr": int|str, "head_sha": str, ...}`` 형태 dict. chair_authorization: ``{"pr_numbers": [...], "head_shas": [...], "expected_files_snapshot": [...]|{...}, ...}`` 형태 dict (None 허용). changed_files: 변경된 경로 목록. ``None`` → fail-closed sentinel (``__INPUT_NONE_FAIL_CLOSED__``) 1건이 분류에 기록되고 ``unauthorized_forbidden_hits`` 에도 포함. forbidden_paths / forbidden_dir_prefixes: real_merge_hooks 에서 주입. 누락 시 빈 리스트 → forbidden 가드 비활성화 (테스트 전용). Returns: dict with keys:: schema : SNAPSHOT_CROSSREF_SCHEMA pr_match : bool sha_match : bool snapshot_present : bool — expected_files_snapshot 필드 유무 snapshot_keys : sorted list[str] classification : { task_outputs : list[str], sanctioned_artifacts : list[str], unauthorized_forbidden_hits: list[str], authorized_forbidden_hits : list[str], # snapshot exact match } allow_reason : ALLOW_REASON_SNAPSHOT_CROSSREF | None production_in_snapshot : list[str] — snapshot 내 production prefix blocking_secret_in_snapshot : list[str] — snapshot 내 secret token Fprhead_sha pr_numbers head_shasNTr__INPUT_NONE_FAIL_CLOSED__) task_outputssanctioned_artifactsunauthorized_forbidden_hitsauthorized_forbidden_hits) schemapr_match sha_matchsnapshot_present snapshot_keysclassification allow_reasonproduction_in_snapshotblocking_secret_in_snapshot)rrr rr!rr#r(setrr*SANCTIONED_LOCK_PREFIXr/ALLOW_REASON_SNAPSHOT_CROSSREFr$r2r7SNAPSHOT_CROSSREF_SCHEMA) pr_identityr% changed_filesr,r-rCrDpr_intr:authorized_prsauthorized_shasrErF snapshot_setr>r?r@rAr+ forbidden_hitrHr'rIrJs rvalidate_snapshot_crossrefrVsKL?0b1O!"8">B?HI%t,K1N{t45??:.+,?,C,CL,QR-11+>  &N":H x %?D1O+I &- = %)< <++>?M}%L!L&(-/+- $**+GH! *DdC(56$++D1)$AWXM<'-44T: ''-/66t<##D)! *&+D& $!r`s.#,,B"I)  * & $,026 zzz'z ) z 0 zzz r