#j8dZddlmZddlZddlZddlZddlmZddlmZm Z ddl m Z m Z m Z ddlmZdZd Zej$j'd d d Zej$j'd d d ZdZdZdZdZdZdZdZdZd&dZd'dZeGddZ d(dZ!d)dZ"d*dZ#d+dZ$d,dZ%Gdd e&Z'd-d!Z(d"edddddd# d.d$Z)gd%Z*y)/udispatch.anu_pickup_wake_launcher — task-2729+8 P0-B real wake 결선 (W1). 단일 책임 (single responsibility): WAKE_BUILT argv(이미 sealed ANU key 포함)를 권한 경로로 **실 실행**하는 유일 spawn 책임 모듈. driver=decision-only, launcher=실행. (real spawn 책임은 오직 이 모듈에만 존재.) 안전 doctrine: * raw key 0 — argv 는 stdout/print/log/audit/ledger 어디에도 절대 출력/기록하지 않는다. argv 의 길이(``argv_len``)만 surface. ``LaunchRecord.to_json()`` 에 argv/key literal 필드 부재. subprocess args 로만 전달. * dry_run 기본 True — 기본 호출은 실행 0(audit-neutral). production ledger/audit write 0. audit_path 가 명시 주입된 isolated temp 일 때만 1줄 기록(키/ argv 미포함). (OWNER_TRIGGER_DRY_RUN_LEDGER_CONTAMINATION 교훈.) * fail-closed 우선 — argv None/malformed/non-ANU key/ledger 확인 실패 → launch 0. ) annotationsN) dataclass)datetimetimezone)CallableListOptional)CANONICAL_ROOTz+dispatch.anu_pickup_wake_launcher.launch.v1z*dispatch.anu_pickup_wake_launcher.audit.v1memory p0b_statezwake_launch_ledger.jsonlzwake_launch_audit.jsonl WAKE_LAUNCHEDFAIL_CLOSED_NO_ARGVFAIL_CLOSED_MALFORMEDFAIL_CLOSED_NON_ANU_KEYFAIL_CLOSED_LEDGER_ERROR SKIP_DEDUPEDRY_RUNLAUNCHEDcHtjtjSN)rnowrutcT/home/jay/workspace/.worktrees/task-2729p8-dev5/dispatch/anu_pickup_wake_launcher.py_nowr4s << %%rcz|j|jtj}|j dS)uvtimezone-aware datetime 은 UTC 로 변환한 뒤 Z suffix 부여. * dt.tzinfo is not None → dt.astimezone(timezone.utc) 로 UTC 정규화 후 포맷. * naive datetime(tzinfo is None) → 명시적 UTC 정책: 이미 UTC 인 것으로 간주하여 그대로 Z suffix (기본 clock _now() 는 항상 tz-aware UTC 반환). 이 정책을 코드에 고정. z%Y-%m-%dT%H:%M:%SZ)tzinfo astimezonerrstrftime)dts r_isor"8s0 yy ]]8<< ( ;;+ ,,rcveZdZUdZded<ded<ded<ded<ded<d Zd ed <d Zd ed <d Zd ed<ddZy ) LaunchRecorduVlauncher 결정 결과. ★ argv/key literal 절대 미저장 — argv_len(길이)만.strtstask_idsha256decisionbooldry_runN Optional[str]reason Optional[int] returncodeargv_lenc |j|j|j|j|j|j |j |jdS)uHJSON 직렬화. argv/key literal 미포함 보장 (argv_len 만 노출).r&r'r(r)r+r-r/r0r2)selfs rto_jsonzLaunchRecord.to_jsonRsF''||kk ||kk//   r)returndict) __name__ __module__ __qualname____doc____annotations__r-r/r0r4rrrr$r$EsA` G L KM M FM $J $"Hm"  rr$c:t|tr t|Sy)uargv 를 redaction — 길이(정수)만 반환. argv None/비-list → None. ★ argv/key literal 은 어디에도 노출하지 않는다.N) isinstancelistlenargvs r _redact_argvrBas$4y rc |jd}|dzt|krt ||dzSy#ttf$rYywxYw)uHargv 에서 ``--key`` 인덱스 다음 원소(값) 반환. 없으면 "".--key)index ValueErrorAttributeErrorr?r%)rAidxs r_extract_key_valuerKisVjj! QwT4a=!!  's6AAct|tr|sytd|Dsyd|vryd|vryt|}|j syy)uargv 구조 검증: list[str] AND ``--cron`` 포함 AND ``--key`` 포함 + 그 값(--key 다음 원소)이 비어있지 않음.Fc3<K|]}t|tywr)r=r%).0xs r z$_argv_well_formed..ys0az!S!0sz--cronrDT)r=r>allrKstrip)rAkey_vals r_argv_well_formedrTtsS dD ! 040 0td &G ==? rc tjtjj|xsddt |dd5}|j t j|dd z|jtj|jd d d y #1swYy xYw#t$rYy wxYw) uJSONL 1줄 append (ensure_ascii=False, flush+fsync atomic-ish). ★ argv/key literal 절대 미기록 (호출부가 redacted record 만 전달). OSError 는 비치명(fail-safe) — 단, dedupe 확인 실패는 fail-closed(별도 처리)..T)exist_okautf-8encodingF) ensure_ascii N) osmakedirspathdirnameopenwritejsondumpsflushfsyncfilenoOSError)recordr`fhs r _append_jsonlrls  BGGOOD)0S4@ $g . "" HHTZZU;dB C HHJ HHRYY[ ! " " "    s1AB:AB.%B:.B73B:7B:: CCc t|dd5}|D]}|j}|stj|}t |t s<|j dtk(sU|j d|k(sj|j d|k(sdddy dddy #1swYy xYw#t$rYy t$r}td ||d}~wt$r}td ||d}~wwxYw) uplaunch_ledger 에서 event==WAKE_LAUNCHED AND 동일 (task_id, sha256) 존재 여부. 파일 부재(FileNotFoundError) → False (중복 없음, 정상 진행). OSError 외 예외 또는 명백한 손상으로 확인 불가 → LedgerError(fail-closed)로 raise. ★ try-block hygiene: 단일 ``with open(...)`` 으로 파일 핸들 수명 일원화. rrYrZeventr'r(NTFulaunch ledger 읽기 불가: u$launch ledger 손상/파싱 실패: ) rbrRrdloadsr=r6getEVENT_WAKE_LAUNCHEDFileNotFoundErrorri _LedgerError Exception)launch_ledger_pathr'r(rklineentryexcs r_dedupe_launchedrzsR $cG <  zz| 4(ud+ '*.AA ),7 (+v5   ( ) (   K:3%@AsJ RA#GHcQRsjB3>B'B'(B'=B'B'B3B'B3'B0,B30B33 C5>C5C C5!C00C5ceZdZdZy)rtuDdedupe 확인 실패 신호 — FAIL_CLOSED_LEDGER_ERROR 로 매핑.N)r7r8r9r:rrrrtrtsNrrtcDtj|djS)u기본 subprocess_runner: argv 를 실행하고 returncode 반환. ★ capture_output 하지 않는다 (키 누출 방지 — 출력 미수집). 실제 호출은 dry_run=False 일 때만 일어난다. 테스트는 mock runner 를 주입한다. F)check) subprocessrunr/r@s r_default_subprocess_runnerrs >>$e , 7 77rT)r+rootrv audit_pathanu_key_verifiersubprocess_runnerclockc J| xst} t| } |xs$tjj |t } |st | ||t|dt|St|st | ||t|dt|St|} |Vt|st | ||t|d| St|} t|| }|st | ||t|d| S t!| ||rt | ||t"|d | S |r?t | ||t(d d | }|%t*d d|j-}t/|||S|xst0}||}t | ||t2dd|| }t/t4t6||| |d| |'t/t*t6d|j-||S#t$r#}t | ||t|d|| cYd}~Sd}~wwxYw#t$$r#}t | ||t&|d || cYd}~Sd}~wwxYw)uWAKE_BUILT argv 를 안전하게 실 실행(또는 dry-run). 결정 순서 (fail-closed 우선, 설계 W1 6단계): (1) argv None/empty → FAIL_CLOSED_NO_ARGV (2) argv 구조 검증 실패 → FAIL_CLOSED_MALFORMED (3) anu_key_verifier 검증 실패 → FAIL_CLOSED_NON_ANU_KEY (4) dedupe(WAKE_LAUNCHED) 존재 → SKIP_DEDUPE / 확인 실패 → FAIL_CLOSED_LEDGER_ERROR (5) dry_run=True → DRY_RUN (production write 0) (6) dry_run=False → subprocess 실행 → LAUNCHED ★ argv/key 는 어떤 기록에도 미포함 — argv_len(길이)만. u1argv None/빈 리스트 — wake 0 (fail-closed).)r&r'r(r)r+r-r0uWargv 구조 이상 (list[str]/--cron/--key+값 검증 실패) — wake 0 (fail-closed).NuManu_key_verifier 가 callable 아님(검증 불가) — wake 0 (fail-closed).u2anu_key_verifier 예외 → wake 0 (fail-closed): u<--key 값이 ANU key 검증 실패 — wake 0 (fail-closed).)r'r(uU동일 (task_id, sha256) WAKE_LAUNCHED 기록 존재 — 중복 wake 0 (SKIP_DEDUPE).u/dedupe 확인 실패 → wake 0 (fail-closed): Tu>dry_run=True — 실행 0, audit-neutral (production write 0). WAKE_DRY_RUN)schemaroFu>모든 게이트 통과 → subprocess 실 실행 (real wake).r2)rror'r(r&r/)rr"r^r`joinDEFAULT_LAUNCH_LEDGER_RELr$DECISION_FAIL_CLOSED_NO_ARGVrBrTDECISION_FAIL_CLOSED_MALFORMEDcallable DECISION_FAIL_CLOSED_NON_ANU_KEYrKr*rurzDECISION_SKIP_DEDUPErt!DECISION_FAIL_CLOSED_LEDGER_ERRORDECISION_DRY_RUN SCHEMA_AUDITr4rlrDECISION_LAUNCHED SCHEMA_LAUNCHrr)rAr'r(r+rrvrrrrr&ledgerr0 key_valueverifiedryrj audit_linerunnerr/s r launch_wakers2 MTE egB  P277<<6O#PF 7617F!$'    T "763W("$'  D!H#()wv97f!   't,  ,Y78Hwv97U!   FGF Cwv-w3"  D(76%tS    !''.."J *j 1  <"rs# !'++> ; GGLL k5GGLL;8QR% 5!8#< $>!$& -     6"  >O9O8(, $)->B.2TT  T  T  T&TT'T<T ,TTn r