wjiMUdZddlmZddlZddlZddlZddlZddlmZddl m Z m Z ddl m Z ddl mZmZdZd ed <d Zd ed <d Zd ed<dZd ed<dZd ed<dZd ed<dZded<dZded<ehdZded<dZd ed<Gdd eZGd!d"eZd-d#Zd$d%d.d&Z d/d'Z!d0d(Z"Gd)d*Z#Gd+d,Z$y)1uanu_v2.owner_trigger_audit — append-only audit log + atomic dedupe + bounded scan. 회장 §명시 14장 §8 1:1 박제 (2026-05-11 KST): 파일: ``memory/events/owner-trigger-audit.jsonl`` append-only mode (``open(path, "a")`` 강제). 4 dedupe 조건: same ``pr`` + same ``head`` + ``action == POST_GEMINI_REVIEW_TRIGGER_COMMENT`` + ``result == POSTED``. head 변경 시 기존 trigger stale, 새 decision 생성 필수. atomic 보장: ``fcntl.flock`` (POSIX advisory lock). task-2554+1 회장 §명시 (2026-05-12 KST) HIGH race condition 보완: - ``transaction()`` context manager — check_dedupe + http_post + record_outcome 을 단일 lock 범위 안에서 원자 처리. - audit JSONL 본 파일과 sidecar lock 파일 (``...jsonl.lock``) 2 단 lock. - http_post 예외 시 audit FAILED 기록은 caller (``owner_trigger_only``) 에서 ``transaction.record(...)`` 로 명시 호출. task-2554+2 회장 §명시 (2026-05-12 KST) §2 1:1 완성: - **bounded/reverse scan**: dedupe 조회는 audit JSONL 의 마지막 N (=512) 행만 tail-read 로 역방향 스캔. O(N) full scan 제거. 회장 §2 직접 일치. - ``RESULT_PENDING`` sentinel: http_post 호출 직전 caller 가 transaction.record(PENDING) 을 호출하면 본 모듈에 영구 기록되어 process crash 후 다음 runner 가 DEDUPED 판정. - ``_iter_rows_reverse(max_rows=N)`` helper 추가. 기존 ``_iter_rows`` 는 호환성 보존. token redaction (§6 1:1): 허용 3 필드만 audit 에 기록: ``token_present`` / ``token_hash_prefix`` / ``token_value_logged: false``. token raw value 는 어떤 분기에서도 audit 에 기록 금지. one-way isolation: anu_v2/ 외부 import 금지. ) annotationsN)contextmanager)datetimetimezone)Path)FinalIteratorz'memory/events/owner-trigger-audit.jsonlz Final[str]AUDIT_REL_PATH"POST_GEMINI_REVIEW_TRIGGER_COMMENTALLOWED_ACTIONPOSTED RESULT_POSTEDPENDINGRESULT_PENDINGFAILED RESULT_FAILEDDEDUPEDRESULT_DEDUPEDiz Final[int]DEDUPE_SCAN_MAX_ROWSi_TAIL_CHUNK_SIZE>prtsheadactionresultschematask_idendpoint error_code comment_body decision_path token_presenttoken_hash_prefixtoken_value_loggedzFinal[frozenset[str]]ALLOWED_AUDIT_KEYSzanu_v2.owner_trigger_audit.v1 AUDIT_SCHEMAceZdZdZy)DedupeViolationuJ동일 PR + head + action + result=POSTED|PENDING 조합 재시도 차단.N__name__ __module__ __qualname____doc__1/home/jay/workspace/anu_v2/owner_trigger_audit.pyr(r(RsTr/r(ceZdZdZy)AuditRedactionErroru=audit record 에 token raw value 또는 비허용 key 포함.Nr)r.r/r0r2r2VsGr/r2ct|jtz }|rtdt ||j ddur tdt j|d}d}|D]}||vstd|y) uaudit record 에 raw token / authorization header value 가 절대 포함되지 않도록 검증. 회장 §6 명시: ``token_present`` / ``token_hash_prefix`` / ``token_value_logged: false`` 외 token 관련 필드 금지. zdisallowed audit keys: r$Fz token_value_logged must be False) ensure_ascii)zBearer ghp_ github_pat_ghu_ghs_ghr_z%audit record contains token sentinel N)setkeysr%r2sortedgetjsondumps)recordextra serialised sentinelsss r0_ensure_no_secret_leakrEZs  !3 3E !$;F5M?"KLL zz&'u4!"DEEF7JJI U ?%(MaU&ST TUr/)lengthct|tr|s tdtj|j dj }|d|S)u=token value → SHA256 16진수 앞 ``length`` 자리 prefix.z token must be a non-empty stringutf-8N) isinstancestr ValueErrorhashlibsha256encode hexdigest)tokenrGdigests r0r#r#lsF eS !;<< ^^ELL1 2 < < >F '6?r/chtjtjj dS)Nseconds)timespec)rnowrutc isoformatr.r/r0_now_isorYts# << % / / / CCr/ct|trt|dk7r td|j }t d|Dr td|S)u8head SHA 정규화 — 40-char hex 정확 일치 검증.(z#head must be 40-char hex SHA stringc3$K|]}|dv yw)0123456789abcdefNr.).0cs r0 z"_normalise_head..}s 811& & 8s)rJrKlenrLlowerany)rlowereds r0_normalise_headrexsL dC CIO>??jjlG 8 88>?? Nr/ceZdZdZddZeddZeddZddZddZ e d ddZ dd Z dd Z dd Zdd Zdd ZeddZy)OwnerTriggerAudituappend-only audit JSONL writer + dedupe gate + bounded scan. atomic: 매 write 직전 ``fcntl.flock(LOCK_EX)`` 로 advisory lock 획득. open mode: 오직 ``"a"`` (append) 또는 ``"rb"`` (read for tail scan). transaction (task-2554+1 race condition fix): ``transaction()`` context manager 는 별도 sidecar lock 파일에 ``LOCK_EX`` 를 잡고 caller 가 check_dedupe + record(PENDING) + http_post + record(POSTED|FAILED) 전체를 단일 lock 안에서 실행한다. task-2554+2 §2: bounded reverse scan dedupe 조회는 tail-read 로 마지막 ``DEDUPE_SCAN_MAX_ROWS`` 행만 검사. audit 파일이 거대해져도 dedupe 비용 일정 (O(N) full scan 제거). c`t|j}||_|tz |_yN)rresolve_workspace_rootr _path)selfworkspace_rootroots r0__init__zOwnerTriggerAudit.__init__s)N#++-#N* r/c|jSri)rlrms r0pathzOwnerTriggerAudit.paths zzr/cDtt|jdzS)uGtransaction sidecar lock 파일 경로 (audit JSONL append 와 분리).z.lock)rrKrlrrs r0 lock_pathzOwnerTriggerAudit.lock_pathsC Og-..r/cR|jjjddy)NT)parentsexist_ok)rlparentmkdirrrs r0_ensure_parentz OwnerTriggerAudit._ensure_parents tloadsJSONDecodeError)rmfhlines r0 _iter_rowszOwnerTriggerAudit._iter_rowss zz  "  $**cG 4  zz|**T**    ++  s@4BB A3'B * B3B B B  B  BB)max_rowsc#K|jjr|dkry t|jd5}|jdtj |j }|dk(r dddyd}g}|}|dkDrt||krtt|}||z}|j||j|}||z} | jd} |dkDr | d}| dd} nd}t| D]4} | js|j| t||k\s4n|dkDrt||kr|D]?} | jd} | j} | s( t#j$| A dddy#t $rYWwxYw#t"j&$rYpwxYw#1swYyxYw#t($rYywxYww)uaudit JSONL 의 마지막 ``max_rows`` 행을 역순으로 yield (task-2554+2 §2). 구현: 1. 파일 끝에서부터 ``_TAIL_CHUNK_SIZE`` 바이트 단위로 역방향 청크 읽기. 2. 줄 단위로 split → 마지막 ``max_rows`` 행 확보될 때까지 반복. 3. 손상 라인은 ``json.JSONDecodeError`` 관용 (skip). 보장: - audit 파일 크기에 무관하게 dedupe 비용 일정 (O(max_rows)). - 회장 §2 bounded/reverse scan 직접 일치. - tail 가 ``max_rows`` 보다 적으면 가능한 만큼만 yield (file 전체가 작을 때). rNrbr/ rI)rlrrseekosSEEK_ENDtellraminrreadsplitreversedrappenddecodeUnicodeDecodeErrorr>rrFileNotFoundError) rmrr file_sizeleftoverlines_collectedposition read_sizechunkbufparts line_bytestexts r0_iter_rows_reversez$OwnerTriggerAudit._iter_rows_reverses"zz  "h!m 2 djj$'/ !22;;'GGI > / !/ !/1$ls?';h'F #$4h ?I )HGGH%GGI.E(*C IIe,E!|#(8 %ab #&&.uo" )//1$'..z:/8;! "#ls?';h'F2#2 !J!)009 ::1G 9G:B6F>1F>F>FF>3F% F> G G F"F>!F""F>%F;8F>:F;;F>>GG GG GGGGc4t|jS)uY후방 호환: 전체 list 로딩. 신규 코드는 ``_iter_rows_reverse`` 사용 권장.)listrrrs r0 _read_allzOwnerTriggerAudit._read_allsDOO%&&r/cBt|}|jD]}|jd|k(st|jdts8|dj |k(sO|jdt k(sh|jdtk(syy)uPOSTED dedupe 검사 — bounded reverse scan (task-2554+2 §2). audit JSONL 의 마지막 ``DEDUPE_SCAN_MAX_ROWS`` 행만 검사. 동일 (pr, head) trigger 시도가 그 안에 없으면 fresh 로 간주 (회장 §2 bounded). rrrrTF)rerr=rJrKrbr r)rmrr head_normrows r0 _has_postedzOwnerTriggerAudit._has_posteds $D) **, C #swwv4K%%'94GGH%7GGH%6 r/czt|}ttth}|j D]}|j d|k(st |j dts8|dj|k(sO|j dtk(sh|j d}||vs~|ttfvcSy)u가장 최근 (pr, head) outcome 이 POSTED 또는 PENDING 이면 True (active). 의미: - POSTED: 이미 성공 — 재시도 차단. - PENDING (그 뒤 FAILED 없음): http_post 진행 중 또는 process crash — fail-closed (다음 runner 가 DEDUPED 판정). - FAILED (가장 최근): 명시적 실패 — 재시도 허용 (transient failure). - DEDUPED: outcome 자체가 아님 (skip, 이전 outcome 으로 판정). bounded reverse scan (task-2554+2 §2): 마지막 ``DEDUPE_SCAN_MAX_ROWS`` 행을 역순으로 보고 가장 최근 POSTED/PENDING/FAILED 가 무엇인지 결정. rrrrF) rerrrrr=rJrKrbr )rmrrroutcome_resultsrrs r0_has_active_triggerz%OwnerTriggerAudit._has_active_triggers$D) (.-H**, EC #swwv4K%%'94GGH%7*_,!m^%DDD Er/cT|j||rtd|d|dddy)u4 조건 일치 시 ``DedupeViolation`` raise. fail-closed. 후방 호환: POSTED 만 검사. transaction 안의 atomic dedupe 는 ``_AtomicTriggerTransaction.check_dedupe`` 가 POSTED + PENDING 모두 검사. rrz4duplicate POST_GEMINI_REVIEW_TRIGGER_COMMENT for pr= head=NrF...)rr(rmrrs r0 check_dedupezOwnerTriggerAudit.check_dedupe.sG   r  -!Frd&QUVXWXQYPZZ]^  .r/c t|}|jdt|jdt|jddt |d|vr:t |dt r't|ddk(r|dj|d<|jt|jdd 5}tj|jtj |j!d t"k(r |j!d t$k(r|j!d }|j!d}t |t&rt |t rt)|}|j+D]}|j!d |k(st |j!dt s8|dj|k(sO|j!d t"k(sh|j!d t$k(st-d |d|ddd|j/t1j2|dddz|j5t7j8|jtj|jtj: dddy#tj|jtj:wxYw#1swYyxYw)uatomic append. record key 화이트리스트 + token leak guard 적용 후 기록. record 내부에 ``ts`` / ``schema`` 미지정 시 자동 채움. atomic: 내부 ``fcntl.flock(LOCK_EX)`` 를 audit 본 파일에 잡고 dedupe 재검 후 기록. transaction context 안에서는 별도 sidecar lock 이 보호하므로 본 메서드의 내부 flock 은 보조 안전망 (deadlock 안남 — sidecar lock 과 본 파일 lock 은 분리). rrr$Frr[arIr~rrrzatomic dedupe blocked pr=rNrFrTr4 sort_keys )dict setdefaultr&rYrErJrKrarbr{rrlfcntlflockfilenoLOCK_EXr=r rintrerr(writer>r?flushrfsyncLOCK_UNrmr@recrpr_valhead_valrrs r0rzOwnerTriggerAudit.append9s36l x. tXZ( +U3s# S=ZF S9c#f+>NRT>Tf+++-CK  $**cG 4 8 KK U]] 3 8778$63778;LP];] WWT]F"wwvH!&#.:h3L$3H$= #'#:#:#< "C #  7$.swwv$D$'K$5$5$79$D$'GGH$5$G$'GGH$5$F&5&?xvhWYXYl^[^$_'"!" "CetLtST % BIIK71 8 80 BIIK71 8 8sD?3K(3B%J1J19J1J1)J1A3J152K(14K%%K((K1c#K|j|j}t|dd5}tj|j tj  t|tj|j tj dddy#tj|j tjwxYw#1swYyxYww)utrigger 전체 lifecycle 을 단일 lock 안에서 직렬화. sidecar lock 파일 (``.lock``) 에 ``LOCK_EX`` 를 획득해 본 with 블록을 보호한다. 본 블록 안에서 caller 는 check_dedupe → record(PENDING) → http_post → record(POSTED|FAILED) 순서대로 호출. audit JSONL 본 파일에 대한 write 자체는 여전히 ``open(self._path, "a")`` 만 사용. rrIr~N) r{rurrrrr_AtomicTriggerTransactionr)rmrulock_fhs r0 transactionzOwnerTriggerAudit.transactiongs NN )S7 3 =w KK(%-- 8 =/55 GNN,emm<  = =  GNN,emm<  = =s4+C-3C!! B*.2C!! C-*4CC!!C*&C-N)rnz str | PathreturnNone)rr)rr)rIterator[dict])rrrr)rz list[dict])rrrrKrboolrrrrKrrr@rrr)rz%Iterator['_AtomicTriggerTransaction'])r*r+r,r-rppropertyrsrur{rrrrrrrrrrr.r/r0rgrgs + //=(-EE  EN'$: *8\==r/rgc(eZdZdZddZddZddZy) ru@transaction 컨텍스트 내부 helper. sidecar flock 외부에서 잡힌 상태로 호출됨. 제공 메서드: - ``check_dedupe(pr, head)``: POSTED + PENDING 모두 검사 (race + crash fail-closed). - ``record(record_dict)``: audit 본 파일에 한 줄 append (sidecar lock + 본 파일 flock). c||_yri)_audit)rmaudits r0rpz"_AtomicTriggerTransaction.__init__s  r/ch|jj||rtd|d|dddy)uPOSTED OR PENDING 일치 시 ``DedupeViolation``. - POSTED: 기존 trigger 가 성공 완료된 (pr, head). - PENDING: 다른 transaction 이 http_post 직전 sentinel 을 남겼지만 미완료 (process crash 가능성). 어느 쪽이든 재시도 차단 — fail-closed. bounded reverse scan (task-2554+2 §2): 마지막 ``DEDUPE_SCAN_MAX_ROWS`` 행만 검사. rz4active trigger (POSTED|PENDING) blocks duplicate pr=rNrFr)rrr(rs r0rz&_AtomicTriggerTransaction.check_dedupesK ;; * *bt * <!Frd&QUVXWXQYPZZ]^  =r/c t|}|jdt|jdt|jddt |d|vr5t |dt r"t|ddk(rt|d|d<|jjt|jjdd 5}tj|jtj  |j#d t$k(r|j#d t&k(r|j#d }|j#d}t |t(rt |t rt|}|jj+D]}|j#d |k(st |j#dt s8|dj-|k(sO|j#d t$k(sh|j#d t&k(st/d |d|ddd|j1t3j4|dddz|j7t9j:|jtj|jtj< dddy#tj|jtj<wxYw#1swYyxYw)uLaudit 본 파일에 한 줄 append. sidecar lock + 본 파일 flock 2 단 보호. 2 단 lock 이유: legacy/test 가 ``OwnerTriggerAudit.append`` 를 sidecar lock 없이 직접 호출하는 경로도 직렬화 보장. POSTED record 는 lock 안에서 한번 더 dedupe re-check (defense in depth). rrr$Frr[rrIr~rrrz%transaction atomic dedupe blocked pr=rNrFrTrr)rrr&rYrErJrKrarerr{rrlrrrrr=r rrrrbr(rr>r?rrrrrs r0r@z _AtomicTriggerTransaction.recordsA6l x. tXZ( +U3s# S=ZF S9c#f+>NRT>T)#f+6CK ""$ $++##S7 ; 8r KK U]] 3 8778$63778;LP];] WWT]F"wwvH!&#.:h3L$3H$= #';;#A#A#C "C #  7$.swwv$D$'K$5$5$79$D$'GGH$5$G$'GGH$5$F&5&KF8SYZbcedeZfYggj$k'"!" "CetLtST % BIIK71 8 80 BIIK71 8 8sD3LB/K 2K K )K K A3K 2L 4K>>LL N)rz'OwnerTriggerAudit'rrrr)r*r+r,r-rprr@r.r/r0rr{s (8r/rr)rQrKrGrrrK)rrK)rrKrrK)%r- __future__rrrMr>r contextlibrrrpathlibrtypingrr r __annotations__r rrrrrr frozensetr%r& RuntimeErrorr(r2rEr#rYrergrr.r/r0rs>#  %'"G FA A$ z$& &$ z$& &$'j& %*$-6-)&; j:UlUH,HU$45Dv=v=rA8A8r/