{ "pass": true, "risks": [ { "severity": "high", "description": "`anu_v2/worktree_cleanup.py`에서 안전조건 6(`apply_explicit`)를 다른 1~5 조건과 동일하게 `all_safe` 계산에 포함했습니다. 그 결과 `apply=False`인 기본 dry-run에서는 어떤 worktree도 절대 `all_safe=True`가 될 수 없고, `run_post_merge_worktree_cleanup_dry_run()`의 `cleanup_candidates`도 항상 0이 됩니다. 설계 문서의 핵심 요구인 'dry-run에서 삭제 가능 후보 목록/개수 출력'과 self-test 기준을 충족하지 못합니다." }, { "severity": "high", "description": "`_sanitize_text()`의 마스킹 규칙이 `ghp_`, `ghs_`, `github_pat_` 접두사나 `key=value` 형태에만 치우쳐 있습니다. `git worktree remove`/`gh`/기타 subprocess stderr가 자유 형식으로 비밀값을 포함하면 `skip_reason`과 이벤트 로그에 그대로 남을 수 있습니다. 제공된 회귀 테스트 16의 시나리오도 현재 구현으로는 마스킹되지 않아 실패할 가능성이 큽니다." }, { "severity": "medium", "description": "`anu_v2/post_merge_smoke_runner.py`는 post-merge cleanup 호출을 `except Exception: pass`로 완전히 삼켜 버립니다. cleanup 로직이 import 실패, subprocess 오류, 파싱 오류 등으로 비활성화되어도 smoke 결과는 그대로 PASS가 되고 별도 이벤트/경고도 남지 않아, 설계 문서의 'task 종료 직후 cleanup 1회 시도'와 운영 가시성이 깨집니다." }, { "severity": "medium", "description": "안전조건 5 구현이 `pgrep -f `와 `git worktree list`의 `prunable` 상태를 모두 실패로 간주합니다. `pgrep -f`는 경로 문자열만 포함한 무관한 프로세스까지 오탐할 수 있고, `prunable`은 '현재 사용 중'과 동일 의미가 아닙니다. 실제로는 안전한 머지 완료 worktree가 지속적으로 skip되어 자동 정리가 사실상 멈출 위험이 있습니다." } ], "suggestions": [ "안전조건 1~5와 조건 6을 분리하세요. dry-run에서는 '삭제 가능 후보(1~5 PASS)'를 집계하고, 실제 삭제 실행 시에만 조건 6을 게이트로 적용해야 합니다.", "비밀정보 마스킹을 stderr/stdout 자유 텍스트까지 확장하고, 최소한 `token`, `bearer`, `authorization` 주변 값과 긴 고엔트로피 문자열을 추가로 가리는 보수적 규칙을 두세요.", "cleanup 예외를 무조건 무시하지 말고 `memory/events`에 실패 이벤트를 남기거나 호출자 반환값에 `cleanup_error`를 포함해 운영자가 dry-run 실패를 인지할 수 있게 하세요.", "조건 5는 단순 `pgrep -f` 대신 더 좁은 프로세스 식별 기준을 쓰고, `prunable`은 '사용 중'과 분리하여 별도 사유로 기록하는 편이 설계 의도에 맞습니다." ], "source": "codex_companion", "fallback_reason": null, "error": null, "target_dir": "/home/jay/workspace/.worktrees/task-2550-dev5", "target_dir_source": "param", "task_id": "task-2550", "timestamp": "2026-05-11T02:34:00.281267+00:00" }