jk ^UdZddlmZddlZddlZddlZddlZddlZddlm Z m Z ddl m Z m Z ddl mZddlmZddlmZmZmZgd Zd Zd Zd Zd ZGddeeZdZded<dZded<dZded<dZ ded<dZ!ded<dZ"ded<e dGdd Z#dd$Z&d?d@d%Z'eejPjSd&eee*jWjXjXd'z d(z d)z Z-e dGd*d+Z.dAd,Z/ dBd-Z0d.d.ddddd/ dCd0Z1dd1 dDd2Z2d3Z3ded4<dEd5Z4e dGd6d7Z5 dFd8Z6dGd9Z7d?dHd:Z8e9d;k(rejte8yy)IuLutils/bot_merge_identity.py — task-2522 §본질. 회장 §명시 본질: task-2522의 목표는 "머지가 되게 하는 것"이 **아니다.** 이미 머지는 된다. 목표는 **"누가 머지했는가"**를 자동화 기준에 맞게 고치는 것. owner_pat로 머지되면 기능적으로는 성공이어도 **autonomy success로 인정하지 않는다.** 본 모듈은 4가지 책임을 박제한다: 1. **token_source 4 enum 분류** — env var 존재 여부 + token prefix 휴리스틱. 절대로 raw token 값을 출력/리턴하지 않는다 (회장 §보안 7번). 2. **identity audit JSONL** — pre/post merge token_source + mergedBy 비교. 3. **autonomy_capability_gap 박제** — owner_pat fallback이 1건이라도 감지되면 기능적 머지 성공 여부와 무관하게 autonomy success로 인정하지 않는다. 4. **autonomy_score delta 산출** — owner_pat→stuck 또는 하락, bot/app→상승. 회장 §금지 행위: - ❌ token raw value 출력 (값/hex/마스킹된 값 X) — env var 존재 여부와 prefix만 사용. - ❌ owner_pat을 bot identity로 위장. - ❌ admin override 호출. - ❌ branch protection 우회. - ❌ GitHub App private key 파일 공유/노출. - ❌ AUTOMATION_CAPABILITY_GAP을 CriticalEscalationType에 추가 (Critical 7종 외 보고). - ❌ 5 모듈 본체 신규 abstraction 생성. CLI: python3 utils/bot_merge_identity.py --classify-token-source python3 utils/bot_merge_identity.py --audit --pr 72 --task-id task-2521 python3 utils/bot_merge_identity.py --score --identity-from-stdin ) annotationsN) dataclassasdict)datetimetimezone)Enum)Path)IterableMappingOptional) TokenSourceTokenSourceProbeMergeIdentityAuditRecordAutonomyScoreDeltaclassify_token_sourceprobe_token_source_from_envfingerprint_token_for_auditbuild_audit_recordappend_audit_jsonldecide_autonomy_capability_gapcompute_autonomy_score_deltaexpected_bot_identity_for_actor'verify_branch_cleanup_token_inheritanceREQUIRED_AUDIT_FIELDS_2523TOKEN_SOURCE_OWNER_PATTOKEN_SOURCE_GITHUB_APPTOKEN_SOURCE_GITHUB_ACTIONSTOKEN_SOURCE_UNKNOWNDEFAULT_AUDIT_JSONL_PATH OWNER_PATGITHUB_APP_INSTALLATION_TOKENGITHUB_ACTIONS_TOKENUNKNOWNc eZdZdZeZeZeZ e Z y)r uBToken 출처 4 enum. 회장 §1 — 정확히 4종, 추가 금지.N) __name__ __module__ __qualname____doc__rr rr!rr"rr#//home/jay/workspace/utils/bot_merge_identity.pyr r OsL&I$;!6"Gr*r )ghs_ztuple[str, ...]_INSTALLATION_TOKEN_PREFIXES)ghp_ github_pat_gho__OWNER_PAT_PREFIXES)GITHUB_ACTIONS RUNNER_NAMEGITHUB_WORKFLOWACTIONS_ID_TOKEN_REQUEST_TOKEN_ACTIONS_RUNNER_ENV_NAMES) GITHUB_PATGH_PATOWNER_GITHUB_TOKEN_TOKEN_ENV_NAMES_OWNER_PAT)INSTALLATION_TOKENr!APP_INSTALLATION_TOKEN_TOKEN_ENV_NAMES_INSTALLATION) GITHUB_TOKENGH_TOKEN_TOKEN_ENV_NAMES_GENERICT)frozencxeZdZUdZded<dZded<dZded<dZd ed <dZd ed <dZ d ed <dZ ded <ddZ y)rutoken_source 분류 결과. raw value는 절대 보유하지 않는다. Fields: token_source: 분류 결과 (TokenSource enum value). env_var_name_observed: 어느 env var에서 token이 발견됐는지 (값 X — 이름만). token_prefix_observed: 5자 prefix만 (e.g. "ghs_", "ghp_", "githu"). 값 자체 X. actions_runner_signal: GITHUB_ACTIONS=true 또는 RUNNER_NAME 존재 시 True. installation_signal: ghs_ prefix 또는 INSTALLATION_TOKEN 계열 env 존재 시 True. owner_pat_signal: ghp_/github_pat_/gho_ prefix 또는 GH_PAT 계열 env 존재 시 True. token_fingerprint_sha256_8: token raw가 있을 경우 sha256(token)의 첫 8 hex 문자만. raw value는 절대 보존되지 않으며, 동일 token identity 추적용으로만 사용. 회장 §보안: raw token value는 어떤 형태로도 보유 X. str token_sourceN Optional[str]env_var_name_observedtoken_prefix_observedFboolactions_runner_signalinstallation_signalowner_pat_signaltoken_fingerprint_sha256_8ct|SNrselfs r+to_dictzTokenSourceProbe.to_dict d|r*returndict) r%r&r'r(__annotations__rFrGrIrJrKrLrRr)r*r+rrsV +/=/+/=/"'4' %%"d"04 4r*rcv|sytj|jdj}|ddS)u token raw value의 sha256 첫 8 hex 문자만 반환 (회장 §보안). 동일 token identity 추적이 필요할 때만 사용. raw 값은 어디에도 저장하지 않는다. None / 빈 문자열 → None 반환 (audit에 fingerprint=null 로 기록). Nutf-8)hashlibsha256encode hexdigest) token_valuedigests r+rrs8  ^^K..w7 8 B B DF "1:r*c|sy|ddS)utoken raw → 첫 5자 prefix만 추출. 5자 미만이면 그대로 (X 마스크). 회장 §보안: 5자 이상 노출 금지. 첫 5자도 prefix 식별용으로만 사용. Nr))r_s r+_detect_prefixrds  r?r*)envc 2 ||ntj d} jddjdk(rd}n&tD]}|dk(r j|sd}nt fdt D}t fdtD}d}d}d}|rKt|}tD]} |j| sd}ntD]} |j| sd}nd} tt ttzttzD]} j|s|} n|r |st} n5|rt} n,|r |rt } n!|rt} n|rt} n|rt } nt"} t%| | |xsd||xs||xs|t'| S) utoken 값 (선택) + env mapping → TokenSource 분류. 분류 우선순위 (회장 §1 deterministic): 1. token prefix 검사 (값이 있는 경우 — 5자만 비교, raw 노출 X): - "ghs_" → GITHUB_APP_INSTALLATION_TOKEN - "ghp_" / "githu" (github_pat_) / "gho_" → OWNER_PAT 2. env-only fallback (값이 없거나 prefix 매칭 실패): - GITHUB_APP_* env 존재 → GITHUB_APP_INSTALLATION_TOKEN - GH_PAT / GITHUB_PAT / OWNER_GITHUB_TOKEN env 존재 → OWNER_PAT - GITHUB_ACTIONS=true 또는 RUNNER_NAME 존재 → GITHUB_ACTIONS_TOKEN - 그 외 → UNKNOWN 3. **GitHub Actions runner 신호가 있는데 token prefix가 ghs_ 인 경우는 GITHUB_ACTIONS_TOKEN으로 분류** (Actions runner의 GITHUB_TOKEN은 실제로는 installation token이지만, 식별 가능한 출처는 Actions runner이므로 "Actions runner의 자동 token" 으로 박제). 회장 §보안 준수: - raw token value 절대 출력/저장 X. - prefix는 5자만 보존 (e.g. "ghs_", "ghp_"). - env_var_name_observed는 이름만 (값 X). NFr2rbtrueTc3@K|]}j|ywrNget.0nenv_maps r+ z(classify_token_source..s!XQ'++a.!Xc3@K|]}j|ywrNrirks r+roz(classify_token_source..sR!w{{1~Rrp)rDrFrGrIrJrKrL)osenvironrjlowerr6anyr=r:rdr- startswithr1listr@rrrrrr) r_reactions_signalnameinstallation_env_signalowner_pat_env_signalprefixinstallation_prefix_signalowner_pat_prefix_signalprF final_sourcerns @r+rrs4),RZZGN{{#R(..0F:- D''{{4 !%  "!X:W!XXR7QRRF!&# ,- A%%a(-1* % A%%a(*.'  ,0 *+ ) * + ' ( ) ;;t $( ! ".. - #2 . - 2 + !3$n,6Q:Q0H4H#>{#K r*c||ntj}d}ttttztt zD]}|j |}|s|}nt||S)uenv-only 분류. env 우선순위: INSTALLATION_TOKEN 계열 > GITHUB_PAT 계열 > GITHUB_TOKEN/GH_TOKEN > 없음. raw token 값은 함수 내부에서만 검사하고 외부로 노출하지 않는다. N)r_re)rrrsrwr=r:r@rjr)rerncandidate_valueryvs r+rrss ),RZZG%)O *+ ) * + ' ( ) KK  O  !_' JJr*BOT_MERGE_IDENTITY_AUDIT_JSONLmemoryzorchestration-auditzbot-merge-identity.jsonlceZdZUdZded<ded<ded<ded<ded <ded <ded <d Zd ed<d Zd ed<d Zd ed<d Zd ed<d Z d ed<d Z d ed<dZ ded<ddZ y )ruSingle PR merge audit record. 회장 §3 audit 구조 7 field 정확 매칭: pr_number, token_source_used, mergedBy_login, mergedBy_is_bot, expected_bot_identity, autonomy_capability_gap, timestamp. 추가 metadata는 분리된 sub-dict (raw value 절대 X). int pr_numberrCtoken_source_usedmergedBy_loginrHmergedBy_is_botexpected_bot_identityautonomy_capability_gap timestampNrErGrFrLmerge_commit_shatask_idnotesFowner_pat_usedct|SrNrOrPs r+rRz MergeIdentityAuditRecord.to_dict\rSr*rT) r%r&r'r(rWrGrFrLrrrrrRr)r*r+rr?sN!!N+/=/+/=/04 4&*m*!G]!E=!ND r*rcz|sy|jjdry|xsdjdk(ryy)u주어진 mergedBy actor가 bot/app identity로 인정 가능한지. - login이 "[bot]" 으로 끝나면 → True - actor_type이 "Bot" 이면 → True (대소문자 무시) - 그 외 → False Fz[bot]Trbbot)rtendswith)login actor_types r+rr`s=  {{}g&b!U* r*c6|r|sy|tk(ry|tk(ryy)utoken_source + mergedBy → autonomy_capability_gap 박제. 회장 §본질: - mergedBy가 bot/app이고 token_source도 GITHUB_APP_*/GITHUB_ACTIONS_TOKEN → False (정상 자동화 success). - mergedBy가 owner (사람) 이면 → True (owner_pat fallback이 명시적). - token_source == OWNER_PAT 면 → True (mergedBy가 bot이라도 owner_pat 사용은 autonomy success로 인정 X — task-2522 §본질). - token_source == UNKNOWN 면 → True (fail-closed, 분류 불가는 보수적으로 GAP). - mergedBy 데이터가 비어있고 token_source가 GITHUB_APP_*/GITHUB_ACTIONS_TOKEN → False (audit 데이터 부재 → GAP 분류 안 함; pre-merge 단계 record). TF)rrrDrrs r+rrps'&o--++ r*rb)r mergedBy_typerrrrct||}|jtthv} t |j||} |xs2t j tjjd} |jtk(} tt||j|xsd|| | | |j|j|j|||| S)uTokenSourceProbe + mergedBy → MergeIdentityAuditRecord 생성. timestamp 미지정 시 datetime.now(timezone.utc) 사용. rz%Y-%m-%dT%H:%M:%S.%fZrb)rrrrrrrrGrFrLrrrr)rrDrrrrnowrutcstrftimerrrrGrFrL) r token_proberrrrrris_botexpectedgaptsrs r+rrs-^] KF''#,H ) --% C  Rhll8<<099:QRB --1GGN #i.%22%+& #)??)??#.#I#I)% r* audit_pathc|xst}|jjddtj|j d}t |dd5}|j|dzd d d |S#1swY|SxYw) uaudit record를 JSONL 형식으로 append. 회장 §보안: record는 raw token 값을 보유하지 않으므로 그대로 직렬화 가능. 경로 부재 시 default 경로 사용. 부모 디렉터리는 자동 생성. T)parentsexist_okF) ensure_asciiarY)encoding N)rparentmkdirjsondumpsrRopenwrite)recordrpathlinefhs r+rrsu  11DKKdT2 ::fnn&U ;D dC' *b  K Ks A::B)rrrrrct|xsg}t|dk\xr|ddk(xr|ddk(xr|ddk(}d|v}|Dcgc]}|d vs|jd r|}}|xr|xr| }|xr|||||d Scc}w) u`gh pr merge --delete-branch ...` 호출이 process-local GH_TOKEN 주입을 그대로 상속하는지 정적 검증 (task-2523 §검증 6). 회장 §본질: branch cleanup도 같은 머지 호출 안에서 일어나야 한다 (별도 토큰 X). `gh pr merge --squash --delete-branch` 한 번 호출로 머지+삭제가 동일 process 내 동일 GH_TOKEN으로 수행된다. 검증 항목 (정적 — 실제 API 호출 X): - args에 `gh pr merge` 가 포함 - `--delete-branch` 플래그 존재 (branch cleanup 동일 호출) - admin override / force / rebase 플래그 부재 (회장 §금지) 반환: { "branch_cleanup_in_same_call": bool, "delete_branch_flag_present": bool, "merge_command_present": bool, "forbidden_flags_detected": list[str], "token_inherits_process_local_gh_token": bool, } rghprmergez--delete-branch>--admin--force--rebasez--admin=)branch_cleanup_in_same_calldelete_branch_flag_presentmerge_command_presentforbidden_flags_detected%token_inherits_process_local_gh_token)rwlenrv) merge_argsargs merge_presentdelete_presentr forbiddentoken_inheritss r+rrs.   b !D D QU47d?UtAw$U47gCU'$.N 2 2all:6N I #G~Gi-N'4'G&4!.$-1?  sA;c:eZdZUdZded<ded<ded<ded<y) ru이전 score → 다음 score 변화 박제. 회장 §정책: - mergedBy=bot/app & token_source=GITHUB_APP_* → +1 (cap 10) - mergedBy=bot/app & token_source=GITHUB_ACTIONS_TOKEN → +1 (cap 10) - mergedBy=owner & token_source=OWNER_PAT → 유지 또는 -1 (회장 §본질 - stuck signal) - token_source=OWNER_PAT (mergedBy bot 포함) → -1 (위장 차단) - token_source=UNKNOWN → 유지 (분류 실패는 점수 변경 안 함, GAP만 박제) rprevious_score new_scoredeltarCreasonN)r%r&r'r(rWr)r*r+rr sN J Kr*rc tdtdt|}d}d}|jrH|jt k(rd}d}n||j r|jsd}d|j d}nQd}d}nL|jttfvr0|jr$d }d |jd |j xsd d }nd}d}tdtd||z}t||||z |S)uZaudit record를 기반으로 autonomy_score 변화 산출. score 범위: 0 ~ 10. r rbu5owner_pat token used (autonomy fallback) — score -1zowner direct merge (mergedBy=u) — score -1uAcapability_gap detected without explicit owner_pat — score heldrzbot/app merge (z) by z (pre-merge)u — score +1u,no gap but identity ambiguous — score held)rrrr) maxminrrrrrrrrr)rrprevrrrs r+rrs q#b#n-. /D E F %%  # #'= =ELF  " "6+A+AE4V5J5J4K>ZFEXF  # # # '(  $$E!&":":!;5((9M:-I  ECFAs2te|,-I $  r*c0tjd}|jddd|jddd|jd td d |jd tdd |jdtdd |jdtdd |jddd|jddd|jdtdd |jdtdd |jdtdd |S)Nu}bot_merge_identity — token source 4 enum 분류 + identity audit 박제. (회장 §보안: raw token value 절대 출력 X)) descriptionz--classify-token-source store_trueuIenv에서 token source 추출 후 JSON 출력 (값 X — source label만))actionhelpz--audituJ--pr 와 함께 사용. mergedBy stdin JSON 입력 → audit record 출력z--prru PR 번호)typedefaultrz --task-idztask id (audit metadata)z--merge-commitzmerge commit shaz --audit-pathu6audit JSONL 경로 (default: DEFAULT_AUDIT_JSONL_PATH)z --no-writeu0--audit 시 JSONL append 하지 않고 stdout만z--scoreu5stdin record JSON + --previous-score 로 delta 계산z--previous-scoreu%--score 시 이전 점수 (default 7)z--mergedBy-loginrbu8--audit: mergedBy login (실호출 대신 직접 주입)z--mergedBy-typez!--audit: mergedBy type (User/Bot))argparseArgumentParser add_argumentrrC)rs r+ _build_parserrSsJ A A NN! X NN Y NN6Q[NANN;S$=WNXNN##tBTNUNN  E  NN ? NN D NN  4  NN  G  NN  0  Hr*c t}|j| t|nd}|jr:t }t t j|jddy|jr|jdkr1t t jdditjyt }t|j||j|j|j |j"}|j$s0|j&rt)|j&nd}t+|| t t j|jddy|j,r t j.tj0j3xsd } t7di|j9D cic]\}} |t6j:vs|| c} }}t?|j@| } t t jtC| ddy|jEy#t j4$r=}t t jdd |itjYd}~yd}~wwxYwcc} }w#t<$r=}t t jdd |itjYd}~yd}~wwxYw)NFr)rindentrerrorz--pr is required)file)rrrrrrrz{}zstdin not JSON: zrecord fields mismatch: )rrr))#r parse_argsrwrrprintrrrRauditrsysstderrrrr merge_commitrno_writerr rscoreloadsstdinreadJSONDecodeErrorritems__dataclass_fields__ TypeErrorrrr print_help) argvparserrproberrpayloadexckrrs r+mainrsE _F   4+;T$Z FD !!+- djjuQGH zz 77a< $**g'9:;#** M+-#gg..,,!..LL  }}26//doo.tJ v* = djj)aHI zz jj!1!9T:G  -J'--/1I$!QUVZr[H[HVHA1IJF-Dr s:# )'.. <%94 ##t#(1:o9'F_F .?/O 2 -/  $: (,cc %c cLK6 JJNN( DN " " $ + + 2 2X =@U UXr rs $@     F&*!#**"* *  * $ ** ***`"& $ 0/O)b $"-- %- -h6 r. b z CHHTVr*