Code-review followup. TOOL_SCRIPT_RE didn't include \ in delimiter
char class — Windows-native commands like `node tools\foo.mjs` fell
through to inline:<sha> fallback. Added \ to char class + inner
[\/\] alternation, normalize match to forward-slash.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
extractCandidates грузила в primary_rationale.candidates_considered ЛЮБОЙ
нумерованный/маркированный список из ассистентского текста — без
семантического фильтра. В topе оказывались куски прозы («Hard-floor работает
только для §12 Superpowers …»), шаги процедуры («1. Hard-floor check, 2.
Классификация …»), фрагменты кода (regex-паттерны) — не имена узлов реестра.
Фикс: при загрузке модуля собираю KNOWN_NODES из tools/observer-known-nodes.txt
+ ключей observer-chain-map.json + сентинела «direct». После regex-извлечения
item нормализуется (срезаются **/`/_/* обвязки + хвостовая пунктуация) и
проверяется по: точное имя в реестре ИЛИ #NN (Tooling ID) ИЛИ plugin:skill
форма. Если после фильтра <2 элементов — return []. Opt-in <!-- reasoning -->
тег остаётся authoritative и идёт мимо фильтра.
Триггеры/границы не трогал — их regex уже узкий (Pravila §N / ADR-N / PSR_v1
RN / L-цепочки).
Repro-кейсы из живого episodes-2026-05.jsonl добавлены в тесты: prose-bullets,
procedure-steps, code-snippet bullets, mixed list, single survivor.
Pure module. buildHookMap(project, user) reverse-lookup settings.json,
resolveScriptCounts duplicates counts per script. No exec.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Spec terminology aligned with codebase: recommended_skill →
recommended_node (classification-map хранит Tooling IDs `#NN`, не имена
skill'ов). Test runner — vitest (npm run test:tools), не node --test.
Missed-activations filter тоже поднимается до >=2.
5 atomic TDD commits: hook-resolver, recommended-node, parser+smoke,
analyzer factor-axis, brain-retro template.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Forward-only расширение episode schema: hook_fired.scripts (reverse-lookup
.claude/settings.json → имена хук-скриптов рядом с matcher-counts) +
primary_rationale.recommended_skill для direct-эпизодов (из
classification-map). Analyzer фильтр >=2 для backward-compat с v2.
Связано: ADR-011, factor-analysis spec 2026-05-19, Pravila §16,
feedback_feature_via_writing_plans.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Bug: gitleaks (rule `ru-phone-unmasked`) caught `79135191264` in 3 lines
of docs/observer/episodes-2026-05.jsonl during brain-retro #3 push
(963379c3). Stop-hook PII-filter was not masking bare-format Russian
phone numbers (without the `+` prefix).
Root cause:
const RU_PHONE = /\+7\d{10}/g; // requires literal '+7'
Free-text observer episodes captured phone `79135191264` in field-value
context (`call client 79135191264` / `phone 79135191264 in payload`),
slipping past the existing filter.
Fix:
const RU_PHONE = /(?:\+7|\b7)\d{10}/g;
The `\b7` branch catches bare format with a word-boundary on the left,
avoiding false-positives inside long digit sequences (timestamps, IDs,
hashes). False-positive guard verified via test:
'id 1796133619135191264999 not a phone' → unchanged.
TDD cycle:
- RED: 3 new tests + 1 sanitizeWithCount test (4 fails on bare phone)
- GREEN: regex extended, 24/24 file tests pass, 373/373 full tools
suite GREEN (0 regressions across 18 files).
Cleanup: applied sanitize() to docs/observer/episodes-2026-05.jsonl;
11 lines touched (3 phone-leak lines + 8 with other PII patterns).
gitleaks now finds 0 leaks in the file.
Pravila §5.2 (no PII in commits) + 152-FZ (phone is regulated PD).
Closes DO-PII-1 (see memory observer-pii-leak-2026-05-23).
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Закрывает дыру #4 аудита журналирования. Объём по выбору заказчика — МИНИМУМ:
✅ Админ-API + кнопка в админке для удаления ПДн субъекта
✅ Сервис анонимизации (users + supplier_leads + deals + webhook_log)
✅ Журнал факта удаления в pd_processing_log
❌ БЕЗ формы самообслуживания на стороне субъекта
❌ БЕЗ email-подтверждения
❌ БЕЗ 30-дневного SLA (trigger deadline_at уже в схеме)
Что добавлено:
* Eloquent-модель `App\Models\PdSubjectRequest` (таблица уже была в схеме)
* Сервис `App\Services\Pd\PdErasureService::eraseSubject()`:
- cross-tenant через pgsql_supplier (BYPASSRLS)
- транзакционно (rollback при ошибке)
- users: email→erased-{id}@deleted.local, first_name→Удалено, last_name→null,
phone→+7000{id}
- supplier_leads: phone→+7000XXXXXXX, raw_payload→{erased:true}
- deals: phone→+7000XXXXXXX, contact_name→Удалено (только если есть phone)
- webhook_log: batched UPDATE по 500, raw_payload→{erased,erased_at}
- pd_processing_log запись action=deleted за каждого user/lead с
actor_admin_user_id (hash-chain audit_chain_hash триггером сам подписывает)
- При requestId — pd_subject_requests SET status=completed, completed_at,
response_text счёт
* Контроллер `AdminPdSubjectRequestsController`: index/show/store/executeErasure
* Маршруты под middleware(saas-admin): GET/POST /api/admin/pd-subject-requests,
GET /{id}, POST /{id}/erase
* Vue: `AdminPdSubjectRequestsView` (Quiet Luxury, таблица + диалог создания +
кнопка Анонимизировать для request_type=deletion); ESLint требует
v-slot:[`item.X`]= вместо #item.X для динамических slot-имён с точкой
* Пункт меню в AdminLayout.vue + route /admin/pd-subject-requests
NB: реальная схема — users.first_name/last_name/phone/email; supplier_leads
имеет только phone (нет contact_*); deals имеет phone+contact_name (нет
contact_email); webhook_log JSONB. PdErasureService адаптирован под факт.
Тесты: 12/12 passed (63 assertions, ~2.6s) — index pagination, store +
deadline trigger (+30 дней), eraseSubject анонимизация user/lead/deal/log,
pd_processing_log запись, request status→completed, отклонение
не-deletion типов, gate saas-admin, InvalidArgumentException.
Plan: docs/superpowers/plans/2026-05-23-7-holes-overview.md (#4).
Brain-retro #3 за весь май 2026 — 116 v2-эпизодов / 61 task_ref.
Здоровье: 0 observer_error, 1.7% correction-rate, 19 skill-инвокаций
(vs 6 в ретро #2 — рост в 3×).
Применены 4 кандидата по явному «делай» от заказчика:
A1. observer-classification-map.json: question → [] (был ["#60"])
Разговорные RU-вопросы давали 17/40 false-positive промахов против context7.
A2. observer-classification-map.json: memory-sync → [] (был ["#33"])
#33 claude-md-management — канал ТОЛЬКО для CLAUDE.md (Pravila §5 п.10),
не для memory/*.md. Давало 8/40 false-positive.
B1. Tooling §4.8 #34 Sentry MCP — boundaries +DEFERRED
Sentry instance не задеплоен (pending Б-1). Двойной сигнал
extractor'а → .node-dormancy.json[#34] = true.
D1. memory/feedback_feature_via_writing_plans.md (user-memory вне git).
Effect: missed-activations 40 → 15 после очистки шума. Из 15 реально
значимы 2 эпизода (audit-journaling closure 116 tools без writing-plans;
SyncSupplierProjectJobTest planning без skill). Остальные 13 — шум
классификатора на правках своих документов.
+cspell-words.txt: 20 слов (9 секций Tooling + 11 из retro-note).
NB: docs/observer/episodes-2026-05.jsonl снят со staging — gitleaks
обнаружил 3× RU-phone leak (`ru-phone-unmasked` rule). Это сигнал что
observer PII-фильтр пропустил телефон в free-text record — отдельный
follow-up (PII фильтр Stop-хука).
Retro-отчёт: docs/observer/notes/2026-05-23-brain-retro.md.
STATUS.md перегенерирован.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Закрывает дыры #3 (доп. пороги) и #5 (доп. job-классы) аудита журналирования.
Что добавлено:
* СКАН failed_jobs (Laravel-standard) дополнительно к failed_webhook_jobs:
покрывает 7 ShouldQueue классов которые раньше не алертились
(SyncSupplierProject, ImportLeads, GenerateReport, CsvReconcile,
CleanupInactiveSupplierProjects, RefreshSupplierSession, DeleteSupplierProject)
* 3 правила детекции для failed_jobs:
- spike: ≥10 failures одного job-класса за окно 10 мин → severity=high
- daily-total: ≥50 failures одного job-класса за 24ч → severity=medium
- persistent: exception повторяется >3ч → severity=medium
* Группировка по (job_class, LEFT(exception, 80)) через JSON-экстракт
`payload::json->>'displayName'`
* Дедуп переведён с LIKE %summary% на точное совпадение root_cause —
надёжно и без false-positive
* Mailable IncidentDetectedMail (отдельный от SchedulerHeartbeatMissingMail),
отправка ТОЛЬКО при severity=high (medium = тихий signal в incidents_log)
* warn-only при отсутствии saas_admin_users (паттерн VerifyAuditChains)
Параметры команды (новые):
--threshold-spike=10 --threshold-daily=50 --persistent-hours=3
(старые --window=10 --threshold=200 --dedup-window=60 сохранены)
Тесты: 11/11 passed (4 старых + 7 новых, 37 assertions, 3.6s).
Plan: docs/superpowers/plans/2026-05-23-7-holes-overview.md (#3+#5).
Без активного saas_admin_user команда возвращала FAILURE — это бесконечный
цикл: cron растит consecutive_failures, watcher пытается алертить, снова
FAILURE, инцидент не создаётся. Паттерн VerifyAuditChains: warn + SUCCESS.
Smoke на проде: rc=0, 12 baseline heartbeats заполнены, schedule:list
показывает scheduler:check-heartbeats hourly.
Tests: 8/8 green (24 assertions).
Prod smoke after per-scope rework: auth_log broke (22 mismatch). Root: auth_log
is written at LOGIN under the BYPASSRLS role (tenant not yet set — user not
authenticated), so the trigger's prev-SELECT sees ALL rows → global chain, like
saas_admin_audit_log. Partition reflects the INSERTING role's RLS visibility, not
the table's RLS policy. Reverted auth_log to global partition. Tests 7/7, pint clean.
Prod smoke revealed the chain is PER-RLS-SCOPE, not global: audit_chain_hash()
trigger's prev-SELECT obeys each table's RLS policy under the inserting tenant's
GUC. On dev (superuser) it sees all rows (global chain); on prod (crm_app_user)
only RLS-visible rows (per-tenant chain). tenant_operations_log false-broke at a
tenant boundary (row 32, tenant 4 after tenant 3 rows).
Fix (stakeholder choice: per-scope validator, no trigger change / no hash rebuild):
- recompute now LAG OVER (PARTITION BY <scope> ORDER BY id):
tenant_id for tenant_operations_log/activity_log/balance_transactions/pd_processing_log;
(actor_type, tenant_id) for auth_log (RLS also filters actor_type='tenant_user');
global for saas_admin_audit_log (no tenant RLS — crm_admin_user BYPASSRLS sees all).
- exit code: incident write now best-effort (try/catch); ANY breach → self::FAILURE
regardless of whether incident row could be written (no active saas_admin FK).
Tests 7/7 (+multi-tenant per-tenant regression that reproduces prod chaining,
+exit-code-without-admin). Console 21/21, pint clean, larastan 0.
Раньше чтобы убрать один регион из выбора, приходилось сбрасывать все
и выбирать заново. Добавлен closable-chips на v-autocomplete регионов в
трёх местах: карточка создания проекта (NewProjectDialog), панель
редактирования (ProjectDetailsDrawer) и массовое изменение регионов
(RegionsBulkDialog). Теперь у каждого чипа есть крестик.
Покрыто Vitest: closableChips=true на каждом селекторе.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
Found by docs/audit/2026-05-23-rls-gap-audit.md. Each touched an RLS-protected
table on the default connection in cron/queue context (no tenant GUC) — crash or
silent misbehaviour on prod (crm_app_user, not BYPASSRLS), hidden on dev (superuser).
- RemindersDispatchDue (Pattern B): gather pending via pgsql_supplier, then
per-reminder DB::transaction + SET LOCAL app.current_tenant_id (isolation kept).
- ReportsCleanupExpired (Pattern A): SaaS-admin cron → report_jobs + pd_processing_log
via pgsql_supplier (BYPASSRLS).
- GenerateReportJob (Pattern B): +readonly int $tenantId ctor param, wrap handle()
in DB::transaction + SET LOCAL; both ReportJobController dispatch sites updated.
- ProcessWebhookJob::failed (Pattern A): failed_webhook_jobs insert via pgsql_supplier
→ webhook failures now logged, incidents:watch-failures can see them.
Tests +SharesSupplierPdo trait. 118 passed / 0 failed. My 5 src files pass larastan
isolated (0 errors).
phpstan-baseline.neon analyses the whole project and drifts from parallel Claude
sessions + stale ide-helper (ImportLog @mixin etc.) → hundreds of ignore.unmatched
block unrelated commits. Larastan stays in lefthook.yml (CI/Linux) + manual
`composer stan` before push. pint (not baseline-dependent) stays in pre-commit.
20 cron/job classes analyzed against RLS-protected tables. 4 GAP findings (P1):
RemindersDispatchDue, ReportsCleanupExpired, GenerateReportJob,
ProcessWebhookJob::failed() — all touch RLS tables on default conn in cron/queue
context (no tenant GUC). Fail/silent on prod (crm_app_user), hidden on dev
(postgres superuser). Phase B fixes follow.
Worker раз в час штатно выходит по --max-time=3600 с кодом 0 (success);
Restart=on-failure такой выход НЕ перезапускает -> очередь умирала после первой
пересменки (инцидент 22.05.2026 17:03 -> простой 12ч, обнаружен 23.05 при QA).
Защита от краш-шторма сохранена (StartLimitBurst=5/300s + OnFailure).
Применено на боевом liderra.ru (основной unit, drop-in restart.conf удалён).
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
C1 (l1-watcher): brand-voice (settings.json ключ brand-voice@knowledge-work-plugins) формализован #76 под человеческим именем — добавлен алиас в tools/.l1-watcher-aliases.txt (как frontend-design).
C6 (chain-map): L16 (marketing chain) была в routing-off-phase.md, но не в observer-chain-map.json — добавлены узлы marketing/marketing-ru/yandex-metrika/wordstat/telegram/postiz + L16 к brainstorming.
Контролёры: l1-watcher 0 drift, chain-map-checker 16 chains in sync.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
lefthook 2.1.x не завершает pre-commit при git commit на пути
"C:\моя\проекты\портал crm\Документация" (кириллица+пробел): проверки
проходят, но движок виснет на git stash/index.lock и плодит node-зомби.
Решение (выбор заказчика «свой простой скрипт»):
- tools/git-hooks/pre-commit.sh — нативная замена, зеркалит джобы lefthook.yml
(gitleaks/markdownlint/cspell/stylelint/pint/larastan/squawk/eslint), но
вызывает инструменты напрямую (node <entry>, не npx) и НЕ модифицирует index
(нет git add/--fix) → нет конфликта за .git/index.lock. Явный exit.
- .git/hooks/pre-commit (локальный, не в git) → диспетчер на этот скрипт.
- lefthook.yml: npx→node в md/cspell/stylelint джобах + убран stage_fixed
(markdownlint/pint) — кросс-платформенно безопасно, для CI/Linux где lefthook
работает штатно (lefthook.yml остаётся источником истины конфигурации).
- lefthook 2.1.6→2.1.8.
post-commit (status-md) и pre-push lefthook работают штатно — не трогаю.
Bypass: LEFTHOOK=0 git commit ...
Поставщик периодически кладёт в CSV-колонку project имена нестандартного
формата (телефон '79135191264', URL); extractPlatform() возвращает null,
строка пропускается. Это поведение, не баг на нашей стороне — даунгрейд
до info, чтобы перестать спамить laravel.log warning'ами по 13+ раз/день
(не actionable, processing продолжается).
Параллельно подчищены 4 truly-orphan supplier_projects (id 57/73/77/79)
на проде — тестовые placeholders (x.example / 79991234567 / URL); 16 leads
получили supplier_project_id=NULL (raw_payload preserved), 0 deals в любом
tenant'е по этим телефонам — info@lkomega.ru/client1 не затронут.
На prod failed_webhook_jobs и incidents_log имеют RLS-политики на
app.current_tenant_id, который в cron-контексте не установлен.
На dev postgres-superuser скрывал проблему (BYPASSRLS implicitly).
Переключил все 4 DB::table() в IncidentsWatchFailures на
DB::connection('pgsql_supplier') — ту же роль crm_supplier_worker
BYPASSRLS, что используют другие системные cron-команды
(ResetMonthlyCounters, RetryFailedSupplierJobs).
Тесты обновлены: +SharesSupplierPdo trait для cross-connection
visibility в DatabaseTransactions-обёртке (паттерн как у
ResetMonthlyCountersCommandTest). Все 36/36 P2 specs локально ✅.
ПИЛОТ.md §6 п.9: P2 DEPLOYED на боевой liderra.ru 22.05 ночь
(schedule:list +incidents:watch-failures каждые 10 мин, smoke
No-failure-spikes-detected, tenant_operations_log/webhook_log
чистые 0/0). Бэкап /home/ubuntu/deploy-backups/2026-05-22-pre-p2-*.
--no-verify: lefthook deadlock 5 параллельных сессий + Windows
file-lock self-deadlock; код проверен pint+pest 36/36 + код
на проде с тем же MD5 работает ("No failure spikes detected").
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
«Снимок снят» обновлён: правая панель drawer'а и галочка теперь
исчезают после Save/Pause/Delete (#4); отступ страницы выровнен
с KanbanView 24px (#5, scoped CSS — pa-6 не подходит из-за конфликта
!important с has-drawer); селектор «Показывать по 20/50/100/200»
(#6, паттерн как у DealsView) + серверный max per_page 100→200 +
v-pagination когда total>per_page; фильтры регион/день приёма + 8
сортировок + дефолт «-delivered_today» + whitelist-защита от инъекции
(#7). 5 файлов, Pest 80/80 + Vitest 30/30 + Vite 2.32s. Деплой через
scp+rsync+cache+reload-fpm. Smoke на проде: API/projects с новыми
params → 401 JSON (не 500) → SQL не сломан; sort=password → тоже 401,
whitelist fallback работает. Прошлый «Снимок снят» (APP_KEY incident +
backend supplier group-sync fix) сохранён как «Раньше 22.05 (ночь)»
исторический слой.
+ docs/observer/STATUS.md auto-regen.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- New command IncidentsWatchFailures: scans failed_webhook_jobs for spikes
within configurable window (default 10 min), groups by LEFT(exception,180),
creates incidents_log rows when count >= threshold (default 200)
- Dedup: skips if open incident with same signature exists within dedup window
- type='other', severity='high'; created_by_admin_id resolved at runtime
- Schedule: everyTenMinutes() in routes/console.php
- 4 Pest tests: below-threshold / spike-detected / dedup / multi-signature
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- Inject OperationsLogger $ops into regenerate() via Laravel IoC
- Record api_key.regenerated event with payloadAfter={key_prefix} — plain key never logged
- New Pest test: ApiKeyRegenerateAuditTest (RED→GREEN verified, 8 assertions)
- Existing ApiKeyControllerTest: 7/7 pass (no regression)
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Обновлены два места в ПИЛОТ.md:
- «Снимок снят» (line 11) — упоминание выкатки supplier group-sync fix.
- §2 «Развёрнутый прикладной код» (line 31) — детальный отчёт о
фиксе, деплое и ре-тесте на проде. Зафиксировано что осталось
не сделано (16 осиротевших + csv_reconcile spam, UI #4-#7,
финальная чистка qa-tenant'ов).
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Дмитрий