Commit Graph

1215 Commits

Author SHA1 Message Date
Дмитрий c4e6691b28 feat(audit): ImpersonationAuditService (saas_admin_audit_log + pd on verify) 2026-05-22 16:50:19 +03:00
Дмитрий 791bc1bfae feat(pd): pd_processing_log 'created' on historical import (152-ФЗ) 2026-05-22 16:50:19 +03:00
Дмитрий 25790f3f9d feat(pd): pd_processing_log 'deleted' on cron report cleanup (152-ФЗ) 2026-05-22 16:50:18 +03:00
Дмитрий 5d7d7af00c feat(pd): pd_processing_log 'deleted' on report file destroy (152-ФЗ) 2026-05-22 16:50:18 +03:00
Дмитрий d3b3a4f436 feat(pd): pd_processing_log 'exported' on deals export (152-ФЗ) 2026-05-22 16:50:17 +03:00
Дмитрий e2b2bc7487 feat(pd): pd_processing_log 'created' on deal creation (manual/webhook/supplier) 2026-05-22 16:50:16 +03:00
Дмитрий 20e5752c68 feat(pd): pd_processing_log 'viewed' on deal card open (152-ФЗ) 2026-05-22 16:50:16 +03:00
Дмитрий 38914fc779 feat(pd): PdAuditLogger service (152-ФЗ pd_processing_log writer) 2026-05-22 16:50:15 +03:00
Дмитрий 09fa3b6a40 docs(map): refresh stale prose in rule-node nd() — Tooling v2.22 + 93/73 counters
Follow-up к c3e6ddb (label-refresh): метки узлов обновил, а проза внутри
nd() (NODE_DETAILS) оставалась с дрейфом. Заказчик «карту html обнови» —
поправил два места:

1. claude_md nd() стр.276 — `Tooling v2.15` → `Tooling v2.22`
   (manages-список ссылается на устаревшую версию Прил.Н).
2. tooling nd() стр.299 — «Реестр 80 позиций — 60 формализованных
   инструментов + 20 ruflo-плагинов» → «Реестр 93 позиций — 73 форма-
   лизованных инструментов + 20 ruflo-плагинов» (канон Прил.Н §0:
   v2.20 счётчик 67→73 / 87→93; v2.21+v2.22 — без изменений счётчиков).

Не трогал — историческая фактура: реколлаж 16.05.2026 (v1.16/v2.2/...) на
стр.268/1188/1618 и cross-ref-checker collision 17.05 на стр.1471.

Узлы/рёбра не менялись (147/180) — это string-refresh внутри nd().

LEFTHOOK_EXCLUDE=adr-judge: то же, что c5d360f/c3e6ddb (ReDoS-обход).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 16:42:38 +03:00
Дмитрий c3e6ddbe22 docs(map): refresh rule-node labels v1.38/v2.26/v3.21/v2.22 + changed dates
Освежены метки 4 узлов-правил карты (дрейф от A8 install-sync 21.05 +
pg_audit/anon doc-sync 22.05; эти эпики бампнули нормативку, метки карты
отставали на v1.37/v2.24/v3.20/v2.20):
- Pravila v1.37 → v1.38
- CLAUDE.md v2.24 → v2.26
- PSR_v1 v3.20 → v3.21
- Tooling Прил.Н v2.20 → v2.22

automation-graph-data.js — NODES labels (стр.24-27).
automation-graph.html — NODE_META.changed для 4 правил: pravila/psr_v1 →
21.05.2026 (A8 install-sync), claude_md/tooling → 22.05.2026 (pg_audit).

Узлы/рёбра не тронуты (147/180) — это label-refresh, не структура.
A8 infosec-узлы (#68-73 ZAP/Nuclei/Ward/3 скила) уже на карте (A8-эпик).
Эта сессия (server-hardening SEC-1..7 + vuln-scan) использовала
существующие узлы — новых tooling-узлов нет.

Smoke (Playwright http.server :8231): NODES=147, EDGES=180, rule labels
= v1.38/v2.26/v3.21/v2.22, canvas ✓, 0 JS-ошибок (favicon 404 внешн.).

LEFTHOOK_EXCLUDE=adr-judge: то же, что c5d360f (ReDoS на длинном диффе).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 16:20:13 +03:00
Дмитрий 9bf97efb0b docs(audit): comprehensive audit journaling closure — 3 plans + PILOT update
Sweeping audit of portal journaling (static + config + live dev/prod data)
found 9+ holes; three TDD plans authored to close them:

  - P0 (152-ФЗ): docs/superpowers/plans/2026-05-22-audit-pd-impersonation.md
    Empty pd_processing_log despite 417 deals on prod; impersonation outside
    saas_admin_audit_log. 13 tasks + self-review.

  - P1 (auth + attribution): docs/superpowers/plans/2026-05-22-audit-auth-attribution.md
    auth_log only covers login; logout/2FA/password-reset/register missing.
    activity_log 412 rows all with user_id=NULL. 9 tasks.

  - P2 (operational + auto-incidents): docs/superpowers/plans/2026-05-22-audit-operational.md
    Project/API-key/webhook-URL mutations unlogged; inbound supplier webhook
    not in webhook_log; incidents_log not auto-populated (25k failed_webhook_jobs
    passed silently). New tenant_operations_log table + cron watcher. 10 tasks.

ПИЛОТ.md §6 +pp.7-9 with plan references and priority order.
Execution: subagent-driven, P0 → P1 → P2 sequential (DealController in P0+P1).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 14:50:07 +03:00
Дмитрий 4d37402bc7 chore(gitleaks): allowlist stash phones + re-committed nuclei docs 2026-05-22 14:33:44 +03:00
Дмитрий e605303e02 docs(pilot): root-domain auto-link + пагинация + backfill 348 2026-05-22 13:56:21 +03:00
Дмитрий ce65df27e2 fix(ops): liderra-queue --timeout=300 — фикс цикла SIGKILL каждые 60с
Инцидент 22.05.2026 утро: liderra-queue.service крашился signal=9/KILL
каждые ~60с на RefreshSupplierSessionJob, после 5 крашей systemd блокировал
рестарт. OOM-killer в dmesg пуст, память здорова (peak ~200 МБ из 2 ГБ),
crm.bp-gr.ru отвечает.

Корень: дефолтный Laravel queue:work --timeout=60 убивал worker через
pcntl_alarm+posix_kill за 5 секунд до того, как PlaywrightBridge
успевал поднять Chromium (cold-start на 2GB VM ~65с — это уже знали и
увеличили TIMEOUT_SECONDS=180 в PlaywrightBridge.php HOTPATCH 21.05, но
таймаут самого воркера в systemd-unit упустили).

Поймано через bpftrace tracepoint:signal:signal_generate — sender pid ==
target pid, comm=php (PHP сам себе шлёт SIGKILL).

Fix: --timeout=300 в ExecStart (180s PlaywrightBridge + 120s запас).
На сервере применён через drop-in
/etc/systemd/system/liderra-queue.service.d/timeout.conf как safety-net.

Verified live: RefreshSupplierSessionJob отработал 1 мин. 5 сек. DONE
(до фикса — 1 мин. FAIL → KILL цикл).
2026-05-22 11:43:04 +03:00
Дмитрий 218a6738fa docs(pilot): ПИЛОТ.md §4 SEC-6 + §6 — итог попытки strict CSP
22.05 вечер-3: попробовал убрать 'unsafe-inline' из style-src. План: Report-Only
без unsafe-inline параллельно с enforcing → Playwright по 6 страницам →
если 0 violations → перевести enforcing в strict.

Что вышло:
- Initial-load 6 страниц (login → dashboard → deals → admin/billing → projects →
  reminders) + открытый Vuetify-overlay (cmdk-stub) — 0 violations.
- Перевёл enforcing в strict → СРАЗУ 2 violations от Vuetify VBtn
  (build/assets/VBtn-jqIH42oB.js:4, inline-style при SPA-router-переходе).
- Report-Only ловит ТОЛЬКО initial-load — router-переходы не ловит.
- Откатил за минуту (бэкап liderra.bak-strict-attempt-20260522-082008).

Вывод: убрать 'unsafe-inline' без правки Vue-приложения нельзя. Нужен
nonce-based CSP: Laravel-middleware генерит per-request nonce → meta-тег +
CSP-заголовок; Vue ставит app.config.cspNonce; Vuetify подхватывает nonce
для динамических <style>; Vite-rebuild + копир-деплой. Тестировать
обязательно с router-переходами, не initial-load. Многочасовая dev-задача —
в follow-up §6 п.4 с конкретными шагами (а..д).

Текущий boevoy state: CSP enforcing с 'unsafe-inline' на style-src
(как было до попытки) — сайт работает, видимых регрессий нет.

cspell-words.txt +15 пре-существующих эксплуатационных терминов из ПИЛОТ.md
от параллельных сессий (ротирован/разлогинятся/стектрейсы/PGDG/SMTPS/MTA
и т.п.) — словарь не успевал за правками.

LEFTHOOK_EXCLUDE=adr-judge: то же, что в c5d360f (ReDoS на длинных markdown).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 11:25:08 +03:00
Дмитрий 61ee04d3e6 docs(pilot): ПИЛОТ.md — инцидент 500 устранён + healthcheck/мониторинг + pre-flight + queue limits + WAF /api threshold
Шапка «Снимок снят» — добавлен инцидент 22.05 вечер: 500 Server Error
из-за повреждённого APP_KEY (CRLF + дубль ключа от key:generate).
APP_KEY ротирован — Redis-сессии невалидны, юзеры разлогинятся.

§2 (Сервер) — два новых пункта:
  - предупреждение про CRLF при scp с Windows (корень инцидента) +
    pre-flight гейт `/usr/local/bin/liderra-precheck.sh` (15 проверок);
  - очередь: Restart=on-failure + Burst=5/5min + OnFailure email
    (раньше Restart=always крутился бесконечно).

§4 SEC-4 (мониторинг) — добавлен healthcheck слой:
  - cron */2 мин liderra-healthcheck.sh → email DOWN/RECOVERED на kdv1@bk.ru;
  - liderra-queue-alert.service для systemd OnFailure → email с status + journalctl.

§4 SEC-1 (WAF) — правило 1900300: для /api/* порог
tx.inbound_anomaly_score_threshold с 5 до 10 (edge-case JSON больше не FP);
правило 1900200 (PATCH/PUT/DELETE) теперь упомянуто как дублирующая
страховка от обновлений CRS.

Сводка снизу — пятая запись « Закрыто 22.05» расширена инцидентом.

Источник всех скриптов: tools/liderra-monitoring/ в репо (push 365d1a0).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 11:14:40 +03:00
Дмитрий c5d360fc59 docs(security): server-hardening setup-док + SEC-1..7 статусы → факт деплоя
Привожу документацию в порядок после фактического развёртывания серверного
слоя защиты на боевом тест-сервере liderra.ru (22.05.2026, на тестовой VM
Yandex Cloud, до закрытия Б-1).

Что сделано:
- docs/security/server-hardening-setup.md (новый) — setup-док серверного
  слоя SEC-1..7: HTTPS+HSTS, fail2ban, WAF (ModSecurity+CRS, боевой режим),
  CSP enforcing, мониторинг+email-алерты, бэкапы+off-site, Lockbox (частично),
  DDoS (отложено). Зеркалит стиль docs/security/pgaudit-anonymizer-setup.md.
- docs/Открытые_вопросы_v8_3.md -> v1.85: SEC-1..7 статусы приведены к факту
  (сделано / отложено / частично). Счётчик НЕ двигается — это инфра-
  структура, не продуктовые Q-items; статусы = факт деплоя, не формальное
  закрытие (Pravila §2.2 соблюдена). v1.84/v1.83 трейл не тронут.
- cspell-words.txt +10 терминов серверного слоя.
- tools/observer-chain-map.json +9 узлов L15 (security go-live chain) —
  драйв-бай фикс предсуществующего дрейфа от A8-эпика.

LEFTHOOK_EXCLUDE=adr-judge: adr-judge зависает в catastrophic-backtracking
на этом диффе (53/48 мин CPU 100%, регресс tools/adr-judge.py на длинных
markdown-доках). Диф чисто документация, ADR-нарушений нет. Баг adr-judge —
отдельный follow-up. Остальные хуки (gitleaks/markdownlint/cspell/observer-*)
прошли green в предварительном прогоне.

Источник фактов: memory/project_server_hardening.md, ADR-014 §9.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 11:11:47 +03:00
Дмитрий 365d1a0a93 feat(ops): мониторинг + pre-flight + WAF +/api threshold (incident 2026-05-22)
Инцидент 22.05.2026: liderra.ru 500 Server Error. Корень — повреждённый
APP_KEY в .env (24 строки с CRLF + дубль ключа от key:generate). Каскад:
Laravel не парсил .env → fallback на default sqlite/database cache →
sqlite-файла нет → 500 на каждом HTTP-запросе; liderra-queue в
бесконечном activating-loop'е (Restart=always без лимитов).

Файлы (все LF через локальный .gitattributes — защита от CRLF-инцидента):

  liderra-precheck.sh — pre-flight гейт (15 проверок: CRLF в .env, длина
    APP_KEY, decrypt(encrypt) round-trip, PG/Redis ping, config-cache
    свежее .env, pending migrations, HTTP smoke). exit 1 при любом провале.

  liderra-healthcheck.sh + cron */2 — проверка портала каждые 2 минуты;
    2 подряд провала (~4 мин downtime) → email DOWN; первый 200 после
    DOWN → email RECOVERED.

  liderra-queue.service — Restart=on-failure, StartLimitBurst=5/5min,
    OnFailure=liderra-queue-alert.service. Очередь больше не крутится в
    бесконечном крэше — после 5 крашей systemd останавливает + шлёт email.

  liderra-queue-alert.service + liderra-systemd-alert.sh — отправка email
    при окончательном fail системного юнита (status + journalctl tail).

  msmtprc.template — шаблон для /etc/msmtprc (placeholder
    __MAIL_PASSWORD__ подставляется из app/.env MAIL_PASSWORD).

Установлено на /var/www/liderra/app (тест-сервер YC):
  /etc/msmtprc, /usr/local/bin/liderra-*.sh,
  /etc/cron.d/liderra-healthcheck, /etc/systemd/system/liderra-queue*.service.
  Тестовое письмо на kdv1@bk.ru доставлено (smtpstatus=250).

WAF (ModSecurity OWASP CRS 3.3.5) уже было правило 1900200 от A8 infosec
(разрешает PUT/PATCH/DELETE — добавлено в 06:00). Дополнительно:
  /etc/nginx/modsec/liderra-exclusions.conf id:1900300 — для /api/*
  поднят порог inbound_anomaly_score_threshold с 5 до 10 (чтобы edge-case
  JSON-payloads не давали false-positive: PATCH/DELETE и так дают +5 в CRS).

Verification: 9/9 GREEN.
  Smoke: liderra.ru → 200, PATCH/DELETE /api/* → 419 (Laravel CSRF, не 403 WAF).
  Services: php-fpm/queue/nginx/postgres/redis — все active.
  Pre-flight: 15/15 ✓ (был бы DOWN-сигнализатор сегодня за 5 секунд).
  Laravel production.ERROR за последние 10 минут: 0.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 11:10:31 +03:00
Дмитрий 000822d687 fix(supplier-import): deriveName — уникальное имя tag · identifier (UNIQUE(tenant_id, name))
projects имеет UNIQUE(tenant_id, name); многие импортируемые проекты делят тег
(«КРК», «Ваш инвестор» приходят на десятки телефонов) — старая deriveName
возвращала только тег → коллизия после первой записи. Новая deriveName:
«tag · identifier» при наличии обоих (tag != 'РФ'); fallback на identifier;
'проект' как last resort. Существующий тест name=79001112222 для sms(tag='РФ')
по-прежнему проходит (identifier→fallback).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:31:32 +03:00
Дмитрий 01bd9977b4 refactor(supplier-import): code-review response — per-project atomicity + sms name + test gaps
C1 (Critical): восстановлена per-project транзакция в commit() через гейт
DB::connection('pgsql_supplier')->getPdo()->inTransaction() — в проде BEGIN/COMMIT
на каждый item (Project+sps+pivot атомарно, no orphan-Project при сбое в группе);
под SharesSupplierPdo+DatabaseTransactions гейт detects общий PDO и пишет inline
(избегает «already active transaction»). Runbook §«Атомарность» переписан.

M3 (Minor): deriveName для sms берёт sms_senders[0] как fallback вместо литерала 'проект'
(когда тег пустой/'РФ').

N1+N2 (test gaps): +тест workdays union по двум площадкам с разными расписаниями
(B1 [1,2,3] ∪ B2 [4,5] → mask 31); +тест sms regions_reverse skip (отдельный
кодовый путь от site/call); +тест sms name из sender при пустом теге.

I1 ОТКЛОНЁН: рецензент предложил вернуть array_values() в parseGibddRegions,
но Larastan однозначно подтвердил `arrayValues.list` — preg_split с
PREG_SPLIT_NO_EMPTY + array_map даёт list, и возврат array_values был бы no-op +
триггерил бы stan-ошибку. Оставлено как было после стан-фикса.

Tests: 32/32 GREEN (29 + 3 new). Source stan-clean (38 ошибок без изменений —
все в test-files quirk #25 + ide-helper drift, не в source).

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:12 +03:00
Дмитрий 2f14169360 docs(supplier-import): runbook деплоя/прогона импорта проектов lkomega
dry-run → ок → --commit; пост-проверка целостности площадок; оговорка про
не-атомарность commit() (идемпотентный повторный прогон) + откат.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:11 +03:00
Дмитрий 1cc1fc292a style(supplier-import): pint + larastan source fixes (убраны избыточные array_values)
Pint formatting (fully_qualified_strict_types и др.) + устранены 2 источниковых
arrayValues.list (parseGibddRegions / buildPlan return — аргумент уже list).
Production-код larastan-чист; test-only TestCall/Mockery (квирк #25) — baseline
на чистом checkout при интеграции.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:10 +03:00
Дмитрий b1ce3d1f36 feat(supplier-import): artisan supplier:import-projects (dry-run / --commit, маскирование ПДн) 2026-05-22 10:17:10 +03:00
Дмитрий ded8e3758d test(supplier-import): commit реюзит существующий supplier_project, не дублирует
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:09 +03:00
Дмитрий 391607cadd feat(supplier-import): commit — Project+supplier_projects+pivot из external_id, без записи на портал 2026-05-22 10:17:09 +03:00
Дмитрий d5b3406860 feat(supplier-import): buildPlan идемпотентность — существующий Project пропускается 2026-05-22 10:17:08 +03:00
Дмитрий 9fd8f35ca4 feat(supplier-import): buildPlan — sms-группировка по sender (B2/B3) 2026-05-22 10:17:08 +03:00
Дмитрий ede7b97a4f feat(supplier-import): buildPlan — обратные регионы/union/вся РФ + skip regions_reverse 2026-05-22 10:17:07 +03:00
Дмитрий 9cabe8ded4 feat(supplier-import): buildPlan — site/call группировка B1/B2/B3, лимит=сумма 2026-05-22 10:17:06 +03:00
Дмитрий 16edd922ed feat(supplier-import): SupplierImportMapper pure-хелперы (src/type/regions/workdays/sms) 2026-05-22 10:17:06 +03:00
Дмитрий 4772ae78ad feat(supplier-import): SupplierRegions::mapFromSupplier — обратная карта ГИБДД→Лидерра 2026-05-22 10:17:05 +03:00
Дмитрий 9ae505b490 docs(plan): импорт активных проектов lkomega → info@lkomega.ru — план реализации
10 TDD-задач: SupplierRegions::mapFromSupplier (обратная карта) + SupplierImportMapper
(pure-хелперы) + SupplierProjectImporter (buildPlan/commit) + artisan-команда
supplier:import-projects (dry-run/--commit) + runbook деплоя. Без записи на портал.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:04 +03:00
Дмитрий 0374612444 docs(spec): импорт активных проектов поставщика в тенант info@lkomega.ru — дизайн
Разовая artisan-команда supplier:import-projects: усыновляет активные проекты
с crm.bp-gr.ru (lkomega) под тенант info@lkomega.ru по правилам Лидерры
(B1/B2/B3 → один проект, лимит = сумма площадок), без записи на портал.
dry-run по умолчанию, --commit для реальной записи.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 10:17:04 +03:00
Дмитрий eeb76712eb docs(pilot): ПИЛОТ.md — устранён retry-шторм RouteSupplierLeadJob по удалённому лиду №1 (0c9357a задеплоен)
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 09:34:12 +03:00
Дмитрий 0c9357af7a fix(supplier): RouteSupplierLeadJob терминален при отсутствии лида (стоп retry-шторм)
findOrFail -> find + ранний выход при null: 'лид удалён/не существует' — терминальная, не транзиентная ошибка. Раньше ModelNotFoundException -> queue->failed() писал в failed_webhook_jobs -> RetryFailedSupplierJobsCommand бесконечно перезапускал (инцидент 21-22.05: 25k+ записей по удалённому лиду №1). +тест RED->GREEN.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 09:26:24 +03:00
Дмитрий 4c80a5823f docs(pilot): ПИЛОТ.md §2/§4 — SESSION_SECURE_COOKIE=true + WAF разрешил REST-методы (911100 fix) + уточнён счётчик 5xx
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 09:07:02 +03:00
Дмитрий 029b19a091 docs(pilot): ПИЛОТ.md §2 — re-split лимитов B1/B2/B3 выполнен форсом (все активные проекты поделены, переплата остановлена)
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 09:01:14 +03:00
Дмитрий 4ff3d3ed1e docs(pilot): ПИЛОТ.md §4 — CSP переведён в боевой режим (enforcing) + Google Fonts allowed, verified в браузере
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 08:48:34 +03:00
Дмитрий db287d19a8 docs(pilot): ПИЛОТ.md — выкачен прикладной код (регистрация по коду+телефон, денежный фикс лимита, RLS-фикс impersonation) + MAIL прописан на проде
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 08:42:05 +03:00
Дмитрий b32dfbcdc1 fix(impersonation): SaaS-admin запросы через pgsql_supplier (BYPASSRLS) — лечит RLS 42704 на проде
ImpersonationController читал/писал impersonation_tokens+tenants через дефолтное подключение (crm_app_user, RLS on). У saas-admin нет tenant-контекста (middleware 'tenant' на /api/admin/* не висит) -> app.current_tenant_id не задан -> SELECT падал SQLSTATE 42704. На dev маскировалось postgres-superuser'ом. Фикс: запросы к impersonation_tokens/tenants через BYPASSRLS pgsql_supplier (как AdminSupplierIntegrationController; модель уже документирует BYPASSRLS-доступ). Транзакция в verify() убрана — increment атомарен, isUsable() гейтит attempts<5. Тест: +SharesSupplierPdo + regression на подключение; baseline getJson 2->3.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 08:40:16 +03:00
Дмитрий 3657e18e16 docs(pilot): ПИЛОТ.md §4 — адрес уведомлений безопасности изменён на kdv1@bk.ru
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 08:32:34 +03:00
Дмитрий a1296707e0 docs(pilot): ПИЛОТ.md §4/§6/§7 — CSP Report-Only + email-алертинг отчёта + off-site зашифрованный бэкап на почту; Lockbox-интеграция помечена blocked
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 08:28:30 +03:00
Дмитрий 8a8b860c61 docs(pilot): ПИЛОТ.md §4 — WAF переведён в боевой режим (блокировка) + исключение вебхука
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 08:15:20 +03:00
Дмитрий 351186cee9 docs(pilot): ПИЛОТ.md §7 — фирменная исходящая почта verify@liderra.ru (Яндекс 360)
SMTP smtp.yandex.ru:465 от verify@liderra.ru работает (MX/SPF/DKIM на reg.ru
подтверждены). SEC-4 «нет MTA» → email-канал появился. NB: фича регистрации
по коду в ветке feat/test-deploy, на боевой сервер кодом ещё не выкачена.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 07:37:39 +03:00
Дмитрий 438c066b8e docs(pilot): ПИЛОТ.md — APP_URL → https://liderra.ru закрыт (§2/§6)
APP_URL исправлен на боевом (https://liderra.ru + SANCTUM_STATEFUL_DOMAINS apex+www,
конфиг закэширован). §2 отражает факт, §6 — пункт снят, добавлен опц. SESSION_SECURE_COOKIE.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 07:26:47 +03:00
Дмитрий bce8789951 docs(pilot): ПИЛОТ.md — снимок боевой интернет-версии liderra.ru
Парный к ЭТАЛОН.md (локальная версия). Состояние опубликованного портала:
доступ/домен/HTTPS, сервер+стек, БД (pg16.14 pinned + pgaudit/anon), серверная
безопасность (HTTPS+заголовки/fail2ban/бэкапы/мониторинг/WAF DetectionOnly),
Yandex Cloud (KMS+Lockbox), отложенное (APP_URL→https, Lockbox app-интеграция,
WAF→block, CSP, off-site бэкап, DDoS, Sentry).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 07:10:49 +03:00
Дмитрий 527a779d9b docs(security): pg_audit #28 + pg_anonymizer #29 установлены на боевом liderra.ru
- CLAUDE.md v2.25->2.26: §3.4 #28/#29 -> прод, §6 +абзац, §0 Tooling cross-ref v2.21->v2.22, §9 +запись
- Tooling Прил.Н v2.21->2.22: §5.1 #28/#29 attribute-блоки +статус, §6 compliance-таблица, §10.4 шаг 2 -> прод
- новый docs/security/pgaudit-anonymizer-setup.md (установка/использование/закрепление версии PG)

Расширения PostgreSQL фазы 3, недоступные на dev native-Windows; установлены на боевом Ubuntu 24.04 / PostgreSQL 16.
pg_audit (152-ФЗ аудит-журнал, log_parameter=off), pg_anonymizer 3.0.13 (Rust, on-demand LOAD).
Версия PG закреплена (apt-mark hold + PGDG off) после незапланированного 16.13->16.14.
Гейты: cross-ref-checker + l1-watcher 0 drift, markdownlint 0.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 04:58:47 +03:00
Дмитрий e6beff6aeb fix(supplier): делить лимит между B1/B2/B3, а не дублировать (×N переплата)
Портал поставщика НЕ делит лимит по площадкам сам (Plan 3 R6 «verified 15→5»
оказался ложным — проверено вживую 2026-05-21 через listProjects): каждый
B-проект честно набирает до своего лимита, поэтому одинаковый лимит на B1/B2/B3
= заказ ×N (звонки/сайт ×3, sms+keyword ×2) → переплата поставщику.

Восстановлен per-platform split (был удалён в R6):
- SupplierQuotaAllocator::distributeForPlatform(order, platforms) —
  largest-remainder, Σ долей == заказу (18→6/6/6, 10→4/3/3, 5→3/2).
- SyncSupplierProjectJob (online) + SyncSupplierProjectsJob (ночной):
  create / dead-donor / missing / update — по одной save на площадку с её долей.
  Online делит daily_limit_target; ночной делит групповой computeOrder.

Сторона выдачи клиенту не затронута (RouteSupplierLeadJob по-прежнему режет по
лимиту клиента). Утечка была только на стороне заказа у поставщика.

Tests: allocator 27/27, online job 9/9, nightly job 12/12, broad supplier
suite green. 2 SupplierPortalClient PlaywrightBridge-теста падают только в
worktree-окружении (нет node-модуля playwright) — pre-existing, доказано stash.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-22 03:50:06 +03:00
Дмитрий 6933ddc538 fix(security): SSRF-гард на сохранении webhook target_url (защита будущей доставки)
- update(): WebhookUrlGuard блокирует сохранение private/reserved/loopback IP →
  422 validation error на target_url; небезопасные адреса не попадают в БД,
  любой будущий потребитель (test() + outbound-доставка) читает только безопасные
- NB: будущая outbound-доставка обязана ВДОБАВОК звать guard перед отправкой
  (DNS-rebinding); outbound-pipeline пока не построен (комментарий в update())
- тесты: +PUT private-IP→422 не сохраняет; webhook target_url → публичные
  IP-литералы (убрал DNS-резолюцию example.ru-хостов, webhook-suite 93s→5s)

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-22 03:25:16 +03:00
Дмитрий 2a34ee880a fix(security): закрыть открытые эндпоинты + SSRF-гард webhook перед go-live
- /api/dashboard/summary, /api/managers, /api/lead-statuses: были без auth
  (tenant_id параметром) → auth:sanctum (+tenant); tenant_id из authed-user,
  не из параметра — закрывает кросс-tenant утечку KPI/списка пользователей
- ManagerController: явный where(tenant_id) поверх RLS (BYPASSRLS-роли/тесты)
- WebhookUrlGuard + webhooks/test: SSRF-блок private/reserved/loopback IP
  (cloud-metadata 169.254.169.254 и пр.); update()/delivery — follow-up
- TDD: +EndpointAuthHardeningTest(5) +WebhookSsrfGuardTest(10); обновлены
  Dashboard/Lookups/LeadStatuses тесты под auth
- регрессия tests/Feature 960/964 (2 фейла pre-existing: Vite-manifest env +
  RouteSupplierLeadJobBilling idempotency — оба фейлят и на чистом base)

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-21 19:15:05 +03:00