fix(supplier): делить лимит между B1/B2/B3, а не дублировать (×N переплата)

Портал поставщика НЕ делит лимит по площадкам сам (Plan 3 R6 «verified 15→5»
оказался ложным — проверено вживую 2026-05-21 через listProjects): каждый
B-проект честно набирает до своего лимита, поэтому одинаковый лимит на B1/B2/B3
= заказ ×N (звонки/сайт ×3, sms+keyword ×2) → переплата поставщику.

Восстановлен per-platform split (был удалён в R6):
- SupplierQuotaAllocator::distributeForPlatform(order, platforms) —
  largest-remainder, Σ долей == заказу (18→6/6/6, 10→4/3/3, 5→3/2).
- SyncSupplierProjectJob (online) + SyncSupplierProjectsJob (ночной):
  create / dead-donor / missing / update — по одной save на площадку с её долей.
  Online делит daily_limit_target; ночной делит групповой computeOrder.

Сторона выдачи клиенту не затронута (RouteSupplierLeadJob по-прежнему режет по
лимиту клиента). Утечка была только на стороне заказа у поставщика.

Tests: allocator 27/27, online job 9/9, nightly job 12/12, broad supplier
suite green. 2 SupplierPortalClient PlaywrightBridge-теста падают только в
worktree-окружении (нет node-модуля playwright) — pre-existing, доказано stash.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

.claude/skills/brain-retro/SKILL.md

@@ -38,5 +38,7 @@ See `references/aggregation-template.md`.
 
 ## Behavioral rule reminders
 
-- **«Не использован ≠ проблема»** — when reporting node usage counts, NEVER mark unused nodes as «zombie» / «removal candidate». Cite `memory/feedback_brain_unused_tools_not_problem.md`.
+- **«Не использован ≠ проблема» (условное, Pravila §16.4 v1.36)** — when reporting node usage counts, distinguish two cases:
+  1. **Unused + no profile task in episodes** → capability-readiness, do NOT flag.
+  2. **Unused + profile task present (missed activation)** → mandatory section in the report. Cite `tools/observer-classification-map.json` for the classification→node mapping and `tools/.node-dormancy.json` for DEFERRED exclusions. NEVER mark unused-by-design nodes as «zombie» / «removal candidate».
 - **No auto-edit** — every regulatory suggestion is a candidate, not an action.

.claude/skills/brain-retro/references/aggregation-template.md

@@ -55,6 +55,32 @@ For each factor below, render a table: factor value × outcome counts
 
 (one table each — same columns)
 
+## Missed Activations (Pravila §16.4 v1.36)
+
+Surface candidates where a profile-classified task ran with `node_chosen === 'direct'` and at least one non-dormant recommended node was available. The analyzer returns `missedActivations: { totalMissed, byNode, byClassification }` — render the two breakdowns below.
+
+**Source:** `analyze(episodes, { classificationMap, dormancy }).missedActivations`.
+
+### By node
+
+| Node | Episodes missed | Classifications hit |
+|---|---|---|
+| #NN | N | refactor (a), bugfix (b) |
+
+### By classification
+
+| Classification | Missed episodes | Top recommended nodes (non-dormant) |
+|---|---|---|
+| refactor | N | #11, #12, #43 |
+
+**Interpretation guide:**
+
+- High count on one node → router-miss pattern. Suggest updating `tools/observer-classification-map.json` or a workflow nudge.
+- Spread across many nodes with classification leaning to `other` → the classification dictionary may need refinement (separate concern, not a missed activation).
+- All zero → either no profile work this period, or the router is operating cleanly.
+
+**NOT to be auto-applied:** these are candidates for human review in retro, not commits or hook blocks.
+
 ## Episodes → tasks (from analyzer `tasks`)
 
 | task_ref | episodes | turns that are rework |
@@ -113,4 +139,4 @@ problem** per `memory/feedback_brain_unused_tools_not_problem`.
 ## Informational metrics (NOT alerts)
 
 - Nodes used at least once this period: K / 60+
-- Nodes never used since beginning of observer logs: L / 60+ — **not a problem** per [feedback_brain_unused_tools_not_problem](../../../memory/feedback_brain_unused_tools_not_problem.md)
+- Nodes never used since beginning of observer logs: L / 67 — **not a problem if there was no profile task** per Pravila §16.4 v1.36 and [feedback_brain_unused_tools_not_problem](../../../memory/feedback_brain_unused_tools_not_problem.md). See `## Missed Activations` above for profile-task-present cases.

.claude/skills/pdn-152fz-audit/SKILL.md

@@ -0,0 +1,66 @@
+---
+name: pdn-152fz-audit
+description: Аудит защиты персональных данных Лидерры и соответствие 152-ФЗ. Режим 1 — техника (где лежат ПДн в схеме/коде, RLS, маскирование pg_anonymizer, утечки в логах/Sentry/CSV-экспортах, шифрование). Режим 2 — закон (хранение в РФ, согласия, сроки/удаление, реестр обработки, уведомление РКН, права субъекта pd_subject_request). Используй при «проверь ПДн», «утекают ли персональные данные», «соответствие 152-ФЗ», «где хранятся телефоны лидов», «маскируются ли данные в дампах». НЕ для денежной корректности (billing-audit), security-аудита кода (D3/Semgrep), юридического оформления договоров/политик (D2 право), generic-угроз (threat-model #72).
+---
+
+# ПДн 152-ФЗ Аудит — защита персональных данных Лидерры
+
+Проектный скил раздела A8 карты «Информационная безопасность». Проверяет
+**защиту персональных данных** и соответствие Федеральному закону №152-ФЗ
+«О персональных данных» для SaaS-портала, обрабатывающего телефоны лидов
+и данные клиентов-компаний перед выходом в продакшен.
+
+## Когда использовать
+
+- Вопрос «не утекают ли ПДн в логи / Sentry / CSV-экспорты?»
+- Проверка технической защиты ПДн перед запуском (RLS, маскирование, шифрование).
+- Оценка соответствия 152-ФЗ: хранение в РФ, согласия, права субъекта, реестр.
+- Ревью кода, затрагивающего `deals`, `users`, `pd_subject_requests`,
+  `pd_processing_log`, `supplier_leads` или CSV-импорт/экспорт лидов.
+
+## Два режима
+
+### Режим 1 — Технический аудит ПДн
+
+Проверяет, что персональные данные физически защищены в коде и схеме БД.
+
+Вопросы:
+
+- Какие таблицы/колонки содержат ПДн? Под RLS ли они?
+- Маскируются ли ПДн в дампах (pg_anonymizer)?
+- Не утекают ли phone/email/ФИО в Laravel-логи, Sentry, `activity_log.context`,
+  `auth_log`, `supplier_leads.raw_payload`?
+- Зашифрованы ли чувствительные поля в покое (totp_secret)?
+- Защищены ли CSV-экспорты лидов (signed URL + аудит в `pd_processing_log`)?
+
+**Запустить:** пройти по чек-листу `references/checklist.md` → Раздел 1.
+
+### Режим 2 — Соответствие 152-ФЗ
+
+Проверяет правовую и процессную сторону обработки ПДн.
+
+Вопросы:
+
+- Хранятся ли ПДн на территории РФ?
+- Зафиксированы ли согласия субъектов ПДн (`tenant_consents`)?
+- Есть ли механизм обращений субъектов (`pd_subject_requests` + дедлайн 30 дней)?
+- Ведётся ли журнал обработки ПДн (`pd_processing_log`)?
+- Уведомлен ли РКН? Есть ли реестр обработки?
+- Реализовано ли право на ограничение обработки (`processing_restricted`)?
+
+**Запустить:** пройти по чек-листу `references/checklist.md` → Раздел 2.
+
+## Границы
+
+- ≠ `billing-audit` #62 — тот про *денежную корректность начислений*; pdn-152fz-audit про *персональные данные*.
+- ≠ D3 «audit-security» (#39/#40 Trail of Bits / Semgrep) — те про *security-уязвимости кода*; pdn-152fz-audit про *данные субъектов ПДн*.
+- ≠ D2 «Право / договоры» — там юридическое оформление (политика обработки, договор с оператором); pdn-152fz-audit про *технику и процедуры*.
+- ≠ `threat-model` #72 — тот про *моделирование угроз*; pdn-152fz-audit про *конкретные ПДн в конкретных таблицах*.
+
+## Связано
+
+- Reuse: Boost #10 (SQL-запросы к схеме), Semgrep #25 (статанализ кода на утечки),
+  Sentry MCP #34 (проверка runtime-маскирования), pg_anonymizer #29 (дампы).
+- ADR-013 (infosec-tooling A8).
+- Нормативная основа: ФЗ-152 ст.18 (уведомление РКН), ст.21 ч.5 (ограничение
+  обработки), ст.22 (реестр операторов), ст.14 (права субъекта).

.claude/skills/pdn-152fz-audit/evals/evals.json

@@ -0,0 +1,10 @@
+{
+  "skill": "pdn-152fz-audit",
+  "cases": [
+    {"prompt": "проверь, не утекают ли телефоны лидов в логи", "should_trigger": true},
+    {"prompt": "соответствует ли портал 152-ФЗ перед запуском", "should_trigger": true},
+    {"prompt": "проверь, не теряются ли копейки в списании", "should_trigger": false, "expected": "billing-audit"},
+    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": false, "expected": "threat-model"},
+    {"prompt": "составь договор обработки персональных данных", "should_trigger": false, "expected": "D2 право"}
+  ]
+}

.claude/skills/pdn-152fz-audit/references/checklist.md

@@ -0,0 +1,202 @@
+# ПДн 152-ФЗ — чек-лист аудита Лидерры
+
+Основан на реальных артефактах проекта (db/schema.sql v8.26, 21.05.2026).
+
+## Таблицы-носители ПДн (инвентарь)
+
+| Таблица | ПДн-колонки | Тип субъекта |
+|---|---|---|
+| `deals` | `phone`, `phones` (JSONB), `contact_name`, `city` | лид (физлицо) |
+| `supplier_leads` | `phone`, `raw_payload` (JSONB — весь payload поставщика) | лид (физлицо) |
+| `users` | `email`, `first_name`, `last_name`, `phone`, `totp_secret` | пользователь-клиент |
+| `tenants` | `contact_email`, `organization_name` | организация-клиент |
+| `auth_log` | `email` (при login_failed для неизвестного пользователя) | пользователь |
+| `pd_subject_requests` | `subject_email`, `subject_phone`, `subject_full_name` | субъект ПДн |
+| `impersonation_tokens` | косвенно (связь user — admin) | пользователь |
+| `import_log` | `filename`, `file_path` (может содержать имя файла с ПДн) | лид (косвенно) |
+
+---
+
+## Раздел 1 — Технический аудит ПДн
+
+### Т1. RLS на таблицах-носителях ПДн
+
+- [ ] `deals` — `ENABLE ROW LEVEL SECURITY` ✅ (подтверждено schema.sql:2780).
+  Проверить: `FORCE ROW LEVEL SECURITY` не выставлен (только у `lead_charges`
+  — там сильнее). Убедиться, что `crm_app_user` не BYPASSRLS.
+- [ ] `users` — RLS включён (schema.sql:2778). Политика `tenant_isolation` по
+  `tenant_id`. Проверить: нет прямого SELECT * без `SET LOCAL app.current_tenant_id`.
+- [ ] `supplier_leads` — **RLS не включён** (таблица SaaS-уровня, schema.sql:1948).
+  Это осознанное решение. Проверить: доступ только из воркера
+  (`crm_supplier_worker` BYPASSRLS) с явным `WHERE tenant_id`.
+- [ ] `pd_subject_requests` — **RLS не включён** намеренно (saas-уровневая,
+  schema.sql:2483). Доступ только через `crm_admin_user` BYPASSRLS.
+  Проверить: tenant-приложение к таблице не обращается.
+- [ ] `auth_log` — RLS включён (schema.sql:2810). Политика `tenant_isolation`.
+  Проверить: поле `email` в строке `login_failed` — не утекает ли email
+  несуществующего пользователя в посторонний тенант.
+- [ ] `import_log` — RLS включён (schema.sql:2790).
+
+### Т2. Маскирование ПДн в дампах (pg_anonymizer #29)
+
+- [ ] **Проверить вручную:** OPEN-И-24 (schema.sql:113) — «pg_anonymizer процедура,
+  документация в Прил. И, без изменений схемы». Расширение ставится в фазе 3
+  (db/CHANGELOG_schema.md:625). На момент аудита — **расширение может быть не
+  установлено**. Выполнить: `psql -c "SELECT extname FROM pg_extension WHERE extname='anon';"`.
+- [ ] Если pg_anonymizer установлен: проверить наличие `SECURITY LABEL` /
+  `anon.mask_column` на колонках `deals.phone`, `deals.contact_name`,
+  `users.email`, `users.first_name`, `users.last_name`.
+- [ ] Если pg_anonymizer **не установлен**: дампы (`pg_dump`) содержат ПДн в открытом
+  виде — критический риск перед продакшеном. Требуется: либо установить
+  расширение и настроить маски, либо запретить дампы с ПДн вне зашифрованного
+  хранилища.
+
+### Т3. Утечки ПДн в логи и Sentry
+
+- [ ] **Sentry PII-scrubbing** (OPEN-И-16, schema.sql:68): конфигурация в
+  `app/config/sentry.php` (narrative §22 «Sentry PII-scrubbing»).
+  Проверить: whitelist событий задан; regex-маска `phone`/`email`/`password`/
+  `secret`/`token`/`api_key` включена. Тест: намеренно вызвать ошибку с
+  телефоном в payload и проверить Sentry-событие.
+- [ ] **Laravel-логи (`storage/logs/`)**: нет ли `Log::info`/`Log::debug` с
+  `$deal->phone`, `$lead->phone`, `request()->all()` в необработанном виде.
+  Grep: `Log::` + `phone\|email\|contact_name` в `app/app/`.
+- [ ] **`activity_log.context`** (JSONB, schema.sql:1775): поле `context` журнала
+  действий по сделкам. Проверить: не пишется ли туда `phone`/`contact_name`
+  полностью (должны быть только ID и маскированные значения).
+- [ ] **`supplier_leads.raw_payload`** (JSONB, schema.sql:1966): хранит весь
+  webhook-payload от поставщика, включая телефон. Это осознанное хранение
+  (нужно для дебага/реконсайла). Проверить: доступ ограничен только
+  `crm_supplier_worker` + `crm_admin_user`; не отдаётся в tenant API.
+- [ ] **`auth_log.email`** (schema.sql:1458): email попадает в лог при `login_failed`
+  для неизвестного адреса. Проверить: колонка не индексируется publicly,
+  доступна только под RLS tenant-политикой.
+
+### Т4. Шифрование чувствительных полей в покое
+
+- [ ] **`users.totp_secret`** (schema.sql:723): комментарий «ШИФРУЕТСЯ `Crypt::encrypt`».
+  Проверить: в коде Laravel используется `Crypt::encrypt`/`decrypt`, не plain TEXT.
+  Grep: `totp_secret` в моделях/сервисах — нет ли прямого assignment без encrypt.
+- [ ] **`tenants.webhook_token`** (schema.sql:628): хранится в открытом виде как
+  уникальный токен. Допустимо (по дизайну — это API-ключ, не пароль), но
+  проверить: не логируется ли при ротации (`webhook_token_rotated_at`).
+- [ ] **Encryption at rest (диск/облако)**: Yandex Cloud `ru-central1` — проверить,
+  включено ли шифрование диска/объектного хранилища на уровне YC-консоли.
+  Это вне кода, но обязательно для 152-ФЗ.
+
+### Т5. CSV-экспорт лидов и signed URL
+
+- [ ] **`report_jobs`** (schema.sql:2313): `file_path` = `s3://bucket/path/file.xlsx`.
+  Триггер `trg_report_jobs_export_log` (schema.sql:3096) автоматически пишет
+  запись в `pd_processing_log` при INSERT. Проверить: триггер активен в prod.
+  SQL: `SELECT tgname, tgenabled FROM pg_trigger WHERE tgname = 'trg_report_jobs_export_log';`
+- [ ] **Signed URL TTL**: schema.sql:3182 — «доступ через signed URL TTL 1 ч».
+  Проверить в коде: `Storage::temporaryUrl(...)` с `now()->addHour()`.
+  Файлы экспорта не доступны без аутентификации.
+- [ ] **`report_jobs.expires_at`**: автоудаление файла. Проверить: есть ли
+  scheduled command / cleanup job, удаляющий S3-файл и обнуляющий `file_path`
+  после `expires_at`.
+
+### Т6. CSV-импорт исторических лидов
+
+- [ ] **`import_log.file_path`** (schema.sql:1544): путь к загруженному CSV-файлу с
+  ПДн. Проверить: файл хранится во временном/приватном location, не в
+  публично доступном URL; удаляется после обработки.
+- [ ] **Проверить вручную:** содержит ли исторический CSV телефоны лидов в открытом
+  виде в `storage/`? Если да — нужен cleanup после импорта.
+
+---
+
+## Раздел 2 — Соответствие 152-ФЗ
+
+### З1. Хранение ПДн на территории РФ (ст.18.1 152-ФЗ)
+
+- [ ] Облако: Yandex Cloud, регион `ru-central1` (Москва) — **✅ РФ**.
+  Подтверждено в CLAUDE.md §2.
+- [ ] S3-хранилище файлов экспорта (`report_jobs.file_path`): убедиться, что
+  Yandex Object Storage используется (не AWS S3 / GCS). Проверить
+  `app/config/filesystems.php`.
+- [ ] Self-hosted Sentry: Yandex Cloud `ru-central1` — ✅ РФ (CLAUDE.md §2).
+  Проверить: Sentry не проксирует события в eu.sentry.io / sentry.io (US).
+- [ ] Unisender Go (email): **Проверить вручную** — уточнить у Unisender
+  расположение серверов; письма с ПДн (email адреса) передаются провайдеру.
+
+### З2. Согласия субъектов ПДн (ст.6, ст.9 152-ФЗ)
+
+- [ ] **`tenant_consents`** (schema.sql:2430): таблица согласий. Проверить:
+  при регистрации тенанта записывается `consent_type='pd_processing'` с
+  `document_version`, `ip_address`, `user_agent`, `given_at`.
+- [ ] Проверить: согласие на обработку ПДн лидов (телефоны физлиц) — не пользователя-
+  клиента, а лидов. Лиды приходят от поставщика (crm.bp-gr.ru) — проверить
+  договор с поставщиком (правовое основание обработки ст.6 ч.1 п.5 или п.4).
+  **Проверить вручную** — вне schema (юридический документ).
+- [ ] `consent_type` значения: `pd_processing`, `marketing`, `oferta_v1` — убедиться,
+  что consent_type='pd_processing' обязателен при регистрации (нет bypass).
+
+### З3. Сроки хранения и удаление (ст.21 152-ФЗ)
+
+- [ ] **Soft-delete в `deals`** (schema.sql:1648 `deleted_at`): после soft-delete
+  данные остаются. Проверить: есть ли политика retention (hard-delete или
+  анонимизация `phone`/`contact_name` через N дней после `deleted_at`).
+  **Проверить вручную:** scheduled command для hard-delete сделок.
+- [ ] **`users.deleted_at`** (schema.sql:751): комментарий «soft delete + анонимизация».
+  Проверить в коде: при soft-delete пользователя анонимизируются ли
+  `email`/`first_name`/`last_name`/`phone`? Grep: `UserObserver` / `UserService`
+  метод delete/anonymize.
+- [ ] **Право на удаление** (ст.21): обращение типа `request_type='deletion'` в
+  `pd_subject_requests`. Проверить: есть ли процедура исполнения (скрипт/ручной
+  процесс) удаления ПДн конкретного субъекта по `subject_phone`/`subject_email`
+  из `deals`, `supplier_leads`, `activity_log`.
+
+### З4. Журнал обработки ПДн (ст.18.1 152-ФЗ)
+
+- [ ] **`pd_processing_log`** (schema.sql:2449): таблица журнала. RLS включён
+  (schema.sql:2806), политика `tenant_isolation` (schema.sql:2846).
+  Проверить: `subject_type`, `action`, `purpose` заполняются при
+  ключевых операциях (просмотр сделки, экспорт, удаление).
+- [ ] **Триггер экспорта** `trg_report_jobs_export_log` (schema.sql:3096): AFTER
+  INSERT на `report_jobs` → INSERT `pd_processing_log` с `action='exported'`.
+  Закрывает требование ст.18 (учёт трансграничной передачи / выгрузки).
+- [ ] **Append-only hash chain** (schema.sql:63): `log_hash BYTEA` + триггеры
+  `BEFORE UPDATE/DELETE` с `RAISE EXCEPTION`. Проверить: цепочка целостна.
+  SQL: `SELECT id, log_hash IS NULL AS broken FROM pd_processing_log ORDER BY id DESC LIMIT 10;`
+
+### З5. Обращения субъектов ПДн (ст.14 152-ФЗ)
+
+- [ ] **`pd_subject_requests`** (schema.sql:2491): таблица обращений. Поля:
+  `subject_email`, `subject_phone`, `subject_full_name`, `request_type`
+  (`access`/`rectification`/`deletion`/`objection`), `deadline_at` (30 дней),
+  `processing_restricted`.
+- [ ] **Триггер дедлайна** `trg_pd_subject_requests_deadline` (schema.sql:3165):
+  функция `set_pd_subject_request_deadline()` заполняет `deadline_at =
+  received_at + INTERVAL '30 days'` при INSERT/UPDATE.
+  Проверить: `SELECT COUNT(*) FROM pd_subject_requests WHERE deadline_at IS NULL;`
+  — должно быть 0.
+- [ ] **`processing_restricted`** (schema.sql:2514, ст.21 ч.5): при `TRUE`
+  `ProcessingRestrictedException` блокирует операции с ПДн субъекта.
+  Проверить в коде: `ProcessingRestrictionGuard` вызывается в сервисах
+  перед mutable-операциями с `deals`/`users`.
+- [ ] Индекс (schema.sql:2519): `idx_pd_requests_restricted` — эффективный поиск
+  активных ограничений. Проверить: он используется в `ProcessingRestrictionGuard`.
+
+### З6. Уведомление РКН и реестр обработки (ст.22 152-ФЗ)
+
+- [ ] **Проверить вручную:** подана ли заявка оператора в реестр Роскомнадзора
+  на сайте pd.rkn.gov.ru? Это организационная мера, вне кода.
+- [ ] **Проверить вручную:** составлен ли внутренний реестр обработки ПДн
+  (перечень категорий субъектов, целей, сроков, мер защиты)?
+  Требование ст.22.1 ФЗ-152.
+- [ ] **`incidents_log`** (schema.sql:2535): при утечке ПДн — поле
+  `related_pd_subject_request_ids BIGINT[]`. Проверить: есть ли внутренняя
+  процедура уведомления РКН в течение 24 ч (ст.21.1, с 01.03.2023)?
+
+### З7. Передача ПДн третьим лицам
+
+- [ ] **Поставщик crm.bp-gr.ru**: получает запросы с телефонами лидов обратно
+  при синхронизации статусов (`supplier_sync_log`). Проверить наличие договора
+  на обработку ПДн по поручению (ст.6 ч.3 152-ФЗ).
+  **Проверить вручную** — юридический документ.
+- [ ] **Unisender Go** (email-рассылки с именами пользователей):
+  **Проверить вручную** — договор поручения на обработку ПДн.
+- [ ] **JivoSite** (helpdesk): передаются ли туда email/ФИО клиентов?
+  **Проверить вручную**.

.claude/skills/security-go-live/SKILL.md

@@ -0,0 +1,68 @@
+---
+name: security-go-live
+description: Единый go-live security-gate Лидерры перед публикацией в интернете — один воспроизводимый прогон всех проверок безопасности и вердикт «можно/нельзя в прод». Оркеструет ZAP (#68), Nuclei (#69), Ward (#70), pdn-152fz-audit (#71), threat-model (#72) + Semgrep #25 / Trivy #26 / gitleaks #8 / Trail of Bits #39. Используй при «прогон безопасности перед релизом», «можно ли выкатывать», «go-live security check», «финальная проверка безопасности». НЕ для полного 14-фазного аудита портала (audit-portal), отдельной проверки ПДн (pdn-152fz-audit #71) или угроз (threat-model #72).
+---
+
+# Security Go-Live — единый gate безопасности перед публикацией
+
+Проектный скил раздела A8 карты «Информационная безопасность». Запускает
+**один воспроизводимый прогон всех security-проверок** и выдаёт вердикт
+**GO / NO-GO** перед тем, как портал Лидерры становится доступным из интернета.
+
+## Когда использовать
+
+- «Прогони все проверки безопасности перед релизом»
+- «Можно ли выкатывать портал в прод по безопасности?»
+- «Go-live security check» / «финальная проверка безопасности»
+- «Готов ли портал к публикации со стороны ИБ?»
+
+## Что это и чем НЕ является
+
+**Это:** операционный gate — воспроизводимый чек-лист, который прогоняется
+каждый раз перед go-live и выдаёт конкретный вердикт с перечнем блокеров.
+
+**Это НЕ:**
+
+- ≠ `audit-portal` — тот 14-фазный сквозной аудит качества всего портала
+  (статанализ, тесты, схема БД, UI-smoke, a11y, coverage, bundle и пр.);
+  security-go-live — security-only срез, занимает часть дня, не несколько дней.
+- ≠ `pdn-152fz-audit` #71 — тот глубокий аудит персональных данных и 152-ФЗ;
+  security-go-live вызывает его как один шаг, не заменяет.
+- ≠ `threat-model` #72 — тот строит модель угроз как документ (STRIDE, карта
+  точек входа); security-go-live проверяет, что выявленные угрозы ЗАКРЫТЫ.
+
+## Порядок прогона
+
+Полная процедура — `references/gate.md`. Кратко:
+
+1. **Статика** — gitleaks, Semgrep, Ward (config/env/deps/code), Trail of Bits.
+2. **ПДн / 152-ФЗ** — вызвать `pdn-152fz-audit` #71.
+3. **Угрозы** — вызвать `threat-model` #72, убедиться что топ-угрозы закрыты.
+4. **Динамика (локальная цель по умолчанию)** — Nuclei (`bin/nuclei.exe`),
+   затем ZAP (spider + active scan). Боевой сервер — только по явной команде.
+5. **Вердикт** — GO / NO-GO с явным списком блокеров.
+
+## Выход
+
+```
+=== SECURITY GO-LIVE REPORT ===
+Дата: YYYY-MM-DD
+Версия схемы: <schema-version>
+Commit: <HEAD>
+
+[ШАГИ 1-4 — результаты по каждому инструменту]
+
+=== ВЕРДИКТ: GO ✅ / NO-GO ❌ ===
+Блокеры (critical/high): <список или "нет">
+Предупреждения (medium): <список или "нет">
+=== END ===
+```
+
+## Связано
+
+- `references/gate.md` — подробная процедура прогона + формат вердикта.
+- `pdn-152fz-audit` #71, `threat-model` #72 — вызываются как подшаги.
+- ZAP #68 (OWASP, DAST), Nuclei #69 (CLI `bin/nuclei.exe`), Ward #70 (Go CLI).
+- gitleaks #8, Semgrep #25, Trivy #26, Trail of Bits #39 — статика.
+- ADR-013 (infosec-tooling A8), `docs/security/nuclei-setup.md`,
+  `docs/security/infosec-vet.md`.

.claude/skills/security-go-live/evals/evals.json

@@ -0,0 +1,10 @@
+{
+  "skill": "security-go-live",
+  "cases": [
+    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": true},
+    {"prompt": "можно ли выкатывать портал в прод по безопасности", "should_trigger": true},
+    {"prompt": "проведи полный аудит портала", "should_trigger": false, "expected": "audit-portal"},
+    {"prompt": "проверь только персональные данные", "should_trigger": false, "expected": "pdn-152fz-audit"},
+    {"prompt": "смоделируй угрозы", "should_trigger": false, "expected": "threat-model"}
+  ]
+}

.claude/skills/security-go-live/references/gate.md

@@ -0,0 +1,241 @@
+# Security Go-Live Gate — процедура прогона и формат вердикта
+
+Подробная пошаговая процедура для скила `security-go-live` (#73).
+Цель — один воспроизводимый прогон перед каждым выходом портала в интернет.
+
+---
+
+## Гарды
+
+**IS8 — цель по умолчанию локальная.** Все динамические проверки (Nuclei, ZAP)
+направляются на локальную или тестовую копию портала (`127.0.0.1`). Боевой
+(`crm.bp-gr.ru` или любой публичный IP) — только по явной команде заказчика:
+«сканируй прод» / «сканируй боевой».
+
+**IS7 — граница с `audit-portal`.** `security-go-live` — security-only gate:
+выдаёт GO/NO-GO по безопасности. Он не заменяет 14-фазный `audit-portal`
+(тесты, схема, UI-smoke, a11y, coverage, bundle и пр.). Перед первым
+production-деплоем рекомендуется прогнать `audit-portal` **и** `security-go-live`
+как два отдельных прогона; при плановых go-live (хотфикс/фича) — достаточно
+`security-go-live`.
+
+---
+
+## Шаг 1 — Статика (static analysis)
+
+Запустить последовательно. Каждый инструмент фиксирует результат в разделе
+отчёта.
+
+### 1.1 gitleaks — поиск секретов в истории
+
+```powershell
+# Полная история
+.\bin\gitleaks.exe detect --source . --log-opts "--all"
+# Только staged/unstaged (перед коммитом)
+.\bin\gitleaks.exe protect --staged
+```
+
+Ожидаемо: **0 утечек**. Любой leak = NO-GO (critical).
+
+### 1.2 Semgrep — статический анализ кода
+
+```powershell
+npm run sast
+```
+
+Ожидаемо: **0 critical/high**. Medium — предупреждение (не блокер).
+
+### 1.3 Ward — Laravel config / env / deps / code
+
+Ward (#70) — Go-бинарь, замена заброшенного Enlightn. Сканирует:
+`.env` (8 проверок), `config/*.php` (13 проверок), зависимости Composer
+(через OSV.dev), код (секреты, injection, XSS, debug-артефакты, crypto,
+CORS/CSRF/mass-assignment, auth).
+
+```powershell
+# Если Ward установлен (pending — нет тегов-релизов, pin по commit SHA)
+.\bin\ward.exe scan --path app/
+```
+
+Если Ward **не установлен** (pending `docs/security/ward-setup.md`) — отметить
+в отчёте как `PENDING` и продолжить. Ward — не блокер установки gate,
+но должен быть установлен до первого реального go-live.
+
+Ожидаемо: **0 critical**. High — разобрать вручную. Ошибки конфигурации
+(APP_DEBUG=true, слабые ключи, открытые CORS) = NO-GO если critical.
+
+### 1.4 Trail of Bits — глубокий on-demand аудит (#39)
+
+Вызывается вручную перед первым публичным релизом или при значительных
+изменениях security-периметра. Не требуется при каждом хотфиксе.
+
+```
+/differential-review:diff-review   # если ревьюим конкретный diff
+/audit-context-building:audit-context   # для supply-chain аудита
+```
+
+Результаты фиксируются в `docs/security/trail-of-bits-YYYY-MM-DD.md`.
+
+---
+
+## Шаг 2 — ПДн / 152-ФЗ
+
+Вызвать скил `pdn-152fz-audit` (#71).
+
+```
+/pdn-152fz-audit
+```
+
+Прогнать оба режима:
+
+- **Режим 1 (технический):** RLS на таблицах ПДн, маскирование pg_anonymizer,
+  отсутствие phone/email в логах, pg_anonymizer в дампах.
+- **Режим 2 (соответствие 152-ФЗ):** хранение в РФ, согласия, права субъекта
+  (`pd_subject_requests`), журнал обработки (`pd_processing_log`), уведомление РКН.
+
+Итог: список нарушений (если есть). Нарушения Режима 1 уровня critical (ПДн
+в открытых логах/Sentry) = NO-GO.
+
+---
+
+## Шаг 3 — Угрозы (threat model)
+
+Вызвать скил `threat-model` (#72) или открыть последний файл
+`docs/security/threat-model-YYYY-MM-DD.md`.
+
+Цель: убедиться, что **топ-приоритетные угрозы из STRIDE** закрыты контрмерами
+(rate-limit на login, HMAC на webhook, Sanctum token-auth, CSRF, RLS).
+
+Если актуальная модель угроз отсутствует (нет файла за последние 30 дней) —
+запустить `threat-model` перед динамикой.
+
+---
+
+## Шаг 4 — Динамика (dynamic analysis, локальная цель)
+
+> **IS8:** по умолчанию цель — локальная копия. Убедиться, что приложение
+> запущено: `php artisan serve` → `http://127.0.0.1:8000`.
+
+### 4.1 Nuclei — широкое сканирование (#69)
+
+Nuclei установлен как CLI-бинарь `bin/nuclei.exe` (MIT, projectdiscovery,
+v3.8.0). **Не MCP-сервер.**
+
+**Квирки native-Windows (обязательно соблюдать):**
+
+1. **Цель — `127.0.0.1`, НЕ `localhost`.** Резолвер Nuclei не разрешает
+   `localhost` на этой машине — цель будет пропущена (квирк зафиксирован в
+   `docs/security/nuclei-setup.md`).
+2. **Низкий rate-limit для dev-сервера.** `php artisan serve` однопоточный;
+   без ограничений Nuclei перегружает его ложными connection-ошибками.
+   Всегда использовать `-rate-limit 20 -c 5`.
+
+```powershell
+# Стандартный прогон (medium+)
+bin\nuclei.exe -u "http://127.0.0.1:8000" `
+  -rate-limit 20 -c 5 -timeout 5 -duc `
+  -severity medium,high,critical
+
+# Только технологический стек (быстрый smoke)
+bin\nuclei.exe -u "http://127.0.0.1:8000" -tags tech `
+  -rate-limit 20 -c 5 -timeout 5 -duc
+```
+
+Если `bin/nuclei.exe` отсутствует — отметить `PENDING` и продолжить.
+Детали установки: `docs/security/nuclei-setup.md`.
+
+Ожидаемо: **0 critical/high**. Medium — разобрать вручную.
+
+### 4.2 ZAP — глубокое DAST (#68)
+
+ZAP (#68) — официальный MCP add-on (`zaproxy/zap-extensions`, Apache-2.0),
+alpha v0.1.0. Требует Java 17+ и запущенного ZAP-демона.
+
+Если ZAP **не установлен** (pending Java) — отметить `PENDING` и продолжить.
+Детали: `docs/security/zap-setup.md` (когда будет создан).
+
+```
+# Через ZAP MCP (когда ZAP установлен)
+# 1. Запустить ZAP-демон: zaproxy -daemon -port 8080 -config api.key=<key>
+# 2. Spider
+ZapStartSpiderTool(url="http://127.0.0.1:8000", contextId=...)
+# 3. Active scan
+ZapStartActiveScanTool(url="http://127.0.0.1:8000", contextId=...)
+# 4. Отчёт
+ZapGenerateReportTool(...)
+```
+
+Ожидаемо: **0 critical/high**. Medium — разобрать вручную.
+Critical/high из ZAP active scan = NO-GO.
+
+---
+
+## Шаг 5 — Сбор находок и вердикт
+
+### Severity → статус
+
+| Severity | Источник | Статус gate |
+|---|---|---|
+| critical | любой инструмент | **NO-GO** (блокер) |
+| high | любой инструмент | **NO-GO** (блокер) |
+| medium | любой инструмент | Предупреждение (не блокирует go-live, фиксируется) |
+| low / info | любой инструмент | Информационно |
+| PENDING | ZAP / Ward / Nuclei не установлены | Условный GO — инструменты должны быть установлены до публичного деплоя |
+
+### Формат отчёта
+
+```
+=== SECURITY GO-LIVE REPORT ===
+Дата: YYYY-MM-DD
+Версия схемы: vX.XX
+Commit: <git rev-parse HEAD>
+Цель: http://127.0.0.1:<port> (локальная копия)
+
+--- ШАГ 1: СТАТИКА ---
+gitleaks: OK (0 утечек) / FAIL (<N> утечек)
+Semgrep:  OK (0 critical/high) / FAIL (<список>)
+Ward:     OK / FAIL (<список>) / PENDING (не установлен)
+Trail of Bits: OK / SKIP (не применимо к этому прогону)
+
+--- ШАГ 2: ПДн / 152-ФЗ ---
+pdn-152fz-audit Режим 1: OK / FAIL (<список>)
+pdn-152fz-audit Режим 2: OK / ПРЕДУПРЕЖДЕНИЯ (<список>)
+
+--- ШАГ 3: УГРОЗЫ ---
+threat-model: ЗАКРЫТЫ (файл docs/security/threat-model-YYYY-MM-DD.md)
+Незакрытые топ-угрозы: <список или "нет">
+
+--- ШАГ 4: ДИНАМИКА ---
+Nuclei:   OK (0 critical/high) / FAIL (<список>) / PENDING (не установлен)
+ZAP:      OK (0 critical/high) / FAIL (<список>) / PENDING (не установлен)
+
+=== ВЕРДИКТ: GO ✅ / NO-GO ❌ ===
+Блокеры (critical/high):
+  - <инструмент>: <описание> — <рекомендация>
+  (или "Блокеров нет")
+
+Предупреждения (medium):
+  - <инструмент>: <описание>
+  (или "Предупреждений нет")
+
+PENDING-инструменты (должны быть закрыты до публичного деплоя):
+  - Ward #70: установка — docs/security/ward-setup.md
+  - ZAP #68: установка — docs/security/zap-setup.md (pending Java)
+  (или "Все инструменты установлены")
+=== END ===
+```
+
+---
+
+## Типичные блокеры и действия
+
+| Находка | Источник | Действие |
+|---|---|---|
+| APP\_DEBUG=true | Ward / Semgrep | Исправить `.env` перед деплоем |
+| Секрет в git-истории | gitleaks | Rotate + `git filter-repo`; НЕ деплоить |
+| ПДн в логах Laravel | pdn-152fz-audit | Убрать из LogChannel + Sentry scrubbing |
+| CSRF отключён | Ward | Проверить `VerifyCsrfToken` middleware |
+| Слабый APP\_KEY | Ward | `php artisan key:generate` |
+| Критическая CVE в зависимости | Semgrep / Ward | `composer update` или `npm update` |
+| SQL injection / XSS | ZAP / Nuclei | Исправить код, перепрогнать |
+| Незакрытая STRIDE-угроза | threat-model | Реализовать контрмеру или принять риск с заказчиком |

.claude/skills/threat-model/SKILL.md

@@ -0,0 +1,66 @@
+---
+name: threat-model
+description: Моделирование угроз портала Лидерра по STRIDE — карта точек входа, что меняется при выходе в интернет, приоритизация защиты. Используй при «смоделируй угрозы», «откуда могут атаковать», «что защищать в первую очередь перед публикацией», «карта точек входа», «threat model / STRIDE». НЕ для аудита ПДн/152-ФЗ (pdn-152fz-audit #71), статического security-аудита кода (D3/Semgrep/Trail of Bits), generic архитектурных паттернов (architecture-patterns), go-live прогона (security-go-live #73).
+---
+
+# Threat Model — моделирование угроз портала Лидерра
+
+Проектный скил раздела A8 карты «Информационная безопасность». Применяет методологию
+**STRIDE** к реальным точкам входа портала и отвечает на главный вопрос перед
+публикацией: **что именно меняется, когда в систему может зайти любой из интернета**.
+
+## Когда использовать
+
+- «Смоделируй угрозы» / «откуда могут атаковать» / «что защищать в первую очередь»
+- Подготовка к go-live — составление модели угроз как артефакта (отдельно от
+  чек-листа запуска, который — в `security-go-live #73`)
+- Анализ конкретного эндпоинта: «насколько опасен открытый `/api/webhook/{token}`?»
+- Ответ на вопрос заказчика / регулятора «покажи модель угроз»
+
+## Процедура STRIDE для Лидерры
+
+Полный разбор точек входа и таблица угроз — `references/stride-portal.md`.
+
+### Шаги
+
+1. **Определить периметр** — что сейчас открыто наружу vs что будет открыто после
+   публикации. Основа: список точек входа в `references/stride-portal.md`.
+2. **Пройти по STRIDE для каждой точки** — заполнить 6 строк (S/T/R/I/D/E).
+   Опираться на таблицу в `references/stride-portal.md`; при новых эндпоинтах
+   добавлять строки по тому же шаблону.
+3. **Оценить вероятность × ущерб** — приоритизировать по матрице из `references/stride-portal.md`.
+4. **Сформировать список контрмер** — что уже есть (RLS, HMAC, Sanctum, rate-limit),
+   чего не хватает (rate-limit на login, WAF, 2FA enforcement, и т.д.).
+5. **Сохранить результат** в `docs/security/threat-model-YYYY-MM-DD.md`.
+
+## Выход
+
+Файл `docs/security/threat-model-<дата>.md` со структурой:
+
+- Область действия (дата, версия схемы, commit)
+- Карта точек входа (таблица)
+- STRIDE по каждой точке
+- Дельта «был закрытый круг → стал интернет»
+- Приоритизированный список рисков с контрмерами
+
+## Границы
+
+- ≠ `pdn-152fz-audit` #71 — тот про *персональные данные и 152-ФЗ* (конкретные
+  таблицы, согласия, права субъекта); threat-model про *вектора атак и защиту
+  эндпоинтов*.
+- ≠ D3 audit-security (#39/#40 Trail of Bits / Semgrep) — те про *статический
+  анализ кода на уязвимости*; threat-model про *архитектурную карту угроз*.
+- ≠ `architecture-patterns` #38 — тот generic-паттерны; threat-model — конкретный
+  портал, конкретные маршруты.
+- ≠ `security-go-live` #73 — тот *прогоняет конкретный чек-лист* перед релизом
+  (Nmap, заголовки, CVE, gitleaks, DAST); threat-model *строит модель угроз как
+  документ* (вход для чек-листа и приоритизации работ).
+
+## Связано
+
+- `references/stride-portal.md` — детальная карта точек входа и STRIDE-таблица.
+- `pdn-152fz-audit` #71 — смежный аудит ПДн; часто запускается вместе с threat-model.
+- `security-go-live` #73 — операционный прогон после threat-model завершён.
+- D3 / Semgrep #25 / Trail of Bits #39 — статический анализ; дополняет threat-model
+  на уровне кода.
+- ADR-013 (infosec-tooling A8).

.claude/skills/threat-model/evals/evals.json

@@ -0,0 +1,13 @@
+{
+  "skill": "threat-model",
+  "cases": [
+    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": true},
+    {"prompt": "что защищать в первую очередь перед публикацией", "should_trigger": true},
+    {"prompt": "откуда могут атаковать портал", "should_trigger": true},
+    {"prompt": "составь карту точек входа", "should_trigger": true},
+    {"prompt": "сделай threat model по STRIDE", "should_trigger": true},
+    {"prompt": "проверь соответствие 152-ФЗ", "should_trigger": false, "expected": "pdn-152fz-audit"},
+    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": false, "expected": "security-go-live"},
+    {"prompt": "просканируй код на уязвимости семгрепом", "should_trigger": false, "expected": "D3/Semgrep"}
+  ]
+}

.claude/skills/threat-model/references/stride-portal.md

@@ -0,0 +1,198 @@
+# STRIDE — карта угроз портала Лидерра
+
+Основан на реальных маршрутах `app/routes/web.php` (v8.26, 21.05.2026).
+Стек: Laravel 13 + Vue 3 + PostgreSQL 16 RLS + Redis, Yandex Cloud `ru-central1`.
+
+---
+
+## Карта точек входа
+
+| # | Точка входа | Маршрут(ы) | Аутентификация |
+|---|---|---|---|
+| E1 | Вход / регистрация | `POST /api/auth/login`, `POST /api/auth/register` | Публичный |
+| E2 | 2FA и коды восстановления | `POST /api/auth/2fa/verify`, `POST /api/auth/2fa/recovery-use` | Публичный (pending-session) |
+| E3 | Сброс пароля | `POST /api/auth/forgot`, `POST /api/auth/reset-password` | Публичный |
+| E4 | Входящий webhook поставщика | `POST /api/webhook/supplier/{secret}` | URL-secret + IP-allowlist |
+| E5 | Входящий webhook тенанта | `POST /api/webhook/{token}` | URL-token + (prod: HMAC X-Webhook-Signature + rate-limit) |
+| E6 | API сделок | `GET/POST/PATCH/DELETE /api/deals`, `/api/deals/export`, `/api/deals/transition`, `/api/deals/restore` | Sanctum SPA + tenant |
+| E7 | API проектов | `GET/POST/PATCH/DELETE /api/projects/{id}`, `/api/projects/bulk`, `/api/projects/{id}/sync` | Sanctum SPA + tenant |
+| E8 | API импорта CSV | `POST /api/imports`, `GET /api/imports/{importLog}`, `/api/imports/unknown-statuses` | Sanctum SPA + tenant |
+| E9 | Lookup-эндпоинты | `GET /api/managers`, `GET /api/lead-statuses` | **Без auth** (открытые) |
+| E10 | Биллинг тенанта | `POST /api/billing/topup`, `GET /api/billing/wallet`, `/transactions`, `/invoices` | Sanctum SPA + tenant |
+| E11 | Charges ledger | `GET /api/billing/charges`, `POST /api/billing/charges/export` | Sanctum SPA + tenant |
+| E12 | API-ключи тенанта | `GET /api/api-keys`, `POST /api/api-keys/regenerate` | Sanctum SPA + tenant |
+| E13 | Webhook-настройки тенанта | `GET/PUT /api/tenants/me/webhook-settings`, `POST /api/webhooks/test` | Sanctum SPA + tenant |
+| E14 | Напоминания | `GET/POST/PATCH/DELETE /api/reminders/{id}` | Sanctum SPA + tenant |
+| E15 | Уведомления | `GET/PATCH/POST/DELETE /api/notifications/{id}` | Sanctum SPA + tenant |
+| E16 | Отчёты | `GET/POST/DELETE /api/reports/jobs/{id}`, `POST /{id}/retry`, `POST /{id}/cancel` | Sanctum SPA + tenant |
+| E17 | Скачивание отчёта | `GET /api/reports/jobs/{id}/file` | Signed URL (без Sanctum) |
+| E18 | Дашборд | `GET /api/dashboard/summary` | **Без auth** (MVP-заглушка) |
+| E19 | Профиль / уведомления-настройки | `GET/PATCH /api/auth/me`, `PATCH /api/auth/me/notification-preferences` | Sanctum SPA |
+| E20 | SaaS-admin: тенанты, биллинг, инциденты, система | `GET/PATCH /api/admin/**` | `saas-admin` middleware |
+| E21 | SaaS-admin: импersonation | `POST /api/admin/impersonation/init`, `/verify`, `/end` | `saas-admin` middleware |
+| E22 | SaaS-admin: supplier-integration | `GET/POST /api/admin/supplier-integration/**` | `saas-admin` middleware |
+| E23 | 2FA setup (авторизованный) | `POST /api/2fa/init`, `/confirm`, `/disable`, `/regenerate-recovery-codes` | Sanctum SPA |
+| E24 | SPA-оболочка | `GET /`, `/login`, `/register`, `/deals`, … (20+ маршрутов) | Без auth (Vue shell) |
+
+---
+
+## Дельта «закрытый круг → интернет»
+
+До публикации портал доступен только команде (VPN или фиксированные IP).
+После публикации **любой актор из интернета** может обратиться к каждому публичному
+эндпоинту. Критические изменения:
+
+| Изменение | Затронутые точки | Почему важно |
+|---|---|---|
+| Брутфорс и credential stuffing | E1 (login) | Нет rate-limit на `/api/auth/login` (на момент анализа) |
+| Энумерация пользователей | E1, E3 | Разные ответы на «существующий / несуществующий email» создают oracle |
+| Replay и forgery webhook | E4, E5 | Secret в URL виден в логах прокси/nginx; HMAC на E5 — «prod» (не в dev) |
+| Открытые lookup-эндпоинты | E9 | `GET /api/managers`, `GET /api/lead-statuses` без auth — раскрывают ФИО менеджеров |
+| Открытый дашборд | E18 | `GET /api/dashboard/summary` без auth — раскрывает KPI текущего тенанта |
+| DoS на artisan-сервере | Все | `php artisan serve` не держит нагрузку; нужен nginx/Octane |
+| SSRF через webhook-test | E13 | `POST /api/webhooks/test` отправляет запрос на URL из тела — риск SSRF во внутреннюю сеть YC |
+| Impersonation без prod-auth | E21 | `saas-admin` middleware в dev-режиме пропускает без проверки (`SAAS_ADMIN_TEST_BYPASS`) |
+| Signed URL без срока инвалидации | E17 | Отчёт с ПДн доступен 24 ч по ссылке без повторной аутентификации |
+
+---
+
+## STRIDE по точкам входа
+
+### E1 — Вход / Регистрация (`POST /api/auth/login`, `POST /api/auth/register`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Брутфорс пароля, credential stuffing | Bcrypt-хеш пароля | Нет rate-limit на login |
+| **T** Tampering | Подмена `tenant_id` в теле запроса | `tenant_id` берётся из `auth()->user()`, не из тела | — |
+| **R** Repudiation | Отрицание входа | `auth_log` пишет login/logout | Нет IP + User-Agent в каждой записи |
+| **I** Info disclosure | Энумерация email через разные ответы | Unified-ответ на forgot (E3) | Login может раскрывать «нет такого пользователя» |
+| **D** DoS | Флуд регистраций, засорение БД | — | Нет captcha / email-верификации на register |
+| **E** Elevation | Регистрация с `is_admin=true` в теле | Mass-assignment guard (fillable) | Проверить `$fillable` в `User` — нет ли `role` |
+
+### E2 — 2FA (`POST /api/auth/2fa/verify`, `POST /api/auth/2fa/recovery-use`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Брутфорс 6-значного TOTP | TOTP 30-сек окно | Нет rate-limit на `/2fa/verify` |
+| **T** Tampering | Подмена `pending_user_id` в session | Серверная session | Проверить изоляцию session между тенантами |
+| **R** Repudiation | Использование кода восстановления | `auth_log` | Фиксируется ли `recovery_used` событие? |
+| **I** Info disclosure | Тайминг-атака на сравнение TOTP | TOTP библиотека (constant-time?) | Проверить реализацию `verifyTwoFactor` |
+| **D** DoS | Флуд на `/2fa/verify` истощает session-store | — | Нет rate-limit |
+| **E** Elevation | Обход 2FA через `recovery-use` | Коды — одноразовые, хранятся hashed | Если коды в открытом виде — критично |
+
+### E3 — Сброс пароля (`POST /api/auth/forgot`, `POST /api/auth/reset-password`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Захват аккаунта через сброс пароля чужого email | Токен по email | Нет rate-limit на `/forgot` |
+| **T** Tampering | Подмена токена сброса | Cryptographic token (Laravel default) | Проверить срок жизни токена (1 ч?) |
+| **R** Repudiation | — | — | — |
+| **I** Info disclosure | Энумерация email через тайминг ответа | Unified-ответ задокументирован в роутах | Проверить фактическую реализацию ответа |
+| **D** DoS | Флуд `/forgot` → очередь email | — | Нет rate-limit → перегрузка Unisender Go |
+| **E** Elevation | — | — | — |
+
+### E4 — Webhook поставщика (`POST /api/webhook/supplier/{secret}`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Подделка запроса от crm.bp-gr.ru | URL-secret + IP allowlist (`system_settings.supplier_ip_allowlist`) | Secret виден в логах nginx/прокси |
+| **T** Tampering | Подмена payload (телефон, стоимость лида) | — | Нет HMAC на тело; только secret в URL |
+| **R** Repudiation | Отрицание доставки лида | `supplier_leads.raw_payload` | Нет timestamp-подписи для доказательства |
+| **I** Info disclosure | Secret в URL → в access-логах сервера | IP allowlist сужает круг | Ротация secret при компрометации? |
+| **D** DoS | Флуд поддельных лидов → списание баланса | IP allowlist | Если allowlist обходится (SSRF) |
+| **E** Elevation | Подмена `tenant_id` в payload | Берётся из `system_settings` глобально | Архитектурно корректно; проверить lookup |
+
+### E5 — Webhook тенанта (`POST /api/webhook/{token}`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Запрос от неавторизованного источника | URL-token из `tenants.webhook_token`; HMAC X-Webhook-Signature (prod) | HMAC только в prod; dev уязвим |
+| **T** Tampering | Изменение payload в transit | HMAC-валидация (prod) | В dev отключена — нельзя тестировать на prod-данных |
+| **R** Repudiation | — | `supplier_leads.raw_payload` | — |
+| **I** Info disclosure | Token в URL виден в логах | Per-token rate-limit | Нет ротации token при смене API-ключа |
+| **D** DoS | Replay flood | Per-token rate-limit (prod) | Нет в dev |
+| **E** Elevation | Лид с завышенной ценой | Стоимость берётся из `PricingTierResolver`, не из payload | Архитектурно защищено |
+
+### E9 — Открытые lookup-эндпоинты (`GET /api/managers`, `GET /api/lead-statuses`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | — | — | — |
+| **T** Tampering | — | — | — |
+| **R** Repudiation | — | — | — |
+| **I** Info disclosure | ФИО менеджеров без аутентификации | — | **Нет auth** — любой из интернета получает список менеджеров |
+| **D** DoS | Флуд запросами | — | Нет rate-limit |
+| **E** Elevation | — | — | — |
+
+### E18 — Дашборд без auth (`GET /api/dashboard/summary`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **I** Info disclosure | KPI, баланс, активность тенанта без аутентификации | — | **MVP-заглушка**: auth не включён; в prod обязателен |
+| **D** DoS | Тяжёлый агрегационный запрос без auth | — | Доступен без токена |
+
+### E20 — SaaS-admin (`GET/PATCH /api/admin/**`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Доступ к admin-панели без Yandex 360 SSO | `saas-admin` middleware (fail-closed 503 в prod) | SSO не реализован до Б-1; `SAAS_ADMIN_TEST_BYPASS` в prod = полный доступ |
+| **T** Tampering | Изменение тарифа, статуса тенанта без аудита | `saas_admin_audit_log` | — |
+| **R** Repudiation | Отрицание действий admin | `saas_admin_audit_log` | Нет подписи/2FA для деструктивных операций |
+| **I** Info disclosure | Данные всех тенантов | `saas-admin` middleware | SAAS_ADMIN_TEST_BYPASS=true в production = полный дамп |
+| **D** DoS | Bulk-delete тенантов | — | Нет подтверждения для деструктивных bulk-операций |
+| **E** Elevation | Impersonation любого тенанта | `saas-admin` middleware | Та же уязвимость через bypass |
+
+### E21 — Impersonation (`POST /api/admin/impersonation/init`, `/verify`, `/end`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **S** Spoofing | Имперсонация без реального admin-права | `saas-admin` middleware | Bypass в dev/test режиме |
+| **T** Tampering | Изменение `admin_user_id` в токене | Token-based flow | Проверить, что token не forgeble |
+| **R** Repudiation | Отрицание сессии имперсонации | `impersonation_tokens` логирует | Нет нотификации целевому тенанту |
+| **E** Elevation | Получение прав тенанта через impersonation | Scope ограничен tenant-контекстом | Если RLS bypass во время импersонации |
+
+### E13 — SSRF через webhook-test (`POST /api/webhooks/test`)
+
+| Угроза | Описание | Текущий контроль | Пробел |
+|---|---|---|---|
+| **T** Tampering | Отправка запроса на внутренний адрес YC | — | **Нет фильтрации URL** — SSRF во внутреннюю сеть Yandex Cloud (metadata service 169.254.169.254) |
+| **I** Info disclosure | YC instance metadata (IAM-токен, настройки сети) | — | Критично: SSRF → metadata API → IAM credentials |
+
+---
+
+## Приоритизация рисков
+
+Матрица: **Вероятность** (В — высокая / С — средняя / Н — низкая) ×
+**Ущерб** (К — критический / В — высокий / С — средний / Н — низкий).
+
+| Приоритет | Риск | Точка | Вероятность | Ущерб | Контрмера |
+|---|---|---|---|---|---|
+| 🔴 P0 | SAAS_ADMIN_TEST_BYPASS=true в prod | E20, E21 | В | К | Убедиться, что флаг false в `.env.production`; fail-closed middleware |
+| 🔴 P0 | SSRF через `/api/webhooks/test` | E13 | С | К | Валидировать URL: запрещать RFC1918 + link-local + metadata-IP; использовать DNS-rebind защиту |
+| 🔴 P0 | `GET /api/dashboard/summary` без auth | E18 | В | В | Добавить `auth:sanctum + tenant` middleware до prod |
+| 🔴 P0 | `GET /api/managers`, `GET /api/lead-statuses` без auth | E9 | В | С | Добавить `auth:sanctum + tenant` |
+| 🟠 P1 | Нет rate-limit на login / forgot / 2fa/verify | E1, E2, E3 | В | В | Laravel Throttle middleware (e.g. `throttle:5,1`) |
+| 🟠 P1 | URL-secret поставщика виден в access-логах | E4 | С | В | Перевести на HMAC-заголовок; ротировать secret; закрыть логи |
+| 🟠 P1 | Флуд поддельных лидов → списание баланса | E4, E5 | С | В | IP allowlist жёсткий; HMAC на тело (E4); idempotency-key |
+| 🟡 P2 | Энумерация email на login (не только forgot) | E1 | В | С | Unified-ответ на login тоже |
+| 🟡 P2 | Флуд регистраций без email-верификации | E1 | С | С | Email verification или captcha |
+| 🟡 P2 | Signed URL отчёта 24 ч без аутентификации | E17 | Н | С | Сократить TTL; добавить revocation при logout |
+| 🟡 P2 | Нет нотификации тенанту при impersonation | E21 | Н | С | Email/in-app уведомление при входе admin |
+| 🟢 P3 | Тайминг-атака на TOTP | E2 | Н | С | Проверить constant-time compare в TwoFactorController |
+| 🟢 P3 | Тайминг-атака на email в forgot | E3 | Н | Н | Unified-ответ + jitter sleep |
+
+---
+
+## Что уже защищает портал (baseline)
+
+- **RLS PostgreSQL** — 39 политик; кросс-tenant утечка через SQL закрыта.
+- **Sanctum SPA auth** — все бизнес-эндпоинты под `auth:sanctum + tenant`.
+- **Per-token rate-limit** — на входящих webhook'ах тенанта (E5).
+- **IP allowlist** — на webhook поставщика (E4).
+- **HMAC X-Webhook-Signature** — на E5 в prod (не в dev).
+- **`auth_log`** — фиксирует login/logout события.
+- **`saas_admin_audit_log`** — фиксирует admin-действия.
+- **Bcrypt** — хеш пароля; коды восстановления 2FA — hashed.
+- **`saas-admin` middleware** — fail-closed 503 в prod (если `SAAS_ADMIN_TEST_BYPASS=false`).
+- **Signed URL** — для скачивания отчётов (E17).
+- **gitleaks** — pre-commit/pre-push; секреты не должны попасть в репозиторий.

.gitleaksignore

@@ -0,0 +1,6 @@
+# gitleaks false-positive allowlist (fingerprints).
+# Format: one fingerprint per line. `gitleaks detect --report-format json` outputs them.
+
+# Nuclei docs `-u http://...` — nuclei's -u flag is "target URL", not curl basic-auth.
+# Rule `curl-auth-user` matches the pattern but it's not authentication.
+f696ca50266eb1c2974b5fc89f6fa585edaf4b6b:docs/security/nuclei-setup.md:curl-auth-user:27

app/app/Http/Controllers/Api/DashboardController.php

@@ -28,10 +28,9 @@ class DashboardController extends Controller
 
     public function summary(Request $request): JsonResponse
     {
-        $tenantId = (int) $request->query('tenant_id', '0');
-        if ($tenantId < 1) {
-            return response()->json(['message' => 'Параметр tenant_id обязателен.'], 422);
-        }
+        // Go-live (audit J3): tenant_id из authed-user (auth:sanctum + tenant
+        // middleware), НЕ из параметра запроса — закрывает кросс-tenant утечку KPI.
+        $tenantId = (int) $request->user()->tenant_id;
 
         $tenant = Tenant::find($tenantId);
         if ($tenant === null) {
@@ -74,7 +73,6 @@ class DashboardController extends Controller
             // --- active projects ---
             $activeProjects = DB::table('projects')
                 ->where('tenant_id', $tenantId)
-                ->whereNull('archived_at')
                 ->where('is_active', true)
                 ->count();
             $maxProjects = (int) (($tenant->limits['max_projects'] ?? 0));

app/app/Http/Controllers/Api/ManagerController.php

@@ -5,7 +5,6 @@ declare(strict_types=1);
 namespace App\Http\Controllers\Api;
 
 use App\Http\Controllers\Controller;
-use App\Models\Tenant;
 use App\Models\User;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
@@ -23,20 +22,18 @@ class ManagerController extends Controller
     /** GET /api/managers?tenant_id={id} */
     public function index(Request $request): JsonResponse
     {
-        $tenantId = (int) $request->query('tenant_id', '0');
-        if ($tenantId < 1) {
-            return response()->json(['message' => 'Параметр tenant_id обязателен.'], 422);
-        }
-
-        $tenant = Tenant::find($tenantId);
-        if ($tenant === null) {
-            return response()->json(['message' => 'Тенант не найден.'], 404);
-        }
+        // Go-live: tenant_id из authed-user (auth:sanctum + tenant middleware),
+        // НЕ из параметра запроса — закрывает кросс-tenant утечку списка пользователей.
+        $tenantId = (int) $request->user()->tenant_id;
 
         $users = DB::transaction(function () use ($tenantId) {
             DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);
 
+            // Явный where(tenant_id) — defense-in-depth поверх RLS: роли с
+            // BYPASSRLS (crm_supplier_worker / dev-superuser) RLS не применяют,
+            // поэтому tenant-scope нельзя оставлять только на SET LOCAL.
             return User::query()
+                ->where('tenant_id', $tenantId)
                 ->whereNull('deleted_at')
                 ->where('is_active', true)
                 ->orderBy('first_name')

app/app/Http/Controllers/Api/ProjectController.php

@@ -52,16 +52,12 @@ class ProjectController extends Controller
 
         // Фильтр по статусу жизненного цикла
         $status = $request->query('status');
-        if ($status === 'archived') {
-            $query->archived();
-        } elseif ($status === 'active') {
-            $query->active()->where('is_active', true);
+        if ($status === 'active') {
+            $query->where('is_active', true);
         } elseif ($status === 'paused') {
-            $query->active()->where('is_active', false);
-        } else {
-            // По умолчанию: все не архивированные (active + paused)
-            $query->active();
+            $query->where('is_active', false);
         }
+        // default → no extra filter
 
         // Поиск по name и signal_identifier
         if ($search = $request->query('search')) {
@@ -111,11 +107,11 @@ class ProjectController extends Controller
         return response()->json(['data' => new ProjectResource($project)]);
     }
 
-    /** DELETE /api/projects/{id} — soft-archive (sets archived_at, is_active=false) */
+    /** DELETE /api/projects/{id} — hard delete (guard по сделкам: 422 если есть сделки) */
     public function destroy(Request $request, int $id): JsonResponse
     {
         $project = Project::where('tenant_id', $request->user()->tenant_id)->findOrFail($id);
-        $this->projects->archive($project);
+        $this->projects->delete($project);
 
         return response()->json(null, 204);
     }
@@ -139,7 +135,7 @@ class ProjectController extends Controller
         return response()->json(['data' => new ProjectResource($project->fresh())]);
     }
 
-    /** POST /api/projects/bulk — batch pause/resume/archive/update_regions/update_days/update_limit */
+    /** POST /api/projects/bulk — batch pause/resume/delete/update_regions/update_days/update_limit */
     public function bulk(BulkProjectActionRequest $request): JsonResponse
     {
         $tenantId = $request->user()->tenant_id;

app/app/Http/Controllers/Api/WebhookSettingsController.php

@@ -6,11 +6,13 @@ namespace App\Http\Controllers\Api;
 
 use App\Http\Controllers\Controller;
 use App\Models\OutboundWebhookSubscription;
+use App\Support\WebhookUrlGuard;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
 use Illuminate\Support\Facades\Hash;
 use Illuminate\Support\Facades\Http;
 use Illuminate\Support\Str;
+use Illuminate\Validation\ValidationException;
 use Symfony\Component\HttpFoundation\Response;
 
 /**
@@ -53,6 +55,16 @@ class WebhookSettingsController extends Controller
             'target_url' => ['required', 'string', 'url', 'max:2048', 'starts_with:https://'],
         ]);
 
+        // SSRF-гард на сохранении: не даём записать URL во внутреннюю/служебную
+        // сеть — тогда любой будущий потребитель (test() + будущая outbound-доставка
+        // событий) читает из БД только безопасные адреса. NB: будущая доставка
+        // обязана ВДОБАВОК звать WebhookUrlGuard перед отправкой (защита от
+        // DNS-rebinding: хост сохранён публичным, позже переразрешается в приватный).
+        $blockReason = WebhookUrlGuard::blockReason($validated['target_url']);
+        if ($blockReason !== null) {
+            throw ValidationException::withMessages(['target_url' => [$blockReason]]);
+        }
+
         $sub = $this->currentSubscription($request);
         $plainSecret = null;
 
@@ -95,14 +107,25 @@ class WebhookSettingsController extends Controller
             ], Response::HTTP_UNPROCESSABLE_ENTITY);
         }
 
+        // SSRF-гард: target_url задаёт админ тенанта; блокируем адреса во
+        // внутренней/зарезервированной сети (cloud-metadata 169.254.169.254,
+        // loopback, RFC1918), которые https://-валидация на сохранении не ловит.
+        $blockReason = WebhookUrlGuard::blockReason($sub->target_url);
+        if ($blockReason !== null) {
+            return response()->json([
+                'ok' => false,
+                'status' => null,
+                'message' => $blockReason,
+            ], Response::HTTP_UNPROCESSABLE_ENTITY);
+        }
+
         $testPayload = [
             'event' => 'webhook.test',
             'sent_at' => now()->toIso8601String(),
             'message' => 'Тестовая доставка webhook от Лидерра.',
         ];
 
-        // MVP: unsigned connectivity-проверка. SSRF-харднинг (блок приватных
-        // IP) — пост-MVP security-review; URL уже ограничен https:// валидацией.
+        // Unsigned connectivity-проверка (HMAC-подписанная доставка — отдельный эпик).
         try {
             $response = Http::timeout(10)
                 ->withHeaders(['X-Webhook-Event' => 'webhook.test'])

app/app/Http/Requests/BulkProjectActionRequest.php

@@ -20,7 +20,7 @@ class BulkProjectActionRequest extends FormRequest
 
         $rules = [
             'action' => ['required', Rule::in([
-                'pause', 'resume', 'archive',
+                'pause', 'resume', 'delete',
                 'update_regions', 'update_days', 'update_limit',
             ])],
             'ids' => ['nullable', 'array', 'max:500'],
@@ -28,7 +28,7 @@ class BulkProjectActionRequest extends FormRequest
             'scope' => ['nullable', 'array'],
             'scope.filter' => ['nullable', 'array'],
             'scope.filter.signal_type' => ['nullable', 'string', Rule::in(['site', 'call', 'sms'])],
-            'scope.filter.status' => ['nullable', 'string', Rule::in(['active', 'paused', 'archived'])],
+            'scope.filter.status' => ['nullable', 'string', Rule::in(['active', 'paused'])],
             'scope.filter.search' => ['nullable', 'string', 'max:255'],
         ];
 

app/app/Http/Resources/ProjectResource.php

@@ -13,9 +13,6 @@ class ProjectResource extends JsonResource
 {
     public function toArray(Request $request): array
     {
-        /** @var Project $project */
-        $project = $this->resource;
-
         return [
             'id' => $this->id,
             'name' => $this->name,
@@ -28,7 +25,6 @@ class ProjectResource extends JsonResource
             'delivered_today' => $this->delivered_today,
             'delivered_in_month' => $this->delivered_in_month,
             'is_active' => $this->is_active,
-            'archived_at' => $project->archived_at?->toIso8601String(),
             'region_mask' => $this->region_mask,
             'region_mode' => $this->region_mode,
             'regions' => $this->regions,

app/app/Jobs/Supplier/DeleteSupplierProjectJob.php

@@ -0,0 +1,80 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Jobs\Supplier;
+
+use App\Models\SupplierProject;
+use App\Services\Supplier\SupplierPortalClient;
+use Illuminate\Bus\Queueable;
+use Illuminate\Contracts\Queue\ShouldQueue;
+use Illuminate\Foundation\Bus\Dispatchable;
+use Illuminate\Queue\InteractsWithQueue;
+use Illuminate\Queue\SerializesModels;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Log;
+use Throwable;
+
+/**
+ * Удаление/пере-синк доноров у поставщика после удаления Лидерра-проекта.
+ *
+ * Для каждого supplier_project S (донора), к которому был привязан удалённый проект:
+ *   - остались другие потребители (project_supplier_links) → донор нужен другим клиентам:
+ *     НЕ удаляем у поставщика, пере-синкаем агрегат (SyncSupplierProjectsJob).
+ *   - потребителей не осталось → удаляем у поставщика (deleteProject) + локальную запись S.
+ *
+ * Spec: docs/superpowers/specs/2026-05-21-project-delete-dedup-errors-design.md §Решение 2.
+ */
+class DeleteSupplierProjectJob implements ShouldQueue
+{
+    use Dispatchable, InteractsWithQueue, Queueable, SerializesModels;
+
+    public int $tries = 3;
+
+    public int $backoff = 60;
+
+    public const string DB_CONNECTION = 'pgsql_supplier';
+
+    /** @param array<int,int> $supplierProjectIds */
+    public function __construct(public array $supplierProjectIds) {}
+
+    public function handle(SupplierPortalClient $client): void
+    {
+        $needsResync = false;
+
+        foreach ($this->supplierProjectIds as $id) {
+            $sp = SupplierProject::on(self::DB_CONNECTION)->find($id);
+            if ($sp === null) {
+                continue;
+            }
+
+            $remaining = DB::connection(self::DB_CONNECTION)
+                ->table('project_supplier_links')
+                ->where('supplier_project_id', $id)
+                ->count();
+
+            if ($remaining > 0) {
+                $needsResync = true;
+
+                continue;
+            }
+
+            if ($sp->supplier_external_id !== null && $sp->supplier_external_id !== '') {
+                try {
+                    $client->deleteProject((int) $sp->supplier_external_id);
+                } catch (Throwable $e) {
+                    Log::warning('supplier.delete_donor_failed', [
+                        'supplier_project_id' => $id, 'error' => $e->getMessage(),
+                    ]);
+                    throw $e; // retry the job
+                }
+            }
+
+            $sp->delete();
+        }
+
+        if ($needsResync) {
+            SyncSupplierProjectsJob::dispatch();
+        }
+    }
+}

app/app/Jobs/Supplier/SyncSupplierProjectsJob.php

@@ -37,7 +37,7 @@ use Throwable;
  * (расписание перенесено 20:30 → 18:00, см. routes/console.php).
  *
  * Алгоритм (план 3 Task 5 → переработан: one-group-per-identifier):
- *   1. Загрузить активные Лидерра-projects (is_active=true, archived_at IS NULL).
+ *   1. Загрузить активные Лидерра-projects (is_active=true).
  *   2. Сгруппировать по (signal_type, identifier) — БЕЗ subject_code:
  *      - identifier = buildUniqueKeyAgnostic() (site/call → signal_identifier; sms+keyword → sender+keyword; sms → sender).
  *      - platforms = resolvePlatforms() (site/call → B1+B2+B3; sms+keyword → B2+B3; sms → B3).
@@ -86,7 +86,6 @@ class SyncSupplierProjectsJob implements ShouldQueue
         /** @var Collection<int, Project> $projects */
         $projects = Project::on(self::DB_CONNECTION)
             ->where('is_active', true)
-            ->whereNull('archived_at')
             ->orderBy('id')
             ->get();
 
@@ -211,6 +210,10 @@ class SyncSupplierProjectsJob implements ShouldQueue
         $eligibleLimits = array_map(fn (Project $p) => (int) $p->daily_limit_target, $eligible);
         $order = SupplierQuotaAllocator::computeOrder($eligibleLimits);
 
+        // Split the group order across platforms so Σ per-platform == order. The portal does
+        // NOT divide (verified live 2026-05-21) — the full order on each B = order ×N overspend.
+        $shares = SupplierQuotaAllocator::distributeForPlatform($order, $platforms);
+
         $workdaysUnion = [];
         foreach ($eligible as $p) {
             foreach ($this->bitmaskToList((int) $p->delivery_days_mask, 7) as $d) {
@@ -236,24 +239,25 @@ class SyncSupplierProjectsJob implements ShouldQueue
             ->get();
 
         if ($existingSps->isEmpty()) {
-            // Create path: saveProjectMultiFlag → [platform => external_id]
-            $dto = new SupplierProjectDto(
-                platform: $platforms[0],
-                signalType: $signalType,
-                uniqueKey: $identifier,
-                limit: $order,
-                workdays: $workdays,
-                regions: $allRegions,
-                regionsReverse: false,
-                status: 'active',
-                tag: $tag,
-                platforms: $platforms,
-            );
-
-            $idMap = $this->client->saveProjectMultiFlag($dto);
-
-            // Upsert supplier_projects rows (one per platform)
+            // Create path: one save PER platform with that platform's divided share
+            // (single-flag save → exactly one rt-project, reliable id via listProjects match).
+            // Throws propagate to handle() catch (failover-counter); rows persisted for earlier
+            // platforms before a throw are recovered next run via the missing-set recovery below.
             foreach ($platforms as $platform) {
+                $dto = new SupplierProjectDto(
+                    platform: $platform,
+                    signalType: $signalType,
+                    uniqueKey: $identifier,
+                    limit: $shares[$platform] ?? 0,
+                    workdays: $workdays,
+                    regions: $allRegions,
+                    regionsReverse: false,
+                    status: 'active',
+                    tag: $tag,
+                    platforms: [$platform],
+                );
+
+                $idMap = $this->client->saveProjectMultiFlag($dto);
                 $externalId = $idMap[$platform] ?? null;
                 if ($externalId === null) {
                     continue;
@@ -265,7 +269,7 @@ class SyncSupplierProjectsJob implements ShouldQueue
                     'unique_key' => $identifier,
                     'subject_code' => null,
                     'supplier_external_id' => (string) $externalId,
-                    'current_limit' => $order,
+                    'current_limit' => $shares[$platform] ?? 0,
                     'current_workdays' => $workdays,
                     'current_regions' => $allRegions,
                     'sync_status' => 'ok',
@@ -282,6 +286,50 @@ class SyncSupplierProjectsJob implements ShouldQueue
                 $existingSps->push($sp);
             }
         } else {
+            // External-deletion recovery: донор мог быть удалён на портале → external_id
+            // в нашей БД мёртв, updateProject его молча no-op'ит. Сверяемся со списком живых
+            // проектов портала и пересоздаём недостающих in-place (НЕ удаляя записи — на них
+            // могут висеть лиды/списания). Throws пропагируют в outer handle() catch
+            // (SupplierAuth/Transient/Client) — failover-counter semantics сохраняется.
+            $livePortalIds = collect($this->client->listProjects())
+                ->map(fn ($p) => (string) ($p['id'] ?? ''))
+                ->filter()
+                ->all();
+
+            $deadSps = $existingSps->filter(
+                fn (SupplierProject $sp) => $sp->supplier_external_id !== null
+                    && ! in_array((string) $sp->supplier_external_id, $livePortalIds, true)
+            );
+
+            if ($deadSps->isNotEmpty()) {
+                foreach ($deadSps as $sp) {
+                    $recreateDto = new SupplierProjectDto(
+                        platform: $sp->platform,
+                        signalType: $signalType,
+                        uniqueKey: $identifier,
+                        limit: $shares[$sp->platform] ?? 0,
+                        workdays: $workdays,
+                        regions: $allRegions,
+                        regionsReverse: false,
+                        status: 'active',
+                        tag: $tag,
+                        platforms: [$sp->platform],
+                    );
+
+                    $recreatedIdMap = $this->client->saveProjectMultiFlag($recreateDto);
+                    $newId = $recreatedIdMap[$sp->platform] ?? null;
+                    if ($newId !== null) {
+                        $sp->forceFill(['supplier_external_id' => (string) $newId])->save();
+                        SupplierSyncLog::on(self::DB_CONNECTION)->create([
+                            'supplier_project_id' => $sp->id,
+                            'action' => 'create',
+                            'http_status' => 200,
+                            'created_at' => now(),
+                        ]);
+                    }
+                }
+            }
+
             // Fix #3 (review-followup): partial-set recovery — если предыдущий run создал
             // не все platforms (e.g. B1+B2 OK, B3 escalated), re-attempt missing via multi-flag
             // save с platforms=$missingPlatforms. Throws пропагируют в outer handle() catch
@@ -290,22 +338,21 @@ class SyncSupplierProjectsJob implements ShouldQueue
             $missingPlatforms = array_values(array_diff($platforms, $existingPlatforms));
 
             if ($missingPlatforms !== []) {
-                $missingDto = new SupplierProjectDto(
-                    platform: $missingPlatforms[0],
-                    signalType: $signalType,
-                    uniqueKey: $identifier,
-                    limit: $order,
-                    workdays: $workdays,
-                    regions: $allRegions,
-                    regionsReverse: false,
-                    status: 'active',
-                    tag: $tag,
-                    platforms: $missingPlatforms,
-                );
-
-                $missingIdMap = $this->client->saveProjectMultiFlag($missingDto);
-
                 foreach ($missingPlatforms as $platform) {
+                    $missingDto = new SupplierProjectDto(
+                        platform: $platform,
+                        signalType: $signalType,
+                        uniqueKey: $identifier,
+                        limit: $shares[$platform] ?? 0,
+                        workdays: $workdays,
+                        regions: $allRegions,
+                        regionsReverse: false,
+                        status: 'active',
+                        tag: $tag,
+                        platforms: [$platform],
+                    );
+
+                    $missingIdMap = $this->client->saveProjectMultiFlag($missingDto);
                     $externalId = $missingIdMap[$platform] ?? null;
                     if ($externalId === null) {
                         continue;
@@ -316,7 +363,7 @@ class SyncSupplierProjectsJob implements ShouldQueue
                         'unique_key' => $identifier,
                         'subject_code' => null,
                         'supplier_external_id' => (string) $externalId,
-                        'current_limit' => $order,
+                        'current_limit' => $shares[$platform] ?? 0,
                         'current_workdays' => $workdays,
                         'current_regions' => $allRegions,
                         'sync_status' => 'ok',
@@ -332,9 +379,9 @@ class SyncSupplierProjectsJob implements ShouldQueue
                 }
             }
 
-            // Fix #2 (review-followup): per-platform DTO в update-loop, чтобы portal получал
-            // правильные srcrt/srcbl/srcmt для конкретной редактируемой строки (не first()
-            // из mixed-platform existing set). R6 one shared limit/regions сохраняется.
+            // per-platform DTO в update-loop: portal получает правильные srcrt/srcbl/srcmt для
+            // конкретной строки + её долю лимита ($shares), чтобы Σ по площадкам == order
+            // (а не order на каждой). Regions/workdays общие для группы.
             foreach ($existingSps as $sp) {
                 if ($sp->supplier_external_id === null) {
                     continue;
@@ -343,7 +390,7 @@ class SyncSupplierProjectsJob implements ShouldQueue
                     platform: $sp->platform,
                     signalType: $signalType,
                     uniqueKey: $identifier,
-                    limit: $order,
+                    limit: $shares[$sp->platform] ?? 0,
                     workdays: $workdays,
                     regions: $allRegions,
                     regionsReverse: false,
@@ -353,7 +400,7 @@ class SyncSupplierProjectsJob implements ShouldQueue
                 );
                 $this->channel->updateProject((int) $sp->supplier_external_id, $perPlatformDto);
                 $sp->forceFill([
-                    'current_limit' => $order,
+                    'current_limit' => $shares[$sp->platform] ?? 0,
                     'current_workdays' => $workdays,
                     'current_regions' => $allRegions,
                     'sync_status' => 'ok',

app/app/Jobs/SyncSupplierProjectJob.php

@@ -14,6 +14,7 @@ use App\Services\Supplier\Dto\SupplierProjectDto;
 use App\Services\Supplier\SupplierExportMode;
 use App\Services\Supplier\SupplierPortalClient;
 use App\Services\Supplier\SupplierProjectGrouping;
+use App\Services\Supplier\SupplierQuotaAllocator;
 use App\Support\RussianRegions;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
@@ -60,11 +61,23 @@ class SyncSupplierProjectJob implements ShouldQueue
     /** @var array<int, int> */
     public array $backoff = [15, 60, 300];
 
+    /**
+     * BYPASSRLS-роль crm_supplier_worker для всех DB-операций (как у всех supplier-flow
+     * джобов: SyncSupplierProjectsJob/DeleteSupplierProjectJob/CsvReconcileJob/…).
+     *
+     * Джоб запускается из очереди, где SetTenantContext-прослойка не отрабатывает и
+     * app.current_tenant_id GUC не установлен. Под обычной ролью crm_app_user первый же
+     * SELECT по projects падает 42704 (unrecognized configuration parameter
+     * "app.current_tenant_id"). На dev не всплывало — там DB_USERNAME=postgres (superuser,
+     * RLS обходится). Plan 3 Task 3 learning.
+     */
+    public const DB_CONNECTION = 'pgsql_supplier';
+
     public function __construct(public int $projectId) {}
 
     public function handle(SupplierProjectChannel $channel): void
     {
-        $project = Project::find($this->projectId);
+        $project = Project::on(self::DB_CONNECTION)->find($this->projectId);
 
         if ($project === null) {
             Log::warning("SyncSupplierProjectJob: project {$this->projectId} not found — skipping");
@@ -104,43 +117,22 @@ class SyncSupplierProjectJob implements ShouldQueue
 
         $workdays = $this->workdaysFromMask((int) $project->delivery_days_mask);
 
+        // Split the limit across the platforms so Σ per-platform limits == project limit.
+        // The portal does NOT divide (verified live 2026-05-21) — replicating the full limit
+        // to B1/B2/B3 = order ×N (overspend). See SupplierQuotaAllocator::distributeForPlatform.
+        $shares = SupplierQuotaAllocator::distributeForPlatform((int) $project->daily_limit_target, $platforms);
+
         // Idempotency: find existing by identifier regardless of subject_code (any previous run).
-        $existingSps = SupplierProject::query()
+        $existingSps = SupplierProject::on(self::DB_CONNECTION)
             ->where('unique_key', $identifier)
             ->where('signal_type', (string) $project->signal_type)
             ->whereIn('platform', $platforms)
             ->get();
 
         if ($existingSps->isEmpty()) {
-            // Create path: saveProjectMultiFlag → [platform => external_id]
-            $dto = new SupplierProjectDto(
-                platform: $platforms[0],
-                signalType: (string) $project->signal_type,
-                uniqueKey: $identifier,
-                limit: (int) $project->daily_limit_target,
-                workdays: $workdays,
-                regions: $allRegions,
-                regionsReverse: false,
-                status: 'active',
-                tag: $tag,
-                platforms: $platforms,
-            );
-
-            try {
-                $idMap = $client->saveProjectMultiFlag($dto);
-            } catch (TierEscalatedException $e) {
-                Log::info("SyncSupplierProjectJob: project {$project->id} escalated to manual queue #{$e->queueRowId}");
-
-                return;
-            } catch (WindowDeferredException) {
-                Log::info("SyncSupplierProjectJob: project {$project->id} deferred by portal window");
-
-                return;
-            } catch (\Throwable $e) {
-                Log::warning("SyncSupplierProjectJob: online multi-flag save failed for project {$project->id} (".get_class($e).'): '.$e->getMessage());
-
-                return;
-            }
+            // Create path: one save PER platform with that platform's divided share
+            // (single-flag save → exactly one rt-project, reliable id via listProjects match).
+            $idMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $platforms);
 
             foreach ($platforms as $platform) {
                 $externalId = $idMap[$platform] ?? null;
@@ -148,13 +140,13 @@ class SyncSupplierProjectJob implements ShouldQueue
                     continue;
                 }
 
-                $sp = SupplierProject::create([
+                $sp = SupplierProject::on(self::DB_CONNECTION)->create([
                     'platform' => $platform,
                     'signal_type' => (string) $project->signal_type,
                     'unique_key' => $identifier,
                     'subject_code' => null,
                     'supplier_external_id' => (string) $externalId,
-                    'current_limit' => (int) $project->daily_limit_target,
+                    'current_limit' => $shares[$platform] ?? 0,
                     'current_workdays' => $workdays,
                     'current_regions' => $allRegions,
                     'sync_status' => 'ok',
@@ -164,49 +156,52 @@ class SyncSupplierProjectJob implements ShouldQueue
                 $existingSps->push($sp);
             }
         } else {
+            // External-deletion recovery: донор мог быть удалён на портале (вручную или
+            // прошлым hard-delete). Тогда external_id в нашей БД мёртв, а updateProject
+            // такого id портал молча принимает (no-op) — донор не пересоздаётся. Поэтому
+            // сверяемся со списком живых проектов портала и пересоздаём недостающих
+            // in-place (НЕ удаляя записи — на supplier_project могут висеть лиды/списания).
+            $livePortalIds = collect($client->listProjects())
+                ->map(fn ($p) => (string) ($p['id'] ?? ''))
+                ->filter()
+                ->all();
+
+            $deadSps = $existingSps->filter(
+                fn (SupplierProject $sp) => $sp->supplier_external_id !== null
+                    && ! in_array((string) $sp->supplier_external_id, $livePortalIds, true)
+            );
+
+            if ($deadSps->isNotEmpty()) {
+                $deadPlatforms = array_values($deadSps->pluck('platform')->all());
+                $recreatedIdMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $deadPlatforms);
+
+                foreach ($deadSps as $sp) {
+                    $newId = $recreatedIdMap[$sp->platform] ?? null;
+                    if ($newId !== null) {
+                        $sp->forceFill(['supplier_external_id' => (string) $newId])->save();
+                    }
+                }
+            }
+
             // Partial-set recovery: если предыдущий run создал не все platforms.
             $existingPlatforms = $existingSps->pluck('platform')->all();
             $missingPlatforms = array_values(array_diff($platforms, $existingPlatforms));
 
             if ($missingPlatforms !== []) {
-                $missingDto = new SupplierProjectDto(
-                    platform: $missingPlatforms[0],
-                    signalType: (string) $project->signal_type,
-                    uniqueKey: $identifier,
-                    limit: (int) $project->daily_limit_target,
-                    workdays: $workdays,
-                    regions: $allRegions,
-                    regionsReverse: false,
-                    status: 'active',
-                    tag: $tag,
-                    platforms: $missingPlatforms,
-                );
-
-                try {
-                    $missingIdMap = $client->saveProjectMultiFlag($missingDto);
-                } catch (TierEscalatedException $e) {
-                    Log::info("SyncSupplierProjectJob: project {$project->id} missing-platform re-attempt escalated #{$e->queueRowId}");
-                    $missingIdMap = [];
-                } catch (WindowDeferredException) {
-                    Log::info("SyncSupplierProjectJob: project {$project->id} missing-platform deferred by portal window");
-                    $missingIdMap = [];
-                } catch (\Throwable $e) {
-                    Log::warning("SyncSupplierProjectJob: missing-platform multi-flag failed for project {$project->id}: ".$e->getMessage());
-                    $missingIdMap = [];
-                }
+                $missingIdMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $missingPlatforms);
 
                 foreach ($missingPlatforms as $platform) {
                     $externalId = $missingIdMap[$platform] ?? null;
                     if ($externalId === null) {
                         continue;
                     }
-                    $sp = SupplierProject::create([
+                    $sp = SupplierProject::on(self::DB_CONNECTION)->create([
                         'platform' => $platform,
                         'signal_type' => (string) $project->signal_type,
                         'unique_key' => $identifier,
                         'subject_code' => null,
                         'supplier_external_id' => (string) $externalId,
-                        'current_limit' => (int) $project->daily_limit_target,
+                        'current_limit' => $shares[$platform] ?? 0,
                         'current_workdays' => $workdays,
                         'current_regions' => $allRegions,
                         'sync_status' => 'ok',
@@ -225,7 +220,7 @@ class SyncSupplierProjectJob implements ShouldQueue
                     platform: $sp->platform,
                     signalType: (string) $project->signal_type,
                     uniqueKey: $identifier,
-                    limit: (int) $project->daily_limit_target,
+                    limit: $shares[$sp->platform] ?? 0,
                     workdays: $workdays,
                     regions: $allRegions,
                     regionsReverse: false,
@@ -235,7 +230,7 @@ class SyncSupplierProjectJob implements ShouldQueue
                 );
                 $channel->updateProject((int) $sp->supplier_external_id, $perPlatformDto);
                 $sp->forceFill([
-                    'current_limit' => (int) $project->daily_limit_target,
+                    'current_limit' => $shares[$sp->platform] ?? 0,
                     'current_workdays' => $workdays,
                     'current_regions' => $allRegions,
                     'sync_status' => 'ok',
@@ -246,13 +241,22 @@ class SyncSupplierProjectJob implements ShouldQueue
 
         // Pivot: project × each supplier_project → ON CONFLICT DO NOTHING
         foreach ($existingSps as $sp) {
-            DB::table('project_supplier_links')->insertOrIgnore([
+            DB::connection(self::DB_CONNECTION)->table('project_supplier_links')->insertOrIgnore([
                 'project_id' => $project->id,
                 'supplier_project_id' => $sp->id,
                 'platform' => $sp->platform,
                 'subject_code' => null,
             ]);
         }
+
+        // Mirror the link into the legacy FK columns (supplier_b{1,2,3}_project_id) so the
+        // UI sync-status (ProjectResource → aggregateSyncStatus, which reads supplierB1/B2/B3)
+        // reflects the synced stack in online mode too — online primarily uses the pivot.
+        foreach ($existingSps as $sp) {
+            $column = 'supplier_'.strtolower((string) $sp->platform).'_project_id';
+            $project->{$column} = $sp->id;
+        }
+        $project->save();
     }
 
     // -------------------------------------------------------------------------
@@ -269,7 +273,7 @@ class SyncSupplierProjectJob implements ShouldQueue
             $column = 'supplier_'.strtolower($platform).'_project_id';
 
             // Idempotency: local supplier_projects-запись уже есть?
-            $existing = SupplierProject::query()
+            $existing = SupplierProject::on(self::DB_CONNECTION)
                 ->where('platform', $platform)
                 ->where('signal_type', $project->signal_type)
                 ->where('unique_key', $uniqueKey)
@@ -306,7 +310,7 @@ class SyncSupplierProjectJob implements ShouldQueue
                 continue;
             }
 
-            $sp = SupplierProject::query()->create([
+            $sp = SupplierProject::on(self::DB_CONNECTION)->create([
                 'platform' => $platform,
                 'signal_type' => $project->signal_type,
                 'unique_key' => $uniqueKey,
@@ -323,6 +327,68 @@ class SyncSupplierProjectJob implements ShouldQueue
         $project->save();
     }
 
+    /**
+     * Создаёт проекты на портале ПО ОДНОМУ на платформу с её долей лимита ($shares).
+     *
+     * Один single-flag save = ровно один rt-проект → надёжный id через listProjects-матч.
+     * Так per-platform лимит = доля (Σ == заказу), а не полный лимит на каждой площадке.
+     * Per-platform tolerance: tier-escalation / window-defer / прочая ошибка одной площадки
+     * не валит остальные — пропускаем, следующий run (или ночной батч) подберёт недостающее.
+     *
+     * @param  array<string, int>  $shares  [platform => лимит площадки]
+     * @param  list<string>  $platformsToCreate
+     * @return array<string, int> [platform => external_id] для успешно созданных
+     */
+    private function createPerPlatform(
+        SupplierPortalClient $client,
+        Project $project,
+        string $identifier,
+        string $tag,
+        array $workdays,
+        array $allRegions,
+        array $shares,
+        array $platformsToCreate,
+    ): array {
+        $idMap = [];
+
+        foreach ($platformsToCreate as $platform) {
+            $dto = new SupplierProjectDto(
+                platform: $platform,
+                signalType: (string) $project->signal_type,
+                uniqueKey: $identifier,
+                limit: $shares[$platform] ?? 0,
+                workdays: $workdays,
+                regions: $allRegions,
+                regionsReverse: false,
+                status: 'active',
+                tag: $tag,
+                platforms: [$platform],
+            );
+
+            try {
+                $result = $client->saveProjectMultiFlag($dto);
+            } catch (TierEscalatedException $e) {
+                Log::info("SyncSupplierProjectJob: project {$project->id} {$platform} escalated to manual queue #{$e->queueRowId}");
+
+                continue;
+            } catch (WindowDeferredException) {
+                Log::info("SyncSupplierProjectJob: project {$project->id} {$platform} deferred by portal window");
+
+                continue;
+            } catch (\Throwable $e) {
+                Log::warning("SyncSupplierProjectJob: online per-platform save failed for project {$project->id} {$platform} (".get_class($e).'): '.$e->getMessage());
+
+                continue;
+            }
+
+            if (isset($result[$platform])) {
+                $idMap[$platform] = $result[$platform];
+            }
+        }
+
+        return $idMap;
+    }
+
     /**
      * Bitmask → ISO weekday list. bit 0 = Mon (ISO 1) … bit 6 = Sun (ISO 7).
      *

app/app/Models/Project.php

@@ -40,8 +40,6 @@ class Project extends Model
         'tag',
         'type',
         'is_active',
-        // Plan 5 Task 1 (schema v8.20): soft archive flow — lifecycle-state рядом с is_active.
-        'archived_at',
         'daily_limit_target',
         'effective_daily_limit_today',
         'effective_limit_calculated_at',
@@ -87,8 +85,6 @@ class Project extends Model
             'sms_senders' => 'array',
             'delivered_in_month' => 'integer',
             'delivered_today' => 'integer',
-            // Plan 5 Task 1 (schema v8.20): soft archive.
-            'archived_at' => 'datetime',
         ];
     }
 
@@ -151,33 +147,6 @@ class Project extends Model
         return $query->where('signal_type', $signalType)->where('signal_identifier', $identifier);
     }
 
-    /**
-     * Не архивированные проекты (archived_at IS NULL).
-     *
-     * Внимание: scope не фильтрует is_active. Приостановленные (is_active=false)
-     * проекты сюда попадают — это разные lifecycle-состояния. Если нужны только
-     * «работающие» (не архив И не на паузе) — комбинируйте:
-     * ->active()->where('is_active', true).
-     *
-     * @param  Builder<Project>  $query
-     * @return Builder<Project>
-     */
-    public function scopeActive(Builder $query): Builder
-    {
-        return $query->whereNull('archived_at');
-    }
-
-    /**
-     * Архивированные проекты (archived_at IS NOT NULL).
-     *
-     * @param  Builder<Project>  $query
-     * @return Builder<Project>
-     */
-    public function scopeArchived(Builder $query): Builder
-    {
-        return $query->whereNotNull('archived_at');
-    }
-
     /**
      * Все связанные SupplierProject из eager-loaded BelongsTo отношений.
      *

app/app/Services/Project/ProjectService.php

@@ -4,10 +4,12 @@ declare(strict_types=1);
 
 namespace App\Services\Project;
 
+use App\Jobs\Supplier\DeleteSupplierProjectJob;
 use App\Jobs\SyncSupplierProjectJob;
 use App\Models\Project;
 use App\Models\Tenant;
 use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\DB;
 
 class ProjectService
 {
@@ -19,7 +21,6 @@ class ProjectService
             $data['tenant_id'], $data['signal_type'],
             $data['delivered_today'], $data['delivered_in_month'],
             $data['supplier_b1_project_id'], $data['supplier_b2_project_id'], $data['supplier_b3_project_id'],
-            $data['archived_at'],
         );
 
         if (isset($data['daily_limit_target']) && $data['daily_limit_target'] < $project->delivered_today) {
@@ -41,6 +42,18 @@ class ProjectService
             || array_key_exists('daily_limit_target', $data)
             || array_key_exists('delivery_days_mask', $data);
 
+        if (array_key_exists('signal_identifier', $data) || array_key_exists('sms_senders', $data) || array_key_exists('sms_keyword', $data)) {
+            $this->assertSourceUnique($project->tenant_id, array_merge([
+                'signal_type' => $project->signal_type,
+                'signal_identifier' => $project->signal_identifier,
+                'sms_senders' => $project->sms_senders,
+                'sms_keyword' => $project->sms_keyword,
+            ], $data), exceptId: $project->id);
+        }
+        if (array_key_exists('name', $data)) {
+            $this->assertNameUnique($project->tenant_id, (string) $data['name'], exceptId: $project->id);
+        }
+
         $project->update($data);
 
         if ($needsResync) {
@@ -50,17 +63,26 @@ class ProjectService
         return $project->fresh();
     }
 
-    public function archive(Project $project): void
+    public function delete(Project $project): void
     {
-        if ($project->archived_at !== null) {
+        $hasDeals = DB::table('deals')->where('project_id', $project->id)->exists();
+        if ($hasDeals) {
             throw new HttpResponseException(response()->json([
-                'message' => 'Project уже архивирован.',
-            ], 409));
+                'errors' => ['project' => ['Нельзя удалить проект: по нему есть сделки. Поставьте приём на паузу, чтобы скрыть проект из работы.']],
+            ], 422));
+        }
+
+        // Капчим доноров ДО удаления — pivot уйдёт каскадом.
+        $supplierProjectIds = DB::table('project_supplier_links')
+            ->where('project_id', $project->id)
+            ->pluck('supplier_project_id')
+            ->all();
+
+        $project->delete(); // hard delete (Project без SoftDeletes); cascade чистит pivot + служебные.
+
+        if ($supplierProjectIds !== []) {
+            DeleteSupplierProjectJob::dispatch(array_map('intval', $supplierProjectIds));
         }
-        $project->update([
-            'is_active' => false,
-            'archived_at' => now(),
-        ]);
     }
 
     public function triggerSync(Project $project): void
@@ -83,9 +105,8 @@ class ProjectService
         }
         if (! empty($filter['status'])) {
             match ($filter['status']) {
-                'active' => $query->where('is_active', true)->whereNull('archived_at'),
-                'paused' => $query->where('is_active', false)->whereNull('archived_at'),
-                'archived' => $query->whereNotNull('archived_at'),
+                'active' => $query->where('is_active', true),
+                'paused' => $query->where('is_active', false),
                 default => null,
             };
         }
@@ -108,7 +129,7 @@ class ProjectService
         return match ($action) {
             'pause' => $this->bulkSimpleUpdate($query, ['is_active' => false]),
             'resume' => $this->bulkSimpleUpdate($query, ['is_active' => true]),
-            'archive' => $this->bulkSimpleUpdate($query, ['is_active' => false, 'archived_at' => now()]),
+            'delete' => $this->bulkDelete($query),
             'update_regions' => $this->bulkUpdateRegions($query, $payload),
             'update_days' => $this->bulkUpdateDays($query, $payload),
             'update_limit' => $this->bulkUpdateLimit($query, $payload),
@@ -122,6 +143,29 @@ class ProjectService
         return ['updated' => $updated, 'skipped' => [], 'warnings' => []];
     }
 
+    private function bulkDelete($query): array
+    {
+        $projects = (clone $query)->get(['id']);
+        $deleted = 0;
+        $skipped = [];
+
+        foreach ($projects as $p) {
+            $model = Project::find($p->id);
+            if ($model === null) {
+                continue;
+            }
+
+            try {
+                $this->delete($model);
+                $deleted++;
+            } catch (HttpResponseException) {
+                $skipped[] = ['id' => $p->id, 'reason' => 'has_deals'];
+            }
+        }
+
+        return ['updated' => $deleted, 'skipped' => $skipped, 'warnings' => []];
+    }
+
     /**
      * Plan 6.5: субъект-уровневый bulk-edit `regions` INT[].
      *
@@ -213,10 +257,60 @@ class ProjectService
         return ['updated' => $updated, 'skipped' => $skipped, 'warnings' => []];
     }
 
+    private function assertNameUnique(int $tenantId, string $name, ?int $exceptId = null): void
+    {
+        $q = Project::where('tenant_id', $tenantId)->where('name', $name);
+        if ($exceptId !== null) {
+            $q->where('id', '!=', $exceptId);
+        }
+        if ($q->exists()) {
+            throw new HttpResponseException(response()->json([
+                'errors' => ['name' => ['Проект с таким названием у вас уже есть. Выберите другое название.']],
+            ], 422));
+        }
+    }
+
+    /** @param array<string,mixed> $data */
+    private function assertSourceUnique(int $tenantId, array $data, ?int $exceptId = null): void
+    {
+        $signalType = $data['signal_type'] ?? null;
+        $q = Project::where('tenant_id', $tenantId)->where('signal_type', $signalType);
+        if ($exceptId !== null) {
+            $q->where('id', '!=', $exceptId);
+        }
+
+        if (in_array($signalType, ['call', 'site'], true)) {
+            $identifier = (string) ($data['signal_identifier'] ?? '');
+            if ($identifier === '') {
+                return;
+            }
+            $q->where('signal_identifier', $identifier);
+        } elseif ($signalType === 'sms') {
+            $senders = (array) ($data['sms_senders'] ?? []);
+            $norm = collect($senders)->map(fn ($s) => mb_strtolower(trim((string) $s)))->sort()->values()->all();
+            if ($norm === []) {
+                return;
+            }
+            $keyword = $data['sms_keyword'] ?? null;
+            $q->where('sms_keyword', $keyword)
+                ->whereJsonContains('sms_senders', $norm)
+                ->whereRaw('jsonb_array_length(sms_senders::jsonb) = ?', [count($norm)]);
+        } else {
+            return;
+        }
+
+        $existing = $q->first();
+        if ($existing !== null) {
+            throw new HttpResponseException(response()->json([
+                'errors' => ['signal_identifier' => ["У вас уже есть проект с этим источником: «{$existing->name}»."]],
+            ], 422));
+        }
+    }
+
     public function create(Tenant $tenant, array $data): Project
     {
         $limit = (int) ($tenant->limits['max_projects'] ?? 10);
-        $current = Project::where('tenant_id', $tenant->id)->active()->count();
+        $current = Project::where('tenant_id', $tenant->id)->count();
         if ($current >= $limit) {
             throw new HttpResponseException(response()->json([
                 'message' => "Достигнут лимит проектов ({$limit}). Смените тариф.",
@@ -230,6 +324,10 @@ class ProjectService
         // PhonePrefixService / LeadRouter, удаляются в Plan 6.5 после переключения читателей.
         $data['region_mask'] = 255;
         $data['region_mode'] = 'include';
+
+        $this->assertNameUnique($tenant->id, (string) $data['name']);
+        $this->assertSourceUnique($tenant->id, $data);
+
         $project = Project::create($data);
 
         SyncSupplierProjectJob::dispatch($project->id);

app/app/Services/Supplier/SupplierPortalClient.php

@@ -9,6 +9,7 @@ use App\Exceptions\Supplier\SupplierClientException;
 use App\Exceptions\Supplier\SupplierTransientException;
 use App\Jobs\Supplier\RefreshSupplierSessionJob;
 use App\Services\Supplier\Dto\SupplierProjectDto;
+use App\Support\SupplierRegions;
 use Carbon\CarbonInterface;
 use Illuminate\Http\Client\ConnectionException;
 use Illuminate\Http\Client\Factory as HttpFactory;
@@ -477,7 +478,10 @@ class SupplierPortalClient
             'srcseg' => false,
             'limit' => $dto->limit,
             'workdays' => $workdays,
-            'regions' => $dto->regions,
+            // DTO несёт Лидерра-коды (конституционный порядок); поставщик ждёт
+            // свои коды (ГИБДД). Без перевода уходил чужой регион (Красноярский 29
+            // → Архангельск 29). См. App\Support\SupplierRegions.
+            'regions' => SupplierRegions::mapToSupplier($dto->regions),
             'regions_reverse' => $dto->regionsReverse,
             'status' => $dto->status === 'active',
             'show' => true,

app/app/Services/Supplier/SupplierQuotaAllocator.php

@@ -11,14 +11,19 @@ use Illuminate\Support\Collection;
 /**
  * Pure function: формула заказа у поставщика на (источник × субъект).
  *
- * Эпик миграции проектов (Plan 3): platform-split B1/B2/B3 удалён — портал
- * делит лимит сам (R6). Один лимит на группу eligible-клиентов:
+ * Заказ группы eligible-клиентов:
  *
  *   order = max(наибольший_лимит, ceil(Σ_лимитов / 3))
  *
- *     ceil(Σ/3) — ёмкость шаринга (лид продаётся ≤3 раз).
+ *     ceil(Σ/3) — ёмкость шаринга (лид продаётся ≤3 раз клиентам Лидерры).
  *     наиб      — крупнейший клиент должен иметь шанс добрать.
  *
+ * Этот `order` затем ДЕЛИТСЯ между площадками B1/B2/B3 через distributeForPlatform()
+ * так, чтобы Σ per-platform лимитов == order. Портал НЕ делит сам: проверено вживую
+ * 2026-05-21 (listProjects) — каждый B-проект честно набирает до своего лимита
+ * независимо, поэтому одинаковый лимит на 3 площадках = заказ ×3 (переплата).
+ * Plan 3 R6 («портал делит, verified 15→5») оказался ложным — split восстановлен.
+ *
  * `allocate()` оставлен с прежней сигнатурой для временной совместимости
  * c SyncSupplierProjectsJob — внутри использует computeOrder, возвращает
  * DTO с одинаковым limit на любую platform/signalType.
@@ -76,7 +81,7 @@ final class SupplierQuotaAllocator
      *   ceil(Σ/3) — ёмкость шаринга (лид продаётся ≤3 раз).
      *   наиб      — крупнейший клиент должен иметь шанс добрать.
      *
-     * Один лимит на группу; портал делит на B1/B2/B3 сам (R6 — наш split убран).
+     * Возвращает заказ ГРУППЫ; деление между B1/B2/B3 — distributeForPlatform().
      *
      * @param  array<int, int>  $dailyLimits  лимиты eligible-сегодня клиентов группы
      */
@@ -92,6 +97,40 @@ final class SupplierQuotaAllocator
         return max($max, (int) ceil($sum / 3));
     }
 
+    /**
+     * Делит групповой заказ между площадками так, чтобы СУММА per-platform лимитов == order.
+     *
+     * Largest-remainder: каждой площадке floor(order/N), затем по +1 первым (order mod N)
+     * площадкам в порядке списка. Сумма всегда точно равна order — ни переплаты, ни недобора.
+     *
+     * Восстанавливает поведение, удалённое в Plan 3 R6 (ошибочное допущение «портал делит сам»).
+     * Портал НЕ делит — каждый B-проект набирает до своего лимита независимо; одинаковый
+     * лимит на N площадках = заказ ×N (переплата). Verified live 2026-05-21.
+     *
+     * @param  list<string>  $platforms  площадки в каноническом порядке (B1<B2<B3)
+     * @return array<string, int> [platform => лимит этой площадки]
+     */
+    public static function distributeForPlatform(int $order, array $platforms): array
+    {
+        $count = count($platforms);
+        if ($count === 0) {
+            return [];
+        }
+
+        $order = max(0, $order);
+        $base = intdiv($order, $count);
+        $remainder = $order % $count;
+
+        $shares = [];
+        $i = 0;
+        foreach ($platforms as $platform) {
+            $shares[$platform] = $base + ($i < $remainder ? 1 : 0);
+            $i++;
+        }
+
+        return $shares;
+    }
+
     /**
      * @param  Collection<int, mixed>  $arrays
      * @return array<int, int>

app/app/Support/SupplierRegions.php

@@ -0,0 +1,162 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Support;
+
+use Illuminate\Support\Facades\Log;
+
+/**
+ * Перевод кодов регионов: Лидерра → поставщик crm.bp-gr.ru.
+ *
+ * Лидерра нумерует субъекты РФ по конституционному порядку (ст. 65), 1..89 —
+ * см. {@see RussianRegions}: Красноярский край = 29, Архангельская обл. = 35.
+ * Поставщик нумерует по автомобильным кодам (ГИБДД): Красноярский = 24,
+ * Архангельская = 29. Без перевода Sync отправлял Лидерра-код «как есть»
+ * (`regions => [29]` для Красноярского), а поставщик понимал его как СВОЙ № 29 =
+ * Архангельск → у поставщика выбирался ЧУЖОЙ регион. На dev не всплывало —
+ * проверяли на «вся РФ» (пустой regions).
+ *
+ * Карта построена сверкой имён {@see RussianRegions::CODE_TO_NAME} ↔ live-дерево
+ * регионов формы «Добавить проект» поставщика (recon 2026-05-21: node-key="id",
+ * 79 субъектов-листьев). Все 79 кодов поставщика покрыты (биекция на 79).
+ *
+ * 10 субъектов Лидерры поставщик НЕ предлагает (нет в дереве) — их коды
+ * отбрасываются при переводе (с warning'ом): Московская обл. (56),
+ * Ленинградская обл. (53), Крым (13), Севастополь (84), ДНР (6), ЛНР (14),
+ * Запорожская (43), Херсонская (79), Ненецкий АО (86), Ямало-Ненецкий АО (89).
+ * Если у проекта это был ЕДИНСТВЕННЫЙ регион — у поставщика проект окажется без
+ * георфильтра (вся РФ). Это ограничение покрытия поставщика, не баг перевода.
+ */
+final class SupplierRegions
+{
+    /**
+     * Лидерра-код (конституционный 1..89) => код поставщика (ГИБДД).
+     *
+     * @var array<int, int>
+     */
+    public const LIDERRA_TO_SUPPLIER = [
+        // Республики
+        1 => 1,   // Республика Адыгея
+        2 => 4,   // Республика Алтай
+        3 => 2,   // Республика Башкортостан
+        4 => 3,   // Республика Бурятия
+        5 => 5,   // Республика Дагестан
+        7 => 6,   // Республика Ингушетия
+        8 => 7,   // Кабардино-Балкарская Республика
+        9 => 8,   // Республика Калмыкия
+        10 => 9,  // Карачаево-Черкесская Республика
+        11 => 10, // Республика Карелия
+        12 => 11, // Республика Коми
+        15 => 12, // Республика Марий Эл
+        16 => 13, // Республика Мордовия
+        17 => 14, // Республика Саха (Якутия)
+        18 => 15, // Республика Северная Осетия — Алания
+        19 => 16, // Республика Татарстан
+        20 => 17, // Республика Тыва
+        21 => 18, // Удмуртская Республика
+        22 => 19, // Республика Хакасия
+        23 => 20, // Чеченская Республика
+        24 => 21, // Чувашская Республика
+        // Края
+        25 => 22, // Алтайский край
+        26 => 75, // Забайкальский край
+        27 => 41, // Камчатский край
+        28 => 23, // Краснодарский край
+        29 => 24, // Красноярский край
+        30 => 59, // Пермский край
+        31 => 25, // Приморский край
+        32 => 26, // Ставропольский край
+        33 => 27, // Хабаровский край
+        // Области
+        34 => 28, // Амурская область
+        35 => 29, // Архангельская область
+        36 => 30, // Астраханская область
+        37 => 31, // Белгородская область
+        38 => 32, // Брянская область
+        39 => 33, // Владимирская область
+        40 => 34, // Волгоградская область
+        41 => 35, // Вологодская область
+        42 => 36, // Воронежская область
+        44 => 37, // Ивановская область
+        45 => 38, // Иркутская область
+        46 => 39, // Калининградская область
+        47 => 40, // Калужская область
+        48 => 42, // Кемеровская область
+        49 => 43, // Кировская область
+        50 => 44, // Костромская область
+        51 => 45, // Курганская область
+        52 => 46, // Курская область
+        54 => 48, // Липецкая область
+        55 => 49, // Магаданская область
+        57 => 51, // Мурманская область
+        58 => 52, // Нижегородская область
+        59 => 53, // Новгородская область
+        60 => 54, // Новосибирская область
+        61 => 55, // Омская область
+        62 => 56, // Оренбургская область
+        63 => 57, // Орловская область
+        64 => 58, // Пензенская область
+        65 => 60, // Псковская область
+        66 => 61, // Ростовская область
+        67 => 62, // Рязанская область
+        68 => 63, // Самарская область
+        69 => 64, // Саратовская область
+        70 => 65, // Сахалинская область
+        71 => 66, // Свердловская область
+        72 => 67, // Смоленская область
+        73 => 68, // Тамбовская область
+        74 => 69, // Тверская область
+        75 => 70, // Томская область
+        76 => 71, // Тульская область
+        77 => 72, // Тюменская область
+        78 => 73, // Ульяновская область
+        80 => 74, // Челябинская область
+        81 => 76, // Ярославская область
+        // Города федерального значения
+        82 => 77, // Москва
+        83 => 78, // Санкт-Петербург
+        // Автономная область / округа
+        85 => 79, // Еврейская автономная область
+        87 => 86, // Ханты-Мансийский автономный округ — Югра
+        88 => 87, // Чукотский автономный округ
+    ];
+
+    /**
+     * Переводит Лидерра-коды регионов в коды поставщика. Неизвестные (нет у
+     * поставщика) отбрасываются с warning'ом; sentinel 0 («Вся РФ») игнорируется.
+     * Результат — уникальные коды поставщика по возрастанию.
+     *
+     * @param  list<int>|array<int|string, int|string>  $liderraCodes
+     * @return list<int>
+     */
+    public static function mapToSupplier(array $liderraCodes): array
+    {
+        $out = [];
+        $dropped = [];
+
+        foreach ($liderraCodes as $code) {
+            $code = (int) $code;
+            if ($code === 0) {
+                continue; // sentinel «Вся РФ»
+            }
+            if (isset(self::LIDERRA_TO_SUPPLIER[$code])) {
+                $out[self::LIDERRA_TO_SUPPLIER[$code]] = true;
+            } else {
+                $dropped[] = $code;
+            }
+        }
+
+        if ($dropped !== []) {
+            Log::warning('supplier.regions.unmapped', [
+                'liderra_codes' => $dropped,
+                'note' => 'supplier does not offer these subjects — geo-filter dropped for them',
+            ]);
+        }
+
+        $codes = array_keys($out);
+        sort($codes);
+
+        return $codes;
+    }
+}

app/app/Support/WebhookUrlGuard.php

@@ -0,0 +1,106 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Support;
+
+/**
+ * SSRF-гард для исходящих webhook-URL.
+ *
+ * Webhook target_url задаёт авторизованный админ тенанта. Без проверки он может
+ * указать внутренний адрес (`https://169.254.169.254/` cloud-metadata,
+ * `https://127.0.0.1/`, `https://10.0.0.0/8`) и через кнопку «тест» получить
+ * ответ внутренней службы (SSRF + info-leak). starts_with:https:// этого не ловит.
+ *
+ * Политика: блокируем, только если хост РАЗРЕШАЕТСЯ в приватный/зарезервированный
+ * IP. Неразрешимый хост (NXDOMAIN) — не SSRF-вектор, пропускаем (реальный запрос
+ * упадёт сам). Проверяются все A/AAAA-записи (защита от hostname→private).
+ */
+final class WebhookUrlGuard
+{
+    /**
+     * @return string|null Причина блокировки (человекочитаемая) или null, если адрес безопасен.
+     */
+    public static function blockReason(string $url): ?string
+    {
+        $host = parse_url($url, PHP_URL_HOST);
+        if (! is_string($host) || $host === '') {
+            return 'Некорректный URL webhook.';
+        }
+        $host = trim($host, '[]'); // снять скобки IPv6-литерала
+
+        foreach (self::resolve($host) as $ip) {
+            if (! self::isPublicIp($ip)) {
+                return 'URL webhook ведёт во внутреннюю/зарезервированную сеть — запрещено.';
+            }
+        }
+
+        return null;
+    }
+
+    /** @return list<string> Все IP, в которые разрешается хост (пусто, если не разрешается). */
+    private static function resolve(string $host): array
+    {
+        if (filter_var($host, FILTER_VALIDATE_IP) !== false) {
+            return [$host]; // IP-литерал — без DNS
+        }
+
+        $ips = [];
+        $v4 = gethostbynamel($host);
+        if (is_array($v4)) {
+            $ips = array_merge($ips, $v4);
+        }
+        $aaaa = @dns_get_record($host, DNS_AAAA);
+        if (is_array($aaaa)) {
+            foreach ($aaaa as $rec) {
+                if (isset($rec['ipv6']) && is_string($rec['ipv6'])) {
+                    $ips[] = $rec['ipv6'];
+                }
+            }
+        }
+
+        return array_values(array_unique($ips));
+    }
+
+    private static function isPublicIp(string $ip): bool
+    {
+        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) !== false) {
+            return filter_var(
+                $ip,
+                FILTER_VALIDATE_IP,
+                FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE
+            ) !== false;
+        }
+
+        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6) !== false) {
+            $lower = strtolower($ip);
+            // loopback / unspecified
+            if ($lower === '::1' || $lower === '::') {
+                return false;
+            }
+            // link-local fe80::/10
+            if (preg_match('/^fe[89ab]/', $lower) === 1) {
+                return false;
+            }
+            // unique-local fc00::/7
+            if ($lower[0] === 'f' && in_array($lower[1], ['c', 'd'], true)) {
+                return false;
+            }
+            // IPv4-mapped ::ffff:a.b.c.d — проверить встроенный IPv4
+            if (str_contains($lower, '::ffff:')) {
+                $v4 = substr($lower, (int) strrpos($lower, ':') + 1);
+                if (filter_var($v4, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) !== false) {
+                    return self::isPublicIp($v4);
+                }
+            }
+
+            return filter_var(
+                $ip,
+                FILTER_VALIDATE_IP,
+                FILTER_FLAG_IPV6 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE
+            ) !== false;
+        }
+
+        return false;
+    }
+}

app/bootstrap/app.php

@@ -2,9 +2,12 @@
 
 use App\Http\Middleware\EnsureSaasAdmin;
 use App\Http\Middleware\SetTenantContext;
+use Illuminate\Database\QueryException;
 use Illuminate\Foundation\Application;
 use Illuminate\Foundation\Configuration\Exceptions;
 use Illuminate\Foundation\Configuration\Middleware;
+use Illuminate\Http\Request;
+use Illuminate\Support\Facades\Log;
 
 return Application::configure(basePath: dirname(__DIR__))
     ->withRouting(
@@ -30,5 +33,18 @@ return Application::configure(basePath: dirname(__DIR__))
         ]);
     })
     ->withExceptions(function (Exceptions $exceptions): void {
-        //
+        $exceptions->render(function (QueryException $e, Request $request) {
+            Log::error('db.query_exception', [
+                'message' => $e->getMessage(),
+                'sql' => $e->getSql(),
+                'path' => $request->path(),
+            ]);
+            if ($request->expectsJson()) {
+                return response()->json([
+                    'message' => 'Не удалось сохранить. Проверьте данные или попробуйте ещё раз.',
+                ], 422);
+            }
+
+            return null; // default render for non-JSON
+        });
     })->create();

app/database/migrations/2026_05_21_000000_drop_projects_archived_at.php

@@ -0,0 +1,19 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Support\Facades\DB;
+
+return new class extends Migration
+{
+    public function up(): void
+    {
+        DB::statement('ALTER TABLE projects DROP COLUMN IF EXISTS archived_at');
+    }
+
+    public function down(): void
+    {
+        DB::statement('ALTER TABLE projects ADD COLUMN archived_at TIMESTAMPTZ NULL');
+    }
+};

app/phpstan-baseline.neon

@@ -258,6 +258,90 @@ parameters:
 			count: 1
 			path: app/Services/Supplier/SupplierProjectGrouping.php
 
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenDefineFunctions not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenFinalClasses not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenNormalClasses not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenPrivateMethods not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenTraits not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\SyntaxCheck not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Metrics\\Architecture\\Classes not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\Commenting\\UselessFunctionDocCommentSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\Namespaces\\AlphabeticallySortedUsesSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DeclareStrictTypesSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DisallowMixedTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ParameterTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\PropertyTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ReturnTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
 		-
 			message: '#^Return type \(array\<string, mixed\>\) of method Database\\Factories\\BalanceTransactionFactory\:\:definition\(\) should be compatible with return type \(array\<model property of App\\Models\\BalanceTransaction, mixed\>\) of method Illuminate\\Database\\Eloquent\\Factories\\Factory\<App\\Models\\BalanceTransaction\>\:\:definition\(\)$#'
 			identifier: method.childReturnType
@@ -1572,6 +1656,12 @@ parameters:
 			count: 14
 			path: tests/Feature/Plan5/Projects/ProjectsUpdateTest.php
 
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Project/QueryExceptionRenderTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
 			identifier: property.notFound
@@ -1848,6 +1938,12 @@ parameters:
 			count: 2
 			path: tests/Feature/Supplier/FailoverProjectChannelLiveSmokeTest.php
 
+		-
+			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:once\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Supplier/DeleteSupplierProjectJobTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
 			identifier: method.notFound
@@ -2015,3 +2111,21 @@ parameters:
 			identifier: argument.type
 			count: 1
 			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php
+
+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
+			identifier: property.notFound
+			count: 6
+			path: tests/Feature/Project/ProjectCreateDedupTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:fail\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Project/ProjectCreateDedupTest.php
+
+		-
+			message: '#^Call to an undefined method Symfony\\Component\\HttpFoundation\\Response\:\:getData\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Project/ProjectCreateDedupTest.php

app/resources/js/components/projects/BulkActionsBar.vue

@@ -29,11 +29,11 @@
 
             <v-btn
                 color="error"
-                prepend-icon="mdi-archive"
-                data-testid="bulk-archive"
-                @click="confirmAndRun('archive')"
+                prepend-icon="mdi-delete"
+                data-testid="bulk-delete"
+                @click="confirmAndRun('delete')"
             >
-                Архивировать
+                Удалить
             </v-btn>
 
             <v-spacer />
@@ -92,11 +92,10 @@ const skipToastText = ref('');
 const messages: Record<string, string> = {
     pause: 'Приостановить выбранные проекты?',
     resume: 'Возобновить выбранные проекты?',
-    archive:
-        'Архивировать выбранные проекты?\nДействие необратимо в Plan 5 (восстановление потребует ручного запроса).',
+    delete: 'Удалить выбранные проекты? Действие необратимо. Проекты со сделками будут пропущены.',
 };
 
-async function confirmAndRun(action: 'pause' | 'resume' | 'archive') {
+async function confirmAndRun(action: 'pause' | 'resume' | 'delete') {
     if (!window.confirm(messages[action])) return;
     await runBulk({ action });
 }

app/resources/js/components/projects/ProjectCard.story.vue

@@ -9,7 +9,6 @@ const base = {
     daily_limit_target: 50,
     delivered_today: 32,
     is_active: true,
-    archived_at: null,
     sync_status: 'ok' as const,
 };
 

app/resources/js/components/projects/ProjectCard.vue

@@ -48,9 +48,9 @@
                             <template #prepend><v-icon>mdi-refresh</v-icon></template>
                             <v-list-item-title>Синхронизировать</v-list-item-title>
                         </v-list-item>
-                        <v-list-item @click="$emit('archive', project)">
-                            <template #prepend><v-icon>mdi-archive</v-icon></template>
-                            <v-list-item-title>Архивировать</v-list-item-title>
+                        <v-list-item @click="$emit('delete', project)">
+                            <template #prepend><v-icon>mdi-delete</v-icon></template>
+                            <v-list-item-title>Удалить</v-list-item-title>
                         </v-list-item>
                     </v-list>
                 </v-menu>
@@ -97,7 +97,7 @@ defineEmits<{
     edit: [project: Project];
     'toggle-active': [project: Project];
     'sync-now': [project: Project];
-    archive: [project: Project];
+    delete: [project: Project];
 }>();
 
 const typeLabel = computed(() => ({ site: 'Сайт', call: 'Звонок', sms: 'СМС' })[props.project.signal_type]);

app/resources/js/components/projects/ProjectDetailsDrawer.vue

@@ -63,10 +63,10 @@ async function onPause(): Promise<void> {
 async function onDelete(): Promise<void> {
     if (!props.project) return;
     const ok = window.confirm(
-        'Архивировать проект? Действие необратимо в Plan 5 (восстановление потребует ручного запроса).',
+        'Удалить проект? Действие необратимо. Если по проекту есть сделки — удаление будет заблокировано.',
     );
     if (!ok) return;
-    await store.archive(props.project.id);
+    await store.del(props.project.id);
     emit('close');
 }
 

app/resources/js/plugins/vuetify.ts

@@ -168,6 +168,7 @@ const lucideMap: Record<string, Component> = {
     'mdi-content-save-outline': Save,
     'mdi-credit-card-outline': CreditCard,
     'mdi-currency-rub': RussianRuble,
+    'mdi-delete': Trash2,
     'mdi-delete-outline': Trash2,
     'mdi-dots-vertical': MoreVertical,
     'mdi-download': Download,

app/resources/js/stores/projectsStore.ts

@@ -13,7 +13,6 @@ export interface Project {
     delivered_today: number;
     delivered_in_month?: number;
     is_active: boolean;
-    archived_at: string | null;
     region_mask?: number;
     region_mode?: string;
     regions?: number[]; // Plan 6 — subject codes 1..89; пустой массив = вся РФ
@@ -65,7 +64,7 @@ export const useProjectsStore = defineStore('projects', () => {
         return data.data;
     }
 
-    async function archive(id: number) {
+    async function del(id: number) {
         await axios.delete(`/api/projects/${id}`);
         await fetch();
     }
@@ -94,7 +93,7 @@ export const useProjectsStore = defineStore('projects', () => {
         selectedIds.value.clear();
     }
 
-    async function bulkAction(action: 'pause' | 'resume' | 'archive') {
+    async function bulkAction(action: 'pause' | 'resume' | 'delete') {
         const ids = Array.from(selectedIds.value);
         if (!ids.length) return;
         await axios.post('/api/projects/bulk', { action, ids });
@@ -103,7 +102,7 @@ export const useProjectsStore = defineStore('projects', () => {
     }
 
     interface BulkPayload {
-        action: 'pause' | 'resume' | 'archive' | 'update_regions' | 'update_days' | 'update_limit';
+        action: 'pause' | 'resume' | 'delete' | 'update_regions' | 'update_days' | 'update_limit';
         add?: number;
         remove?: number;
         // Plan 6.5 — update_regions оперирует кодами субъектов (1..89), не bitmask ФО.
@@ -200,7 +199,7 @@ export const useProjectsStore = defineStore('projects', () => {
         fetch,
         create,
         update,
-        archive,
+        del,
         syncNow,
         toggleActive,
         toggleSelect,

app/resources/js/views/ProjectsView.vue

@@ -5,6 +5,31 @@
             <v-btn color="primary" prepend-icon="mdi-plus" @click="openCreate">+ Создать проект</v-btn>
         </div>
 
+        <v-alert
+            v-if="showCutoffBanner"
+            data-testid="cutoff-banner"
+            type="info"
+            variant="tonal"
+            border="start"
+            class="mb-4"
+        >
+            <div class="d-flex justify-space-between align-start gap-2">
+                <span>
+                    Важно: изменения по проектам (добавление, удаление, лимиты, рабочие дни, регионы)
+                    вносите <strong>до 18:00 МСК</strong>. Изменения после 18:00 применяются при следующей
+                    синхронизации — на следующий день.
+                </span>
+                <v-btn
+                    data-testid="cutoff-banner-close"
+                    icon="mdi-close"
+                    size="x-small"
+                    variant="text"
+                    aria-label="Скрыть уведомление"
+                    @click="dismissCutoffBanner"
+                />
+            </div>
+        </v-alert>
+
         <div class="d-flex gap-3 mb-4">
             <v-select
                 v-model="store.filters.signal_type"
@@ -71,7 +96,7 @@
                 @edit="openEdit"
                 @toggle-active="store.toggleActive"
                 @sync-now="(p: Project) => store.syncNow(p.id)"
-                @archive="(p: Project) => store.archive(p.id)"
+                @delete="(p: Project) => store.del(p.id)"
             />
         </div>
 
@@ -101,6 +126,15 @@ const createOpen = ref(false);
 const editOpen = ref(false);
 const editing = ref<Project | null>(null);
 
+// Информационный баннер о сроке внесения изменений (синхронизация с поставщиком в 18:00 МСК).
+// Закрытие запоминается, чтобы не показывать повторно.
+const CUTOFF_BANNER_KEY = 'projects.cutoffBannerDismissed';
+const showCutoffBanner = ref(localStorage.getItem(CUTOFF_BANNER_KEY) !== '1');
+function dismissCutoffBanner(): void {
+    showCutoffBanner.value = false;
+    localStorage.setItem(CUTOFF_BANNER_KEY, '1');
+}
+
 const singleSelectedProject = computed<Project | null>(() => {
     if (store.selectedIds.size !== 1) return null;
     const [id] = store.selectedIds;
@@ -123,7 +157,6 @@ const typeFilters = [
 const statusFilters = [
     { title: 'Активные', value: 'active' },
     { title: 'На паузе', value: 'paused' },
-    { title: 'Архивные', value: 'archived' },
 ];
 
 let searchTimer: ReturnType<typeof setTimeout> | null = null;

app/resources/js/views/projects/NewProjectDialog.story.vue

@@ -25,7 +25,6 @@ const sampleProject = {
     daily_limit_target: 50,
     delivered_today: 12,
     is_active: true,
-    archived_at: null,
     sync_status: 'ok' as const,
     region_mask: 0,
     region_mode: 'include' as const,

app/routes/web.php

@@ -194,9 +194,12 @@ Route::middleware(['auth:sanctum', 'tenant'])->group(function () {
     Route::post('/api/webhooks/test', 'App\Http\Controllers\Api\WebhookSettingsController@test');
 });
 
-// Дашборд — агрегат KPI/баланса/активности/воронки (audit J3). На MVP без
-// auth-middleware (tenant_id параметром); production: middleware('auth:sanctum','tenant').
-Route::get('/api/dashboard/summary', 'App\Http\Controllers\Api\DashboardController@summary');
+// Дашборд — агрегат KPI/баланса/активности/воронки (audit J3). Go-live: auth:sanctum
+// + tenant; tenant_id из auth()->user()->tenant_id (SetTenantContext), НЕ из параметра
+// запроса — закрывает кросс-tenant утечку KPI (как DealController J1).
+Route::middleware(['auth:sanctum', 'tenant'])->group(function () {
+    Route::get('/api/dashboard/summary', 'App\Http\Controllers\Api\DashboardController@summary');
+});
 
 // Сделки — single-resource CRUD + bulk + export. J1 (Sprint 3F, audit):
 // auth:sanctum + tenant. tenant_id берётся из auth()->user()->tenant_id
@@ -228,8 +231,15 @@ Route::middleware(['auth:sanctum', 'tenant'])->group(function () {
 });
 
 // Lookup endpoints — заполняют v-select'ы (NewDealDialog, smart-filters).
-Route::get('/api/managers', 'App\Http\Controllers\Api\ManagerController@index');
-Route::get('/api/lead-statuses', 'App\Http\Controllers\Api\LeadStatusController@index');
+// Go-live: auth:sanctum. /api/managers — tenant-scoped (tenant_id из authed-user, НЕ из
+// параметра — закрывает кросс-tenant утечку списка пользователей); /api/lead-statuses —
+// глобальная таблица (без tenant_id), нужен только auth:sanctum.
+Route::middleware(['auth:sanctum', 'tenant'])->group(function () {
+    Route::get('/api/managers', 'App\Http\Controllers\Api\ManagerController@index');
+});
+Route::middleware('auth:sanctum')->group(function () {
+    Route::get('/api/lead-statuses', 'App\Http\Controllers\Api\LeadStatusController@index');
+});
 
 // Plan 5 Task 2: Projects CRUD — расширенный API с auth:sanctum + RLS.
 // Заменяет старый GET /api/projects?tenant_id={id} (без auth, MVP-версия).

app/tests/Feature/DashboardSummaryTest.php

@@ -5,6 +5,7 @@ declare(strict_types=1);
 use App\Models\Deal;
 use App\Models\Project;
 use App\Models\Tenant;
+use App\Models\User;
 use Carbon\Carbon;
 use Carbon\CarbonImmutable;
 use Illuminate\Foundation\Testing\DatabaseTransactions;
@@ -36,12 +37,14 @@ function makeDashboardDeal(
     ]);
 }
 
-it('422 без tenant_id', function () {
-    $this->getJson('/api/dashboard/summary')->assertStatus(422);
-});
+/** Авторизоваться как пользователь данного тенанта (auth:sanctum + tenant). */
+function actingForTenant(Tenant $tenant): void
+{
+    test()->actingAs(User::factory()->for($tenant)->create());
+}
 
-it('404 для несуществующего тенанта', function () {
-    $this->getJson('/api/dashboard/summary?tenant_id=999999')->assertStatus(404);
+it('401 без авторизации', function () {
+    $this->getJson('/api/dashboard/summary')->assertStatus(401);
 });
 
 it('возвращает структуру summary с range по умолчанию 7d', function () {
@@ -50,7 +53,8 @@ it('возвращает структуру summary с range по умолчан
         'balance_rub' => '14250.00',
         'balance_leads' => 285,
     ]);
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}")
+    actingForTenant($tenant);
+    $this->getJson('/api/dashboard/summary')
         ->assertOk()
         ->assertJsonPath('range', '7d')
         ->assertJsonPath('balance.amount_rub', '14250.00')
@@ -67,6 +71,7 @@ it('возвращает структуру summary с range по умолчан
 
 it('leads_received считает только сделки окна, без deleted и is_test', function () {
     $tenant = Tenant::factory()->create();
+    actingForTenant($tenant);
     $project = Project::factory()->create(['tenant_id' => $tenant->id]);
     // 3 живые сделки в окне 7d + 1 deleted + 1 is_test + 1 вне окна (8 дней назад)
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
@@ -76,31 +81,32 @@ it('leads_received считает только сделки окна, без del
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1), isTest: true);
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(8));
 
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}&range=7d")
+    $this->getJson('/api/dashboard/summary?range=7d')
         ->assertOk()
         ->assertJsonPath('leads_received.value', 3);
 });
 
 it('conversion = доля статуса won в окне', function () {
     $tenant = Tenant::factory()->create();
+    actingForTenant($tenant);
     $project = Project::factory()->create(['tenant_id' => $tenant->id]);
     makeDashboardDeal($tenant, $project, 'won', now()->subDays(1));
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
     // 1 won из 4 → 25.0%; PHP json_encode кодирует 25.0 как 25 (без дроби)
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}")
+    $this->getJson('/api/dashboard/summary')
         ->assertOk()
         ->assertJsonPath('conversion.value', 25);
 });
 
-it('active_projects считает archived_at IS NULL AND is_active=true + limit из limits', function () {
+it('active_projects считает is_active=true + limit из limits', function () {
     $tenant = Tenant::factory()->create(['limits' => ['max_projects' => 10]]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => null, 'is_active' => true]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => null, 'is_active' => true]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => now(), 'is_active' => true]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => null, 'is_active' => false]);
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}")
+    actingForTenant($tenant);
+    Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => true]);
+    Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => true]);
+    Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => false]);
+    $this->getJson('/api/dashboard/summary')
         ->assertOk()
         ->assertJsonPath('active_projects.active', 2)
         ->assertJsonPath('active_projects.limit', 10);
@@ -108,11 +114,12 @@ it('active_projects считает archived_at IS NULL AND is_active=true + limi
 
 it('funnel группирует живые сделки по статусу', function () {
     $tenant = Tenant::factory()->create();
+    actingForTenant($tenant);
     $project = Project::factory()->create(['tenant_id' => $tenant->id]);
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
     makeDashboardDeal($tenant, $project, 'new', now()->subDays(1));
     makeDashboardDeal($tenant, $project, 'won', now()->subDays(1));
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}")
+    $this->getJson('/api/dashboard/summary')
         ->assertOk()
         ->assertJsonPath('funnel.new', 2)
         ->assertJsonPath('funnel.won', 1);
@@ -120,7 +127,8 @@ it('funnel группирует живые сделки по статусу', fu
 
 it('activity возвращает 7 точек и 7 меток', function () {
     $tenant = Tenant::factory()->create();
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}")
+    actingForTenant($tenant);
+    $this->getJson('/api/dashboard/summary')
         ->assertOk()
         ->assertJsonCount(7, 'activity.points')
         ->assertJsonCount(7, 'activity.labels');
@@ -130,11 +138,12 @@ it('runway_days использует фикс. 7д-окно независимо
     // balance_leads = 70; 7 сделок за последние 7 дней → avgDaily=1 → runway=70.
     // Баг: range=today → $curLeads=1 → avgDaily=1/7≈0.143 → runway≈490 (неверно).
     $tenant = Tenant::factory()->create(['balance_leads' => 70]);
+    actingForTenant($tenant);
     $project = Project::factory()->create(['tenant_id' => $tenant->id]);
     for ($i = 0; $i <= 6; $i++) {
         makeDashboardDeal($tenant, $project, 'new', now()->subDays($i));
     }
-    $this->getJson("/api/dashboard/summary?tenant_id={$tenant->id}&range=today")
+    $this->getJson('/api/dashboard/summary?range=today')
         ->assertOk()
         ->assertJsonPath('balance.runway_days', 70);
 });

app/tests/Feature/EndpointAuthHardeningTest.php

@@ -0,0 +1,58 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Tenant;
+use App\Models\User;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+
+uses(DatabaseTransactions::class);
+
+/**
+ * Go-live security: lookup/дашборд эндпоинты до этого были открыты (без
+ * auth-middleware, tenant_id параметром) — любой неавторизованный мог получить
+ * KPI/список пользователей произвольного тенанта по ?tenant_id={чужой}.
+ *
+ * Закрытие: auth:sanctum + tenant, tenant_id из authed-user (как DealController J1).
+ */
+
+// --- 401 без авторизации ---
+
+test('GET /api/dashboard/summary без авторизации возвращает 401', function () {
+    $this->getJson('/api/dashboard/summary')->assertStatus(401);
+});
+
+test('GET /api/managers без авторизации возвращает 401', function () {
+    $this->getJson('/api/managers')->assertStatus(401);
+});
+
+test('GET /api/lead-statuses без авторизации возвращает 401', function () {
+    $this->getJson('/api/lead-statuses')->assertStatus(401);
+});
+
+// --- cross-tenant: tenant_id из user, параметр чужого тенанта игнорируется ---
+
+test('dashboard/summary берёт tenant из authed-user, игнорирует ?tenant_id чужого', function () {
+    $mine = Tenant::factory()->create(['balance_rub' => '111.00', 'balance_leads' => 11]);
+    $other = Tenant::factory()->create(['balance_rub' => '999.00', 'balance_leads' => 99]);
+    $this->actingAs(User::factory()->for($mine)->create());
+
+    $this->getJson("/api/dashboard/summary?tenant_id={$other->id}")
+        ->assertOk()
+        ->assertJsonPath('balance.amount_rub', '111.00');
+});
+
+test('managers берёт tenant из authed-user, не отдаёт пользователей чужого тенанта', function () {
+    $mine = Tenant::factory()->create();
+    $other = Tenant::factory()->create();
+    $me = User::factory()->for($mine)->create(['first_name' => 'Свой', 'last_name' => 'Менеджер', 'is_active' => true]);
+    User::factory()->for($other)->create(['first_name' => 'Чужой', 'last_name' => 'Менеджер', 'is_active' => true]);
+    $this->actingAs($me);
+
+    $names = $this->getJson("/api/managers?tenant_id={$other->id}")
+        ->assertOk()
+        ->json('managers.*.name');
+
+    expect($names)->toContain('Свой М.');
+    expect($names)->not->toContain('Чужой М.');
+});

app/tests/Feature/LeadStatusesIndexTest.php

@@ -2,6 +2,8 @@
 
 declare(strict_types=1);
 
+use App\Models\Tenant;
+use App\Models\User;
 use Illuminate\Foundation\Testing\DatabaseTransactions;
 use Illuminate\Support\Facades\DB;
 
@@ -9,11 +11,23 @@ use Illuminate\Support\Facades\DB;
  * Тесты GET /api/lead-statuses — глобальный lookup статусов воронки.
  *
  * Таблица lead_statuses не tenant-aware, seeded в schema.sql (5 системных
- * статусов воронки: new/viewed/in_progress/won/lost).
+ * статусов воронки: new/viewed/in_progress/won/lost). Go-live: эндпоинт за
+ * auth:sanctum (глобальная таблица — tenant-middleware не нужен).
  */
 uses(DatabaseTransactions::class);
 
+/** Авторизоваться любым пользователем (lead-statuses требует только auth:sanctum). */
+function authLeadStatuses(): void
+{
+    test()->actingAs(User::factory()->for(Tenant::factory())->create());
+}
+
+test('GET /api/lead-statuses без авторизации возвращает 401', function () {
+    $this->getJson('/api/lead-statuses')->assertStatus(401);
+});
+
 test('GET /api/lead-statuses возвращает 200 и не пустой список', function () {
+    authLeadStatuses();
     $r = $this->getJson('/api/lead-statuses');
 
     $r->assertStatus(200);
@@ -22,6 +36,7 @@ test('GET /api/lead-statuses возвращает 200 и не пустой сп
 });
 
 test('GET /api/lead-statuses возвращает все 5 системных статусов из seed', function () {
+    authLeadStatuses();
     $r = $this->getJson('/api/lead-statuses');
 
     $slugs = collect($r->json('lead_statuses'))->pluck('slug')->all();
@@ -32,6 +47,7 @@ test('GET /api/lead-statuses возвращает все 5 системных с
 });
 
 test('GET /api/lead-statuses возвращает поля slug, name_ru, color_hex, sort_order, is_system', function () {
+    authLeadStatuses();
     $r = $this->getJson('/api/lead-statuses');
 
     $first = $r->json('lead_statuses.0');
@@ -42,6 +58,7 @@ test('GET /api/lead-statuses возвращает поля slug, name_ru, color_
 });
 
 test('GET /api/lead-statuses сортирует по sort_order', function () {
+    authLeadStatuses();
     $r = $this->getJson('/api/lead-statuses');
 
     $sortOrders = collect($r->json('lead_statuses'))->pluck('sort_order')->all();
@@ -51,6 +68,7 @@ test('GET /api/lead-statuses сортирует по sort_order', function () {
 });
 
 test('GET /api/lead-statuses включает кастомный slug, добавленный после seed', function () {
+    authLeadStatuses();
     DB::table('lead_statuses')->insert([
         'slug' => 'custom_test_'.bin2hex(random_bytes(3)),
         'name_ru' => 'Кастомный тест',

app/tests/Feature/LookupsTest.php

@@ -15,7 +15,8 @@ beforeEach(function () {
 
 test('GET /api/managers возвращает active users тенанта', function () {
     DB::statement('SET app.current_tenant_id = '.$this->tenant->id);
-    User::factory()->for($this->tenant)->create([
+    // actingAs одного из активных пользователей тенанта — он сам входит в список.
+    $ivan = User::factory()->for($this->tenant)->create([
         'first_name' => 'Иван', 'last_name' => 'Петров', 'is_active' => true,
     ]);
     User::factory()->for($this->tenant)->create([
@@ -25,7 +26,8 @@ test('GET /api/managers возвращает active users тенанта', funct
         'first_name' => 'Удалённый', 'is_active' => false,
     ]);
 
-    $r = $this->getJson('/api/managers?tenant_id='.$this->tenant->id);
+    $this->actingAs($ivan);
+    $r = $this->getJson('/api/managers');
     $r->assertStatus(200);
     $managers = $r->json('managers');
     expect($managers)->toHaveCount(2);
@@ -35,28 +37,23 @@ test('GET /api/managers возвращает active users тенанта', funct
 
 test('GET /api/managers возвращает initials с fallback на email', function () {
     DB::statement('SET app.current_tenant_id = '.$this->tenant->id);
-    User::factory()->for($this->tenant)->create([
+    $admin = User::factory()->for($this->tenant)->create([
         'email' => 'admin@example.ru',
         'first_name' => null,
         'last_name' => null,
         'is_active' => true,
     ]);
 
-    $r = $this->getJson('/api/managers?tenant_id='.$this->tenant->id);
+    $this->actingAs($admin);
+    $r = $this->getJson('/api/managers');
     $r->assertStatus(200);
     $manager = $r->json('managers.0');
     expect($manager['name'])->toBe('admin@example.ru');
     expect($manager['initials'])->toBe('AD');
 });
 
-test('GET /api/managers 422 без tenant_id', function () {
-    $r = $this->getJson('/api/managers');
-    $r->assertStatus(422);
-});
-
-test('GET /api/managers 404 unknown tenant', function () {
-    $r = $this->getJson('/api/managers?tenant_id=999999');
-    $r->assertStatus(404);
+test('GET /api/managers без авторизации возвращает 401', function () {
+    $this->getJson('/api/managers')->assertStatus(401);
 });
 
 test('POST /api/deals 422 если manager_id не принадлежит tenant\'у', function () {

app/tests/Feature/Plan5/Jobs/SyncSupplierProjectJobTest.php

@@ -8,10 +8,13 @@ use App\Models\SupplierProject;
 use App\Models\Tenant;
 use App\Services\Supplier\Channel\SupplierProjectChannel;
 use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Tests\Concerns\SharesSupplierPdo;
 
 // TestCase auto-bound via tests/Pest.php (->in('Feature')).
 // DatabaseTransactions — per-test isolation.
-uses(DatabaseTransactions::class);
+// SharesSupplierPdo — SyncSupplierProjectJob теперь пишет через pgsql_supplier (BYPASSRLS);
+// без шаринга PDO записи джоба не видны default-connection ассертам под DatabaseTransactions.
+uses(DatabaseTransactions::class, SharesSupplierPdo::class);
 
 /**
  * Хелпер: разрешает SupplierProjectChannel из контейнера и вызывает Job.handle().

app/tests/Feature/Plan5/Projects/ProjectsActionsTest.php

@@ -6,28 +6,34 @@ use App\Jobs\SyncSupplierProjectJob;
 use App\Models\Project;
 use App\Models\Tenant;
 use App\Models\User;
+use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Queue;
 
 beforeEach(fn () => Queue::fake());
 
-it('destroy archives project (sets archived_at, is_active=false)', function () {
+it('destroy hard-deletes a project with no deals', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
     $project = Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => true]);
 
     $this->actingAs($user)->deleteJson("/api/projects/{$project->id}")->assertNoContent();
 
-    $project->refresh();
-    expect($project->is_active)->toBeFalse();
-    expect($project->archived_at)->not->toBeNull();
+    expect(Project::find($project->id))->toBeNull();
 });
 
-it('destroy returns 409 if already archived', function () {
+it('destroy returns 422 if project has deals', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
-    $project = Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => now()]);
+    $project = Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => true]);
+    DB::table('deals')->insert([
+        'tenant_id' => $tenant->id, 'project_id' => $project->id,
+        'phone' => '79990001100', 'status' => 'new',
+        'received_at' => now(), 'created_at' => now(),
+    ]);
 
-    $this->actingAs($user)->deleteJson("/api/projects/{$project->id}")->assertStatus(409);
+    $this->actingAs($user)->deleteJson("/api/projects/{$project->id}")->assertStatus(422);
+
+    expect(Project::find($project->id))->not->toBeNull();
 });
 
 it('sync re-dispatches SyncSupplierProjectJob', function () {
@@ -81,16 +87,16 @@ it('bulk filters out cross-tenant ids silently', function () {
     expect($pB->fresh()->is_active)->toBeTrue();
 });
 
-it('bulk archive sets archived_at on multiple', function () {
+it('bulk delete removes project with no deals', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
     $p1 = Project::factory()->create(['tenant_id' => $tenant->id]);
 
     $this->actingAs($user)->postJson('/api/projects/bulk', [
-        'action' => 'archive', 'ids' => [$p1->id],
-    ])->assertOk();
+        'action' => 'delete', 'ids' => [$p1->id],
+    ])->assertOk()->assertJsonPath('updated', 1);
 
-    expect($p1->fresh()->archived_at)->not->toBeNull();
+    expect(Project::find($p1->id))->toBeNull();
 });
 
 it('bulk rejects > 500 ids', function () {

app/tests/Feature/Plan5/Projects/ProjectsListShowTest.php

@@ -16,7 +16,7 @@ it('returns paginated list of active projects for current tenant', function () {
     $response->assertOk();
     $response->assertJsonStructure([
         'data' => [['id', 'name', 'signal_type', 'signal_identifier', 'daily_limit_target',
-            'delivered_today', 'is_active', 'archived_at', 'sync_status']],
+            'delivered_today', 'is_active', 'sync_status']],
         'meta' => ['current_page', 'per_page', 'total'],
     ]);
     expect($response->json('meta.total'))->toBe(3);
@@ -45,23 +45,24 @@ it('isolates projects per tenant (RLS)', function () {
     expect($response->json('meta.total'))->toBe(2);
 });
 
-it('excludes archived projects by default', function () {
+it('returns all projects by default (archive feature removed in v8.27)', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
     Project::factory()->create(['tenant_id' => $tenant->id]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => now()]);
+    Project::factory()->create(['tenant_id' => $tenant->id]);
 
     $response = $this->actingAs($user)->getJson('/api/projects');
 
-    expect($response->json('meta.total'))->toBe(1);
+    expect($response->json('meta.total'))->toBe(2);
 });
 
-it('returns archived when status=archived requested', function () {
+it('status=active returns only is_active=true projects', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
-    Project::factory()->create(['tenant_id' => $tenant->id, 'archived_at' => now()]);
+    Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => true]);
+    Project::factory()->create(['tenant_id' => $tenant->id, 'is_active' => false]);
 
-    $response = $this->actingAs($user)->getJson('/api/projects?status=archived');
+    $response = $this->actingAs($user)->getJson('/api/projects?status=active');
 
     expect($response->json('meta.total'))->toBe(1);
 });
@@ -140,19 +141,18 @@ it('search is case-insensitive for Cyrillic substrings', function () {
     expect($partial->json('meta.total'))->toBe(1);
 });
 
-it('show returns 200 for archived project (read access preserved)', function () {
+it('show returns 200 for any project by id', function () {
     $tenant = Tenant::factory()->create();
     $user = User::factory()->create(['tenant_id' => $tenant->id]);
     $project = Project::factory()->create([
         'tenant_id' => $tenant->id,
-        'archived_at' => now(),
         'signal_type' => 'site',
-        'signal_identifier' => 'archived.ru',
+        'signal_identifier' => 'myproject.ru',
     ]);
 
     $response = $this->actingAs($user)->getJson("/api/projects/{$project->id}");
 
     $response->assertOk();
     expect($response->json('data.id'))->toBe($project->id);
-    expect($response->json('data.archived_at'))->not->toBeNull();
+    expect($response->json('data'))->not->toHaveKey('archived_at');
 });

app/tests/Feature/Plan5/Schema/ArchivedAtTest.php

@@ -2,7 +2,6 @@
 
 declare(strict_types=1);
 
-use App\Models\Project;
 use Illuminate\Foundation\Testing\DatabaseTransactions;
 use Illuminate\Support\Facades\Schema;
 
@@ -11,15 +10,6 @@ use Illuminate\Support\Facades\Schema;
 // DatabaseTransactions — изоляция; also ensures DB connection is bootstrapped.
 uses(DatabaseTransactions::class);
 
-it('projects table has archived_at column nullable timestamp', function () {
-    expect(Schema::hasColumn('projects', 'archived_at'))->toBeTrue();
-    $type = Schema::getColumnType('projects', 'archived_at');
-    // PostgreSQL TIMESTAMPTZ → Doctrine/Laravel reports 'timestamptz' (not 'timestamp').
-    expect($type)->toBe('timestamptz');
-});
-
-it('Project model has archived_at in fillable and casts it to datetime', function () {
-    $project = new Project;
-    expect(in_array('archived_at', $project->getFillable(), true))->toBeTrue();
-    expect($project->getCasts()['archived_at'] ?? null)->toBe('datetime');
+it('projects table does NOT have archived_at column (feature removed in v8.27)', function () {
+    expect(Schema::hasColumn('projects', 'archived_at'))->toBeFalse();
 });

app/tests/Feature/Project/ProjectCreateDedupTest.php

@@ -0,0 +1,48 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\Tenant;
+use App\Services\Project\ProjectService;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\Queue;
+
+beforeEach(function () {
+    Queue::fake();
+    $this->tenant = Tenant::factory()->create(['balance_leads' => 100]);
+});
+
+function makeCall(array $over = []): array
+{
+    return array_merge([
+        'name' => 'Проект A', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ], $over);
+}
+
+it('blocks duplicate source within tenant with human message', function () {
+    app(ProjectService::class)->create($this->tenant, makeCall());
+    expect(fn () => app(ProjectService::class)
+        ->create($this->tenant, makeCall(['name' => 'Проект B'])))
+        ->toThrow(HttpResponseException::class);
+});
+
+it('allows same source for a different tenant (sharing)', function () {
+    $other = Tenant::factory()->create(['balance_leads' => 100]);
+    app(ProjectService::class)->create($this->tenant, makeCall());
+    $p = app(ProjectService::class)->create($other, makeCall(['name' => 'Проект B']));
+    expect($p)->toBeInstanceOf(Project::class);
+});
+
+it('blocks duplicate name within tenant with human message (not SQL)', function () {
+    app(ProjectService::class)->create($this->tenant, makeCall());
+    try {
+        app(ProjectService::class)
+            ->create($this->tenant, makeCall(['name' => 'Проект A', 'signal_identifier' => '79992220000']));
+        $this->fail('expected HttpResponseException');
+    } catch (HttpResponseException $e) {
+        $body = $e->getResponse()->getData(true);
+        expect($body['errors']['name'][0] ?? '')->not->toContain('SQLSTATE');
+    }
+});

app/tests/Feature/Project/ProjectDeleteTest.php

@@ -0,0 +1,40 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\Tenant;
+use App\Services\Project\ProjectService;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Queue;
+
+beforeEach(fn () => Queue::fake());
+
+it('hard-deletes an empty project', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = app(ProjectService::class)->create($tenant, [
+        'name' => 'Empty', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ]);
+
+    app(ProjectService::class)->delete($project);
+
+    expect(Project::find($project->id))->toBeNull();
+});
+
+it('blocks delete when project has deals', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = app(ProjectService::class)->create($tenant, [
+        'name' => 'WithDeals', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ]);
+    DB::table('deals')->insert([
+        'tenant_id' => $tenant->id, 'project_id' => $project->id, 'phone' => '79990001122',
+        'status' => 'new', 'received_at' => now(), 'created_at' => now(),
+    ]);
+
+    expect(fn () => app(ProjectService::class)->delete($project))
+        ->toThrow(HttpResponseException::class);
+    expect(Project::find($project->id))->not->toBeNull();
+});

app/tests/Feature/Project/ProjectUpdateDedupTest.php

@@ -0,0 +1,28 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Tenant;
+use App\Services\Project\ProjectService;
+use Illuminate\Http\Exceptions\HttpResponseException;
+use Illuminate\Support\Facades\Queue;
+
+beforeEach(fn () => Queue::fake());
+
+it('blocks update that collides source with another project of same tenant', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $svc = app(ProjectService::class);
+    $a = $svc->create($tenant, ['name' => 'A', 'signal_type' => 'call', 'signal_identifier' => '79991110000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+    $b = $svc->create($tenant, ['name' => 'B', 'signal_type' => 'call', 'signal_identifier' => '79992220000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+
+    expect(fn () => $svc->update($b, ['signal_identifier' => '79991110000']))
+        ->toThrow(HttpResponseException::class);
+});
+
+it('allows update keeping same source on the same project', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $svc = app(ProjectService::class);
+    $a = $svc->create($tenant, ['name' => 'A', 'signal_type' => 'call', 'signal_identifier' => '79991110000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+    $updated = $svc->update($a, ['signal_identifier' => '79991110000', 'daily_limit_target' => 7]);
+    expect($updated->daily_limit_target)->toBe(7);
+});

app/tests/Feature/Project/QueryExceptionRenderTest.php

@@ -0,0 +1,17 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\QueryException;
+use Illuminate\Support\Facades\Route;
+
+it('renders QueryException as human JSON message, not SQLSTATE', function () {
+    Route::get('/_test/boom-query', function () {
+        throw new QueryException('pgsql', 'SELECT 1', [], new Exception('SQLSTATE[23505] duplicate key'));
+    });
+
+    $res = $this->getJson('/_test/boom-query');
+    $res->assertStatus(422);
+    expect($res->json('message'))->not->toContain('SQLSTATE');
+    expect($res->json('message'))->toContain('Не удалось');
+});

app/tests/Feature/Supplier/DeleteSupplierProjectJobTest.php

@@ -0,0 +1,58 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Jobs\Supplier\DeleteSupplierProjectJob;
+use App\Jobs\Supplier\SyncSupplierProjectsJob;
+use App\Models\Project;
+use App\Models\SupplierProject;
+use App\Models\Tenant;
+use App\Services\Supplier\SupplierPortalClient;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\Bus;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class, SharesSupplierPdo::class);
+
+it('deletes donor at supplier when no consumers remain', function (): void {
+    $sp = SupplierProject::query()->create([
+        'platform' => 'B1', 'signal_type' => 'call', 'unique_key' => '79991110000',
+        'supplier_external_id' => '555', 'current_limit' => 1,
+    ]);
+
+    $mock = Mockery::mock(SupplierPortalClient::class);
+    $mock->shouldReceive('deleteProject')->once()->with(555);
+    app()->instance(SupplierPortalClient::class, $mock);
+
+    (new DeleteSupplierProjectJob([$sp->id]))->handle(app(SupplierPortalClient::class));
+
+    expect(SupplierProject::find($sp->id))->toBeNull();
+});
+
+it('does NOT delete donor at supplier when other consumers remain; re-syncs', function (): void {
+    Bus::fake([SyncSupplierProjectsJob::class]);
+
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $sp = SupplierProject::query()->create([
+        'platform' => 'B1', 'signal_type' => 'call', 'unique_key' => '79991110001',
+        'supplier_external_id' => '556', 'current_limit' => 1,
+    ]);
+    $other = Project::factory()->create(['tenant_id' => $tenant->id]);
+
+    DB::table('project_supplier_links')->insert([
+        'project_id' => $other->id,
+        'supplier_project_id' => $sp->id,
+        'platform' => 'B1',
+        'subject_code' => null,
+    ]);
+
+    $mock = Mockery::mock(SupplierPortalClient::class);
+    $mock->shouldNotReceive('deleteProject');
+    app()->instance(SupplierPortalClient::class, $mock);
+
+    (new DeleteSupplierProjectJob([$sp->id]))->handle(app(SupplierPortalClient::class));
+
+    expect(SupplierProject::find($sp->id))->not->toBeNull();
+    Bus::assertDispatched(SyncSupplierProjectsJob::class);
+});

app/tests/Feature/Supplier/SupplierConnectionTest.php

@@ -21,6 +21,7 @@ declare(strict_types=1);
  */
 
 use App\Jobs\RouteSupplierLeadJob;
+use App\Jobs\SyncSupplierProjectJob;
 use App\Models\Project;
 use App\Models\SupplierProject;
 use App\Models\Tenant;
@@ -46,6 +47,14 @@ test('RouteSupplierLeadJob declares DB_CONNECTION = pgsql_supplier (Plan 3 Task
     expect(RouteSupplierLeadJob::DB_CONNECTION)->toBe('pgsql_supplier');
 });
 
+test('SyncSupplierProjectJob declares DB_CONNECTION = pgsql_supplier (queue worker has no tenant GUC)', function (): void {
+    // Дублирует RouteSupplierLeadJob: создание/правка проекта тоже запускается из очереди,
+    // где SetTenantContext-прослойка не отработала. Под обычной ролью crm_app_user
+    // SELECT по projects падает 42704 (unrecognized configuration parameter
+    // "app.current_tenant_id"). Все DB-операции джоба обязаны идти через pgsql_supplier (BYPASSRLS).
+    expect(SyncSupplierProjectJob::DB_CONNECTION)->toBe('pgsql_supplier');
+});
+
 test('failed_webhook_jobs INSERT с tenant_id=NULL проходит под pgsql_supplier (BLOCKER #6)', function (): void {
     // Под обычной ролью policy tenant_isolation USING (tenant_id = current_setting('app.current_tenant_id')::bigint)
     // отвергает NULL (NULL :: bigint = NULL, NULL = '0'::bigint → NULL → false).

app/tests/Feature/Supplier/SupplierPortalClientRtProjectTest.php

@@ -99,7 +99,9 @@ it('saveProject maps signalType call → type:"calls" and B2 → srcbl=true (sin
             && $request['srcrt'] === false
             && $request['srcbl'] === true
             && $request['srcmt'] === false
-            && $request['regions'] === [77]
+            // Лидерра-код 77 (Тюменская обл., конституционный порядок) переводится
+            // в код поставщика 72 (ГИБДД). См. App\Support\SupplierRegions.
+            && $request['regions'] === [72]
             && $request['regions_reverse'] === true
             && $request['status'] === false;
     });

app/tests/Feature/Supplier/SyncSupplierProjectJobTest.php

@@ -80,6 +80,56 @@ it('online mode creates single-group supplier_projects with full regions + pivot
     expect(DB::table('project_supplier_links')->where('project_id', $project->id)->count())->toBe(3);
 });
 
+it('online create DIVIDES the limit across B1/B2/B3 so supplier total == project limit (not ×3)', function (): void {
+    // Money-loss regression (owner-reported 2026-05-21, verified live): the limit was
+    // replicated full to all 3 platforms (18 → 18/18/18 = supplier could deliver up to 54).
+    // The portal does NOT divide — each B-project honours its own limit independently.
+    // Fix: split the limit so Σ per-platform == project limit (18 → 6/6/6).
+    DB::table('system_settings')->where('key', 'supplier_export_mode')->update(['value' => 'online']);
+
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'call',
+        'signal_identifier' => '79991110000',
+        'is_active' => true,
+        'daily_limit_target' => 18,
+        'regions' => [],
+        'delivery_days_mask' => 127,
+    ]);
+
+    $capturedLimits = [];
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => function ($request) use (&$capturedLimits) {
+            $body = $request->data();
+            $capturedLimits[] = $body['limit'] ?? null;
+
+            return Http::response(['status' => 'OK', 'message' => '', 'id' => '3000'], 200);
+        },
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => Http::response(['projects' => [
+            ['id' => '3001', 'src' => 'rt', 'name' => '79991110000', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991110000'],
+            ['id' => '3002', 'src' => 'bl', 'name' => '79991110000', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991110000'],
+            ['id' => '3003', 'src' => 'mt', 'name' => '79991110000', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991110000'],
+        ]], 200),
+    ]);
+
+    (new SyncSupplierProjectJob($project->id))->handle(app(SupplierProjectChannel::class));
+
+    $sps = SupplierProject::where('unique_key', '79991110000')->get();
+    expect($sps)->toHaveCount(3);
+    // Σ per-platform limits == the project limit — the loss-prevention invariant.
+    expect($sps->sum('current_limit'))->toBe(18);
+    foreach ($sps as $sp) {
+        expect($sp->current_limit)->toBe(6); // 18 / 3 platforms
+    }
+    // Every limit pushed to the portal is the divided share, never the full 18.
+    $sent = array_values(array_filter($capturedLimits, fn ($l) => $l !== null));
+    expect($sent)->not->toBeEmpty();
+    foreach ($sent as $l) {
+        expect((int) $l)->toBe(6);
+    }
+});
+
 it('online mode passes real workdays from delivery_days_mask (not hardcoded [1..7])', function (): void {
     // Regression: до фикса хардкодилось [1,2,3,4,5,6,7] независимо от delivery_days_mask.
     // delivery_days_mask=31 = 0b0011111 = Пн-Пт (ISO дни 1-5). Workdays поставщика должны быть [1,2,3,4,5].
@@ -161,6 +211,16 @@ it('online mode update-path: existing supplier_projects.current_workdays is refr
         ]);
     }
 
+    // listProjects (dead-donor liveness check) must see the seeded donors as alive,
+    // so the update path runs without recreating (and without hitting the real portal).
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => Http::response(['projects' => [
+            ['id' => '99B1', 'src' => 'rt', 'name' => '79991234567', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991234567'],
+            ['id' => '99B2', 'src' => 'bl', 'name' => '79991234567', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991234567'],
+            ['id' => '99B3', 'src' => 'mt', 'name' => '79991234567', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79991234567'],
+        ]], 200),
+    ]);
+
     $this->mock(SupplierProjectChannel::class, function ($mock): void {
         $mock->shouldReceive('updateProject')->times(3)->andReturn(true);
     });
@@ -169,9 +229,11 @@ it('online mode update-path: existing supplier_projects.current_workdays is refr
 
     $sps = SupplierProject::where('unique_key', '79991234567')->get();
     expect($sps)->toHaveCount(3);
+    // 9 split across B1/B2/B3 = 3/3/3 (Σ == 9 = project limit, not 9 on each = 27).
+    expect($sps->sum('current_limit'))->toBe(9);
     foreach ($sps as $sp) {
         expect($sp->current_workdays)->toBe([1, 2, 3, 4, 5]);
-        expect($sp->current_limit)->toBe(9);
+        expect($sp->current_limit)->toBe(3);
     }
 });
 
@@ -213,6 +275,103 @@ it('online mode all-RF (no regions): 1 group subject_code=null, 3 supplier_proje
     expect(DB::table('project_supplier_links')->where('project_id', $project->id)->count())->toBe(3);
 });
 
+it('online mode re-creates donor on portal when its external_id no longer exists there', function (): void {
+    // Regression: если донора удалили на портале, в нашей БД остаются supplier_projects
+    // с мёртвыми external_id. Раньше джоб шёл по update-ветке → updateProject мёртвого id
+    // портал молча принимает (no-op) → донор не пересоздаётся. Фикс: проверять, жив ли
+    // external_id на портале (listProjects), и пересоздавать недостающих in-place
+    // (НЕ удаляя записи — на них могут висеть лиды/списания).
+    DB::table('system_settings')->where('key', 'supplier_export_mode')->update(['value' => 'online']);
+
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'call',
+        'signal_identifier' => '79990001122',
+        'is_active' => true,
+        'daily_limit_target' => 10,
+        'regions' => [],
+        'delivery_days_mask' => 31,
+    ]);
+
+    // Pre-seed supplier_projects, чьи external_id указывают на удалённых с портала доноров.
+    foreach (['B1', 'B2', 'B3'] as $platform) {
+        SupplierProject::create([
+            'platform' => $platform,
+            'signal_type' => 'call',
+            'unique_key' => '79990001122',
+            'subject_code' => null,
+            'supplier_external_id' => 'DEAD'.$platform,
+            'current_limit' => 10,
+            'current_workdays' => [1, 2, 3, 4, 5],
+            'current_regions' => [],
+            'sync_status' => 'ok',
+            'last_synced_at' => now()->subDay(),
+        ]);
+    }
+
+    $loadCalls = 0;
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => Http::response(['status' => 'OK', 'message' => '', 'id' => '7003'], 200),
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => function () use (&$loadCalls) {
+            $loadCalls++;
+            // Первый load = проверка существования → донор удалён (пусто).
+            if ($loadCalls === 1) {
+                return Http::response(['projects' => []], 200);
+            }
+
+            // Последующие load (внутри saveProjectMultiFlag) = свежесозданные доноры.
+            return Http::response(['projects' => [
+                ['id' => '7001', 'src' => 'rt', 'name' => '79990001122', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79990001122'],
+                ['id' => '7002', 'src' => 'bl', 'name' => '79990001122', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79990001122'],
+                ['id' => '7003', 'src' => 'mt', 'name' => '79990001122', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79990001122'],
+            ]], 200);
+        },
+    ]);
+
+    (new SyncSupplierProjectJob($project->id))->handle(app(SupplierProjectChannel::class));
+
+    // external_id переписаны на свежесозданных доноров (не DEAD*), записи не удалены.
+    $sps = SupplierProject::where('unique_key', '79990001122')->orderBy('platform')->get();
+    expect($sps)->toHaveCount(3);
+    expect($sps->pluck('supplier_external_id')->all())->toBe(['7001', '7002', '7003']);
+});
+
+it('online mode also populates legacy supplier_b{1,2,3}_project_id so UI sync-status is not stuck pending', function (): void {
+    // Regression: online mode writes the link to the pivot, but ProjectResource/aggregateSyncStatus
+    // read the legacy FK columns (supplierB1/B2/B3). They stayed NULL in online → "Sync pending"
+    // forever even though the stack is synced. Online must populate them too.
+    DB::table('system_settings')->where('key', 'supplier_export_mode')->update(['value' => 'online']);
+
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'site',
+        'signal_identifier' => 'uisync.example.com',
+        'is_active' => true,
+        'daily_limit_target' => 5,
+        'regions' => [],
+        'delivery_days_mask' => 127,
+    ]);
+
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => Http::response(['status' => 'OK', 'message' => '', 'id' => '9003'], 200),
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => Http::response(['projects' => [
+            ['id' => '9001', 'src' => 'rt', 'name' => 'uisync.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'uisync.example.com'],
+            ['id' => '9002', 'src' => 'bl', 'name' => 'uisync.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'uisync.example.com'],
+            ['id' => '9003', 'src' => 'mt', 'name' => 'uisync.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'uisync.example.com'],
+        ]], 200),
+    ]);
+
+    (new SyncSupplierProjectJob($project->id))->handle(app(SupplierProjectChannel::class));
+
+    $project->refresh();
+    expect($project->supplier_b1_project_id)->not->toBeNull();
+    expect($project->supplier_b2_project_id)->not->toBeNull();
+    expect($project->supplier_b3_project_id)->not->toBeNull();
+    expect($project->aggregateSyncStatus())->toBe('ok');
+});
+
 // ---------------------------------------------------------------------------
 // Batch mode: keeps каркас (limit 0, no per-subject save, no pivot)
 // ---------------------------------------------------------------------------
@@ -250,3 +409,53 @@ it('batch mode keeps каркас (limit=0, sets supplier_b{1,2,3}_project_id, n
     // Batch: no pivot rows (nightly job fills them)
     expect(DB::table('project_supplier_links')->where('project_id', $project->id)->count())->toBe(0);
 });
+
+// ---------------------------------------------------------------------------
+// Connection: must use pgsql_supplier (BYPASSRLS) — queue worker has no tenant GUC
+// ---------------------------------------------------------------------------
+
+it('runs every projects query on the pgsql_supplier (BYPASSRLS) connection', function (): void {
+    // Regression: job ran on the default RLS-enforced connection. On a real queue worker
+    // (role crm_app_user, no SetTenantContext middleware → no app.current_tenant_id GUC)
+    // the very first Project::find() dies with SQLSTATE 42704 before any supplier contact,
+    // so the supplier project is never created and the UI sticks on "Sync pending".
+    // Every sibling supplier job (SyncSupplierProjectsJob/DeleteSupplierProjectJob/…) uses
+    // pgsql_supplier; this one must too. On dev (postgres superuser) RLS is bypassed, so we
+    // assert the *connection* the queries run on rather than RLS enforcement.
+    DB::table('system_settings')->where('key', 'supplier_export_mode')->update(['value' => 'online']);
+
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'site',
+        'signal_identifier' => 'conn-test.example.com',
+        'is_active' => true,
+        'daily_limit_target' => 10,
+        'regions' => [],
+        'delivery_days_mask' => 127,
+    ]);
+
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => Http::response(['status' => 'OK', 'message' => '', 'id' => '8003'], 200),
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => Http::response(['projects' => [
+            ['id' => '8001', 'src' => 'rt', 'name' => 'conn-test.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'conn-test.example.com'],
+            ['id' => '8002', 'src' => 'bl', 'name' => 'conn-test.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'conn-test.example.com'],
+            ['id' => '8003', 'src' => 'mt', 'name' => 'conn-test.example.com', 'tag' => 'РФ', 'type' => 'hosts', 'content' => 'conn-test.example.com'],
+        ]], 200),
+    ]);
+
+    // Listen only during the job run (factory queries above are already done).
+    $projectConnections = [];
+    DB::listen(function ($query) use (&$projectConnections): void {
+        // '"projects"' (quoted table) does NOT match '"supplier_projects"' or
+        // '"project_supplier_links"', so this captures only the projects table.
+        if (str_contains($query->sql, '"projects"')) {
+            $projectConnections[] = $query->connectionName;
+        }
+    });
+
+    (new SyncSupplierProjectJob($project->id))->handle(app(SupplierProjectChannel::class));
+
+    expect($projectConnections)->not->toBeEmpty();
+    expect(array_values(array_unique($projectConnections)))->toBe(['pgsql_supplier']);
+});

app/tests/Feature/Supplier/SyncSupplierProjectsJobTest.php

@@ -57,7 +57,6 @@ test('single-group: regions=[82,83] site → merged regions tag=РФ → 3 suppl
     $project = Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'persubject.example.com',
         'daily_limit_target' => 9,
@@ -116,7 +115,6 @@ test('all-RF pool: regions=[] → 1 group subject_code=null tag=РФ → 3 suppl
     $project = Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'rf-pool.example.com',
         'daily_limit_target' => 6,
@@ -161,13 +159,12 @@ test('all-RF pool: regions=[] → 1 group subject_code=null tag=РФ → 3 suppl
 // Order: 2 projects on one (source × subject) → computeOrder
 // ---------------------------------------------------------------------------
 
-test('order: 2 projects same source×subject → computeOrder(limits=[10,20]) → limit=20', function (): void {
+test('order: 2 projects same source×subject → computeOrder([10,20])=20 split across B1/B2/B3 = 7/7/6', function (): void {
     $tenant = Tenant::factory()->create();
 
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'order-test.example.com',
         'daily_limit_target' => 10,
@@ -178,7 +175,6 @@ test('order: 2 projects same source×subject → computeOrder(limits=[10,20])
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'order-test.example.com',
         'daily_limit_target' => 20,
@@ -204,19 +200,49 @@ test('order: 2 projects same source×subject → computeOrder(limits=[10,20])
 
     (new SyncSupplierProjectsJob)->handle(app(AjaxProjectChannel::class));
 
-    // computeOrder([10, 20]) = max(20, ceil(30/3)=10) = 20
-    $sp = SupplierProject::on('pgsql_supplier')
+    // computeOrder([10, 20]) = max(20, ceil(30/3)=10) = 20 (the GROUP order), then split
+    // across B1/B2/B3 = 7/7/6 (Σ == 20 — NOT 20 on each = 60, which would be the ×3 overspend).
+    $sps = SupplierProject::on('pgsql_supplier')
         ->where('unique_key', 'order-test.example.com')
-        ->where('platform', 'B1')
-        ->first();
-
-    expect($sp)->not->toBeNull();
-    expect($sp->current_limit)->toBe(20);
+        ->get();
 
     // Single group → exactly 3 supplier_projects (not 6 as would happen if grouped separately)
-    expect(SupplierProject::on('pgsql_supplier')
-        ->where('unique_key', 'order-test.example.com')
-        ->count())->toBe(3);
+    expect($sps)->toHaveCount(3);
+    expect($sps->sum('current_limit'))->toBe(20);
+    expect($sps->firstWhere('platform', 'B1')->current_limit)->toBe(7);
+});
+
+test('limit is DIVIDED across B1/B2/B3 so supplier total == project limit (owner-reported ×3 bug)', function (): void {
+    // The owner reported (and we verified live 2026-05-21): call limit 18 → 18/18/18 on the
+    // portal = supplier could deliver up to 54. The portal does NOT divide. Fix splits 18 → 6/6/6.
+    $tenant = Tenant::factory()->create();
+    Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'is_active' => true,
+        'signal_type' => 'call',
+        'signal_identifier' => '79135161263',
+        'daily_limit_target' => 18,
+        'delivery_days_mask' => 127,
+        'regions' => [],
+    ]);
+
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => Http::response(['status' => 'OK', 'message' => '', 'id' => '4000'], 200),
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => Http::response(['projects' => [
+            ['id' => '4001', 'src' => 'rt', 'name' => '79135161263', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79135161263'],
+            ['id' => '4002', 'src' => 'bl', 'name' => '79135161263', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79135161263'],
+            ['id' => '4003', 'src' => 'mt', 'name' => '79135161263', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79135161263'],
+        ]], 200),
+    ]);
+
+    (new SyncSupplierProjectsJob)->handle(app(AjaxProjectChannel::class));
+
+    // Assert only THIS group's rows (the nightly job syncs every active project in the DB).
+    $sps = SupplierProject::on('pgsql_supplier')->where('unique_key', '79135161263')->get();
+    expect($sps)->toHaveCount(3);
+    expect($sps->sum('current_limit'))->toBe(18); // Σ == project limit (not 54)
+    expect($sps->sortBy('platform')->pluck('current_limit', 'platform')->all())
+        ->toBe(['B1' => 6, 'B2' => 6, 'B3' => 6]); // 18 / 3
 });
 
 // ---------------------------------------------------------------------------
@@ -229,7 +255,6 @@ test('sms+keyword → platforms B2+B3 (2 supplier_projects per subject)', functi
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'sms',
         'signal_identifier' => null,
         'sms_senders' => ['79001234567'],
@@ -271,7 +296,6 @@ test('sms without keyword → platform B3 only (1 supplier_project)', function (
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'sms',
         'signal_identifier' => null,
         'sms_senders' => ['79009876543'],
@@ -314,7 +338,6 @@ test('idempotent: repeat run with no changes → updateProject not duplicate', f
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'idempotent.example.com',
         'daily_limit_target' => 9,
@@ -375,7 +398,6 @@ test('respects time budget by stopping at 20:55 МСК', function (): void {
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'time-budget.example.com',
         'daily_limit_target' => 9,
@@ -397,7 +419,6 @@ test('sticky auth error throws and sends critical alert email', function (): voi
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'auth-fail.example.com',
         'daily_limit_target' => 9,
@@ -425,7 +446,6 @@ test('aborts after 50 consecutive transient failures and sends alert', function
         Project::factory()->create([
             'tenant_id' => $tenant->id,
             'is_active' => true,
-            'archived_at' => null,
             'signal_type' => 'site',
             'signal_identifier' => "host{$i}.abort.com",
             'daily_limit_target' => 9,
@@ -449,7 +469,6 @@ test('writes supplier_sync_log row for each successful action', function (): voi
     Project::factory()->create([
         'tenant_id' => $tenant->id,
         'is_active' => true,
-        'archived_at' => null,
         'signal_type' => 'site',
         'signal_identifier' => 'audit-log.example.com',
         'daily_limit_target' => 9,
@@ -491,3 +510,57 @@ test('writes supplier_sync_log row for each successful action', function (): voi
         ->and($log->http_status)->toBe(200)
         ->and($log->error_message)->toBeNull();
 });
+
+test('nightly: re-creates donor on portal when its external_id no longer exists there', function (): void {
+    // Regression mirror of SyncSupplierProjectJobTest: donor deleted on portal → stale
+    // external_id in our DB → updateProject is a silent no-op → donor never re-created.
+    // Nightly reconciler must detect missing donors (listProjects) and re-create in-place.
+    $tenant = Tenant::factory()->create();
+    Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'is_active' => true,
+        'signal_type' => 'call',
+        'signal_identifier' => '79993334455',
+        'daily_limit_target' => 10,
+        'delivery_days_mask' => 127,
+        'regions' => [],
+    ]);
+
+    foreach (['B1', 'B2', 'B3'] as $platform) {
+        SupplierProject::on('pgsql_supplier')->forceCreate([
+            'platform' => $platform,
+            'signal_type' => 'call',
+            'unique_key' => '79993334455',
+            'subject_code' => null,
+            'supplier_external_id' => 'GONE'.$platform,
+            'current_limit' => 10,
+            'current_workdays' => [1, 2, 3, 4, 5, 6, 7],
+            'current_regions' => [],
+            'sync_status' => 'ok',
+            'last_synced_at' => now()->subDay(),
+        ]);
+    }
+
+    $loadCalls = 0;
+    Http::fake([
+        'crm.bp-gr.ru/admin/visit/rt-project-save' => Http::response(['status' => 'OK', 'message' => '', 'id' => '8003'], 200),
+        'crm.bp-gr.ru/admin/visit/rt-projects-load*' => function () use (&$loadCalls) {
+            $loadCalls++;
+            if ($loadCalls === 1) {
+                return Http::response(['projects' => []], 200);
+            }
+
+            return Http::response(['projects' => [
+                ['id' => '8001', 'src' => 'rt', 'name' => '79993334455', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79993334455'],
+                ['id' => '8002', 'src' => 'bl', 'name' => '79993334455', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79993334455'],
+                ['id' => '8003', 'src' => 'mt', 'name' => '79993334455', 'tag' => 'РФ', 'type' => 'calls', 'content' => '79993334455'],
+            ]], 200);
+        },
+    ]);
+
+    (new SyncSupplierProjectsJob)->handle(app(AjaxProjectChannel::class));
+
+    $sps = SupplierProject::on('pgsql_supplier')->where('unique_key', '79993334455')->orderBy('platform')->get();
+    expect($sps)->toHaveCount(3);
+    expect($sps->pluck('supplier_external_id')->all())->toBe(['8001', '8002', '8003']);
+});

app/tests/Feature/WebhookSettingsControllerTest.php

@@ -27,13 +27,13 @@ test('GET webhook-settings возвращает подписку тенанта'
     OutboundWebhookSubscription::factory()->create([
         'tenant_id' => $this->tenant->id,
         'user_id' => $this->user->id,
-        'target_url' => 'https://crm.example.ru/hook',
+        'target_url' => 'https://93.184.216.34/hook',
     ]);
 
     $response = $this->getJson('/api/tenants/me/webhook-settings');
 
     $response->assertOk();
-    expect($response->json('data.target_url'))->toBe('https://crm.example.ru/hook');
+    expect($response->json('data.target_url'))->toBe('https://93.184.216.34/hook');
     expect($response->json('data'))->toHaveKeys(['target_url', 'secret_prefix', 'events', 'is_active']);
     expect($response->json('data'))->not->toHaveKey('secret_hash');
 });
@@ -55,11 +55,11 @@ test('GET webhook-settings изолирован по тенанту', function (
 
 test('PUT webhook-settings создаёт подписку и возвращает secret один раз', function () {
     $response = $this->putJson('/api/tenants/me/webhook-settings', [
-        'target_url' => 'https://crm.example.ru/hook',
+        'target_url' => 'https://93.184.216.34/hook',
     ]);
 
     $response->assertOk();
-    expect($response->json('data.target_url'))->toBe('https://crm.example.ru/hook');
+    expect($response->json('data.target_url'))->toBe('https://93.184.216.34/hook');
     expect($response->json('data.secret'))->toStartWith('whsec_');
     expect($response->json('data.events'))->toBeArray()->not->toBeEmpty();
 
@@ -72,15 +72,15 @@ test('PUT webhook-settings обновляет URL существующей по
     OutboundWebhookSubscription::factory()->create([
         'tenant_id' => $this->tenant->id,
         'user_id' => $this->user->id,
-        'target_url' => 'https://old.example.ru/hook',
+        'target_url' => 'https://8.8.8.8/hook',
     ]);
 
     $response = $this->putJson('/api/tenants/me/webhook-settings', [
-        'target_url' => 'https://new.example.ru/hook',
+        'target_url' => 'https://1.1.1.1/hook',
     ]);
 
     $response->assertOk();
-    expect($response->json('data.target_url'))->toBe('https://new.example.ru/hook');
+    expect($response->json('data.target_url'))->toBe('https://1.1.1.1/hook');
     expect($response->json('data'))->not->toHaveKey('secret');
     expect(OutboundWebhookSubscription::query()->where('tenant_id', $this->tenant->id)->count())->toBe(1);
 });
@@ -91,12 +91,20 @@ test('PUT webhook-settings: 422 при не-https URL', function () {
     ])->assertStatus(422)->assertJsonValidationErrorFor('target_url');
 });
 
+test('PUT webhook-settings: 422 для приватного/служебного IP в target_url (SSRF), не сохраняет', function () {
+    $this->putJson('/api/tenants/me/webhook-settings', [
+        'target_url' => 'https://169.254.169.254/hook',
+    ])->assertStatus(422)->assertJsonValidationErrorFor('target_url');
+
+    expect(OutboundWebhookSubscription::query()->where('tenant_id', $this->tenant->id)->count())->toBe(0);
+});
+
 test('POST webhooks/test отправляет запрос и возвращает результат', function () {
     Http::fake(['*' => Http::response(['ok' => true], 200)]);
     OutboundWebhookSubscription::factory()->create([
         'tenant_id' => $this->tenant->id,
         'user_id' => $this->user->id,
-        'target_url' => 'https://crm.example.ru/hook',
+        'target_url' => 'https://93.184.216.34/hook',
     ]);
 
     $response = $this->postJson('/api/webhooks/test');
@@ -104,7 +112,7 @@ test('POST webhooks/test отправляет запрос и возвращае
     $response->assertOk();
     expect($response->json('ok'))->toBeTrue();
     expect($response->json('status'))->toBe(200);
-    Http::assertSent(fn ($req) => $req->url() === 'https://crm.example.ru/hook');
+    Http::assertSent(fn ($req) => $req->url() === 'https://93.184.216.34/hook');
 });
 
 test('POST webhooks/test возвращает ok=false при ошибке endpoint', function () {
@@ -112,7 +120,7 @@ test('POST webhooks/test возвращает ok=false при ошибке endpo
     OutboundWebhookSubscription::factory()->create([
         'tenant_id' => $this->tenant->id,
         'user_id' => $this->user->id,
-        'target_url' => 'https://crm.example.ru/hook',
+        'target_url' => 'https://93.184.216.34/hook',
     ]);
 
     $response = $this->postJson('/api/webhooks/test');

app/tests/Feature/WebhookSsrfGuardTest.php

@@ -0,0 +1,67 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\OutboundWebhookSubscription;
+use App\Models\Tenant;
+use App\Models\User;
+use App\Support\WebhookUrlGuard;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\Http;
+
+uses(DatabaseTransactions::class);
+
+beforeEach(function () {
+    $this->tenant = Tenant::factory()->create();
+    $this->user = User::factory()->for($this->tenant)->create();
+    $this->actingAs($this->user);
+});
+
+// --- unit: WebhookUrlGuard (IP-литералы, без DNS) ---
+
+test('WebhookUrlGuard блокирует приватные/зарезервированные/loopback IP', function (string $url) {
+    expect(WebhookUrlGuard::blockReason($url))->not->toBeNull();
+})->with([
+    'https://127.0.0.1/hook',          // loopback
+    'https://10.0.0.1/hook',           // private A
+    'https://172.16.0.1/hook',         // private B
+    'https://192.168.1.1/hook',        // private C
+    'https://169.254.169.254/hook',    // link-local / cloud metadata
+    'https://[::1]/hook',              // IPv6 loopback
+]);
+
+test('WebhookUrlGuard пропускает публичный IP', function () {
+    expect(WebhookUrlGuard::blockReason('https://93.184.216.34/hook'))->toBeNull();
+});
+
+test('WebhookUrlGuard отклоняет битый URL', function () {
+    expect(WebhookUrlGuard::blockReason('not-a-url'))->not->toBeNull();
+});
+
+// --- endpoint: webhooks/test не должен бить во внутреннюю сеть ---
+
+test('POST webhooks/test блокирует приватный IP target_url (SSRF) и не шлёт запрос', function () {
+    Http::fake();
+    OutboundWebhookSubscription::factory()->create([
+        'tenant_id' => $this->tenant->id,
+        'user_id' => $this->user->id,
+        'target_url' => 'https://169.254.169.254/hook',
+    ]);
+
+    $this->postJson('/api/webhooks/test')->assertStatus(422);
+    Http::assertNothingSent();
+});
+
+test('POST webhooks/test пропускает публичный target_url', function () {
+    Http::fake(['*' => Http::response(['ok' => true], 200)]);
+    OutboundWebhookSubscription::factory()->create([
+        'tenant_id' => $this->tenant->id,
+        'user_id' => $this->user->id,
+        'target_url' => 'https://93.184.216.34/hook',
+    ]);
+
+    $this->postJson('/api/webhooks/test')
+        ->assertOk()
+        ->assertJsonPath('ok', true);
+    Http::assertSentCount(1);
+});

app/tests/Frontend/BulkActionsBar.spec.ts

@@ -169,7 +169,7 @@ describe('BulkActionsBar — extended', () => {
         expect((wrapper.vm as unknown as { regionsOpen: boolean }).regionsOpen).toBe(true);
     });
 
-    it('keeps existing pause/resume/archive buttons', async () => {
+    it('keeps existing pause/resume/delete buttons', async () => {
         setActivePinia(createPinia());
         vi.mocked(axios.post).mockResolvedValue({ data: { updated: 1, skipped: [], warnings: [] } });
         vi.mocked(axios.get).mockResolvedValue({ data: { data: [], meta: { total: 0 } } });
@@ -184,6 +184,6 @@ describe('BulkActionsBar — extended', () => {
         });
         expect(wrapper.find('[data-testid="bulk-pause"]').exists()).toBe(true);
         expect(wrapper.find('[data-testid="bulk-resume"]').exists()).toBe(true);
-        expect(wrapper.find('[data-testid="bulk-archive"]').exists()).toBe(true);
+        expect(wrapper.find('[data-testid="bulk-delete"]').exists()).toBe(true);
     });
 });

app/tests/Frontend/EditProjectDialog.spec.ts

@@ -23,7 +23,6 @@ const sampleProject = {
     daily_limit_target: 10,
     delivered_today: 0,
     is_active: true,
-    archived_at: null,
     sync_status: 'ok' as const,
     region_mask: 0,
     region_mode: 'include',

app/tests/Frontend/ProjectCard.spec.ts

@@ -12,7 +12,6 @@ const baseProject = {
     daily_limit_target: 50,
     delivered_today: 32,
     is_active: true,
-    archived_at: null,
     sync_status: 'ok' as const,
 };
 

app/tests/Frontend/ProjectCardRedesign.spec.ts

@@ -11,7 +11,6 @@ const sample = {
     is_active: true,
     daily_limit_target: 50,
     delivered_today: 12,
-    archived_at: null,
     sync_status: 'ok' as const,
 };
 

app/tests/Frontend/ProjectDetailsDrawer.spec.ts

@@ -21,7 +21,6 @@ const sampleProject: Project = {
     daily_limit_target: 30,
     delivered_today: 0,
     is_active: true,
-    archived_at: null,
     region_mask: 0,
     region_mode: 'include',
     regions: [],
@@ -152,10 +151,10 @@ describe('ProjectDetailsDrawer', () => {
         expect(wrapper.get('[data-testid="pdd-pause"]').text()).toContain('Приостановить');
     });
 
-    it('Delete: confirm=true → archive + close emit', async () => {
+    it('Delete: confirm=true → del + close emit', async () => {
         const wrapper = mount(ProjectDetailsDrawer, { props: { project: sampleProject } });
         const store = useProjectsStore();
-        const spy = vi.spyOn(store, 'archive').mockResolvedValueOnce(undefined);
+        const spy = vi.spyOn(store, 'del').mockResolvedValueOnce(undefined);
         vi.stubGlobal('confirm', () => true);
 
         await wrapper.get('[data-testid="pdd-delete"]').trigger('click');
@@ -166,10 +165,10 @@ describe('ProjectDetailsDrawer', () => {
         vi.unstubAllGlobals();
     });
 
-    it('Delete: confirm=false → no archive, no close', async () => {
+    it('Delete: confirm=false → no del, no close', async () => {
         const wrapper = mount(ProjectDetailsDrawer, { props: { project: sampleProject } });
         const store = useProjectsStore();
-        const spy = vi.spyOn(store, 'archive').mockResolvedValueOnce(undefined);
+        const spy = vi.spyOn(store, 'del').mockResolvedValueOnce(undefined);
         vi.stubGlobal('confirm', () => false);
 
         await wrapper.get('[data-testid="pdd-delete"]').trigger('click');

app/tests/Frontend/ProjectsView.spec.ts

@@ -52,7 +52,6 @@ describe('ProjectsView', () => {
                         daily_limit_target: 10,
                         delivered_today: 0,
                         is_active: true,
-                        archived_at: null,
                         sync_status: 'ok',
                     },
                 ],
@@ -82,7 +81,6 @@ describe('ProjectsView', () => {
                         daily_limit_target: 10,
                         delivered_today: 0,
                         is_active: true,
-                        archived_at: null,
                         sync_status: 'ok',
                     },
                     {
@@ -93,7 +91,6 @@ describe('ProjectsView', () => {
                         daily_limit_target: 10,
                         delivered_today: 0,
                         is_active: true,
-                        archived_at: null,
                         sync_status: 'ok',
                     },
                 ],
@@ -127,7 +124,6 @@ describe('ProjectsView × ProjectDetailsDrawer integration', () => {
         daily_limit_target: 10,
         delivered_today: 0,
         is_active: true,
-        archived_at: null,
         sync_status: 'ok' as const,
     };
     const projectB = {
@@ -138,7 +134,6 @@ describe('ProjectsView × ProjectDetailsDrawer integration', () => {
         daily_limit_target: 10,
         delivered_today: 0,
         is_active: true,
-        archived_at: null,
         sync_status: 'ok' as const,
     };
 
@@ -244,3 +239,36 @@ describe('ProjectsView × ProjectDetailsDrawer integration', () => {
         expect(wrapper.find('.projects-view').classes()).not.toContain('has-drawer');
     });
 });
+
+describe('ProjectsView 18:00 cutoff banner', () => {
+    beforeEach(() => {
+        localStorage.clear();
+        (axios.get as unknown as ReturnType<typeof vi.fn>).mockResolvedValue({
+            data: { data: [], meta: { total: 0, current_page: 1, per_page: 20 } },
+        });
+    });
+
+    it('shows the cutoff banner with the 18:00 deadline by default', async () => {
+        const wrapper = factory();
+        await flushPromises();
+        const banner = wrapper.find('[data-testid="cutoff-banner"]');
+        expect(banner.exists()).toBe(true);
+        expect(banner.text()).toContain('18:00');
+    });
+
+    it('hides the banner after the close button and remembers it in localStorage', async () => {
+        const wrapper = factory();
+        await flushPromises();
+        await wrapper.find('[data-testid="cutoff-banner-close"]').trigger('click');
+        await wrapper.vm.$nextTick();
+        expect(wrapper.find('[data-testid="cutoff-banner"]').exists()).toBe(false);
+        expect(localStorage.getItem('projects.cutoffBannerDismissed')).toBe('1');
+    });
+
+    it('stays hidden on next mount when previously dismissed', async () => {
+        localStorage.setItem('projects.cutoffBannerDismissed', '1');
+        const wrapper = factory();
+        await flushPromises();
+        expect(wrapper.find('[data-testid="cutoff-banner"]').exists()).toBe(false);
+    });
+});

app/tests/Frontend/ProjectsView.toolbar.spec.ts

@@ -20,7 +20,6 @@ const mountView = async () => {
                     daily_limit_target: 100,
                     delivered_today: 0,
                     is_active: true,
-                    archived_at: null,
                     region_mask: 1,
                     region_mode: 'include',
                     delivery_days_mask: 31,
@@ -34,7 +33,6 @@ const mountView = async () => {
                     daily_limit_target: 100,
                     delivered_today: 0,
                     is_active: true,
-                    archived_at: null,
                     region_mask: 1,
                     region_mode: 'include',
                     delivery_days_mask: 31,

app/tests/Frontend/projectsStore.spec.ts

@@ -66,6 +66,14 @@ describe('projectsStore (no polling)', () => {
         expect(store.selectedIds.has(1)).toBe(false);
     });
 
+    it('del() calls DELETE /api/projects/{id}', async () => {
+        const store = useProjectsStore();
+        vi.spyOn(axios, 'delete').mockResolvedValue({ data: null });
+        vi.spyOn(axios, 'get').mockResolvedValue({ data: { data: [], meta: { total: 0 } } });
+        await store.del(7);
+        expect(axios.delete).toHaveBeenCalledWith('/api/projects/7');
+    });
+
     it('bulkAction sends array of ids and clears selection', async () => {
         (axios.post as unknown as ReturnType<typeof vi.fn>).mockResolvedValue({ data: { updated: 2 } });
         (axios.get as unknown as ReturnType<typeof vi.fn>).mockResolvedValue({
@@ -104,7 +112,6 @@ describe('projectsStore (polling)', () => {
                         daily_limit_target: 10,
                         delivered_today: 0,
                         is_active: true,
-                        archived_at: null,
                         region_mask: 0,
                         region_mode: 'include',
                         delivery_days_mask: 127,
@@ -133,7 +140,6 @@ describe('projectsStore (polling)', () => {
                         daily_limit_target: 10,
                         delivered_today: 0,
                         is_active: true,
-                        archived_at: null,
                         region_mask: 0,
                         region_mode: 'include',
                         delivery_days_mask: 127,

app/tests/Unit/Supplier/SupplierQuotaAllocatorTest.php

@@ -24,6 +24,37 @@ it('computeOrder = max(наибольший лимит, ceil(Σ/3))', function (
     'empty' => [[], 0],
 ]);
 
+// distributeForPlatform: split the group order across N supplier platforms so the
+// SUM of per-platform limits == order (portal does NOT divide — verified live 2026-05-21,
+// each B1/B2/B3 honors its own limit independently → must split ourselves). Largest-remainder.
+
+it('distributeForPlatform splits order so per-platform limits sum to the order', function (array $platforms, int $order, array $expected): void {
+    expect(SupplierQuotaAllocator::distributeForPlatform($order, $platforms))->toBe($expected);
+})->with([
+    // Even split (the common case — the owner reported 18 → 18/18/18 instead of 6/6/6)
+    'call/site 18→6/6/6' => [['B1', 'B2', 'B3'], 18, ['B1' => 6, 'B2' => 6, 'B3' => 6]],
+    'call/site 24→8/8/8' => [['B1', 'B2', 'B3'], 24, ['B1' => 8, 'B2' => 8, 'B3' => 8]],
+    'call/site 3→1/1/1' => [['B1', 'B2', 'B3'], 3, ['B1' => 1, 'B2' => 1, 'B3' => 1]],
+    // Uneven split — largest remainder: leading platforms get the +1, sum stays exact
+    'call/site 10→4/3/3' => [['B1', 'B2', 'B3'], 10, ['B1' => 4, 'B2' => 3, 'B3' => 3]],
+    'call/site 20→7/7/6' => [['B1', 'B2', 'B3'], 20, ['B1' => 7, 'B2' => 7, 'B3' => 6]],
+    // SMS+keyword (2 platforms)
+    'sms+kw 5→3/2' => [['B2', 'B3'], 5, ['B2' => 3, 'B3' => 2]],
+    'sms+kw 2→1/1' => [['B2', 'B3'], 2, ['B2' => 1, 'B3' => 1]],
+    // SMS without keyword (1 platform) — no split, full order
+    'sms 7→7' => [['B3'], 7, ['B3' => 7]],
+    // Edge: zero order
+    'zero' => [['B1', 'B2', 'B3'], 0, ['B1' => 0, 'B2' => 0, 'B3' => 0]],
+]);
+
+it('distributeForPlatform always conserves the order (sum invariant)', function (int $order, int $count): void {
+    $platforms = array_slice(['B1', 'B2', 'B3'], 0, $count);
+    $shares = SupplierQuotaAllocator::distributeForPlatform($order, $platforms);
+    expect(array_sum($shares))->toBe($order);
+})->with([
+    [1, 3], [2, 3], [7, 3], [13, 3], [100, 3], [101, 2], [99, 1], [0, 3],
+]);
+
 // Orthogonal smoke tests on allocate() — preserved from pre-T3 coverage; assert
 // invariants independent of the order formula (workdays/regions union, null-on-no-eligible).
 

app/tests/Unit/Supplier/SupplierRegionsTest.php

@@ -0,0 +1,49 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Support\SupplierRegions;
+use Tests\TestCase;
+
+// Бутстрапим приложение — mapToSupplier() пишет Log::warning при отбросе непереводимых.
+uses(TestCase::class);
+
+// Regression: Лидерра нумерует субъекты по конституционному порядку (RussianRegions,
+// Красноярский=29), поставщик crm.bp-gr.ru — по автокодам ГИБДД (Красноярский=24,
+// Архангельск=29). Sync слал Лидерра-код как есть → у поставщика выбирался ЧУЖОЙ регион.
+// SupplierRegions::mapToSupplier переводит Лидерра-код → код поставщика.
+
+it('translates Liderra constitutional codes to supplier (ГИБДД) codes', function (): void {
+    expect(SupplierRegions::mapToSupplier([29]))->toBe([24]); // Красноярский край
+    expect(SupplierRegions::mapToSupplier([35]))->toBe([29]); // Архангельская обл.
+    expect(SupplierRegions::mapToSupplier([24]))->toBe([21]); // Чувашская Республика
+    expect(SupplierRegions::mapToSupplier([82]))->toBe([77]); // Москва
+    expect(SupplierRegions::mapToSupplier([83]))->toBe([78]); // Санкт-Петербург
+});
+
+it('returns empty for all-Russia (no regions)', function (): void {
+    expect(SupplierRegions::mapToSupplier([]))->toBe([]);
+});
+
+it('ignores sentinel 0 (Вся РФ)', function (): void {
+    expect(SupplierRegions::mapToSupplier([0]))->toBe([]);
+});
+
+it('drops regions the supplier does not offer', function (): void {
+    // Поставщик НЕ предлагает: Московская (56), Ленинградская (53), Крым (13), новые территории.
+    expect(SupplierRegions::mapToSupplier([56]))->toBe([]); // Московская обл.
+    expect(SupplierRegions::mapToSupplier([53]))->toBe([]); // Ленинградская обл.
+    expect(SupplierRegions::mapToSupplier([13]))->toBe([]); // Крым
+    // mixed: оставляем переводимые, отбрасываем непереводимые
+    expect(SupplierRegions::mapToSupplier([29, 56]))->toBe([24]); // Красноярский kept, Московская dropped
+});
+
+it('dedupes and sorts supplier codes', function (): void {
+    // 35→29 (Архангельск), 29→24 (Красноярский), дубль 35 → unique+sorted [24,29]
+    expect(SupplierRegions::mapToSupplier([35, 29, 35]))->toBe([24, 29]);
+});
+
+it('every map entry points to a distinct supplier code (no collisions)', function (): void {
+    $targets = array_values(SupplierRegions::LIDERRA_TO_SUPPLIER);
+    expect(count($targets))->toBe(count(array_unique($targets)));
+});

cspell-words.txt

@@ -1579,3 +1579,13 @@ lemed
 побочек
 диффы
 ретрофилл
+
+# project delete / dedup / errors spec (2026-05-21)
+шеринг
+шеринга
+констрейнт
+дропается
+батч
+ретраит
+шеринге
+unactivated

db/CHANGELOG_schema.md

@@ -6,6 +6,10 @@
 
 **История записей:**
 
+## v8.27 — 2026-05-21 — DROP COLUMN projects.archived_at
+
+- DROP COLUMN `projects.archived_at` — фича «архив» полностью убрана и заменена настоящим удалением с защитой по сделкам (`ProjectService::delete()`). Миграция `2026_05_21_000000_drop_projects_archived_at.php`.
+
 ## v8.26 — 2026-05-20 — supplier_projects.subject_code (per-субъект экспорт)
 
 `supplier_projects` +1 колонка `subject_code SMALLINT NULL` (1..89; NULL = пул «Вся РФ»),

db/schema.sql

@@ -1,6 +1,6 @@
 -- =============================================================================
 -- schema.sql — единая схема БД для SaaS-аналога crm.bp-gr.ru («Лидерра»)
--- Версия: v8.26 (20.05.2026 — project-migration-redesign Plans 1-3: supplier_projects.subject_code (per-субъект экспорт) + project_supplier_links (M:N pivot projects↔supplier_projects) + deals.subject_code + CHECK chk_deals_subject_code + seed system_settings.supplier_export_mode)
+-- Версия: v8.27 (21.05.2026 — drop projects.archived_at: feature архива заменена настоящим удалением с защитой по сделкам (ProjectService::delete()))
 -- Метрики: 65 базовые таблицы (63 regular + 2 partitioned parents: deals + supplier_lead_costs) + 12 партиций / 123 индекса / 40 RLS-политик / 5 функций / 13 триггеров
 -- Базовая версия: v8.25 (19.05.2026 — supplier_manual_sync_queue: SaaS-level Tier 3 очередь резерва канала миграции проектов)
 -- Базовая версия: v8.24 (18.05.2026 — supplier_leads.vid → nullable для CSV-recovered лидов (Путь 2))
@@ -840,7 +840,6 @@ CREATE TABLE projects (
                                     CHECK (ttfr_target_minutes BETWEEN 1 AND 1440),
     created_at                      TIMESTAMPTZ DEFAULT NOW(),
     updated_at                      TIMESTAMPTZ,
-    archived_at                     TIMESTAMPTZ NULL,                     -- v8.20 (Plan 5): soft archive flow (отличие от is_active=false который = pause)
     UNIQUE (tenant_id, name),
     CONSTRAINT chk_projects_daily_limit_positive
         CHECK (daily_limit_target > 0),

docs/Plugin_stack_rules_v1.md

@@ -1,8 +1,12 @@
-# Plugin Stack Rules — Superpowers + Frontend Design (v3.19)
+# Plugin Stack Rules — Superpowers + Frontend Design (v3.21)
 
-**Дата:** 19.05.2026
+**Дата:** 21.05.2026
 **Назначение:** свод правил совместного использования плагинов Claude Code в проекте Лидерра — paired-stack ядро `obra/superpowers` (14 skills) + `anthropics/frontend-design`, плюс расширенный пул UI-инструментов `ui-ux-pro-max` (skill, marketplace `nextlevelbuilder/ui-ux-pro-max-skill`) и `21st.dev Magic MCP` (MCP-сервер `magic`), плюс инфраструктурный `claude-md-management` (skills, marketplace `anthropics/claude-plugins-official`), плюс **debug-runtime MCP** `@sentry/mcp-server` + `@modelcontextprotocol/server-redis` (v2.1+, R10.1 Блок 3). **17 правил R0–R16** (R15 off-phase routing введён в v3.14 на освободившийся после v2.0 R15-motion слот; R16 brain evidence loop введён в v3.16).
 
+**v3.21** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05.2026 (без choco) → в R10.1 Блок 1 note (Ward) + Блок 3 (ZAP MCP-row) снят статус PENDING INSTALL. Содержательных изменений R0–R16: 0; счётчики/состав без изменений. Связано: Tooling v2.21, Pravila v1.38, CLAUDE.md v2.25; setup-доки `docs/security/{zap,ward}-setup.md`; план `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`.
+
+**v3.20** — A8 infosec-tooling: R10.1 Блок 1 note +infosec-tooling (#69 Nuclei + #70 Ward — CLI-бинари; #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live — self-authored project-скилы) + Блок 3 +OWASP ZAP MCP (#68, PENDING INSTALL — нет Java). Nuclei установлен+verified (CLI, не MCP); Ward заменил Enlightn (abandoned/L13), PENDING INSTALL — нет Go. Каждый внешний инструмент прошёл провенанс-вет IS9 ДО установки (риск ToxicSkills). Новая 17-я off-phase подкатегория infosec-tooling, раздел A8 карты. Не UI → вне R6.0/R6.1/R14. Содержательных изменений R0–R16: 0. Связано: Tooling v2.20, Pravila v1.37, CLAUDE.md v2.24, ADR-014 (IS1–IS9); план `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`.
+
 **v3.19** — A1 backend-tooling: R10.1 Блок 1 note +backend-tooling (#64 Rector + #65 PHP Insights — Composer dev-deps; #66 laravel-backend-patterns — self-authored project-скил; #67 NightOwl — DEFERRED, MCP при активации). Новая 16-я off-phase подкатегория backend-tooling, раздел A1 карты. R15.6 +backend-tooling в список категорий. Не UI → вне R6.0/R6.1/R14. Содержательных изменений R0–R16: 0. Связано: Tooling v2.19, Pravila v1.35, CLAUDE.md v2.22, ADR-013; план `docs/superpowers/plans/2026-05-20-a1-backend-tooling.md`.
 
 **v3.18** — finance-tooling (C6+C7): R10.1 Блок 1 +finance plugin (#61, marketplace `finance@knowledge-work-plugins`, homed C7, cross-ref C6) + note (+billing-audit #62 / ru-tax-accounting #63 — self-authored project-скилы). Новая 15-я off-phase подкатегория finance-tooling, разделы C6/C7 карты. Не UI → вне R6.0/R6.1/R14. Содержательных изменений R0–R16: 0. Связано: Tooling v2.18, Pravila v1.34, CLAUDE.md v2.21, ADR-012; план `docs/superpowers/plans/2026-05-20-finance-tooling-c6-c7.md`.
@@ -459,6 +463,8 @@ Stack — **головной**. Все плагины вне stack'а — **ин
 
 **Блок 1 — note (v3.19):** **Rector** (Tooling #64) + **PHP Insights** (Tooling #65) — Composer dev-dependencies (`rector/rector` + `driftingly/rector-laravel`; `nunomaduro/phpinsights`), **не** marketplace-плагины и **не** в `enabledPlugins` (как deptrac #43 / promptfoo #48). CLI-инструменты: Rector — авто-рефакторинг/version-upgrade (`composer rector`/`rector:fix`), manual/CI, dry-run baseline 16 файлов → **не** блокирующий lefthook; PHP Insights — метрики complexity/architecture (`composer insights`), on-demand/CI с порогами → **не** блокирующий (BT9). **laravel-backend-patterns** (Tooling #66) — self-authored project-скил в `.claude/skills/laravel-backend-patterns/`, **линтуется** (LINT1, как billing-audit/process-*). **NightOwl** (Tooling #67) — `laravel/nightwatch` + self-hosted `lemed99/nightowl-agent`, **DEFERRED** (native-Windows нет pcntl/posix; OSS без MCP; hosted 152-ФЗ); при активации (Linux/Б-1) — MCP в Блок 3 или Boost `database-query`. Категория **backend-tooling** (16-я off-phase подкатегория, раздел A1 карты), вне R6.0/R6.1/R14. ADR-013.
 
+**Блок 1 — note (v3.20):** **Nuclei** (Tooling #69) + **Ward** (Tooling #70) — CLI-бинари (как deptrac #43 / gitleaks / squawk), **не** marketplace-плагины и **не** в `enabledPlugins`. Nuclei (`projectdiscovery/nuclei` v3.8.0, MIT, Go) — `bin/nuclei.exe`, **установлен+verified**; широкое сканирование известных уязвимостей; **CLI, не MCP** (nuclei не говорит на MCP → нет Блока 3 / l1-watcher alias). Ward (`Eljakani/ward`, MIT, Go) — безопасность настроек Laravel; **ЗАМЕНИЛ Enlightn** (abandoned/L13); **установлен 21.05** портативно (собран portable Go → `bin/ward.exe` v0.4.1, `docs/security/ward-setup.md`). **pdn-152fz-audit** (#71) + **threat-model** (#72) + **security-go-live** (#73) — self-authored project-скилы в `.claude/skills/`, **линтуются** (LINT1, как billing-audit/process-*). Каждый внешний инструмент прошёл провенанс-вет IS9 (`docs/security/infosec-vet.md`) ДО установки (риск ToxicSkills). Категория **infosec-tooling** (17-я off-phase подкатегория, раздел A8 карты), вне R6.0/R6.1/R14. ADR-014 (IS1–IS9).
+
 **Отмена:** через удаление из `enabledPlugins` в `~/.claude/settings.json` или через live-override `/имя-плагина` (R0.4.B) на одно действие.
 
 #### Блок 2: Built-in skills Claude Code (всегда доступны через `Skill` tool по `/имя`)
@@ -493,6 +499,7 @@ Stack — **головной**. Все плагины вне stack'а — **ин
 | **openapi-mcp-server** *(`openapi` сервер, tools `mcp__openapi__*`)* | `.mcp.json` (stdio MCP, env `OPENAPI_SPEC_URL` или локальный файл) | **integration-tooling MCP** — OpenAPI/Swagger-спецификации интеграций (inspect, introspect внешних API). Категория: **integration-tooling** (Tooling §4.22 #47). Раздел A3 карты «Программирование — интеграции (API, вебхуки)». Off-phase | при работе с внешними API-интеграциями (introspection спецификаций). **READ-ONLY introspection** — не мутировать внешние API из Claude. Не trigger'ит R6.0/R6.1 фильтры и не входит в R14 pipeline UI-генераторов. Вне R6/R14 |
 | **Jupyter MCP** *(`jupyter` сервер)* — **DEFERRED** | `.mcp.json` (stdio MCP) — не установлен, precondition: Python ML-окружение | **ml-ai-tooling MCP** — исполняемые ноутбуки (классический ML: обучение моделей). Категория: **ml-ai-tooling** (Tooling §4.25 #50). Раздел A11 карты «ML / AI-разработка». Off-phase | DEFERRED — на native-Windows машине нет Python ML-рантайма и нет модели для обучения. Зарегистрирован как pending-слот (как Figma MCP); устанавливается отдельной severable-задачей при появлении конкретной модели. Вне R6/R14 |
 | **n8n-mcp** *(`n8n` сервер)* — **DEFERRED** | `.mcp.json` (stdio MCP) — не установлен, precondition: принятие n8n в стек портала | **business-process MCP** — workflow-движок платформы n8n (построение/запуск автоматизированных workflow). Категория: **business-process** (Tooling §4.29 #54). Раздел C10 карты «Бизнес-процессы (общее)». Off-phase | DEFERRED — стек Лидерры не содержит n8n (движок процессов = очередь Laravel + события/джобы); принятие n8n как инфраструктуры — отдельное архитектурное решение (свой ADR), не выбор инструмента (N8N1). Зарегистрирован как pending-слот (как Figma MCP / Jupyter MCP); устанавливается отдельной severable-задачей. Вне R6/R14 |
+| **OWASP ZAP MCP** *(`zap` сервер, официальный ZAP «MCP Integration» add-on)* — **установлен 21.05** | `bin/ZAP_2.17.0/` + MCP-аддон `mcp-alpha-0.0.1` на portable Temurin JRE 17 (`bin/_runtimes/`, без choco); MCP-эндпоинт (SSE) регистрируется в `.mcp.json` при запущенном ZAP-демоне (`docs/security/zap-setup.md`) | **infosec-tooling MCP** — глубокая боевая DAST работающего портала (spider + active scan: обход входа, инъекции, XSS). Категория: **infosec-tooling** (Tooling §4.43 #68). Раздел A8 карты. Off-phase | Установлен (daemon API verified → 2.17.0); MCP-аддон alpha. Цель по умолчанию **локальная копия** (127.0.0.1), бой — только по явной команде (IS8). READ-only сканер. Провенанс OWASP/Checkmarx (IS9-вет). Не trigger'ит R6.0/R6.1 и не входит в R14 pipeline. Вне R6/R14. ADR-014 |
 
 **Отмена:** через удаление из `~/.claude.json` или `.mcp.json`. Live-override через `/команду` для MCP не предусмотрен — MCP-серверы не имеют slash-интерфейса.
 
@@ -825,7 +832,7 @@ Pravila §12 (Superpowers инвокация первой), §14 (queen-роут
 - **UI-пул** (#31 UPM, #32 21st) — здесь R15 не применяется; R14 pipeline ведёт (это UI-задачи по природе).
 - **infrastructure** (#33 claude-md-management) — единственный канал для правок CLAUDE.md (Pravila §5 п.10 + R10.1 Блок 1).
 - **authoring-tooling** (#56-#58) — политика триггеров: skill-creator ≥3 повторений workflow → новый скил; hookify повторяющаяся ошибка → новый хук (с pre-check HK1); plugin-dev — для расширений plugin-grain.
-- **business-process / discovery-tooling / ml-ai-tooling / architecture-tooling / audit-security / project-management / design-tooling / integration-tooling / dev-support / finance-tooling / backend-tooling** — следуют routing-off-phase.md.
+- **business-process / discovery-tooling / ml-ai-tooling / architecture-tooling / audit-security / project-management / design-tooling / integration-tooling / dev-support / finance-tooling / backend-tooling / infosec-tooling** — следуют routing-off-phase.md.
 
 ### 15.7. Тип правила и enforcement
 

docs/Pravila_raboty_Claude_v1_1.md

@@ -1,10 +1,16 @@
 # Правила работы Claude в проекте «Лидерра»
 
-**Версия:** v1.35 (20.05.2026)
-**Дата:** 20.05.2026
+**Версия:** v1.38 (21.05.2026)
+**Дата:** 21.05.2026
 **Назначение:** настройки проекта (Project instructions) — Claude читает этот файл в каждом чате и следует правилам ниже.
 **Статус документа:** ✅ утверждён. Содержимое скопировано в поле "Project instructions" Claude.ai. Файл хранится в архиве как служебный документ.
 
+**Что изменилось в v1.38 относительно v1.37:** A8 infosec install-sync — ZAP #68 + Ward #70 установлены портативно 21.05.2026 (без choco, по выбору заказчика «оба портативно») → в §13.2 абзаце «Off-phase infosec-tooling» статус **PENDING INSTALL снят** для обоих (ZAP: ZAP 2.17.0 + MCP-аддон на portable Temurin JRE 17; Ward: собран portable Go → `bin/ward.exe` v0.4.1); setup-доки `docs/security/{zap,ward}-setup.md`. Архитектурных изменений §§1–16: 0. Связано: Tooling v2.21, PSR_v1 v3.21, CLAUDE.md v2.25; план `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`.
+
+**Что изменилось в v1.37 относительно v1.36:** A8 infosec-tooling — §13.2 +абзац «Off-phase infosec-tooling»: #68 OWASP ZAP (MCP DAST, **PENDING INSTALL** — нет Java), #69 Nuclei (CLI, установлен+verified), #70 Ward (CLI, заменил abandoned Enlightn, **PENDING INSTALL** — нет Go), #71 pdn-152fz-audit + #72 threat-model + #73 security-go-live (self-authored project-скилы). 17-я off-phase подкатегория, раздел A8. Провенанс-вет IS9 каждого внешнего ДО установки (риск ToxicSkills). Серверный слой (WAF/DDoS/мониторинг и т.д.) — out of scope, открытые вопросы SEC-1..SEC-7 (Б-1). Не UI → вне R6.0/R6.1/R14. Границы — ADR-014 (IS1–IS9). Архитектурных изменений §§1–12, §14–§16: 0. Связано: Tooling v2.20, PSR_v1 v3.20, CLAUDE.md v2.24; план `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`. **NB:** перенумеровано v1.36→v1.37 при ребейзе на origin/main — v1.36 параллельно занят observer missed-activations.
+
+**Что изменилось в v1.36 относительно v1.35:** §16.4 расширен симметрией missed activation (условное правило): §16.4 заголовок уточнён «(условное)»; тело расширено — поведенческое правило теперь содержит условие «если профильной задачи в эпизодах не было»; добавлено **симметричное правило (missed activation)**: эпизоды с профильной классификацией без активации релевантного non-dormant узла — сигнал, surface в STATUS.md (C5: `missed_activations: N`, ⚠️ при N>0) и в выводе `/brain-retro`, не блок коммита; хранение mapping в `tools/observer-classification-map.json` + `tools/.node-dormancy.json` (двойной сигнал dormant=true ИЛИ DEFERRED в boundaries); DEFERRED-узлы (#17/#44/#50/#54/#67) — в missed activations не учитываются. Архитектурных изменений в §§1–15: 0. Связано: план `docs/superpowers/plans/2026-05-21-observer-missed-activations.md`.
+
 **Что изменилось в v1.35 относительно v1.34:** A1 backend-tooling — §13.2 +абзац «Off-phase backend-tooling»: #64 Rector + rector-laravel (Composer dev-dep, авто-рефакторинг/version-upgrade, manual/CI — dry-run baseline 16 файлов, не блокирующий), #65 PHP Insights (Composer dev-dep, метрики complexity/architecture, on-demand/CI — не блокирующий), #66 laravel-backend-patterns (self-authored project-скил, backend-конвенции Лидерры), #67 NightOwl (self-hosted runtime-телеметрия — **DEFERRED**: native-Windows нет pcntl/posix, OSS без MCP, hosted 152-ФЗ). 16-я off-phase подкатегория, раздел A1. Не UI → вне R6.0/R6.1/R14. Границы — ADR-013. Архитектурных изменений §§1–12, §14–§16: 0. Связано: Tooling v2.19, PSR_v1 v3.19, CLAUDE.md v2.22; план `docs/superpowers/plans/2026-05-20-a1-backend-tooling.md`.
 
 **Что изменилось в v1.34 относительно v1.33:** finance-tooling (C6+C7) — §13.2 +абзац «Off-phase finance-tooling»: #61 finance plugin (marketplace `finance@knowledge-work-plugins`, Anthropic Verified, homed C7, cross-ref C6; РФ-применимость частична — US-GAAP-скилы ⚠️, SOX-скилы not-applicable, warehouse-MCP DEFERRED), #62 billing-audit (self-authored project-скил, C6 — денежные инварианты биллинга), #63 ru-tax-accounting (self-authored project-скил, C7 — РСБУ/НК РФ). 15-я off-phase подкатегория. Не UI → вне R6.0/R6.1/R14. Границы — ADR-012. Архитектурных изменений §§1–12, §14–§16: 0. Связано: Tooling v2.18, PSR_v1 v3.18, CLAUDE.md v2.21; план `docs/superpowers/plans/2026-05-20-finance-tooling-c6-c7.md`.
@@ -766,6 +772,8 @@ Frontend Design и `obra/superpowers` (v5.1.0, 14 skills) — **парный sta
 
 **Off-phase backend-tooling (A1, v1.35, 20.05.2026):** Инструменты раздела A1 карты «Программирование — backend» — #64 `Rector` + `rector-laravel` (Tooling §4.39; Composer dev-dependencies `rector/rector` + `driftingly/rector-laravel`, авто-рефакторинг/version-upgrade; конфиг `app/rector.php` deadCode+codeQuality conservative; постура manual/CI `composer rector`/`rector:fix` — dry-run baseline 16 файлов → **не** блокирующий lefthook, прецедент promptfoo ML1), #65 `PHP Insights` (Tooling §4.40; Composer dev-dependency `nunomaduro/phpinsights`; метрики complexity/architecture; конфиг `app/config/insights.php` — SyntaxCheck removed из-за Windows subprocess-краша, style-ось off — владелец Pint, BT4; постура on-demand/CI `composer insights` с порогами → **не** блокирующий, BT9), #66 `laravel-backend-patterns` (Tooling §4.41; self-authored project-скил `.claude/skills/laravel-backend-patterns/` — backend-конвенции Лидерры: слоистость/RLS-aware/bcmath-деньги/идемпотентность/partition-aware; **линтуется**, LINT1), #67 `NightOwl` (Tooling §4.42; `laravel/nightwatch` + self-hosted `lemed99/nightowl-agent` — коррелированный runtime-трейс; **DEFERRED**: native-Windows нет pcntl/posix, OSS без MCP, hosted 152-ФЗ; pending Б-1/Linux). Плюс reuse существующих узлов A1 (Boost #10, Pint #11, Larastan #12). **Шестнадцатая** off-phase подкатегория. Off-phase, не UI → вне R6.0/R6.1/R14 PSR_v1. Rector/PHP Insights **не гейтят коммит** (manual/CI — избегаем дубля с Pint/Larastan/deptrac + авто-мутации кода). Границы — ADR-013 (BT1–BT9). Регулируется PSR_v1 R10.1 Блок 1 note. Установлено 20.05.2026 на ветке `worktree-a1-backend-tooling`; план `docs/superpowers/plans/2026-05-20-a1-backend-tooling.md`.
 
+**Off-phase infosec-tooling (A8, v1.38, 21.05.2026):** Инструменты раздела A8 карты «Информационная безопасность» — портал готовится к публичному запуску в интернете. #68 `OWASP ZAP` (Tooling §4.43; официальный ZAP «MCP Integration» add-on `zaproxy/zap-extensions`, Apache-2.0; глубокая боевая DAST — обход входа, инъекции, XSS; MCP-сервер; **установлен 21.05** портативно — ZAP 2.17.0 + MCP-аддон на portable Temurin JRE 17, без choco, `docs/security/zap-setup.md`; цель по умолчанию локальная 127.0.0.1, бой только по явной команде — IS8), #69 `Nuclei` (Tooling §4.44; `projectdiscovery/nuclei` v3.8.0 MIT, Go-бинарь `bin/nuclei.exe` — широкая проверка известных уязвимостей/экспозиции/TLS; **CLI, не MCP**; **установлен+verified** на живом портале; квирки native-Windows: цель `127.0.0.1` не `localhost`, низкий rate-limit для однопоточного dev-сервера), #70 `Ward` (Tooling §4.45; `Eljakani/ward` MIT, Go CLI — безопасность настроек Laravel: .env/config/заголовки/cookie/secrets/deps; **ЗАМЕНИЛ Enlightn** — тот abandoned + без поддержки Laravel 13; **установлен 21.05** портативно — собран portable Go → `bin/ward.exe` v0.4.1, без choco, `docs/security/ward-setup.md`), #71 `pdn-152fz-audit` + #72 `threat-model` + #73 `security-go-live` (Tooling §4.46-4.48; self-authored project-скилы `.claude/skills/` — аудит ПДн+соответствие 152-ФЗ / STRIDE-моделирование угроз going-public / go-live security-gate оркестратор; **линтуются**, LINT1). Каждый внешний инструмент прошёл провенанс-вет IS9 (`docs/security/infosec-vet.md`) ДО установки (риск ToxicSkills ≈13% security-скилов с дефектами). **Семнадцатая** off-phase подкатегория. Off-phase, не UI → вне R6.0/R6.1/R14 PSR_v1. Серверный слой защиты (WAF / anti-brute-force / DDoS / мониторинг вторжений / secrets-vault / TLS-HSTS-CSP / бэкапы+IR-runbook) — **out of scope**, открытые вопросы инфраструктуры (привязка к Б-1, SEC-1..SEC-7). Границы — ADR-014 (IS1–IS9). Регулируется PSR_v1 R10.1 Блок 1 note (Nuclei/Ward CLI + 3 скила) + Блок 3 (ZAP MCP). Установлено 21.05.2026 на ветке `worktree-a8-infosec-tooling`; план `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`.
+
 ### 13.3. Скоуп
 
 | Тип задачи | Кто отвечает |
@@ -982,11 +990,15 @@ git fetch origin && git log HEAD..origin/main --oneline
 
 Все 5 — механические, 0 LLM-вызовов в hot path.
 
-### 16.4. Поведенческое правило «не использован ≠ проблема»
+### 16.4. Поведенческое правило «не использован ≠ проблема» (условное)
 
-Узел «мозга», не задействованный на реальной задаче, **не** считается проблемой и **не** подлежит автоматической пометке. Это — capability-readiness, осознанная стратегия заказчика. См. `memory/feedback_brain_unused_tools_not_problem.md`.
+Узел «мозга», не задействованный в реальной работе, **не** считается проблемой и **не** подлежит автоматической пометке **при условии, что профильной задачи для него в эпизодах не было**. Это — capability-readiness, осознанная стратегия заказчика.
 
-**Исключение**: deprecated upstream-пакеты или физически сломанные инструменты (отдельная категория, `npm audit` / `composer outdated`).
+**Симметричное правило (missed activation):** если в эпизодах присутствует **хотя бы один** эпизод с `primary_rationale.task_classification`, соответствующим набору рекомендуемых узлов из `tools/observer-classification-map.json`, при этом `primary_rationale.node_chosen === 'direct'` и среди рекомендуемых узлов есть хотя бы один non-dormant (по `tools/.node-dormancy.json`, экстракт из [Tooling Прил.Н §3.5/§4.X](Tooling_v8_3.md) с двойным сигналом: `dormant: true` ИЛИ ключевое слово `DEFERRED` в колонке boundaries) — это **сигнал**, кандидат на разбор. Surface в STATUS.md (C5: `missed_activations: N`, ⚠️ при N>0) и в выводе `/brain-retro`. Не блок коммита, не auto-edit.
+
+**Исключения:** DEFERRED-узлы (на момент v1.36 — #17 pg_partman, #44 Figma MCP, #50 Jupyter MCP, #54 n8n-mcp, #67 NightOwl) — для них «не активирован» = ожидаемое состояние, в missed activations не учитываются.
+
+См. `memory/feedback_brain_unused_tools_not_problem.md`.
 
 ### 16.5. Не override-floor §9
 

docs/adr/014-infosec-tooling.md

@@ -0,0 +1,120 @@
+# ADR-014: A8 infosec-tooling — наполнение раздела карты A8
+
+**Status:** Accepted (amended 21.05.2026 — ZAP #68 + Ward #70 установлены портативно, статус PENDING INSTALL снят; см. Decision п.1/п.3 + Consequences)
+**Date:** 2026-05-21
+**Контекст:** эпик A8 infosec-tooling, spec `docs/superpowers/specs/2026-05-21-a8-infosec-tooling-design.md`, plan `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`, провенанс-вет `docs/security/infosec-vet.md`.
+
+## Context
+
+Раздел карты A8 «Информационная безопасность» формально существовал, но дедицированных
+узлов не имел — в него были лишь кросс-тегированы существующие фазовые инструменты
+(Semgrep #25, gitleaks #8). Портал Лидерра подходит к публичному запуску в интернете;
+заказчик попросил подобрать 5–7 плагинов (GitHub + Anthropic), закрывающих потребности
+безопасности портала.
+
+Дефициты чистого A8 (технические инструменты защиты *работающего* портала — отдельно
+от процесса аудита D3, статики кода, БД-инструментов): динамическая «боевая» проверка
+(DAST) отсутствовала полностью; широкая проверка на известные уязвимости/экспозицию;
+Laravel-специфичная безопасность конфигурации; защита ПДн + соответствие 152-ФЗ;
+моделирование угроз под выход в интернет; единый go-live security-gate.
+
+D3 (audit-security) уже покрывает Anthropic-арсенал (Security Guidance хук,
+`/security-review`, Trail of Bits скилы). DAST-движка и Laravel-сканера у Anthropic нет
+→ внешние GitHub-инструменты обоснованы. Для 152-ФЗ и угроз-под-наш-портал готового
+(знающего РФ-закон и устройство Лидерры) не существует → self-authored скилы.
+
+**Решения заказчика (зафиксированы):** охват — мои инструменты + серверный слой (двумя
+слоями); ПДн/152-ФЗ — целиком; «боевая» DAST — да; подход — готовые движки + свои скилы
+для project-specific слотов.
+
+## Decision
+
+1. **OWASP ZAP (#68)** — официальный ZAP «MCP Integration» add-on (`zaproxy/zap-extensions`,
+   Apache-2.0). Глубокая DAST (spider + active scan): обход входа, инъекции, XSS.
+   - **Постура:** on-demand, READ-only сканер, цель по умолчанию **локальная копия**
+     (127.0.0.1), бой — только по явной команде (IS8). MCP-сервер в `.mcp.json`.
+   - **Статус: УСТАНОВЛЕН 21.05.2026** (портативно, без choco) — ZAP cross-platform 2.17.0
+     с MCP-аддоном `mcp-alpha-0.0.1` на portable Temurin JRE 17 (`bin/ZAP_2.17.0/`, gitignored);
+     daemon API verified → 2.17.0. Add-on alpha. Доку: `docs/security/zap-setup.md`.
+2. **Nuclei (#69)** — `projectdiscovery/nuclei` v3.8.0 (MIT), Go-бинарь `bin/nuclei.exe`.
+   Широкая проверка по YAML-шаблонам (известные CVE, экспозиция, TLS).
+   - **Тип: CLI-инструмент, НЕ MCP-сервер.** Nuclei не говорит на протоколе MCP;
+     обёртка в MCP-сервер = доп. attack surface. Интегрирован как CLI (как gitleaks #8 /
+     squawk #15 / Trivy #26), вызывается по требованию скилом #73. Поэтому `.mcp.json`-блок
+     и l1-watcher alias для #69 **не нужны**.
+   - **Статус: УСТАНОВЛЕН + verified** (13 060 шаблонов; smoke: 1057 запросов к живому
+     порталу, скан завершён). Квирки: цель `127.0.0.1` (не `localhost` — резолвер),
+     `-rate-limit 20 -c 5` для однопоточного dev-сервера. Доку: `docs/security/nuclei-setup.md`.
+3. **Ward (#70)** — `Eljakani/ward` (MIT, Go CLI). Сканер misconfig/secrets Laravel:
+   .env (8 проверок) + config/*.php (13) + deps (OSV.dev) + код (7 категорий).
+   - **ЗАМЕНИЛ Enlightn** (исходный план): Enlightn оказался abandoned (Packagist) +
+     официально без поддержки Laravel 13 (PR L12 висит 3+ мес). Ward — Go-бинарь, **не
+     зависит от версии Laravel** → проблема снята. Заказчик выбрал «подобрать замену».
+     Обоснование — `docs/security/infosec-vet.md` §ПЕРЕСМОТР #70. Pin по commit SHA (релизов нет).
+   - **Тип: CLI-инструмент** (как Nuclei), не MCP, не Composer dev-dep.
+   - **Статус: УСТАНОВЛЕН 21.05.2026** (портативно, без choco) — собран из исходника через
+     portable Go 1.26.3 (`go install github.com/eljakani/ward@v0.4.1`) → `bin/ward.exe` v0.4.1;
+     smoke `app/` → 2 находки (High APP_DEBUG, Medium APP_ENV). Доку: `docs/security/ward-setup.md`.
+   - Caveat: молодой (фев 2026), single-maintainer → bus-factor; митигация — версия-pin + MIT-форк.
+4. **pdn-152fz-audit (#71)** — self-authored project-скил. Аудит ПДн + соответствие 152-ФЗ
+   (2 режима: техника + закон), заземлён в `db/schema.sql`. Активен.
+5. **threat-model (#72)** — self-authored project-скил. STRIDE под наш портал, going-public,
+   заземлён в `app/routes/`. Активен.
+6. **security-go-live (#73)** — self-authored project-скил, оркестратор go-live security-gate:
+   #68–#72 + Semgrep #25 / Trivy #26 / gitleaks #8 / Trail of Bits #39 → вердикт GO/NO-GO. Активен.
+
+**Серверный слой защиты** (WAF, anti-brute-force/rate-limit, DDoS, intrusion monitoring,
+secrets vault, TLS/HSTS/CSP, бэкапы + IR-runbook) — **out of scope** этого эпика (не плагины);
+фиксируется как открытые вопросы инфраструктуры (привязка к Б-1).
+
+## Boundaries (конфликт-аудит)
+
+- **IS1** ZAP #68 ↔ Semgrep #25: динамика (бьёт работающий портал) vs статика (читает код) — разные классы.
+- **IS2** Nuclei #69 ↔ ZAP #68: широта (известные дыры / экспозиция по шаблонам) vs глубина (логика приложения / активные инъекции) — комплементарны.
+- **IS3** Ward #70 ↔ Larastan #12 / Semgrep #25: misconfig/secrets/deps-сканер Laravel vs типы / generic-паттерны. Dep-скан Ward пересекается с Trivy #26 / Dependabot #27 — информационно, не гейт.
+- **IS4** pdn-152fz-audit #71 ↔ pg_anonymizer #29: аудит + направление (где ПДн, всё ли закрыто) vs инструмент маскирования.
+- **IS5** pdn-152fz-audit #71 ↔ D2 (право/юрист): техника + 152-ФЗ-чек-лист vs юридическое оформление документов.
+- **IS6** threat-model #72 ↔ Trail of Bits `audit-context-building` #39: наш портал + STRIDE + going-public vs generic deep code-audit.
+- **IS7** security-go-live #73 ↔ `audit-portal`: только безопасность + go-live-вердикт vs полный 14-фазный аудит; #73 *вызывает* D3, не заменяет.
+- **IS8** «боевая» проверка (#68/#69) на бою: гард — по умолчанию локальная/тестовая копия (127.0.0.1); бой только осознанно и аккуратно.
+- **IS9** провенанс-гейт: каждый внешний (ZAP/Nuclei/Ward) читается и проверяется на происхождение ДО установки (риск ≈13% ToxicSkills) — расширение процедуры `docs/audit/` attack-surface. Артефакт — `docs/security/infosec-vet.md`.
+
+## Alternatives Considered
+
+- **Enlightn (#70 исходный)** — отклонён: abandoned (Packagist), `composer.json` без Laravel 13, мейнтейнер не отвечает 3+ мес. Заменён Ward.
+- **Готовые маркетплейс-скилы threat-model / compliance** (fr33d3m0n, josemlopez, sickn33, и пр.) — отклонены для #71/#72: generic-методика (GDPR/SOC2, не 152-ФЗ; не знают устройство Лидерры) + риск ToxicSkills. Берутся как референс, не установка.
+- **Larafence** — отклонён: не выпущен (Q2 2026) + TALL/Livewire-стек (у нас Vue).
+- **Psalm + plugin-laravel taint-analysis** — не для слота #70: код-SAST (taint), пересекается с Semgrep #25 (IS3); не config-сканер.
+- **`laravel/agent-skills`** (официальный, чистый провенанс) — не security-сканер (общий Laravel-скил); опциональное доп. позже, не замена слота.
+- **Платные tiers** (Enlightn Pro, Snyk, ProjectDiscovery Cloud) — только OSS (РФ-резидентность, near-zero cost).
+- **Дедицированный dependency/SBOM-инструмент** — не добавляем: покрыто Dependabot #27 + Trivy #26 + ToB #39 + GitHub MCP (дубль §5 п.6).
+
+## Consequences
+
+**Positive:**
+
+- A8 непуст: 0 → 6 дедицированных узлов. **Все установлены (21.05.2026):** Nuclei #69 + Ward #70 (CLI в `bin/`) + ZAP #68 (portable JRE 17, daemon verified) + 3 скила #71/#72/#73.
+- Новая off-phase подкатегория `infosec-tooling` (17-я).
+- Провенанс-вет (IS9) каждого внешнего инструмента до установки — расширяет ADR-003-дисциплину; чужие security-скилы в чувствительные слоты (#71/#72) не тащим (ToxicSkills).
+- 152-ФЗ + угрозы-под-наш-портал сделаны своими скилами (РФ-/project-specific), а не generic-готовым.
+- DAST-движки таргетят локальную копию по умолчанию (IS8) — безопасно для боевого портала.
+
+**Negative:**
+
+- ZAP #68 (alpha MCP + Java) и Ward #70 (Go) — **установлены портативно 21.05.2026** (без choco, по выбору заказчика «оба портативно»; setup-доки `docs/security/{zap,ward}-setup.md`). Footprint ~1.2 ГБ (Go SDK + JRE + ZAP) в `bin/*` gitignored. go-live-gate #73: шаг ZAP возвращает PENDING лишь при незапущенном ZAP-демоне (MCP-режим требует живого демона).
+- Ward — молодой single-maintainer проект (bus-factor); митигация SHA-pin + MIT-форкабельность.
+- Nuclei добавляет 126 МБ бинарь в `bin/` (gitignored, машинно-локальный) + 13k шаблонов.
+- ПДн-скил полагается на pg_anonymizer, который сам DEFERRED (OPEN-И-24, фаза 3) — чек-лист честно помечает «проверить вручную».
+
+## Related Decisions
+
+- **ADR-002** — tenant isolation via RLS; её правило драйвит ПДн-аудит (#71) и его технический режим.
+- **ADR-003** — D3 audit-security toolset; A8 — технический домен, граница: #73 *вызывает* D3-инструменты, не заменяет (IS7); провенанс-дисциплина IS9 наследует «defer непроверенного» из ADR-003.
+
+## References
+
+- `docs/superpowers/specs/2026-05-21-a8-infosec-tooling-design.md` — design.
+- `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md` — plan.
+- `docs/security/infosec-vet.md` — IS9 провенанс-вет (вкл. §ПЕРЕСМОТР #70 Enlightn→Ward).
+- `docs/security/nuclei-setup.md` — установка/квирки Nuclei.
+- `docs/Открытые_вопросы_v8_3.md` — серверный слой (open questions).

docs/adr/ADR-011-brain-governance.md

@@ -100,3 +100,36 @@ The observer episode is extended to `schema_version: 2` so a real factor analysi
 - Pravila §12 / §14 / §15 (hard-floor for router procedure step 1)
 - PSR_v1 R15 (off-phase routing extends to brain governance)
 - memory: `feedback_brain_unused_tools_not_problem.md`, `project_brain_governance_design.md`
+
+## Amendment 2026-05-21: Conditional missed-activation rule (§16.4 v1.36)
+
+The original §16.4 stated unconditionally that an unused node is not a problem. Real-world episodes show this is too permissive: when a profile-classified task (e.g. `refactor`) runs with `node_chosen === 'direct'` and a relevant non-dormant node exists in Tooling Прил.Н, the absence of activation IS a signal (router miss, not a problem in the node itself).
+
+The rule now reads:
+
+- **Unused + no profile task** → still not an alert (capability-readiness).
+- **Unused + profile task present** → "missed activation", surfaced in STATUS.md C5 and `/brain-retro`. Not a commit block.
+
+**Mapping artefacts:**
+
+- `tools/observer-classification-map.json` — manual mapping `classification → recommended_node_ids[]` (single source of truth). 10 classification buckets, populated from the real `tools/observer-transcript-parser.mjs` `classifyTask` dictionary (bugfix / cleanup / feature / memory-sync / monitoring / other / planning / question / refactor / analysis).
+- `tools/.node-dormancy.json` — generated from Прил.Н by `tools/extract-node-dormancy.mjs` (pre-commit job `extract-node-dormancy` in `lefthook.yml`). Uses a **two-signal** availability check: `dormant: true` in the 9-attribute row OR keyword `DEFERRED` in the boundaries column. Both signals normalize to the same JSON value, so consumers don't distinguish "permanent dormant" (#17) from "deferred-pending" (#44 / #50 / #54 / #67) — they're all "cannot activate right now".
+- `tools/missed-activations.mjs` — pure deterministic matcher. Exports `detectMissedActivations(episodes, classificationMap, dormancy)`. No fs, no exec.
+
+**Detection threshold:** single episode (per user decision 2026-05-21). No smoothing; every qualifying episode counts.
+
+**DEFERRED exclusion:** nodes flagged as unavailable in `.node-dormancy.json` are filtered before counting. Current dormant set: #1 (replaced), #17 (pg_partman, native-Windows), #44 (Figma MCP, no Figma account), #50 (Jupyter MCP, no Python ML env), #54 (n8n-mcp, n8n not in stack), #67 (NightOwl, pending Б-1 / Linux).
+
+**Surfacing:**
+
+- C5 `observer-coverage-checker` includes `missed.totalMissed` in its return value; the CLI emits `WARN — missed activations: N (see /brain-retro)` when N > 0.
+- `status-md-generator` renders `missed_activations: N` in the metrics block; C5 row turns ⚠️ when N > 0.
+- `/brain-retro` `analyze(episodes, { classificationMap, dormancy })` returns `missedActivations: { totalMissed, byNode, byClassification }` — the retro skill renders a per-node + per-classification breakdown.
+
+**Initial measurement on May 2026 episodes:** 16 missed activations, dominated by memory-sync × 7 (CLAUDE.md edits without `#33 claude-md-management` chosen) and feature × 4 (no Superpowers brainstorming invocation). This is the kind of "router miss" signal the rule is designed to surface, not a problem in the unactivated nodes themselves.
+
+**Linkage:**
+
+- Pravila §16.4 v1.36 (2026-05-21).
+- Plan: `docs/superpowers/plans/2026-05-21-observer-missed-activations.md`.
+- Spec / decision rationale: this amendment.

docs/automation-graph-data.js

@@ -21,11 +21,11 @@ function pos(ring, angleDeg) {
 
 const NODES = [
   // ── ПРАВИЛА (5) ── центр + первое кольцо ───────
-  { id: 'pravila',      label: 'Pravila v1.35',        group: 'rules', size: 38, ring: 0, ...pos(0, 0)    },
-  { id: 'claude_md',    label: 'CLAUDE.md v2.22',       group: 'rules', size: 34, ring: 1, ...pos(1, 30)   },
-  { id: 'psr_v1',       label: 'PSR_v1 v3.19',          group: 'rules', size: 32, ring: 1, ...pos(1, 150)  },
-  { id: 'tooling',      label: 'Tooling v2.19',         group: 'rules', size: 30, ring: 1, ...pos(1, 270)  },
-  { id: 'router_procedure', label: 'router-procedure v1.2', group: 'rules', size: 24, ring: 1, ...pos(1, 210)  },
+  { id: 'pravila',      label: 'Pravila v1.37',        group: 'rules', size: 38, ring: 0, ...pos(0, 0)    },
+  { id: 'claude_md',    label: 'CLAUDE.md v2.24',       group: 'rules', size: 34, ring: 1, ...pos(1, 30)   },
+  { id: 'psr_v1',       label: 'PSR_v1 v3.20',          group: 'rules', size: 32, ring: 1, ...pos(1, 150)  },
+  { id: 'tooling',      label: 'Tooling v2.20',         group: 'rules', size: 30, ring: 1, ...pos(1, 270)  },
+  { id: 'router_procedure', label: 'router-procedure v1.3', group: 'rules', size: 24, ring: 1, ...pos(1, 210)  },
 
   // ── ПЛАГИНЫ (13) ── второе кольцо ──────────────
   { id: 'superpowers',    label: 'Superpowers v5.1',    group: 'plugins', size: 30, ring: 2, ...pos(2, 45)   },
@@ -95,6 +95,14 @@ const NODES = [
   { id: 'php_insights',    label: 'PHP Insights\n(dev-dep)',     group: 'plugins',     size: 18, ring: 2, ...pos(2, 220) },
   { id: 'backend_patterns', label: 'backend-patterns\n(skill)',  group: 'skills_proj', size: 18, ring: 3, ...pos(3, 417) },
   { id: 'nightowl',        label: 'NightOwl\n(DEFERRED)',        group: 'mcp',         size: 16, ring: 3, ...pos(3, 427) },
+  // A8 infosec-tooling (21.05.2026) — раздел «Информационная безопасность»
+  { id: 'mcp_zap',           label: 'MCP: OWASP ZAP\n(DAST, pending install)', group: 'mcp',         size: 18, ring: 5, ...pos(5, 360) },
+  { id: 'nuclei',            label: 'Nuclei\n(CLI, известные уязвимости)',       group: 'lefthook',    size: 18, ring: 5, ...pos(5, 370) },
+  { id: 'ward',              label: 'Ward\n(CLI, Laravel безопасность, pending)', group: 'lefthook',   size: 18, ring: 5, ...pos(5, 380) },
+  { id: 'sk_pdn_152fz',      label: 'ПДн / 152-ФЗ\n(скил)',                     group: 'skills_proj', size: 18, ring: 3, ...pos(3, 437) },
+  { id: 'sk_threat_model',   label: 'Моделирование угроз\nSTRIDE (скил)',        group: 'skills_proj', size: 18, ring: 3, ...pos(3, 447) },
+  { id: 'sk_security_golive', label: 'Прогон перед\nпубликацией (скил)',         group: 'skills_proj', size: 20, ring: 3, ...pos(3, 457) },
+
   // brain governance iter9 (19.05.2026) — проектный скил факторного анализа
   { id: 'sk_brain_retro',     label: '/brain-retro\n(skill)',       group: 'skills_proj', size: 18, ring: 3, ...pos(3, 210) },
 
@@ -422,6 +430,25 @@ const EDGES = [
   E('mcp_boost',        'backend_patterns', 'Eloquent-контекст'),
   E('nightowl',         'mcp_sentry',       'трейс ↔ ошибки\n(BT7, ADR-013)'),
 
+  // ── A8 INFOSEC-TOOLING (21.05.2026) — связи 6 новых узлов + L15 chain ──
+  E('tooling',             'mcp_zap',             '§4.X #A8 — реестр (DAST)'),
+  E('tooling',             'nuclei',              '§4.X #A8 — реестр (CVE CLI)'),
+  E('tooling',             'ward',                '§4.X #A8 — реестр (Laravel security)'),
+  E('tooling',             'sk_pdn_152fz',        '§4.X #A8 — реестр (ПДн скил)'),
+  E('tooling',             'sk_threat_model',     '§4.X #A8 — реестр (STRIDE скил)'),
+  E('tooling',             'sk_security_golive',  '§4.X #A8 — реестр (go-live скил)'),
+  // sk_security_golive оркеструет — L15 security go-live chain
+  E('sk_security_golive', 'mcp_zap',             'оркеструет (L15)'),
+  E('sk_security_golive', 'nuclei',              'оркеструет (L15)'),
+  E('sk_security_golive', 'ward',                'оркеструет (L15)'),
+  E('sk_security_golive', 'sk_pdn_152fz',        'оркеструет (L15)'),
+  E('sk_security_golive', 'sk_threat_model',     'оркеструет (L15)'),
+  // L15 — reuse: существующие A8/D3 узлы
+  E('sk_security_golive', 'mcp_semgrep',         'L15 go-live chain'),
+  E('sk_security_golive', 'lh_gitleaks',         'L15 go-live chain'),
+  E('sk_security_golive', 'tob_skills',          'L15 go-live chain'),
+  E('sk_security_golive', 'sec_guidance',        'L15 go-live chain'),
+
   // ══════════════════════════════════════════════════
   // КОНФЛИКТЫ — 3-color classification (iter2 §4)
   // 🔴 не закрыт правилом / ⚫ возник на практике / 🟢 закрыт правилом
@@ -526,7 +553,7 @@ const SECTIONS = [
   { id: 'E7',  bucket: 'E', label: 'Исследования' },
   { id: 'E8',  bucket: 'E', label: 'Самообучение Claude' },
 ];
-// Узел -> раздел. Покрывает все 134 узла карты.
+// Узел -> раздел. Покрывает все 147 узлов карты (141 base + 6 A8 infosec).
 const NODE_SECTION = {
   // правила (4)
   pravila: 'E1', claude_md: 'E1', psr_v1: 'E1', tooling: 'E1',
@@ -591,6 +618,9 @@ const NODE_SECTION = {
   finance_plugin: 'C7', billing_audit: 'C6', ru_tax: 'C7',
   // A1 backend-tooling (20.05.2026) — раздел «Программирование — backend»
   rector: 'A1', php_insights: 'A1', backend_patterns: 'A1', nightowl: 'A1',
+  // A8 infosec-tooling (21.05.2026) — раздел «Информационная безопасность»
+  mcp_zap: 'A8', nuclei: 'A8', ward: 'A8',
+  sk_pdn_152fz: 'A8', sk_threat_model: 'A8', sk_security_golive: 'A8',
 };
 // Вторичная классификация: узел первично в NODE_SECTION, дополнительно — в этих
 // разделах (кросс-реф). Введено A3-интеграцией 17.05.2026 — раздел A3 наполняется

docs/observer/STATUS.md

@@ -1,22 +1,22 @@
 # Brain Status (auto-generated)
 
-Last updated: 2026-05-21T01:53:48.034Z
+Last updated: 2026-05-21T06:54:27.698Z
 
 | Контролёр | Состояние | Детали |
 |---|---|---|
 | C1 L1-watcher | ✅ | [l1-watcher] OK — 0 drift |
-| C2 Cross-ref consistency | ✅ | [cross-ref-checker] OK — 0 drift in 4 files |
+| C2 Cross-ref consistency | 🔴 | Update cross-refs in offending files. |
 | C3 Observer-of-observer | ✅ | [observer-of-observer] OK — last read 0 week(s) ago |
 | C4 Сигнальный статус | ✅ | This file (self-reference) |
-| C5 Observer-coverage | ⚠️ | 16 episode(s) this month · .git/hooks/post-commit not installed (run: npx lefthook install --force) |
+| C5 Observer-coverage | ⚠️ | 39 episode(s) this month · .git/hooks/post-commit not installed (run: npx lefthook install --force) · 16 missed activation(s) — see /brain-retro |
 | C6 Chain map sync | ✅ | [chain-map-checker] OK — 14 chains in sync |
 
 ## Метрики (информационные, не алерты)
 
-- Observer evidence: 16 episodes this month, 0 observer_error markers, 0 PII matches before filter
+- Observer evidence: 39 episodes this month, 0 observer_error markers, 0 PII matches before filter
 - Legacy v1 episodes (not in factor analysis): 5
 - Last /brain-retro: 2 day(s) ago
-- Использование узлов: см. `/brain-retro` (раз в спринт). **Неиспользованные узлы — не проблема** (capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).
+- Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 16. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).
 
 ## Алерт-индикаторы
 

docs/router-procedure.md

@@ -1,4 +1,4 @@
-# Router procedure v1.2
+# Router procedure v1.3
 
 **Status:** active (introduced 2026-05-19, spec dd5bded, ADR-011; backend-tooling 2026-05-20, ADR-013)
 
@@ -72,3 +72,4 @@ Every turn — implicitly by Claude at session start, explicitly when routing is
 - **v1.0 (2026-05-19)** — initial fixation. Replaces implicit-scattered routing. ADR-011.
 - **v1.1 (2026-05-20)** — finance-tooling узлы #61-#63 добавлены в реестр Tooling §4.36-§4.38 (читаются step 3) и routing-off-phase.md (+3 строки routing + связка L13). Структурных правок процедуры нет. ADR-012.
 - **v1.2 (2026-05-20)** — A1 backend-tooling узлы #64-#67 добавлены в реестр Tooling §4.39-§4.42 (читаются step 3) и routing-off-phase.md (+4 строки routing + связка L14). NightOwl #67 — DEFERRED (native-Windows без pcntl/posix). Структурных правок процедуры нет. ADR-013.
+- **v1.3 (2026-05-21)** — A8 infosec-tooling узлы #68-#73 добавлены в реестр Tooling §4.43-§4.48 (читаются step 3) и routing-off-phase.md (+6 строк routing + связка L15 security go-live). #69 Nuclei/#70 Ward — CLI (не MCP); #68 ZAP/#70 Ward — pending install. Структурных правок процедуры нет. ADR-014.

docs/routing-off-phase.md

@@ -12,7 +12,7 @@
 > **Источник истины.** Tooling §4.X (детальное описание каждого узла), Pravila §13.2
 > (категоризация off-phase), PSR_v1 R10.1 (3-блочный реестр ролей).
 >
-> **Версия.** 1.3 (20.05.2026 — A1 backend-tooling: +4 строки routing #64-#67 + связка L14 + scope §4.11→§4.42, ADR-013. v1.2 — finance-tooling: +3 строки routing #61-#63 + связка L13 + scope, ADR-012. v1.1 18.05.2026 вечер — аудит дисциплины R15: +строка «диагностика
+> **Версия.** 1.5 (21.05.2026 — A8 install-sync: #68 ZAP + #70 Ward установлены портативно → строки routing #68/#70 обновлены, статус pending install снят, setup-доки `docs/security/{zap,ward}-setup.md`). 1.4 (21.05.2026 — A8 infosec-tooling: +6 строк routing #68-#73 + связка L15 (security go-live chain), ADR-014; #69 Nuclei/#70 Ward — CLI (не MCP), #68 ZAP/#70 Ward pending install. 1.3 (20.05.2026) — A1 backend-tooling: +4 строки routing #64-#67 + связка L14 + scope §4.11→§4.42, ADR-013. v1.2 — finance-tooling: +3 строки routing #61-#63 + связка L13 + scope, ADR-012. v1.1 18.05.2026 вечер — аудит дисциплины R15: +строка «диагностика
 > конверсии» → process-analysis #53 (M3); +note про UI-пул #31/#32 как делегирующие
 > строки, не R15-routed (M1). v1.0 — Rec3 SYSTEM-аудита). Триггеры — формулировки
 > заказчика или явные ключевые слова в промпте.
@@ -62,6 +62,12 @@
 | Метрики качества / сложности / архитектуры PHP-кода | **PHP Insights** | #65 | backend-tooling | on-demand/CI (`composer insights`), не блокирующий (BT9, ADR-013) |
 | Как писать backend в Лидерре (контроллер/сервис/джоб, RLS, деньги, идемпотентность, партиции) | **laravel-backend-patterns** (project-скил) | #66 | backend-tooling | trigger-based; ≠ #38 generic / ≠ #62 audit (ADR-013) |
 | Коррелированный runtime-трейс request↔job↔query (self-hosted) | **NightOwl** | #67 | backend-tooling | **DEFERRED** — нет pcntl/posix на Windows; pending Б-1 (ADR-013) |
+| Глубокая «боевая» проверка работающего портала (обход входа, инъекции, XSS) | **OWASP ZAP** (MCP) | #68 | infosec-tooling | DAST; цель по умолч. 127.0.0.1 (IS8); установлен портативно (portable JRE 17, `docs/security/zap-setup.md`); ADR-014 |
+| Известные уязвимости / открытые двери / слабый TLS снаружи | **Nuclei** (CLI) | #69 | infosec-tooling | `bin/nuclei.exe`, цель **127.0.0.1** (не localhost); CLI не MCP; ADR-014 |
+| Безопасность настроек Laravel (.env/config/заголовки/cookie/secrets/deps) | **Ward** (CLI) | #70 | infosec-tooling | Go-бинарь `bin/ward.exe` v0.4.1; заменил Enlightn (abandoned/L13); установлен портативно (`docs/security/ward-setup.md`); ADR-014 |
+| Аудит ПДн / соответствие 152-ФЗ | **pdn-152fz-audit** (project-скил) | #71 | infosec-tooling | 2 режима техника+закон; ≠ pg_anonymizer #29 (IS4) / D2 (IS5) |
+| Моделирование угроз STRIDE / что защищать перед публикацией | **threat-model** (project-скил) | #72 | infosec-tooling | going-public; ≠ ToB #39 generic (IS6) |
+| Прогон безопасности перед релизом / go-no-go | **security-go-live** (project-скил) | #73 | infosec-tooling | оркеструет #68-72 + D3; ≠ audit-portal (IS7) |
 | Отладка production runtime errors через self-hosted Sentry | **Sentry MCP** | #34 | debug-runtime | READ-ONLY, pending Б-1 deployment |
 | Отладка Redis/Memurai очередей / кэша / Pest-квирков 73/77 | **Redis MCP** | #35 | debug-runtime | READ-ONLY обязательно |
 | Правки `CLAUDE.md` | **claude-md-management** | #33 | infrastructure | §5 п.10 — единственный канал |
@@ -99,6 +105,7 @@
 | L12 | `claude-md-management` (#33) + `revise-claude-md` skill | Захват session-learnings → CLAUDE.md update. Единственный канал §5 п.10. |
 | L13 | `billing-audit` (#62) + `Pest` (#18) + `Boost` (#10) + `Sentry`/`Redis` (#34/#35) → `ru-tax-accounting` (#63) | Финансовая цепочка: аудит денежных инвариантов кода (billing-audit) тестами (Pest) на моделях (Boost) с runtime-фактами (Sentry/Redis) → перевод выверенной выручки в учётно-налоговый контекст (ru-tax). C6→C7. Граница — ADR-012. |
 | L14 | `Rector` (#64) → `PHP Insights` (#65) → `Larastan` (#12) → `deptrac` (#43) | backend-quality chain: авто-трансформация кода (Rector) → метрики сложности/архитектуры (PHP Insights) → типовой статанализ (Larastan) → fitness направления слоёв (deptrac). Все на одном PHP-коде, разные оси. Anti-pattern: Rector-автоправка и PHP Insights-метрика — разные фазы, не один блокирующий шаг (ADR-013). |
+| L15 | `security-go-live` (#73) → статика (`gitleaks` #8 / `Semgrep` #25 / `Ward` #70 / `Trail of Bits` #39) → `pdn-152fz-audit` (#71) → `threat-model` (#72) → динамика (`Nuclei` #69 широта → `OWASP ZAP` #68 глубина, цель 127.0.0.1 IS8) | security go-live chain: единый прогон перед публикацией → вердикт GO/NO-GO. #73 оркеструет, не заменяет D3 (IS7). Anti-pattern: ZAP/Nuclei в pre-commit хук (тяжёлые, нужна запущенная цель); #73 ≠ audit-portal (полный 14-фазный аудит). ADR-014. |
 
 **Anti-pattern связок** (не комбинировать в одной задаче):
 

docs/security/infosec-vet.md

@@ -0,0 +1,350 @@
+# Провенанс-вет внешних инструментов A8 infosec-tooling (IS9)
+
+**Дата:** 2026-05-21
+**Вет-код:** IS9 (согласно ADR-003 + spec §8)
+**Инструменты:** #68 OWASP ZAP MCP, #69 Nuclei MCP, #70 Enlightn
+**Статус:** ЗАВЕРШЁН
+
+---
+
+## Назначение документа
+
+Перед установкой любого внешнего инструмента в раздел A8 «Информационная безопасность» выполнен обязательный провенанс-вет (IS9). Основание: ~13 % security-скилов из маркетплейсов несут критичные дефекты, часть пытается красть учётные данные (исследование ToxicSkills, Snyk + SentinelOne 2025). ADR-003 закрепляет принцип: community-инструменты с непроверенным происхождением — defer (именно так были отложены «Claude Code Canary» и «Plugin Security Auditor» в D3).
+
+Документ является артефактом IS9 и читается в Tasks 2–4 плана как единственный авторитетный источник «какой репозиторий/версию устанавливать».
+
+---
+
+## Методология вета
+
+Для каждого инструмента:
+
+1. Прочитан README + ключевые исходники через GitHub API / WebFetch (факты, не память).
+2. Проверены: репозиторий, владелец/организация, лицензия, звёзды, активность коммитов, дата последнего релиза.
+3. Оценено: что инструмент **исполняет** (методы, сетевые вызовы, телеметрия, аутентификация).
+4. Для кандидатов с неприемлемым провенансом — зафиксирована причина отклонения.
+
+Все данные получены из GitHub API (`gh api`) и WebFetch на дату 2026-05-21. Ссылки указывают на конкретные SHA/теги там, где пин-версия зафиксирована.
+
+---
+
+## #68 — OWASP ZAP MCP (слот DAST)
+
+### Кандидат A: официальный ZAP «MCP Integration» add-on
+
+**Репозиторий:** `zaproxy/zap-extensions` (org: `zaproxy`, Apache-2.0)
+**Родительский проект:** `zaproxy/zaproxy` — OWASP ZAP by Checkmarx
+
+| Параметр | Значение |
+|---|---|
+| Владелец | Организация `zaproxy` (OWASP-проект, под управлением Checkmarx с 2022) |
+| Лицензия | Apache-2.0 |
+| Звёзды (zaproxy/zaproxy) | **15 152** (2026-05-21) |
+| Последний коммит в zaproxy | 2026-05-20 (вчера) |
+| Статус add-on MCP | v0.1.0, alpha, опубликован 2026-04-02 |
+| Релиз zap-extensions | непрерывный (20.05.2026 — webdriver-related releases, 08.05.2026 — automation-v0.60.0) |
+
+**Что исполняет (код прочитан):**
+
+Источники: `addOns/mcp/src/main/java/org/zaproxy/addon/mcp/tools/`
+
+Add-on экспонирует 15 MCP-инструментов, все — обращения к локальному ZAP-инстансу по API:
+
+- `ZapStartScanTool`, `ZapStartActiveScanTool`, `ZapStartSpiderTool`, `ZapStartAjaxSpiderTool` — запускают сканирование указанного URL.
+- `ZapGetActiveScanStatusTool`, `ZapGetPassiveScanStatusTool`, `ZapGetSpiderStatusTool`, `ZapGetAjaxSpiderStatusTool` — читают статус.
+- `ZapStopActiveScanTool`, `ZapStopAjaxSpiderTool`, `ZapStopSpiderTool` — останавливают сканирование.
+- `ZapCreateContextTool` — создаёт контекст сканирования.
+- `ZapGenerateReportTool` — генерирует отчёт.
+- `ZapInfoTool`, `ZapVersionTool` — информационные.
+
+Весь трафик идёт **только к локальному ZAP-инстансу** (ZAP API). Никаких внешних URL, токенов или телеметрии в исходниках нет. Это add-on к самому ZAP — не standalone-сервер.
+
+**Особенности:**
+
+- Статус «alpha» (v0.1.0) — API будет меняться. Официальный блог-пост Simon Bennetts (автора ZAP) от 02.04.2026 предупреждает: «alpha release».
+- Устанавливается как ZAP add-on через Marketplace ZAP, не как отдельный MCP-сервер.
+- Требует запущенного ZAP-демона (`zaproxy -daemon -port 8080 -config api.key=<key>`).
+- Конфигурация `.mcp.json` будет направлять Claude к локальному ZAP API (не к внешнему сервису).
+
+**Провенанс-вывод:** Провенанс МАКСИМАЛЬНО ЧИСТЫЙ. OWASP + Checkmarx — индустриально признанный security-проект с 15 000+ звёзд и непрерывной активностью. Add-on разработан теми же людьми что и сам ZAP. Код исполняет ТОЛЬКО локальные ZAP API-вызовы.
+
+---
+
+### Кандидат B: `dtkmn/mcp-zap-server`
+
+| Параметр | Значение |
+|---|---|
+| Владелец | `dtkmn` — физическое лицо (Daniel Tse, см. ссылки в README на `danieltse.org`) |
+| Лицензия | Apache-2.0 |
+| Звёзды | **54** (2026-05-21) |
+| Последний коммит | 2026-05-21 (вчера), v0.8.0 от 10.05.2026 |
+| Стек | Java / Spring Boot + Docker Compose |
+
+**Что исполняет (README прочитан):**
+
+- Отдельный Spring Boot–сервис (Docker Compose), обёртывающий ZAP через HTTP.
+- Запускается через `./dev.sh` → Docker Compose стек (ZAP + Spring Boot + Open WebUI + Juice Shop + Petstore).
+- MCP-endpoint: `http://localhost:7456/mcp`.
+- **Требует Docker** — несовместимо с native-Windows без Docker Desktop/WSL2. Проект использует native-Windows без Docker (strategy: `project_phase1_strategy.md`).
+- README явно: «This project is not affiliated with or endorsed by OWASP or the OWASP ZAP project».
+- Ряд коммитов вида «docs: add sponsorship information to README» (3 из 5 последних), 6 открытых issues.
+
+**Провенанс-вывод:** Один разработчик, не аффилирован с OWASP, требует Docker. Для нашего native-Windows стека **технически несовместим**. Дополнительно: провенанс значительно слабее кандидата A.
+
+---
+
+### Решение для #68
+
+**ПРИНЯТ Кандидат A — официальный ZAP MCP add-on (`zaproxy/zap-extensions`, addOns/mcp)**
+
+| Поле | Значение |
+|---|---|
+| Источник | `zaproxy/zap-extensions`, путь `addOns/mcp/` |
+| Текущая версия | v0.1.0 (alpha), выпущен 2026-04-02 |
+| Pin | add-on устанавливается через ZAP Marketplace — pin по текущей версии в `.zap/` конфиге |
+| Лицензия | Apache-2.0 |
+| Ограничение | alpha-статус: API ещё нестабильно; задокументировать в `docs/security/zap-setup.md` |
+| Кандидат B | ОТКЛОНЁН (Docker-зависимость несовместима с native-Windows; провенанс слабее) |
+
+---
+
+## #69 — Nuclei MCP (слот широкого сканирования)
+
+### Движок: `projectdiscovery/nuclei`
+
+| Параметр | Значение |
+|---|---|
+| Владелец | Организация `projectdiscovery` (специализированная security-компания) |
+| Лицензия | MIT |
+| Звёзды | **28 777** (2026-05-21) |
+| Последний коммит | 2026-05-20 |
+| Последний релиз | v3.8.0 от 2026-04-18 |
+| Телеметрия | Нет по умолчанию; `-dashboard` флаг для опциональной загрузки результатов в PD Cloud — не активируем |
+
+Движок — чистый провенанс. MIT, активно разрабатывается, 28k+ звёзд.
+
+---
+
+### Кандидат A: `cyproxio/mcp-for-security` (nuclei-mcp)
+
+| Параметр | Значение |
+|---|---|
+| Владелец | `cyproxio` — организация, но... |
+| Статус | **DEPRECATED** — последний коммит 2026-03-30 с сообщением «deprecate: migrate to Bolt. This repository is no longer actively maintained» |
+| Лицензия | MIT |
+| Звёзды | 611 |
+
+**Провенанс-вывод:** Репозиторий **официально заброшен** автором 30.03.2026. Устанавливать депрекированный wrapper-сервер в раздел безопасности — нарушение принципа ADR-003 («community-инструменты с непроверенным происхождением — defer»). **ОТКЛОНЁН.**
+
+---
+
+### Кандидат B: `addcontent/nuclei-mcp`
+
+| Параметр | Значение |
+|---|---|
+| Владелец | `addcontent` — физическое лицо, 34 публичных репозитория, аккаунт создан 2020-01-11, bio/company/location не заполнены |
+| Лицензия | MIT |
+| Звёзды | **47** (2026-05-21) |
+| Последний коммит | 2025-08-04 (~9 месяцев назад) |
+| Последний релиз | v0.1.0 (alpha), 2025-08-04 |
+
+**Анализ кода (прочитан go.mod + README):**
+
+- Зависит от `projectdiscovery/nuclei/v3 v3.4.7` (не самая свежая, v3.8.0 вышла в апреле 2026).
+- README содержит placeholder `github.com/your-org/nuclei-mcp` в Install-инструкциях — признак того, что репозиторий собран по шаблону и не дорабатывался.
+- Владелец анонимен: нет bio, нет company, нет location, нет признаков профессиональной security-деятельности.
+- Последняя активность — 9 месяцев назад (alpha-статус, неполный README).
+
+**Провенанс-вывод:** Анонимный владелец + заброшенный (9 месяцев без активности) + остатки placeholder-текста в README = непрозрачный провенанс. **ОТКЛОНЁН по критерию ADR-003.**
+
+---
+
+### Решение для #69: собственная тонкая обвязка (self-authored wrapper)
+
+Оба сторонних wrapper'а отклонены (один — deprecated, другой — анонимный/заброшенный). Движок `projectdiscovery/nuclei` (MIT, 28k+ звёзд) — чистый. Доступен как Go-бинарь `nuclei.exe`.
+
+**Решение:** Запускать `nuclei.exe` напрямую через тонкую self-authored обвязку в `.mcp.json` — простой `command`/`args` MCP-блок, вызывающий бинарь с нужными флагами. Этот подход:
+
+- Минимизирует attack surface (нет чужого обёрточного кода между Claude и `nuclei.exe`).
+- Является стандартной практикой для CLI-инструментов без готового MCP-сервера.
+- Не требует установки дополнительного npm/go-пакета.
+- Nuclei.exe — чистый MIT-бинарь от projectdiscovery (известная security-компания).
+
+| Поле | Значение |
+|---|---|
+| Источник движка | `projectdiscovery/nuclei`, релиз `v3.8.0` |
+| URL | https://github.com/projectdiscovery/nuclei/releases/tag/v3.8.0 |
+| Pin | `v3.8.0` (Windows бинарь: `nuclei_3.8.0_windows_amd64.zip`) |
+| Лицензия | MIT |
+| Wrapper | Self-authored (`.mcp.json` блок с `command: "nuclei.exe"`, `args: [...]`) |
+| Оба кандидата-wrapper | ОТКЛОНЕНЫ (deprecated / анонимный провенанс) |
+
+---
+
+## #70 — Enlightn (слот Laravel security-конфигурации)
+
+### `enlightn/enlightn`
+
+| Параметр | Значение |
+|---|---|
+| Владелец | Организация `enlightn` (Enlightn Software, Paras Malhotra) |
+| Лицензия | LGPL-3.0 (основной пакет), MIT (security-checker sub-dep) |
+| Звёзды | **987** (2026-05-21) |
+| Последний релиз | v2.10.0 от 2024-04-05 (~13 месяцев назад) |
+| Последний коммит | 2024-04-05 (~13 месяцев без коммитов) |
+| Статус на Packagist | **«abandoned and no longer maintained»** |
+
+**Что проверяет (код прочитан, Security-анализаторы):**
+
+22 Security-анализатора в `src/Analyzers/Security/`:
+
+- `AppDebugAnalyzer.php` — APP_DEBUG не включён в продакшне
+- `AppKeyAnalyzer.php` — APP_KEY установлен
+- `CSRFAnalyzer.php` — CSRF-защита активна
+- `EncryptedCookiesAnalyzer.php` — куки зашифрованы
+- `HSTSHeaderAnalyzer.php` — HSTS-заголовок установлен
+- `HttpOnlyCookieAnalyzer.php` — HttpOnly flag на куках
+- `LoginThrottlingAnalyzer.php` — rate-limit на форме входа
+- `MassAssignmentAnalyzer.php` — защита от mass-assignment
+- `XSSAnalyzer.php` — XSS-защита
+- `FilePermissionsAnalyzer.php`, `PHPIniAnalyzer.php`, `EnvAccessAnalyzer.php`
+- `VulnerableDependencyAnalyzer.php` — CVE в зависимостях
+- `FrontendVulnerableDependencyAnalyzer.php` — CVE во frontend-зависимостях
+- И другие (FillableForeignKey, HashingStrength, UnguardedModels и пр.)
+
+Плюс 19 Performance + 29 Reliability анализаторов (итого 70 в OSS; README заявляет «66» — расхождение несущественно).
+
+**Телеметрия:** Пакет использует `guzzlehttp/guzzle` — HTTP-клиент. Sub-dep `enlightn/security-checker` (MIT) обращается к Security Advisories Database для получения актуальных данных CVE (кэширует локально). Это **не телеметрия**, а функциональный запрос (как Dependabot). Запрос ограничен базой advisory-данных, не содержит идентификаторов проекта. Outbound: ТОЛЬКО к `advisory-db`.
+
+**Критическое ограничение — совместимость с Laravel 13:**
+
+`composer.json` объявляет `"laravel/framework": "^9.0|^10.0|^11.0"`. Laravel 13 вне объявленного диапазона.
+
+- PR на Laravel 12 ([#200](https://github.com/enlightn/enlightn/pull/200), открыт 2025-02-17) — **не смержен** спустя 3 месяца активных просьб.
+- Мейнтейнер не отвечает на issues и PR — множественные жалобы пользователей.
+- Packagist: пакет помечен «abandoned».
+- Последний коммит: 2024-04-05. Laravel 13 вышел в 2025.
+
+**Обходной путь:** Composer позволяет установить с `--ignore-platform-reqs` или через форк. Существуют unofficial forks (напр. `ivqonsanada/enlightn`, `exin/enlightn`), но их провенанс — частные лица без верификации.
+
+**Провенанс самого пакета:** Достаточный. Enlightn Software — реальная компания, Paras Malhotra — публичная личность, пакет с 987 звёздами и 3+ млн установок. Провенанс ПРИНЯТ.
+
+**Но функциональность заблокирована**: несовместимость с Laravel 13 — технический блок.
+
+---
+
+### Решение для #70
+
+**ПРИНЯТ С БЛОКЕРОМ — `enlightn/enlightn v2.10.0`, с условием по Laravel 13**
+
+| Поле | Значение |
+|---|---|
+| Источник | `enlightn/enlightn` |
+| Pin-версия | `v2.10.0` (последний стабильный) |
+| Лицензия | LGPL-3.0 (совместима с проприетарным использованием) |
+| Телеметрия | Нет; security-checker делает outbound к advisory-db (только CVE-данные) |
+| Провенанс | Принят (Enlightn Software, публичный мейнтейнер) |
+| **Блокер** | `composer.json` ограничивает `laravel/framework ^9\|^10\|^11` — Laravel 13 НЕ входит |
+| **Путь установки** | `composer require enlightn/enlightn --dev --ignore-platform-reqs` ИЛИ переключиться на форк `exin/enlightn` (Task 4 spike) |
+| Альтернативные форки | `ivqonsanada/enlightn`, `exin/enlightn` — оба неверифицированы; провенанс NOT VETTED |
+| Рекомендация | Task 4 — проверить `--ignore-platform-reqs` на реальной установке; если не работает — оценить форк или принять ограниченный subset работающих проверок |
+
+**Примечание для Task 4:** Несмотря на объявленный диапазон, многие Laravel-пакеты фактически работают на версиях выше заявленного (особенно если Laravel 13 является minor evolution от 11). Задача Task 4 — подтвердить эмпирически. Если установка и `php artisan enlightn` работают — блокер снимается практически. Если нет — зафиксировать как IS-BLOCKED и рассмотреть форк `exin/enlightn` (отдельный провенанс-вет).
+
+---
+
+## Итоговая таблица
+
+| # | Инструмент | Репозиторий / источник | Лицензия | Провенанс-заметка | Вердикт | Pin-версия |
+|---|---|---|---|---|---|---|
+| 68 | OWASP ZAP MCP add-on | `zaproxy/zap-extensions`, `addOns/mcp/` | Apache-2.0 | OWASP + Checkmarx, 15k+ звёзд, непрерывная активность, код исполняет только локальные ZAP API-вызовы | **ПРИНЯТ** | v0.1.0 (alpha, устанавливается через ZAP Marketplace) |
+| 68 | ~~dtkmn/mcp-zap-server~~ | `dtkmn/mcp-zap-server` | Apache-2.0 | Физ. лицо, 54 звезды, не аффилирован с OWASP; требует Docker (несовместим с native-Windows) | **ОТКЛОНЁН** | — |
+| 69 | Nuclei (self-authored wrapper) | `projectdiscovery/nuclei` v3.8.0 + own `.mcp.json` wrapper | MIT | ProjectDiscovery org, 28k+ звёзд, активна; self-authored wrapper минимизирует attack surface | **ПРИНЯТ** | v3.8.0 |
+| 69 | ~~cyproxio/mcp-for-security~~ | `cyproxio/mcp-for-security` | MIT | **Официально deprecated** 30.03.2026: «no longer actively maintained» | **ОТКЛОНЁН** | — |
+| 69 | ~~addcontent/nuclei-mcp~~ | `addcontent/nuclei-mcp` | MIT | Анонимный владелец (нет bio/company/location), заброшен 9+ мес, placeholder в README | **ОТКЛОНЁН** | — |
+| 70 | ~~Enlightn~~ | `enlightn/enlightn` | LGPL-3.0 | Провенанс чистый, НО пакет abandoned (Packagist), `composer.json` не поддерживает Laravel 13, мейнтейнер не отвечает 3+ мес | **ОТКЛОНЁН → ЗАМЕНЁН на Ward** (см. пересмотр ниже, 2026-05-21) | — |
+| 70 | **Ward** | `Eljakani/ward` | MIT | El Jakani Yassine (named, 43 followers), 316★/19 forks, Laravel-News-featured; **Go-бинарь → не зависит от версии Laravel** (проблема Enlightn снята); локально (OSV.dev только для deps). Caveat: молодой (фев 2026), single-maintainer, без тегов-релизов | **ПРИНЯТ** (замена #70) | pin по commit SHA (релизов нет) |
+
+---
+
+## Отклонённые провенанс-случаи — сводка
+
+| Кандидат | Причина отклонения |
+|---|---|
+| `dtkmn/mcp-zap-server` | Docker-зависимость несовместима с native-Windows; провенанс — физ. лицо, 54 звезды |
+| `cyproxio/mcp-for-security` | Официально deprecated автором 30.03.2026 |
+| `addcontent/nuclei-mcp` | Анонимный владелец + 9 мес. без активности + placeholder-README = непрозрачный провенанс (ADR-003 критерий) |
+
+---
+
+## Примечания к Task 2–4 (исполнитель)
+
+- **Task 2 (ZAP):** Установить ZAP v2.17.0 (`zaproxy/zaproxy` → latest: v2.17.0, 2025-12-15) + MCP add-on через ZAP Marketplace → `Tools > Add-ons > Search: MCP`. Потребуется Java 17+. Задокументировать в `docs/security/zap-setup.md`.
+- **Task 3 (Nuclei):** Скачать `nuclei_3.8.0_windows_amd64.zip` из https://github.com/projectdiscovery/nuclei/releases/tag/v3.8.0. Написать `.mcp.json` блок `"nuclei"` с `command: "path/to/nuclei.exe"`. Задокументировать в `docs/security/nuclei-setup.md`.
+- **Task 4 (Enlightn):** `composer require enlightn/enlightn:^2.10 --dev --ignore-platform-reqs`. Проверить, что `php artisan enlightn` запускается и возвращает отчёт. Если работает — блокер практически снят. Если нет — зафиксировать в `docs/security/enlightn-setup.md` как DEFERRED и провести отдельный вет для `exin/enlightn`.
+- **Форки Enlightn** (`ivqonsanada/enlightn`, `exin/enlightn`): не прошли вет в рамках этой задачи. Если нужны — провести отдельный IS9-вет как новый sub-артефакт.
+
+---
+
+## ПЕРЕСМОТР #70: Enlightn → Ward (2026-05-21, решение заказчика)
+
+Заказчик выбрал «подобрать замену на GitHub и Anthropic» вместо установки заброшенного Enlightn или неверифицированного форка.
+
+**Рассмотрены кандидаты-замены:**
+
+| Кандидат | Источник | Вердикт | Причина |
+|---|---|---|---|
+| **Ward** | `Eljakani/ward` (Go, MIT) | **ПРИНЯТ** | Прямая замена ниши Enlightn; Go-бинарь → нет зависимости от версии Laravel |
+| Larafence | larafence.com | ОТКЛОНЁН | Не выпущен (Q2 2026) + TALL/Livewire-стек (у нас Vue) |
+| Psalm + plugin-laravel taint | `vimeo/psalm` (MIT) | НЕ для этого слота | Отличный, но это код-SAST (taint) — пересекается с Semgrep #25 (IS3); не config-сканер |
+| `laravel/agent-skills` | `laravel/agent-skills` (official) | НЕ scanner | Официальный (Taylor Otwell, 622★) и чистый, но это общий Laravel-скил (`laravel`/`laravel-cloud`/`laravel-nightwatch`), не security-сканер. Опциональное доп. позже, не замена #70 |
+| `sickn33/laravel-security-audit`, `netresearch/security-audit-skill`, `edulazaro/laraclaude` | community-скилы | НЕ взяты | Риск ToxicSkills + individual-провенанс; для чувствительного слота не берём |
+
+**Ward — провенанс-вет (live `gh api`, 2026-05-21):**
+
+| Параметр | Значение |
+|---|---|
+| Репозиторий | `Eljakani/ward` |
+| Описание | «Security scanner built for Laravel, detects misconfigurations, vulnerabilities, and exposed secrets with a beautiful TUI» |
+| Лицензия | **MIT** (есть `LICENSE`) |
+| Звёзды / форки | 316 / 19 |
+| Язык | Go (бинарь) |
+| Создан / последний коммит | 2026-02-15 / 2026-03-07 |
+| Релизы | нет тегов → **pin по commit SHA** |
+| Владелец | El Jakani Yassine (named, 43 followers, аккаунт с 2019) |
+| Что сканирует | .env (8 проверок) + config/*.php (13) + deps (OSV.dev live) + код (7 категорий: secrets/injection/XSS/debug-артефакты/crypto/config CORS-CSRF-mass-assignment/auth) |
+| Сеть | Локально; OSV.dev только для deps (как Enlightn security-checker — не телеметрия) |
+
+**Почему Ward лучше Enlightn для нашего случая:**
+
+1. **Go-бинарь** (как Nuclei #69) → НЕТ ограничения `composer.json` по версии Laravel → работает на Laravel 13 без хаков (`--ignore-platform-reqs` не нужен).
+2. MIT, named author, активно рекомендуется (Laravel News, 2026), 316★.
+3. Покрытие шире Enlightn: env + config + deps + код.
+
+**Caveat (зафиксирован):** молодой проект (3 мес), single-maintainer, без тегов-релизов. Митигация: pin по commit SHA; MIT → можно форкнуть при забрасывании. Записать в `docs/security/ward-setup.md` (Task 4).
+
+**Эффект на план:** слот #70 меняет инструмент Enlightn → Ward. Номер #70 и ниша (Laravel config security scanner) сохраняются. Тип меняется: было «Composer dev-dep + `php artisan enlightn`», стало «Go-бинарь CLI `ward` (как Nuclei/gitleaks/Trivy)». Граница IS3 (config-сканер vs Larastan #12 типы / Semgrep #25 generic-паттерны) сохраняется. Task 4 переписывается под Ward.
+
+---
+
+## Верификация данных
+
+Все факты получены из live-запросов GitHub API и WebFetch на 2026-05-21:
+
+- `gh api repos/zaproxy/zaproxy` — stars=15152, pushed_at=2026-05-20
+- `gh api repos/zaproxy/zap-extensions/contents/addOns/mcp/CHANGELOG.md` — v0.0.1 released 2026-04-02; v0.1.0 current
+- `gh api repos/zaproxy/zap-extensions/contents/addOns/mcp/src/main/java/org/zaproxy/addon/mcp/tools/` — 15 tool files listed
+- `gh api repos/dtkmn/mcp-zap-server` — stars=54, Docker-зависимость подтверждена README
+- `gh api repos/projectdiscovery/nuclei` — stars=28777, pushed_at=2026-05-20, license=MIT
+- `gh api repos/projectdiscovery/nuclei/releases/latest` — v3.8.0, 2026-04-18
+- `gh api repos/cyproxio/mcp-for-security/commits` — последний коммит 2026-03-30 «deprecate: migrate to Bolt»
+- `gh api repos/addcontent/nuclei-mcp` — stars=47, pushed_at=2025-08-04; README содержит `your-org` placeholder
+- `gh api users/addcontent` — bio=null, company=null, location=null
+- `gh api repos/enlightn/enlightn` — stars=987, pushed_at=2024-06-15, license=NOASSERTION (LGPL)
+- `gh api repos/enlightn/enlightn/releases/latest` — v2.10.0, 2024-04-05
+- `gh api repos/enlightn/enlightn/contents/composer.json` — laravel/framework `^9.0|^10.0|^11.0`
+- `gh api repos/enlightn/enlightn/issues/200` — Laravel 12 PR открыт 2025-02-17, не смержен
+- WebFetch `zaproxy.org/blog/2026-04-02-zap-mcp-server/` — alpha announcement, Simon Bennetts
+- WebFetch `raw.githubusercontent.com/enlightn/enlightn/master/README.md` — 66 OSS checks, abandoned status
+- WebFetch `raw.githubusercontent.com/enlightn/enlightn/master/LICENSE.md` — LGPL-3.0, Copyright Enlightn Software / Paras Malhotra
+- WebFetch `raw.githubusercontent.com/projectdiscovery/nuclei/main/README.md` — MIT, optional cloud dashboard, no default telemetry

docs/security/nuclei-setup.md

@@ -0,0 +1,50 @@
+# Nuclei (#69) — установка и использование
+
+**Узел A8:** #69 — широкое сканирование на известные уязвимости / небезопасную экспозицию.
+**Источник (IS9-вет принят):** `projectdiscovery/nuclei` v3.8.0, MIT (см. `infosec-vet.md`).
+**Тип:** CLI-сканер (Go-бинарь) — **не MCP-сервер** (см. «Решение по интеграции» ниже).
+
+---
+
+## Установка (native-Windows)
+
+Готовый бинарь (Go не требуется):
+
+```powershell
+# v3.8.0 windows amd64, pin из IS9-вета
+Invoke-WebRequest -Uri "https://github.com/projectdiscovery/nuclei/releases/download/v3.8.0/nuclei_3.8.0_windows_amd64.zip" -OutFile "$env:TEMP\nuclei.zip"
+Expand-Archive "$env:TEMP\nuclei.zip" -DestinationPath "$env:TEMP\nuclei" -Force
+Copy-Item "$env:TEMP\nuclei\nuclei.exe" "bin\nuclei.exe"
+bin\nuclei.exe -update-templates -silent
+```
+
+- **Расположение:** `bin/nuclei.exe` (рядом с gitleaks/lychee/squawk; `bin/*.exe` в `.gitignore` → бинарь машинно-локальный, в репозиторий не коммитится).
+- **Шаблоны:** `~/AppData/Roaming/nuclei` + `~/nuclei-templates` (13 060 yaml, v10.4.3 на 2026-05-21).
+- **Verified:** `nuclei -version` → v3.8.0 ✓.
+
+## Квирки native-Windows (важно)
+
+1. **Цель — `127.0.0.1`, НЕ `localhost`.** Резолвер nuclei на этой машине падает на `localhost` (`[INF] Skipped localhost:8000 ... no address found for host`), хотя `curl http://localhost:8000` → 200. Всегда указывать явный IPv4: `-u http://127.0.0.1:<port>`.
+2. **Низкий rate-limit/concurrency для dev-сервера.** `php artisan serve` однопоточный — под нагрузкой полного скана даёт массу connection-ошибок (в smoke: 1698 errors на 1057 запросов). Для локальной цели: `-rate-limit 20 -c 5` (или ниже). Это не уязвимости, а таймауты/résets перегруженного dev-сервера.
+3. **`-duc`** (disable update check) — в офлайн/CI-прогонах, чтобы не дёргать сеть на проверку версии.
+
+## Smoke (verified 2026-05-21)
+
+```powershell
+bin\nuclei.exe -u "http://127.0.0.1:8000" -tags tech -stats -timeout 5 -no-color -duc
+```
+
+Результат: 931 шаблон загружен, 1057/1059 запросов отправлено к цели, скан завершён (`Scan completed`), **Matched: 0** (чисто на теге `tech` — ожидаемо для dev-портала). Доказывает: nuclei устанавливается, видит и сканирует живой портал. (Первый прогон по `localhost` цель пропустил — см. квирк 1; по `127.0.0.1` отработал.)
+
+## Решение по интеграции: CLI, не MCP
+
+В IS9-вете слот #69 предполагал «self-authored MCP-wrapper». При реализации уточнено: **nuclei не говорит на протоколе MCP** — обернуть его в MCP-сервер = писать собственный MCP-серверный код (доп. attack surface + поддержка). Вместо этого nuclei интегрируется как **CLI-инструмент** — ровно как уже существующие security-CLI проекта (gitleaks #8, squawk #15, Trivy #26): бинарь в `bin/`, вызывается по требованию из Bash скилом go-live (#73). Преимущества: ноль чужого/своего обёрточного кода между Claude и бинарём; единообразие с тулчейном; минимальный attack surface. Следствие: для #69 **не нужны** `.mcp.json`-блок и l1-watcher alias (они только для настоящих MCP-серверов; #68 ZAP — единственный MCP в наборе).
+
+## Использование
+
+```powershell
+# Цель ВСЕГДА 127.0.0.1 (квирк 1); бережный режим для dev (квирк 2)
+bin\nuclei.exe -u "http://127.0.0.1:8000" -rate-limit 20 -c 5 -timeout 5 -duc -severity medium,high,critical
+```
+
+Гард IS8: по умолчанию — локальная/тестовая копия (127.0.0.1). Боевой сервер — только по явной команде заказчика.

docs/security/ward-setup.md

@@ -0,0 +1,65 @@
+# Ward (#70) — установка и использование
+
+**Узел A8:** #70 — безопасность настроек Laravel (.env / config / заголовки / cookie / secrets / deps).
+**Источник (IS9-вет принят):** `Eljakani/ward` (MIT, Go), **заменил** Enlightn (abandoned + без поддержки Laravel 13 — см. `infosec-vet.md` §ПЕРЕСМОТР #70).
+**Тип:** CLI-сканер (Go-бинарь) — **не MCP-сервер, не Composer dev-dep** (как Nuclei #69 / gitleaks #8). Go-бинарь → **не зависит от версии Laravel** (проблема Enlightn снята).
+
+---
+
+## Установка (native-Windows, портативно, без choco)
+
+Готовых бинарей в релизе Ward нет — только `go install`. Go ставится **портативно** (zip, без choco), всё под `bin/` (gitignored).
+
+```powershell
+# 1. Portable Go (официальный zip, проверка SHA256)
+$ProgressPreference='SilentlyContinue'
+Invoke-WebRequest -Uri 'https://go.dev/dl/go1.26.3.windows-amd64.zip' -OutFile 'bin\_dl\go.zip' -UseBasicParsing
+# ожидаемый SHA256: 20d2ceafb4ed41b96b879010927b28bc92a5be57a7c1801ce365a9ca51d3224a
+Expand-Archive 'bin\_dl\go.zip' -DestinationPath 'bin\_runtimes' -Force   # → bin\_runtimes\go\
+
+# 2. Собрать Ward (локальные GOPATH/GOCACHE — всё остаётся под bin/)
+$root=(Get-Location).Path
+$env:GOROOT="$root\bin\_runtimes\go"; $env:GOPATH="$root\bin\_runtimes\gopath"; $env:GOCACHE="$root\bin\_runtimes\gocache"
+$env:PATH="$env:GOROOT\bin;$env:PATH"
+& "$env:GOROOT\bin\go.exe" install github.com/eljakani/ward@v0.4.1
+
+# 3. Положить бинарь рядом с прочими security-CLI
+Copy-Item "$env:GOPATH\bin\ward.exe" 'bin\ward.exe'
+```
+
+- **Расположение:** `bin/ward.exe` (рядом с nuclei/gitleaks/lychee/squawk; `bin/*` в `.gitignore` → бинарь машинно-локальный, в репозиторий не коммитится).
+- **Go SDK** (`bin/_runtimes/go`, ~256 МБ) сохранён для обновлений (`go install ...@latest`); можно удалить — `ward.exe` статичный и работает без Go.
+- **Verified (2026-05-21):** `bin\ward.exe version` → v0.4.1.
+
+## Smoke (verified 2026-05-21)
+
+```powershell
+bin\ward.exe scan app -o json --no-color
+```
+
+Результат: 2 находки в Laravel-приложении `app/` — **[High] APP_DEBUG включён**, **[Medium] APP_ENV = 'local'** (env-scanner: 2, config-scanner: 0, dependency-scanner: 0). Это ожидаемые dev-настройки, и одновременно — те самые go-live-проблемы, которые Ward и должен ловить (перед публикацией нужны `APP_DEBUG=false` + `APP_ENV=production`). Доказывает: Ward устанавливается и реально сканирует проект.
+
+## Использование
+
+```powershell
+# несколько форматов сразу; report-файл(ы) пишутся в текущую папку
+bin\ward.exe scan app -o json,sarif,html --no-color
+
+# гейт по severity (exit 1 при находках ≥ уровня) — для CI/go-live
+bin\ward.exe scan app --fail-on high --no-color
+
+# подавить известные находки baseline-файлом
+bin\ward.exe scan app --baseline docs/security/ward-baseline.json --no-color
+```
+
+- **TUI по умолчанию** (`-o tui`) — в неинтерактивной оболочке зависнет; всегда задавать `-o json`/`sarif`/`html`/`markdown`.
+- **Артефакт:** `ward scan ... -o json` пишет `ward-report.json` в CWD — это временный отчёт, не коммитить.
+- **Сеть:** локальный анализ кода/конфигов; единственный outbound — OSV.dev для проверки CVE в зависимостях (как Enlightn security-checker — функциональный запрос, не телеметрия).
+
+## Границы (ADR-014)
+
+IS3 — Ward (misconfig/secrets/deps Laravel) ≠ Larastan #12 (типы) ≠ Semgrep #25 (generic-паттерны кода). Dep-скан Ward ↔ Trivy #26 / Dependabot #27 — информационно, не дублирующий гейт.
+
+## Caveat
+
+Молодой проект (фев 2026), single-maintainer → bus-factor. Митигация: pin версии (`@v0.4.1`); MIT → форкабелен при забрасывании.

docs/security/zap-setup.md

@@ -0,0 +1,57 @@
+# OWASP ZAP (#68) — установка и использование
+
+**Узел A8:** #68 — глубокая боевая DAST работающего портала (spider + active scan: обход входа, инъекции, XSS, сессии/CSRF).
+**Источник (IS9-вет принят):** официальный ZAP «MCP Integration» add-on (`zaproxy/zap-extensions`, `addOns/mcp/`, Apache-2.0; провенанс OWASP/Checkmarx).
+**Тип:** Java-приложение (ZAP) + **MCP-аддон** (единственный настоящий MCP в наборе A8). Управляется через MCP при запущенном ZAP-демоне.
+
+---
+
+## Установка (native-Windows, портативно, без choco)
+
+ZAP — Java-приложение, требует Java 17+. И Java, и ZAP ставятся **портативно** (zip, без choco), всё под `bin/` (gitignored).
+
+```powershell
+$ProgressPreference='SilentlyContinue'
+
+# 1. Portable Temurin JRE 17 (официальный zip, проверка SHA256)
+Invoke-WebRequest -Uri 'https://github.com/adoptium/temurin17-binaries/releases/download/jdk-17.0.19%2B10/OpenJDK17U-jre_x64_windows_hotspot_17.0.19_10.zip' -OutFile 'bin\_dl\jre17.zip' -UseBasicParsing
+# ожидаемый SHA256: 79a598e1fbb4e16582d92c4ee22280a3c4d72fd52606e1e46b1223c0fe53b0da
+tar.exe -xf 'bin\_dl\jre17.zip' -C 'bin\_runtimes'   # → bin\_runtimes\jdk-17.0.19+10-jre\
+
+# 2. ZAP cross-platform 2.17.0 (официальный GitHub-релиз; размер 286 652 857 Б)
+Invoke-WebRequest -Uri 'https://github.com/zaproxy/zaproxy/releases/download/v2.17.0/ZAP_2.17.0_Crossplatform.zip' -OutFile 'bin\_dl\zap.zip' -UseBasicParsing
+tar.exe -xf 'bin\_dl\zap.zip' -C 'bin'   # → bin\ZAP_2.17.0\
+
+# 3. MCP-аддон (+ зависимости) из маркетплейса ZAP
+$env:JAVA_HOME="$((Get-Location).Path)\bin\_runtimes\jdk-17.0.19+10-jre"
+& "$env:JAVA_HOME\bin\java.exe" -jar 'bin\ZAP_2.17.0\zap-2.17.0.jar' -cmd -dir 'bin\ZAP_2.17.0\_home' -addoninstall mcp
+```
+
+- **Расположение:** `bin/ZAP_2.17.0/` (движок + аддоны в `_home/plugin/`), JRE — `bin/_runtimes/jdk-17.0.19+10-jre/`. `bin/*` в `.gitignore` → машинно-локально, не коммитится.
+- **Java — портативная**, системная не устанавливается (`JAVA_HOME` задаётся при запуске ZAP).
+- **Verified (2026-05-21):** `java -jar zap-2.17.0.jar -cmd -version` → `2.17.0`; daemon API `/JSON/core/view/version/` → `2.17.0`; аддон `mcp-alpha-0.0.1.zap` в `_home/plugin/`.
+
+## Квирки native-Windows (важно)
+
+1. **`Start-Process -ArgumentList` калечит путь к jar** с пробелами/кириллицей (`Error: Unable to access jarfile`). Запускать через оператор `&` (корректно кавычит) **или** задавать `-WorkingDirectory bin\ZAP_2.17.0` + относительное имя `zap-2.17.0.jar`.
+2. **Первый daemon-старт тянет полный штатный набор аддонов** (~817 МБ: active/passive scan rules, spider, ajax, openapi, soap, graphql, selenium/webdrivers) — это нормально.
+3. **Цель сканирования — `127.0.0.1`** (как у Nuclei), не `localhost`.
+
+## Запуск daemon (для MCP-режима)
+
+```powershell
+$root=(Get-Location).Path; $env:JAVA_HOME="$root\bin\_runtimes\jdk-17.0.19+10-jre"
+Start-Process -FilePath "$env:JAVA_HOME\bin\java.exe" -WorkingDirectory "$root\bin\ZAP_2.17.0" `
+  -ArgumentList @('-jar','zap-2.17.0.jar','-daemon','-dir','_home','-host','127.0.0.1','-port','8092','-config','api.disablekey=true')
+# проверка готовности: GET http://127.0.0.1:8092/JSON/core/view/version/  → {"version":"2.17.0"}
+```
+
+**MCP-интеграция:** при запущенном демоне MCP-аддон отдаёт MCP-эндпоинт; зарегистрировать его SSE-адрес в `.mcp.json` (блок `zap`), затем доступны 15 MCP-инструментов (`ZapStartSpiderTool`, `ZapStartActiveScanTool`, `ZapGetActiveScanStatusTool`, `ZapGenerateReportTool` и т.д.) — все обращаются только к локальному ZAP API. Аддон **alpha** (`mcp-alpha-0.0.1`) — API может меняться.
+
+## Гард IS8
+
+Цель по умолчанию — **локальная/тестовая копия** (127.0.0.1). Боевой портал — **только по явной команде** заказчика. Active scan тяжёлый — в smoke не запускать (только spider + passive / проверка связности). READ-only постура.
+
+## Границы (ADR-014)
+
+IS1 — ZAP (динамика, бьёт работающий портал) ≠ Semgrep #25 (статика, читает код). IS2 — ZAP (глубина: логика приложения) ≠ Nuclei #69 (широта: известные дыры) — комплементарны.

docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md

@@ -0,0 +1,641 @@
+# A8 infosec-tooling Implementation Plan
+
+> **For agentic workers:** REQUIRED SUB-SKILL: Use superpowers:subagent-driven-development (recommended) or superpowers:executing-plans to implement this plan task-by-task. Steps use checkbox (`- [ ]`) syntax for tracking. Project wrapper: `.claude/skills/subagent-driven-development/` (git-safety per Pravila §15.1).
+
+**Goal:** Наполнить раздел A8 «Информационная безопасность» шестью узлами (#68 OWASP ZAP MCP, #69 Nuclei MCP, #70 Enlightn — внешние; #71 скил ПДн/152-ФЗ, #72 скил моделирование угроз, #73 скил прогон перед публикацией — self-authored) с полным footprint роутера, наблюдателя, карты и серверным слоем как открытыми вопросами.
+
+**Architecture:** Off-phase tooling integration в изолированном worktree (паттерн A1/A11/C10/finance). ZAP/Nuclei — MCP-серверы (`.mcp.json`, READ-only сканеры, таргет по умолчанию локальный); Enlightn — Composer dev-dep + конфиг (on-demand/CI, не блокирующий); три self-authored project-скила. Каждый внешний инструмент проходит провенанс-вет (IS9) ДО установки. Нормативка bump-ится атомарным набором (cross-ref-checker C2 STRICT).
+
+**Tech Stack:** PHP 8.3 / Laravel 13 / Composer / Node MCP / Java (ZAP) / Go (Nuclei) / lefthook / PostgreSQL 16 / Markdown-нормативка / vis.js карта.
+
+**Spec:** `docs/superpowers/specs/2026-05-21-a8-infosec-tooling-design.md`
+
+> **ПОПРАВКА 2026-05-21 (узел #70):** Enlightn → **Ward** (`Eljakani/ward`, Go-бинарь, MIT) после Task 1 IS9-вета (Enlightn abandoned + не поддерживает Laravel 13). Task 4 переписан под Ward: скачать `ward` Go-бинарь (pin по commit SHA — релизов нет), `ward scan` по корню `app/`, документировать в `docs/security/ward-setup.md`, постура on-demand (не lefthook). Ward — CLI-бинарь (как Nuclei/gitleaks), НЕ Composer dev-dep и НЕ MCP-сервер → `.mcp.json`/l1-watcher alias для #70 не нужны. Обоснование — `docs/security/infosec-vet.md` §«ПЕРЕСМОТР #70». «Enlightn» в слоте #70 ниже читать как «Ward».
+
+---
+
+## Pre-flight (исполнитель — перед Task 1)
+
+- Worktree от свежего `origin/main` через `superpowers:using-git-worktrees`. После создания скопировать gitignored-файлы (учёт Sprint 4): `app/.env`, `app/storage/`, `app/vendor/`, `app/node_modules/`, `bin/*.exe`, `лендинг/` — иначе composer/тесты/lefthook не запустятся.
+- `git fetch && git log HEAD..origin/main --oneline` — pre-flight sync 8 нормативных файлов (Pravila §15.2).
+- Закоммитить уже написанные spec (`docs/superpowers/specs/2026-05-21-a8-infosec-tooling-design.md`) + этот план первым коммитом.
+- Создать home-директорию раздела: `docs/security/` (отчёты ПДн/угроз/go-live + вет-документ).
+
+---
+
+## File Structure
+
+| Файл | Ответственность | Задача |
+|---|---|---|
+| `docs/security/infosec-vet.md` | провенанс-вет 3 внешних (IS9) + выбор источников | 1 |
+| `.mcp.json` | блоки `zap` + `nuclei` (READ-only сканеры) | 2, 3 |
+| `tools/.l1-watcher-aliases.txt` | alias MCP-имён ZAP/Nuclei → имена в Tooling | 2, 3 |
+| `docs/security/zap-setup.md` | запуск ZAP на native-Windows + локальный таргет (IS8) | 2 |
+| `docs/security/nuclei-setup.md` | запуск Nuclei + шаблоны | 3 |
+| `app/composer.json` | dev-dep `enlightn/enlightn` | 4 |
+| `app/config/enlightn.php` | конфиг Enlightn (60 OSS-проверок) | 4 |
+| `.claude/skills/pdn-152fz-audit/SKILL.md` + `references/` + `evals/` | аудит ПДн + чек-лист 152-ФЗ | 5 |
+| `.claude/skills/threat-model/SKILL.md` + `references/` + `evals/` | STRIDE под портал, going-public | 6 |
+| `.claude/skills/security-go-live/SKILL.md` + `references/` + `evals/` | go-live security-gate (оркестратор) | 7 |
+| `docs/adr/ADR-014-infosec-tooling.md` | границы узлов + IS1–IS9 | 8 |
+| `docs/routing-off-phase.md` | +6 строк routing + связка L15 | 9 |
+| `docs/router-procedure.md` | bump cross-ref | 9 |
+| `docs/Tooling_v8_3.md` | §4.43–4.48 (9-атрибутные блоки) + §0 счётчик + header | 10 |
+| `docs/Plugin_stack_rules_v1.md` | R10.1 +6 строк + header | 10 |
+| `docs/Pravila_raboty_Claude_v1_1.md` | §13.2 +абзац + header | 10 |
+| `CLAUDE.md` | §3.3 +#68–73, §6 +абзац, §9 +запись, header | 10 |
+| `docs/automation-graph-data.js` | +6 узлов NODE_SECTION (A8) + рёбра + версии-метки | 11 |
+| `docs/Открытые_вопросы_v8_3.md` | +7 записей серверного слоя (привязка Б-1) | 12 |
+
+---
+
+## Phase 0 — Провенанс-вет (IS9, ДО установки)
+
+### Task 1: Вет 3 внешних инструментов + выбор источников
+
+**Files:**
+
+- Create: `docs/security/infosec-vet.md`
+
+- [ ] **Step 1: Прочитать процедуру attack-surface**
+
+Прочитать `docs/audit/` (ручная процедура attack-surface тулчейна, ADR-003) — расширяем её на 3 новых внешних.
+
+- [ ] **Step 2: Вет OWASP ZAP MCP-кандидата**
+
+Для каждого кандидата собрать: владелец/провенанс, лицензия, звёзды/активность, последний релиз, что исполняет (читать README + ключевые исходники через WebFetch / `gh`).
+
+- Кандидат A: официальный ZAP «MCP Integration» add-on (`zaproxy.org/blog/2026-04-02-zap-mcp-server`) — провенанс OWASP (предпочтительно).
+- Кандидат B: `dtkmn/mcp-zap-server` (Apache-2.0, Spring Boot).
+
+Записать выбор + обоснование в `infosec-vet.md`.
+
+- [ ] **Step 3: Вет Nuclei MCP-wrapper**
+
+Движок `projectdiscovery/nuclei` (MIT, провенанс ProjectDiscovery — чистый). Wrapper-кандидаты: `cyproxio/mcp-for-security` (nuclei-mcp), `addcontent/nuclei-mcp`. Выбрать wrapper с лучшим провенансом ИЛИ решить запускать `nuclei.exe` через тонкую собственную обвязку (без чужого wrapper'а — минимизация surface). Записать.
+
+- [ ] **Step 4: Вет Enlightn**
+
+`enlightn/enlightn` (LGPL; security-checker MIT) — подтвердить OSS-уровень (60 проверок), отсутствие телеметрии наружу, активность. Записать.
+
+- [ ] **Step 5: Зафиксировать verdict по каждому**
+
+В `infosec-vet.md`: таблица «инструмент / источник / лицензия / вердикт (принят/отклонён) / pin-версия». Любой кандидат с непрозрачным провенансом — отклонить (ADR-003, риск ToxicSkills). Минимум один принятый на каждый из трёх слотов #68/#69/#70.
+
+- [ ] **Step 6: Commit**
+
+```bash
+git add docs/security/infosec-vet.md
+git commit -m "docs(security): provenance vet of ZAP/Nuclei/Enlightn (IS9)"
+```
+
+---
+
+## Phase 1 — Внешние движки (#68–70)
+
+### Task 2: OWASP ZAP MCP — установка + native-Windows + локальный таргет smoke
+
+**Files:**
+
+- Modify: `.mcp.json`
+- Modify: `tools/.l1-watcher-aliases.txt`
+- Create: `docs/security/zap-setup.md`
+
+- [ ] **Step 1: Установить ZAP + MCP-сервер (по вердикту Task 1)**
+
+Установить ZAP (Java-приложение) на native-Windows + выбранный MCP-вариант. Зафиксировать команды в `docs/security/zap-setup.md`. Проверить наличие Java-рантайма (`java -version`); если нет — записать как пред-требование.
+
+- [ ] **Step 2: Зарегистрировать MCP-сервер (READ-only сканер, локальный таргет по умолчанию)**
+
+В `.mcp.json` добавить блок `zap`. В конфиге/обвязке зафиксировать дефолтный таргет = локальная копия портала (`http://localhost:<dev-port>`) — гард IS8 (бой только осознанно).
+
+- [ ] **Step 3: Alias для l1-watcher (C1 STRICT)**
+
+В `tools/.l1-watcher-aliases.txt` добавить alias MCP-имени `zap` → имя узла в Tooling Прил. Н (#68), иначе C1 заблокирует коммит нормативки.
+
+- [ ] **Step 4: Smoke — пассивный скан локального портала**
+
+Запустить локальный портал (dev). Через MCP запустить ZAP spider + passive scan по `http://localhost:<dev-port>`. Expected: ZAP отвечает, возвращает список endpoint'ов/alert'ов без падения. Скриншот/лог в `zap-setup.md`. **Active scan не запускать в smoke** (тяжёлый) — только проверка связности.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add .mcp.json tools/.l1-watcher-aliases.txt docs/security/zap-setup.md
+git commit -m "feat(security): OWASP ZAP MCP — setup + local-target guard + smoke (#68)"
+```
+
+---
+
+### Task 3: Nuclei MCP — установка + smoke
+
+**Files:**
+
+- Modify: `.mcp.json`
+- Modify: `tools/.l1-watcher-aliases.txt`
+- Create: `docs/security/nuclei-setup.md`
+
+- [ ] **Step 1: Установить nuclei + (опц.) wrapper (по вердикту Task 1)**
+
+Установить `nuclei.exe` (Go-бинарь) на native-Windows + выбранный MCP-вариант (wrapper или собственная обвязка). Обновить шаблоны (`nuclei -update-templates`). Зафиксировать в `docs/security/nuclei-setup.md`.
+
+- [ ] **Step 2: Зарегистрировать MCP-сервер (локальный таргет по умолчанию)**
+
+В `.mcp.json` добавить блок `nuclei` (READ-only). Дефолтный таргет — локальная копия (гард IS8).
+
+- [ ] **Step 3: Alias для l1-watcher (C1 STRICT)**
+
+В `tools/.l1-watcher-aliases.txt` alias `nuclei` → имя узла Tooling (#69).
+
+- [ ] **Step 4: Smoke — прогон шаблонов по локальному таргету**
+
+Через MCP запустить nuclei с лёгким набором тегов (напр. `-tags tech,exposure`) по `http://localhost:<dev-port>`. Expected: nuclei отвечает, возвращает findings (или «no results») без падения. Лог в `nuclei-setup.md`.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add .mcp.json tools/.l1-watcher-aliases.txt docs/security/nuclei-setup.md
+git commit -m "feat(security): Nuclei MCP — setup + local-target guard + smoke (#69)"
+```
+
+---
+
+### Task 4: Enlightn — установка + baseline + конфиг
+
+**Files:**
+
+- Modify: `app/composer.json` (require-dev)
+- Create: `app/config/enlightn.php`
+
+- [ ] **Step 1: Установить Enlightn (OSS)**
+
+Run (root `app/`):
+
+```bash
+composer require enlightn/enlightn --dev
+```
+
+Expected: `enlightn/enlightn` в `require-dev`.
+
+- [ ] **Step 2: Опубликовать конфиг**
+
+Run (root `app/`):
+
+```bash
+php artisan vendor:publish --tag=enlightn
+```
+
+Expected: создан `config/enlightn.php`.
+
+- [ ] **Step 3: Baseline-прогон**
+
+Run (root `app/`):
+
+```bash
+php artisan enlightn --no-interaction
+```
+
+Expected: отчёт по 60 OSS-проверкам (Security / Performance / Reliability). **Записать число fail/warn по Security-категории** в коммит-сообщение.
+
+- [ ] **Step 4: Настроить конфиг под проект**
+
+В `config/enlightn.php`: ограничить анализаторы Security-категорией (либо оставить все, но в #73-скиле приоритезировать Security); исключить ложноположительные под native-Windows стек (если baseline покажет, напр. проверки, ожидающие конкретный веб-сервер). Не маскировать реальные находки — только явные FP.
+
+- [ ] **Step 5: Зафиксировать постуру (не блокирующий lefthook)**
+
+Enlightn — on-demand/CI (`php artisan enlightn`), **НЕ в lefthook** (паттерн Rector/PHP Insights, IS3). Зафиксировать в коммит-сообщении.
+
+- [ ] **Step 6: Commit**
+
+```bash
+git add app/composer.json app/composer.lock app/config/enlightn.php
+git commit -m "feat(security): Enlightn OSS setup + baseline (Security fails=<N>); on-demand posture (#70)"
+```
+
+---
+
+## Phase 2 — Self-authored скилы (#71–73)
+
+### Task 5: Скил «ПДн / 152-ФЗ» (#71)
+
+**Files:**
+
+- Create: `.claude/skills/pdn-152fz-audit/SKILL.md`
+- Create: `.claude/skills/pdn-152fz-audit/references/checklist.md`
+- Create: `.claude/skills/pdn-152fz-audit/evals/evals.json`
+
+- [ ] **Step 1: Написать SKILL.md (frontmatter + тело)**
+
+```markdown
+---
+name: pdn-152fz-audit
+description: Аудит защиты персональных данных Лидерры и соответствие 152-ФЗ. Режим 1 — техника (где лежат ПДн в схеме/коде, RLS, маскирование pg_anonymizer, утечки в логах/Sentry/CSV-экспортах, шифрование). Режим 2 — закон (хранение в РФ, согласия, сроки/удаление, реестр обработки, уведомление РКН, права субъекта pd_subject_request). Используй при «проверь ПДн», «утекают ли персональные данные», «соответствие 152-ФЗ», «где хранятся телефоны лидов», «маскируются ли данные в дампах». НЕ для денежной корректности (billing-audit), security-аудита кода (D3/Semgrep), юридического оформления договоров/политик (D2 право), generic-угроз (threat-model #72).
+---
+
+# ПДн / 152-ФЗ аудит — Лидерра
+
+[Тело: 2 режима, для каждого — шаги проверки со ссылками на reference и реальные артефакты проекта.]
+```
+
+- [ ] **Step 2: Написать references/checklist.md — заземлено в схему и код**
+
+Прочитать `db/schema.sql` (таблицы с ПДн), `db/CHANGELOG_schema.md`, найти: pg_anonymizer #29 правила маскирования, RLS-политики, функцию `set_pd_subject_request_deadline` + таблицу `pd_subject_request`. Записать чек-лист:
+
+- *Техника:* перечень таблиц/колонок с ПДн (телефоны лидов, данные клиентов); под RLS ли; маскируются ли в дампах; не пишутся ли в `import_log`/логи/Sentry/CSV-экспорты в открытом виде; шифрование at-rest.
+- *152-ФЗ:* хранение в РФ (Yandex Cloud `ru-central1` ✓), согласия, сроки хранения и удаление, реестр обработки, уведомление РКН, реализация прав субъекта (выгрузка/удаление через `pd_subject_request`).
+
+Каждый пункт — со ссылкой на конкретный файл/таблицу проекта.
+
+- [ ] **Step 3: Написать evals/evals.json (trigger + near-miss)**
+
+```json
+{
+  "skill": "pdn-152fz-audit",
+  "cases": [
+    {"prompt": "проверь, не утекают ли телефоны лидов в логи", "should_trigger": true},
+    {"prompt": "соответствует ли портал 152-ФЗ перед запуском", "should_trigger": true},
+    {"prompt": "проверь, не теряются ли копейки в списании", "should_trigger": false, "expected": "billing-audit"},
+    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": false, "expected": "threat-model"},
+    {"prompt": "составь договор обработки персональных данных", "should_trigger": false, "expected": "D2 право"}
+  ]
+}
+```
+
+- [ ] **Step 4: Прогнать классификацию + lint**
+
+Прогнать евал-кейсы (skill-creator eval-режим или ручная проверка `description`). Expected: trigger → pdn-152fz-audit; near-miss → корректный сосед. Если перетягивает — уточнить границу в `description`.
+
+```bash
+npx markdownlint-cli2 ".claude/skills/pdn-152fz-audit/**/*.md"
+```
+
+Expected: 0 ошибок.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add .claude/skills/pdn-152fz-audit/
+git commit -m "feat(security): pdn-152fz-audit skill — ПДн + 152-ФЗ checklist (#71)"
+```
+
+---
+
+### Task 6: Скил «Моделирование угроз» (#72)
+
+**Files:**
+
+- Create: `.claude/skills/threat-model/SKILL.md`
+- Create: `.claude/skills/threat-model/references/stride-portal.md`
+- Create: `.claude/skills/threat-model/evals/evals.json`
+
+- [ ] **Step 1: Написать SKILL.md (frontmatter + тело)**
+
+```markdown
+---
+name: threat-model
+description: Моделирование угроз портала Лидерра по STRIDE — карта точек входа, что меняется при выходе в интернет, приоритизация защиты. Используй при «смоделируй угрозы», «откуда могут атаковать», «что защищать в первую очередь перед публикацией», «карта точек входа», «threat model / STRIDE». НЕ для аудита ПДн/152-ФЗ (pdn-152fz-audit #71), статического security-аудита кода (D3/Semgrep/Trail of Bits), generic архитектурных паттернов (architecture-patterns), go-live прогона (security-go-live #73).
+---
+
+# Моделирование угроз — Лидерра (STRIDE)
+
+[Тело: процедура STRIDE под портал, со ссылкой на reference карты точек входа.]
+```
+
+- [ ] **Step 2: Написать references/stride-portal.md — заземлено в реальные точки входа**
+
+Прочитать `app/routes/` (web.php/api.php) + контроллеры, выявить точки входа: форма входа, регистрация/2FA/recovery, вебхуки поставщика лидов (HMAC), deals API, админка, impersonation, импорт CSV. Для каждой — STRIDE-разбор (Spoofing/Tampering/Repudiation/Information disclosure/DoS/Elevation) + что меняется при публичной экспозиции (раньше контур своих → теперь произвольный внешний актор). Приоритизация по риску.
+
+- [ ] **Step 3: Написать evals/evals.json**
+
+```json
+{
+  "skill": "threat-model",
+  "cases": [
+    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": true},
+    {"prompt": "что защищать в первую очередь перед публикацией", "should_trigger": true},
+    {"prompt": "проверь соответствие 152-ФЗ", "should_trigger": false, "expected": "pdn-152fz-audit"},
+    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": false, "expected": "security-go-live"},
+    {"prompt": "просканируй код на уязвимости семгрепом", "should_trigger": false, "expected": "D3/Semgrep"}
+  ]
+}
+```
+
+- [ ] **Step 4: Прогнать классификацию + lint**
+
+Как Task 5 Step 4 (для `.claude/skills/threat-model/`).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add .claude/skills/threat-model/
+git commit -m "feat(security): threat-model skill — STRIDE going-public (#72)"
+```
+
+---
+
+### Task 7: Скил «Прогон перед публикацией» (#73, оркестратор)
+
+**Files:**
+
+- Create: `.claude/skills/security-go-live/SKILL.md`
+- Create: `.claude/skills/security-go-live/references/gate.md`
+- Create: `.claude/skills/security-go-live/evals/evals.json`
+
+- [ ] **Step 1: Написать SKILL.md (frontmatter + тело)**
+
+```markdown
+---
+name: security-go-live
+description: Единый go-live security-gate Лидерры перед публикацией в интернете — один воспроизводимый прогон всех проверок безопасности и вердикт «можно/нельзя в прод». Оркеструет ZAP (#68), Nuclei (#69), Enlightn (#70), pdn-152fz-audit (#71), threat-model (#72) + Semgrep #25 / Trivy #26 / gitleaks #8 / Trail of Bits #39. Используй при «прогон безопасности перед релизом», «можно ли выкатывать», «go-live security check», «финальная проверка безопасности». НЕ для полного 14-фазного аудита портала (audit-portal), отдельной проверки ПДн (pdn-152fz-audit #71) или угроз (threat-model #72).
+---
+
+# Security go-live gate — Лидерра
+
+[Тело: порядок прогона инструментов, сбор findings, формат вердикта.]
+```
+
+- [ ] **Step 2: Написать references/gate.md — порядок и вердикт**
+
+Описать порядок: статика (Semgrep/gitleaks/Enlightn/Trail of Bits) → ПДн (#71) → угрозы (#72) → динамика (Nuclei breadth → ZAP depth, **только локальный таргет по умолчанию**, IS8) → сбор findings по серьёзности → вердикт GO / NO-GO с перечнем блокеров. Гард IS8 явно: бой только по явной команде заказчика. Граница IS7: это security-only gate, не подменяет audit-portal.
+
+- [ ] **Step 3: Написать evals/evals.json**
+
+```json
+{
+  "skill": "security-go-live",
+  "cases": [
+    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": true},
+    {"prompt": "можно ли выкатывать портал в прод по безопасности", "should_trigger": true},
+    {"prompt": "проведи полный аудит портала", "should_trigger": false, "expected": "audit-portal"},
+    {"prompt": "проверь только персональные данные", "should_trigger": false, "expected": "pdn-152fz-audit"},
+    {"prompt": "смоделируй угрозы", "should_trigger": false, "expected": "threat-model"}
+  ]
+}
+```
+
+- [ ] **Step 4: Прогнать классификацию + lint**
+
+Как Task 5 Step 4 (для `.claude/skills/security-go-live/`). Особое внимание near-miss с `audit-portal` (IS7).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add .claude/skills/security-go-live/
+git commit -m "feat(security): security-go-live skill — go-live gate orchestrator (#73)"
+```
+
+---
+
+## Phase 3 — ADR + роутер
+
+### Task 8: ADR-014
+
+**Files:**
+
+- Create: `docs/adr/ADR-014-infosec-tooling.md`
+
+- [ ] **Step 1: Прочитать шаблон ADR**
+
+Прочитать `docs/adr/013-backend-tooling.md` (последний) как шаблон структуры (Status / Context / Decision / Alternatives / Consequences / Related / References).
+
+- [ ] **Step 2: Написать ADR-014**
+
+Содержание: Decision — 6 узлов infosec-tooling + границы; Alternatives — отброшенные готовые threat-model/compliance-скилы (ToxicSkills) + платные tiers + dedicated dependency-tool (дубль); Consequences — IS1–IS9 (§8 спеки) + bus-factor/supply-chain (мит. вет IS9 + pin) + DAST-safety IS8; Related — ADR-002 (RLS, драйвер ПДн-скила), ADR-003 (D3 граница). Включить серверный слой как «out of scope, отдельные открытые вопросы».
+
+- [ ] **Step 3: Проверить adr-judge не падает**
+
+Run (root):
+
+```bash
+git diff --cached --unified=0 | python -X utf8 tools/adr-judge.py --diff - --adr-dir docs/adr/
+```
+
+Expected: нет нарушений на собственном диффе.
+
+- [ ] **Step 4: Commit**
+
+```bash
+git add docs/adr/ADR-014-infosec-tooling.md
+git commit -m "docs(adr): ADR-014 infosec-tooling boundaries (IS1-IS9)"
+```
+
+---
+
+### Task 9: routing-off-phase.md + router-procedure.md
+
+**Files:**
+
+- Modify: `docs/routing-off-phase.md`
+- Modify: `docs/router-procedure.md`
+
+- [ ] **Step 1: Прочитать текущие файлы**
+
+Прочитать `docs/routing-off-phase.md` (формат routing-таблицы + связки L1–L14, версия v1.3) и `docs/router-procedure.md` (header v1.2).
+
+- [ ] **Step 2: Добавить 6 строк routing-таблицы**
+
+Для #68–73 — строки «триггер → узел» (значения routing-trigger из спеки §3 / атрибутов Task 10). Bump version routing-off-phase v1.3 → **v1.4**.
+
+- [ ] **Step 3: Добавить каноническую связку L15**
+
+L15 «security go-live chain»: #73 (оркестратор) → #68 ZAP / #69 Nuclei / #70 Enlightn / #71 ПДн / #72 угрозы + D3 (#39/#25/#26/#8/#40). Anti-pattern: не запускать ZAP/Nuclei в pre-commit хук (тяжёлые, требуют таргета); не путать #73 (security-only go-live) с `audit-portal` (полный аудит).
+
+- [ ] **Step 4: Bump router-procedure.md**
+
+router-procedure v1.2 → **v1.3**: процедура не меняется, обновить cross-ref-строку/счётчик узлов под новый набор.
+
+- [ ] **Step 5: Verify lychee + commit**
+
+```bash
+./bin/lychee.exe --config .lychee.toml "docs/routing-off-phase.md" "docs/router-procedure.md"
+git add docs/routing-off-phase.md docs/router-procedure.md
+git commit -m "docs(router): +6 infosec nodes routing + L15 chain (routing-off-phase v1.4, router-procedure v1.3)"
+```
+
+---
+
+## Phase 4 — Нормативка (АТОМАРНЫЙ набор — C2 STRICT)
+
+### Task 10: Tooling + PSR_v1 + Pravila + CLAUDE.md — один атомарный коммит
+
+> **Критично:** cross-ref-checker (C2, lefthook job 12) STRICT — все §0/header cross-refs между этими 4 файлами должны совпасть. Поэтому **все 4 файла редактируются и коммитятся ОДНИМ коммитом.** l1-watcher (C1, job 11) проверит формализацию MCP-серверов ZAP/Nuclei (см. alias Task 2/3).
+
+**Files:**
+
+- Modify: `docs/Tooling_v8_3.md`
+- Modify: `docs/Plugin_stack_rules_v1.md`
+- Modify: `docs/Pravila_raboty_Claude_v1_1.md`
+- Modify: `CLAUDE.md`
+
+- [ ] **Step 1: Tooling Прил. Н — §4.43–4.48 (9-атрибутные блоки)**
+
+Прочитать §4.36 (finance plugin) как канонический шаблон 9-attribute блока, реплицировать для 6 узлов:
+
+- **§4.43 #68 OWASP ZAP** — name@source per Task 1 вердикт; category: infosec-tooling (off-phase, 17-я); install: ZAP + MCP per `docs/security/zap-setup.md` + `.mcp.json` блок `zap`; activation: on-demand, READ-only сканер, локальный таргет (IS8); conflicts: IS1/IS2 (ADR-014); dormant: false; routing-trigger: «боевая проверка работающего портала», обход входа/инъекции/XSS; cost: 0 LLM.
+- **§4.44 #69 Nuclei** — @ projectdiscovery/nuclei + wrapper per Task 1; infosec-tooling; install: `docs/security/nuclei-setup.md` + `.mcp.json` блок `nuclei`; activation: on-demand, локальный таргет (IS8); conflicts: IS2 (ADR-014); dormant: false; routing-trigger: «известные дыры/открытые двери/слабый TLS снаружи»; cost: 0 LLM.
+- **§4.45 #70 Enlightn** — @ enlightn/enlightn (Composer dev-dep); infosec-tooling; install: `composer require enlightn/enlightn --dev` + `config/enlightn.php`; activation: on-demand/CI (`php artisan enlightn`), НЕ lefthook (IS3); conflicts: IS3 (ADR-014); dormant: false; routing-trigger: «безопасность настроек Laravel», заголовки/режим отладки/cookie; cost: 0 LLM.
+- **§4.46 #71 pdn-152fz-audit** — @ self-authored (`.claude/skills/`); infosec-tooling; install: project skill auto-discovered; activation: trigger-based; conflicts: IS4/IS5 (ADR-014); dormant: false; routing-trigger: «проверь ПДн», «соответствие 152-ФЗ», утечки персональных данных; cost: skill inference.
+- **§4.47 #72 threat-model** — @ self-authored; infosec-tooling; activation: trigger-based; conflicts: IS6 (ADR-014); dormant: false; routing-trigger: «смоделируй угрозы», «откуда атакуют», STRIDE going-public; cost: skill inference.
+- **§4.48 #73 security-go-live** — @ self-authored; infosec-tooling; activation: trigger-based (оркеструет #68–72 + D3); conflicts: IS7 (ADR-014); dormant: false; routing-trigger: «прогон безопасности перед релизом», go/no-go; cost: skill inference.
+
+§0 счётчик: 67 → **73**; добавить 17-ю off-phase подкатегорию «infosec-tooling». Header Прил. Н: v2.19 → **v2.20** + наследие-строка.
+
+- [ ] **Step 2: PSR_v1 — R10.1 +6 строк + header**
+
+R10.1 Блок 1 (project-скилы #71/#72/#73) + Блок 3 (MCP-серверы #68/#69) + строка Enlightn (#70, Composer dev-dep, не marketplace) с категорией infosec-tooling (не UI → вне R6/R14). Header v3.19 → **v3.20** + наследие.
+
+- [ ] **Step 3: Pravila — §13.2 +абзац + header**
+
+§13.2: +абзац «Off-phase infosec-tooling» (#68 ZAP / #69 Nuclei / #70 Enlightn / #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live — 17-я подкатегория; счётчики — пин на Tooling Прил. Н §0; провенанс-вет IS9 обязателен для внешних). Header v1.35 → **v1.36** + §10 changelog.
+
+- [ ] **Step 4: CLAUDE.md — §3.3 + §6 + §9 + header**
+
+- §3.3: +6 строк #68–73 (однострочный индекс, пин на Tooling §4.43–4.48).
+- §6: +абзац «2026-05-21 A8 infosec-tooling integration» сверху (+серверный слой → открытые вопросы).
+- §9: +запись v2.23.
+- §0 cross-refs: Pravila v1.36 / PSR_v1 v3.20 / Tooling Прил.Н v2.20.
+- Header: v2.22 → **v2.23**.
+(Прямой Edit — worktree-эксцепшн §5 п.10.)
+
+- [ ] **Step 5: Verify cross-refs локально перед коммитом**
+
+Run (root):
+
+```bash
+node tools/cross-ref-checker.mjs
+node tools/l1-watcher.mjs
+```
+
+Expected: оба чисто (нет version drift; MCP ZAP/Nuclei формализованы/aliased).
+
+- [ ] **Step 6: Атомарный commit (все 4 файла вместе)**
+
+```bash
+git add docs/Tooling_v8_3.md docs/Plugin_stack_rules_v1.md docs/Pravila_raboty_Claude_v1_1.md CLAUDE.md
+git commit -m "docs(normative): A8 infosec-tooling #68-73 — Tooling v2.20/PSR v3.20/Pravila v1.36/CLAUDE v2.23"
+```
+
+---
+
+## Phase 5 — Карта
+
+### Task 11: automation-graph-data.js +6 узлов + рёбра + версии
+
+**Files:**
+
+- Modify: `docs/automation-graph-data.js`
+
+- [ ] **Step 1: Прочитать текущее состояние карты**
+
+Прочитать блок finance (`finance_plugin`/`billing_audit`/`ru_tax`) + backend (`rector`/`php_insights`/...) как образцы. **Зафиксировать текущий счётчик узлов/рёбер** из шапки/`NODES` (для commit-сообщения N→N+6).
+
+- [ ] **Step 2: Добавить 6 узлов в NODES + NODE_SECTION (все A8)**
+
+Узлы `mcp_zap`, `mcp_nuclei`, `enlightn`, `sk_pdn_152fz`, `sk_threat_model`, `sk_security_golive` в `NODES` (group: mcp / lefthook-нет / skills_proj) + в `NODE_SECTION` все 6 → `'A8'`. Reuse через `NODE_SECTION_SECONDARY` — нет (оставить только A8).
+
+- [ ] **Step 3: Добавить рёбра**
+
+Рёбра L15-цепочки: `sk_security_golive` → `mcp_zap`/`mcp_nuclei`/`enlightn`/`sk_pdn_152fz`/`sk_threat_model` + reuse-связи (`sk_security_golive` ↔ `mcp_semgrep`/`lh_gitleaks`/`trivy`(если есть узел)/Trail of Bits; `sk_pdn_152fz` ↔ pg_anonymizer-узел если есть). Обновить версии-метки шапки карты (v1.36/v2.23/v3.20/v2.20) + счётчики узлов/рёбер.
+
+- [ ] **Step 4: Browser-smoke карты**
+
+Открыть `docs/automation-graph.html` через Playwright MCP, проверить: 6 новых узлов рендерятся в секторе A8, рёбра присутствуют, нет JS-ошибок в консоли. Скриншот.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add docs/automation-graph-data.js
+git commit -m "feat(map): +6 A8 infosec-tooling nodes + L15 chain (N→N+6 nodes)"
+```
+
+---
+
+## Phase 6 — Серверный слой (открытые вопросы)
+
+### Task 12: Открытые_вопросы — +7 записей серверной защиты
+
+**Files:**
+
+- Modify: `docs/Открытые_вопросы_v8_3.md`
+
+- [ ] **Step 1: Прочитать формат реестра**
+
+Прочитать `docs/Открытые_вопросы_v8_3.md` (формат записи, префиксы, сводка §0). Выбрать префикс для серверной безопасности (новый `SEC-` или существующий `DO-` DevOps — по факту формата).
+
+- [ ] **Step 2: Добавить 7 записей (только ДОБАВИТЬ — ничего не закрывать)**
+
+7 записей серверного слоя (§9 спеки), каждая со статусом «открыт» и привязкой к Б-1 где уместно:
+
+1. WAF (Yandex Smart Web Security / Coraza/ModSecurity).
+2. Anti-brute-force / rate-limit (Laravel throttle + серверный).
+3. DDoS-защита (Yandex Cloud DDoS Protection).
+4. Мониторинг вторжений (Sentry #34 pending Б-1 + алерты).
+5. Хранилище секретов (Yandex Lockbox).
+6. TLS/HSTS/CSP на бою.
+7. Бэкапы + IR-runbook (реюз operations:runbook #51).
+
+Обновить сводку §0 (счётчики открытых вопросов). **Не закрывать никаких существующих вопросов** (правило §2.2 / economy).
+
+- [ ] **Step 3: Verify lychee + commit**
+
+```bash
+./bin/lychee.exe --config .lychee.toml "docs/Открытые_вопросы_v8_3.md"
+git add docs/Открытые_вопросы_v8_3.md
+git commit -m "docs(open-questions): +7 server-side security items (A8 server layer, Б-1)"
+```
+
+---
+
+## Phase 7 — Финал
+
+### Task 13: Полная регрессия + finishing
+
+**Files:** (нет правок)
+
+- [ ] **Step 1: Полная регрессия**
+
+Run (root `app/`):
+
+```bash
+composer pint -- --test
+composer stan
+php vendor/bin/pest --parallel --recreate-databases
+```
+
+Запустить Vitest, если затронут frontend (не затронут — пропустить). Expected: Pint 0, Larastan 0 above baseline, Pest GREEN (выписать точные числа passed/failed с file:line при падении).
+
+- [ ] **Step 2: Pre-push проверки**
+
+Run (root):
+
+```bash
+./bin/gitleaks.exe detect --source . --no-banner --config .gitleaks.toml --redact
+./bin/lychee.exe --config .lychee.toml "docs/**/*.md" "*.md"
+```
+
+Expected: gitleaks 0; lychee 0 broken (untracked setup-доки `docs/security/*` — если ломают, добавить в exclude или закоммичены ранее).
+
+- [ ] **Step 3: finishing-a-development-branch**
+
+Использовать `superpowers:finishing-a-development-branch` — представить заказчику опции (push в main / PR / cleanup). Push паттерн `git push origin <ветка>:main` (memory reference_github).
+
+---
+
+## Self-Review (исполнено при написании плана)
+
+**Spec coverage:**
+
+- Спека §2 (6 узлов + out-of-scope) → Tasks 2/3/4 (внешние), 5/6/7 (скилы); out-of-scope зафиксирован в ADR Task 8 + серверный слой Task 12. ✅
+- Спека §3 (детали узлов + границы) → Tasks 2–7 + ADR Task 8. ✅
+- Спека §4 (роутер) → Task 9. ✅
+- Спека §5 (наблюдатель: 9-атрибуты + C1/C2) → Task 10 (9-атрибуты §4.43–48, C1/C2 verify Step 5). ✅
+- Спека §6 (нормативка атомарно) → Task 10. ✅
+- Спека §7 (карта) → Task 11. ✅
+- Спека §8 (IS1–IS9) → Task 8 ADR + заземление IS9 в Task 1, IS8 в Task 2/3/7. ✅
+- Спека §9 (серверный слой) → Task 12. ✅
+- Спека §10 (spikes) → Task 1 (IS9-вет) + smoke Task 2/3 + baseline Task 4. ✅
+- Спека §11 (worktree subagent-driven) → Pre-flight + execution handoff. ✅
+- Спека §12 (решения заказчика) → отражены в ADR Task 8 + гарды IS8/IS9. ✅
+
+**Placeholder scan:** `<N>`/`<dev-port>` — намеренные spike/runtime-выходы (заполняются в Task 2/4), не placeholder-долги. Условные элементы (выбор источника per Task 1 вердикт) явно помечены ветвлением. ✅
+
+**Type consistency:** имена узлов карты (`mcp_zap`/`mcp_nuclei`/`enlightn`/`sk_pdn_152fz`/`sk_threat_model`/`sk_security_golive`), номера (#68–73), §4.43–4.48, версии (v1.36/v3.20/v2.20/v2.23), коды IS1–IS9, связка L15, имена скилов (pdn-152fz-audit/threat-model/security-go-live) — единообразны across задач. ✅

docs/superpowers/plans/2026-05-21-project-delete-dedup-errors.md

@@ -0,0 +1,746 @@
+# Project delete + source dedup + human errors — Implementation Plan
+
+> **For agentic workers:** REQUIRED SUB-SKILL: Use superpowers:subagent-driven-development (recommended) or superpowers:executing-plans to implement this plan task-by-task. Steps use checkbox (`- [ ]`) syntax for tracking.
+
+**Goal:** Заменить архивацию проектов настоящим удалением (с защитой по сделкам и корректной обработкой шеринга у поставщика), добавить дедуп источника внутри клиента и заменить сырые SQL-ошибки человеческими сообщениями.
+
+**Architecture:** Бэкенд — вся логика в `ProjectService` (create/update/delete) + новый `DeleteSupplierProjectJob` для удаления/пере-синка донора у поставщика с учётом шеринга + глобальный handler `QueryException`. Архивация (`archived_at`) убирается полностью (миграция-снос колонки). Фронтенд — «Архивировать»→«Удалить», убрать фильтр «Архивные».
+
+**Tech Stack:** PHP 8.3 / Laravel 13, Pest 4; Vue 3 + Vuetify 3 + Pinia, Vitest; PostgreSQL 16.
+
+**Спека:** `docs/superpowers/specs/2026-05-21-project-delete-dedup-errors-design.md`
+
+**Команды (из `app/`):** `C:/tools/php83/php.exe artisan test --filter=<name>`, `composer pint`, `composer stan`, `npm run test:vue`.
+
+**Ключевые факты (разведка):**
+
+- `Project` — БЕЗ SoftDeletes → `$project->delete()` = hard delete. У `projects` нет `deleted_at` (только `archived_at` custom + `is_active`).
+- `Deal` — С SoftDeletes (`deals.deleted_at`). Guard считает ВСЕ сделки через `DB::table('deals')` (минует scope).
+- `deals.project_id` без FK; cascade на `projects(id)` только у служебных таблиц.
+- `supplier_projects.supplier_external_id` VARCHAR(64) — id донора у поставщика (числовой; cast к int для `deleteProject(int)`).
+- `project_supplier_links` — pivot (project_id, supplier_project_id), ON DELETE CASCADE на оба.
+- Источник: `signal_identifier` (call/site) либо `sms_senders[]`+`sms_keyword` (sms).
+
+---
+
+## Task 1: Дедуп источника + имени в ProjectService::create()
+
+**Files:**
+
+- Modify: `app/app/Services/Project/ProjectService.php` (метод `create`, +helper `assertSourceUnique`)
+- Test: `app/tests/Feature/Project/ProjectCreateDedupTest.php` (create)
+
+- [ ] **Step 1: Написать падающие тесты**
+
+```php
+<?php
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\Tenant;
+
+beforeEach(function () {
+    $this->tenant = Tenant::factory()->create(['balance_leads' => 100]);
+});
+
+function makeCall(array $over = []): array {
+    return array_merge([
+        'name' => 'Проект A', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ], $over);
+}
+
+it('blocks duplicate source within tenant with human message', function () {
+    app(\App\Services\Project\ProjectService::class)->create($this->tenant, makeCall());
+    expect(fn () => app(\App\Services\Project\ProjectService::class)
+        ->create($this->tenant, makeCall(['name' => 'Проект B'])))
+        ->toThrow(\Illuminate\Http\Exceptions\HttpResponseException::class);
+});
+
+it('allows same source for a different tenant (sharing)', function () {
+    $other = Tenant::factory()->create(['balance_leads' => 100]);
+    app(\App\Services\Project\ProjectService::class)->create($this->tenant, makeCall());
+    $p = app(\App\Services\Project\ProjectService::class)->create($other, makeCall(['name' => 'Проект B']));
+    expect($p)->toBeInstanceOf(Project::class);
+});
+
+it('blocks duplicate name within tenant with human message (not SQL)', function () {
+    app(\App\Services\Project\ProjectService::class)->create($this->tenant, makeCall());
+    try {
+        app(\App\Services\Project\ProjectService::class)
+            ->create($this->tenant, makeCall(['name' => 'Проект A', 'signal_identifier' => '79992220000']));
+        $this->fail('expected HttpResponseException');
+    } catch (\Illuminate\Http\Exceptions\HttpResponseException $e) {
+        $body = $e->getResponse()->getData(true);
+        expect($body['errors']['name'][0] ?? '')->not->toContain('SQLSTATE');
+    }
+});
+```
+
+- [ ] **Step 2: Запустить — убедиться что падают**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectCreateDedupTest`
+Expected: FAIL (дедупа нет — второй create проходит / бьёт DB-констрейнт).
+
+- [ ] **Step 3: Реализация в `ProjectService::create()`**
+
+В начало `create()` (после получения `$tenant`, до `Project::create`) добавить вызовы и helper'ы:
+
+```php
+// перед Project::create($data):
+$this->assertNameUnique($tenant->id, (string) $data['name']);
+$this->assertSourceUnique($tenant->id, $data);
+```
+
+Добавить методы в класс:
+
+```php
+private function assertNameUnique(int $tenantId, string $name, ?int $exceptId = null): void
+{
+    $q = Project::where('tenant_id', $tenantId)->where('name', $name);
+    if ($exceptId !== null) {
+        $q->where('id', '!=', $exceptId);
+    }
+    if ($q->exists()) {
+        throw new HttpResponseException(response()->json([
+            'errors' => ['name' => ['Проект с таким названием у вас уже есть. Выберите другое название.']],
+        ], 422));
+    }
+}
+
+/** @param array<string,mixed> $data */
+private function assertSourceUnique(int $tenantId, array $data, ?int $exceptId = null): void
+{
+    $signalType = $data['signal_type'] ?? null;
+    $q = Project::where('tenant_id', $tenantId)->where('signal_type', $signalType);
+    if ($exceptId !== null) {
+        $q->where('id', '!=', $exceptId);
+    }
+
+    if (in_array($signalType, ['call', 'site'], true)) {
+        $identifier = (string) ($data['signal_identifier'] ?? '');
+        if ($identifier === '') {
+            return;
+        }
+        $q->where('signal_identifier', $identifier);
+    } elseif ($signalType === 'sms') {
+        $senders = (array) ($data['sms_senders'] ?? []);
+        $norm = collect($senders)->map(fn ($s) => mb_strtolower(trim((string) $s)))->sort()->values()->all();
+        if ($norm === []) {
+            return;
+        }
+        // sms-источник идентичен, если совпадают набор отправителей и ключевое слово.
+        $keyword = $data['sms_keyword'] ?? null;
+        $q->where('sms_keyword', $keyword)
+            ->whereJsonContains('sms_senders', $norm)
+            ->whereRaw('jsonb_array_length(sms_senders::jsonb) = ?', [count($norm)]);
+    } else {
+        return;
+    }
+
+    $existing = $q->first();
+    if ($existing !== null) {
+        throw new HttpResponseException(response()->json([
+            'errors' => ['signal_identifier' => ["У вас уже есть проект с этим источником: «{$existing->name}»."]],
+        ], 422));
+    }
+}
+```
+
+Убедиться, что в шапке есть `use Illuminate\Http\Exceptions\HttpResponseException;` (уже есть).
+
+- [ ] **Step 4: Запустить — PASS**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectCreateDedupTest`
+Expected: PASS (3 теста).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/app/Services/Project/ProjectService.php app/tests/Feature/Project/ProjectCreateDedupTest.php
+git commit -m "feat(projects): source+name dedup with human messages on create"
+```
+
+---
+
+## Task 2: Дедуп источника при смене источника (update)
+
+**Files:**
+
+- Modify: `app/app/Services/Project/ProjectService.php` (метод `update`)
+- Test: `app/tests/Feature/Project/ProjectUpdateDedupTest.php`
+
+- [ ] **Step 1: Падающий тест**
+
+```php
+<?php
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\Tenant;
+
+it('blocks update that collides source with another project of same tenant', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $svc = app(\App\Services\Project\ProjectService::class);
+    $a = $svc->create($tenant, ['name' => 'A', 'signal_type' => 'call', 'signal_identifier' => '79991110000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+    $b = $svc->create($tenant, ['name' => 'B', 'signal_type' => 'call', 'signal_identifier' => '79992220000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+
+    expect(fn () => $svc->update($b, ['signal_identifier' => '79991110000']))
+        ->toThrow(\Illuminate\Http\Exceptions\HttpResponseException::class);
+});
+
+it('allows update keeping same source on the same project', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $svc = app(\App\Services\Project\ProjectService::class);
+    $a = $svc->create($tenant, ['name' => 'A', 'signal_type' => 'call', 'signal_identifier' => '79991110000', 'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31]);
+    $updated = $svc->update($a, ['signal_identifier' => '79991110000', 'daily_limit_target' => 7]);
+    expect($updated->daily_limit_target)->toBe(7);
+});
+```
+
+- [ ] **Step 2: Запустить — FAIL**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectUpdateDedupTest`
+Expected: FAIL (первый кейс не бросает).
+
+- [ ] **Step 3: Реализация в `update()`**
+
+После блока immutable-unset и до `$project->update($data)` добавить:
+
+```php
+if (array_key_exists('signal_identifier', $data) || array_key_exists('sms_senders', $data) || array_key_exists('sms_keyword', $data)) {
+    $this->assertSourceUnique($project->tenant_id, array_merge([
+        'signal_type' => $project->signal_type,
+        'signal_identifier' => $project->signal_identifier,
+        'sms_senders' => $project->sms_senders,
+        'sms_keyword' => $project->sms_keyword,
+    ], $data), exceptId: $project->id);
+}
+if (array_key_exists('name', $data)) {
+    $this->assertNameUnique($project->tenant_id, (string) $data['name'], exceptId: $project->id);
+}
+```
+
+- [ ] **Step 4: Запустить — PASS**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectUpdateDedupTest`
+Expected: PASS.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/app/Services/Project/ProjectService.php app/tests/Feature/Project/ProjectUpdateDedupTest.php
+git commit -m "feat(projects): source+name dedup on update"
+```
+
+---
+
+## Task 3: Глобальный handler QueryException (никакого SQL в UI)
+
+**Files:**
+
+- Modify: `app/bootstrap/app.php` (`withExceptions`)
+- Test: `app/tests/Feature/Project/QueryExceptionRenderTest.php`
+
+- [ ] **Step 1: Падающий тест** (бьём прямой DB-констрейнт мимо app-проверок — два проекта с одинаковым именем через прямой insert невозможно из API после Task 1, поэтому тестируем рендер handler'а на искусственном маршруте)
+
+```php
+<?php
+declare(strict_types=1);
+
+use Illuminate\Support\Facades\Route;
+
+it('renders QueryException as human JSON message, not SQLSTATE', function () {
+    Route::get('/_test/boom-query', function () {
+        throw new \Illuminate\Database\QueryException('pgsql', 'SELECT 1', [], new \Exception('SQLSTATE[23505] duplicate key'));
+    });
+
+    $res = $this->getJson('/_test/boom-query');
+    $res->assertStatus(422);
+    expect($res->json('message'))->not->toContain('SQLSTATE');
+    expect($res->json('message'))->toContain('Не удалось');
+});
+```
+
+- [ ] **Step 2: Запустить — FAIL**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=QueryExceptionRenderTest`
+Expected: FAIL (по умолчанию 500 + SQL-текст в debug).
+
+- [ ] **Step 3: Реализация в `bootstrap/app.php`**
+
+Заменить тело `->withExceptions(function (Exceptions $exceptions): void { // });` на:
+
+```php
+->withExceptions(function (Exceptions $exceptions): void {
+    $exceptions->render(function (\Illuminate\Database\QueryException $e, \Illuminate\Http\Request $request) {
+        \Illuminate\Support\Facades\Log::error('db.query_exception', [
+            'message' => $e->getMessage(),
+            'sql' => $e->getSql(),
+            'path' => $request->path(),
+        ]);
+        if ($request->expectsJson()) {
+            return response()->json([
+                'message' => 'Не удалось сохранить. Проверьте данные или попробуйте ещё раз.',
+            ], 422);
+        }
+
+        return null; // дефолтный рендер для не-JSON
+    });
+})
+```
+
+- [ ] **Step 4: Запустить — PASS**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=QueryExceptionRenderTest`
+Expected: PASS.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/bootstrap/app.php app/tests/Feature/Project/QueryExceptionRenderTest.php
+git commit -m "feat(errors): global QueryException handler returns human message"
+```
+
+---
+
+## Task 4: ProjectService::delete() с guard по сделкам (+ снос archive())
+
+**Files:**
+
+- Modify: `app/app/Services/Project/ProjectService.php` (+`delete()`, −`archive()`, bulk `archive`→`delete`)
+- Modify: `app/app/Http/Controllers/Api/ProjectController.php` (`destroy`→`delete`)
+- Modify: `app/app/Http/Requests/BulkProjectActionRequest.php` (`archive`→`delete`)
+- Test: `app/tests/Feature/Project/ProjectDeleteTest.php`
+
+- [ ] **Step 1: Падающие тесты**
+
+```php
+<?php
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\Tenant;
+use App\Models\User;
+use Illuminate\Support\Facades\DB;
+
+it('hard-deletes an empty project', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = app(\App\Services\Project\ProjectService::class)->create($tenant, [
+        'name' => 'Empty', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ]);
+
+    app(\App\Services\Project\ProjectService::class)->delete($project);
+
+    expect(Project::find($project->id))->toBeNull();
+});
+
+it('blocks delete when project has deals', function () {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $project = app(\App\Services\Project\ProjectService::class)->create($tenant, [
+        'name' => 'WithDeals', 'signal_type' => 'call', 'signal_identifier' => '79991110000',
+        'daily_limit_target' => 5, 'regions' => [], 'delivery_days_mask' => 31,
+    ]);
+    DB::table('deals')->insert([
+        'tenant_id' => $tenant->id, 'project_id' => $project->id, 'phone' => '79990001122',
+        'status' => 'new', 'received_at' => now(), 'created_at' => now(),
+    ]);
+
+    expect(fn () => app(\App\Services\Project\ProjectService::class)->delete($project))
+        ->toThrow(\Illuminate\Http\Exceptions\HttpResponseException::class);
+    expect(Project::find($project->id))->not->toBeNull();
+});
+```
+
+- [ ] **Step 2: Запустить — FAIL**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectDeleteTest`
+Expected: FAIL (метода `delete()` нет).
+
+- [ ] **Step 3: Реализация**
+
+В `ProjectService` добавить `delete()` и удалить `archive()`:
+
+```php
+public function delete(Project $project): void
+{
+    $hasDeals = DB::table('deals')->where('project_id', $project->id)->exists();
+    if ($hasDeals) {
+        throw new HttpResponseException(response()->json([
+            'errors' => ['project' => ['Нельзя удалить проект: по нему есть сделки. Поставьте приём на паузу, чтобы скрыть проект из работы.']],
+        ], 422));
+    }
+
+    // Доноров фиксируем ДО удаления — pivot уйдёт каскадом.
+    $supplierProjectIds = DB::table('project_supplier_links')
+        ->where('project_id', $project->id)
+        ->pluck('supplier_project_id')
+        ->all();
+
+    $project->delete(); // hard delete (Project без SoftDeletes); cascade чистит pivot + служебные.
+
+    if ($supplierProjectIds !== []) {
+        \App\Jobs\Supplier\DeleteSupplierProjectJob::dispatch(array_map('intval', $supplierProjectIds));
+    }
+}
+```
+
+Добавить `use Illuminate\Support\Facades\DB;` в шапку. Удалить метод `archive()`. В `bulkAction()` строку `'archive' => ...` заменить на:
+
+```php
+'delete' => $this->bulkDelete($query),
+```
+
+Добавить `bulkDelete` (guard per-project, не роняет батч):
+
+```php
+private function bulkDelete($query): array
+{
+    $projects = (clone $query)->get(['id']);
+    $deleted = 0; $skipped = [];
+    foreach ($projects as $p) {
+        $model = Project::find($p->id);
+        if ($model === null) { continue; }
+        try {
+            $this->delete($model);
+            $deleted++;
+        } catch (HttpResponseException) {
+            $skipped[] = ['id' => $p->id, 'reason' => 'has_deals'];
+        }
+    }
+
+    return ['updated' => $deleted, 'skipped' => $skipped, 'warnings' => []];
+}
+```
+
+В `update()` убрать из unset строку `$data['archived_at'],` (колонка уходит в Task 6). В `resolveBulkScope()` ветку match `'archived' => ...` удалить; `'active'`/`'paused'` оставить без `whereNull('archived_at')` (см. Task 6).
+
+В `ProjectController::destroy()` заменить `$this->projects->archive($project);` на `$this->projects->delete($project);` и docblock «soft-archive» → «hard delete (guard по сделкам)».
+
+В `BulkProjectActionRequest`: в `Rule::in([...])` для action `'archive'` → `'delete'`; убрать `'archived'` из `Rule::in(['active','paused','archived'])`.
+
+- [ ] **Step 4: Запустить — PASS** + регрессия bulk
+
+Run: `C:/tools/php83/php.exe artisan test --filter=ProjectDeleteTest`
+Then: `C:/tools/php83/php.exe artisan test --filter=Project`
+Expected: PASS; падений по `archive` нет (если есть старые тесты на archive — обновить на delete в этом же шаге).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/app/Services/Project/ProjectService.php app/app/Http/Controllers/Api/ProjectController.php app/app/Http/Requests/BulkProjectActionRequest.php app/tests/Feature/Project/ProjectDeleteTest.php
+git commit -m "feat(projects): hard delete with deals-guard, replace archive"
+```
+
+---
+
+## Task 5: DeleteSupplierProjectJob — удаление/пере-синк донора с учётом шеринга
+
+**Files:**
+
+- Create: `app/app/Jobs/Supplier/DeleteSupplierProjectJob.php`
+- Test: `app/tests/Feature/Supplier/DeleteSupplierProjectJobTest.php`
+
+- [ ] **Step 1: Падающие тесты** (mock `SupplierPortalClient`)
+
+```php
+<?php
+declare(strict_types=1);
+
+use App\Jobs\Supplier\DeleteSupplierProjectJob;
+use App\Jobs\Supplier\SyncSupplierProjectsJob;
+use App\Models\Project;
+use App\Models\SupplierProject;
+use App\Models\Tenant;
+use App\Services\Supplier\SupplierPortalClient;
+use Illuminate\Support\Facades\Bus;
+use Illuminate\Support\Facades\DB;
+
+it('deletes donor at supplier when no consumers remain', function () {
+    $sp = SupplierProject::create(['platform' => 'B1', 'signal_type' => 'call', 'unique_key' => '79991110000', 'supplier_external_id' => '555', 'current_limit' => 1]);
+
+    $mock = Mockery::mock(SupplierPortalClient::class);
+    $mock->shouldReceive('deleteProject')->once()->with(555);
+    app()->instance(SupplierPortalClient::class, $mock);
+
+    (new DeleteSupplierProjectJob([$sp->id]))->handle(app(SupplierPortalClient::class));
+
+    expect(SupplierProject::find($sp->id))->toBeNull();
+});
+
+it('does NOT delete donor at supplier when other consumers remain; re-syncs', function () {
+    Bus::fake([SyncSupplierProjectsJob::class]);
+    $tenant = Tenant::factory()->create(['balance_leads' => 100]);
+    $sp = SupplierProject::create(['platform' => 'B1', 'signal_type' => 'call', 'unique_key' => '79991110000', 'supplier_external_id' => '555', 'current_limit' => 1]);
+    $other = Project::factory()->create(['tenant_id' => $tenant->id]);
+    DB::table('project_supplier_links')->insert(['project_id' => $other->id, 'supplier_project_id' => $sp->id, 'subject_code' => null]);
+
+    $mock = Mockery::mock(SupplierPortalClient::class);
+    $mock->shouldNotReceive('deleteProject');
+    app()->instance(SupplierPortalClient::class, $mock);
+
+    (new DeleteSupplierProjectJob([$sp->id]))->handle(app(SupplierPortalClient::class));
+
+    expect(SupplierProject::find($sp->id))->not->toBeNull();
+    Bus::assertDispatched(SyncSupplierProjectsJob::class);
+});
+```
+
+- [ ] **Step 2: Запустить — FAIL**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=DeleteSupplierProjectJobTest`
+Expected: FAIL (класса нет).
+
+- [ ] **Step 3: Реализация джоба**
+
+```php
+<?php
+declare(strict_types=1);
+
+namespace App\Jobs\Supplier;
+
+use App\Models\SupplierProject;
+use App\Services\Supplier\SupplierPortalClient;
+use Illuminate\Bus\Queueable;
+use Illuminate\Contracts\Queue\ShouldQueue;
+use Illuminate\Foundation\Bus\Dispatchable;
+use Illuminate\Queue\InteractsWithQueue;
+use Illuminate\Queue\SerializesModels;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Log;
+
+/**
+ * Удаление/пере-синк доноров у поставщика после удаления Лидерра-проекта.
+ *
+ * Для каждого supplier_project S (донора), к которому был привязан удалённый проект:
+ *   - остались другие потребители (project_supplier_links) → донор нужен другим клиентам:
+ *     НЕ удаляем у поставщика, пере-синкаем агрегат (SyncSupplierProjectsJob).
+ *   - потребителей не осталось → удаляем у поставщика (deleteProject) + локальную запись S.
+ *
+ * Spec: docs/superpowers/specs/2026-05-21-project-delete-dedup-errors-design.md §Решение 2.
+ */
+class DeleteSupplierProjectJob implements ShouldQueue
+{
+    use Dispatchable, InteractsWithQueue, Queueable, SerializesModels;
+
+    public int $tries = 3;
+
+    public int $backoff = 60;
+
+    public const DB_CONNECTION = 'pgsql_supplier';
+
+    /** @param array<int,int> $supplierProjectIds */
+    public function __construct(public array $supplierProjectIds) {}
+
+    public function handle(SupplierPortalClient $client): void
+    {
+        $needsResync = false;
+
+        foreach ($this->supplierProjectIds as $id) {
+            $sp = SupplierProject::on(self::DB_CONNECTION)->find($id);
+            if ($sp === null) {
+                continue;
+            }
+
+            $remaining = DB::connection(self::DB_CONNECTION)
+                ->table('project_supplier_links')
+                ->where('supplier_project_id', $id)
+                ->count();
+
+            if ($remaining > 0) {
+                $needsResync = true;
+                continue;
+            }
+
+            if ($sp->supplier_external_id !== null && $sp->supplier_external_id !== '') {
+                try {
+                    $client->deleteProject((int) $sp->supplier_external_id);
+                } catch (\Throwable $e) {
+                    Log::warning('supplier.delete_donor_failed', ['supplier_project_id' => $id, 'error' => $e->getMessage()]);
+                    throw $e; // ретрай джоба
+                }
+            }
+            $sp->delete();
+        }
+
+        if ($needsResync) {
+            SyncSupplierProjectsJob::dispatch();
+        }
+    }
+}
+```
+
+- [ ] **Step 4: Запустить — PASS**
+
+Run: `C:/tools/php83/php.exe artisan test --filter=DeleteSupplierProjectJobTest`
+Expected: PASS (2 теста).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/app/Jobs/Supplier/DeleteSupplierProjectJob.php app/tests/Feature/Supplier/DeleteSupplierProjectJobTest.php
+git commit -m "feat(supplier): delete/re-sync donor on project delete respecting sharing"
+```
+
+---
+
+## Task 6: Снос archived_at — модель/ресурс/синк/дашборд/контроллер + миграция
+
+**Files:**
+
+- Modify: `app/app/Models/Project.php` (−scopeArchived, scopeActive, fillable+cast `archived_at`)
+- Modify: `app/app/Http/Resources/ProjectResource.php` (−`archived_at`)
+- Modify: `app/app/Http/Controllers/Api/ProjectController.php` (index `status=archived`/`active()`)
+- Modify: `app/app/Http/Controllers/Api/DashboardController.php` (−`whereNull('archived_at')`)
+- Modify: `app/app/Jobs/Supplier/SyncSupplierProjectsJob.php` (−`whereNull('archived_at')`)
+- Create: `app/database/migrations/2026_05_21_000000_drop_projects_archived_at.php`
+- Modify: `db/schema.sql` (убрать строку `archived_at` из projects + header v8.27) + `db/CHANGELOG_schema.md`
+- Test: запуск всей backend-регрессии
+
+- [ ] **Step 1: Миграция**
+
+```php
+<?php
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Support\Facades\DB;
+
+return new class extends Migration {
+    public function up(): void
+    {
+        DB::statement('ALTER TABLE projects DROP COLUMN IF EXISTS archived_at');
+    }
+
+    public function down(): void
+    {
+        DB::statement('ALTER TABLE projects ADD COLUMN archived_at TIMESTAMPTZ NULL');
+    }
+};
+```
+
+- [ ] **Step 2: Чистка кода**
+
+- `Project.php`: удалить `'archived_at'` из `$fillable` и из casts; удалить методы `scopeArchived` и `scopeActive` (scope `scopeActiveOnDay` — НЕ трогать, это про день недели). После удаления заменить всех вызывающих `->active()` на чистый query:
+  - `ProjectService::create()` лимит-проверка: `Project::where('tenant_id', $tenant->id)->active()->count()` → `Project::where('tenant_id', $tenant->id)->count()` (после сноса архива «активные» = все проекты тенанта).
+  - `ProjectController::index()` — см. ниже.
+  Проверить `grep -rn "->active(" app/app` после правок (должны остаться только `scopeActiveOnDay`/`PricingTier`/`SupplierProject`).
+- `ProjectResource.php`: удалить строку `'archived_at' => ...`.
+- `ProjectController::index()`: удалить ветку `if ($status === 'archived')`; для `active`/`paused`/default убрать вызовы `->active()`/`->archived()` (фильтрация только по `is_active`).
+- `DashboardController.php:77`: убрать `->whereNull('archived_at')`.
+- `SyncSupplierProjectsJob.php:89`: убрать `->whereNull('archived_at')`.
+
+- [ ] **Step 3: schema.sql + CHANGELOG**
+
+В `db/schema.sql` удалить строку `archived_at TIMESTAMPTZ NULL,` из `CREATE TABLE projects`; обновить header-комментарий → v8.27 (drop projects.archived_at). В `db/CHANGELOG_schema.md` добавить запись v8.27.
+
+- [ ] **Step 4: Прогнать миграцию на dev + регрессия**
+
+Run:
+
+```
+C:/tools/php83/php.exe artisan migrate
+C:/tools/php83/php.exe artisan test --filter=Project
+composer stan
+```
+
+Expected: миграция OK; тесты зелёные; Larastan 0 (или обновить baseline, если всплыло legacy).
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/app/Models/Project.php app/app/Http/Resources/ProjectResource.php app/app/Http/Controllers/Api/ProjectController.php app/app/Http/Controllers/Api/DashboardController.php app/app/Jobs/Supplier/SyncSupplierProjectsJob.php app/database/migrations/2026_05_21_000000_drop_projects_archived_at.php db/schema.sql db/CHANGELOG_schema.md
+git commit -m "refactor(projects): remove archive feature, drop archived_at column (schema v8.27)"
+```
+
+---
+
+## Task 7: Фронтенд — «Архивировать» → «Удалить»
+
+**Files:**
+
+- Modify: `app/resources/js/stores/projectsStore.ts` (`archive`→`del`, bulk type, `archived_at` из интерфейса)
+- Modify: `app/resources/js/components/projects/BulkActionsBar.vue`
+- Modify: `app/resources/js/components/projects/ProjectCard.vue`
+- Modify: `app/resources/js/components/projects/ProjectDetailsDrawer.vue`
+- Modify: `app/resources/js/views/ProjectsView.vue` (фильтр «Архивные», `@archive`→`@delete`)
+- Test: `app/resources/js/stores/projectsStore.spec.ts` (или существующий) + затронутые spec'и
+
+- [ ] **Step 1: Падающий тест стора**
+
+В spec проверить, что метод удаления дёргает `DELETE /api/projects/{id}`:
+
+```ts
+it('delete() calls DELETE /api/projects/{id}', async () => {
+    const store = useProjectsStore();
+    vi.spyOn(axios, 'delete').mockResolvedValue({ data: null });
+    vi.spyOn(axios, 'get').mockResolvedValue({ data: { data: [], meta: { total: 0 } } });
+    await store.del(7);
+    expect(axios.delete).toHaveBeenCalledWith('/api/projects/7');
+});
+```
+
+- [ ] **Step 2: Запустить — FAIL**
+
+Run: `npm --prefix app run test:vue -- projectsStore`
+Expected: FAIL (`del` не существует).
+
+- [ ] **Step 3: Реализация фронта**
+
+- `projectsStore.ts`: переименовать `archive`→`del` (метод + return); в `bulkAction`/`BulkPayload` тип `'archive'`→`'delete'`; убрать `archived_at` из `interface Project`.
+- `BulkActionsBar.vue`: кнопка «Архивировать»→«Удалить» (`data-testid="bulk-delete"`, иконка `mdi-delete`→Lucide `Trash2` через IconSet), confirm-текст про удаление; `confirmAndRun('delete')`; тип union `'pause'|'resume'|'delete'`.
+- `ProjectCard.vue`: пункт меню «Архивировать»→«Удалить» (иконка `mdi-delete`), `$emit('delete', project)`; emit-тип `delete: [project: Project]`.
+- `ProjectDetailsDrawer.vue`: «Архивировать проект?»→«Удалить проект? Действие необратимо.»; `store.del(props.project.id)`.
+- `ProjectsView.vue`: `@archive`→`@delete="(p) => store.del(p.id)"`; убрать `{ title: 'Архивные', value: 'archived' }` из фильтра статусов.
+
+NB: иконки — через существующий IconSet mapping в `plugins/vuetify.ts` (`mdi-delete`→`Trash2`); если маппинга нет — добавить.
+
+- [ ] **Step 4: Запустить — PASS + тип-чек + сборка**
+
+Run:
+
+```
+npm --prefix app run test:vue
+npm --prefix app run type-check
+npm --prefix app run build
+```
+
+Expected: тесты зелёные (обновить spec'и, где был `archive`/`archived`); type-check 0; build OK.
+
+- [ ] **Step 5: Commit**
+
+```bash
+git add -- app/resources/js/stores/projectsStore.ts app/resources/js/components/projects/BulkActionsBar.vue app/resources/js/components/projects/ProjectCard.vue app/resources/js/components/projects/ProjectDetailsDrawer.vue app/resources/js/views/ProjectsView.vue
+git commit -m "feat(projects-ui): replace archive with delete, drop archived filter"
+```
+
+---
+
+## Task 8: Живая проверка всех 4 задач + чистка тестовых данных
+
+Среда: portal `serve` :8000 + `queue:work` (запустить, если не идёт). Демо tenant 1 (`admin@demo.local`/`password`).
+
+- [ ] **Шаг 1 (задача 4 — человеческие ошибки):** создать проект с именем существующего → ожидать понятное 422-сообщение (не SQL). Создать проект с именем-дублем через UI/`tinker` POST → проверить тело ответа.
+- [ ] **Шаг 2 (задача 3 — дедуп источника):** в рамках tenant 1 создать 2-й проект на тот же `signal_identifier` → ожидать «У вас уже есть проект с этим источником…».
+- [ ] **Шаг 3 (задача 2 — шеринг):** под другим тенантом создать проект с тем же источником → проходит (демонстрация «ок»).
+- [ ] **Шаг 4 (задача 1 — удаление):** удалить пустой проект → исчез; удалить проект со сделкой → блок с сообщением, проект жив. Если есть привязка к донору и других потребителей нет → проверить, что `DeleteSupplierProjectJob` удалил донора у поставщика (или пере-синкнул при наличии других).
+- [ ] **Шаг 5 (чистка):** удалить все тестовые проекты/сделки/доноров, созданные в шагах 1–4; вернуть БД к чистому демо; зафиксировать в отчёте, что изменилось.
+
+(Verify-skill: каждый шаг — реальный рантайм, capture результата; затем cleanup.)
+
+---
+
+## Финальная регрессия (после всех задач)
+
+Run (из корня/`app/`):
+
+```
+C:/tools/php83/php.exe artisan test
+npm --prefix app run test:vue
+npm --prefix app run type-check
+npm --prefix app run build
+composer pint && composer stan
+```
+
+Все зелёные → готово к push (`git push origin <ветка>:main`) по решению заказчика.

docs/superpowers/specs/2026-05-21-a8-infosec-tooling-design.md

@@ -0,0 +1,187 @@
+# A8 infosec-tooling integration — design
+
+**Дата:** 2026-05-21
+**Раздел карты:** A8 «Информационная безопасность»
+**Тип:** off-phase tooling integration (как A11 / C10 / discovery / finance / A1)
+**Статус:** design (на утверждение заказчика)
+**Триггер:** портал Лидерра подходит к публичному запуску в интернете; заказчик попросил подобрать 5–7 плагинов (GitHub + Anthropic), закрывающих потребности безопасности портала.
+
+> **ПОПРАВКА 2026-05-21 (узел #70):** Enlightn заменён на **Ward** (`Eljakani/ward`, Go, MIT) по итогам Task 1 IS9-вета — Enlightn оказался abandoned и без поддержки Laravel 13; заказчик выбрал «подобрать замену». Ward — Go-бинарь (не Composer dev-dep), не зависит от версии Laravel, та же ниша (config security scanner). Полное обоснование — `docs/security/infosec-vet.md` §«ПЕРЕСМОТР #70». Ниже по тексту «Enlightn» в слоте #70 читать как «Ward»; тип меняется с «Composer dev-dep» на «Go-бинарь CLI»; граница IS3 сохраняется.
+
+---
+
+## 1. Контекст и проблема
+
+Раздел A8 «Информационная безопасность» на карте `docs/automation-graph-data.js` (строка `{ id: 'A8', ... label: 'Информационная безопасность' }`) **формально существует, но дедицированных узлов не имеет**. В него только кросс-тегированы уже существующие фазовые инструменты:
+
+- `mcp_semgrep` → A8 (Semgrep MCP #25, статический анализ кода, фаза 3);
+- `lh_gitleaks` / `lh_gitleaks2` → A8 (gitleaks #8, поиск секретов, pre-commit + pre-push).
+
+То есть раздел про защиту портала перед выходом в интернет — **пустой лист**.
+
+**Уже покрыто существующим тулчейном (НЕ дублировать — §5 п.6 «один инструмент на задачу»):**
+
+- Статический анализ кода — Semgrep #25, Larastan #12, Trail of Bits `static-analysis` (CodeQL/Semgrep) #39.
+- Секреты — gitleaks #8.
+- Зависимости / CVE — Dependabot #27, Trivy #26 (контейнеры), Trail of Bits `supply-chain-risk-auditor` #39, GitHub MCP advisory-инструменты.
+- Inline-предупреждения уязвимостей при правке — Security Guidance #40 (блокирующий PreToolUse-хук).
+- Аудит-кампании и риски — Trail of Bits #39, `/security-review`, `audit-portal` (раздел **D3**).
+- БД-аудит и маскирование — pg_audit #28, pg_anonymizer #29.
+- Изоляция арендаторов — RLS (ADR-002, 39 политик, 5 ролей).
+
+**Дефициты чистого A8** (технические инструменты защиты *самого работающего портала* — отдельно от процесса аудита D3, статики кода, БД-инструментов):
+
+1. **Динамическая «боевая» проверка работающего портала (DAST)** — отсутствует полностью. Весь текущий арсенал статичен (читает код/конфиг/БД) — никто не «атакует» запущенный портал снаружи (обход входа, инъекции, XSS на живых endpoint'ах). **Главный пробел перед выходом в интернет.**
+2. **Широкая проверка на известные уязвимости и небезопасную внешнюю экспозицию** (known-CVE / открытые двери / слабый TLS) — нет.
+3. **Laravel-специфичная безопасность конфигурации** (заголовки, режим отладки, утечки настроек, флаги cookie, права файлов) — не покрыта (Semgrep = generic-паттерны, Larastan = типы).
+4. **Защита персональных данных + соответствие 152-ФЗ** — нет дедицированного инструмента; критично для публичного РФ-портала с ПДн (телефоны лидов, данные клиентов).
+5. **Моделирование угроз под выход в интернет** (STRIDE, карта точек входа, что меняется при публичной экспозиции) — нет.
+6. **Единый go-live security-gate** (один воспроизводимый прогон «можно/нельзя в прод» по безопасности) — нет.
+
+**Источник «Anthropic vs GitHub»:** Anthropic-side security-арсенал уже интегрирован в D3 (Security Guidance хук + `/security-review` + Trail of Bits marketplace-субсет). DAST-движка и Laravel-сканера у Anthropic нет → внешние GitHub-инструменты обоснованы. Для 152-ФЗ и угроз-под-наш-портал готового (которое знает РФ-закон и устройство Лидерры) не существует → self-authored.
+
+**Подтверждённый риск ecosystem'а (влияет на дизайн):** исследование Snyk «ToxicSkills» + разборы SentinelOne и Cato CTRL (2025): **≈13% security-скилов из маркетплейсов содержат критичные дефекты, часть пытается красть учётные данные.** Установка непроверенного security-скила в раздел про безопасность сама по себе риск-провал (прямая аналогия отложенным «community-аудиторам с непроверенным происхождением» — ADR-003). Отсюда — **провенанс-гейт IS9** на каждый внешний инструмент.
+
+## 2. Scope
+
+6 новых узлов A8, новая **17-я off-phase подкатегория «infosec-tooling»**, номера Tooling **#68–#73** (продолжение после backend-tooling #64–67):
+
+| ID карты | # | Узел | Источник | Тип |
+|---|---|---|---|---|
+| `mcp_zap` | 68 | OWASP ZAP (MCP) | GitHub — официальный ZAP «MCP Integration» add-on (OWASP) / `dtkmn/mcp-zap-server` (Apache-2.0) | внешний, MCP |
+| `mcp_nuclei` | 69 | Nuclei (MCP) | GitHub `projectdiscovery/nuclei` (MIT) + проверенный MCP-wrapper | внешний, MCP |
+| `enlightn` | 70 | Enlightn | GitHub `enlightn/enlightn` (OSS, 60 проверок, LGPL; security-checker MIT), Composer dev-dep | внешний, CLI |
+| `sk_pdn_152fz` | 71 | Скил «ПДн / 152-ФЗ» | self-authored project-скил | свой |
+| `sk_threat_model` | 72 | Скил «Моделирование угроз» | self-authored project-скил | свой |
+| `sk_security_golive` | 73 | Скил «Прогон перед публикацией» | self-authored project-скил | свой |
+
+**Решение заказчика по подходу (зафиксировано, §12):** «всё готовое» для движков (#68–70), «свои» для двух project-specific слотов (#71–72); #73 добавлен как свой оркестратор go-live.
+
+### Out of scope (осознанно отброшено / отдельный слой)
+
+- **Готовые маркетплейс-скилы «threat-modeling» / «compliance»** (fr33d3m0n, josemlopez, и пр.) — отброшены для слотов #71/#72: дают generic-методику (GDPR/SOC2, не 152-ФЗ; не знают устройство Лидерры) + несут риск ToxicSkills. Берём как *референс при написании своих*, не как установку.
+- **Серверный слой защиты боевого портала** (WAF, rate-limit/anti-brute-force, DDoS, intrusion monitoring, secrets vault, TLS/HSTS/CSP, бэкапы + IR-runbook) — **не плагины**, в набор A8 не входят; фиксируются как открытые вопросы инфраструктуры (§9), реализуются отдельно (привязка к Б-1).
+- **Платные / commercial-tier** (Enlightn Pro 131 проверка, Snyk платный, ProjectDiscovery Cloud) — берём только OSS-уровень (РФ-резидентность данных, near-zero cost).
+- **Дедицированный новый dependency/SBOM-инструмент** — не добавляем: зависимости уже покрыты Dependabot #27 + Trivy #26 + ToB supply-chain #39 + GitHub MCP advisory (дубль по §5 п.6).
+
+## 3. Дизайн узлов
+
+### #68 OWASP ZAP (`mcp_zap`)
+
+- **Назначение:** глубокая динамическая («боевая») проверка работающего портала — spider/crawl + active scan: обход аутентификации, инъекции (SQLi), XSS, небезопасные редиректы, проблемы сессий/CSRF на живых endpoint'ах.
+- **Кандидаты (выбор по IS9-вету, Spike 1):** официальный ZAP «MCP Integration» add-on (провенанс OWASP — чистейший) либо `dtkmn/mcp-zap-server` (Apache-2.0, Spring Boot, экспонирует ZAP по MCP). Регистрация в `.mcp.json`.
+- **Цель сканирования (IS8-гард):** по умолчанию — **локальная/тестовая копия портала** (native-Windows dev на localhost). Боевой сервер — только осознанно и аккуратно (заказчик выбрал полный объём; гард в SKILL'е #73 и в SKILL.md ZAP-обвязки).
+- **Постура:** ручной / on-demand (никогда не в pre-commit хук — тяжёлый, требует запущенного таргета).
+- **Граница (ADR-014):** ZAP (динамика, бьёт работающий портал) ≠ Semgrep #25 (статика, читает исходники) — разные классы (IS1).
+
+### #69 Nuclei (`mcp_nuclei`)
+
+- **Назначение:** широкая быстрая проверка снаружи по YAML-шаблонам — известные CVE, дефолтные креды, открытые двери/порты, утечки конфигов, слабый TLS, fingerprint-уязвимости стека.
+- **Кандидаты (Spike 1, IS9):** движок `projectdiscovery/nuclei` (MIT, очень известный) + проверенный MCP-wrapper (`cyproxio/mcp-for-security` nuclei-mcp / `addcontent/nuclei-mcp`) либо запуск CLI через тонкую обвязку. Выбор wrapper'а по провенансу.
+- **Постура:** ручной / on-demand; таргет — тот же гард IS8.
+- **Граница (ADR-014):** Nuclei (широта — известные дыры/экспозиция по шаблонам) ≠ ZAP (глубина — логика приложения, активные инъекции) — комплементарны, не дубль (IS2).
+
+### #70 Enlightn (`enlightn`)
+
+- **Назначение:** Laravel-специфичная проверка безопасности конфигурации и кода — заголовки (CSP/HSTS/X-Frame), `APP_DEBUG` в проде, утечки `.env`/настроек, флаги cookie (Secure/HttpOnly/SameSite), права файлов, CSRF, mass-assignment, встроенный dependency-чек.
+- **Источник:** `enlightn/enlightn` в `app/composer.json` `require-dev` — **OSS-уровень (60 проверок)**, конфиг `app/config/enlightn.php`.
+- **Постура:** on-demand / CI (`php artisan enlightn`), **НЕ блокирующий lefthook** (паттерн Rector/PHP Insights — не множить гейты на коммите). Реюз: показатель в `audit-portal` + в #73.
+- **Граница (ADR-014):** Enlightn (настройки/конфигурация Laravel) ≠ Larastan #12 (типы) / Semgrep #25 (generic-паттерны) — разные оси (IS3). Dependency-чек Enlightn — реюз-наложение с Dependabot/Trivy, не дедуплицируем (информационно, не гейт).
+
+### #71 Скил «ПДн / 152-ФЗ» (`sk_pdn_152fz`)
+
+- Self-authored project-скил `.claude/skills/pdn-152fz-audit/` (паттерн `billing-audit` / `ru-tax-accounting`): `SKILL.md` + `references/` + `evals/`.
+- **Режим 1 — технический аудит ПДн:** проход по `db/schema.sql` и коду — где лежат ПДн (телефоны лидов, данные клиентов-арендаторов); под RLS ли; маскируются ли в дампах (pg_anonymizer #29); не утекают ли в логи / Sentry / экспорты CSV / `import_log`; шифрование чувствительных полей.
+- **Режим 2 — соответствие 152-ФЗ:** чек-лист — хранение в РФ (Yandex Cloud `ru-central1` ✓), согласия на обработку, сроки хранения и удаление, реестр обработки ПДн, уведомление РКН, права субъекта (в схеме уже есть `pd_subject_request` + функция `set_pd_subject_request_deadline`).
+- Результат — отчёт в `docs/security/` (новая home-директория раздела A8).
+- **Граница (ADR-014):** скил (аудит + чек-лист закона, направление) ≠ pg_anonymizer #29 (инструмент маскирования) (IS4); скил (техника + 152-ФЗ-чек-лист) ≠ D2/юрист (юридическое оформление: договоры, политики, согласия как документы) (IS5).
+
+### #72 Скил «Моделирование угроз» (`sk_threat_model`)
+
+- Self-authored project-скил `.claude/skills/threat-model/`.
+- STRIDE под наш портал (не generic): карта точек входа (форма входа, регистрация/2FA/recovery, вебхуки поставщика лидов, deals API, админка, impersonation, импорт CSV); что меняется при выходе в интернет (раньше — контур своих, теперь — произвольный внешний актор); приоритизация — что защищать первым.
+- Результат — отчёт `docs/security/threat-model-*.md`.
+- **Граница (ADR-014):** скил (наш портал, STRIDE, going-public) ≠ Trail of Bits `audit-context-building` #39 (generic deep code-audit) (IS6).
+
+### #73 Скил «Прогон перед публикацией» (`sk_security_golive`)
+
+- Self-authored project-скил `.claude/skills/security-go-live/` (паттерн `audit-portal`, но узко про безопасность).
+- Единый go-live security-gate: оркеструет #68 ZAP + #69 Nuclei + #70 Enlightn + #71 ПДн + #72 угрозы + уже имеющиеся Semgrep #25 / Trivy #26 / gitleaks #8 / Trail of Bits #39 → собирает один вердикт «можно / нельзя в прод» с уровнями серьёзности.
+- **Граница (ADR-014):** #73 (только безопасность, go-live-вердикт) ≠ `audit-portal` (полный 14-фазный аудит портала, включает не-security фазы) (IS7); #73 *вызывает* D3-инструменты, не заменяет их.
+
+## 4. Роутер footprint (ADR-011 brain governance)
+
+- **`docs/router-procedure.md`** v1.2 → **v1.3**: без изменения процедуры; bump cross-ref-строк под новый набор узлов (шаг 3 читает 9-атрибутный реестр Tooling).
+- **`docs/routing-off-phase.md`** v1.3 → **v1.4**: +6 строк routing-таблицы (триггер → узел) для #68–73 + новая каноническая связка **L15 «security go-live chain»**: #73 (оркестратор) → #68 ZAP / #69 Nuclei / #70 Enlightn / #71 ПДн / #72 угрозы + D3 (#39/#25/#26/#8/#40). Anti-pattern: не запускать ZAP/Nuclei в pre-commit хук (тяжёлые, требуют таргета); не путать #73 (security go-live) с `audit-portal` (полный аудит).
+- **9-атрибутный реестр** (Tooling Прил. Н §4.43–4.48) — вход роутера (step 3): каждый узел получает полный 9-attribute блок.
+
+## 5. Наблюдатель footprint (ADR-011 / observer factor-analysis)
+
+- **9-атрибутные «Атрибуты»-блоки** на 6 новых узлах в Tooling Прил. Н (как finance §4.36–38 / backend §4.39–42) — кормят и роутер, и факторный анализ наблюдателя.
+- **Контролёры:**
+  - **C1 l1-watcher** (lefthook job 11, STRICT): новые MCP-серверы ZAP/Nuclei в `.mcp.json` обязаны иметь формализацию в Tooling Прил. Н — иначе блок коммита. Групповые/human-имена → alias в `tools/.l1-watcher-aliases.txt`.
+  - **C2 cross-ref-checker** (lefthook job 12, STRICT): требует **атомарного version-bump-набора** (Tooling / PSR_v1 / Pravila / CLAUDE.md в одном коммите нормативки) — иначе drift и блок коммита.
+- Новые узлы становятся видимы факторному анализу `/brain-retro`.
+
+## 6. Нормативный footprint (атомарный набор)
+
+- **Tooling Прил. Н** v2.19 → **v2.20**: §4.43–4.48 (#68–73 + 9-атрибутные блоки) + §0 счётчик 67 → 73 + 17-я off-phase подкатегория infosec-tooling.
+- **PSR_v1** v3.19 → **v3.20**: R10.1 Блок 1/2/3 +6 строк (внешние ZAP/Nuclei/Enlightn + 3 своих скила; не UI → вне R6/R14).
+- **Pravila** v1.35 → **v1.36**: §13.2 +абзац «Off-phase infosec-tooling».
+- **CLAUDE.md** v2.22 → **v2.23**: §3.3 +#68–73, §6 +абзац фазы, §9 +запись (через прямой Edit — worktree-эксцепшн §5 п.10, прецедент A11/C10/discovery/finance/A1).
+- **ADR-014** — границы узлов + коды конфликт-аудита IS1–IS9 (§8).
+
+## 7. Карта footprint
+
+- `docs/automation-graph-data.js`: +6 узлов в `NODE_SECTION` (все A8), рёбра (6 узлов + L15-связка-оркестрация от #73 + reuse-кросс-рефы на Semgrep/Trivy/gitleaks/ToB/pg_anonymizer), версии-метки в шапке (v1.36/v2.23/v3.20/v2.20), счётчики узлов/рёбер.
+- Browser-smoke карты после правки (как iter9 / finance / A1).
+
+## 8. Конфликт-аудит (коды IS — для ADR-014)
+
+- **IS1** ZAP #68 ↔ Semgrep #25: динамика (бьёт работающий портал) vs статика (читает код) — разные классы.
+- **IS2** Nuclei #69 ↔ ZAP #68: широта (известные дыры / экспозиция по шаблонам) vs глубина (логика приложения / активные инъекции) — комплементарны.
+- **IS3** Enlightn #70 ↔ Larastan #12 / Semgrep #25: настройки/конфигурация Laravel vs типы / generic-паттерны.
+- **IS4** скил «ПДн» #71 ↔ pg_anonymizer #29: аудит + направление (где ПДн, всё ли закрыто) vs инструмент маскирования.
+- **IS5** скил «ПДн» #71 ↔ D2/юрист: техника + 152-ФЗ-чек-лист vs юридическое оформление документов.
+- **IS6** скил «Угрозы» #72 ↔ Trail of Bits `audit-context-building` #39: наш портал + STRIDE + going-public vs generic deep code-audit.
+- **IS7** скил «Прогон» #73 ↔ `audit-portal`: только безопасность + go-live-вердикт vs полный 14-фазный аудит; #73 *вызывает* D3, не заменяет.
+- **IS8** «боевая» проверка (#68/#69) на бою: гард — по умолчанию локальная/тестовая копия; бой только осознанно и аккуратно (заказчик выбрал полный объём).
+- **IS9** провенанс-гейт: каждый внешний (ZAP/Nuclei/Enlightn) перед установкой читается и проверяется на происхождение (риск ≈13% ToxicSkills) — расширение процедуры `docs/audit/` attack-surface.
+
+## 9. Серверный слой (рекомендации к инфраструктуре — НЕ плагины)
+
+Заказчик выбрал «и мои инструменты, и серверная защита». Серверная защита плагином быть не может — фиксируется как открытые вопросы инфраструктуры (вероятно префикс DO-/SEC-, привязка к Б-1), реализуется отдельно:
+
+1. **WAF** — Yandex Cloud Smart Web Security либо Coraza/ModSecurity.
+2. **Anti-brute-force / rate-limit** — Laravel throttle + серверный rate-limit/fail2ban.
+3. **DDoS-защита** — Yandex Cloud DDoS Protection.
+4. **Мониторинг вторжений** — Sentry #34 (pending Б-1) + серверные алерты/логи.
+5. **Хранилище секретов** — Yandex Lockbox (вместо ключей в файлах).
+6. **TLS / HSTS / CSP** — сертификаты и заголовки на бою (частично проверяется Nuclei #69 / Enlightn #70).
+7. **Бэкапы + регламент реагирования (IR-runbook)** — реюз `operations:runbook` #51.
+
+Эти семь — отдельный раздел спека + новые открытые вопросы; в набор плагинов A8 не входят.
+
+## 10. Spikes / риски (ранние задачи плана)
+
+1. **IS9-вет внешних инструментов** (Spike): провенанс ZAP MCP-кандидата + Nuclei MCP-wrapper + Enlightn (звёзды/мейнтейнер/лицензия, чтение кода) → выбор конкретного источника #68/#69.
+2. **ZAP/Nuclei на native-Windows + локальный таргет** (Spike): запускаются ли движки, видят ли локальный портал; access-path в `.mcp.json`.
+3. **Enlightn baseline-прогон** (Spike): подтверждает состав 60 OSS-проверок, пороги, отсутствие конфликтов с native-Windows стеком.
+4. **Атомарность version-bump** (C2 STRICT) — нормативку коммитить одним набором.
+5. **DAST-safety**: убедиться, что #73/обвязки по умолчанию таргетят локальную копию (IS8).
+
+## 11. Подход к исполнению
+
+- Изолированный `git worktree` от актуального `origin/main` (паттерн A11/C10/finance/A1; Pravila §15 параллельные сессии).
+- Subagent-driven: скилы (#71–73) / ADR-014 / конфиги — Sonnet-субагенты по полным спекам; нормативка / карта / контроллер — Opus.
+- Атомарные коммиты (один логический change → один коммит); финальная регрессия (Pest/Vitest) GREEN перед push.
+- CLAUDE.md правится прямым Edit (worktree-эксцепшн §5 п.10).
+- Каждый внешний инструмент — через IS9-вет до установки.
+
+## 12. Открытые решения заказчика (зафиксировано)
+
+- **Охват** — «и мои инструменты, и серверная защита» (два слоя: A8-узлы + серверные рекомендации §9). ✅ принято 21.05.2026.
+- **ПДн / 152-ФЗ** — включить целиком (техника + соответствие закону), отдельный слот #71. ✅ принято 21.05.2026.
+- **«Боевая» динамическая проверка (DAST)** — да, в полном объёме (включая возможность боя, с гардом IS8). ✅ принято 21.05.2026.
+- **Подход** — «всё готовое» для движков #68–70; «свои» для #71–72 (152-ФЗ и угрозы готовыми полноценно не закрываются — нет РФ-/project-specific готового). ✅ принято 21.05.2026.
+- **Провенанс-гейт** — каждый внешний инструмент проверяется до установки (риск ToxicSkills). ✅ заложено при любом раскладе.

docs/superpowers/specs/2026-05-21-project-delete-dedup-errors-design.md

@@ -0,0 +1,149 @@
+# Удаление проектов вместо архива + дедуп источника + человеческие ошибки
+
+**Дата:** 2026-05-21
+**Статус:** утверждён (заказчик «ок делай»)
+**Ветка исполнения:** worktree от `feat/project-migration-redesign` (origin/main)
+
+## Контекст и проблема
+
+Заказчик при создании проекта получил сырой `SQLSTATE[23505] Unique violation ...
+projects_tenant_id_name_key` в UI. Разбор вскрыл 4 связанных задачи:
+
+1. **Архивация бессмысленна** — если клиенту проект не нужен, хранить его незачем.
+   Сейчас «удаление» (`DELETE /api/projects/{id}`) = мягкая архивация
+   (`ProjectService::archive` → `archived_at`, `is_active=false`). Нужно настоящее удаление.
+2. **Шеринг между клиентами** — два разных клиента могут завести проекты с одинаковыми
+   параметрами/источником. Это корректно (модель шеринга: один донор раздаётся ≤3 клиентам
+   через `LeadRouter`). Менять не нужно — подтвердить.
+3. **Дедуп источника внутри клиента отсутствует** — один клиент может завести 2 проекта на
+   один источник (номер/домен/SMS-отправитель). Нужен запрет.
+4. **Утечка SQL в UI** — `Project::create()` бьётся о DB-констрейнт без перехвата → сырой
+   `SQLSTATE` рендерится пользователю. Нужны человеческие сообщения.
+
+## Ключевые факты кодовой базы (разведка)
+
+- `deals.project_id` — **без FK** (таблица партиционирована, partition-wise FK не
+  поддерживается). Hard-delete проекта НЕ каскадит и НЕ блокируется сделками → они «повиснут».
+  Поэтому удаление проекта со сделками опасно → блокируем (см. Решение 1).
+- `ON DELETE CASCADE` на `projects(id)` имеют только служебные таблицы:
+  `project_supplier_links`, `supplier_manual_sync_queue`, `project_suppliers`,
+  `project_user_assignments`, `project_limit_adjustments`. Их каскад при удалении — норма.
+- Уникальность `projects` на DB-уровне: `projects_tenant_id_name_key` = `(tenant_id, name)`.
+  Дедупа по источнику на DB-уровне нет.
+- Источник проекта: `signal_identifier` (call=телефон `7\d{10}`, site=домен) либо
+  `sms_senders[]` (+ `sms_keyword`) для sms.
+- Шеринг донора: `project_supplier_links` (M:N projects↔supplier_projects) связывает
+  Лидерра-проекты РАЗНЫХ тенантов с одним `supplier_project` (донором). Outbound-синк
+  (`SyncSupplierProjectsJob`) считает агрегатный лимит по всем клиентам источника
+  (`computeOrder = max(max, ceil(Σ/3))`, cap=3).
+- Архив-ссылки (под снос): backend — `ProjectController` (destroy/index/bulk),
+  `ProjectService` (archive/bulk/update/resolveBulkScope), `Project` (scopeActive/scopeArchived,
+  fillable+cast `archived_at`), `ProjectResource`, `DashboardController`,
+  `SyncSupplierProjectsJob`, `BulkProjectActionRequest`. Frontend — `BulkActionsBar`,
+  `ProjectCard`, `ProjectDetailsDrawer`, `ProjectsView`, `projectsStore`.
+
+## Решения (утверждены заказчиком)
+
+### Решение 1 — удаление вместо архива, с защитой по сделкам
+
+- `DELETE /api/projects/{id}` → **hard delete** через новый `ProjectService::delete()`.
+- **Guard:** если по проекту есть хоть одна `deals` (любой статус, включая `deleted_at`-soft)
+  → удаление блокируется HTTP 422 (`{errors:{...}}`/`message`, формат фронта) с сообщением:
+  *«Нельзя удалить проект: по нему есть сделки. Остановите приём (пауза), чтобы скрыть из
+  работы».* Пустой проект (0 сделок) → удаляется насовсем.
+- Архивация убирается **полностью**: код-пути `archive`, scope `archived`, фильтр «Архивные»,
+  bulk-action `archive`. Колонка `archived_at` дропается миграцией (schema bump). Пауза
+  (`is_active`) сохраняется — это отдельный механизм.
+- Bulk: action `archive` → `delete` (с тем же guard'ом per-project; проекты со сделками
+  попадают в `skipped` с причиной, не роняют весь батч).
+
+### Решение 2 — удаление у поставщика с учётом шеринга
+
+При удалении Лидерра-проекта P (тенант T) по источнику X (один или несколько доноров
+B1/B2/B3 через `project_supplier_links`):
+
+1. Удаляем P локально (его `project_supplier_links` уходят каскадом).
+2. Для каждого затронутого `supplier_project` S (донора источника X):
+   - Считаем оставшиеся `project_supplier_links` на S (проекты ДРУГИХ тенантов).
+   - **Остались** → донор нужен другим клиентам → **пере-синк** S (агрегатный лимит/регионы/дни
+     без T) через outbound-синк. У поставщика проект НЕ удаляем.
+   - **Не осталось** (T был последним) → у поставщика **удаляем** донора
+     (`SupplierPortalClient::deleteProject(external_id)`) + удаляем локальную запись
+     `supplier_projects` S.
+3. Внешние вызовы к поставщику — через job (resilience, retry), не inline в HTTP-запросе.
+
+Граничные сценарии:
+
+- P не привязан ни к одному донору (например, синк ещё не прошёл) → шаг 2 пропускается.
+- Несколько доноров (B1/B2/B3) у одного источника → шаг 2 для каждого независимо.
+- Падение удаления у поставщика → job ретраит; локальное удаление P уже выполнено
+  (eventual consistency; «висячий» донор у поставщика подметёт следующий синк/ретрай).
+
+### Решение 3 — дедуп источника внутри клиента
+
+- При создании и при изменении источника: внутри `tenant_id` источник должен быть уникален
+  среди проектов клиента.
+- «Источник» (source key):
+  - call/site → `signal_identifier`;
+  - sms → нормализованный `sms_senders` (сортировка+lower) + `sms_keyword`.
+- Enforcement: app-level проверка в `ProjectService::create()`/`update()` → 422 с сообщением
+  *«У вас уже есть проект с этим источником: "<название>"»*. После сноса архива «существующие
+  проекты» = все проекты клиента (soft-deleted проектов нет — мы их hard-delete'им).
+- DB-уровень: partial unique index как защита-эшелон (опционально, в той же миграции);
+  его нарушение перехватывается общим обработчиком (Решение 4) и не утекает.
+
+### Решение 4 — человеческие ошибки вместо SQL
+
+- App-level pre-checks (до DB): уникальность `name` в рамках клиента + уникальность источника
+  (Решение 3) → 422 `{errors: {field: [msg]}}` (формат, который уже понимает фронт).
+- Глобальный перехват `Illuminate\Database\QueryException` в `bootstrap/app.php`
+  (`withExceptions`): в лог — полный текст; пользователю — generic
+  *«Не удалось сохранить. Проверьте данные или попробуйте ещё раз»* (HTTP 422 для JSON-запросов).
+  Никакой `SQLSTATE` в UI.
+- Фронт `NewProjectDialog`/`projectsStore` — убедиться, что 422 `errors`/`message`
+  показываются как есть (уже умеет; правок минимум).
+
+## Затрагиваемые компоненты
+
+**Backend**
+
+- `ProjectService`: +`delete()` (guard сделок + оркестрация шеринга), −`archive()`,
+  bulk `archive`→`delete`, чистка `archived_at`/`archived` из update/resolveBulkScope,
+  +дедуп источника в create/update.
+- `ProjectController`: `destroy()` → `delete()`, index `status=archived` убрать, bulk doc.
+- `BulkProjectActionRequest`: `archive`→`delete`, status `archived` убрать.
+- `Project` (модель): −scopeArchived, scopeActive упростить/убрать, −`archived_at` fillable+cast.
+- `ProjectResource`: −`archived_at`.
+- `DashboardController`, `SyncSupplierProjectsJob`: убрать `whereNull('archived_at')`.
+- Новый job `DeleteSupplierProjectJob` (или расширение существующего) — удаление донора у
+  поставщика, когда источник остался без потребителей.
+- Миграция: `DROP COLUMN projects.archived_at` (+ опц. partial unique index источника) →
+  schema bump v8.27 + `db/CHANGELOG_schema.md`.
+- `bootstrap/app.php`: глобальный handler `QueryException`.
+
+**Frontend**
+
+- `BulkActionsBar`: «Архивировать»→«Удалить» (+подтверждение/иконка).
+- `ProjectCard`, `ProjectDetailsDrawer`: «Архивировать»→«Удалить».
+- `ProjectsView`: `@archive`→`@delete`, убрать фильтр «Архивные».
+- `projectsStore`: `archive()`→`delete()`, bulk `archive`→`delete`, тип `archived_at` убрать.
+
+## Тестирование (TDD)
+
+- Backend (Pest): delete пустого проекта → 204 + строки нет; delete со сделками → 409/422,
+  проект жив; шеринг — delete последнего потребителя → донор удалён у поставщика (mock client);
+  delete при оставшихся потребителях → донор НЕ удалён, пере-синк; дедуп источника create/update
+  → 422; имя-дубль → 422 (не SQL); глобальный QueryException handler → generic message.
+- Frontend (Vitest): кнопки «Удалить» вместо «Архивировать»; нет фильтра «Архивные»;
+  store.delete дёргает DELETE; ошибка сервера показывается человеческим текстом.
+- Live («проверь на практике» по каждой задаче, затем чистка тестовых данных):
+  1) удаление пустого проекта + блок на проекте со сделками;
+  2) два тенанта с одинаковым источником — создание проходит;
+  3) попытка дубля источника у одного тенанта — отказ с понятным текстом;
+  4) создание дубля имени — человеческое сообщение, не SQL.
+
+## Вне scope (YAGNI)
+
+- Restore/корзина удалённых проектов (удаление окончательное по решению заказчика).
+- Массовая авто-чистка уже-архивированных проектов dev-БД (разовая ручная операция).
+- `StatusPill 'archived'` mapping не трогаем (используется и для статусов сделок).

lefthook.yml

@@ -176,6 +176,18 @@ pre-commit:
         cross-ref-checker detected version drift in §0 cross-refs.
         Update the offending file's cross-ref to match the target's header.
 
+    # 12b. extract-node-dormancy — регенерирует tools/.node-dormancy.json
+    # из Tooling Прил.Н §3.5/§4.X (Pravila §16.4 v1.36, missed-activation
+    # matcher). Учитывает два сигнала: dormant=true в строке атрибутов или
+    # ключевое слово DEFERRED в колонке boundaries. Регенерированный JSON
+    # авто-стейджится — попадает в тот же коммит, что и правки Tooling.
+    - name: extract-node-dormancy
+      glob: "docs/Tooling_v8_3.md"
+      run: node tools/extract-node-dormancy.mjs && git add tools/.node-dormancy.json
+      fail_text: |
+        extract-node-dormancy failed.
+        Проверьте формат 9-attribute table rows в docs/Tooling_v8_3.md.
+
     # 13. observer-of-observer — счётчик чтений docs/observer/ + 54-week self-prune
     # (brain governance C3, ADR-011 spec §6.3). Скрипт всегда exit 0 (warn-only by
     # design). При observer infrastructure не используется >=54 недель — warn.

tools/.node-dormancy.json

@@ -0,0 +1,69 @@
+{
+  "#1": true,
+  "#2": false,
+  "#3": false,
+  "#4": false,
+  "#5": false,
+  "#6": false,
+  "#7": false,
+  "#8": false,
+  "#9": false,
+  "#10": false,
+  "#11": false,
+  "#12": false,
+  "#13": false,
+  "#14": false,
+  "#15": false,
+  "#16": false,
+  "#17": true,
+  "#18": false,
+  "#19": false,
+  "#20": false,
+  "#21": false,
+  "#22": false,
+  "#23": false,
+  "#24": false,
+  "#30": false,
+  "#31": false,
+  "#32": false,
+  "#33": false,
+  "#34": false,
+  "#35": false,
+  "#36": false,
+  "#37": false,
+  "#38": false,
+  "#39": false,
+  "#40": false,
+  "#41": false,
+  "#42": false,
+  "#43": false,
+  "#44": true,
+  "#45": false,
+  "#46": false,
+  "#47": false,
+  "#48": false,
+  "#49": false,
+  "#50": true,
+  "#51": false,
+  "#52": false,
+  "#53": false,
+  "#54": true,
+  "#55": false,
+  "#56": false,
+  "#57": false,
+  "#58": false,
+  "#59": false,
+  "#60": false,
+  "#61": false,
+  "#62": false,
+  "#63": false,
+  "#64": false,
+  "#65": false,
+  "#66": false,
+  "#67": true,
+  "#25": false,
+  "#26": false,
+  "#27": false,
+  "#28": false,
+  "#29": false
+}

tools/brain-retro-analyzer.mjs

@@ -7,6 +7,7 @@
  * Security Guidance #40: pure parsing — no exec/execSync.
  */
 import { readFileSync, existsSync } from 'fs';
+import { detectMissedActivations } from './missed-activations.mjs';
 
 const SIZE_SMALL = 20;
 const SIZE_LARGE = 60;
@@ -192,8 +193,8 @@ export function buildFactorMatrix(episodesWithOutcome) {
   return matrix;
 }
 
-/** Full deterministic aggregation: dedup → infer outcomes → group → chains → matrix. */
-export function analyze(episodes) {
+/** Full deterministic aggregation: dedup → infer outcomes → group → chains → matrix → missed activations. */
+export function analyze(episodes, options = {}) {
   const deduped = dedupeEpisodes(episodes);
   const allNormal = deduped.filter((e) => !e.observer_error);
   // v1 episodes lack environment / prompt_signal / decision_provenance — they
@@ -205,6 +206,8 @@ export function analyze(episodes) {
       episode._inferredOutcome = inferOutcome(episode, eps[i + 1]);
     });
   }
+  const classificationMap = options.classificationMap || {};
+  const dormancy = options.dormancy || {};
   return {
     episodeCount: normal.length,
     v1SkippedCount,
@@ -212,6 +215,7 @@ export function analyze(episodes) {
     tasks: groupEpisodesToTasks(normal),
     causalChains: findCausalChains(normal),
     factorMatrix: buildFactorMatrix(normal),
+    missedActivations: detectMissedActivations(normal, classificationMap, dormancy),
   };
 }
 
@@ -233,7 +237,17 @@ function loadEpisodes(files) {
 }
 
 if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/brain-retro-analyzer.mjs')) {
-  const result = analyze(loadEpisodes(process.argv.slice(2)));
+  const classificationMap = (() => {
+    try {
+      return JSON.parse(readFileSync('tools/observer-classification-map.json', 'utf-8')).map || {};
+    } catch { return {}; }
+  })();
+  const dormancy = (() => {
+    try {
+      return JSON.parse(readFileSync('tools/.node-dormancy.json', 'utf-8'));
+    } catch { return {}; }
+  })();
+  const result = analyze(loadEpisodes(process.argv.slice(2)), { classificationMap, dormancy });
   console.log(JSON.stringify(result, null, 2));
   process.exit(0);
 }

tools/brain-retro-analyzer.test.mjs

@@ -263,3 +263,29 @@ describe('inferOutcome — neutral → soft_success (Task 16)', () => {
     expect(inferOutcome({ events: [] }, { prompt_signal: 'approval' })).toBe('success');
   });
 });
+
+describe('analyze() — missedActivations integration', () => {
+  it('includes missedActivations in the result', () => {
+    const eps = [
+      {
+        schema_version: 2,
+        task_id: 't1',
+        timestamps: { started_at: '2026-05-21T00:00:00Z' },
+        primary_rationale: { node_chosen: 'direct', task_classification: 'refactor' },
+        events: [],
+      },
+    ];
+    const map = { refactor: ['#11'], other: [] };
+    const dormancy = { '#11': false };
+    const result = analyze(eps, { classificationMap: map, dormancy });
+    expect(result.missedActivations).toBeDefined();
+    expect(result.missedActivations.totalMissed).toBe(1);
+    expect(result.missedActivations.byNode).toEqual({ '#11': 1 });
+  });
+
+  it('returns missedActivations.totalMissed=0 when no map/dormancy provided', () => {
+    const eps = [{ schema_version: 2, task_id: 't1', timestamps: { started_at: 'x' }, primary_rationale: { node_chosen: 'direct', task_classification: 'refactor' }, events: [] }];
+    const result = analyze(eps);
+    expect(result.missedActivations.totalMissed).toBe(0);
+  });
+});

tools/extract-node-dormancy.mjs

@@ -0,0 +1,39 @@
+#!/usr/bin/env node
+/**
+ * Tooling Прил.Н dormancy extractor — emits {id: unavailable_bool} JSON for
+ * the missed-activation matcher (Pravila §16.4 conditional rule).
+ *
+ * Two signals (either is sufficient) treat a node as effectively unavailable:
+ *   1. `dormant: true` — Tooling-marked permanent dormancy (e.g. #17 pg_partman,
+ *      native Windows-PG cannot load the extension).
+ *   2. `boundaries` column contains the word DEFERRED — node is registered
+ *      but not active (e.g. #44 Figma MCP "DEFERRED — нет Figma-аккаунта",
+ *      #50 Jupyter MCP, #54 n8n-mcp). The output key is still named "dormant"
+ *      for consumer simplicity — semantics: "node cannot be activated right
+ *      now, exclude from missed-activation counts".
+ *
+ * Parses 9-attribute table rows; ignores headers/separators/templates.
+ *
+ * Security Guidance #40: pure parsing — no exec/execSync.
+ */
+import { readFileSync, writeFileSync } from 'fs';
+
+const ROW_RE = /^\|\s*#(\d+)\s*\|[^|]+\|[^|]+\|[^|]+\|[^|]+\|[^|]+\|([^|]+)\|\s*(true|false)\s*\|[^|]+\|$/gm;
+
+export function extractDormancy(md) {
+  const out = {};
+  for (const m of md.matchAll(ROW_RE)) {
+    const id = `#${m[1]}`;
+    const boundaries = m[2];
+    const tooledDormant = m[3] === 'true';
+    out[id] = tooledDormant || /\bDEFERRED\b/.test(boundaries);
+  }
+  return out;
+}
+
+if (process.argv[1] && process.argv[1].replace(/\\/g, '/').endsWith('/extract-node-dormancy.mjs')) {
+  const src = readFileSync('docs/Tooling_v8_3.md', 'utf-8');
+  const dormancy = extractDormancy(src);
+  writeFileSync('tools/.node-dormancy.json', JSON.stringify(dormancy, null, 2) + '\n');
+  console.log(`[extract-node-dormancy] OK — ${Object.keys(dormancy).length} nodes`);
+}

tools/extract-node-dormancy.test.mjs

@@ -0,0 +1,53 @@
+import { describe, it, expect } from 'vitest';
+import { extractDormancy } from './extract-node-dormancy.mjs';
+
+describe('extractDormancy', () => {
+  it('returns false for a live row (dormant=false, no DEFERRED in boundaries)', () => {
+    const md = [
+      '#### #10 Laravel Boost',
+      '',
+      '**Атрибуты:**',
+      '',
+      '| id | name | kind | phase | subcategory | triggers | boundaries | dormant | last-touched |',
+      '|---|---|---|---|---|---|---|---|---|',
+      '| #10 | Laravel Boost | composer-dep | 1 | — | «SQL, Eloquent» | replaces #1 PG MCP | false | 2026-05-19 |',
+    ].join('\n');
+    expect(extractDormancy(md)).toEqual({ '#10': false });
+  });
+
+  it('returns true when Tooling marks dormant=true', () => {
+    const md = '| #17 | pg_partman | binary-dep | 1 | — | «partition mgmt» | none | true | 2026-05-19 |';
+    expect(extractDormancy(md)).toEqual({ '#17': true });
+  });
+
+  it('returns true when boundaries contains DEFERRED (even if dormant=false)', () => {
+    const md = '| #44 | Figma MCP | mcp | off-phase | design-tooling | «figma extract» | DEFERRED — нет Figma-аккаунта | false | 2026-05-19 |';
+    expect(extractDormancy(md)).toEqual({ '#44': true });
+  });
+
+  it('handles multiple nodes in one pass (mixed signals)', () => {
+    const md = [
+      '| #44 | Figma MCP | mcp | off-phase | design-tooling | «figma extract» | DEFERRED — нет Figma | false | 2026-05-17 |',
+      '| #45 | Universal Icons MCP | mcp | off-phase | design-tooling | «svg search» | non-Lucide | false | 2026-05-17 |',
+    ].join('\n');
+    expect(extractDormancy(md)).toEqual({ '#44': true, '#45': false });
+  });
+
+  it('ignores header/separator rows', () => {
+    const md = [
+      '| id | name | kind | phase | subcategory | triggers | boundaries | dormant | last-touched |',
+      '|---|---|---|---|---|---|---|---|---|',
+    ].join('\n');
+    expect(extractDormancy(md)).toEqual({});
+  });
+
+  it('ignores non-numeric ids (template placeholders)', () => {
+    const md = '| #NN | <name> | <kind> | <phase> | <subcat or —> | «<triggers>» | <ADR-NNN or none> | false | 2026-05-19 |';
+    expect(extractDormancy(md)).toEqual({});
+  });
+
+  it('does NOT match the word DEFERRED inside a longer token (boundary check)', () => {
+    const md = '| #99 | fake | mcp | off | tooling | «t» | NODEFERREDX prefix | false | 2026-05-19 |';
+    expect(extractDormancy(md)).toEqual({ '#99': false });
+  });
+});

tools/missed-activations.mjs

@@ -0,0 +1,46 @@
+#!/usr/bin/env node
+/**
+ * Missed-activation matcher (Pravila §16.4 v1.36 conditional rule).
+ * Pure deterministic — read-only, no exec, no fs.
+ *
+ * An episode is "missed" iff:
+ *   1. schema_version === 2 (v1 lacks factor data)
+ *   2. NOT observer_error
+ *   3. primary_rationale.task_classification ∈ map AND map[c].length > 0
+ *   4. primary_rationale.node_chosen === 'direct' (no explicit node)
+ *   5. AT LEAST ONE recommended node is non-dormant
+ *
+ * Threshold: single episode (per Pravila §16.4 v1.36).
+ * DEFERRED-узлы filtered via dormancy registry (dormancy[id] === true means
+ * unavailable — covers both Tooling-marked dormant nodes and DEFERRED-in-
+ * boundaries nodes, normalized by tools/extract-node-dormancy.mjs).
+ */
+
+export function detectMissedActivations(episodes, classificationMap, dormancy) {
+  const byNode = {};
+  const byClassification = {};
+  let totalMissed = 0;
+
+  for (const e of episodes) {
+    if (!e || e.observer_error) continue;
+    if (e.schema_version !== 2) continue;
+    const pr = e.primary_rationale || {};
+    const cls = pr.task_classification;
+    const chosen = pr.node_chosen;
+    if (!cls || chosen !== 'direct') continue;
+
+    const recommended = classificationMap[cls];
+    if (!Array.isArray(recommended) || recommended.length === 0) continue;
+
+    const live = recommended.filter((id) => dormancy[id] === false);
+    if (live.length === 0) continue;
+
+    totalMissed += 1;
+    byClassification[cls] = (byClassification[cls] || 0) + 1;
+    for (const id of live) {
+      byNode[id] = (byNode[id] || 0) + 1;
+    }
+  }
+
+  return { totalMissed, byNode, byClassification };
+}

tools/missed-activations.test.mjs

@@ -0,0 +1,78 @@
+// tools/missed-activations.test.mjs
+import { describe, it, expect } from 'vitest';
+import { detectMissedActivations } from './missed-activations.mjs';
+
+const map = {
+  refactor: ['#11', '#12', '#43'],
+  bugfix: ['#18', '#34'],
+  feature: ['#19'],
+  other: [],
+};
+const dormancy = { '#11': false, '#12': false, '#43': false, '#18': false, '#34': false, '#19': false };
+
+function ep(classification, node_chosen) {
+  return {
+    schema_version: 2,
+    primary_rationale: { task_classification: classification, node_chosen },
+  };
+}
+
+describe('detectMissedActivations', () => {
+  it('counts an episode with profile classification + node_chosen=direct as missed', () => {
+    const result = detectMissedActivations([ep('refactor', 'direct')], map, dormancy);
+    expect(result.totalMissed).toBe(1);
+    expect(result.byNode).toEqual({ '#11': 1, '#12': 1, '#43': 1 });
+  });
+
+  it('does NOT count episode when the recommended node IS chosen', () => {
+    const result = detectMissedActivations([ep('refactor', '#11')], map, dormancy);
+    expect(result.totalMissed).toBe(0);
+  });
+
+  it('does NOT count episode when classification=other (empty list)', () => {
+    const result = detectMissedActivations([ep('other', 'direct')], map, dormancy);
+    expect(result.totalMissed).toBe(0);
+  });
+
+  it('excludes dormant (DEFERRED) nodes from recommendations', () => {
+    const dorm = { ...dormancy, '#43': true };
+    const result = detectMissedActivations([ep('refactor', 'direct')], map, dorm);
+    expect(result.byNode).toEqual({ '#11': 1, '#12': 1 });
+    expect(result.totalMissed).toBe(1);
+  });
+
+  it('returns totalMissed=0 when ALL recommended nodes are dormant', () => {
+    const dorm = { '#11': true, '#12': true, '#43': true };
+    const result = detectMissedActivations([ep('refactor', 'direct')], map, dorm);
+    expect(result.totalMissed).toBe(0);
+    expect(result.byNode).toEqual({});
+  });
+
+  it('ignores schema v1 episodes (no factor analysis)', () => {
+    const v1 = { schema_version: 1, primary_rationale: { task_classification: 'refactor', node_chosen: 'direct' } };
+    const result = detectMissedActivations([v1], map, dormancy);
+    expect(result.totalMissed).toBe(0);
+  });
+
+  it('ignores observer_error markers', () => {
+    const err = { observer_error: true };
+    const result = detectMissedActivations([err], map, dormancy);
+    expect(result.totalMissed).toBe(0);
+  });
+
+  it('ignores unknown classification (not in map)', () => {
+    const result = detectMissedActivations([ep('unknown-bucket', 'direct')], map, dormancy);
+    expect(result.totalMissed).toBe(0);
+  });
+
+  it('aggregates byClassification breakdown for the report', () => {
+    const eps = [
+      ep('refactor', 'direct'),
+      ep('refactor', 'direct'),
+      ep('bugfix', 'direct'),
+    ];
+    const result = detectMissedActivations(eps, map, dormancy);
+    expect(result.byClassification).toEqual({ refactor: 2, bugfix: 1 });
+    expect(result.totalMissed).toBe(3);
+  });
+});