Merge pull request #49 from CoralMinister/feat/a11y-ci-postgres

ci(a11y): provision full PostgreSQL so 14 authenticated Pa11y routes …
ci(a11y): mkdir storage/framework dirs so file sessions work (fixes 500)
2026-06-03 17:31:22 +03:00 · 2026-06-03 17:25:07 +03:00 · 2026-06-03 17:08:29 +03:00 · 2026-06-03 16:59:26 +03:00 · 2026-06-03 16:40:15 +03:00 · 2026-06-03 16:25:32 +03:00
253 changed files with 500704 additions and 2849 deletions
@@ -66,26 +66,6 @@
          }
        ]
      },
-      {
-        "matcher": "Edit|Write|MultiEdit|NotebookEdit|Bash|Task|Agent",
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node tools/enforce-chain-recommendation.mjs",
-            "timeout": 5
-          }
-        ]
-      },
-      {
-        "matcher": "Edit|Write|MultiEdit|NotebookEdit|Bash|Task|Agent",
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node tools/enforce-override-limit.mjs",
-            "timeout": 5
-          }
-        ]
-      },
      {
        "matcher": "Edit|Write|MultiEdit",
        "hooks": [
@@ -121,8 +101,78 @@
        "hooks": [
          {
            "type": "command",
-            "command": "node tools/enforce-semgrep-security.mjs",
-            "timeout": 10
+            "command": "node tools/enforce-router-gate.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "PowerShell",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-powershell-gate.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "Edit|Write|MultiEdit",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-normative-content-rules.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "Edit|Write",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-tdd-real-test-verifier.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "Edit|Write|MultiEdit|Bash",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-self-debrief-detector.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "AskUserQuestion",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/askuser-cosmetic-detector.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "mcp__.*",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-mcp-classification.mjs",
+            "timeout": 5
+          }
+        ]
+      },
+      {
+        "matcher": "Read",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-read-path-deny.mjs",
+            "timeout": 5
          }
        ]
      }
@@ -170,6 +220,16 @@
            "timeout": 5
          }
        ]
+      },
+      {
+        "matcher": "Task",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node tools/enforce-subagent-return-scanner.mjs",
+            "timeout": 10
+          }
+        ]
      }
    ],
    "Stop": [
@@ -204,16 +264,7 @@
        "hooks": [
          {
            "type": "command",
-            "command": "node tools/enforce-classifier-match.mjs",
-            "timeout": 5
-          }
-        ]
-      },
-      {
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node tools/enforce-graph-first.mjs",
+            "command": "node tools/enforce-todowrite-skill-verifier.mjs",
            "timeout": 5
          }
        ]
@@ -21,8 +21,8 @@ Aggregator over observer evidence. Reads JSONL + optional MD notes, surfaces can

 ## Procedure

-> **MANDATORY DIGITAL ANALYSIS (added 2026-05-26 after retro #6 feedback; extended to 11 tables 2026-05-28).**
-> Каждый прогон /brain-retro ОБЯЗАН включать **количественные срезы**, не только causal narrative. Минимум 11 цифровых таблиц:
+> **MANDATORY DIGITAL ANALYSIS (added 2026-05-26 after retro #6 feedback; extended to 11 tables 2026-05-28; extended to 13 tables 2026-05-30 in Stream H Task 8).**
+> Каждый прогон /brain-retro ОБЯЗАН включать **количественные срезы**, не только causal narrative. Минимум 13 цифровых таблиц:
 >
 > 1. **Path-type breakdown** (regulated vs improvised, со счётчиками и %).
 > 2. **node_chosen distribution** (топ-15 узлов с count + %).
@@ -35,8 +35,10 @@ Aggregator over observer evidence. Reads JSONL + optional MD notes, surfaces can
 > 9. **Router vs Opus** — три секции: A (роутер дал → Opus оценил, расхождение видно сразу), B (роутер молчал → Opus сказал «надо был скил»), C (роутер дал → Opus согласился что скил излишен). Источник — `result.routerVsOpus`.
 > 10. **Chain-ignore breakdown** — отдельный срез: сколько раз роутер рекомендовал цепочку vs одиночный узел, какой % я игнорировал, и rework-rate каждого; bucket по длине цепочки (1/2/3+). Источник — `result.chainIgnoreBreakdown`.
 > 11. **Chain-hook effectiveness** — парсит `~/.claude/runtime/hook-outcomes.jsonl` за период retro. Buckets: blocked / passed-with-skill / passed-inline-override / passed-global-override / passed-short-chain / passed-no-mutating. Источник — `result.chainHookEffectiveness` из analyzer. Источник правила — brain-retro #9 Candidate 2.
+> 12. **Router-gate hook effectiveness (per-rule)** — счётчики fires + blocks по каждому `hook_fired.rule` в эпизодах за период (path-deny / git-conditional / branch-switch / etc). Помогает увидеть, какие правила реально стреляли и какой % fires заканчивался блокировкой. Источник — `result.routerGateHookEffectiveness` (Stream H Task 8). Без таблицы — нет видимости качества защит router-gate v4.
+> 13. **Self-fabrication signals** — эпизоды, где `controller_claim` непустой (контроллер заявил действие) но `tool_uses` пуст или отсутствует (записи о реальном tool-call нет). 7 канонических паттернов фабрикации задокументированы в `docs/superpowers/runbooks/recovery-procedures.md` §5. Источник — `result.selfFabricationSignals` (Stream H Task 8).
 >
-> Без этих 11 таблиц retro считается недоделанным. Narrative-выводы должны опираться на цифры из них, не на «общие ощущения». **Если classifier_output=NULL > 30% эпизодов** — это сигнал, что классификатор сломан; в retro отдельным блоком отчитаться о состоянии классификатора (timeouts/errors/source distribution).
+> Без этих 13 таблиц retro считается недоделанным. Narrative-выводы должны опираться на цифры из них, не на «общие ощущения». **Если classifier_output=NULL > 30% эпизодов** — это сигнал, что классификатор сломан; в retro отдельным блоком отчитаться о состоянии классификатора (timeouts/errors/source distribution).
 >
 > Запрет на жаргон для блока «Report to user»: цифры остаются техническими, словесные выводы пользователю — простым языком (см. memory `feedback_plain_language.md`).

@@ -9,6 +9,7 @@ on:
 jobs:
  a11y:
    runs-on: ubuntu-latest
+    timeout-minutes: 20

    steps:
      - name: Checkout
@@ -21,14 +22,16 @@ jobs:
          extensions: pdo, pdo_pgsql, redis, mbstring, intl, bcmath
          coverage: none

-      - name: Setup Node 20
+      - name: Setup Node 22
+        # Node 22 (>=22.18): корневые tooling-пакеты @cspell/*@10 требуют node>=22.18.
        uses: actions/setup-node@v4
        with:
-          node-version: '20'
+          node-version: '22'
          cache: 'npm'

      - name: Install root JS deps
-        run: npm ci --no-audit --no-fund
+        # npm install (не ci): корневой package-lock рассинхронен (gcp-metadata) — pre-existing долг.
+        run: npm install --no-audit --no-fund

      - name: Install app composer deps
        working-directory: app
@@ -36,7 +39,7 @@ jobs:

      - name: Install app JS deps
        working-directory: app
-        run: npm ci --no-audit --no-fund
+        run: npm ci --no-audit --no-fund --legacy-peer-deps

      - name: Bootstrap .env + key
        working-directory: app
@@ -44,12 +47,19 @@ jobs:
          cp .env.example .env
          php artisan key:generate --force

-      - name: Prepare SQLite for CI (avoid pg-on-CI fixture cost)
+      - name: Prepare SQLite (public Pa11y routes need no real DB)
+        # Pa11y покрывает 7 публичных SPA-маршрутов (login/register/forgot/2fa/recovery/403/500) —
+        # они рендерятся без БД. Полная-PostgreSQL сборка с миграциями/seed отложена в отдельную
+        # задачу (схема и миграции разошлись → from-scratch migrate сломан).
        working-directory: app
        run: |
+          mkdir -p storage/framework/sessions storage/framework/views storage/framework/cache storage/logs bootstrap/cache
          touch database/database.sqlite
          sed -i 's/DB_CONNECTION=.*/DB_CONNECTION=sqlite/' .env
          sed -i 's|DB_DATABASE=.*|DB_DATABASE=/home/runner/work/${{ github.event.repository.name }}/${{ github.event.repository.name }}/app/database/database.sqlite|' .env
+          sed -i 's/SESSION_DRIVER=.*/SESSION_DRIVER=file/' .env
+          sed -i 's/CACHE_STORE=.*/CACHE_STORE=file/' .env
+          sed -i 's/QUEUE_CONNECTION=.*/QUEUE_CONNECTION=sync/' .env

      - name: Build frontend assets
        working-directory: app
@@ -72,9 +82,14 @@ jobs:
          tail -50 /tmp/laravel-serve.log
          exit 1

-      - name: Run Pa11y (live Vue)
+      - name: Run Pa11y (live Vue — 7 public routes)
        run: npm run a11y

+      - name: Laravel log tail on failure
+        if: failure()
+        working-directory: app
+        run: tail -120 storage/logs/laravel.log || echo "no laravel.log"
+
      - name: Upload Pa11y screenshots
        if: always()
        uses: actions/upload-artifact@v4
@@ -0,0 +1,119 @@
+name: Run artisan command on liderra.ru
+
+# Universal artisan-runner для прод-команд пока прямой SSH с dev-машины
+# заблокирован YC backbone-фильтром. Заказчик пишет команду строкой в
+# workflow_dispatch input, workflow проверяет её по whitelist, выполняет на
+# проде под sudo -u www-data, выводит результат в job summary.
+#
+# Whitelist охватывает read-only / dry-run / status команды без подтверждения
+# плюс несколько mutating команд с обязательным confirm_apply=true.
+#
+# Любая команда вне whitelist'а → fail before SSH.
+#
+# Использует тот же LIDERRA_SSH_KEY что и deploy.yml/ssh-diagnose.yml.
+
+on:
+  workflow_dispatch:
+    inputs:
+      command:
+        description: 'artisan-команда (например: supplier:rekey-orphans --dry-run)'
+        required: true
+        type: string
+      confirm_apply:
+        description: 'Подтверждаю выполнение mutating-команды (обязательно true для команд без --dry-run)'
+        required: false
+        default: false
+        type: boolean
+
+jobs:
+  run:
+    name: ${{ github.event.inputs.command }}
+    runs-on: ubuntu-latest
+    timeout-minutes: 15
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      CMD: ${{ github.event.inputs.command }}
+      CONFIRM: ${{ github.event.inputs.confirm_apply }}
+
+    steps:
+      - name: Whitelist check
+        run: |
+          set -euo pipefail
+          CMD_TRIM=$(echo "$CMD" | sed 's/^ *//;s/ *$//')
+          echo "Requested: '$CMD_TRIM'"
+
+          # Group 1 — read-only / dry-run / inspection: всегда разрешены
+          READ_ONLY_RE='^(migrate:status|route:list|schedule:list|queue:listen --help|about|env:show|config:show|cache:table|view:cache|optimize:status|snapshot:backfill( --date=20[2-9][0-9]-[0-1][0-9]-[0-3][0-9])?|scheduler:check-heartbeats|incidents:watch-failures( --threshold-spike=[0-9]+)?( --threshold-daily=[0-9]+)?( --persistent-hours=[0-9]+)?|supplier:rekey-orphans --dry-run|audit:verify-chains|audit:rebuild-chain --partition=[a-z_0-9]+ --from-id=[0-9]+ --dry-run|deals:backfill-region-city --dry-run)( *)$'
+
+          # Group 2 — mutating: требуют confirm_apply=true
+          MUTATING_RE='^(supplier:rekey-orphans|cache:clear|view:clear|config:clear|route:clear|optimize:clear|optimize|queue:restart|partitions:create-months( --months=[0-9]+)?|partitions:drop-old|audit:rebuild-chain --partition=[a-z_0-9]+ --from-id=[0-9]+( --force)?|deals:backfill-region-city)( *)$'
+
+          if [[ "$CMD_TRIM" =~ $READ_ONLY_RE ]]; then
+            echo "::notice::Command in read-only whitelist — proceeding."
+            exit 0
+          fi
+
+          if [[ "$CMD_TRIM" =~ $MUTATING_RE ]]; then
+            if [[ "$CONFIRM" != "true" ]]; then
+              echo "::error::Mutating command '$CMD_TRIM' requires confirm_apply=true. Re-run with confirm_apply checked."
+              exit 1
+            fi
+            echo "::warning::Mutating command authorized via confirm_apply=true."
+            exit 0
+          fi
+
+          echo "::error::Command '$CMD_TRIM' is NOT in whitelist. Allowed read-only patterns: $READ_ONLY_RE. Allowed mutating: $MUTATING_RE. Add to whitelist if needed."
+          exit 1
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run artisan on prod
+        run: |
+          set -o pipefail
+          CMD_B64=$(printf '%s' "$CMD" | base64 -w0)
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "CMD_B64='$CMD_B64' bash -s" <<'REMOTE' | tee /tmp/artisan-output.log
+            set +e
+            CMD=$(echo "$CMD_B64" | base64 -d)
+            cd /var/www/liderra/app
+            echo "=== Running: php artisan $CMD on $(hostname) at $(date -u) ==="
+            sudo -u www-data php artisan $CMD 2>&1
+            RC=$?
+            echo
+            echo "=== Exit code: $RC ==="
+            exit $RC
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## artisan \`$CMD\`"
+            echo
+            echo "- Host: $LIDERRA_HOST"
+            echo "- Confirm: $CONFIRM"
+            echo "- Triggered by: ${{ github.actor }}"
+            echo
+            echo '```'
+            cat /tmp/artisan-output.log 2>/dev/null || echo "(no output captured)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Upload output as artifact
+        if: always()
+        uses: actions/upload-artifact@v4
+        with:
+          name: artisan-output
+          path: /tmp/artisan-output.log
+          retention-days: 30
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,213 @@
+name: Disk-full recovery on liderra.ru
+
+# Incident response: PG в PANIC loop из-за / диск 100%.
+# 1) Диагностика: что где лежит (top-20 крупных, du по /var/log)
+# 2) Безопасная чистка:
+#    - truncate /var/log/postgresql/postgresql-16-main.log (PG в PANIC, не пишет, inode preserved)
+#    - journalctl --vacuum-size=200M
+#    - старые ротированные *.gz логи nginx >7 дней
+#    - apt-get clean
+#    - Laravel storage/logs *.log >7 дней
+# 3) Final df check + PG probe.
+#
+# Триггер: gh workflow run disk-recover.yml -f confirm_apply=true
+
+on:
+  workflow_dispatch:
+    inputs:
+      confirm_apply:
+        description: 'Подтверждаю удаление логов на проде'
+        required: true
+        default: 'false'
+        type: boolean
+
+jobs:
+  recover:
+    runs-on: ubuntu-latest
+    timeout-minutes: 10
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      CONFIRM: ${{ github.event.inputs.confirm_apply }}
+
+    steps:
+      - name: Guard
+        run: |
+          if [[ "$CONFIRM" != "true" ]]; then
+            echo "::error::confirm_apply=true required (this workflow mutates disk on prod)"
+            exit 1
+          fi
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Diagnose + cleanup
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "bash -s" <<'REMOTE' | tee /tmp/recover.log
+          set +e
+
+          echo "=== A. BEFORE: df -h / ==="
+          df -h / /var /var/lib/postgresql 2>&1 | head -10
+          echo
+
+          echo "=== B. Top-20 largest files in /var (>50M) ==="
+          sudo find /var -xdev -type f -size +50M -printf "%s %p\n" 2>/dev/null | sort -rn | head -20 | awk '{printf "%8.1f MB  %s\n", $1/1024/1024, $2}'
+          echo
+
+          echo "=== C. du /var/log/ top-15 directories ==="
+          sudo du -sh /var/log/*/ 2>/dev/null | sort -rh | head -15
+          echo
+
+          echo "=== D. du /var/log/postgresql/* (individual files) ==="
+          sudo du -sh /var/log/postgresql/* 2>/dev/null | sort -rh | head -10
+          echo
+
+          echo "=== E. journalctl disk usage ==="
+          sudo journalctl --disk-usage 2>&1
+          echo
+
+          echo "=== F. /var/lib/postgresql/16/main top-15 subdirs ==="
+          sudo du -sh /var/lib/postgresql/16/main/*/ 2>/dev/null | sort -rh | head -15
+          echo
+
+          echo "=== G. /var/www top-10 if exists ==="
+          sudo du -sh /var/www/*/ 2>/dev/null | sort -rh | head -10
+          sudo du -sh /var/www/lidpotok/storage/logs/ 2>/dev/null
+          echo
+
+          echo "=== H. apt cache + tmp ==="
+          sudo du -sh /var/cache/apt/archives/ /tmp/ /var/tmp/ 2>/dev/null
+          echo
+
+          echo "=========================================="
+          echo "=== STARTING CLEANUP (confirm_apply=true) ==="
+          echo "=========================================="
+          echo
+
+          echo "=== 1a. PRIORITY: Truncate laravel.log (8.7 GB!) and rotated copies ==="
+          for f in /var/www/liderra/app/storage/logs/laravel.log /var/www/liderra/app/storage/logs/laravel.log.1; do
+            if [[ -f "$f" ]]; then
+              BEFORE=$(sudo du -m "$f" | cut -f1)
+              echo "BEFORE: $f = $BEFORE MB"
+              sudo bash -c ": > '$f'" 2>&1 || sudo truncate -s 0 "$f"
+              AFTER=$(sudo du -m "$f" | cut -f1)
+              echo "AFTER:  $f = $AFTER MB"
+            fi
+          done
+          # Старые laravel-* (если daily-rotated)
+          sudo find /var/www/liderra/app/storage/logs -name "laravel-*.log" -mtime +3 -print -delete 2>&1 | head -10
+          echo
+
+          echo "=== 1b. Truncate PG audit log via sudo bash redirect (workaround) ==="
+          if [[ -f /var/log/postgresql/postgresql-16-main.log ]]; then
+            BEFORE=$(sudo du -m /var/log/postgresql/postgresql-16-main.log | cut -f1)
+            echo "BEFORE: $BEFORE MB"
+            sudo bash -c ': > /var/log/postgresql/postgresql-16-main.log' 2>&1
+            AFTER=$(sudo du -m /var/log/postgresql/postgresql-16-main.log | cut -f1)
+            echo "AFTER:  $AFTER MB"
+          fi
+          sudo find /var/log/postgresql -type f \( -name "*.gz" -o -name "*.log.[0-9]*" \) -delete 2>&1
+          echo
+
+          echo "=== 1c. Truncate syslog (525M) ==="
+          sudo bash -c ': > /var/log/syslog' 2>&1
+          echo "syslog now: $(sudo du -m /var/log/syslog 2>/dev/null | cut -f1) MB"
+          echo
+
+          echo "=== 1d. Remove playwright dev cache (~440M, не нужен в проде) ==="
+          if [[ -d /var/www/.cache/ms-playwright ]]; then
+            sudo du -sh /var/www/.cache/ms-playwright 2>&1
+            sudo rm -rf /var/www/.cache/ms-playwright
+            echo "removed"
+          fi
+          echo
+
+          echo "=== 2. journalctl vacuum --size=200M ==="
+          sudo journalctl --vacuum-size=200M 2>&1 | tail -10
+          echo
+
+          echo "=== 3. nginx old rotated logs (gz files >3 days) ==="
+          sudo find /var/log/nginx -name "*.gz" -mtime +3 -print -delete 2>&1 | head -20
+          echo
+          # current access.log если >500M — truncate (nginx переоткрывает по reopen signal)
+          for f in /var/log/nginx/access.log /var/log/nginx/error.log; do
+            if [[ -f "$f" ]]; then
+              SIZE_MB=$(sudo du -m "$f" | cut -f1)
+              if [[ $SIZE_MB -gt 500 ]]; then
+                echo "Truncating $f ($SIZE_MB MB)"
+                sudo truncate -s 0 "$f"
+              fi
+            fi
+          done
+
+          echo
+          echo "=== 4. apt-get clean ==="
+          sudo apt-get clean 2>&1 | tail -5
+          echo
+
+          echo "=== 5. Laravel storage/logs *.log older 7 days ==="
+          if [[ -d /var/www/lidpotok ]]; then
+            sudo find /var/www/lidpotok -path '*/storage/logs/*.log' -mtime +7 -print -delete 2>&1 | head -20
+          fi
+          for d in /var/www/*/; do
+            if [[ -d "$d/storage/logs" ]]; then
+              for f in "$d"/storage/logs/laravel.log "$d"/storage/logs/worker.log; do
+                if [[ -f "$f" ]]; then
+                  SIZE_MB=$(sudo du -m "$f" | cut -f1)
+                  if [[ $SIZE_MB -gt 200 ]]; then
+                    echo "Truncating $f ($SIZE_MB MB)"
+                    sudo truncate -s 0 "$f"
+                  fi
+                fi
+              done
+            fi
+          done
+          echo
+
+          echo "=== 6. Old rotated *.1 *.2 *.gz logs >50M anywhere in /var/log ==="
+          sudo find /var/log -type f \( -name "*.1" -o -name "*.2" -o -name "*.3" -o -name "*.gz" \) -size +50M -print -delete 2>&1 | head -20
+          echo
+
+          echo "=========================================="
+          echo "=== AFTER CLEANUP ==="
+          echo "=========================================="
+          echo "=== Z1. df -h / ==="
+          df -h / /var /var/lib/postgresql 2>&1 | head -10
+          echo
+
+          echo "=== Z2. PG status quick check ==="
+          sudo systemctl status postgresql@16-main --no-pager 2>&1 | head -10
+          echo
+
+          echo "=== Z3. PG probe ==="
+          sleep 5
+          sudo -u postgres psql -d liderra -c "SELECT 1 AS probe, NOW() AS ts" 2>&1
+          echo
+
+          echo "=== Z4. HTTPS probe ==="
+          curl -sI -o /dev/null -w "HTTP %{http_code}\nTotal: %{time_total}s\n" https://liderra.ru/ --max-time 10
+          echo
+
+          echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## Disk recovery on liderra.ru"
+            echo
+            echo '```'
+            cat /tmp/recover.log 2>/dev/null || echo "(no log captured)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,109 @@
+name: Disk usage alert (prod liderra.ru)
+
+# Incident prevention: 29.05.2026 диск заполнился до 100% за сутки → 4h prod downtime.
+# Этот workflow проверяет df -h / каждые 30 минут.
+# Threshold: 85% → создаёт row в incidents_log (read by ops monitoring).
+# 95% → marks как severity=critical для приоритетного alert'а.
+#
+# Ref: docs/incidents/2026-05-29-disk-full-pg-recovery.md §5
+
+on:
+  schedule:
+    # Every 30 minutes (Mondays-Sundays). At :00 и :30 каждого часа UTC.
+    - cron: '*/30 * * * *'
+  workflow_dispatch:
+    inputs:
+      threshold:
+        description: 'Override threshold % (default 85)'
+        required: false
+        default: '85'
+        type: string
+
+jobs:
+  check:
+    runs-on: ubuntu-latest
+    timeout-minutes: 3
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      THRESHOLD: ${{ github.event.inputs.threshold || '85' }}
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Check disk usage on prod
+        id: check
+        run: |
+          set -o pipefail
+          OUTPUT=$(ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} "df -h / | awk 'NR==2 {gsub(\"%\",\"\",\$5); print \$2\" \"\$3\" \"\$4\" \"\$5}'")
+          read SIZE USED AVAIL PCT <<< "$OUTPUT"
+          echo "size=$SIZE used=$USED avail=$AVAIL pct=$PCT"
+          echo "pct=$PCT" >> $GITHUB_OUTPUT
+          echo "size=$SIZE" >> $GITHUB_OUTPUT
+          echo "used=$USED" >> $GITHUB_OUTPUT
+          echo "avail=$AVAIL" >> $GITHUB_OUTPUT
+
+          if [[ -z "$PCT" ]]; then
+            echo "::error::Could not parse df output"
+            exit 1
+          fi
+
+          if [[ "$PCT" -ge 95 ]]; then
+            echo "severity=critical" >> $GITHUB_OUTPUT
+            echo "::error::Disk usage CRITICAL: $PCT% (size=$SIZE used=$USED avail=$AVAIL)"
+          elif [[ "$PCT" -ge "$THRESHOLD" ]]; then
+            echo "severity=warning" >> $GITHUB_OUTPUT
+            echo "::warning::Disk usage HIGH: $PCT% (threshold $THRESHOLD%, size=$SIZE used=$USED avail=$AVAIL)"
+          else
+            echo "severity=ok" >> $GITHUB_OUTPUT
+            echo "::notice::Disk usage OK: $PCT% (size=$SIZE used=$USED avail=$AVAIL)"
+          fi
+
+      - name: Record incident if >= threshold
+        if: steps.check.outputs.severity != 'ok'
+        run: |
+          PCT="${{ steps.check.outputs.pct }}"
+          SIZE="${{ steps.check.outputs.size }}"
+          USED="${{ steps.check.outputs.used }}"
+          AVAIL="${{ steps.check.outputs.avail }}"
+          SEVERITY="${{ steps.check.outputs.severity }}"
+
+          # Note: incidents_log table requires INSERT path through Laravel app.
+          # GitHub Step Summary serves as primary alert; Telegram bot watches
+          # GitHub Actions notifications. Future: extend sql-runner whitelist
+          # для INSERT into incidents_log.
+          {
+            echo "## 🚨 Disk usage alert — severity=$SEVERITY ($PCT%)"
+            echo
+            echo "- Host: ${{ env.LIDERRA_HOST }}"
+            echo "- Filesystem: /"
+            echo "- Size: $SIZE"
+            echo "- Used: $USED"
+            echo "- Available: $AVAIL"
+            echo "- Threshold: ${{ env.THRESHOLD }}%"
+            echo "- Time UTC: $(date -u)"
+            echo
+            echo "**Action required:** Investigate via pg-diagnose.yml workflow."
+            echo
+            echo "Likely causes (from incident 2026-05-29):"
+            echo "- /var/www/liderra/app/storage/logs/laravel.log — Laravel exception accumulation"
+            echo "- /var/log/postgresql/postgresql-16-main.log — pg_audit verbose logging"
+            echo "- /var/log/syslog — kernel + service logs"
+            echo "- /var/www/.cache/ — dev caches leaked to prod"
+          } >> "$GITHUB_STEP_SUMMARY"
+
+          # Fail the job чтобы GitHub Actions подсветило red — это серфисится
+          # через GitHub notifications (email/desktop/telegram bot).
+          if [[ "$SEVERITY" == "critical" ]]; then
+            exit 1
+          fi
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,113 @@
+name: Apply F1 audit-chain advisory-lock migration via postgres superuser
+
+# Incident response: redeploy.yml fails on F1 migration because crm_migrator role
+# lacks privilege to CREATE OR REPLACE FUNCTION в schema public.
+# This workflow applies F1 migration SQL directly via sudo -u postgres psql,
+# then INSERTs the migration row so subsequent `php artisan migrate` skips it.
+#
+# Ref: docs/superpowers/plans/2026-05-29-audit-chain-race-fix.md Task 2
+# Migration file: app/database/migrations/2026_05_30_000001_add_advisory_lock_to_audit_chain_hash.php
+
+on:
+  workflow_dispatch:
+    inputs:
+      confirm_apply:
+        description: 'Подтверждаю применение F1 миграции на проде'
+        required: true
+        default: 'false'
+        type: boolean
+
+jobs:
+  apply:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      CONFIRM: ${{ github.event.inputs.confirm_apply }}
+
+    steps:
+      - name: Guard
+        run: |
+          if [[ "$CONFIRM" != "true" ]]; then
+            echo "::error::confirm_apply=true required"
+            exit 1
+          fi
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Apply F1 SQL + register migration
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "bash -s" <<'REMOTE' | tee /tmp/f1-apply.log
+          set +e
+
+          echo "=== 1. BEFORE: current audit_chain_hash function source ==="
+          sudo -u postgres psql -d liderra -c "\df+ public.audit_chain_hash" 2>&1 | head -20
+
+          echo
+          echo "=== 2. Apply F1 advisory-lock migration via sudo -u postgres ==="
+          sudo -u postgres psql -d liderra <<'SQL'
+          CREATE OR REPLACE FUNCTION public.audit_chain_hash() RETURNS trigger AS $$
+          DECLARE
+              prev_hash BYTEA;
+              lock_key  BIGINT;
+          BEGIN
+              lock_key := ('x' || lpad(to_hex(TG_RELID::int), 16, '0'))::bit(64)::bigint;
+              PERFORM pg_advisory_xact_lock(lock_key);
+
+              EXECUTE format(
+                  'SELECT log_hash FROM %I ORDER BY id DESC LIMIT 1',
+                  TG_TABLE_NAME
+              ) INTO prev_hash;
+
+              NEW.log_hash := digest(
+                  COALESCE(prev_hash, ''::bytea) || NEW::text::bytea,
+                  'sha256'
+              );
+              RETURN NEW;
+          END;
+          $$ LANGUAGE plpgsql;
+          SQL
+          APPLY_RC=$?
+          echo "Apply RC: $APPLY_RC"
+
+          echo
+          echo "=== 3. Verify function now contains pg_advisory_xact_lock ==="
+          sudo -u postgres psql -d liderra -c "SELECT pg_get_functiondef('public.audit_chain_hash'::regproc) LIKE '%pg_advisory_xact_lock%' AS has_lock"
+
+          echo
+          echo "=== 4. Register migration row (skip if already exists) ==="
+          sudo -u postgres psql -d liderra <<'SQL'
+          INSERT INTO migrations (migration, batch)
+          SELECT '2026_05_30_000001_add_advisory_lock_to_audit_chain_hash', COALESCE(MAX(batch),0)+1 FROM migrations
+          WHERE NOT EXISTS (
+              SELECT 1 FROM migrations WHERE migration = '2026_05_30_000001_add_advisory_lock_to_audit_chain_hash'
+          );
+          SELECT migration, batch FROM migrations WHERE migration LIKE '%advisory_lock%';
+          SQL
+
+          echo
+          echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## F1 migration apply"
+            echo
+            echo '```'
+            cat /tmp/f1-apply.log 2>/dev/null || echo "(no log)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,221 @@
+name: Rebuild audit hash chain via postgres superuser (F1 cleanup)
+
+# Closes deferred F1 item from docs/incidents/2026-05-29-disk-full-pg-recovery.md §4.1.
+# Sequential hash recomputation в plpgsql DO-блоке через sudo -u postgres psql.
+# Identical алгоритм с trigger audit_chain_hash() (post-F1 advisory-lock version),
+# но применённый к existing rows.
+#
+# Использование:
+#   gh workflow run f1-rebuild-via-superuser.yml \
+#     -f partition=activity_log_y2026_m05 -f from_id=599 -f confirm_apply=true
+#
+# Safety:
+#   - Partition name whitelist (только заранее известные сломанные партиции).
+#   - dry_run=true mode показывает count + anchor prev_hash без UPDATE.
+#   - Trigger audit_chain_hash отключён через SET LOCAL session_replication_role=replica
+#     (постоянный disable невозможен — после COMMIT триггер опять активен).
+#   - audit_block_mutation также подавлен через session_replication_role=replica.
+
+on:
+  workflow_dispatch:
+    inputs:
+      partition:
+        description: 'Partition name (whitelist: activity_log_y2026_m05, balance_transactions_y2026_m05)'
+        required: true
+        type: string
+      from_id:
+        description: 'First broken id (rebuild from here onward)'
+        required: true
+        type: string
+      dry_run:
+        description: 'Dry-run (показать count + anchor без UPDATE)'
+        required: false
+        default: 'false'
+        type: boolean
+      confirm_apply:
+        description: 'Подтверждаю rebuild на проде (требуется если dry_run=false)'
+        required: false
+        default: 'false'
+        type: boolean
+
+jobs:
+  rebuild:
+    runs-on: ubuntu-latest
+    timeout-minutes: 15
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      PARTITION: ${{ github.event.inputs.partition }}
+      FROM_ID: ${{ github.event.inputs.from_id }}
+      DRY_RUN: ${{ github.event.inputs.dry_run }}
+      CONFIRM: ${{ github.event.inputs.confirm_apply }}
+
+    steps:
+      - name: Validate inputs
+        run: |
+          set -euo pipefail
+
+          # Whitelist partition names (защита от arbitrary table names)
+          ALLOWED='^(activity_log_y2026_m05|balance_transactions_y2026_m05)$'
+          if ! [[ "$PARTITION" =~ $ALLOWED ]]; then
+            echo "::error::partition '$PARTITION' not in whitelist: $ALLOWED"
+            exit 1
+          fi
+
+          # from_id is positive integer
+          if ! [[ "$FROM_ID" =~ ^[0-9]+$ ]]; then
+            echo "::error::from_id must be positive integer, got '$FROM_ID'"
+            exit 1
+          fi
+
+          if [[ "$DRY_RUN" != "true" && "$CONFIRM" != "true" ]]; then
+            echo "::error::Either dry_run=true OR confirm_apply=true must be set"
+            exit 1
+          fi
+
+          echo "Inputs OK: partition=$PARTITION, from_id=$FROM_ID, dry_run=$DRY_RUN, confirm_apply=$CONFIRM"
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run rebuild on prod
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "PARTITION='$PARTITION' FROM_ID='$FROM_ID' DRY_RUN='$DRY_RUN' bash -s" <<'REMOTE' | tee /tmp/f1-rebuild.log
+          set +e
+
+          echo "=== 1. Anchor + count preview ==="
+          sudo -u postgres psql -d liderra -v ON_ERROR_STOP=1 <<SQL
+          \set partition $PARTITION
+          \set from_id $FROM_ID
+
+          -- Anchor: log_hash of row right BEFORE from_id (=> prev_hash for from_id)
+          SELECT
+            (SELECT id FROM :"partition" WHERE id < :from_id ORDER BY id DESC LIMIT 1) AS anchor_id,
+            encode((SELECT log_hash FROM :"partition" WHERE id < :from_id ORDER BY id DESC LIMIT 1), 'hex') AS anchor_log_hash,
+            (SELECT COUNT(*) FROM :"partition" WHERE id >= :from_id) AS rows_to_rebuild,
+            (SELECT MIN(id) FROM :"partition" WHERE id >= :from_id) AS first_id,
+            (SELECT MAX(id) FROM :"partition" WHERE id >= :from_id) AS last_id;
+          SQL
+          PRE_RC=$?
+          if [[ $PRE_RC -ne 0 ]]; then
+            echo "::error::Pre-check failed (RC=$PRE_RC)"
+            exit $PRE_RC
+          fi
+
+          if [[ "$DRY_RUN" == "true" ]]; then
+            echo
+            echo "=== DRY RUN — no changes applied ==="
+            exit 0
+          fi
+
+          echo
+          echo "=== 2. APPLY: rebuild hash chain on $PARTITION from id=$FROM_ID ==="
+          # Canonical algorithm (mirrors app/app/Console/Commands/AuditRebuildChain.php):
+          # builds explicit ROW(col1, col2, ..., NULL::bytea on log_hash position, ..., coln)::text::bytea
+          # so hash matches what audit:verify-chains computes (which uses same COLUMN_CONFIG).
+          case "$PARTITION" in
+            activity_log_*)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.user_id, t.deal_id, t.event, t.old_value, t.new_value, t.context, t.ip_address, t.user_agent, NULL::bytea, t.created_at)"
+              ;;
+            balance_transactions_*)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.type, t.amount_rub, t.amount_leads, t.balance_rub_after, t.balance_leads_after, t.description, t.related_type, t.related_id, t.user_id, t.admin_user_id, NULL::bytea, t.created_at)"
+              ;;
+            *)
+              echo "::error::Unknown partition family — add ROW_EXPR mapping"
+              exit 1
+              ;;
+          esac
+          echo "Using ROW expression: $ROW_EXPR"
+
+          sudo -u postgres psql -d liderra -v ON_ERROR_STOP=1 <<SQL
+          BEGIN;
+          SET LOCAL session_replication_role = 'replica';
+
+          DO \$rebuild\$
+          DECLARE
+              cur_id    BIGINT;
+              prev_hash BYTEA;
+              new_hash  BYTEA;
+              cnt       INTEGER := 0;
+              partition_name TEXT := '$PARTITION';
+              start_id  BIGINT := $FROM_ID;
+              row_expr  TEXT := '$ROW_EXPR';
+          BEGIN
+              EXECUTE format(
+                  'SELECT log_hash FROM %I WHERE id < \$1 ORDER BY id DESC LIMIT 1',
+                  partition_name
+              )
+              INTO prev_hash
+              USING start_id;
+
+              RAISE NOTICE 'Anchor prev_hash: %', COALESCE(encode(prev_hash, 'hex'), '<NULL — start of chain>');
+
+              FOR cur_id IN
+                  EXECUTE format(
+                      'SELECT id FROM %I WHERE id >= \$1 ORDER BY id',
+                      partition_name
+                  )
+                  USING start_id
+              LOOP
+                  -- Compute new_hash with explicit ROW(...) expression (canonical, matches verify-chains)
+                  EXECUTE format(
+                      'SELECT digest(COALESCE(\$1, ''''::bytea) || %s::text::bytea, ''sha256'') FROM %I t WHERE id = \$2',
+                      row_expr, partition_name
+                  )
+                  INTO new_hash
+                  USING prev_hash, cur_id;
+
+                  EXECUTE format('UPDATE %I SET log_hash = \$1 WHERE id = \$2', partition_name)
+                      USING new_hash, cur_id;
+
+                  prev_hash := new_hash;
+                  cnt := cnt + 1;
+              END LOOP;
+
+              RAISE NOTICE 'Rebuilt % rows. Last log_hash: %', cnt, encode(prev_hash, 'hex');
+          END
+          \$rebuild\$;
+
+          COMMIT;
+          SQL
+          APPLY_RC=$?
+
+          echo
+          echo "=== 3. Verify: no NULL log_hash в обновлённых строках ==="
+          sudo -u postgres psql -d liderra <<SQL
+          \set partition $PARTITION
+          \set from_id $FROM_ID
+          SELECT
+            COUNT(*) FILTER (WHERE log_hash IS NULL) AS null_count,
+            COUNT(*) AS total,
+            MIN(id) AS first_id,
+            MAX(id) AS last_id
+          FROM :"partition"
+          WHERE id >= :from_id;
+          SQL
+
+          echo
+          echo "=== Apply RC: $APPLY_RC ==="
+          exit $APPLY_RC
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## F1 chain rebuild — $PARTITION (from_id=$FROM_ID, dry_run=$DRY_RUN)"
+            echo
+            echo '```'
+            cat /tmp/f1-rebuild.log 2>/dev/null || echo "(no log)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,401 @@
+name: Lead region — prod ops
+
+# Самодостаточный launch-инструмент фичи lead-region-resolution.
+# Один воркфлоу, переключатель op. НЕ трогает deploy.yml / artisan-run.yml.
+#
+# op:
+#   pre-migrate    — пред-применить миграцию 2026_05_31_100000 через postgres
+#                    superuser (crm_app_user не член crm_migrator → обычный migrate
+#                    падает) + пометить применённой, чтобы deploy её пропустил.
+#   set-env        — записать DADATA-ключи (из secrets) + LEAD_REGION_RESOLVER_ENABLED
+#                    (input flag) в боевой .env, перекэшировать config, рестарт очереди.
+#   fetch-rossvyaz — скачать файл/архив реестра (input url) на прод в /var/www/liderra/rossvyaz.
+#   import         — phone-ranges:import (input dry_run) под www-data (DDL-свап идёт
+#                    через pgsql_supplier = crm_supplier_worker, член crm_migrator).
+#   smoke          — phone-region:smoke --phone=<input phone> под www-data (нужны ключи).
+#
+# Secrets: LIDERRA_SSH_KEY, DADATA_API_KEY, DADATA_SECRET.
+
+on:
+  workflow_dispatch:
+    inputs:
+      op:
+        description: 'Операция'
+        required: true
+        type: choice
+        options:
+          - pre-migrate
+          - set-env
+          - fetch-rossvyaz
+          - fetch-via-runner
+          - deliver-from-repo
+          - import
+          - smoke
+      flag:
+        description: 'set-env: LEAD_REGION_RESOLVER_ENABLED'
+        required: false
+        default: 'false'
+        type: choice
+        options:
+          - 'false'
+          - 'true'
+      url:
+        description: 'fetch-rossvyaz: прямая ссылка на CSV/ZIP реестра Россвязи'
+        required: false
+        type: string
+      dir:
+        description: 'import: каталог с CSV на проде'
+        required: false
+        default: '/var/www/liderra/rossvyaz'
+        type: string
+      dry_run:
+        description: 'import: только staging без swap'
+        required: false
+        default: true
+        type: boolean
+      force:
+        description: 'import: принудительно (--force, игнорировать «реестр идентичен»)'
+        required: false
+        default: false
+        type: boolean
+      phone:
+        description: 'smoke: телефон'
+        required: false
+        default: '79161234567'
+        type: string
+
+jobs:
+  op:
+    name: ${{ github.event.inputs.op }}
+    runs-on: ubuntu-latest
+    timeout-minutes: 15
+    concurrency:
+      group: liderra-prod-deploy
+      cancel-in-progress: false
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      APP_DIR: /var/www/liderra/app
+      OP: ${{ github.event.inputs.op }}
+      FLAG: ${{ github.event.inputs.flag }}
+      URL: ${{ github.event.inputs.url }}
+      DIR: ${{ github.event.inputs.dir }}
+      DRY: ${{ github.event.inputs.dry_run }}
+      FORCE: ${{ github.event.inputs.force }}
+      PHONE: ${{ github.event.inputs.phone }}
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H "${LIDERRA_HOST}" >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Checkout repo (for deliver-from-repo)
+        if: ${{ github.event.inputs.op == 'deliver-from-repo' }}
+        uses: actions/checkout@v4
+
+      - name: op=pre-migrate (superuser DDL + mark applied)
+        if: ${{ github.event.inputs.op == 'pre-migrate' }}
+        run: |
+          SQL_B64=$(cat <<'SQLEOF' | base64 -w0
+          BEGIN;
+          -- 1. phone_ranges_imports (FK target — создаём первым)
+          CREATE TABLE phone_ranges_imports (
+              id              BIGSERIAL PRIMARY KEY,
+              imported_at     TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+              source_url      TEXT NOT NULL,
+              rows_inserted   INTEGER NOT NULL DEFAULT 0,
+              rows_updated    INTEGER NOT NULL DEFAULT 0,
+              checksum_sha256 TEXT NOT NULL,
+              status          TEXT NOT NULL DEFAULT 'in_progress'
+                  CHECK (status IN ('in_progress','completed','failed','rolled_back')),
+              error           TEXT,
+              completed_at    TIMESTAMPTZ
+          );
+          COMMENT ON TABLE phone_ranges_imports IS
+              'Журнал импортов реестра Россвязи (idempotency по checksum_sha256, atomic-swap откат).';
+
+          -- 2. phone_ranges (реестр диапазонов; SaaS-level, без RLS — публичные данные)
+          CREATE TABLE phone_ranges (
+              id                BIGSERIAL PRIMARY KEY,
+              def_code          SMALLINT NOT NULL,
+              from_num          BIGINT NOT NULL,
+              to_num            BIGINT NOT NULL,
+              operator          TEXT NOT NULL,
+              region            TEXT NOT NULL,
+              region_normalized TEXT,
+              subject_code      SMALLINT,
+              imported_at       TIMESTAMPTZ NOT NULL,
+              import_id         BIGINT NOT NULL REFERENCES phone_ranges_imports(id),
+              CONSTRAINT chk_phone_ranges_def_code CHECK (def_code BETWEEN 300 AND 999),
+              CONSTRAINT chk_phone_ranges_subject_code CHECK (subject_code IS NULL OR subject_code BETWEEN 1 AND 89),
+              CONSTRAINT chk_phone_ranges_range_valid CHECK (from_num <= to_num)
+          );
+          CREATE INDEX idx_phone_ranges_lookup ON phone_ranges (def_code, from_num, to_num);
+          COMMENT ON TABLE phone_ranges IS
+              'Реестр диапазонов нумерации Россвязи (rossvyaz.gov.ru). Локальный fallback для LeadRegionResolver.';
+
+          GRANT SELECT ON phone_ranges, phone_ranges_imports TO crm_app_user, crm_supplier_worker;
+
+          -- 3. lead_region_resolution_log (SaaS-level, партиционирован по received_at)
+          CREATE TABLE lead_region_resolution_log (
+              id                       BIGSERIAL,
+              supplier_lead_id         BIGINT NOT NULL,
+              received_at              TIMESTAMPTZ NOT NULL,
+              phone_masked             TEXT NOT NULL,
+              subject_code_resolved    SMALLINT,
+              subject_code_from_tag    SMALLINT,
+              region_source            TEXT NOT NULL
+                  CHECK (region_source IN ('dadata','rossvyaz','tag','unknown')),
+              dadata_qc                SMALLINT,
+              dadata_provider          TEXT,
+              dadata_type              TEXT,
+              dadata_response_masked   JSONB,
+              rossvyaz_matched         BOOLEAN NOT NULL DEFAULT FALSE,
+              actual_subject_code      SMALLINT
+                  CHECK (actual_subject_code IS NULL OR actual_subject_code BETWEEN 1 AND 89),
+              substituted_subject_code SMALLINT
+                  CHECK (substituted_subject_code IS NULL OR substituted_subject_code BETWEEN 1 AND 89),
+              routing_step             SMALLINT
+                  CHECK (routing_step IS NULL OR routing_step BETWEEN 1 AND 3),
+              phone_operator           TEXT,
+              cache_hit                BOOLEAN NOT NULL DEFAULT FALSE,
+              duration_ms              INTEGER,
+              resolved_at              TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+              PRIMARY KEY (id, received_at)
+          ) PARTITION BY RANGE (received_at);
+
+          CREATE INDEX idx_lrrl_lead_id ON lead_region_resolution_log (supplier_lead_id);
+          CREATE INDEX idx_lrrl_source ON lead_region_resolution_log (region_source, received_at);
+          COMMENT ON TABLE lead_region_resolution_log IS
+              'Аудит каждого резолва региона лида (источник, qc, оператор, шаг каскада). Партиции помесячно.';
+
+          GRANT SELECT, INSERT ON lead_region_resolution_log TO crm_supplier_worker;
+          GRANT SELECT ON lead_region_resolution_log TO crm_app_user;
+
+          CREATE TABLE lead_region_resolution_log_y2026_m05
+              PARTITION OF lead_region_resolution_log
+              FOR VALUES FROM ('2026-05-01') TO ('2026-06-01');
+          CREATE TABLE lead_region_resolution_log_y2026_m06
+              PARTITION OF lead_region_resolution_log
+              FOR VALUES FROM ('2026-06-01') TO ('2026-07-01');
+
+          -- 4. supplier_leads: +4 колонки
+          ALTER TABLE supplier_leads
+              ADD COLUMN resolved_subject_code SMALLINT
+                  CHECK (resolved_subject_code IS NULL OR resolved_subject_code BETWEEN 1 AND 89),
+              ADD COLUMN region_source TEXT
+                  CHECK (region_source IN ('dadata','rossvyaz','tag','unknown')),
+              ADD COLUMN dadata_qc SMALLINT,
+              ADD COLUMN phone_operator TEXT;
+
+          -- 5. deals: +2 колонки
+          ALTER TABLE deals
+              ADD COLUMN phone_operator TEXT,
+              ADD COLUMN region_substituted BOOLEAN NOT NULL DEFAULT FALSE;
+
+          -- ownership как у миграции (она шла бы под crm_migrator)
+          ALTER TABLE phone_ranges_imports OWNER TO crm_migrator;
+          ALTER TABLE phone_ranges OWNER TO crm_migrator;
+          ALTER TABLE lead_region_resolution_log OWNER TO crm_migrator;
+          ALTER TABLE lead_region_resolution_log_y2026_m05 OWNER TO crm_migrator;
+          ALTER TABLE lead_region_resolution_log_y2026_m06 OWNER TO crm_migrator;
+
+          -- retention (system_settings, 12 мес)
+          INSERT INTO system_settings (key, value, type, description, updated_at)
+              SELECT 'partition_retention_months_lead_region_resolution_log', '12', 'int',
+                     'Retention в месяцах для lead_region_resolution_log (~365 дней)', NOW()
+              WHERE NOT EXISTS (
+                  SELECT 1 FROM system_settings
+                  WHERE key = 'partition_retention_months_lead_region_resolution_log');
+          COMMIT;
+          SQLEOF
+          )
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" "SQL_B64='$SQL_B64' bash -s" <<'REMOTE' | tee /tmp/op.log
+            set -euo pipefail
+            MIG_NAME='2026_05_31_100000_create_phone_ranges_and_resolution_log'
+            ALREADY=$(sudo -u postgres psql -d liderra -tAc "SELECT 1 FROM migrations WHERE migration='${MIG_NAME}' LIMIT 1")
+            if [ "${ALREADY}" = "1" ]; then
+              echo "Migration ${MIG_NAME} уже применена — пропускаю."
+              exit 0
+            fi
+            TABLE_EXISTS=$(sudo -u postgres psql -d liderra -tAc "SELECT 1 FROM information_schema.tables WHERE table_name='phone_ranges' LIMIT 1")
+            if [ "${TABLE_EXISTS}" != "1" ]; then
+              echo "Применяю lead-region DDL через postgres superuser..."
+              echo "$SQL_B64" | base64 -d | sudo -u postgres psql -d liderra -v ON_ERROR_STOP=1
+            else
+              echo "Таблица phone_ranges уже существует — только помечаю миграцию."
+            fi
+            NEXT_BATCH=$(sudo -u postgres psql -d liderra -tAc "SELECT COALESCE(MAX(batch),0)+1 FROM migrations")
+            sudo -u postgres psql -d liderra -c \
+              "INSERT INTO migrations (migration, batch) SELECT '${MIG_NAME}', ${NEXT_BATCH} WHERE NOT EXISTS (SELECT 1 FROM migrations WHERE migration='${MIG_NAME}')"
+            echo "Помечено ${MIG_NAME} применённой (batch ${NEXT_BATCH})."
+            echo "=== Проверка таблиц ==="
+            sudo -u postgres psql -d liderra -c "\dt phone_ranges|phone_ranges_imports|lead_region_resolution_log" || true
+          REMOTE
+
+      - name: op=set-env (keys from secrets + flag → prod .env)
+        if: ${{ github.event.inputs.op == 'set-env' }}
+        env:
+          DK: ${{ secrets.DADATA_API_KEY }}
+          DS: ${{ secrets.DADATA_SECRET }}
+        run: |
+          DK_B64=$(printf '%s' "$DK" | base64 -w0)
+          DS_B64=$(printf '%s' "$DS" | base64 -w0)
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" \
+            "DK_B64='$DK_B64' DS_B64='$DS_B64' FLAG='$FLAG' APP_DIR='$APP_DIR' bash -s" <<'REMOTE' | tee /tmp/op.log
+            set -euo pipefail
+            ENV="${APP_DIR}/.env"
+            DK=$(echo "$DK_B64" | base64 -d)
+            DS=$(echo "$DS_B64" | base64 -d)
+            upsert() {
+              local key="$1" val="$2"
+              sudo sed -i "/^${key}=/d" "$ENV"
+              echo "${key}=${val}" | sudo tee -a "$ENV" >/dev/null
+            }
+            upsert DADATA_API_KEY "$DK"
+            upsert DADATA_SECRET "$DS"
+            upsert LEAD_REGION_RESOLVER_ENABLED "$FLAG"
+            cd "$APP_DIR"
+            sudo -u www-data php artisan config:clear
+            sudo -u www-data php artisan config:cache
+            sudo systemctl restart liderra-queue
+            echo "set-env готово: flag=${FLAG}, ключи записаны."
+            echo "=== Проверка (значения скрыты) ==="
+            sudo grep -E '^(DADATA_API_KEY|DADATA_SECRET|LEAD_REGION_RESOLVER_ENABLED)=' "$ENV" | sed -E 's/=(.).*/=\1***/'
+            echo "=== queue status ==="
+            systemctl is-active liderra-queue || true
+          REMOTE
+
+      - name: op=fetch-rossvyaz (download registry on prod)
+        if: ${{ github.event.inputs.op == 'fetch-rossvyaz' }}
+        run: |
+          # Пустой url → качаем все 4 официальных файла Минцифры за один прогон.
+          # Непустой url → качаем только его (ручной режим).
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" \
+            "URL='$URL' bash -s" <<'REMOTE' | tee /tmp/op.log
+            set -euo pipefail
+            DEST=/var/www/liderra/rossvyaz
+            sudo mkdir -p "$DEST"
+            cd "$DEST"
+            if [ -n "$URL" ]; then
+              URLS="$URL"
+            else
+              URLS="https://opendata.digital.gov.ru/downloads/DEF-9xx.csv
+          https://opendata.digital.gov.ru/downloads/ABC-3xx.csv
+          https://opendata.digital.gov.ru/downloads/ABC-4xx.csv
+          https://opendata.digital.gov.ru/downloads/ABC-8xx.csv"
+            fi
+            for U in $URLS; do
+              FNAME=$(basename "${U%%\?*}")
+              [ -n "$FNAME" ] || FNAME="rossvyaz-download"
+              echo "Скачиваю $U -> $FNAME"
+              sudo curl -fSL --retry 3 --retry-delay 2 -e 'https://opendata.digital.gov.ru/registry/numeric/downloads/' -H 'Accept: text/csv,application/csv,application/octet-stream,*/*' -H 'Accept-Language: ru-RU,ru;q=0.9' -A 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36' -o "$FNAME" "$U"
+              case "$FNAME" in
+                *.zip|*.ZIP) echo "Распаковываю zip..."; sudo unzip -o "$FNAME" ;;
+              esac
+            done
+            sudo chown -R www-data:www-data "$DEST"
+            echo "=== Содержимое $DEST ==="
+            ls -lh "$DEST"
+            FIRST_CSV=$(ls "$DEST"/DEF-9xx.csv "$DEST"/*.csv "$DEST"/*.CSV 2>/dev/null | head -1 || true)
+            if [ -n "$FIRST_CSV" ]; then
+              echo "=== Первые строки $FIRST_CSV (cp1251→utf8) ==="
+              sudo head -3 "$FIRST_CSV" | iconv -f cp1251 -t utf-8 2>/dev/null || sudo head -3 "$FIRST_CSV"
+            fi
+          REMOTE
+
+      - name: op=fetch-via-runner (download on runner, ship to prod)
+        if: ${{ github.event.inputs.op == 'fetch-via-runner' }}
+        run: |
+          mkdir -p /tmp/rv && cd /tmp/rv && rm -f /tmp/rv/*.csv
+          for U in https://opendata.digital.gov.ru/downloads/DEF-9xx.csv https://opendata.digital.gov.ru/downloads/ABC-3xx.csv https://opendata.digital.gov.ru/downloads/ABC-4xx.csv https://opendata.digital.gov.ru/downloads/ABC-8xx.csv; do
+            FN=$(basename "${U%%\?*}")
+            echo "runner: скачиваю $U -> $FN"
+            curl -fSL --retry 3 --retry-delay 2 -e 'https://opendata.digital.gov.ru/registry/numeric/downloads/' -H 'Accept: text/csv,application/csv,*/*' -A 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36' -o "$FN" "$U"
+          done
+          echo "=== скачано на runner ==="
+          ls -lh /tmp/rv | tee /tmp/op.log
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" 'mkdir -p /tmp/rvup && rm -f /tmp/rvup/*.csv'
+          scp -i ~/.ssh/liderra_deploy /tmp/rv/*.csv "${LIDERRA_USER}@${LIDERRA_HOST}:/tmp/rvup/"
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" 'sudo mkdir -p /var/www/liderra/rossvyaz && sudo mv /tmp/rvup/*.csv /var/www/liderra/rossvyaz/ && sudo chown -R www-data:www-data /var/www/liderra/rossvyaz && echo "=== на проде /var/www/liderra/rossvyaz ===" && ls -lh /var/www/liderra/rossvyaz' | tee -a /tmp/op.log
+
+      - name: op=deliver-from-repo (scp repo CSV/ZIP to prod, unzip there)
+        if: ${{ github.event.inputs.op == 'deliver-from-repo' }}
+        run: |
+          # Ищем файлы реестра где угодно (корень или папка), .csv или .zip
+          mapfile -t FILES < <(find . -maxdepth 2 -type f \( \( -iname 'DEF-9xx*' -o -iname 'ABC-3xx*' -o -iname 'ABC-4xx*' -o -iname 'ABC-8xx*' \) -iname '*.csv' -o -iname '*.zip' \) ! -path './.git/*')
+          if [ ${#FILES[@]} -eq 0 ]; then
+            echo "::error::Не нашёл файлов реестра (DEF-9xx/ABC-*.csv|zip) ни в корне, ни в rossvyaz-data/. Проверь, что они закоммичены в репозиторий."; exit 1
+          fi
+          echo "=== файлы в репозитории (rossvyaz-data/) ==="
+          ls -lh "${FILES[@]}" | tee /tmp/op.log
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" 'mkdir -p /tmp/rvup && rm -f /tmp/rvup/*'
+          scp -i ~/.ssh/liderra_deploy "${FILES[@]}" "${LIDERRA_USER}@${LIDERRA_HOST}:/tmp/rvup/"
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" '
+            cd /tmp/rvup
+            for z in *.zip *.ZIP; do if [ -e "$z" ]; then echo "распаковываю $z"; unzip -o "$z"; rm -f "$z"; fi; done
+            sudo mkdir -p /var/www/liderra/rossvyaz
+            find . -iname "*.csv" -exec sudo mv {} /var/www/liderra/rossvyaz/ \;
+            sudo chown -R www-data:www-data /var/www/liderra/rossvyaz
+            echo "=== на проде /var/www/liderra/rossvyaz ==="
+            ls -lh /var/www/liderra/rossvyaz
+          ' | tee -a /tmp/op.log
+
+      - name: op=import (phone-ranges:import)
+        if: ${{ github.event.inputs.op == 'import' }}
+        run: |
+          DRY_FLAG=""
+          if [ "${DRY}" = "true" ]; then DRY_FLAG="--dry-run"; fi
+          FORCE_FLAG=""
+          if [ "${FORCE}" = "true" ]; then FORCE_FLAG="--force"; fi
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" \
+            "APP_DIR='$APP_DIR' DIR='$DIR' DRY_FLAG='$DRY_FLAG' FORCE_FLAG='$FORCE_FLAG' bash -s" <<'REMOTE' | tee /tmp/op.log
+            set -e
+            cd "$APP_DIR"
+            echo "=== phone-ranges:import --dir=${DIR} ${DRY_FLAG} ${FORCE_FLAG} ==="
+            sudo -u www-data php artisan phone-ranges:import --dir="$DIR" $DRY_FLAG $FORCE_FLAG 2>&1
+            echo "=== Счётчики ==="
+            sudo -u postgres psql -d liderra -c "SELECT count(*) AS phone_ranges FROM phone_ranges" 2>&1 || true
+            # staging-счётчик: 2 отдельных запроса, чтобы Postgres не парсил
+            # подзапрос к phone_ranges_staging, когда таблица уже свапнута (иначе
+            # ERROR relation "phone_ranges_staging" does not exist даже в ветке CASE).
+            STAGING_EXISTS=$(sudo -u postgres psql -d liderra -tAc "SELECT to_regclass('phone_ranges_staging') IS NOT NULL")
+            if [ "$STAGING_EXISTS" = "t" ]; then
+              sudo -u postgres psql -d liderra -c "SELECT count(*) AS staging_rows FROM phone_ranges_staging" 2>&1 || true
+            else
+              echo "staging: отсутствует (после свапа — норма)"
+            fi
+            echo "=== Последний импорт ==="
+            sudo -u postgres psql -d liderra -c \
+              "SELECT id, status, rows_inserted, rows_updated, imported_at FROM phone_ranges_imports ORDER BY id DESC LIMIT 3" 2>&1 || true
+          REMOTE
+
+      - name: op=smoke (phone-region:smoke)
+        if: ${{ github.event.inputs.op == 'smoke' }}
+        run: |
+          ssh -i ~/.ssh/liderra_deploy "${LIDERRA_USER}@${LIDERRA_HOST}" \
+            "APP_DIR='$APP_DIR' PHONE='$PHONE' bash -s" <<'REMOTE' | tee /tmp/op.log
+            set -e
+            cd "$APP_DIR"
+            echo "=== phone-region:smoke --phone=${PHONE} ==="
+            sudo -u www-data php artisan phone-region:smoke --phone="$PHONE" 2>&1
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## lead-region-ops: \`${OP}\`"
+            echo
+            echo '```'
+            cat /tmp/op.log 2>/dev/null || echo "(нет вывода)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,96 @@
+name: Diagnose PostgreSQL state on liderra.ru
+
+# Read-only diagnostic для incident "PG не принимает connections".
+# Запускается вручную: gh workflow run pg-diagnose.yml --ref <branch>
+# Ничего не меняет на проде — только читает systemctl/journalctl/df/free/uptime
+# + tail последних 200 строк postgresql-16-main.log.
+
+on:
+  workflow_dispatch:
+
+jobs:
+  diagnose:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run PG diagnostic on prod
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "bash -s" <<'REMOTE' | tee /tmp/pg-diagnose.log
+          set +e
+          echo "=== 1. hostname + UTC time ==="
+          echo "host=$(hostname); utc=$(date -u)"
+          echo
+          echo "=== 2. uptime ==="
+          uptime
+          echo
+          echo "=== 3. last reboot ==="
+          who -b
+          last reboot --time-format=iso | head -5
+          echo
+          echo "=== 4. df -h / and /var ==="
+          df -h / /var /var/lib/postgresql 2>&1 | head -10
+          echo
+          echo "=== 5. free -h ==="
+          free -h
+          echo
+          echo "=== 6. systemctl status postgresql ==="
+          sudo systemctl status postgresql --no-pager 2>&1 | head -30
+          echo
+          echo "=== 7. systemctl status postgresql@16-main (cluster) ==="
+          sudo systemctl status postgresql@16-main --no-pager 2>&1 | head -30
+          echo
+          echo "=== 8. nginx + php-fpm status (one-line each) ==="
+          sudo systemctl is-active nginx php8.3-fpm liderra-queue 2>&1
+          echo
+          echo "=== 9. ps aux | postgres (top 15) ==="
+          ps auxf | grep -E "(postgres|recovery)" | grep -v grep | head -15
+          echo
+          echo "=== 10. journalctl postgresql last 80 lines ==="
+          sudo journalctl -u postgresql -n 80 --no-pager 2>&1 | tail -80
+          echo
+          echo "=== 11. journalctl postgresql@16-main last 80 lines ==="
+          sudo journalctl -u postgresql@16-main -n 80 --no-pager 2>&1 | tail -80
+          echo
+          echo "=== 12. tail -100 /var/log/postgresql/postgresql-16-main.log ==="
+          sudo tail -100 /var/log/postgresql/postgresql-16-main.log 2>&1
+          echo
+          echo "=== 13. WAL size and count ==="
+          sudo du -sh /var/lib/postgresql/16/main/pg_wal 2>&1
+          sudo ls /var/lib/postgresql/16/main/pg_wal 2>&1 | wc -l
+          echo
+          echo "=== 14. dmesg tail (kernel events, OOM, IO errors) ==="
+          sudo dmesg -T 2>&1 | tail -40
+          echo
+          echo "=== 15. liderra.ru HTTPS probe ==="
+          curl -sI -o /dev/null -w "HTTP %{http_code}\nTotal: %{time_total}s\n" https://liderra.ru/ --max-time 10
+          echo
+          echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## PG diagnostic on liderra.ru"
+            echo
+            echo '```'
+            cat /tmp/pg-diagnose.log 2>/dev/null || echo "(no log captured)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,192 @@
+name: Pre-deploy validation (8 checks)
+
+# Цель: воспроизвести 8 проверок project-local агента `prod-deploy-validator`
+# (#85) через GitHub Actions Azure runner — обход YC backbone-фильтра,
+# который блокирует direct SSH с dev-IP 89.144.17.119.
+#
+# Запускается вручную: gh workflow run pre-deploy-checks.yml
+# Read-only — ничего не меняет на проде.
+#
+# 8 checks (per Pravila §2.4 / agent .claude/agents/prod-deploy-validator.md):
+#   1. config:cache владелец (quirk 107 — должен быть www-data:www-data, не root)
+#   2. .env line endings (CRLF → артефакты)
+#   3. свободное место (< 80% использовано)
+#   4. свежесть бэкапа БД (≤ 24ч)
+#   5. health очереди liderra-queue (active + queue length < 1000)
+#   6. nginx syntax (nginx -t)
+#   7. fail2ban active (service running)
+#   8. pending миграции (php artisan migrate:status — для текущего deploy ожидается 0)
+#
+# Использует тот же LIDERRA_SSH_KEY что и deploy.yml.
+
+on:
+  workflow_dispatch:
+
+jobs:
+  preflight:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      APP_DIR: /var/www/liderra/app
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run 8 pre-flight checks on prod
+        id: checks
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "APP_DIR='${APP_DIR}' bash -s" <<'REMOTE' | tee /tmp/preflight.log
+            set +e
+            FAILS=0
+
+            echo "=== Check 1: config:cache file owner (quirk 107) ==="
+            CFG_FILE="${APP_DIR}/bootstrap/cache/config.php"
+            if sudo test -f "$CFG_FILE"; then
+              OWNER=$(sudo stat -c '%U:%G' "$CFG_FILE")
+              echo "  Owner: $OWNER"
+              if [ "$OWNER" = "www-data:www-data" ]; then
+                echo "  ✓ PASS"
+              else
+                echo "  ✗ FAIL — expected www-data:www-data (quirk 107: prod incident 24.05.2026)"
+                FAILS=$((FAILS+1))
+              fi
+            else
+              echo "  ~ SKIP — config.php не существует (будет создан deploy'ем)"
+            fi
+            echo
+
+            echo "=== Check 2: .env line endings (no CRLF) ==="
+            ENV_FILE="${APP_DIR}/.env"
+            if sudo test -f "$ENV_FILE"; then
+              CRLF_COUNT=$(sudo grep -c $'\r' "$ENV_FILE" 2>/dev/null || echo "0")
+              echo "  CRLF chars: $CRLF_COUNT"
+              if [ "$CRLF_COUNT" = "0" ]; then
+                echo "  ✓ PASS"
+              else
+                echo "  ✗ FAIL — .env содержит CRLF ($CRLF_COUNT строк)"
+                FAILS=$((FAILS+1))
+              fi
+            else
+              echo "  ✗ FAIL — .env not found"
+              FAILS=$((FAILS+1))
+            fi
+            echo
+
+            echo "=== Check 3: free disk space (< 80% used) ==="
+            DF_USED=$(df / | tail -1 | awk '{print $5}' | tr -d '%')
+            echo "  Used: ${DF_USED}%"
+            if [ "$DF_USED" -lt 80 ]; then
+              echo "  ✓ PASS"
+            else
+              echo "  ✗ FAIL — корневой раздел ${DF_USED}% (>=80%)"
+              FAILS=$((FAILS+1))
+            fi
+            echo
+
+            echo "=== Check 4: pre-deploy backup freshness (≤ 24h) ==="
+            # deploy.yml saves app pre-deploy backups to /home/ubuntu/deploy-backups/
+            BACKUP_DIR="/home/ubuntu/deploy-backups"
+            if sudo test -d "$BACKUP_DIR"; then
+              LATEST=$(sudo find "$BACKUP_DIR" -name 'app-pre-deploy-*.tgz' -mmin -1440 2>/dev/null | sort -r | head -1)
+              if [ -n "$LATEST" ]; then
+                MTIME=$(sudo stat -c '%y' "$LATEST" 2>/dev/null)
+                echo "  Latest: $LATEST ($MTIME)"
+                echo "  ✓ PASS"
+              else
+                ANY_LATEST=$(sudo find "$BACKUP_DIR" -name 'app-pre-deploy-*.tgz' 2>/dev/null | sort -r | head -1)
+                if [ -n "$ANY_LATEST" ]; then
+                  ANY_MTIME=$(sudo stat -c '%y' "$ANY_LATEST" 2>/dev/null)
+                  echo "  i NOTE — backups exist но >24h ($ANY_LATEST, $ANY_MTIME). Не блокер deploy'а — deploy.yml сам делает свежий backup перед раскаткой."
+                else
+                  echo "  i NOTE — нет pre-deploy бэкапов в $BACKUP_DIR. Не блокер — deploy.yml создаст backup сам."
+                fi
+              fi
+            else
+              echo "  i NOTE — backup dir $BACKUP_DIR не существует (первый deploy?). deploy.yml создаст dir."
+            fi
+            echo
+
+            echo "=== Check 5: queue health (liderra-queue active + depth) ==="
+            QUEUE_STATUS=$(systemctl is-active liderra-queue 2>&1)
+            echo "  Service: $QUEUE_STATUS"
+            if [ "$QUEUE_STATUS" = "active" ]; then
+              echo "  ✓ PASS (service active)"
+            else
+              echo "  ✗ FAIL — liderra-queue не active"
+              FAILS=$((FAILS+1))
+            fi
+            # NB: queue depth check would need Redis access; skipped (not critical for this deploy)
+            echo
+
+            echo "=== Check 6: nginx syntax ==="
+            NGINX_TEST=$(sudo nginx -t 2>&1)
+            echo "$NGINX_TEST" | sed 's/^/  /'
+            if echo "$NGINX_TEST" | grep -q "syntax is ok" && echo "$NGINX_TEST" | grep -q "test is successful"; then
+              echo "  ✓ PASS"
+            else
+              echo "  ✗ FAIL — nginx syntax error"
+              FAILS=$((FAILS+1))
+            fi
+            echo
+
+            echo "=== Check 7: fail2ban active ==="
+            F2B_STATUS=$(systemctl is-active fail2ban 2>&1)
+            echo "  Service: $F2B_STATUS"
+            if [ "$F2B_STATUS" = "active" ]; then
+              echo "  ✓ PASS"
+            else
+              echo "  ✗ FAIL — fail2ban не active"
+              FAILS=$((FAILS+1))
+            fi
+            echo
+
+            echo "=== Check 8: pending migrations ==="
+            cd "${APP_DIR}"
+            MIG_STATUS=$(sudo -u www-data php artisan migrate:status 2>&1)
+            PENDING=$(echo "$MIG_STATUS" | grep -c "Pending")
+            echo "  Pending count: $PENDING"
+            if [ "$PENDING" = "0" ]; then
+              echo "  ✓ PASS — 0 pending migrations"
+            else
+              echo "  i NOTE — $PENDING pending migrations (deploy.yml runs them automatically)"
+              # NB: Pending miграции — это НЕ FAIL для этого deploy (план не включает миграции;
+              # deploy.yml выполнит их сам). Помечается как INFO, не FAIL.
+            fi
+            echo
+
+            echo "=== SUMMARY ==="
+            echo "Total failures: $FAILS"
+            if [ "$FAILS" = "0" ]; then
+              echo "VERDICT: GO"
+              exit 0
+            else
+              echo "VERDICT: NO-GO ($FAILS check(s) failed)"
+              exit 1
+            fi
+          REMOTE
+          REMOTE_EXIT=$?
+          echo "remote_exit=$REMOTE_EXIT" >> "$GITHUB_OUTPUT"
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## Pre-deploy 8-check validation for liderra.ru"
+            echo
+            echo '```'
+            cat /tmp/preflight.log 2>/dev/null || echo "(no log captured)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,167 @@
+name: Setup logrotate for Laravel logs (incident prevention)
+
+# Incident response prevention: 8.7G laravel.log заполнил диск (29.05.2026).
+# Существующий daily rotation (laravel.log.1) недостаточен — за один день шторма
+# accumulated 8.7G. Нужна size-based rotation с лимитом.
+#
+# This workflow installs /etc/logrotate.d/laravel-liderra config:
+#   - size 50M (rotate when file >= 50MB, не daily)
+#   - rotate 5 (keep 5 rotated copies)
+#   - compress (gzip rotated files)
+#   - copytruncate (atomic copy + truncate inode-preserving, Laravel handle continues)
+#   - notifempty (skip if empty)
+#   - su www-data www-data (correct ownership)
+#
+# Тестируется logrotate --debug сразу после установки.
+#
+# Ref: root-cause analysis incident 2026-05-29
+
+on:
+  workflow_dispatch:
+    inputs:
+      confirm_apply:
+        description: 'Подтверждаю установку logrotate конфига на проде'
+        required: true
+        default: 'false'
+        type: boolean
+
+jobs:
+  setup:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      CONFIRM: ${{ github.event.inputs.confirm_apply }}
+
+    steps:
+      - name: Guard
+        run: |
+          if [[ "$CONFIRM" != "true" ]]; then
+            echo "::error::confirm_apply=true required"
+            exit 1
+          fi
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Install logrotate config + verify
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "bash -s" <<'REMOTE' | tee /tmp/logrotate-setup.log
+          set +e
+
+          echo "=== 1. Discover Laravel logs path ==="
+          LARAVEL_LOG_DIR=""
+          for candidate in /var/www/liderra/app/storage/logs /var/www/lidpotok/storage/logs; do
+            if [[ -d "$candidate" ]]; then
+              LARAVEL_LOG_DIR="$candidate"
+              break
+            fi
+          done
+          echo "LARAVEL_LOG_DIR=$LARAVEL_LOG_DIR"
+          if [[ -z "$LARAVEL_LOG_DIR" ]]; then
+            echo "::error::Cannot find Laravel logs directory"
+            exit 1
+          fi
+          echo "Current sizes:"
+          sudo du -sh "$LARAVEL_LOG_DIR"/*.log 2>/dev/null | head -10
+
+          echo
+          echo "=== 2. Write logrotate config to /etc/logrotate.d/laravel-liderra ==="
+          sudo tee /etc/logrotate.d/laravel-liderra > /dev/null <<EOF
+          $LARAVEL_LOG_DIR/*.log {
+              size 50M
+              rotate 5
+              compress
+              delaycompress
+              missingok
+              notifempty
+              copytruncate
+              su www-data www-data
+              create 0644 www-data www-data
+          }
+          EOF
+          echo "Wrote config:"
+          sudo cat /etc/logrotate.d/laravel-liderra
+          sudo chmod 0644 /etc/logrotate.d/laravel-liderra
+
+          echo
+          echo "=== 3. Verify config syntax via logrotate --debug ==="
+          sudo logrotate --debug /etc/logrotate.d/laravel-liderra 2>&1 | head -30
+
+          echo
+          echo "=== 4. Trigger rotation now (--force) for clean state ==="
+          sudo logrotate --force /etc/logrotate.d/laravel-liderra 2>&1 | tail -10
+
+          echo
+          echo "=== 5. PostgreSQL log rotation config ==="
+          # Default Ubuntu postgresql-common rotates daily without size cap.
+          # We override with size 100M / rotate 7 / postrotate SIGHUP (PG reopens log).
+          # Higher alpha order than postgresql-common → processed later → wins on same files.
+          sudo tee /etc/logrotate.d/postgresql-liderra > /dev/null <<EOF
+          /var/log/postgresql/*.log {
+              su postgres postgres
+              size 100M
+              rotate 7
+              compress
+              delaycompress
+              missingok
+              notifempty
+              create 0640 postgres adm
+              sharedscripts
+              postrotate
+                  # SIGHUP postmaster для re-open log file (standard PG idiom).
+                  # PG holds log file handle open — без SIGHUP write goes to old (deleted) inode.
+                  if [ -f /var/run/postgresql/16-main.pid ]; then
+                      kill -HUP \$(cat /var/run/postgresql/16-main.pid) 2>/dev/null || true
+                  fi
+              endscript
+          }
+          EOF
+          echo "Wrote /etc/logrotate.d/postgresql-liderra:"
+          sudo cat /etc/logrotate.d/postgresql-liderra
+          sudo chmod 0644 /etc/logrotate.d/postgresql-liderra
+
+          echo
+          echo "=== 6. Verify PG logrotate syntax ==="
+          sudo logrotate --debug /etc/logrotate.d/postgresql-liderra 2>&1 | head -20
+
+          echo
+          echo "=== 7. Force PG log rotation now (clean state) ==="
+          sudo logrotate --force /etc/logrotate.d/postgresql-liderra 2>&1 | tail -10
+
+          echo
+          echo "=== 8. AFTER: PG log directory state ==="
+          sudo ls -lah /var/log/postgresql/ 2>&1 | head -10
+
+          echo
+          echo "=== 9. AFTER: Laravel log directory state ==="
+          sudo ls -lah "$LARAVEL_LOG_DIR/" 2>&1 | head -20
+          echo
+          echo "=== 10. Disk free ==="
+          df -h / 2>&1 | head -3
+
+          echo
+          echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## logrotate setup"
+            echo
+            echo '```'
+            cat /tmp/logrotate-setup.log 2>/dev/null || echo "(no log)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,208 @@
+name: SQL rebuild audit hash-chain (per-tenant via postgres)
+
+# Запускает per-tenant rebuild hash-chain для аудит-партиции через
+# sudo -u postgres psql (обход limitation crm_supplier_worker роли —
+# она не может SET session_replication_role).
+#
+# Поддерживает 2 таблицы (Stage 5 finding 1+2):
+#   - activity_log → ROW(id,tenant_id,user_id,deal_id,event,old_value,
+#     new_value,context,ip_address,user_agent,NULL::bytea,created_at)
+#   - balance_transactions → ROW(id,tenant_id,type,amount_rub,amount_leads,
+#     balance_rub_after,balance_leads_after,description,related_type,
+#     related_id,user_id,admin_user_id,NULL::bytea,created_at)
+
+on:
+  workflow_dispatch:
+    inputs:
+      partition:
+        description: 'Имя партиции, например activity_log_y2026_m05'
+        required: true
+        type: string
+      from_id:
+        description: 'ID с которого начать пересчёт (включительно)'
+        required: true
+        type: string
+      table_kind:
+        description: 'activity_log | balance_transactions | pd_processing_log | tenant_operations_log'
+        required: true
+        type: choice
+        options:
+          - activity_log
+          - balance_transactions
+          - pd_processing_log
+          - tenant_operations_log
+      confirm_apply:
+        description: 'Подтверждаю выполнение mutating cleanup'
+        required: true
+        default: false
+        type: boolean
+
+jobs:
+  rebuild:
+    runs-on: ubuntu-latest
+    timeout-minutes: 10
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      PARTITION: ${{ github.event.inputs.partition }}
+      FROM_ID: ${{ github.event.inputs.from_id }}
+      TABLE_KIND: ${{ github.event.inputs.table_kind }}
+
+    steps:
+      - name: Confirm check
+        run: |
+          if [[ "${{ github.event.inputs.confirm_apply }}" != "true" ]]; then
+            echo "::error::confirm_apply=true обязателен"
+            exit 1
+          fi
+          # Sanity: partition must match table_kind
+          case "$TABLE_KIND" in
+            activity_log)
+              if [[ ! "$PARTITION" =~ ^activity_log_y[0-9]{4}_m[0-9]{2}$ ]]; then
+                echo "::error::partition '$PARTITION' не соответствует table_kind=activity_log"
+                exit 1
+              fi
+              ;;
+            balance_transactions)
+              if [[ ! "$PARTITION" =~ ^balance_transactions_y[0-9]{4}_m[0-9]{2}$ ]]; then
+                echo "::error::partition '$PARTITION' не соответствует table_kind=balance_transactions"
+                exit 1
+              fi
+              ;;
+            pd_processing_log)
+              if [[ ! "$PARTITION" =~ ^pd_processing_log_y[0-9]{4}_m[0-9]{2}$ ]]; then
+                echo "::error::partition '$PARTITION' не соответствует table_kind=pd_processing_log"
+                exit 1
+              fi
+              ;;
+            tenant_operations_log)
+              if [[ ! "$PARTITION" =~ ^tenant_operations_log_y[0-9]{4}_m[0-9]{2}$ ]]; then
+                echo "::error::partition '$PARTITION' не соответствует table_kind=tenant_operations_log"
+                exit 1
+              fi
+              ;;
+            *)
+              echo "::error::table_kind unknown"
+              exit 1
+              ;;
+          esac
+          if ! [[ "$FROM_ID" =~ ^[0-9]+$ ]]; then
+            echo "::error::from_id must be numeric"
+            exit 1
+          fi
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Execute SQL rebuild on prod
+        run: |
+          # Build ROW expression per table_kind (mirror AuditChainConfig::TABLES)
+          case "$TABLE_KIND" in
+            activity_log)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.user_id, t.deal_id, t.event, t.old_value, t.new_value, t.context, t.ip_address, t.user_agent, NULL::bytea, t.created_at)"
+              ;;
+            balance_transactions)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.type, t.amount_rub, t.amount_leads, t.balance_rub_after, t.balance_leads_after, t.description, t.related_type, t.related_id, t.user_id, t.admin_user_id, NULL::bytea, t.created_at)"
+              ;;
+            pd_processing_log)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.subject_type, t.subject_id, t.action, t.purpose, t.actor_tenant_user_id, t.actor_admin_user_id, t.ip_address, NULL::bytea, t.created_at)"
+              ;;
+            tenant_operations_log)
+              ROW_EXPR="ROW(t.id, t.tenant_id, t.user_id, t.entity_type, t.entity_id, t.event, t.payload_before, t.payload_after, t.ip_address, t.user_agent, NULL::bytea, t.created_at)"
+              ;;
+          esac
+
+          # Build SQL with substituted PARTITION + FROM_ID + ROW_EXPR
+          cat > /tmp/rebuild.sql <<SQL
+          \\set ON_ERROR_STOP 1
+
+          SELECT 'BEFORE: mismatches in partition' AS phase, COUNT(*) AS cnt
+          FROM (
+            WITH ordered AS (
+              SELECT id, tenant_id, log_hash AS stored_hash,
+                     LAG(log_hash) OVER (PARTITION BY tenant_id ORDER BY id) AS prev_hash
+              FROM ${PARTITION}
+            )
+            SELECT o.id
+            FROM ordered o
+            WHERE o.stored_hash IS DISTINCT FROM
+              digest(
+                COALESCE(o.prev_hash, ''::bytea)
+                || (SELECT ${ROW_EXPR}::text::bytea FROM ${PARTITION} t WHERE t.id = o.id),
+                'sha256'
+              )
+          ) sub;
+
+          DO \$\$
+          DECLARE
+            tenant_rec RECORD;
+            row_rec RECORD;
+            prev_hash BYTEA;
+            new_hash BYTEA;
+            updated_count INT := 0;
+            tenant_count INT := 0;
+          BEGIN
+            SET session_replication_role = 'replica';
+
+            FOR tenant_rec IN
+              SELECT DISTINCT tenant_id FROM ${PARTITION} WHERE id >= ${FROM_ID} ORDER BY tenant_id
+            LOOP
+              tenant_count := tenant_count + 1;
+
+              SELECT log_hash INTO prev_hash
+              FROM ${PARTITION}
+              WHERE tenant_id = tenant_rec.tenant_id AND id < ${FROM_ID}
+              ORDER BY id DESC LIMIT 1;
+
+              FOR row_rec IN
+                SELECT id FROM ${PARTITION}
+                WHERE tenant_id = tenant_rec.tenant_id AND id >= ${FROM_ID}
+                ORDER BY id
+              LOOP
+                UPDATE ${PARTITION} p
+                SET log_hash = digest(
+                  COALESCE(prev_hash, ''::bytea)
+                  || (SELECT ${ROW_EXPR}::text::bytea FROM ${PARTITION} t WHERE t.id = row_rec.id),
+                  'sha256'
+                )
+                WHERE p.id = row_rec.id
+                RETURNING log_hash INTO new_hash;
+
+                prev_hash := new_hash;
+                updated_count := updated_count + 1;
+              END LOOP;
+            END LOOP;
+
+            SET session_replication_role = 'origin';
+            RAISE NOTICE 'Rebuild complete: % tenants, % rows updated', tenant_count, updated_count;
+          END\$\$;
+
+          SELECT 'AFTER: mismatches in partition' AS phase, COUNT(*) AS cnt
+          FROM (
+            WITH ordered AS (
+              SELECT id, tenant_id, log_hash AS stored_hash,
+                     LAG(log_hash) OVER (PARTITION BY tenant_id ORDER BY id) AS prev_hash
+              FROM ${PARTITION}
+            )
+            SELECT o.id
+            FROM ordered o
+            WHERE o.stored_hash IS DISTINCT FROM
+              digest(
+                COALESCE(o.prev_hash, ''::bytea)
+                || (SELECT ${ROW_EXPR}::text::bytea FROM ${PARTITION} t WHERE t.id = o.id),
+                'sha256'
+              )
+          ) sub;
+          SQL
+
+          scp -i ~/.ssh/liderra_deploy /tmp/rebuild.sql ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }}:/tmp/rebuild.sql
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} 'sudo -u postgres psql -d liderra -f /tmp/rebuild.sql && rm /tmp/rebuild.sql'
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,104 @@
+name: Run whitelisted SQL on liderra.ru
+
+on:
+  workflow_dispatch:
+    inputs:
+      sql:
+        description: 'SQL query (SELECT only by default; UPDATE/DELETE need confirm_mutating=true)'
+        required: true
+        type: string
+      confirm_mutating:
+        description: 'Подтверждаю UPDATE/DELETE на проде'
+        required: false
+        default: false
+        type: boolean
+
+jobs:
+  run:
+    runs-on: ubuntu-latest
+    timeout-minutes: 10
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      SQL: ${{ github.event.inputs.sql }}
+      CONFIRM_MUT: ${{ github.event.inputs.confirm_mutating }}
+
+    steps:
+      - name: Whitelist check
+        run: |
+          set -euo pipefail
+          SQL_LOWER=$(echo "$SQL" | tr '[:upper:]' '[:lower:]' | sed 's/^[[:space:]]*//;s/[[:space:]]*$//')
+
+          # Reject multi-statement SQL — `;` would let SELECT-prefixed payloads
+          # smuggle UPDATE/DELETE past READ_RE without confirm_mutating=true.
+          # Trailing single `;` is also rejected for symmetry (use no trailing `;`).
+          if [[ "$SQL_LOWER" == *";"* ]]; then
+            echo "::error::Multi-statement SQL is not allowed (no semicolons)."
+            exit 1
+          fi
+
+          # Allow: SELECT / WITH (CTE) / \d / EXPLAIN
+          READ_RE='^(select |with |explain |\\d|\\df|\\di|\\dt)'
+
+          # Mutating allowed if confirm=true: targeted UPDATE/DELETE on specific tables
+          MUTATING_RE='^(update supplier_leads|update supplier_projects|update failed_webhook_jobs|update scheduler_heartbeats|delete from failed_webhook_jobs|delete from incidents_log) '
+
+          if [[ "$SQL_LOWER" =~ $READ_RE ]]; then
+            echo "::notice::SELECT/read-only — allowed."
+            exit 0
+          fi
+
+          if [[ "$SQL_LOWER" =~ $MUTATING_RE ]]; then
+            if [[ "$CONFIRM_MUT" != "true" ]]; then
+              echo "::error::Mutating SQL requires confirm_mutating=true."
+              exit 1
+            fi
+            echo "::warning::Mutating SQL authorized."
+            exit 0
+          fi
+
+          echo "::error::SQL not in whitelist: $SQL_LOWER"
+          exit 1
+
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run on prod
+        run: |
+          set -o pipefail
+          SQL_B64=$(printf '%s' "$SQL" | base64 -w0)
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "SQL_B64='$SQL_B64' bash -s" <<'REMOTE' | tee /tmp/sql.log
+            SQL=$(echo "$SQL_B64" | base64 -d)
+            echo "=== Running on $(hostname) at $(date -u) ==="
+            echo "SQL: $SQL"
+            echo
+            sudo -u postgres psql -d liderra -c "$SQL"
+            RC=$?
+            echo
+            echo "=== Exit code: $RC ==="
+            exit $RC
+          REMOTE
+
+      - name: Summary
+        if: always()
+        run: |
+          {
+            echo "## SQL on prod"
+            echo
+            echo '```sql'
+            echo "$SQL"
+            echo '```'
+            echo
+            echo '```'
+            cat /tmp/sql.log 2>/dev/null
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,136 @@
+name: Diagnose SSH access to liderra.ru
+
+# Цель: понять, почему dev-IP 89.144.17.119 не пускают по SSH.
+# Запускается вручную: gh workflow run ssh-diagnose.yml -f dev_ip=89.144.17.119
+# Ничего не меняет на проде — только читает состояние fail2ban / iptables / sshd /
+# auth.log.
+#
+# Использует тот же LIDERRA_SSH_KEY что и deploy.yml.
+
+on:
+  workflow_dispatch:
+    inputs:
+      dev_ip:
+        description: 'IP который нужно проверить на блок (по умолчанию 89.144.17.119)'
+        required: true
+        default: '89.144.17.119'
+        type: string
+
+jobs:
+  diagnose:
+    runs-on: ubuntu-latest
+    timeout-minutes: 5
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+      DEV_IP: ${{ github.event.inputs.dev_ip }}
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run diagnostic queries on prod
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} \
+            "DEV_IP='${DEV_IP}' bash -s" <<'REMOTE' | tee /tmp/diagnose.log
+            set +e
+            echo "=== 1. fail2ban status (sshd jail) ==="
+            sudo fail2ban-client status sshd 2>&1 | head -30 || echo "fail2ban not available"
+
+            echo
+            echo "=== 2. Is ${DEV_IP} currently banned by fail2ban? ==="
+            sudo fail2ban-client get sshd banip 2>&1 | grep -F "${DEV_IP}" || echo "NOT IN fail2ban banlist"
+
+            echo
+            echo "=== 3. Recent fail2ban actions for ${DEV_IP} (last 50 lines) ==="
+            sudo grep -F "${DEV_IP}" /var/log/fail2ban.log 2>/dev/null | tail -50 || echo "no fail2ban log entries"
+
+            echo
+            echo "=== 4. iptables INPUT rules referencing ${DEV_IP} or :22 ==="
+            sudo iptables -L INPUT -n -v --line-numbers 2>&1 | grep -E "(${DEV_IP}|dpt:22|tcp dpt:ssh|f2b)" || echo "no specific INPUT rules"
+
+            echo
+            echo "=== 5. iptables chains containing fail2ban (f2b-*) ==="
+            sudo iptables -L -n 2>&1 | grep -E "^Chain (f2b|INPUT)" | head -10
+
+            echo
+            echo "=== 6. Full f2b-sshd chain (entries banning IPs) ==="
+            sudo iptables -L f2b-sshd -n -v --line-numbers 2>&1 | head -40 || echo "no f2b-sshd chain"
+
+            echo
+            echo "=== 7. Recent SSH failed attempts from ${DEV_IP} (last 30 lines auth.log) ==="
+            sudo grep -F "${DEV_IP}" /var/log/auth.log 2>/dev/null | tail -30 || echo "no auth.log entries"
+
+            echo
+            echo "=== 8. Active sshd config: AllowUsers / DenyUsers / Match blocks ==="
+            sudo grep -E "^(AllowUsers|DenyUsers|AllowGroups|DenyGroups|Match)" /etc/ssh/sshd_config 2>&1 || true
+            sudo ls /etc/ssh/sshd_config.d/ 2>&1
+            sudo grep -E "^(AllowUsers|DenyUsers|AllowGroups|DenyGroups|Match)" /etc/ssh/sshd_config.d/*.conf 2>/dev/null || echo "no relevant entries in sshd_config.d"
+
+            echo
+            echo "=== 9. hosts.deny / hosts.allow ==="
+            echo "--- /etc/hosts.deny ---"
+            sudo cat /etc/hosts.deny 2>/dev/null | grep -v '^#' | grep -v '^$' || echo "(empty)"
+            echo "--- /etc/hosts.allow ---"
+            sudo cat /etc/hosts.allow 2>/dev/null | grep -v '^#' | grep -v '^$' || echo "(empty)"
+
+            echo
+            echo "=== 10. ufw status (если используется) ==="
+            sudo ufw status verbose 2>&1 | head -20 || echo "ufw not active"
+
+            echo
+            echo "=== 11. nftables ruleset (если активен) ==="
+            sudo nft list ruleset 2>&1 | head -40 || echo "nftables not active"
+
+            echo
+            echo "=== 12. Last 5 successful SSH logins (who logged in last) ==="
+            last -n 5 ubuntu 2>&1 | head -10
+
+            echo
+            echo "=== 13. Full content of /etc/ssh/sshd_config.d/01-claude.conf ==="
+            sudo cat /etc/ssh/sshd_config.d/01-claude.conf 2>&1 | head -80
+
+            echo
+            echo "=== 14. nftables full ruleset (f2b-table content) ==="
+            sudo nft list ruleset 2>&1 | head -120
+
+            echo
+            echo "=== 15. journalctl ssh.service last 30min ==="
+            sudo journalctl -u ssh.service --since="30 minutes ago" --no-pager 2>&1 | tail -40
+
+            echo
+            echo "=== 16. /etc/fail2ban/jail.d/ content ==="
+            sudo ls -la /etc/fail2ban/jail.d/ 2>&1
+            echo "--- whitelist-dev.conf ---"
+            sudo cat /etc/fail2ban/jail.d/whitelist-dev.conf 2>&1 || echo "(missing)"
+            echo "--- jail.local ---"
+            sudo cat /etc/fail2ban/jail.local 2>&1 | head -40 || echo "(missing)"
+
+            echo
+            echo "=== 17. recidive jail (if any — long-term ban) ==="
+            sudo fail2ban-client status recidive 2>&1 | head -20 || echo "no recidive jail"
+            sudo fail2ban-client get recidive banip 2>&1 | grep -F "${DEV_IP}" || echo "NOT IN recidive"
+
+            echo
+            echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## SSH diagnostic for $DEV_IP → $LIDERRA_HOST"
+            echo
+            echo '```'
+            cat /tmp/diagnose.log 2>/dev/null || echo "(no log captured)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,117 @@
+name: Stage 5 daily monitor (29.05→04.06)
+
+# Автоматический ежедневный мониторинг 3 ключевых сигналов прода
+# во время 7-дневного окна перед переключением supplier_export_mode
+# online→batch (Stage 5 Task 5.1).
+#
+# Запускается GitHub-cron'ом каждое утро 06:00 UTC (09:00 МСК)
+# 29.05.2026 — 04.06.2026 (после 04.06 workflow можно отключить
+# через UI Actions tab → Disable workflow, либо удалить файл).
+# Также доступен ручной запуск через workflow_dispatch.
+#
+# Выводит результаты в job summary + сохраняет как artifact.
+#
+# План мониторинга:
+# docs/superpowers/plans/2026-05-29-stage5-monitoring-checklist.md
+
+on:
+  schedule:
+    # 06:00 UTC = 09:00 МСК ежедневно
+    - cron: '0 6 * * *'
+  workflow_dispatch:
+
+jobs:
+  monitor:
+    runs-on: ubuntu-latest
+    timeout-minutes: 10
+
+    # Жёсткий стоп — workflow ничего не делает после 04.06.2026 даже
+    # если кто-то забудет отключить. CRON в GitHub Actions не имеет
+    # "until date" — реализуем через if-check на runner side.
+    if: github.event_name == 'workflow_dispatch' || github.event.schedule == '0 6 * * *'
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+
+    steps:
+      - name: Check window not expired
+        id: window
+        run: |
+          TODAY=$(date -u +%Y-%m-%d)
+          DEADLINE='2026-06-05'  # 04.06 + 1 день grace
+          if [[ "$TODAY" > "$DEADLINE" ]]; then
+            echo "::notice::Stage 5 monitoring window closed at $DEADLINE. Disable this workflow via Actions UI."
+            echo "skip=true" >> "$GITHUB_OUTPUT"
+          else
+            echo "skip=false" >> "$GITHUB_OUTPUT"
+          fi
+
+      - name: Setup SSH key
+        if: steps.window.outputs.skip != 'true'
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Run 3 checks
+        if: steps.window.outputs.skip != 'true'
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} 'bash -s' <<'REMOTE' | tee /tmp/monitor.log
+            set +e
+            cd /var/www/liderra/app
+            echo "=== Date: $(date -u) ==="
+
+            echo
+            echo "=== 1. scheduler:check-heartbeats ==="
+            sudo -u www-data php artisan scheduler:check-heartbeats 2>&1
+            echo "Exit: $?"
+
+            echo
+            echo "=== 2. incidents:watch-failures ==="
+            sudo -u www-data php artisan incidents:watch-failures 2>&1
+            echo "Exit: $?"
+
+            echo
+            echo "=== 3. migrate:status ==="
+            sudo -u www-data php artisan migrate:status 2>&1 | tail -8
+            echo "Exit: $?"
+
+            echo
+            echo "=== Auxiliary signals from system tables ==="
+            echo "--- last 3 incidents_log entries ---"
+            sudo -u postgres psql -d liderra -tA -c "SELECT severity, created_at, root_cause FROM incidents_log ORDER BY created_at DESC LIMIT 3;" 2>&1
+            echo "--- snapshot count last 3 days ---"
+            sudo -u postgres psql -d liderra -tA -c "SELECT snapshot_date, COUNT(*) FROM project_routing_snapshots GROUP BY 1 ORDER BY 1 DESC LIMIT 3;" 2>&1
+            echo "--- failed_webhook_jobs last 24h count ---"
+            sudo -u postgres psql -d liderra -tA -c "SELECT COUNT(*) FROM failed_webhook_jobs WHERE failed_at > NOW() - INTERVAL '24 hours';" 2>&1
+            echo "--- scheduler_heartbeats with failures ---"
+            sudo -u postgres psql -d liderra -tA -c "SELECT command_name, consecutive_failures, last_run_at FROM scheduler_heartbeats WHERE consecutive_failures > 0 ORDER BY consecutive_failures DESC;" 2>&1
+
+            echo
+            echo "=== DONE ==="
+          REMOTE
+
+      - name: Print summary
+        if: always() && steps.window.outputs.skip != 'true'
+        run: |
+          {
+            echo "## Stage 5 daily monitor — $(date -u +%Y-%m-%d)"
+            echo
+            echo '```'
+            cat /tmp/monitor.log 2>/dev/null || echo "(no output)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Upload as artifact
+        if: always() && steps.window.outputs.skip != 'true'
+        uses: actions/upload-artifact@v4
+        with:
+          name: monitor-${{ github.run_id }}
+          path: /tmp/monitor.log
+          retention-days: 14
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -0,0 +1,111 @@
+name: Stage 5 day 1 investigation — round 3 (schema + full rows)
+
+# Round 3: реальные имена колонок hash в audit-таблицах,
+# реальные имена FK в supplier_projects/supplier_leads,
+# полное содержимое битых строк (599/462) и застрявших лидов (1110/1157).
+
+on:
+  workflow_dispatch:
+
+jobs:
+  investigate:
+    runs-on: ubuntu-latest
+    timeout-minutes: 10
+
+    env:
+      LIDERRA_HOST: 111.88.246.137
+      LIDERRA_USER: ubuntu
+
+    steps:
+      - name: Setup SSH key
+        run: |
+          mkdir -p ~/.ssh
+          echo "${{ secrets.LIDERRA_SSH_KEY }}" > ~/.ssh/liderra_deploy
+          chmod 600 ~/.ssh/liderra_deploy
+          ssh-keyscan -H ${{ env.LIDERRA_HOST }} >> ~/.ssh/known_hosts 2>/dev/null
+
+      - name: Round 3 schema + rows
+        run: |
+          ssh -i ~/.ssh/liderra_deploy ${{ env.LIDERRA_USER }}@${{ env.LIDERRA_HOST }} 'bash -s' <<'REMOTE' | tee /tmp/investigate3.log
+            set +e
+            cd /var/www/liderra/app
+
+            echo "=========================================="
+            echo "SCHEMAS"
+            echo "=========================================="
+
+            echo
+            echo "--- activity_log columns ---"
+            sudo -u postgres psql -d liderra -c "SELECT column_name, data_type FROM information_schema.columns WHERE table_name='activity_log' ORDER BY ordinal_position;"
+
+            echo
+            echo "--- balance_transactions columns ---"
+            sudo -u postgres psql -d liderra -c "SELECT column_name, data_type FROM information_schema.columns WHERE table_name='balance_transactions' ORDER BY ordinal_position;"
+
+            echo
+            echo "--- supplier_projects columns ---"
+            sudo -u postgres psql -d liderra -c "SELECT column_name, data_type FROM information_schema.columns WHERE table_name='supplier_projects' ORDER BY ordinal_position;"
+
+            echo
+            echo "--- supplier_leads columns ---"
+            sudo -u postgres psql -d liderra -c "SELECT column_name, data_type FROM information_schema.columns WHERE table_name='supplier_leads' ORDER BY ordinal_position;"
+
+
+            echo
+            echo "=========================================="
+            echo "BROKEN ROWS — full SELECT *"
+            echo "=========================================="
+
+            echo
+            echo "--- activity_log_y2026_m05 ids 597-601 ---"
+            sudo -u postgres psql -d liderra -x -c "SELECT * FROM activity_log_y2026_m05 WHERE id BETWEEN 597 AND 601 ORDER BY id;"
+
+            echo
+            echo "--- balance_transactions_y2026_m05 ids 460-464 ---"
+            sudo -u postgres psql -d liderra -x -c "SELECT * FROM balance_transactions_y2026_m05 WHERE id BETWEEN 460 AND 464 ORDER BY id;"
+
+
+            echo
+            echo "=========================================="
+            echo "STUCK LEADS 1110 + 1157"
+            echo "=========================================="
+
+            echo
+            echo "--- supplier_leads.id IN (1110, 1157) ---"
+            sudo -u postgres psql -d liderra -x -c "SELECT * FROM supplier_leads WHERE id IN (1110, 1157);"
+
+            echo
+            echo "--- failed_webhook_jobs sample raw_payload for sl_id=1110 (1 row) ---"
+            sudo -u postgres psql -d liderra -x -c "SELECT * FROM failed_webhook_jobs WHERE raw_payload->>'supplier_lead_id' = '1110' ORDER BY failed_at DESC LIMIT 1;"
+
+            echo
+            echo "--- All supplier_projects with platform B1 ---"
+            sudo -u postgres psql -d liderra -c "SELECT * FROM supplier_projects WHERE platform='B1' LIMIT 5;"
+
+            echo
+            echo "=========================================="
+            echo "DONE"
+            echo "=========================================="
+          REMOTE
+
+      - name: Print summary
+        if: always()
+        run: |
+          {
+            echo "## Stage 5 day 1 investigation — round 3 schemas"
+            echo
+            echo '```'
+            cat /tmp/investigate3.log 2>/dev/null || echo "(no output)"
+            echo '```'
+          } >> "$GITHUB_STEP_SUMMARY"
+
+      - name: Upload artifact
+        if: always()
+        uses: actions/upload-artifact@v4
+        with:
+          name: investigate-day1-round3
+          path: /tmp/investigate3.log
+
+      - name: Cleanup SSH key
+        if: always()
+        run: rm -f ~/.ssh/liderra_deploy
@@ -28,6 +28,12 @@ exclude = [
  # Шаблонные плейсхолдеры
  "^\\{\\{.*\\}\\}$",
  "^\\[.*\\]$",
+  # v3.9 hooks удалены Stream G (2026-05-30), CLAUDE.md содержит исторические упоминания
+  "tools/enforce-chain-recommendation\\.mjs",
+  "tools/enforce-classifier-match\\.mjs",
+  "tools/enforce-graph-first\\.mjs",
+  "tools/enforce-semgrep-security\\.mjs",
+  "tools/enforce-override-limit\\.mjs",
  # localhost и приватные адреса
  "^https?://localhost",
  "^https?://127\\.0\\.0\\.1",
@@ -54,32 +54,7 @@
      },
      "comment": "A3 integration-tooling #47 — OpenAPI MCP (ivo-toby/mcp-openapi-server, @ivotoby/openapi-mcp-server v1.14.0, MIT). Exposes Лидерра REST API endpoints (docs/api/openapi.yaml) as MCP tools. Config via env-vars API_BASE_URL + OPENAPI_SPEC_PATH (stdio transport default). READ scope: API discovery/introspection for Claude Code. Формализован в Tooling §4.22, PSR_v1 R10.1 блок 3, Pravila §13.2."
    },
-    "marketing-metrika": {
-      "command": "npx",
-      "args": ["-y", "github:atomkraft/yandex-metrika-mcp"],
-      "env": {
-        "YANDEX_OAUTH_TOKEN": "${YANDEX_OAUTH_TOKEN}"
-      },
-      "comment": "C1 marketing-tooling #78 — Yandex Metrika MCP (vetted source: github:atomkraft/yandex-metrika-mcp, MIT — выбран по IS9-вету из 3 кандидатов, см. docs/security/marketing-vet.md). READ-ONLY аналитика: посещаемость, источники трафика, конверсии. Env: YANDEX_OAUTH_TOKEN — OAuth-токен с правами read-only. Постура IS9: READ-ONLY, мутации API Метрики не задействуются. Tooling §4.53. docs/marketing/README.md."
-    },
-    "marketing-wordstat": {
-      "command": "npx",
-      "args": ["-y", "github:SvechaPVL/yandex-mcp"],
-      "env": {
-        "YANDEX_OAUTH_TOKEN": "${YANDEX_OAUTH_TOKEN}"
-      },
-      "comment": "C1 marketing-tooling #79 — Yandex Direct+Wordstat MCP (vetted source: github:SvechaPVL/yandex-mcp, MIT — выбран по IS9-вету, см. docs/security/marketing-vet.md). Репозиторий отдаёт 128 tools (Direct + Wordstat + Метрика); по IS9-условию используются ТОЛЬКО Wordstat-инструменты для подбора ключевых слов и оценки спроса — Direct-мутации (создание/правка кампаний, изменение ставок) поведенчески запрещены через marketing-ru #77 и MKT8 (никаких автоматических трат рекламного бюджета). Env: YANDEX_OAUTH_TOKEN с минимальным scope. Tooling §4.54. docs/marketing/README.md."
-    },
-    "marketing-telegram": {
-      "command": "npx",
-      "args": ["-y", "github:chigwell/telegram-mcp"],
-      "env": {
-        "TELEGRAM_API_ID": "${TELEGRAM_API_ID}",
-        "TELEGRAM_API_HASH": "${TELEGRAM_API_HASH}",
-        "TELEGRAM_SESSION_STRING": "${TELEGRAM_SESSION_STRING}"
-      },
-      "comment": "C1 marketing-tooling #80 — Telegram MCP (chigwell/telegram-mcp, Apache-2.0, GitHub-only — не npm). Работа с Telegram-каналами и чатами Лидерры: публикация, планирование, аналитика. Env: TELEGRAM_API_ID + TELEGRAM_API_HASH (получить на https://my.telegram.org/apps) + TELEGRAM_SESSION_STRING (генерируется один раз через GramJS/Telethon, хранить в .env.local gitignored). ОБЯЗАТЕЛЬНО: выделенный Telegram-аккаунт для Лидерры, не личный (IS9-постура MKT8). Tooling §4.51. docs/marketing/README.md."
-    },
+    "_disabled_marketing_servers_note": "ОТКЛЮЧЕНЫ 2026-05-31 (владелец: «отрежь маркетинг»). Причина: их авто-генерируемые схемы (особенно wordstat — 128 tools из Яндекс.Директа) — главный подозреваемый в API 400 tools.110/113, ронявшем субагентов при bulk-load всех инструментов (subagent-driven-development). Серверы off-phase и без OAuth-токенов всё равно не стартовали. Полный конфиг — в git до этого коммита. Чтобы вернуть, восстановить три блока mcpServers: marketing-metrika (npx -y github:atomkraft/yandex-metrika-mcp; env YANDEX_OAUTH_TOKEN; READ-ONLY; Tooling §4.53), marketing-wordstat (npx -y github:SvechaPVL/yandex-mcp; env YANDEX_OAUTH_TOKEN; ТОЛЬКО Wordstat per IS9/MKT8; Tooling §4.54), marketing-telegram (npx -y github:chigwell/telegram-mcp; env TELEGRAM_API_ID/API_HASH/SESSION_STRING; выделенный аккаунт IS9; Tooling §4.51). См. docs/security/marketing-vet.md и docs/marketing/README.md.",
    "_comment_postiz_skeleton": "TODO: C1 marketing-tooling #81 — Postiz MCP (gitroomhq/postiz-app self-host + antoniolg/postiz-mcp). Активировать ПОСЛЕ: 1) развернуть Postiz self-hosted (git clone https://github.com/gitroomhq/postiz-app + docker-compose, AGPL-3.0: internal-only, no modifications); 2) провести vet лицензии antoniolg/postiz-mcp (NOT YET VERIFIED — см. docs/marketing/README.md Open vet notes); 3) подключить соцсети в Postiz UI. Будущий entry: \"marketing-postiz\": { \"command\": \"npx\", \"args\": [\"-y\", \"postiz-mcp\"], \"env\": { \"POSTIZ_API_URL\": \"${POSTIZ_API_URL}\", \"POSTIZ_API_KEY\": \"${POSTIZ_API_KEY}\" }, \"comment\": \"C1 #81 post-activation\" }. Tooling §4.52. docs/marketing/README.md."
  }
 }
@@ -0,0 +1,225 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Console\Commands;
+
+use App\Services\Audit\AuditChainConfig;
+use Illuminate\Console\Command;
+use Illuminate\Support\Facades\DB;
+
+/**
+ * Пересчитывает hash-цепь в указанной партиции аудит-таблицы начиная с заданного id.
+ *
+ * ADR-018: воспроизводит per-tenant scope триггера audit_chain_hash() (через RLS).
+ * Для tenant-таблиц (activity_log/balance_transactions/tenant_operations_log/
+ * pd_processing_log) — отдельная цепочка на каждый tenant. Для BYPASSRLS-таблиц
+ * (auth_log/saas_admin_audit_log) — единая цепочка в пределах партиции.
+ *
+ * Алгоритм (Вариант B — PHP-iteration с partition awareness):
+ *   1. SET session_replication_role = replica отключает BEFORE-триггеры.
+ *   2. Determine partition_clause из AuditChainConfig::TABLES[parent_table].
+ *   3. Для per-tenant таблиц: получить distinct tenant_ids в range, для каждого:
+ *        - prev_hash = log_hash of last row with id<from-id AND tenant_id=X
+ *        - iterate rows ordered by id, UPDATE + propagate prev_hash forward
+ *      Для BYPASSRLS-таблиц: одна iteration без tenant scope.
+ *   4. Возвращаем session_replication_role = origin.
+ *
+ * NB: row-by-row PHP loop сохранён намеренно (вариант с одиночным CTE и
+ * LAG страдает snapshot-isolation bug — downstream rows используют OLD stored
+ * prev_hash вместо новых хешей текущего UPDATE'а; chain ломается через >1 row).
+ *
+ * Ref: docs/adr/ADR-018-audit-chain-per-tenant-semantics.md
+ *      docs/superpowers/plans/2026-05-29-audit-rebuild-per-tenant-fix.md
+ */
+final class AuditRebuildChain extends Command
+{
+    protected $signature = 'audit:rebuild-chain
+        {--partition= : Имя партиции, например activity_log_y2026_m05}
+        {--from-id= : ID с которого начать пересчёт (включительно)}
+        {--dry-run : Показать сколько строк затронет, без UPDATE}
+        {--force : Пропустить интерактивное подтверждение (для CI/тестов)}';
+
+    protected $description = 'Пересчитать hash-цепь партиции аудит-таблицы (per-tenant per ADR-018)';
+
+    public function handle(): int
+    {
+        $partition = (string) $this->option('partition');
+        $fromId = (int) $this->option('from-id');
+        $dryRun = (bool) $this->option('dry-run');
+        $force = (bool) $this->option('force');
+
+        if ($partition === '' || $fromId <= 0) {
+            $this->error('--partition и --from-id обязательны');
+
+            return self::FAILURE;
+        }
+
+        $parentTable = (string) preg_replace('/_y\d{4}_m\d{2}$/', '', $partition);
+
+        if (! array_key_exists($parentTable, AuditChainConfig::TABLES)) {
+            $this->error("Partition '{$partition}' не относится к поддерживаемым аудит-таблицам.");
+            $this->line('Поддерживаемые: '.implode(', ', array_keys(AuditChainConfig::TABLES)));
+
+            return self::FAILURE;
+        }
+
+        $partitionClause = AuditChainConfig::TABLES[$parentTable]['partition'];
+        $rowExpr = AuditChainConfig::rowExpression($parentTable);
+
+        $count = DB::connection('pgsql_supplier')
+            ->table($partition)
+            ->where('id', '>=', $fromId)
+            ->count();
+
+        $scopeLabel = $partitionClause !== '' ? $partitionClause : 'global (within partition)';
+
+        $this->info("Партиция : {$partition}");
+        $this->info("Родитель : {$parentTable}");
+        $this->info("Scope    : {$scopeLabel}");
+        $this->info("От id    : {$fromId}");
+        $this->info("Строк    : {$count}");
+
+        if ($count === 0) {
+            $this->warn('Нет строк с id >= '.$fromId.'. Пересчёт не нужен.');
+
+            return self::SUCCESS;
+        }
+
+        if ($dryRun) {
+            $this->warn('--dry-run: UPDATE не выполнен.');
+
+            return self::SUCCESS;
+        }
+
+        if (! $force && ! $this->confirm(
+            "Пересчитать log_hash для {$count} строк в {$partition} (scope: {$scopeLabel})? Это изменит данные в проде.",
+            false,
+        )) {
+            $this->warn('Отменено.');
+
+            return self::FAILURE;
+        }
+
+        // Disable BEFORE triggers (audit_block_mutation blocks UPDATE).
+        // Use session-level SET so it works even inside a wrapping transaction
+        // (e.g. DatabaseTransactions in tests). Reset in finally.
+        DB::connection('pgsql_supplier')->statement("SET session_replication_role = 'replica'");
+
+        try {
+            $totalUpdated = 0;
+
+            if ($partitionClause === 'PARTITION BY tenant_id') {
+                // Per-tenant rebuild — separate scope iteration per tenant.
+                $tenantIds = DB::connection('pgsql_supplier')
+                    ->table($partition)
+                    ->where('id', '>=', $fromId)
+                    ->distinct()
+                    ->pluck('tenant_id')
+                    ->all();
+
+                foreach ($tenantIds as $tenantId) {
+                    $totalUpdated += $this->rebuildScope(
+                        $partition,
+                        $rowExpr,
+                        $fromId,
+                        'tenant_id',
+                        (int) $tenantId,
+                    );
+                }
+            } else {
+                // BYPASSRLS-таблицы (auth_log, saas_admin_audit_log) — global scope.
+                $totalUpdated = $this->rebuildScope($partition, $rowExpr, $fromId, null, null);
+            }
+
+            $this->info("Обновлено {$totalUpdated} строк в {$partition}.");
+        } finally {
+            DB::connection('pgsql_supplier')->statement("SET session_replication_role = 'origin'");
+        }
+
+        $this->info('Готово. Запустите audit:verify-chains для проверки целостности.');
+
+        return self::SUCCESS;
+    }
+
+    /**
+     * Пересчитывает chain для одного scope (tenant или global).
+     *
+     * Iterative PHP loop: prev_hash propagate'ится forward через каждый row,
+     * UPDATE применяется immediately чтобы snapshot для следующей iteration
+     * был свежий (default PG READ COMMITTED — own writes visible immediately).
+     *
+     * @param  string|null  $tenantColumn  'tenant_id' для per-tenant scope, null для global
+     * @param  int|null  $tenantValue  значение tenant_id для этого scope (если применимо)
+     */
+    private function rebuildScope(
+        string $partition,
+        string $rowExpr,
+        int $fromId,
+        ?string $tenantColumn,
+        ?int $tenantValue,
+    ): int {
+        // Find prev_hash (last row before fromId within scope).
+        $prevQuery = DB::connection('pgsql_supplier')
+            ->table($partition)
+            ->where('id', '<', $fromId);
+        if ($tenantColumn !== null) {
+            $prevQuery->where($tenantColumn, $tenantValue);
+        }
+        $prevHashRow = $prevQuery->orderByDesc('id')->first(['log_hash']);
+        $prevHashHex = $this->bytesToHex($prevHashRow?->log_hash);
+
+        // Get rows to rebuild ordered by id.
+        $rowsQuery = DB::connection('pgsql_supplier')
+            ->table($partition)
+            ->where('id', '>=', $fromId);
+        if ($tenantColumn !== null) {
+            $rowsQuery->where($tenantColumn, $tenantValue);
+        }
+        $rows = $rowsQuery->orderBy('id')->get(['id']);
+
+        $updated = 0;
+        foreach ($rows as $row) {
+            $prevHashExpr = $prevHashHex !== null
+                ? "'{$prevHashHex}'::bytea"
+                : "''::bytea";
+
+            $sql = "
+                UPDATE {$partition}
+                SET log_hash = (
+                    SELECT digest(
+                        COALESCE({$prevHashExpr}, ''::bytea)
+                        || (SELECT {$rowExpr}::text::bytea FROM {$partition} t WHERE t.id = ?)
+                        , 'sha256'
+                    )
+                )
+                WHERE id = ?
+                RETURNING log_hash
+            ";
+
+            $result = DB::connection('pgsql_supplier')->selectOne($sql, [$row->id, $row->id]);
+            $updated++;
+
+            $prevHashHex = $this->bytesToHex($result?->log_hash);
+        }
+
+        return $updated;
+    }
+
+    /**
+     * Convert a BYTEA value (PHP resource or string) to hex literal for SQL.
+     * PostgreSQL PDO driver returns BYTEA as a PHP stream resource.
+     */
+    private function bytesToHex(mixed $value): ?string
+    {
+        if ($value === null) {
+            return null;
+        }
+        $bin = is_resource($value) ? stream_get_contents($value) : (string) $value;
+        if ($bin === '' || $bin === false) {
+            return null;
+        }
+
+        return '\\x'.bin2hex($bin);
+    }
+}
@@ -0,0 +1,75 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Console\Commands;
+
+use App\Support\RussianRegions;
+use Illuminate\Console\Command;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Log;
+
+/**
+ * Одноразовый бэкфилл: проставляет deals.city (имя субъекта) у уже существующих сделок,
+ * у которых city ещё пуст, по resolved_subject_code связанного лида
+ * (deals → supplier_lead_deliveries → supplier_leads). Идемпотентно (только city IS NULL).
+ *
+ * Запускается через .github/workflows/artisan-run.yml (mutating-whitelist, confirm_apply).
+ * Парная правка для RouteSupplierLeadJob, который заполняет city у новых сделок.
+ */
+final class DealsBackfillRegionCityCommand extends Command
+{
+    protected $signature = 'deals:backfill-region-city {--dry-run : Только посчитать, ничего не записывать}';
+
+    protected $description = 'Дозаполнить deals.city именем региона по resolved_subject_code лида (одноразовый бэкфилл)';
+
+    public function handle(): int
+    {
+        $dryRun = (bool) $this->option('dry-run');
+        // BYPASSRLS-роль: бэкфилл идёт по всем тенантам без SET app.current_tenant_id.
+        $conn = DB::connection('pgsql_supplier');
+        $map = RussianRegions::CODE_TO_NAME;
+
+        $rows = $conn->table('deals')
+            ->join('supplier_lead_deliveries as dlv', 'dlv.deal_id', '=', 'deals.id')
+            ->join('supplier_leads as sl', 'sl.id', '=', 'dlv.supplier_lead_id')
+            ->whereNull('deals.city')
+            ->whereNotNull('sl.resolved_subject_code')
+            ->select('deals.id', 'deals.received_at', 'sl.resolved_subject_code')
+            ->get();
+
+        $seen = [];
+        $updated = 0;
+        foreach ($rows as $r) {
+            $dealId = (int) $r->id;
+            if (isset($seen[$dealId])) {
+                continue; // у сделки несколько доставок — обрабатываем один раз
+            }
+            $seen[$dealId] = true;
+
+            $name = $map[(int) $r->resolved_subject_code] ?? null;
+            if ($name === null) {
+                continue; // код вне справочника 1..89 — пропускаем
+            }
+
+            if (! $dryRun) {
+                $conn->table('deals')
+                    ->where('id', $dealId)
+                    ->where('received_at', $r->received_at) // partition key
+                    ->whereNull('city') // идемпотентный страж
+                    ->update(['city' => $name]);
+            }
+            $updated++;
+        }
+
+        $prefix = $dryRun ? '[dry-run] ' : '';
+        $this->info("{$prefix}deals.city backfill: {$updated} обновлено из ".count($seen).' кандидатов.');
+        Log::info('deals.backfill_region_city', [
+            'updated' => $updated,
+            'candidates' => count($seen),
+            'dry_run' => $dryRun,
+        ]);
+
+        return self::SUCCESS;
+    }
+}
@@ -27,12 +27,13 @@ class IncidentsWatchFailures extends Command
    private const DB_CONNECTION = 'pgsql_supplier';

    protected $signature = 'incidents:watch-failures
-        {--window=10           : Окно сканирования в минутах}
-        {--threshold=200       : Порог спайка для failed_webhook_jobs}
-        {--threshold-spike=10  : Порог спайка для failed_jobs (за окно)}
-        {--threshold-daily=50  : Порог суммы за 24ч для failed_jobs}
-        {--persistent-hours=3  : Порог возраста persistent-exception для failed_jobs}
-        {--dedup-window=60     : Окно дедупа открытых инцидентов в минутах}';
+        {--window=10                  : Окно сканирования в минутах}
+        {--threshold=200              : Порог спайка для failed_webhook_jobs}
+        {--threshold-spike=10         : Порог спайка для failed_jobs (за окно)}
+        {--threshold-daily=50         : Порог суммы за 24ч для failed_jobs}
+        {--persistent-hours=3         : Порог возраста persistent-exception для failed_jobs}
+        {--dedup-window=60            : Окно дедупа открытых инцидентов в минутах}
+        {--threshold-single-lead=1000 : Порог storm detection: failures одного supplier_lead_id за окно}';

    protected $description = 'Сканирует failed_webhook_jobs и failed_jobs, создаёт incidents_log на превышение порогов';

@@ -45,6 +46,8 @@ class IncidentsWatchFailures extends Command
        $persistentHours = (int) $this->option('persistent-hours');
        $dedupMinutes = (int) $this->option('dedup-window');

+        $thresholdSingleLead = (int) $this->option('threshold-single-lead');
+
        $since = Carbon::now()->subMinutes($windowMinutes);
        $since24h = Carbon::now()->subHours(24);
        $dedupAt = Carbon::now()->subMinutes($dedupMinutes);
@@ -185,6 +188,39 @@ class IncidentsWatchFailures extends Command
            $this->info("Job persistent [medium]: {$jobClass}");
        }

+        // ===== БЛОК 5: single-lead storm detection =====
+        // Detects случай когда один supplier_lead_id генерирует >= threshold
+        // failures за окно — классический шторм от застрявшего лида (Finding 2,
+        // 2026-05-29). Создаём severity=high инцидент per lead_id.
+        if ($thresholdSingleLead > 0) {
+            $stormLeads = DB::connection(self::DB_CONNECTION)
+                ->table('failed_webhook_jobs')
+                ->selectRaw("raw_payload->>'supplier_lead_id' AS lead_id, COUNT(*) AS cnt")
+                ->whereNull('resolved_at')
+                ->where('failed_at', '>=', $since)
+                ->whereRaw("raw_payload ?? 'supplier_lead_id'")
+                ->groupByRaw("raw_payload->>'supplier_lead_id'")
+                ->havingRaw('COUNT(*) >= ?', [$thresholdSingleLead])
+                ->get();
+
+            foreach ($stormLeads as $row) {
+                $leadId = $row->lead_id;
+                $cnt = (int) $row->cnt;
+                $dedupKey = "single-lead-storm:{$leadId}";
+
+                if ($this->isDup($dedupKey, $dedupAt)) {
+                    $this->line("Skipping single-lead-storm (dedup): {$dedupKey}");
+
+                    continue;
+                }
+
+                $summary = "Автоматически: single-lead-storm {$cnt} failures supplier_lead_id={$leadId} за {$windowMinutes} мин. Вероятная причина: terminal error без fast-fail guard.";
+                $this->createIncident($adminId, 'other', 'high', $summary, $since, $now, $dedupKey);
+                $created++;
+                $this->info("Single-lead storm [high]: lead_id={$leadId} — {$cnt}");
+            }
+        }
+
        $this->info("Done. Created {$created} incident(s).");

        return self::SUCCESS;
@@ -0,0 +1,445 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Console\Commands;
+
+use App\Support\RussianRegions;
+use Illuminate\Console\Command;
+use Illuminate\Support\Facades\DB;
+use OpenSpout\Reader\XLSX\Reader as XlsxReader;
+
+/**
+ * Импорт реестра нумерации Россвязи в `phone_ranges` (spec §6).
+ *
+ *   php artisan phone-ranges:import --file=<csv|xlsx> [--force] [--dry-run]
+ *   php artisan phone-ranges:import --dir=<dir с пакетом файлов> [...]
+ *
+ * Алгоритм:
+ *   1. Резолв входных файлов (--file | --dir; --url отложен — оператор качает пакет вручную).
+ *   2. Checksum-идемпотентность: совпал с предыдущим `completed` → status='rolled_back', выход.
+ *   3. Парсинг (CSV через str_getcsv ';', XLSX через openspout) → нормализованные строки.
+ *   4. Маппинг region → subject_code через RussianRegions::nameToCode(). Несматчившиеся → лог в error.
+ *   5. Сборка `phone_ranges_staging` (LIKE phone_ranges) + bulk INSERT.
+ *   6. --dry-run → staging остаётся для инспекции, swap НЕ делается, status='rolled_back'.
+ *      Иначе → atomic RENAME swap + status='completed'.
+ *
+ * Запись идёт через `pgsql_supplier` (на проде crm_supplier_worker — член crm_migrator,
+ * INHERIT даёт CREATE; SET ROLE crm_migrator выравнивает ownership. На dev/test — postgres superuser).
+ *
+ * NB (swap — operator-validated): committing-swap (шаг 6 else) НЕ покрыт автотестом —
+ * RENAME коммитит и сломал бы общую тестовую БД. Свап проверяется первым реальным
+ * импортом оператора по runbook (Session 6). Тесты покрывают parse/map/dry-run/idempotency.
+ */
+class PhoneRangesImportCommand extends Command
+{
+    /** @var string */
+    protected $signature = 'phone-ranges:import
+        {--file= : Путь к одному CSV/XLSX файлу реестра}
+        {--dir= : Каталог с пакетом файлов реестра (*.csv, *.xlsx)}
+        {--url= : (отложено) URL пакета — скачать вручную и использовать --dir}
+        {--force : Игнорировать checksum-идемпотентность}
+        {--dry-run : Распарсить и собрать staging, но не делать atomic swap}';
+
+    /** @var string */
+    protected $description = 'Импорт реестра нумерации Россвязи в phone_ranges (idempotent, atomic swap)';
+
+    /** Connection для DDL/записи (на проде crm_migrator-capable, на dev/test — superuser fallback). */
+    private const DDL_CONNECTION = 'pgsql_supplier';
+
+    /** Размер пачки для bulk INSERT в staging. */
+    private const INSERT_CHUNK = 1000;
+
+    public function handle(): int
+    {
+        $files = $this->resolveFiles();
+        if ($files === null) {
+            return self::FAILURE;
+        }
+
+        $checksum = $this->computeChecksum($files);
+        $dryRun = (bool) $this->option('dry-run');
+        $force = (bool) $this->option('force');
+
+        // 2. Идемпотентность по checksum (если не --force).
+        if (! $force) {
+            $prev = DB::table('phone_ranges_imports')
+                ->where('checksum_sha256', $checksum)
+                ->where('status', 'completed')
+                ->orderByDesc('id')
+                ->first();
+
+            if ($prev !== null) {
+                DB::table('phone_ranges_imports')->insert([
+                    'source_url' => $this->sourceLabel($files),
+                    'checksum_sha256' => $checksum,
+                    'status' => 'rolled_back',
+                    'rows_inserted' => 0,
+                    'rows_updated' => 0,
+                    'error' => "Идентично импорту #{$prev->id} (checksum совпал) — пропуск.",
+                    'imported_at' => now(),
+                    'completed_at' => now(),
+                ]);
+                $this->info("Реестр идентичен импорту #{$prev->id} — пропуск (используйте --force для принудительного импорта).");
+
+                return self::SUCCESS;
+            }
+        }
+
+        // 3. Журнал импорта (in_progress).
+        $importId = (int) DB::table('phone_ranges_imports')->insertGetId([
+            'source_url' => $this->sourceLabel($files),
+            'checksum_sha256' => $checksum,
+            'status' => 'in_progress',
+            'imported_at' => now(),
+        ]);
+
+        try {
+            // 4. Парсинг + маппинг.
+            $unmatched = [];
+            $rows = [];
+            foreach ($files as $file) {
+                foreach ($this->parseFile($file) as $rec) {
+                    $regionNormalized = RussianRegions::canonicalRegionName($rec['region']);
+                    $subjectCode = $regionNormalized === null
+                        ? null
+                        : (RussianRegions::nameToCode()[$regionNormalized] ?? null);
+                    if ($subjectCode === null && trim($rec['region']) !== '') {
+                        $unmatched[trim($rec['region'])] = true;
+                    }
+                    $rows[] = [
+                        'def_code' => $rec['def_code'],
+                        'from_num' => $rec['from_num'],
+                        'to_num' => $rec['to_num'],
+                        'operator' => $rec['operator'],
+                        'region' => $rec['region'],
+                        'region_normalized' => $regionNormalized,
+                        'subject_code' => $subjectCode,
+                        'imported_at' => now(),
+                        'import_id' => $importId,
+                    ];
+                }
+            }
+
+            // 5. Сборка staging.
+            $this->buildStaging($rows, $importId);
+
+            $unmatchedNote = $unmatched === []
+                ? ''
+                : 'Не сопоставлены регионы: '.implode(', ', array_keys($unmatched)).'.';
+
+            if ($dryRun) {
+                DB::table('phone_ranges_imports')->where('id', $importId)->update([
+                    'status' => 'rolled_back',
+                    'rows_inserted' => count($rows),
+                    'error' => trim('dry-run (swap не выполнен). '.$unmatchedNote),
+                    'completed_at' => now(),
+                ]);
+                $this->info('dry-run: '.count($rows)." строк в phone_ranges_staging, swap не выполнен.");
+                if ($unmatchedNote !== '') {
+                    $this->warn($unmatchedNote);
+                }
+
+                return self::SUCCESS;
+            }
+
+            // 6. Atomic swap (operator-validated — см. docblock).
+            $this->atomicSwap();
+
+            DB::table('phone_ranges_imports')->where('id', $importId)->update([
+                'status' => 'completed',
+                'rows_inserted' => count($rows),
+                'error' => $unmatchedNote !== '' ? $unmatchedNote : null,
+                'completed_at' => now(),
+            ]);
+            $this->info('Импортировано '.count($rows).' строк в phone_ranges (atomic swap выполнен).');
+            if ($unmatchedNote !== '') {
+                $this->warn($unmatchedNote);
+            }
+
+            return self::SUCCESS;
+        } catch (\Throwable $e) {
+            DB::table('phone_ranges_imports')->where('id', $importId)->update([
+                'status' => 'failed',
+                'error' => mb_substr($e->getMessage(), 0, 2000),
+                'completed_at' => now(),
+            ]);
+            $this->error('Импорт упал: '.$e->getMessage());
+
+            return self::FAILURE;
+        }
+    }
+
+    /**
+     * @return list<string>|null  Список файлов или null при ошибке валидации опций.
+     */
+    private function resolveFiles(): ?array
+    {
+        $file = $this->option('file');
+        $dir = $this->option('dir');
+        $url = $this->option('url');
+
+        if ($url !== null) {
+            $this->error('--url отложен (пакет ~500-600 файлов). Скачайте вручную и используйте --dir.');
+
+            return null;
+        }
+
+        if ($file !== null) {
+            if (! is_file($file)) {
+                $this->error("Файл не найден: {$file}");
+
+                return null;
+            }
+
+            return [$file];
+        }
+
+        if ($dir !== null) {
+            if (! is_dir($dir)) {
+                $this->error("Каталог не найден: {$dir}");
+
+                return null;
+            }
+            $found = glob(rtrim($dir, '/\\').DIRECTORY_SEPARATOR.'*.{csv,xlsx}', GLOB_BRACE) ?: [];
+            if ($found === []) {
+                $this->error("В каталоге нет *.csv / *.xlsx: {$dir}");
+
+                return null;
+            }
+            sort($found);
+
+            return array_values($found);
+        }
+
+        $this->error('Укажите --file=<путь> или --dir=<каталог>.');
+
+        return null;
+    }
+
+    /**
+     * @param  list<string>  $files
+     */
+    private function computeChecksum(array $files): string
+    {
+        if (count($files) === 1) {
+            return (string) hash_file('sha256', $files[0]);
+        }
+
+        $hashes = array_map(static fn (string $f): string => (string) hash_file('sha256', $f), $files);
+        sort($hashes);
+
+        return hash('sha256', implode('|', $hashes));
+    }
+
+    /**
+     * @param  list<string>  $files
+     */
+    private function sourceLabel(array $files): string
+    {
+        return $this->option('url')
+            ?? $this->option('dir')
+            ?? ($files[0] ?? 'unknown');
+    }
+
+    /**
+     * Парсит один файл реестра в нормализованные строки.
+     *
+     * @return list<array{def_code:int, from_num:int, to_num:int, operator:string, region:string}>
+     */
+    private function parseFile(string $path): array
+    {
+        $ext = strtolower(pathinfo($path, PATHINFO_EXTENSION));
+
+        return $ext === 'xlsx'
+            ? $this->parseXlsx($path)
+            : $this->parseCsv($path);
+    }
+
+    /**
+     * @return list<array{def_code:int, from_num:int, to_num:int, operator:string, region:string}>
+     */
+    private function parseCsv(string $path): array
+    {
+        $content = (string) file_get_contents($path);
+        // BOM strip + split строк (CRLF/CR/LF).
+        $content = preg_replace('/^\xEF\xBB\xBF/', '', $content) ?? $content;
+        $lines = preg_split('/\r\n|\r|\n/', rtrim($content)) ?: [];
+        if ($lines === []) {
+            return [];
+        }
+
+        $header = str_getcsv((string) array_shift($lines), ';');
+        $cols = $this->resolveColumns($header);
+
+        $out = [];
+        foreach ($lines as $line) {
+            if (trim($line) === '') {
+                continue;
+            }
+            $cells = str_getcsv($line, ';');
+            $rec = $this->mapCells($cells, $cols);
+            if ($rec !== null) {
+                $out[] = $rec;
+            }
+        }
+
+        return $out;
+    }
+
+    /**
+     * Парсинг XLSX через openspout (operator-real-files; CSV-ветка покрыта тестом).
+     *
+     * @return list<array{def_code:int, from_num:int, to_num:int, operator:string, region:string}>
+     */
+    private function parseXlsx(string $path): array
+    {
+        $reader = new XlsxReader();
+        $reader->open($path);
+
+        $out = [];
+        $cols = null;
+        foreach ($reader->getSheetIterator() as $sheet) {
+            foreach ($sheet->getRowIterator() as $row) {
+                $cells = array_map(static fn ($c): string => (string) $c, $row->toArray());
+                if ($cols === null) {
+                    $cols = $this->resolveColumns($cells);
+
+                    continue;
+                }
+                $rec = $this->mapCells($cells, $cols);
+                if ($rec !== null) {
+                    $out[] = $rec;
+                }
+            }
+            break; // только первый лист
+        }
+        $reader->close();
+
+        return $out;
+    }
+
+    /**
+     * Сопоставляет индексы колонок по заголовку (русские имена Россвязи) с позиционным fallback.
+     *
+     * @param  list<string>  $header
+     * @return array{def:int, from:int, to:int, operator:int, region:int}
+     */
+    private function resolveColumns(array $header): array
+    {
+        $cols = ['def' => 0, 'from' => 1, 'to' => 2, 'operator' => 4, 'region' => 5];
+
+        foreach ($header as $i => $cell) {
+            $n = preg_replace('/[\s\/]+/u', '', mb_strtolower(trim((string) $cell))) ?? '';
+            if (str_contains($n, 'def') || str_contains($n, 'авс')) {
+                $cols['def'] = $i;
+            } elseif ($n === 'от') {
+                $cols['from'] = $i;
+            } elseif ($n === 'до') {
+                $cols['to'] = $i;
+            } elseif (str_contains($n, 'оператор')) {
+                $cols['operator'] = $i;
+            } elseif (str_contains($n, 'регион')) {
+                $cols['region'] = $i;
+            }
+        }
+
+        return $cols;
+    }
+
+    /**
+     * @param  list<string>  $cells
+     * @param  array{def:int, from:int, to:int, operator:int, region:int}  $cols
+     * @return array{def_code:int, from_num:int, to_num:int, operator:string, region:string}|null
+     */
+    private function mapCells(array $cells, array $cols): ?array
+    {
+        $def = (int) preg_replace('/\D+/', '', $cells[$cols['def']] ?? '');
+        if ($def === 0) {
+            return null; // пустая/битая строка
+        }
+
+        return [
+            'def_code' => $def,
+            'from_num' => (int) preg_replace('/\D+/', '', $cells[$cols['from']] ?? '0'),
+            'to_num' => (int) preg_replace('/\D+/', '', $cells[$cols['to']] ?? '0'),
+            'operator' => trim((string) ($cells[$cols['operator']] ?? '')),
+            'region' => trim((string) ($cells[$cols['region']] ?? '')),
+        ];
+    }
+
+    /**
+     * Собирает phone_ranges_staging (LIKE phone_ranges) и заливает строки.
+     *
+     * id: НЕ копируем серийный default через INCLUDING DEFAULTS — он ссылается на
+     * исходную последовательность phone_ranges, которую atomic-swap уничтожает
+     * (DROP phone_ranges_old CASCADE) после первого импорта, оставляя staging.id
+     * без default (NOT NULL violation на повторном импорте). Вместо этого даём
+     * staging собственную последовательность с уникальным по import_id именем,
+     * OWNED BY колонкой id → она переезжает при RENAME и дропается вместе со
+     * старой таблицей (без коллизий имён и без утечки последовательностей).
+     *
+     * @param  list<array<string, mixed>>  $rows
+     */
+    private function buildStaging(array $rows, int $importId): void
+    {
+        $c = DB::connection(self::DDL_CONNECTION);
+        $this->elevate($c);
+
+        $seq = "phone_ranges_stg_seq_{$importId}";
+        $c->statement('DROP TABLE IF EXISTS phone_ranges_staging CASCADE');
+        $c->statement('CREATE TABLE phone_ranges_staging (LIKE phone_ranges INCLUDING CONSTRAINTS)');
+        $c->statement("CREATE SEQUENCE {$seq}");
+        $c->statement("ALTER TABLE phone_ranges_staging ALTER COLUMN id SET DEFAULT nextval('{$seq}')");
+        $c->statement("ALTER SEQUENCE {$seq} OWNED BY phone_ranges_staging.id");
+        $c->statement('CREATE INDEX IF NOT EXISTS idx_phone_ranges_staging_lookup ON phone_ranges_staging (def_code, from_num, to_num)');
+
+        foreach (array_chunk($rows, self::INSERT_CHUNK) as $chunk) {
+            $c->table('phone_ranges_staging')->insert($chunk);
+        }
+    }
+
+    /**
+     * Atomic swap живого phone_ranges на staging (spec §6.2 шаг 6).
+     *
+     * NB: НЕ покрыт автотестом (committing RENAME сломал бы общую тестовую БД).
+     * Проверяется первым реальным импортом оператора (Session 6 runbook).
+     * Сохраняет одну предыдущую версию (phone_ranges_old) для `phone-ranges:rollback`.
+     * GRANT'ы переустанавливаются (RENAME их не переносит); lookup-индекс на новой
+     * таблице носит имя idx_phone_ranges_staging_lookup (косметика — имя занято _old).
+     */
+    private function atomicSwap(): void
+    {
+        $c = DB::connection(self::DDL_CONNECTION);
+        $this->elevate($c);
+
+        // Транзакция вокруг свапа (spec §6.2): PostgreSQL поддерживает транзакционный
+        // DDL, поэтому DROP+RENAME+RENAME+GRANT атомарны. Обрыв процесса между
+        // переименованиями не оставит phone_ranges несуществующей — откат вернёт
+        // живую таблицу (раньше 4 авто-коммит-statement'а оставляли окно, в котором
+        // Россвязь-lookup падал бы до ручного восстановления).
+        $c->transaction(function () use ($c) {
+            $c->statement('DROP TABLE IF EXISTS phone_ranges_old CASCADE');
+            $c->statement('ALTER TABLE phone_ranges RENAME TO phone_ranges_old');
+            $c->statement('ALTER TABLE phone_ranges_staging RENAME TO phone_ranges');
+            $c->statement('GRANT SELECT ON phone_ranges TO crm_app_user, crm_supplier_worker');
+        });
+    }
+
+    /**
+     * SET ROLE crm_migrator для корректного ownership на проде; на dev/test роль
+     * отсутствует → RESET и работаем как superuser (зеркало миграционного паттерна).
+     */
+    private function elevate(\Illuminate\Database\Connection $c): void
+    {
+        try {
+            $c->statement('SET ROLE crm_migrator');
+            $canCreate = $c->selectOne("SELECT has_schema_privilege('crm_migrator', 'public', 'CREATE') AS ok");
+            if (! $canCreate || ! $canCreate->ok) {
+                $c->statement('RESET ROLE');
+            }
+        } catch (\Throwable) {
+            // окружение без роли — продолжаем как superuser
+        }
+    }
+}
@@ -0,0 +1,78 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Console\Commands;
+
+use App\Models\SupplierLead;
+use App\Services\LeadRegionResolver;
+use App\Support\RussianRegions;
+use Illuminate\Console\Command;
+
+/**
+ * Staging-smoke резолва региона по телефону (spec §9.4): дёргает живой каскад
+ * DaData → Россвязь → tag и печатает решение. В БД ничего НЕ пишет.
+ *
+ *   php artisan phone-region:smoke --phone=79161234567 [--tag=Москва]
+ *
+ * Принудительно включает services.dadata.enabled на время прогона (smoke всегда
+ * проверяет полный каскад, независимо от глобального feature-flag). С реальным
+ * DADATA_API_KEY делает платный вызов — запускать осознанно.
+ */
+class PhoneRegionSmokeCommand extends Command
+{
+    /** @var string */
+    protected $signature = 'phone-region:smoke
+        {--phone= : Телефон в формате 7XXXXXXXXXX}
+        {--tag= : Регион-тег поставщика (fallback-слой)}';
+
+    /** @var string */
+    protected $description = 'Прогон резолва региона по телефону (DaData→Россвязь→tag) без записи в БД (staging-smoke)';
+
+    public function handle(LeadRegionResolver $resolver): int
+    {
+        $phone = (string) $this->option('phone');
+        if ($phone === '') {
+            $this->error('Укажите --phone=7XXXXXXXXXX');
+
+            return self::FAILURE;
+        }
+
+        // Smoke всегда прогоняет полный каскад, даже если глобальный флаг выключен.
+        config(['services.dadata.enabled' => true]);
+
+        $lead = new SupplierLead([
+            'phone' => $phone,
+            'raw_payload' => ['tag' => (string) $this->option('tag')],
+        ]);
+
+        $r = $resolver->resolve($lead);
+
+        $region = $r->subjectCode !== null
+            ? (RussianRegions::CODE_TO_NAME[$r->subjectCode] ?? '?')
+            : '—';
+
+        $this->info('Телефон:    '.$this->maskPhone($phone));
+        $this->line('Источник:   '.$r->source);
+        $this->line('Субъект:    '.($r->subjectCode ?? '—').' ('.$region.')');
+        $this->line('Оператор:   '.($r->phoneOperator ?? '—'));
+        $this->line('DaData qc:  '.($r->qc ?? '—'));
+        $this->line('Cache hit:  '.($r->cacheHit ? 'да' : 'нет'));
+        $this->line('Россвязь:   '.($r->rossvyazMatched ? 'совпала' : 'нет'));
+        $this->line('Длит., мс:  '.($r->durationMs ?? '—'));
+        $this->newLine();
+        $this->comment('NB: запись в БД НЕ выполнялась (smoke).');
+
+        return self::SUCCESS;
+    }
+
+    private function maskPhone(string $phone): string
+    {
+        $digits = preg_replace('/\D+/', '', $phone) ?? '';
+        if (strlen($digits) < 8) {
+            return '***';
+        }
+
+        return substr($digits, 0, 4).'***'.substr($digits, -4);
+    }
+}
@@ -5,6 +5,7 @@ declare(strict_types=1);
 namespace App\Console\Commands;

 use App\Mail\AuditChainBreachMail;
+use App\Services\Audit\AuditChainConfig;
 use Illuminate\Console\Command;
 use Illuminate\Support\Carbon;
 use Illuminate\Support\Facades\DB;
@@ -83,166 +84,12 @@ class VerifyAuditChains extends Command

    protected $description = 'Проверяет целостность SHA-256 hash-chain в 6 audit-таблицах (per-partition)';

-    /**
-     * Конфигурация таблиц: имя таблицы → [columns, partition_clause].
-     *
-     * columns: список столбцов строго в порядке ordinal_position из db/schema.sql.
-     *   Специальное значение '__log_hash__' — маркер позиции log_hash → NULL::bytea.
-     *
-     * partition_clause: SQL-фрагмент для OVER (PARTITION BY … ORDER BY id),
-     *   воспроизводящий RLS-scope триггера внутри одной партиции.
-     *   Пустая строка = глобальная цепочка внутри партиции.
-     *
-     * @var array<string, array{columns: list<string>, partition: string}>
-     */
-    private const TABLE_CONFIG = [
-        // auth_log:
-        //   RLS: actor_type='tenant_user' AND tenant_id = current_setting(...)
-        //   Tenant-сессия видит только (actor_type='tenant_user', tenant_id=N).
-        //   saas_admin-сессия BYPASSRLS — видит всё.
-        //   Partition (actor_type, tenant_id) воспроизводит оба случая:
-        //   каждая пара образует независимую цепочку.
-        'auth_log' => [
-            'columns' => [
-                'id',
-                'actor_type',
-                'tenant_id',
-                'user_id',
-                'saas_admin_user_id',
-                'email',
-                'event',
-                'ip_address',
-                'user_agent',
-                'failure_reason',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            // global chain: auth_log пишется при ЛОГИНЕ под BYPASSRLS-роль
-            // (tenant ещё не установлен — пользователь не аутентифицирован),
-            // поэтому триггерный prev-SELECT видит ВСЕ строки → цепочка глобальная
-            // внутри данной партиции (эмпирически подтверждено прод-smoke).
-            'partition' => '',
-        ],
-
-        // activity_log:
-        //   RLS: tenant_id = current_setting(...) — простая tenant-изоляция.
-        //   Partition: tenant_id.
-        'activity_log' => [
-            'columns' => [
-                'id',
-                'tenant_id',
-                'user_id',
-                'deal_id',
-                'event',
-                'old_value',
-                'new_value',
-                'context',
-                'ip_address',
-                'user_agent',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            'partition' => 'PARTITION BY tenant_id',
-        ],
-
-        // tenant_operations_log:
-        //   RLS: tenant_id = current_setting(...) — простая tenant-изоляция.
-        //   Partition: tenant_id.
-        'tenant_operations_log' => [
-            'columns' => [
-                'id',
-                'tenant_id',
-                'user_id',
-                'entity_type',
-                'entity_id',
-                'event',
-                'payload_before',
-                'payload_after',
-                'ip_address',
-                'user_agent',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            'partition' => 'PARTITION BY tenant_id',
-        ],
-
-        // balance_transactions:
-        //   RLS: tenant_id = current_setting(...) — простая tenant-изоляция.
-        //   Partition: tenant_id.
-        'balance_transactions' => [
-            'columns' => [
-                'id',
-                'tenant_id',
-                'type',
-                'amount_rub',
-                'amount_leads',
-                'balance_rub_after',
-                'balance_leads_after',
-                'description',
-                'related_type',
-                'related_id',
-                'user_id',
-                'admin_user_id',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            'partition' => 'PARTITION BY tenant_id',
-        ],
-
-        // pd_processing_log:
-        //   RLS: tenant_id = current_setting(...) — простая tenant-изоляция.
-        //   Partition: tenant_id.
-        'pd_processing_log' => [
-            'columns' => [
-                'id',
-                'tenant_id',
-                'subject_type',
-                'subject_id',
-                'action',
-                'purpose',
-                'actor_tenant_user_id',
-                'actor_admin_user_id',
-                'ip_address',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            'partition' => 'PARTITION BY tenant_id',
-        ],
-
-        // saas_admin_audit_log:
-        //   Нет RLS-политики для tenant-ролей (REVOKE ALL FROM crm_app_user).
-        //   Вставляет только crm_admin_user (BYPASSRLS) — триггер's SELECT
-        //   видит ВСЕ строки партиции → цепочка глобальная внутри партиции.
-        //   Partition: нет (пустая строка = ORDER BY id без PARTITION BY).
-        'saas_admin_audit_log' => [
-            'columns' => [
-                'id',
-                'admin_user_id',
-                'action',
-                'target_type',
-                'target_id',
-                'target_tenant_id',
-                'payload_before',
-                'payload_after',
-                'reason',
-                'ip_address',
-                'user_agent',
-                'requires_approval',
-                'approved_by',
-                'approved_at',
-                '__log_hash__',   // log_hash → NULL::bytea
-                'created_at',
-            ],
-            'partition' => '',  // global chain within partition — inserting role is BYPASSRLS
-        ],
-    ];
-
    public function handle(): int
    {
        $anyBreach = false;
        $now = Carbon::now();

-        foreach (self::TABLE_CONFIG as $table => $config) {
+        foreach (AuditChainConfig::TABLES as $table => $config) {
            // Get all partitions for this table via pg_inherits.
            $partitions = $this->listPartitions($table);

@@ -252,7 +99,7 @@ class VerifyAuditChains extends Command
            }

            foreach ($partitions as $partitionName) {
-                $breaches = $this->checkPartition($partitionName, $config['columns'], $config['partition']);
+                $breaches = $this->checkPartition($partitionName, $table, $config['partition']);

                if (empty($breaches)) {
                    $this->line("  ✓ {$partitionName}: chain intact");
@@ -321,12 +168,11 @@ class VerifyAuditChains extends Command
     *      где ROW(...) имеет NULL::bytea на позиции log_hash.
     *   4. Возвращает строки, где stored IS DISTINCT FROM recomputed.
     *
-     * @param  list<string>  $columns
     * @return list<object>
     */
-    private function checkPartition(string $partitionName, array $columns, string $partition): array
+    private function checkPartition(string $partitionName, string $table, string $partition): array
    {
-        $rowExpr = $this->buildRowExpression($columns);
+        $rowExpr = AuditChainConfig::rowExpression($table);

        // Build OVER clause: with or without PARTITION BY depending on table's RLS scope.
        $overClause = $partition !== ''
@@ -366,25 +212,6 @@ class VerifyAuditChains extends Command
        return $results;
    }

-    /**
-     * Строит SQL-выражение ROW(col1, col2, ..., NULL::bytea, ..., coln)
-     * с NULL::bytea на месте log_hash.
-     *
-     * Пример для auth_log:
-     *   ROW(t.id, t.actor_type, t.tenant_id, ..., NULL::bytea, t.created_at)
-     *
-     * @param  list<string>  $columns
-     */
-    private function buildRowExpression(array $columns): string
-    {
-        $parts = [];
-        foreach ($columns as $col) {
-            $parts[] = ($col === '__log_hash__') ? 'NULL::bytea' : "t.{$col}";
-        }
-
-        return 'ROW('.implode(', ', $parts).')';
-    }
-
    /**
     * Вставляет запись в incidents_log (через pgsql_supplier BYPASSRLS).
     * Дедупликация: не создаёт повторный инцидент для той же таблицы,
@@ -11,18 +11,22 @@ use App\Models\Project;
 use App\Models\SupplierLead;
 use App\Models\Tenant;
 use App\Services\Billing\LedgerService;
+use App\Services\Dto\RegionResolution;
 use App\Services\LeadDistributor;
+use App\Services\LeadRegionResolver;
 use App\Services\LeadRouter;
 use App\Services\NotificationService;
 use App\Services\Pd\PdAuditLogger;
 use App\Services\RegionTagResolver;
 use App\Services\SupplierProjects\SupplierProjectResolver;
+use App\Support\RussianRegions;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
 use Illuminate\Foundation\Queue\Queueable as FoundationQueueable;
 use Illuminate\Queue\InteractsWithQueue;
 use Illuminate\Queue\SerializesModels;
 use Illuminate\Support\Carbon;
+use Illuminate\Support\Collection;
 use Illuminate\Support\Facades\Cache;
 use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Log;
@@ -116,22 +120,58 @@ class RouteSupplierLeadJob implements ShouldQueue
            return;
        }

+        // Fast-fail: лид уже был помечен terminal error и не имеет processed_at.
+        // Закрывает класс failed_webhook_jobs storm (Finding 2, 2026-05-29).
+        // Plan 2026-05-29-supplier-webhook-fast-fail-and-stuck-cleanup.md, Task 2.
+        $isTerminalError = $lead->error !== null && (
+            str_contains($lead->error, 'does not support')
+            || str_contains($lead->error, 'platform mismatch')
+            || str_contains($lead->error, 'no matching supplier_project')
+        );
+        if ($isTerminalError) {
+            // Capture original error BEFORE update — $lead->update() mutates
+            // the in-memory model, so $lead->error after update() returns the
+            // suffixed value, breaking debug logs (review fix).
+            $originalError = $lead->error;
+            $lead->update([
+                'processed_at' => now(),
+                'error' => $originalError.' [fast-failed by RouteSupplierLeadJob]',
+            ]);
+            Log::info('supplier_lead.fast_failed_terminal_error', [
+                'supplier_lead_id' => $lead->id,
+                'original_error' => $originalError,
+            ]);
+
+            return;
+        }
+
        $projectField = (string) ($lead->raw_payload['project'] ?? '');
        [$platform, $signalType, $identifier] = $this->parseProjectField($projectField);

        $supplier = $resolver->resolveOrStub($platform, $signalType, $identifier);
        $lead->update(['supplier_project_id' => $supplier->id]);

-        $matched = $router->matchEligibleProjects($supplier);
-        $selected = $distributor->selectRecipients($matched); // cap=3 случайных
+        // Lead region resolution (§3.11): резолв региона ДО routing-цикла, чтобы HTTP-вызов
+        // DaData (~150мс) не висел внутри tenant-транзакции. Резолвер — из контейнера (не 7-й
+        // параметр handle(), чтобы не ломать сигнатуру и существующие вызовы тестов).
+        // RegionTagResolver остаётся в DI-цепочке резолвера (fallback-слой).
+        $resolution = app(LeadRegionResolver::class)->resolve($lead);
+        $lead->update([
+            'resolved_subject_code' => $resolution->subjectCode,
+            'region_source' => $resolution->source,
+            'dadata_qc' => $resolution->qc,
+            'phone_operator' => $resolution->phoneOperator,
+        ]);

-        $subjectCode = $tagResolver->resolve((string) ($lead->raw_payload['tag'] ?? ''));
+        // Каскад по региону (§3.9): exact → all-RF → fallback. NULL subject_code → шаг 1 пропуск.
+        $matched = $router->matchEligibleProjects($supplier, $resolution->subjectCode);
+        $selected = $distributor->selectRecipients($matched);

        $createdCount = 0;
        $failures = [];
        foreach ($selected as $project) {
            try {
-                if ($this->createDealCopyForProject($lead, $project, $notifier, $ledger, $subjectCode)) {
+                if ($this->createDealCopyForProject($lead, $project, $notifier, $ledger, $resolution)) {
                    $createdCount++;
                }
            } catch (Throwable $e) {
@@ -152,6 +192,10 @@ class RouteSupplierLeadJob implements ShouldQueue
            );
        }

+        // Аудит резолва региона — одна строка на лид (§3.10/§7.1). Fail-safe: сбой записи
+        // аудит-лога НЕ должен ронять доставку лида (revenue-critical, 30k/сутки).
+        $this->logRegionResolution($lead, $resolution, $selected);
+
        $lead->update([
            'processed_at' => now(),
            'deals_created_count' => $createdCount,
@@ -214,10 +258,14 @@ class RouteSupplierLeadJob implements ShouldQueue
        Project $project,
        NotificationService $notifier,
        LedgerService $ledger,
-        ?int $subjectCode,
+        RegionResolution $resolution,
    ): bool {
+        // routing_step проставлен LeadRouter'ом на matched-проекте; захватываем ДО
+        // переназначения $project = $lockedProject (fresh query без этого атрибута).
+        $routingStep = (int) ($project->routing_step ?? 1);
+
        try {
-            return DB::transaction(function () use ($lead, $project, $notifier, $ledger, $subjectCode): bool {
+            return DB::transaction(function () use ($lead, $project, $notifier, $ledger, $resolution, $routingStep): bool {
                DB::statement("SET LOCAL app.current_tenant_id = '{$project->tenant_id}'");

                /** @var Tenant $tenant */
@@ -328,10 +376,21 @@ class RouteSupplierLeadJob implements ShouldQueue
                    // INITIALLY DEFERRED не помогает — проверка падает на COMMIT).
                    // CSV-recovered received_at сохраняем как есть — отличие на минуты
                    // несущественно, чем риск каскадного DELETE lead_charges.
+                    // §3.12: при merge обновляем регион/оператора, если webhook-резолв из
+                    // источника выше рангом (dadata/rossvyaz), чем tag CSV-восстановления.
+                    // deals не хранит region_source (он на supplier_leads + в журнале), поэтому
+                    // ранг определяем по факту источника: dadata/rossvyaz всегда достовернее
+                    // tag'а, на котором строилась CSV-recovery (RegionResolution::SOURCE_RANK).
+                    $mergeUpdate = ['source_crm_id' => $lead->vid, 'updated_at' => now()];
+                    if (in_array($resolution->source, ['dadata', 'rossvyaz'], true) && $resolution->subjectCode !== null) {
+                        $mergeUpdate['subject_code'] = $resolution->subjectCode;
+                        $mergeUpdate['phone_operator'] = $resolution->phoneOperator;
+                        $mergeUpdate['city'] = RussianRegions::CODE_TO_NAME[$resolution->subjectCode] ?? null;
+                    }
                    DB::table('deals')
                        ->where('id', $existingMergeable->id)
                        ->where('received_at', $existingMergeable->received_at)
-                        ->update(['source_crm_id' => $lead->vid, 'updated_at' => now()]);
+                        ->update($mergeUpdate);

                    Log::info('supplier_lead.merged_into_csv_recovered', [
                        'supplier_lead_id' => $lead->id,
@@ -368,6 +427,13 @@ class RouteSupplierLeadJob implements ShouldQueue
                    ? array_values(array_map('strval', $payload['phones']))
                    : [(string) $lead->phone];

+                // §3.10: на шаге 3 (запасной канал) регион сделки подменяется на регион
+                // клиента (первый подписанный субъект из snapshot); настоящий регион —
+                // в lead_region_resolution_log.actual_subject_code. region_substituted флажит подмену.
+                $dealSubjectCode = $routingStep < 3
+                    ? $resolution->subjectCode
+                    : ($this->pickSubstituteRegion((string) ($snapshot->regions ?? '{}')) ?? $resolution->subjectCode);
+
                $deal = Deal::create([
                    'tenant_id' => $tenant->id,
                    'source_crm_id' => $lead->vid,
@@ -376,7 +442,14 @@ class RouteSupplierLeadJob implements ShouldQueue
                    'phones' => $phones,
                    'status' => 'new',
                    'received_at' => $receivedAt,
-                    'subject_code' => $subjectCode,
+                    'subject_code' => $dealSubjectCode,
+                    // «Город» (UI deals.city) — человекочитаемое имя НАСТОЯЩЕГО региона лида
+                    // по резолву (даже если subject_code подменён на шаге 3). NULL → колонка пустая.
+                    'city' => $resolution->subjectCode !== null
+                        ? (RussianRegions::CODE_TO_NAME[$resolution->subjectCode] ?? null)
+                        : null,
+                    'phone_operator' => $resolution->phoneOperator,
+                    'region_substituted' => $routingStep === 3,
                ]);

                DB::table('supplier_lead_deliveries')
@@ -474,6 +547,89 @@ class RouteSupplierLeadJob implements ShouldQueue
        ]);
    }

+    /**
+     * Аудит резолва региона лида — одна строка на лид в lead_region_resolution_log (§7.1).
+     * Fail-safe: сбой записи (например, отсутствие партиции received_at) логируется warning'ом,
+     * но НЕ прерывает доставку (revenue-critical). INSERT через pgsql_supplier (GRANT INSERT
+     * у crm_supplier_worker). Телефон маскируется до INSERT — сырой номер в лог не пишется.
+     *
+     * @param  Collection<int, Project>  $selected
+     */
+    private function logRegionResolution(SupplierLead $lead, RegionResolution $resolution, Collection $selected): void
+    {
+        try {
+            $first = $selected->first();
+            $routingStep = $first !== null ? (int) ($first->routing_step ?? 1) : null;
+            $substituted = ($routingStep === 3 && $first !== null)
+                ? ($this->pickSubstituteRegion((string) ($first->snapshot_regions ?? '{}')) ?? $resolution->subjectCode)
+                : null;
+
+            $tagCode = app(RegionTagResolver::class)->resolve((string) ($lead->raw_payload['tag'] ?? ''));
+
+            DB::connection(self::DB_CONNECTION)->table('lead_region_resolution_log')->insert([
+                'supplier_lead_id' => $lead->id,
+                'received_at' => $lead->received_at ?? now(),
+                'phone_masked' => $this->maskPhone((string) $lead->phone),
+                'subject_code_resolved' => $resolution->subjectCode,
+                'subject_code_from_tag' => $tagCode,
+                'region_source' => $resolution->source,
+                'dadata_qc' => $resolution->qc,
+                'dadata_provider' => $resolution->phoneOperator,
+                'dadata_type' => null,
+                'dadata_response_masked' => $resolution->dadataResponseMasked !== null
+                    ? json_encode($resolution->dadataResponseMasked, JSON_UNESCAPED_UNICODE)
+                    : null,
+                'rossvyaz_matched' => $resolution->rossvyazMatched,
+                'actual_subject_code' => $resolution->actualSubjectCode,
+                'substituted_subject_code' => $substituted,
+                'routing_step' => $routingStep,
+                'phone_operator' => $resolution->phoneOperator,
+                'cache_hit' => $resolution->cacheHit,
+                'duration_ms' => $resolution->durationMs,
+            ]);
+        } catch (Throwable $e) {
+            Log::warning('lead_region_resolution.log_write_failed', [
+                'supplier_lead_id' => $lead->id,
+                'exception' => $e->getMessage(),
+            ]);
+        }
+    }
+
+    /**
+     * Первый код субъекта из PG INT[]-литерала ('{82,83}' → 82; '{}' → null) — регион клиента
+     * для подмены на запасном канале (§3.10).
+     */
+    private function pickSubstituteRegion(string $regionsLiteral): ?int
+    {
+        return $this->parseSubjectCodes($regionsLiteral)[0] ?? null;
+    }
+
+    /**
+     * @return list<int>  '{82,83}' → [82,83]; '{}'/'' → []
+     */
+    private function parseSubjectCodes(string $regionsLiteral): array
+    {
+        $inner = trim($regionsLiteral, '{}');
+        if ($inner === '') {
+            return [];
+        }
+
+        return array_values(array_map('intval', explode(',', $inner)));
+    }
+
+    /**
+     * Маскирование телефона для лога (§7.1): первые 4 + последние 4 цифры (7916***4567).
+     */
+    private function maskPhone(string $phone): string
+    {
+        $digits = preg_replace('/\D+/', '', $phone) ?? '';
+        if (strlen($digits) < 8) {
+            return '***';
+        }
+
+        return substr($digits, 0, 4).'***'.substr($digits, -4);
+    }
+
    /**
     * Финальный callback после исчерпания всех ретраев ($tries=3).
     *
@@ -61,6 +61,9 @@ class Deal extends Model
        'is_test',
        'received_at',
        'deleted_at',
+        // Lead region resolution (Session 1, 31.05.2026).
+        'phone_operator',
+        'region_substituted',
    ];

    protected function casts(): array
@@ -77,6 +80,7 @@ class Deal extends Model
            'lead_score' => 'decimal:2',
            'phones' => 'array',
            'is_test' => 'boolean',
+            'region_substituted' => 'boolean',
            'assigned_at' => 'datetime',
            'received_at' => 'datetime',
            'created_at' => 'datetime',
@@ -29,6 +29,8 @@ use Illuminate\Support\Facades\DB;
 * @property string $deadline_at
 * @property string|null $completed_at
 * @property bool $processing_restricted
+ *
+ * @mixin IdeHelperPdSubjectRequest
 */
 class PdSubjectRequest extends Model
 {
@@ -41,6 +41,11 @@ class SupplierLead extends Model
        'recovered_from_csv_at',
        'deals_created_count',
        'error',
+        // Lead region resolution (Session 1, 31.05.2026) — persistent idempotency + display.
+        'resolved_subject_code',
+        'region_source',
+        'dadata_qc',
+        'phone_operator',
    ];

    protected function casts(): array
@@ -52,6 +57,8 @@ class SupplierLead extends Model
            'recovered_from_csv_at' => 'datetime',
            'vid' => 'integer',
            'deals_created_count' => 'integer',
+            'resolved_subject_code' => 'integer',
+            'dadata_qc' => 'integer',
        ];
    }

@@ -8,12 +8,15 @@ use Illuminate\Database\Eloquent\Model;

 /**
 * Замок «поставка ↔ клиент» (Billing v2 Spec B). Композитный PK без автоинкремента.
+ *
 * Пишется в шеринг-пути (RouteSupplierLeadJob) через insertOrIgnore под RLS-контекстом.
 *
 * @property int $supplier_lead_id
 * @property int $tenant_id
 * @property int|null $deal_id
 * @property string $created_at
+ *
+ * @mixin IdeHelperSupplierLeadDelivery
 */
 class SupplierLeadDelivery extends Model
 {
@@ -25,6 +25,8 @@ use Illuminate\Support\Carbon;
 * @property int|null $resolved_by_user_id
 * @property Carbon|null $created_at
 * @property Carbon|null $resolved_at
+ *
+ * @mixin IdeHelperSupplierManualSyncQueue
 */
 class SupplierManualSyncQueue extends Model
 {
@@ -0,0 +1,104 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\Audit;
+
+use InvalidArgumentException;
+
+/**
+ * Shared config hash-chain for 6 audit tables.
+ *
+ * Single source of truth for writer (db/schema.sql trigger audit_chain_hash()),
+ * verify (App\Console\Commands\VerifyAuditChains) and rebuild
+ * (App\Console\Commands\AuditRebuildChain).
+ *
+ * ADR-018: per-tenant via RLS scope for tenant tables,
+ * global for BYPASSRLS tables.
+ *
+ * columns: list in ordinal_position order from db/schema.sql.
+ *   '__log_hash__' -- marker for log_hash position -> NULL::bytea in ROW().
+ *
+ * partition: SQL fragment for OVER (PARTITION BY ... ORDER BY id),
+ *   reproducing the RLS-scope of the trigger.
+ *   '' = global chain within partition (for BYPASSRLS tables).
+ */
+final class AuditChainConfig
+{
+    /**
+     * @var array<string, array{columns: list<string>, partition: string}>
+     */
+    public const TABLES = [
+        'auth_log' => [
+            'columns' => [
+                'id', 'actor_type', 'tenant_id', 'user_id', 'saas_admin_user_id',
+                'email', 'event', 'ip_address', 'user_agent', 'failure_reason',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => '',
+        ],
+        'activity_log' => [
+            'columns' => [
+                'id', 'tenant_id', 'user_id', 'deal_id', 'event',
+                'old_value', 'new_value', 'context', 'ip_address', 'user_agent',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => 'PARTITION BY tenant_id',
+        ],
+        'tenant_operations_log' => [
+            'columns' => [
+                'id', 'tenant_id', 'user_id', 'entity_type', 'entity_id',
+                'event', 'payload_before', 'payload_after', 'ip_address', 'user_agent',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => 'PARTITION BY tenant_id',
+        ],
+        'balance_transactions' => [
+            'columns' => [
+                'id', 'tenant_id', 'type', 'amount_rub', 'amount_leads',
+                'balance_rub_after', 'balance_leads_after', 'description',
+                'related_type', 'related_id', 'user_id', 'admin_user_id',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => 'PARTITION BY tenant_id',
+        ],
+        'pd_processing_log' => [
+            'columns' => [
+                'id', 'tenant_id', 'subject_type', 'subject_id', 'action',
+                'purpose', 'actor_tenant_user_id', 'actor_admin_user_id', 'ip_address',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => 'PARTITION BY tenant_id',
+        ],
+        'saas_admin_audit_log' => [
+            'columns' => [
+                'id', 'admin_user_id', 'action', 'target_type', 'target_id',
+                'target_tenant_id', 'payload_before', 'payload_after', 'reason',
+                'ip_address', 'user_agent', 'requires_approval', 'approved_by', 'approved_at',
+                '__log_hash__', 'created_at',
+            ],
+            'partition' => '',
+        ],
+    ];
+
+    /**
+     * Build ROW(col1, col2, ..., NULL::bytea, ..., coln) with NULL::bytea at log_hash position.
+     *
+     * @throws InvalidArgumentException if table is not registered in TABLES
+     */
+    public static function rowExpression(string $table): string
+    {
+        if (! isset(self::TABLES[$table])) {
+            throw new InvalidArgumentException(
+                "Table '{$table}' is not registered in AuditChainConfig::TABLES"
+            );
+        }
+
+        $parts = [];
+        foreach (self::TABLES[$table]['columns'] as $col) {
+            $parts[] = ($col === '__log_hash__') ? 'NULL::bytea' : "t.{$col}";
+        }
+
+        return 'ROW('.implode(', ', $parts).')';
+    }
+}
@@ -0,0 +1,47 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+use Illuminate\Support\Facades\Cache;
+
+/**
+ * Дневной бюджет на платные вызовы DaData (spec §5.3 / §11).
+ *
+ * Расход копится в копейках под дневным ключом `phone_resolution:dadata:spent_kopecks:<YYYY-MM-DD>`.
+ * `Cache::increment` на redis-сторе атомарен (INCRBY) — корректно при параллельных
+ * RouteSupplierLeadJob. Дневной ключ сам обнуляется со сменой даты; TTL 2 дня чистит старые.
+ *
+ * При canSpend()=false LeadRegionResolver минует DaData и идёт сразу в Россвязь (spec §3.3).
+ */
+class DaDataBudgetGuard
+{
+    public function canSpend(): bool
+    {
+        $capKopecks = ((int) config('services.dadata.daily_cap_rub', 10000)) * 100;
+
+        return $this->spentTodayKopecks() < $capKopecks;
+    }
+
+    public function recordSpend(int $kopecks): void
+    {
+        if ($kopecks <= 0) {
+            return;
+        }
+
+        $key = $this->dailyKey();
+        Cache::add($key, 0, now()->addDays(2));
+        Cache::increment($key, $kopecks);
+    }
+
+    public function spentTodayKopecks(): int
+    {
+        return (int) Cache::get($this->dailyKey(), 0);
+    }
+
+    private function dailyKey(): string
+    {
+        return 'phone_resolution:dadata:spent_kopecks:'.now()->format('Y-m-d');
+    }
+}
@@ -0,0 +1,13 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+use RuntimeException;
+
+/**
+ * Не-2xx ответ DaData (после исчерпания retry) или иная ошибка вызова.
+ * LeadRegionResolver ловит её и деградирует на Россвязь (spec §3.3).
+ */
+class DaDataException extends RuntimeException {}
@@ -0,0 +1,93 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+use Illuminate\Http\Client\ConnectionException;
+use Illuminate\Http\Client\Factory as HttpFactory;
+
+/**
+ * HTTP-обёртка над DaData clean/phone (spec §3.6).
+ *
+ * POST https://cleaner.dadata.ru/api/v1/clean/phone
+ *   Authorization: Token <key> ; X-Secret: <secret> ; body ["<phone>"]
+ *
+ * Retry — только на сетевые ошибки и 5xx (4xx → сразу DaDataException, без retry).
+ * Сеть/таймаут после исчерпания retry → DaDataTimeoutException; 5xx → DaDataException.
+ * Конвенция клиента зеркалит App\Services\Supplier\SupplierPortalClient (inject HttpFactory).
+ */
+class DaDataPhoneClient
+{
+    private const URL = 'https://cleaner.dadata.ru/api/v1/clean/phone';
+
+    public function __construct(
+        private readonly HttpFactory $http,
+    ) {}
+
+    public function cleanPhone(string $phone): DaDataPhoneResponse
+    {
+        $cfg = (array) config('services.dadata');
+        $timeoutSec = max(1, (int) round(((int) ($cfg['timeout_ms'] ?? 2000)) / 1000));
+        $attempts = max(1, (int) ($cfg['retries'] ?? 1) + 1);
+        $apiKey = (string) ($cfg['api_key'] ?? '');
+        $secret = (string) ($cfg['secret'] ?? '');
+
+        $lastException = null;
+
+        for ($attempt = 0; $attempt < $attempts; $attempt++) {
+            try {
+                $response = $this->http
+                    ->asJson()
+                    ->acceptJson()
+                    ->timeout($timeoutSec)
+                    ->withHeaders([
+                        'Authorization' => 'Token '.$apiKey,
+                        'X-Secret' => $secret,
+                    ])
+                    ->post(self::URL, [$phone]);
+            } catch (ConnectionException $e) {
+                $lastException = new DaDataTimeoutException(
+                    'DaData connection failed: '.$e->getMessage(), 0, $e,
+                );
+
+                continue; // сеть → retry
+            }
+
+            if ($response->serverError()) {
+                $lastException = new DaDataException('DaData 5xx: HTTP '.$response->status());
+
+                continue; // 5xx → retry
+            }
+
+            if (! $response->successful()) {
+                // 4xx — клиентская ошибка, retry бессмыслен.
+                throw new DaDataException('DaData HTTP '.$response->status().': '.$response->body());
+            }
+
+            return $this->parse($response->json());
+        }
+
+        throw $lastException ?? new DaDataException('DaData failed without a response');
+    }
+
+    /**
+     * @param  mixed  $body  декодированный JSON (ожидается массив с одним объектом)
+     */
+    private function parse($body): DaDataPhoneResponse
+    {
+        $row = (is_array($body) && isset($body[0]) && is_array($body[0])) ? $body[0] : [];
+
+        return new DaDataPhoneResponse(
+            qc: isset($row['qc']) ? (int) $row['qc'] : null,
+            qcConflict: isset($row['qc_conflict']) ? (int) $row['qc_conflict'] : null,
+            type: isset($row['type']) ? (string) $row['type'] : null,
+            phone: isset($row['phone']) ? (string) $row['phone'] : null,
+            provider: isset($row['provider']) ? (string) $row['provider'] : null,
+            region: isset($row['region']) ? (string) $row['region'] : null,
+            city: isset($row['city']) ? (string) $row['city'] : null,
+            timezone: isset($row['timezone']) ? (string) $row['timezone'] : null,
+            raw: $row,
+        );
+    }
+}
@@ -0,0 +1,26 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+/**
+ * Распарсенный ответ DaData clean/phone (один номер → один объект), spec §3.6.
+ */
+final class DaDataPhoneResponse
+{
+    /**
+     * @param  array<string, mixed>  $raw  полный сырой объект ответа (для маскированного лога)
+     */
+    public function __construct(
+        public readonly ?int $qc,
+        public readonly ?int $qcConflict,
+        public readonly ?string $type,
+        public readonly ?string $phone,
+        public readonly ?string $provider,
+        public readonly ?string $region,
+        public readonly ?string $city,
+        public readonly ?string $timezone,
+        public readonly array $raw,
+    ) {}
+}
@@ -0,0 +1,27 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+/**
+ * Код качества (`qc`) ответа DaData clean/phone.
+ *
+ * Семантика DaData:
+ *   0 — телефон распознан уверенно;
+ *   1 — распознан с допущениями (требует проверки);
+ *   2 — пустой / невозможно распознать;
+ *   3 — несколько телефонов в одном поле;
+ *   7 — иностранный номер.
+ *
+ * Решения каскада по qc — в LeadRegionResolver (spec §3.4). Enum используется
+ * для читаемости и tryFrom() при парсинге; необъявленные значения остаются как int.
+ */
+enum DaDataQualityCode: int
+{
+    case RECOGNIZED = 0;
+    case ASSUMPTIONS = 1;
+    case EMPTY = 2;
+    case MULTIPLE = 3;
+    case FOREIGN = 7;
+}
@@ -0,0 +1,11 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\DaData;
+
+/**
+ * Сетевая ошибка / таймаут DaData (после исчерпания retry на сетевые сбои).
+ * Подкласс DaDataException — catch(DaDataException) покрывает оба случая.
+ */
+class DaDataTimeoutException extends DaDataException {}
@@ -0,0 +1,118 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\Dto;
+
+use App\Models\SupplierLead;
+
+/**
+ * Результат резолва региона лида (LeadRegionResolver, spec §3.3).
+ *
+ * `subjectCode` — итоговый код субъекта (используется маршрутизатором);
+ * `actualSubjectCode` — настоящий резолв (для лога actual_subject_code; на этапе
+ * резолва равен subjectCode, подмена региона — концерн RouteSupplierLeadJob §3.10).
+ * `source` ∈ dadata|rossvyaz|tag|unknown — ранг см. SOURCE_RANK (CSV-merge §3.12).
+ */
+final readonly class RegionResolution
+{
+    /** @var array<string, int> ранг источника для CSV-merge (выше = достовернее) */
+    public const SOURCE_RANK = [
+        'dadata' => 4,
+        'rossvyaz' => 3,
+        'tag' => 2,
+        'unknown' => 1,
+    ];
+
+    /**
+     * @param  array<string, mixed>|null  $dadataResponseMasked
+     */
+    public function __construct(
+        public ?int $subjectCode,
+        public ?int $actualSubjectCode,
+        public string $source,
+        public ?string $phoneOperator,
+        public ?int $qc,
+        public bool $cacheHit,
+        public ?array $dadataResponseMasked,
+        public ?int $durationMs,
+        public bool $rossvyazMatched,
+    ) {}
+
+    /**
+     * @param  array<string, mixed>|null  $dadataMasked
+     */
+    public static function make(
+        ?int $subjectCode,
+        string $source,
+        ?string $operator = null,
+        ?int $qc = null,
+        bool $cacheHit = false,
+        ?array $dadataMasked = null,
+        ?int $durationMs = null,
+        bool $rossvyazMatched = false,
+    ): self {
+        return new self(
+            subjectCode: $subjectCode,
+            actualSubjectCode: $subjectCode,
+            source: $source,
+            phoneOperator: $operator,
+            qc: $qc,
+            cacheHit: $cacheHit,
+            dadataResponseMasked: $dadataMasked,
+            durationMs: $durationMs,
+            rossvyazMatched: $rossvyazMatched,
+        );
+    }
+
+    public static function fromTag(?int $subjectCode): self
+    {
+        return self::make($subjectCode, $subjectCode !== null ? 'tag' : 'unknown');
+    }
+
+    /**
+     * Восстановление из persistent state лида (retry-идемпотентность §3.11) — без DaData-вызова.
+     */
+    public static function fromSupplierLead(SupplierLead $lead): self
+    {
+        return self::make(
+            subjectCode: $lead->resolved_subject_code !== null ? (int) $lead->resolved_subject_code : null,
+            source: (string) ($lead->region_source ?? 'unknown'),
+            operator: $lead->phone_operator,
+            qc: $lead->dadata_qc !== null ? (int) $lead->dadata_qc : null,
+        );
+    }
+
+    public function withCacheHit(bool $hit): self
+    {
+        return new self(
+            subjectCode: $this->subjectCode,
+            actualSubjectCode: $this->actualSubjectCode,
+            source: $this->source,
+            phoneOperator: $this->phoneOperator,
+            qc: $this->qc,
+            cacheHit: $hit,
+            dadataResponseMasked: null, // §3.11: cache-hit лог не несёт masked-ответ
+            durationMs: $this->durationMs,
+            rossvyazMatched: $this->rossvyazMatched,
+        );
+    }
+
+    /**
+     * Версия для записи в кэш (§7.3): без per-call полей (masked-ответ, длительность, cache-флаг).
+     */
+    public function forCache(): self
+    {
+        return new self(
+            subjectCode: $this->subjectCode,
+            actualSubjectCode: $this->actualSubjectCode,
+            source: $this->source,
+            phoneOperator: $this->phoneOperator,
+            qc: $this->qc,
+            cacheHit: false,
+            dadataResponseMasked: null,
+            durationMs: null,
+            rossvyazMatched: $this->rossvyazMatched,
+        );
+    }
+}
@@ -0,0 +1,20 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services\Dto;
+
+/**
+ * Read-only результат поиска по реестру нумерации Россвязи (`phone_ranges`).
+ *
+ * `subjectCode` — код субъекта РФ 1..89 (см. App\Support\RussianRegions) либо
+ * null, если для диапазона он не был промаплен при импорте.
+ */
+final readonly class RossvyazRecord
+{
+    public function __construct(
+        public ?int $subjectCode,
+        public string $region,
+        public string $operator,
+    ) {}
+}
@@ -0,0 +1,176 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services;
+
+use App\Models\SupplierLead;
+use App\Services\DaData\DaDataBudgetGuard;
+use App\Services\DaData\DaDataException;
+use App\Services\DaData\DaDataPhoneClient;
+use App\Services\DaData\DaDataPhoneResponse;
+use App\Services\Dto\RegionResolution;
+use App\Support\DaDataRegionMap;
+use Illuminate\Contracts\Cache\Repository as CacheRepository;
+
+/**
+ * Оркестратор резолва региона лида: DaData → Россвязь → tag-fallback (spec §3.3, §3.4).
+ *
+ * Каскад решений по qc:
+ *   qc 0/3 + region не-ambiguous и маппится → source=dadata;
+ *   qc 0/3 + region ambiguous/null/не-маппится → Россвязь (оператор от DaData сохраняем, §3.4.1);
+ *   qc 1 / таймаут / 5xx / бюджет исчерпан → Россвязь;
+ *   qc 2/7 → tag (Россвязь бессмысленна).
+ * Если ничего не дало код → source=tag (или unknown при пустом теге).
+ *
+ * Кэш по sha256(phone) (без сырого номера в ключе/значении, §7.3). Persistent-idempotency
+ * по supplier_leads.resolved_subject_code (защита от двойной оплаты DaData на retry, §3.11).
+ * Feature-flag services.dadata.enabled=false → сразу tag (текущее поведение, §6.5).
+ */
+class LeadRegionResolver
+{
+    public function __construct(
+        private readonly DaDataPhoneClient $dadataClient,
+        private readonly DaDataBudgetGuard $budgetGuard,
+        private readonly RossvyazPrefixLookup $rossvyazLookup,
+        private readonly RegionTagResolver $tagResolver,
+        private readonly CacheRepository $cache,
+    ) {}
+
+    public function resolve(SupplierLead $lead): RegionResolution
+    {
+        // Feature-flag: резолвер выключен → текущее tag-поведение.
+        if (! (bool) config('services.dadata.enabled', false)) {
+            return $this->tagFallback($lead, provider: null, qc: null, masked: null, start: null);
+        }
+
+        // Persistent-idempotency: уже резолвили на предыдущем try → без DaData.
+        if ($lead->resolved_subject_code !== null || $lead->region_source !== null) {
+            return RegionResolution::fromSupplierLead($lead);
+        }
+
+        $phone = (string) $lead->phone;
+        if (! preg_match('/^7\d{10}$/', $phone)) {
+            return $this->tagFallback($lead, provider: null, qc: null, masked: null, start: null);
+        }
+
+        $cacheKey = $this->cacheKey($phone);
+        $cached = $this->cache->get($cacheKey);
+        if ($cached instanceof RegionResolution) {
+            return $cached->withCacheHit(true);
+        }
+
+        $resolution = $this->doResolve($lead, $phone);
+
+        $ttlDays = max(1, (int) config('services.dadata.cache_ttl_days', 30));
+        $this->cache->put($cacheKey, $resolution->forCache(), now()->addDays($ttlDays));
+
+        return $resolution;
+    }
+
+    private function doResolve(SupplierLead $lead, string $phone): RegionResolution
+    {
+        $start = microtime(true);
+        $provider = null;
+        $qc = null;
+        $masked = null;
+
+        // 1. DaData (под дневным бюджетом).
+        if ($this->budgetGuard->canSpend()) {
+            try {
+                $dadata = $this->dadataClient->cleanPhone($phone);
+                $this->budgetGuard->recordSpend((int) config('services.dadata.call_cost_kopecks', 60));
+                $qc = $dadata->qc;
+                $provider = $dadata->provider;
+                $masked = $this->maskResponse($dadata);
+
+                if (in_array($dadata->qc, [0, 3], true)) {
+                    $region = (string) ($dadata->region ?? '');
+                    if ($region !== '' && ! DaDataRegionMap::isAmbiguous($region)) {
+                        $code = DaDataRegionMap::toSubjectCode($region);
+                        if ($code !== null) {
+                            return RegionResolution::make(
+                                $code, 'dadata',
+                                operator: $provider, qc: $qc,
+                                dadataMasked: $masked, durationMs: $this->ms($start),
+                            );
+                        }
+                        // qc=0/3, но регион не маппится → страховка Россвязью.
+                    }
+                    // ambiguous / region=null / не-маппится → Россвязь (provider от DaData сохраняем).
+                } elseif ($dadata->qc === 2 || $dadata->qc === 7) {
+                    // Мусор / иностранец → Россвязь не поможет, сразу tag.
+                    return $this->tagFallback($lead, $provider, $qc, $masked, $start);
+                }
+                // qc=1 → Россвязь.
+            } catch (DaDataException) {
+                // Сеть / таймаут / 5xx → деградируем на Россвязь, не падаем.
+            }
+        }
+
+        // 2. Россвязь.
+        $rossvyaz = $this->rossvyazLookup->find($phone);
+        if ($rossvyaz !== null) {
+            $code = $rossvyaz->subjectCode ?? DaDataRegionMap::toSubjectCode($rossvyaz->region);
+            if ($code !== null) {
+                return RegionResolution::make(
+                    $code, 'rossvyaz',
+                    operator: $provider ?? $rossvyaz->operator, // оператор от DaData приоритетнее (MNP)
+                    qc: $qc, dadataMasked: $masked,
+                    durationMs: $this->ms($start), rossvyazMatched: true,
+                );
+            }
+        }
+
+        // 3. Tag-fallback.
+        return $this->tagFallback($lead, $provider, $qc, $masked, $start);
+    }
+
+    private function tagFallback(SupplierLead $lead, ?string $provider, ?int $qc, ?array $masked, ?float $start): RegionResolution
+    {
+        $tag = (string) (is_array($lead->raw_payload) ? ($lead->raw_payload['tag'] ?? '') : '');
+        $tagCode = $this->tagResolver->resolve($tag);
+
+        return RegionResolution::make(
+            $tagCode,
+            $tagCode !== null ? 'tag' : 'unknown',
+            operator: $provider,
+            qc: $qc,
+            dadataMasked: $masked,
+            durationMs: $start !== null ? $this->ms($start) : null,
+        );
+    }
+
+    private function cacheKey(string $phone): string
+    {
+        return 'phone-region:'.hash('sha256', $phone);
+    }
+
+    private function ms(float $start): int
+    {
+        return (int) round((microtime(true) - $start) * 1000);
+    }
+
+    /**
+     * @return array<string, mixed>  сырой ответ DaData с маскированным телефоном (§7.1)
+     */
+    private function maskResponse(DaDataPhoneResponse $response): array
+    {
+        $raw = $response->raw;
+        if (isset($raw['phone']) && is_string($raw['phone'])) {
+            $raw['phone'] = $this->maskPhone($raw['phone']);
+        }
+
+        return $raw;
+    }
+
+    private function maskPhone(string $phone): string
+    {
+        $digits = preg_replace('/\D+/', '', $phone) ?? '';
+        if (strlen($digits) < 8) {
+            return '***';
+        }
+
+        return substr($digits, 0, 4).'***'.substr($digits, -4);
+    }
+}
@@ -10,129 +10,219 @@ use Illuminate\Support\Carbon;
 use Illuminate\Support\Collection;
 use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Log;
+use Random\Randomizer;

 /**
- * Подбор eligible Лидерра-проектов для входящего лида (sharing-model §6).
+ * Подбор eligible Лидерра-проектов для входящего лида (sharing-model §6) с
+ * каскадной маршрутизацией по региону (lead region resolution §3.9).
 *
 * Eligibility — структурно через snapshot `project_routing_snapshots` за активную
 * дату слепка (slepok-инвариант): до 21:00 МСК активен snapshot сегодняшней даты,
- * с 21:00 МСК — завтрашней. Все эффективные параметры маршрутизации
- * (daily_limit, delivery_days_mask, regions, signal_type/signal_identifier и т.д.)
- * берутся из snapshot. Из live `projects` — только `delivered_today` (счётчик
- * остатка лимита, обновляется в течение дня) и из `tenants` — `balance_rub`
- * (live auto-pause при нулевом балансе).
+ * с 21:00 МСК — завтрашней. Все эффективные параметры маршрутизации берутся из
+ * snapshot; из live `projects` — только `delivered_today` (остаток лимита),
+ * из `tenants` — `balance_rub` + `frozen_by_balance_at` (live auto-pause).
 *
- * Это закрывает R-01..R-04, R-06..R-08, R-15 (spec §1.3) — клиент Лидерры,
- * который paus'нул проект ПОСЛЕ зафиксированного слепка поставщика, всё равно
- * получает свои оплаченные лиды по уже зафиксированному slepok'у.
+ * Каскад (§3.9): один SQL оборачивается тремя фазами по убыванию точности региона:
+ *   1) точное совпадение субъекта (`?::int = ANY(snap.regions)`);
+ *   2) «вся РФ» (`snap.regions = '{}'`), добор недостающих слотов;
+ *   3) запасной канал (без фильтра региона) — только если первые две пусты;
+ *      сделкам в этой фазе подменяется subject_code (RouteSupplierLeadJob §3.10).
+ * Каждый Project помечается атрибутом `routing_step` (1/2/3).
 *
- * Регион сопоставляется самим supplier_project (тег = субъект) — phone-prefix
- * фильтр убран (эпик миграции проектов, Q5): для мобильных он no-op, а регион
- * гарантирован тем, через какой supplier_project пришёл лид.
+ * Отбор внутри фазы при кандидатах > cap — **взвешенный жребий по остатку лимита**
+ * (вариант D1=В): шанс ∝ остатку, но у каждого кандидата шанс > 0 (вес ≥ 1) —
+ * маленькие клиенты не отрезаются. cap = LeadDistributor::CAP (лид продаётся ≤3 раз).
+ * Жребий через инъектируемый \Random\Randomizer (тесты сидируют Mt19937).
 *
 * Запрос через connection pgsql_supplier (BYPASSRLS crm_supplier_worker) — в
 * sharing-flow tenant ещё не определён, SELECT видит проекты всех tenant'ов.
 *
- * Spec: docs/superpowers/specs/2026-05-26-slepok-routing-protection-design.md §4.2.3.
+ * Spec: docs/superpowers/specs/2026-05-26-slepok-routing-protection-design.md §4.2.3
+ *     + docs/superpowers/specs/2026-05-29-lead-region-resolution-design.md §3.9.
 */
 class LeadRouter
 {
+    public function __construct(
+        private readonly Randomizer $randomizer = new Randomizer,
+    ) {}
+
    /**
-     * Возвращает ONE project per tenant_id — тот, у которого наибольший остаток
-     * дневного лимита (DISTINCT ON (tenant_id) с ORDER BY remaining DESC, created_at, id).
-     *
-     * Семантика (Spec B Task 3): один лид продаётся не более чем 3 РАЗЛИЧНЫМ тенантам
-     * (клиентам), каждый тенант получает ровно ОДИН проект — с наибольшим остатком.
-     * LeadDistributor::selectRecipients (CAP=3) теперь ограничивает число тенантов,
-     * а не число проектов, потому что входные данные уже one-per-tenant.
-     *
-     * Запрос через pgsql_supplier (BYPASSRLS crm_supplier_worker) — tenant ещё не
-     * определён, SELECT видит проекты всех tenant'ов.
+     * Возвращает ≤ cap проектов (по одному на tenant), отобранных каскадом
+     * по региону + взвешенным жребием. Каждый Project несёт `routing_step`.
     *
     * @return Collection<int, Project>
     */
-    public function matchEligibleProjects(SupplierProject $supplierProject): Collection
+    public function matchEligibleProjects(SupplierProject $supplierProject, ?int $resolvedSubjectCode = null): Collection
    {
-        // Активная дата слепка вычисляется в PHP — детерминирована для всего запроса,
-        // тестируема через Carbon::setTestNow, исключает дрейф между PHP- и DB-часами.
        $activeDate = $this->activeSnapshotDate();
+        $cap = LeadDistributor::CAP;

-        // Phase 3: для DIRECT-supplier_project — fallback на signal_type+signal_identifier
-        // match с Лидерра-проектами через snapshot (project_supplier_links для
-        // DIRECT-row'ов не создаются — DIRECT supplier_projects создаются автоматически
-        // при получении webhook'а без B-префикса).
-        if ($supplierProject->platform === 'DIRECT') {
-            $directSql = <<<'SQL'
-                SELECT DISTINCT ON (snap.tenant_id)
-                    projects.*,
-                    snap.daily_limit AS snapshot_daily_limit
-                FROM project_routing_snapshots snap
-                INNER JOIN projects ON projects.id = snap.project_id
-                WHERE snap.snapshot_date = ?::date
-                  AND snap.signal_type = ?
-                  AND LOWER(snap.signal_identifier) = LOWER(?)
-                  AND projects.delivered_today < snap.daily_limit
-                  AND EXISTS (
-                      SELECT 1 FROM tenants
-                      WHERE tenants.id = snap.tenant_id
-                        AND tenants.balance_rub > 0
-                        -- R-03: frozen tenant must not receive new leads (Stage 3 §4.3.1)
-                        AND tenants.frozen_by_balance_at IS NULL
-                  )
-                ORDER BY snap.tenant_id,
-                         (snap.daily_limit - projects.delivered_today) DESC,
-                         projects.created_at,
-                         projects.id
-            SQL;
-            $directRows = DB::connection('pgsql_supplier')->select(
-                $directSql,
-                [$activeDate, $supplierProject->signal_type, $supplierProject->unique_key]
-            );
+        // Фаза 1: точное совпадение региона (только если резолвер дал subject_code).
+        $exact = $resolvedSubjectCode !== null
+            ? $this->queryCandidates($activeDate, $supplierProject, 'exact', $resolvedSubjectCode, [])
+            : collect();
+        $selected = $this->weightedPick($exact, $cap);
+        $this->tagStep($selected, 1);

-            $this->logIfNoSnapshot($directRows, $supplierProject, $activeDate);
-
-            return Project::hydrate($directRows)->values();
+        if ($selected->count() >= $cap) {
+            return $selected->take($cap)->values();
        }

-        // Existing B1/B2/B3 path — explicit project_supplier_links pivot.
-        $sql = <<<'SQL'
+        // Фаза 2: «вся РФ», добор недостающих слотов (исключая уже выбранных tenant'ов).
+        $allRu = $this->queryCandidates(
+            $activeDate, $supplierProject, 'all_ru', null,
+            $selected->pluck('tenant_id')->all(),
+        );
+        $pickedRu = $this->weightedPick($allRu, $cap - $selected->count());
+        $this->tagStep($pickedRu, 2);
+        $combined = $selected->concat($pickedRu);
+
+        if ($combined->isNotEmpty()) {
+            return $combined->take($cap)->values();
+        }
+
+        // Фаза 3: запасной канал (никто не подписан на регион и нет «вся РФ»).
+        $fallback = $this->weightedPick(
+            $this->queryCandidates($activeDate, $supplierProject, 'any', null, []),
+            $cap,
+        );
+        $this->tagStep($fallback, 3);
+
+        $this->logIfNoSnapshot($fallback->all(), $supplierProject, $activeDate);
+
+        return $fallback->take($cap)->values();
+    }
+
+    /**
+     * Один SQL-запрос фазы каскада: DISTINCT ON (tenant_id) с фильтром региона.
+     * regionFilter ∈ exact|all_ru|any. Возвращает всех eligible (по одному на tenant),
+     * упорядоченных по остатку лимита DESC, created_at, id; жребий — поверх в PHP.
+     *
+     * @param  list<int>  $excludeTenantIds
+     * @return Collection<int, Project>
+     */
+    private function queryCandidates(string $activeDate, SupplierProject $sp, string $regionFilter, ?int $code, array $excludeTenantIds): Collection
+    {
+        $bindings = [$activeDate];
+
+        if ($sp->platform === 'DIRECT') {
+            // DIRECT supplier_projects не имеют pivot — матч по signal_type + identifier.
+            $sourceWhere = 'snap.signal_type = ? AND LOWER(snap.signal_identifier) = LOWER(?)';
+            $bindings[] = $sp->signal_type;
+            $bindings[] = $sp->unique_key;
+        } else {
+            $sourceWhere = 'EXISTS (SELECT 1 FROM project_supplier_links psl
+                  WHERE psl.project_id = snap.project_id AND psl.supplier_project_id = ?)';
+            $bindings[] = $sp->id;
+        }
+
+        $regionWhere = '';
+        if ($regionFilter === 'exact') {
+            $regionWhere = 'AND ?::int = ANY(snap.regions)';
+            $bindings[] = $code;
+        } elseif ($regionFilter === 'all_ru') {
+            $regionWhere = "AND snap.regions = '{}'::int[]";
+        }
+
+        $excludeWhere = '';
+        if ($excludeTenantIds !== []) {
+            $placeholders = implode(',', array_fill(0, count($excludeTenantIds), '?'));
+            $excludeWhere = "AND snap.tenant_id NOT IN ($placeholders)";
+            foreach ($excludeTenantIds as $tid) {
+                $bindings[] = $tid;
+            }
+        }
+
+        $sql = <<<SQL
            SELECT DISTINCT ON (snap.tenant_id)
                projects.*,
-                snap.daily_limit AS snapshot_daily_limit
+                snap.daily_limit AS snapshot_daily_limit,
+                snap.regions AS snapshot_regions
            FROM project_routing_snapshots snap
            INNER JOIN projects ON projects.id = snap.project_id
            WHERE snap.snapshot_date = ?::date
-              AND EXISTS (
-                  SELECT 1 FROM project_supplier_links psl
-                  WHERE psl.project_id = snap.project_id
-                    AND psl.supplier_project_id = ?
-              )
+              AND $sourceWhere
              AND projects.delivered_today < snap.daily_limit
              AND EXISTS (
                  SELECT 1 FROM tenants
                  WHERE tenants.id = snap.tenant_id
                    AND tenants.balance_rub > 0
-                    -- R-03: frozen tenant must not receive new leads (Stage 3 §4.3.1)
                    AND tenants.frozen_by_balance_at IS NULL
              )
+              $regionWhere
+              $excludeWhere
            ORDER BY snap.tenant_id,
                     (snap.daily_limit - projects.delivered_today) DESC,
                     projects.created_at,
                     projects.id
        SQL;
-        $rows = DB::connection('pgsql_supplier')->select($sql, [$activeDate, $supplierProject->id]);

-        $this->logIfNoSnapshot($rows, $supplierProject, $activeDate);
-
-        return Project::hydrate($rows)->values();
+        return Project::hydrate(DB::connection('pgsql_supplier')->select($sql, $bindings));
    }

    /**
-     * Активная дата слепка по правилу slepok-инварианта:
-     *   до 21:00 МСК — сегодняшняя дата;
-     *   с 21:00 МСК — завтрашняя.
+     * Взвешенный жребий без возврата (вариант D1=В): отбирает ≤ $n кандидатов,
+     * вероятность ∝ остатку лимита, вес ≥ 1 у каждого (мелкие не отрезаются).
+     * При кандидатах ≤ $n — возвращает всех в исходном SQL-порядке (детерминизм).
     *
-     * Spec §4.2.3.
+     * @param  Collection<int, Project>  $candidates
+     * @return Collection<int, Project>
+     */
+    private function weightedPick(Collection $candidates, int $n): Collection
+    {
+        if ($n <= 0) {
+            return collect();
+        }
+
+        $pool = $candidates->values()->all();
+        if (count($pool) <= $n) {
+            return collect($pool);
+        }
+
+        $picked = [];
+        for ($i = 0; $i < $n && $pool !== []; $i++) {
+            $total = 0;
+            foreach ($pool as $p) {
+                $total += $this->weightOf($p);
+            }
+
+            $roll = $this->randomizer->getInt(1, $total);
+            $acc = 0;
+            $winner = 0;
+            foreach ($pool as $idx => $p) {
+                $acc += $this->weightOf($p);
+                if ($roll <= $acc) {
+                    $winner = $idx;
+                    break;
+                }
+            }
+
+            $picked[] = $pool[$winner];
+            array_splice($pool, $winner, 1);
+        }
+
+        return collect($picked);
+    }
+
+    private function weightOf(Project $project): int
+    {
+        $remaining = (int) $project->snapshot_daily_limit - (int) $project->delivered_today;
+
+        return max(1, $remaining);
+    }
+
+    /**
+     * @param  Collection<int, Project>  $projects
+     */
+    private function tagStep(Collection $projects, int $step): void
+    {
+        foreach ($projects as $project) {
+            $project->setAttribute('routing_step', $step);
+        }
+    }
+
+    /**
+     * Активная дата слепка: до 21:00 МСК — сегодня, с 21:00 МСК — завтра (§4.2.3).
     */
    private function activeSnapshotDate(): string
    {
@@ -144,11 +234,11 @@ class LeadRouter
    }

    /**
-     * Fail-loud: пишет в лог если по активной дате слепка вообще нет ни одной строки
-     * snapshot'а — это значит, что cron `SnapshotProjectRoutingJob` не отработал.
-     * (Если строки есть, но ни одна не сматчилась — это валидный 0-результат, не алерт.)
+     * Fail-loud: пишет в лог, если по активной дате слепка вообще нет ни одной строки
+     * snapshot'а (cron SnapshotProjectRoutingJob не отработал). Пустой валидный
+     * результат при наличии snapshot'ов — не алерт.
     *
-     * @param  array<int, object>  $rows
+     * @param  array<int, mixed>  $rows
     */
    private function logIfNoSnapshot(array $rows, SupplierProject $supplierProject, string $activeDate): void
    {
@@ -59,6 +59,8 @@ class MonthlyPartitionManager
        'saas_admin_audit_log' => 'created_at',
        // Slepok routing (Этап 2, 27.05.2026)
        'project_routing_snapshots' => 'snapshot_date',
+        // Lead region resolution (Session 1, 31.05.2026)
+        'lead_region_resolution_log' => 'received_at',
    ];

    /**
@@ -106,7 +108,16 @@ class MonthlyPartitionManager
        if ($exists !== null) {
            return false;
        }
+// Родитель-партиционированная таблица может ещё не существовать
+        // (создаётся более поздней миграцией) — тогда пропускаем.
+        $parentExists = DB::selectOne(
+            "SELECT 1 AS ok FROM pg_class WHERE relname = ? AND relkind = 'p'",
+            [$table],
+        );

+        if ($parentExists === null) {
+            return false;
+        }
        DB::connection(self::DDL_CONNECTION)->statement(sprintf(
            "CREATE TABLE %s PARTITION OF %s FOR VALUES FROM ('%s') TO ('%s')",
            $partition,
@@ -0,0 +1,60 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Services;
+
+use App\Services\Dto\RossvyazRecord;
+use Illuminate\Support\Facades\DB;
+
+/**
+ * Локальный fallback резолва региона/оператора по телефону через реестр
+ * нумерации Россвязи (`phone_ranges`).
+ *
+ * Используется LeadRegionResolver когда DaData недоступна/неуверена (qc=1,
+ * timeout, бюджет исчерпан). Алгоритм (spec §3.7):
+ *   - def_code = 3 цифры кода ABC/DEF (позиции 1..3 нормализованного номера);
+ *   - subscriber = остаток номера как BIGINT;
+ *   - выбираем самый УЗКИЙ диапазон, накрывающий номер (ORDER BY width ASC),
+ *     т.к. узкие переопределения операторов точнее широких региональных блоков.
+ *
+ * Запрос идёт через `pgsql_supplier` (BYPASSRLS на проде, как LeadRouter):
+ * `phone_ranges` — SaaS-level публичные данные без RLS.
+ */
+class RossvyazPrefixLookup
+{
+    /** Connection для чтения реестра (на проде BYPASSRLS, на dev/test — superuser fallback). */
+    public const CONNECTION = 'pgsql_supplier';
+
+    public function find(string $phone): ?RossvyazRecord
+    {
+        $digits = preg_replace('/\D+/', '', $phone) ?? '';
+
+        // Российский номер: 7|8 + ABC/DEF (3) + абонент (7) = 11 цифр.
+        if (strlen($digits) !== 11) {
+            return null;
+        }
+
+        $defCode = (int) substr($digits, 1, 3);
+        $subscriber = (int) substr($digits, 4);
+
+        $row = DB::connection(self::CONNECTION)->selectOne(
+            'SELECT region, operator, subject_code
+               FROM phone_ranges
+              WHERE def_code = ? AND from_num <= ? AND to_num >= ?
+              ORDER BY (to_num - from_num) ASC
+              LIMIT 1',
+            [$defCode, $subscriber, $subscriber],
+        );
+
+        if ($row === null) {
+            return null;
+        }
+
+        return new RossvyazRecord(
+            subjectCode: $row->subject_code !== null ? (int) $row->subject_code : null,
+            region: (string) $row->region,
+            operator: (string) $row->operator,
+        );
+    }
+}
@@ -72,7 +72,6 @@ final class SupplierProjectGrouping
    public static function subjectsOf(Project $project): array
    {
        $regions = array_values((array) $project->regions);
-        // @phpstan-ignore-next-line identical.alwaysFalse — PostgresIntArray PHPDoc non-empty, runtime can be empty
        if (count($regions) === 0) {
            return [null];
        }
@@ -0,0 +1,53 @@
+<?php
+
+declare(strict_types=1);
+
+namespace App\Support;
+
+/**
+ * Маппинг строки региона из ответа DaData → код субъекта РФ (1..89).
+ *
+ * DaData возвращает регион в поле `region` (например «Москва», «Московская область»).
+ * Большинство имён точно совпадают с App\Support\RussianRegions::CODE_TO_NAME;
+ * расхождения (если найдутся на staging) кладутся в OVERRIDES.
+ *
+ * «Объединённые» агломерации («Санкт-Петербург и область») — DaData не различает
+ * город и область внутри поля region. Такие строки помечаются isAmbiguous() →
+ * LeadRegionResolver уходит за точным subject_code в Россвязь (spec §3.4.1).
+ */
+final class DaDataRegionMap
+{
+    /**
+     * Строки-агломерации, по которым нельзя однозначно определить субъект.
+     * Расширяется по реальным наблюдениям на staging (spec §3.4.1).
+     *
+     * @var list<string>
+     */
+    public const AMBIGUOUS_REGIONS = [
+        'Санкт-Петербург и область',
+        'Москва и область',
+    ];
+
+    /**
+     * Ручные переопределения для имён DaData, не совпадающих с RussianRegions.
+     * На старте пуст — заполняется по findings со staging-smoke.
+     *
+     * @var array<string, int>
+     */
+    public const OVERRIDES = [];
+
+    public static function toSubjectCode(string $name): ?int
+    {
+        $name = trim($name);
+        if ($name === '') {
+            return null;
+        }
+
+        return self::OVERRIDES[$name] ?? RussianRegions::nameToCode()[$name] ?? null;
+    }
+
+    public static function isAmbiguous(string $name): bool
+    {
+        return in_array(trim($name), self::AMBIGUOUS_REGIONS, true);
+    }
+}
@@ -114,9 +114,97 @@ final class RussianRegions
        89 => 'Ямало-Ненецкий автономный округ',
    ];

+    /**
+     * Алиасы нестандартных форм реестра Россвязи → каноничное имя субъекта.
+     * Города фед. значения приходят с префиксом «г. »; «Республика Удмуртская» —
+     * перевёрнутый порядок слов; «Кемеровская область - Кузбасс обл.» — спец-форма.
+     *
+     * @var array<string, string>
+     */
+    private const REGION_ALIASES = [
+        'г. Москва' => 'Москва',
+        'Город Москва' => 'Москва',
+        'г. Санкт-Петербург' => 'Санкт-Петербург',
+        'г. Санкт - Петербург' => 'Санкт-Петербург',
+        'г. Севастополь' => 'Севастополь',
+        'Республика Саха /Якутия/' => 'Республика Саха (Якутия)',
+        'Чувашская Республика - Чувашия' => 'Чувашская Республика',
+        'Кемеровская область - Кузбасс обл.' => 'Кемеровская область',
+        'Кемеровская область - Кузбасс область' => 'Кемеровская область',
+        'Кемеровская область - Кузбасс' => 'Кемеровская область',
+    ];
+
    /** @return array<string, int> name => code (обратный индекс) */
    public static function nameToCode(): array
    {
        return array_flip(self::CODE_TO_NAME);
    }
+
+    /**
+     * Нормализует строку региона реестра Россвязи в каноничное имя субъекта (или null).
+     *
+     * Реестр кодирует субъект как ПОСЛЕДНИЙ сегмент после «|»
+     * (напр. «г. Воскресенск|р-н Воскресенский|Московская обл.» → «Московская обл.»),
+     * с сокращением «обл.» вместо «область» и рядом нестандартных форм (см. REGION_ALIASES).
+     * Безнадёжные/неоднозначные строки («-», «Российская Федерация»,
+     * «Москва и Московская область», «г.о. Тольятти») → null.
+     */
+    public static function canonicalRegionName(string $raw): ?string
+    {
+        $segment = self::lastRegionSegment($raw);
+        if ($segment === '') {
+            return null;
+        }
+
+        // ХМАО приходит в множестве форм (em-dash/дефис, «Югра», « АО», капитализация) —
+        // ловим по двум устойчивым маркерам до общих правил.
+        if (mb_stripos($segment, 'Ханты') !== false && mb_stripos($segment, 'Мансийск') !== false) {
+            return 'Ханты-Мансийский автономный округ — Югра';
+        }
+
+        if (isset(self::REGION_ALIASES[$segment])) {
+            return self::REGION_ALIASES[$segment];
+        }
+
+        // «обл.» → «область»; « АО» → « автономный округ».
+        $name = (string) preg_replace('/\s*обл\.$/u', ' область', $segment);
+        $name = (string) preg_replace('/\s+АО$/u', ' автономный округ', $name);
+        // Дефис с пробелами → длинное тире (эталон: «Республика Северная Осетия — Алания»).
+        // Безопасно: ни одно каноническое имя не содержит дефис, окружённый пробелами
+        // (составные имена вроде «Кабардино-Балкарская» используют дефис без пробелов).
+        $name = str_replace(' - ', ' — ', $name);
+
+        if (isset(self::nameToCode()[$name])) {
+            return $name;
+        }
+
+        // Перевёрнутый порядок «Республика X» → «X Республика» (Удмуртская/Чеченская/
+        // Чувашская/Кабардино-Балкарская/Карачаево-Черкесская, Донецкая Народная/
+        // Луганская Народная). Республика-first каноны (Татарстан, Карелия…) уже
+        // отловлены прямым попаданием выше.
+        if (preg_match('/^Республика\s+(.+)$/u', $name, $m) === 1) {
+            $reordered = trim($m[1]).' Республика';
+            if (isset(self::nameToCode()[$reordered])) {
+                return $reordered;
+            }
+        }
+
+        return null;
+    }
+
+    /** Резолвит строку региона реестра Россвязи в subject_code (1..89) или null. */
+    public static function resolveSubjectCode(string $raw): ?int
+    {
+        $name = self::canonicalRegionName($raw);
+
+        return $name === null ? null : (self::nameToCode()[$name] ?? null);
+    }
+
+    /** Последний сегмент после «|» (субъект в формате Россвязи), trimmed. */
+    private static function lastRegionSegment(string $raw): string
+    {
+        $parts = explode('|', $raw);
+
+        return trim((string) end($parts));
+    }
 }
@@ -8,6 +8,7 @@ use Illuminate\Foundation\Configuration\Exceptions;
 use Illuminate\Foundation\Configuration\Middleware;
 use Illuminate\Http\Request;
 use Illuminate\Support\Facades\Log;
+use Illuminate\Validation\ValidationException;

 return Application::configure(basePath: dirname(__DIR__))
    ->withRouting(
@@ -33,12 +34,43 @@ return Application::configure(basePath: dirname(__DIR__))
        ]);
    })
    ->withExceptions(function (Exceptions $exceptions): void {
+        // Reduce verbosity of constraint-violation logging (SQLSTATE 23xxx):
+        // data-validity errors do not need a full stack trace в laravel.log.
+        // Incident 2026-05-29: 420k повторов B1+SMS check_violation накопили
+        // 8.7 GB stack traces → disk full → 4h prod downtime.
+        // Solution: log a warning summary с sqlstate, return false to stop
+        // default reporting (which would write full stack trace).
+        // Ref: docs/incidents/2026-05-29-disk-full-pg-recovery.md §5
+        $exceptions->reportable(function (QueryException $e) {
+            $sqlState = $e->errorInfo[0] ?? '';
+            if (is_string($sqlState) && str_starts_with($sqlState, '23')) {
+                Log::warning('db.constraint_violation', [
+                    'sqlstate' => $sqlState,
+                    'message' => mb_substr($e->getMessage(), 0, 200),
+                ]);
+
+                return false; // skip default reporting (no stack trace в laravel.log)
+            }
+
+            return null; // continue default reporting для non-constraint QueryExceptions
+        });
+
        $exceptions->render(function (QueryException $e, Request $request) {
-            Log::error('db.query_exception', [
-                'message' => $e->getMessage(),
-                'sql' => $e->getSql(),
-                'path' => $request->path(),
-            ]);
+            $sqlState = $e->errorInfo[0] ?? '';
+            $isConstraintViolation = is_string($sqlState) && str_starts_with($sqlState, '23');
+
+            if (! $isConstraintViolation) {
+                // Default verbose log для non-constraint QueryExceptions (table missing,
+                // syntax error, etc. — these are bugs needing investigation).
+                Log::error('db.query_exception', [
+                    'message' => $e->getMessage(),
+                    'sql' => $e->getSql(),
+                    'path' => $request->path(),
+                ]);
+            }
+            // Constraint violations уже залогированы в reportable() выше как warning,
+            // дублировать не нужно.
+
            if ($request->expectsJson()) {
                return response()->json([
                    'message' => 'Не удалось сохранить. Проверьте данные или попробуйте ещё раз.',
@@ -52,13 +84,14 @@ return Application::configure(basePath: dirname(__DIR__))
        // Without this render, Laravel's default ValidationException handler returns
        // 302 redirect to /, which strips POST body — losing supplier leads.
        // Confirmed 2026-05-25: 76 of 234 webhook hits today got 302 instead of 422.
-        $exceptions->render(function (\Illuminate\Validation\ValidationException $e, Request $request) {
+        $exceptions->render(function (ValidationException $e, Request $request) {
            if ($request->is('api/webhook/supplier/*')) {
                return response()->json([
                    'message' => 'Validation failed',
                    'errors' => $e->errors(),
                ], 422);
            }
+
            return null; // default render for other routes
        });
    })->create();
@@ -42,4 +42,17 @@ return [
        'alert_email' => env('SUPPLIER_ALERT_EMAIL', 'ops@liderra.ru'),
    ],

+    // DaData phone cleaner — резолв региона лида по телефону (lead region resolution).
+    // Ключи → YC Lockbox на проде; на dev/staging — .env. enabled=false до раскатки.
+    'dadata' => [
+        'api_key' => env('DADATA_API_KEY'),
+        'secret' => env('DADATA_SECRET'),
+        'timeout_ms' => (int) env('DADATA_TIMEOUT_MS', 2000),
+        'retries' => (int) env('DADATA_RETRIES', 1),
+        'daily_cap_rub' => (int) env('DADATA_DAILY_CAP_RUB', 10000),
+        'call_cost_kopecks' => (int) env('DADATA_CALL_COST_KOPECKS', 60), // ≈0.60 ₽/вызов, откалибровать по тарифу
+        'enabled' => filter_var(env('LEAD_REGION_RESOLVER_ENABLED', false), FILTER_VALIDATE_BOOL),
+        'cache_ttl_days' => (int) env('PHONE_REGION_CACHE_TTL_DAYS', 30),
+    ],
+
 ];
@@ -18,6 +18,7 @@ use Illuminate\Support\Facades\DB;
 */
 return new class extends Migration
 {
+    public $withinTransaction = false;
    public function up(): void
    {
        $schemaPath = dirname(base_path()).DIRECTORY_SEPARATOR.'db'.DIRECTORY_SEPARATOR.'schema.sql';
@@ -0,0 +1,91 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Support\Facades\DB;
+
+/**
+ * Adds per-partition advisory lock to audit_chain_hash() trigger function.
+ *
+ * Root cause: concurrent INSERT workers (e.g. supplier-webhook handlers) all
+ * read the same prev_hash before any of them commits → multiple rows derive
+ * their hash from the same predecessor → hash chain branches → validator finds
+ * mismatches (Finding 1 from Stage-5 Day-1 monitoring).
+ *
+ * Fix: derive a bigint lock key from the physical partition OID (TG_RELID).
+ * pg_advisory_xact_lock() serialises concurrent INSERTs into the SAME partition
+ * without blocking INSERTs to other partitions (distinct OIDs → distinct keys).
+ * The lock is automatically released at transaction end.
+ *
+ * Hash formula: unchanged (verbatim from db/schema.sql:3107-3127):
+ *   digest(COALESCE(prev_hash, ''::bytea) || NEW::text::bytea, 'sha256')
+ *
+ * Ref: docs/superpowers/plans/2026-05-29-audit-chain-race-fix.md Task 2
+ */
+return new class extends Migration
+{
+    public function up(): void
+    {
+        DB::statement(<<<'SQL'
+            CREATE OR REPLACE FUNCTION public.audit_chain_hash() RETURNS trigger AS $$
+            DECLARE
+                prev_hash BYTEA;
+                lock_key  BIGINT;
+            BEGIN
+                -- Derive a partition-specific advisory lock key from the physical
+                -- table OID (TG_RELID). Each child partition has a distinct OID,
+                -- so concurrent INSERTs to DIFFERENT partitions do not block each
+                -- other, while concurrent INSERTs to the SAME partition are
+                -- serialised — preventing the race that branches the hash chain.
+                lock_key := ('x' || lpad(to_hex(TG_RELID::int), 16, '0'))::bit(64)::bigint;
+                PERFORM pg_advisory_xact_lock(lock_key);
+
+                -- Берём log_hash последней строки этой таблицы. NULL для первой записи.
+                -- TG_TABLE_NAME — имя таблицы, через которое триггер сработал; используем
+                -- format/EXECUTE для полиморфности.
+                EXECUTE format(
+                    'SELECT log_hash FROM %I ORDER BY id DESC LIMIT 1',
+                    TG_TABLE_NAME
+                ) INTO prev_hash;
+
+                -- log_hash = sha256(prev_hash || NEW::text). Если prev_hash NULL — берём
+                -- пустую байтовую строку (первая запись цепочки).
+                NEW.log_hash := digest(
+                    COALESCE(prev_hash, ''::bytea) || NEW::text::bytea,
+                    'sha256'
+                );
+                RETURN NEW;
+            END;
+            $$ LANGUAGE plpgsql;
+        SQL);
+    }
+
+    public function down(): void
+    {
+        // Restore verbatim original from db/schema.sql:3107-3127 (without advisory lock).
+        DB::statement(<<<'SQL'
+            CREATE OR REPLACE FUNCTION public.audit_chain_hash() RETURNS trigger AS $$
+            DECLARE
+                prev_hash BYTEA;
+            BEGIN
+                -- Берём log_hash последней строки этой таблицы. NULL для первой записи.
+                -- TG_TABLE_NAME — имя таблицы, через которое триггер сработал; используем
+                -- format/EXECUTE для полиморфности.
+                EXECUTE format(
+                    'SELECT log_hash FROM %I ORDER BY id DESC LIMIT 1',
+                    TG_TABLE_NAME
+                ) INTO prev_hash;
+
+                -- log_hash = sha256(prev_hash || NEW::text). Если prev_hash NULL — берём
+                -- пустую байтовую строку (первая запись цепочки).
+                NEW.log_hash := digest(
+                    COALESCE(prev_hash, ''::bytea) || NEW::text::bytea,
+                    'sha256'
+                );
+                RETURN NEW;
+            END;
+            $$ LANGUAGE plpgsql;
+        SQL);
+    }
+};
@@ -0,0 +1,169 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\Migrations\Migration;
+use Illuminate\Support\Facades\DB;
+
+return new class extends Migration {
+    public function up(): void
+    {
+        // SET ROLE crm_migrator на проде (postgres superuser может SET ROLE).
+        // На dev/testing crm_migrator не имеет GRANT на public schema → RESET ROLE
+        // и продолжаем как postgres superuser.
+        try {
+            DB::statement('SET ROLE crm_migrator');
+            $canCreate = DB::selectOne("SELECT has_schema_privilege('crm_migrator', 'public', 'CREATE') AS ok");
+            if (!$canCreate || !$canCreate->ok) {
+                DB::statement('RESET ROLE');
+            }
+        } catch (\Throwable) {
+            // окружение без роли — продолжаем как superuser
+        }
+
+        DB::unprepared(<<<'SQL'
+            -- 1. phone_ranges_imports (журнал импортов; на него FK из phone_ranges, создаём первым)
+            CREATE TABLE phone_ranges_imports (
+                id              BIGSERIAL PRIMARY KEY,
+                imported_at     TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+                source_url      TEXT NOT NULL,
+                rows_inserted   INTEGER NOT NULL DEFAULT 0,
+                rows_updated    INTEGER NOT NULL DEFAULT 0,
+                checksum_sha256 TEXT NOT NULL,
+                status          TEXT NOT NULL DEFAULT 'in_progress'
+                    CHECK (status IN ('in_progress','completed','failed','rolled_back')),
+                error           TEXT,
+                completed_at    TIMESTAMPTZ
+            );
+            COMMENT ON TABLE phone_ranges_imports IS
+                'Журнал импортов реестра Россвязи (idempotency по checksum_sha256, atomic-swap откат).';
+
+            -- 2. phone_ranges (реестр диапазонов Россвязи; SaaS-level, без RLS — публичные данные)
+            CREATE TABLE phone_ranges (
+                id                BIGSERIAL PRIMARY KEY,
+                def_code          SMALLINT NOT NULL,
+                from_num          BIGINT NOT NULL,
+                to_num            BIGINT NOT NULL,
+                operator          TEXT NOT NULL,
+                region            TEXT NOT NULL,
+                region_normalized TEXT,
+                subject_code      SMALLINT,
+                imported_at       TIMESTAMPTZ NOT NULL,
+                import_id         BIGINT NOT NULL REFERENCES phone_ranges_imports(id),
+                CONSTRAINT chk_phone_ranges_def_code CHECK (def_code BETWEEN 300 AND 999),
+                CONSTRAINT chk_phone_ranges_subject_code CHECK (subject_code IS NULL OR subject_code BETWEEN 1 AND 89),
+                CONSTRAINT chk_phone_ranges_range_valid CHECK (from_num <= to_num)
+            );
+            CREATE INDEX idx_phone_ranges_lookup ON phone_ranges (def_code, from_num, to_num);
+            COMMENT ON TABLE phone_ranges IS
+                'Реестр диапазонов нумерации Россвязи (rossvyaz.gov.ru). Локальный fallback для LeadRegionResolver. Обновляется ежемесячным cron-импортом.';
+
+            GRANT SELECT ON phone_ranges, phone_ranges_imports TO crm_app_user, crm_supplier_worker;
+
+            -- 3. lead_region_resolution_log (SaaS-level, партиционирован по received_at, паттерн activity_log)
+            CREATE TABLE lead_region_resolution_log (
+                id                       BIGSERIAL,
+                supplier_lead_id         BIGINT NOT NULL,
+                received_at              TIMESTAMPTZ NOT NULL,
+                phone_masked             TEXT NOT NULL,
+                subject_code_resolved    SMALLINT,
+                subject_code_from_tag    SMALLINT,
+                region_source            TEXT NOT NULL
+                    CHECK (region_source IN ('dadata','rossvyaz','tag','unknown')),
+                dadata_qc                SMALLINT,
+                dadata_provider          TEXT,
+                dadata_type              TEXT,
+                dadata_response_masked   JSONB,
+                rossvyaz_matched         BOOLEAN NOT NULL DEFAULT FALSE,
+                actual_subject_code      SMALLINT
+                    CHECK (actual_subject_code IS NULL OR actual_subject_code BETWEEN 1 AND 89),
+                substituted_subject_code SMALLINT
+                    CHECK (substituted_subject_code IS NULL OR substituted_subject_code BETWEEN 1 AND 89),
+                routing_step             SMALLINT
+                    CHECK (routing_step IS NULL OR routing_step BETWEEN 1 AND 3),
+                phone_operator           TEXT,
+                cache_hit                BOOLEAN NOT NULL DEFAULT FALSE,
+                duration_ms              INTEGER,
+                resolved_at              TIMESTAMPTZ NOT NULL DEFAULT NOW(),
+                PRIMARY KEY (id, received_at)
+            ) PARTITION BY RANGE (received_at);
+
+            CREATE INDEX idx_lrrl_lead_id ON lead_region_resolution_log (supplier_lead_id);
+            CREATE INDEX idx_lrrl_source ON lead_region_resolution_log (region_source, received_at);
+            COMMENT ON TABLE lead_region_resolution_log IS
+                'Аудит каждого резолва региона лида (источник, qc, оператор, шаг каскада). Партиции помесячно по received_at (MonthlyPartitionManager).';
+
+            GRANT SELECT, INSERT ON lead_region_resolution_log TO crm_supplier_worker;
+            GRANT SELECT ON lead_region_resolution_log TO crm_app_user;
+
+            -- Стартовые партиции (далее их подхватывает partitions:create-months после Task 1.2).
+            CREATE TABLE lead_region_resolution_log_y2026_m05
+                PARTITION OF lead_region_resolution_log
+                FOR VALUES FROM ('2026-05-01') TO ('2026-06-01');
+            CREATE TABLE lead_region_resolution_log_y2026_m06
+                PARTITION OF lead_region_resolution_log
+                FOR VALUES FROM ('2026-06-01') TO ('2026-07-01');
+
+            -- 4. supplier_leads: +4 колонки (denormalized display + persistent idempotency для retry).
+            ALTER TABLE supplier_leads
+                ADD COLUMN resolved_subject_code SMALLINT
+                    CHECK (resolved_subject_code IS NULL OR resolved_subject_code BETWEEN 1 AND 89),
+                ADD COLUMN region_source TEXT
+                    CHECK (region_source IN ('dadata','rossvyaz','tag','unknown')),
+                ADD COLUMN dadata_qc SMALLINT,
+                ADD COLUMN phone_operator TEXT;
+
+            -- 5. deals: +2 колонки (UI-карточка + флаг подмены региона).
+            ALTER TABLE deals
+                ADD COLUMN phone_operator TEXT,
+                ADD COLUMN region_substituted BOOLEAN NOT NULL DEFAULT FALSE;
+        SQL);
+
+        // Регистрация retention для lead_region_resolution_log (system_settings, 12 месяцев ≈ 365 дней).
+        $exists = DB::table('system_settings')
+            ->where('key', 'partition_retention_months_lead_region_resolution_log')
+            ->exists();
+        if (! $exists) {
+            DB::table('system_settings')->insert([
+                'key' => 'partition_retention_months_lead_region_resolution_log',
+                'value' => '12',
+                'type' => 'int',
+                'description' => 'Retention в месяцах для lead_region_resolution_log (~365 дней)',
+                'updated_at' => now(),
+            ]);
+        }
+    }
+
+    public function down(): void
+    {
+        try {
+            DB::statement('SET ROLE crm_migrator');
+            $canCreate = DB::selectOne("SELECT has_schema_privilege('crm_migrator', 'public', 'CREATE') AS ok");
+            if (!$canCreate || !$canCreate->ok) {
+                DB::statement('RESET ROLE');
+            }
+        } catch (\Throwable) {
+            // окружение без роли — продолжаем как superuser
+        }
+
+        DB::unprepared(<<<'SQL'
+            ALTER TABLE deals
+                DROP COLUMN IF EXISTS phone_operator,
+                DROP COLUMN IF EXISTS region_substituted;
+
+            ALTER TABLE supplier_leads
+                DROP COLUMN IF EXISTS resolved_subject_code,
+                DROP COLUMN IF EXISTS region_source,
+                DROP COLUMN IF EXISTS dadata_qc,
+                DROP COLUMN IF EXISTS phone_operator;
+
+            DROP TABLE IF EXISTS lead_region_resolution_log CASCADE;
+            DROP TABLE IF EXISTS phone_ranges CASCADE;
+            DROP TABLE IF EXISTS phone_ranges_imports CASCADE;
+        SQL);
+
+        DB::table('system_settings')
+            ->where('key', 'partition_retention_months_lead_region_resolution_log')
+            ->delete();
+    }
+};
@@ -41,6 +41,9 @@ deptrac:
    Request: [Rule, Model]
    Resource: [Model]
    Rule: [Model]
-    Mail: [Model]
+    # Mail может зависеть от Service value objects (PreflightResult и аналоги) —
+    # это legit dependency: template needs data DTO от Service для рендера.
+    # Decision: ADR-005 amend 2026-05-29 (incident-followup cleanup).
+    Mail: [Model, Service]
    Model: []
    Provider: [Controller, Service, Job, Console, Repository, Model, Mail, Middleware, Request, Resource, Rule, Exception]
@@ -51,7 +51,7 @@ parameters:
 		-
 			message: '#^Using nullsafe method call on non\-nullable type Illuminate\\Support\\Carbon\. Use \-\> instead\.$#'
 			identifier: nullsafe.neverNull
-			count: 5
+			count: 6
 			path: app/Http/Controllers/Api/DealController.php

 		-
@@ -84,6 +84,24 @@ parameters:
 			count: 1
 			path: app/Http/Middleware/SetTenantContext.php

+		-
+			message: '#^Access to an undefined property App\\Http\\Resources\\ProjectResource\:\:\$applies_from\.$#'
+			identifier: property.notFound
+			count: 1
+			path: app/Http/Resources/ProjectResource.php
+
+		-
+			message: '#^Parameter \#1 \$array \(non\-empty\-list\<int\>\) of array_values is already a list, call has no effect\.$#'
+			identifier: arrayValues.list
+			count: 1
+			path: app/Jobs/Supplier/SyncSupplierProjectsJob.php
+
+		-
+			message: '#^Parameter \#1 \$column of method Illuminate\\Database\\Eloquent\\Builder\<App\\Models\\Project\>\:\:where\(\) expects array\<int\|model property of App\\Models\\Project, mixed\>\|\(Closure\(Illuminate\\Database\\Eloquent\\Builder\<App\\Models\\Project\>\)\: Illuminate\\Database\\Eloquent\\Builder\<App\\Models\\Project\>\)\|\(Closure\(Illuminate\\Database\\Eloquent\\Builder\<App\\Models\\Project\>\)\: void\)\|Illuminate\\Contracts\\Database\\Query\\Expression\|model property of App\\Models\\Project, ''snap\.snapshot_date'' given\.$#'
+			identifier: argument.type
+			count: 1
+			path: app/Jobs/Supplier/SyncSupplierProjectsJob.php
+
 		-
 			message: '#^Using nullsafe property access "\?\-\>name" on left side of \?\? is unnecessary\. Use \-\> instead\.$#'
 			identifier: nullsafe.neverNull
@@ -102,6 +120,12 @@ parameters:
 			count: 1
 			path: app/Services/NotificationService.php

+		-
+			message: '#^Access to an undefined property App\\Models\\Project\:\:\$applies_from\.$#'
+			identifier: property.notFound
+			count: 1
+			path: app/Services/Project/ProjectService.php
+
 		-
 			message: '#^Match expression does not handle remaining value\: string$#'
 			identifier: match.unhandled
@@ -120,6 +144,90 @@ parameters:
 			count: 1
 			path: app/Services/Supplier/Channel/AjaxProjectChannel.php

+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenDefineFunctions not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenFinalClasses not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenNormalClasses not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenPrivateMethods not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenTraits not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\SyntaxCheck not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Metrics\\Architecture\\Classes not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\Commenting\\UselessFunctionDocCommentSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\Namespaces\\AlphabeticallySortedUsesSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DeclareStrictTypesSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DisallowMixedTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ParameterTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\PropertyTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
+		-
+			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ReturnTypeHintSniff not found\.$#'
+			identifier: class.notFound
+			count: 1
+			path: config/insights.php
+
 		-
 			message: '#^Return type \(array\<string, mixed\>\) of method Database\\Factories\\BalanceTransactionFactory\:\:definition\(\) should be compatible with return type \(array\<model property of App\\Models\\BalanceTransaction, mixed\>\) of method Illuminate\\Database\\Eloquent\\Factories\\Factory\<App\\Models\\BalanceTransaction\>\:\:definition\(\)$#'
 			identifier: method.childReturnType
@@ -156,6 +264,12 @@ parameters:
 			count: 1
 			path: database/factories/UserFactory.php

+		-
+			message: '#^Offset ''SnapshotProjectRout…'' on null in isset\(\) does not exist\.$#'
+			identifier: isset.offset
+			count: 1
+			path: routes/console.php
+
 		-
 			message: '#^Offset ''projects\:reset…'' on null in isset\(\) does not exist\.$#'
 			identifier: isset.offset
@@ -444,6 +558,18 @@ parameters:
 			count: 3
 			path: tests/Feature/ApiKeyControllerTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Audit/AuditChainRaceConditionTest.php
+
+		-
+			message: '#^Using nullsafe property access "\?\-\>cnt" on left side of \?\? is unnecessary\. Use \-\> instead\.$#'
+			identifier: nullsafe.neverNull
+			count: 1
+			path: tests/Feature/Audit/AuditRebuildChainTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
 			identifier: method.notFound
@@ -720,6 +846,36 @@ parameters:
 			count: 6
 			path: tests/Feature/Auth/UpdateProfileTest.php

+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
+			identifier: property.notFound
+			count: 7
+			path: tests/Feature/Billing/BalanceStatusTest.php
+
+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$user\.$#'
+			identifier: property.notFound
+			count: 1
+			path: tests/Feature/Billing/BalanceStatusTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Billing/BalanceStatusTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
+			identifier: method.notFound
+			count: 6
+			path: tests/Feature/Billing/BalanceStatusTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:seed\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Billing/BalanceStatusTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
 			identifier: property.notFound
@@ -750,10 +906,16 @@ parameters:
 			count: 1
 			path: tests/Feature/Billing/BillingOverviewControllerTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Billing/BillingPreflightInitialSweepTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$ledger\.$#'
 			identifier: property.notFound
-			count: 8
+			count: 9
 			path: tests/Feature/Billing/LedgerServiceTest.php

 		-
@@ -768,6 +930,12 @@ parameters:
 			count: 6
 			path: tests/Feature/Billing/PricingTierRepositoryTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
+			identifier: method.notFound
+			count: 4
+			path: tests/Feature/Billing/ProjectPreflightTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
 			identifier: property.notFound
@@ -876,6 +1044,30 @@ parameters:
 			count: 1
 			path: tests/Feature/Console/ResetMonthlyCountersCommandTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 3
+			path: tests/Feature/Console/SnapshotBackfillCommandTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 2
+			path: tests/Feature/Console/SnapshotBackfillCommandTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 2
+			path: tests/Feature/Console/SnapshotRebuildCommandTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 2
+			path: tests/Feature/Console/SnapshotRebuildCommandTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
 			identifier: method.notFound
@@ -1296,6 +1488,12 @@ parameters:
 			count: 5
 			path: tests/Feature/EndpointAuthHardeningTest.php

+		-
+			message: '#^Access to an undefined property App\\Models\\Project\:\:\$applies_from\.$#'
+			identifier: property.notFound
+			count: 1
+			path: tests/Feature/Http/Resources/ProjectResourceAppliesFromTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
 			identifier: method.notFound
@@ -1308,6 +1506,18 @@ parameters:
 			count: 2
 			path: tests/Feature/Http/Webhook/SupplierWebhookTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:call\(\)\.$#'
+			identifier: method.notFound
+			count: 2
+			path: tests/Feature/Http/Webhook/SupplierWebhookValidationFormatTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Http/Webhook/SupplierWebhookValidationFormatTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$adminId\.$#'
 			identifier: property.notFound
@@ -1422,6 +1632,12 @@ parameters:
 			count: 8
 			path: tests/Feature/Incidents/IncidentsWatchFailuresExpandedTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 5
+			path: tests/Feature/Incidents/SingleLeadStormTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
 			identifier: method.notFound
@@ -1434,12 +1650,48 @@ parameters:
 			count: 1
 			path: tests/Feature/Integration/SupplierLeadFlowTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:seed\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Jobs/RouteSupplierLeadJobSnapshotTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 2
+			path: tests/Feature/Jobs/RouteSupplierLeadJobSnapshotTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:seed\(\)\.$#'
 			identifier: method.notFound
 			count: 1
 			path: tests/Feature/Jobs/RouteSupplierLeadJobTest.php

+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 1
+			path: tests/Feature/Jobs/SnapshotProjectRoutingJobTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 4
+			path: tests/Feature/Jobs/Supplier/SyncSupplierProjectsJobSnapshotTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 1
+			path: tests/Feature/LeadRouter/FrozenFilterTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 4
+			path: tests/Feature/LeadRouter/SnapshotRoutingTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
 			identifier: method.notFound
@@ -2016,6 +2268,24 @@ parameters:
 			count: 3
 			path: tests/Feature/Security/WebhookUrlChangeAuditTest.php

+		-
+			message: '#^Access to an undefined property App\\Models\\Project\:\:\$applies_from\.$#'
+			identifier: property.notFound
+			count: 5
+			path: tests/Feature/Services/Project/ProjectServiceAppliesFromTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 4
+			path: tests/Feature/Services/Project/ProjectServiceAppliesFromTest.php
+
+		-
+			message: '#^Static method Carbon\\Carbon\:\:setTestNow\(\) invoked with 2 parameters, 0\-1 required\.$#'
+			identifier: arguments.count
+			count: 5
+			path: tests/Feature/Services/Project/SupplierSnapshotGuardAppliesFromTest.php
+
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$project\.$#'
 			identifier: property.notFound
@@ -2064,12 +2334,48 @@ parameters:
 			count: 1
 			path: tests/Feature/Supplier/CsvReconcileJobTest.php

+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$project\.$#'
+			identifier: property.notFound
+			count: 2
+			path: tests/Feature/Supplier/CsvWebhookRaceTest.php
+
+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$sp\.$#'
+			identifier: property.notFound
+			count: 7
+			path: tests/Feature/Supplier/CsvWebhookRaceTest.php
+
+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
+			identifier: property.notFound
+			count: 8
+			path: tests/Feature/Supplier/CsvWebhookRaceTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:seed\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Supplier/CsvWebhookRaceTest.php
+
 		-
 			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:once\(\)\.$#'
 			identifier: method.notFound
 			count: 1
 			path: tests/Feature/Supplier/DeleteSupplierProjectJobTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
+			identifier: method.notFound
+			count: 3
+			path: tests/Feature/Supplier/DirectPlatformTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:seed\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Supplier/DirectPlatformTest.php
+
 		-
 			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:andThrow\(\)\.$#'
 			identifier: method.notFound
@@ -2148,12 +2454,30 @@ parameters:
 			count: 1
 			path: tests/Feature/Supplier/SupplierProjectImporterTest.php

+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
+			identifier: method.notFound
+			count: 3
+			path: tests/Feature/Supplier/SupplierRekeyOrphansCommandTest.php
+
 		-
 			message: '#^Call to an undefined method App\\Services\\Supplier\\PlaywrightBridge\:\:shouldReceive\(\)\.$#'
 			identifier: method.notFound
 			count: 1
 			path: tests/Feature/Supplier/SupplierSessionRefreshCommandTest.php

+		-
+			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$sharedProject\.$#'
+			identifier: property.notFound
+			count: 7
+			path: tests/Feature/Supplier/SupplierWebhookFastFailTest.php
+
+		-
+			message: '#^Using nullsafe property access "\?\-\>error" on left side of \?\? is unnecessary\. Use \-\> instead\.$#'
+			identifier: nullsafe.neverNull
+			count: 2
+			path: tests/Feature/Supplier/SupplierWebhookFastFailTest.php
+
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:mock\(\)\.$#'
 			identifier: method.notFound
@@ -2274,6 +2598,42 @@ parameters:
 			count: 6
 			path: tests/Unit/Services/Pd/ImpersonationAuditServiceTest.php

+		-
+			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:once\(\)\.$#'
+			identifier: method.notFound
+			count: 2
+			path: tests/Unit/Services/Project/ProjectServiceGuardWiringTest.php
+
+		-
+			message: '#^Call to method PHPUnit\\Framework\\Assert\:\:assertTrue\(\) with true will always evaluate to true\.$#'
+			identifier: method.alreadyNarrowedType
+			count: 3
+			path: tests/Unit/Services/Project/ProjectServiceGuardWiringTest.php
+
+		-
+			message: '#^Parameter \#2 \$snapshotGuard of class App\\Services\\Project\\ProjectService constructor expects App\\Services\\Project\\SupplierSnapshotGuard, Mockery\\MockInterface given\.$#'
+			identifier: argument.type
+			count: 3
+			path: tests/Unit/Services/Project/ProjectServiceGuardWiringTest.php
+
+		-
+			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:with\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Unit/Services/Project/SupplierSnapshotGuardTest.php
+
+		-
+			message: '#^Call to method PHPUnit\\Framework\\Assert\:\:assertTrue\(\) with true will always evaluate to true\.$#'
+			identifier: method.alreadyNarrowedType
+			count: 1
+			path: tests/Unit/Services/Project/SupplierSnapshotGuardTest.php
+
+		-
+			message: '#^Property App\\Models\\IdeHelperProject\:\:\$paused_at \(Illuminate\\Support\\Carbon\|null\) does not accept Carbon\\CarbonImmutable\.$#'
+			identifier: assign.propertyType
+			count: 2
+			path: tests/Unit/Services/Project/SupplierSnapshotGuardTest.php
+
 		-
 			message: '#^Call to an undefined method App\\Services\\Supplier\\ProcessFactory\:\:shouldReceive\(\)\.$#'
 			identifier: method.notFound
@@ -0,0 +1,126 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Tenant;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+
+uses(DatabaseTransactions::class);
+
+/**
+ * Race-condition reproduction test for audit_chain_hash() trigger.
+ *
+ * Two tests:
+ *  1. pcntl_fork-based concurrent INSERT test — skipped on Windows (no pcntl).
+ *     Expected: FAIL before migration (concurrent inserts branch the chain),
+ *               PASS after migration (advisory lock serialises inserts).
+ *
+ *  2. pg_locks advisory lock presence test — runs on Windows.
+ *     Asserts that within an INSERT transaction the advisory lock key derived
+ *     from the partition OID is held (proves the lock is actually acquired).
+ */
+
+it(
+    'audit_chain_hash trigger preserves sequential chain under concurrent INSERTs',
+    function (): void {
+        $tenant = Tenant::factory()->create();
+        DB::statement('SET LOCAL app.current_tenant_id = '.$tenant->id);
+
+        $startCount = DB::table('activity_log')
+            ->where('tenant_id', $tenant->id)
+            ->count();
+
+        // Spawn 5 concurrent processes each inserting into activity_log for the same tenant.
+        // Without advisory lock, concurrent reads of prev_hash return the same value
+        // → multiple rows hash to the same prev → chain branch → validator fails.
+        $pids = [];
+        for ($i = 0; $i < 5; $i++) {
+            $pid = pcntl_fork();
+            if ($pid === 0) {
+                // Child: own DB connection, own transaction
+                DB::reconnect();
+                DB::statement('SET LOCAL app.current_tenant_id = '.$tenant->id);
+                DB::table('activity_log')->insert([
+                    'tenant_id' => $tenant->id,
+                    'event'     => 'deal.created',
+                    'context'   => json_encode(['worker' => $i]),
+                    'created_at' => now(),
+                ]);
+                exit(0);
+            }
+            $pids[] = $pid;
+        }
+        foreach ($pids as $pid) {
+            pcntl_waitpid($pid, $status);
+        }
+
+        $rows = DB::table('activity_log')
+            ->where('tenant_id', $tenant->id)
+            ->orderBy('id')
+            ->get(['id', 'log_hash']);
+
+        expect($rows->count())->toBe($startCount + 5);
+
+        // Run the chain validator; it should find no mismatches (after migration).
+        $exitCode = $this->artisan('audit:verify-chains')->run();
+        expect($exitCode)->toBe(0);
+    }
+)->skip(! function_exists('pcntl_fork'), 'pcntl required for race-condition test (not available on Windows)');
+
+it('audit_chain_hash holds pg_advisory_xact_lock on the partition OID during INSERT', function (): void {
+    $tenant = Tenant::factory()->create();
+    DB::statement('SET LOCAL app.current_tenant_id = '.$tenant->id);
+
+    // Resolve the OID of the current-month activity_log partition (or parent).
+    $partitionName = 'activity_log_y'.date('Y').'_m'.date('m');
+    $oid = DB::selectOne(
+        "SELECT COALESCE(
+            (SELECT c.oid FROM pg_class c WHERE c.relname = ?),
+            (SELECT c.oid FROM pg_class c WHERE c.relname = 'activity_log')
+        ) AS oid",
+        [$partitionName]
+    )?->oid;
+
+    expect($oid)->not->toBeNull('Could not resolve partition/parent OID');
+
+    // Compute the lock key using the same formula as the trigger:
+    //   ('x' || lpad(to_hex(TG_RELID::int), 16, '0'))::bit(64)::bigint
+    $lockKeyRow = DB::selectOne(
+        "SELECT ('x' || lpad(to_hex(?::int), 16, '0'))::bit(64)::bigint AS lock_key",
+        [(int) $oid]
+    );
+    $lockKey = $lockKeyRow?->lock_key;
+    expect($lockKey)->not->toBeNull();
+
+    // Wrap an INSERT in a transaction and check pg_locks DURING that transaction.
+    $lockHeld = false;
+    DB::transaction(function () use ($tenant, $lockKey, &$lockHeld): void {
+        DB::table('activity_log')->insert([
+            'tenant_id'  => $tenant->id,
+            'event'      => 'deal.created',
+            'context'    => json_encode(['test' => 'advisory_lock_check']),
+            'created_at' => now(),
+        ]);
+
+        // pg_advisory_xact_lock releases at END of transaction — still held here.
+        $held = DB::selectOne(
+            'SELECT EXISTS (
+                SELECT 1
+                FROM pg_locks
+                WHERE locktype = \'advisory\'
+                  AND classid  = (? >> 32)::int
+                  AND objid    = (? & x\'ffffffff\'::bigint)::int
+                  AND granted  = true
+                  AND pid      = pg_backend_pid()
+             ) AS held',
+            [(int) $lockKey, (int) $lockKey]
+        );
+        $lockHeld = (bool) ($held->held ?? false);
+    });
+
+    expect($lockHeld)->toBeTrue(
+        'pg_advisory_xact_lock was not observed in pg_locks during the INSERT transaction. '
+        .'This means the migration has not been applied or the lock key formula is wrong.'
+    );
+});
@@ -0,0 +1,324 @@
+<?php
+
+// Tests for audit:rebuild-chain command (Task 3).
+
+declare(strict_types=1);
+
+use App\Models\Tenant;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\Artisan;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+/**
+ * Tests for audit:rebuild-chain command.
+ *
+ * Verifies that:
+ * 1. The command recomputes log_hash values using the same formula as audit_chain_hash():
+ *      digest(COALESCE(prev_hash, ''::bytea) || ROW(col1, ..., NULL::bytea, ..., coln)::text::bytea, 'sha256')
+ * 2. The rebuilt hashes match what VerifyAuditChains expects (validates as intact).
+ * 3. --dry-run does not modify hashes.
+ * 4. Unknown partition names are rejected.
+ *
+ * Note: we use direct SQL verification (mirroring VerifyAuditChains logic)
+ * rather than calling audit:verify-chains, because the full command checks ALL
+ * partitions and a pre-existing mismatch in any other partition would cause
+ * false failure. This keeps the test focused on our specific partition.
+ */
+
+/**
+ * Check chain integrity for a specific partition using the same SQL as VerifyAuditChains.
+ * Returns the count of mismatched rows (0 = intact).
+ */
+function checkPartitionIntegrity(string $partition, string $partitionClause, string $rowExpr): int
+{
+    $overClause = $partitionClause !== ''
+        ? "({$partitionClause} ORDER BY id)"
+        : '(ORDER BY id)';
+
+    $sql = <<<SQL
+        WITH ordered AS (
+            SELECT
+                id,
+                log_hash AS stored_hash,
+                LAG(log_hash) OVER {$overClause} AS prev_hash
+            FROM {$partition}
+        )
+        SELECT count(*) AS cnt
+        FROM ordered o
+        WHERE o.stored_hash IS DISTINCT FROM
+            digest(
+                COALESCE(o.prev_hash, ''::bytea)
+                || (SELECT {$rowExpr}::text::bytea FROM {$partition} t WHERE t.id = o.id),
+                'sha256'
+            )
+    SQL;
+
+    $result = DB::connection('pgsql_supplier')->selectOne($sql);
+
+    return (int) ($result?->cnt ?? 0);
+}
+
+// Column list for activity_log (must match VerifyAuditChains::TABLE_CONFIG).
+const ACTIVITY_LOG_ROW_EXPR = 'ROW(t.id, t.tenant_id, t.user_id, t.deal_id, t.event, t.old_value, t.new_value, t.context, t.ip_address, t.user_agent, NULL::bytea, t.created_at)';
+
+// Column list for balance_transactions (must match VerifyAuditChains::TABLE_CONFIG).
+const BALANCE_TX_ROW_EXPR = 'ROW(t.id, t.tenant_id, t.type, t.amount_rub, t.amount_leads, t.balance_rub_after, t.balance_leads_after, t.description, t.related_type, t.related_id, t.user_id, t.admin_user_id, NULL::bytea, t.created_at)';
+
+it('audit:rebuild-chain repairs broken hash chain from given id in activity_log', function (): void {
+    $tenant = Tenant::factory()->create();
+
+    DB::statement('SET app.current_tenant_id = '.$tenant->id);
+
+    // Insert 3 valid rows via normal flow (trigger writes correct hashes).
+    DB::table('activity_log')->insert([
+        ['tenant_id' => $tenant->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'deal.created', 'context' => null, 'created_at' => now()],
+        ['tenant_id' => $tenant->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'deal.updated', 'context' => null, 'created_at' => now()->addMicrosecond()],
+        ['tenant_id' => $tenant->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'deal.closed', 'context' => null, 'created_at' => now()->addMicroseconds(2)],
+    ]);
+
+    $rows = DB::table('activity_log')
+        ->where('tenant_id', $tenant->id)
+        ->orderBy('id')
+        ->get(['id', 'log_hash', 'event']);
+
+    expect($rows)->toHaveCount(3);
+
+    $partition = 'activity_log_y'.now()->format('Y').'_m'.now()->format('m');
+
+    // Verify initial state: chain is intact for our tenant's rows.
+    $initialMismatches = checkPartitionIntegrity(
+        $partition,
+        'PARTITION BY tenant_id',
+        ACTIVITY_LOG_ROW_EXPR,
+    );
+    expect($initialMismatches)->toBe(0, 'Initial chain should be intact');
+
+    // Manually corrupt row 2's log_hash (simulating race-condition branch).
+    DB::statement("SET session_replication_role = 'replica'");
+    DB::statement('UPDATE activity_log SET log_hash = \'\\xdeadbeef\'::bytea WHERE id = '.$rows[1]->id);
+    DB::statement("SET session_replication_role = 'origin'");
+
+    // Verify: now there's a mismatch (row 2 + row 3 that depends on row 2).
+    $mismatchesBefore = checkPartitionIntegrity(
+        $partition,
+        'PARTITION BY tenant_id',
+        ACTIVITY_LOG_ROW_EXPR,
+    );
+    expect($mismatchesBefore)->toBeGreaterThan(0, 'Chain should have mismatch after corruption');
+
+    // Rebuild from the corrupted row onwards.
+    $fromId = $rows[1]->id;
+
+    $exitRebuild = Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $fromId,
+        '--force' => true,
+    ]);
+    expect($exitRebuild)->toBe(0);
+
+    // Verify: chain is now intact again.
+    $mismatchesAfter = checkPartitionIntegrity(
+        $partition,
+        'PARTITION BY tenant_id',
+        ACTIVITY_LOG_ROW_EXPR,
+    );
+    expect($mismatchesAfter)->toBe(0, 'Chain should be intact after rebuild');
+
+    // Verify the hashes actually changed (the corrupt value was replaced).
+    $rebuilt = DB::table('activity_log')
+        ->where('tenant_id', $tenant->id)
+        ->where('id', '>=', $fromId)
+        ->orderBy('id')
+        ->pluck('log_hash');
+
+    foreach ($rebuilt as $hash) {
+        // BYTEA columns returned as PHP stream resources via PDO pgsql driver.
+        $bin = is_resource($hash) ? stream_get_contents($hash) : (string) $hash;
+        expect(bin2hex($bin))->not->toBe('deadbeef')
+            ->and(strlen($bin))->toBe(32); // sha256 = 32 bytes
+    }
+});
+
+it('audit:rebuild-chain works for balance_transactions partition', function (): void {
+    $tenant = Tenant::factory()->create();
+
+    DB::statement('SET app.current_tenant_id = '.$tenant->id);
+
+    DB::table('balance_transactions')->insert([
+        ['tenant_id' => $tenant->id, 'type' => 'topup', 'amount_rub' => 100, 'amount_leads' => 0, 'created_at' => now()],
+        ['tenant_id' => $tenant->id, 'type' => 'lead_charge', 'amount_rub' => -10, 'amount_leads' => 0, 'created_at' => now()->addMicrosecond()],
+    ]);
+
+    $rows = DB::table('balance_transactions')
+        ->where('tenant_id', $tenant->id)
+        ->orderBy('id')
+        ->get(['id', 'log_hash']);
+
+    expect($rows)->toHaveCount(2);
+
+    $partition = 'balance_transactions_y'.now()->format('Y').'_m'.now()->format('m');
+
+    // Corrupt second row.
+    DB::statement("SET session_replication_role = 'replica'");
+    DB::statement('UPDATE balance_transactions SET log_hash = \'\\xbaadf00d\'::bytea WHERE id = '.$rows[1]->id);
+    DB::statement("SET session_replication_role = 'origin'");
+
+    $mismatchesBefore = checkPartitionIntegrity($partition, 'PARTITION BY tenant_id', BALANCE_TX_ROW_EXPR);
+    expect($mismatchesBefore)->toBeGreaterThan(0);
+
+    $exit = Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $rows[1]->id,
+        '--force' => true,
+    ]);
+    expect($exit)->toBe(0);
+
+    $mismatchesAfter = checkPartitionIntegrity($partition, 'PARTITION BY tenant_id', BALANCE_TX_ROW_EXPR);
+    expect($mismatchesAfter)->toBe(0, 'Balance transaction chain should be intact after rebuild');
+});
+
+it('audit:rebuild-chain --dry-run does not modify hashes', function (): void {
+    $tenant = Tenant::factory()->create();
+
+    DB::statement('SET app.current_tenant_id = '.$tenant->id);
+
+    DB::table('activity_log')->insert([
+        ['tenant_id' => $tenant->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'dry.run.test', 'context' => null, 'created_at' => now()],
+    ]);
+
+    $row = DB::table('activity_log')
+        ->where('tenant_id', $tenant->id)
+        ->orderByDesc('id')
+        ->first(['id', 'log_hash']);
+
+    // Corrupt the hash.
+    DB::statement("SET session_replication_role = 'replica'");
+    DB::statement('UPDATE activity_log SET log_hash = \'\\xcafebabe\'::bytea WHERE id = '.$row->id);
+    DB::statement("SET session_replication_role = 'origin'");
+
+    $partition = 'activity_log_y'.now()->format('Y').'_m'.now()->format('m');
+
+    Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $row->id,
+        '--dry-run' => true,
+    ]);
+
+    // Hash must remain corrupted — dry-run made no changes.
+    // BYTEA columns are returned as PHP stream resources via PDO pgsql driver.
+    $afterRaw = DB::table('activity_log')->where('id', $row->id)->value('log_hash');
+    $afterBin = is_resource($afterRaw) ? stream_get_contents($afterRaw) : (string) $afterRaw;
+    expect(bin2hex($afterBin))->toBe('cafebabe');
+});
+
+it('audit:rebuild-chain rejects unknown partition names', function (): void {
+    Artisan::call('audit:rebuild-chain', [
+        '--partition' => 'deals_y2026_m05',  // not an audit table
+        '--from-id' => 1,
+        '--force' => true,
+    ]);
+    expect(Artisan::output())->toContain('поддерживаемым аудит-таблицам');
+});
+
+// ──────────────────────────────────────────────────────────────────────────────
+// ADR-018 Task 3: failing tests для per-tenant rebuild (RED phase).
+// После Task 4 (per-tenant LAG OVER) — должны стать PASS.
+// ──────────────────────────────────────────────────────────────────────────────
+
+// Column list for auth_log (must match AuditChainConfig::TABLES['auth_log']).
+const AUTH_LOG_ROW_EXPR = 'ROW(t.id, t.actor_type, t.tenant_id, t.user_id, t.saas_admin_user_id, t.email, t.event, t.ip_address, t.user_agent, t.failure_reason, NULL::bytea, t.created_at)';
+
+it('audit:rebuild-chain produces per-tenant chain matching trigger semantics в activity_log', function (): void {
+    $tenantA = Tenant::factory()->create();
+    $tenantB = Tenant::factory()->create();
+
+    // Tenant A — 2 rows.
+    DB::statement('SET app.current_tenant_id = '.$tenantA->id);
+    DB::table('activity_log')->insert([
+        ['tenant_id' => $tenantA->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'deal.a1', 'context' => null, 'created_at' => now()],
+        ['tenant_id' => $tenantA->id, 'user_id' => null, 'deal_id' => 1, 'event' => 'deal.a2', 'context' => null, 'created_at' => now()->addMicrosecond()],
+    ]);
+
+    // Tenant B — 2 rows (interleaved IDs with tenant A, но цепочка независимая per-tenant).
+    DB::statement('SET app.current_tenant_id = '.$tenantB->id);
+    DB::table('activity_log')->insert([
+        ['tenant_id' => $tenantB->id, 'user_id' => null, 'deal_id' => 2, 'event' => 'deal.b1', 'context' => null, 'created_at' => now()->addMicroseconds(2)],
+        ['tenant_id' => $tenantB->id, 'user_id' => null, 'deal_id' => 2, 'event' => 'deal.b2', 'context' => null, 'created_at' => now()->addMicroseconds(3)],
+    ]);
+
+    $partition = 'activity_log_y'.now()->format('Y').'_m'.now()->format('m');
+    $firstId = (int) DB::connection('pgsql_supplier')->table($partition)->min('id');
+
+    // NB: pre-rebuild sanity-check на trigger output опущен намеренно — в test env
+    // `SharesSupplierPdo` trait + postgres superuser обходят RLS, и trigger пишет
+    // global chain, а не per-tenant. На prod RLS активен и trigger пишет per-tenant
+    // (валидация — live `audit:verify-chains` на проде, не в этом тесте).
+    //
+    // Что тестируется здесь: AFTER rebuild чейн должен match семантике своего
+    // partition_clause (self-consistency). Pre-Task-4 rebuild делает global LAG →
+    // verify с PARTITION BY tenant_id обнаруживает mismatch → RED. Post-Task-4
+    // rebuild делает per-tenant LAG → verify с PARTITION BY tenant_id match → GREEN.
+
+    $exit = Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $firstId,
+        '--force' => true,
+    ]);
+    expect($exit)->toBe(0);
+
+    $postMismatches = checkPartitionIntegrity($partition, 'PARTITION BY tenant_id', ACTIVITY_LOG_ROW_EXPR);
+    expect($postMismatches)->toBe(0, 'Rebuild должен produce per-tenant chain matching PARTITION BY tenant_id semantics (ADR-018)');
+});
+
+it('audit:rebuild-chain produces global chain for BYPASSRLS auth_log', function (): void {
+    // auth_log пишется под BYPASSRLS pre-auth role. INSERT direct через pgsql_supplier.
+    DB::connection('pgsql_supplier')->table('auth_log')->insert([
+        ['actor_type' => 'tenant_user', 'tenant_id' => null, 'event' => 'login', 'email' => 'a@x.com', 'created_at' => now()],
+        ['actor_type' => 'tenant_user', 'tenant_id' => null, 'event' => 'login', 'email' => 'b@x.com', 'created_at' => now()->addMicrosecond()],
+    ]);
+
+    $partition = 'auth_log_y'.now()->format('Y').'_m'.now()->format('m');
+    $firstId = (int) DB::connection('pgsql_supplier')->table($partition)->min('id');
+
+    $preMismatches = checkPartitionIntegrity($partition, '', AUTH_LOG_ROW_EXPR);
+    expect($preMismatches)->toBe(0, 'Trigger writes global chain correctly for auth_log');
+
+    $exit = Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $firstId,
+        '--force' => true,
+    ]);
+    expect($exit)->toBe(0);
+
+    $postMismatches = checkPartitionIntegrity($partition, '', AUTH_LOG_ROW_EXPR);
+    expect($postMismatches)->toBe(0, 'Rebuild должен сохранить global chain для BYPASSRLS-таблицы');
+});
+
+it('audit:rebuild-chain handles single-row partition (first row of tenant) корректно', function (): void {
+    $tenant = Tenant::factory()->create();
+    DB::statement('SET app.current_tenant_id = '.$tenant->id);
+
+    DB::table('activity_log')->insert([
+        'tenant_id' => $tenant->id, 'user_id' => null, 'deal_id' => 1,
+        'event' => 'deal.solo', 'context' => null, 'created_at' => now(),
+    ]);
+
+    $partition = 'activity_log_y'.now()->format('Y').'_m'.now()->format('m');
+    $firstId = (int) DB::connection('pgsql_supplier')->table($partition)
+        ->where('tenant_id', $tenant->id)
+        ->min('id');
+
+    $exit = Artisan::call('audit:rebuild-chain', [
+        '--partition' => $partition,
+        '--from-id' => $firstId,
+        '--force' => true,
+    ]);
+    expect($exit)->toBe(0);
+
+    $postMismatches = checkPartitionIntegrity($partition, 'PARTITION BY tenant_id', ACTIVITY_LOG_ROW_EXPR);
+    expect($postMismatches)->toBe(0, 'Single-row per-tenant partition должен остаться intact');
+});
@@ -0,0 +1,65 @@
+<?php
+
+// Tests for audit:verify-chains command — regression guard for Task 2 refactor.
+// Verifies that the command uses AuditChainConfig::TABLES (shared config)
+// and that AuditChainConfig::rowExpression() works for all registered tables.
+
+declare(strict_types=1);
+
+use App\Console\Commands\VerifyAuditChains;
+use App\Services\Audit\AuditChainConfig;
+
+/**
+ * Regression tests for VerifyAuditChains → AuditChainConfig refactor (ADR-018 Task 2).
+ *
+ * These tests do NOT require a DB connection — they verify the static config
+ * integrity used by both VerifyAuditChains and AuditRebuildChain.
+ */
+it('AuditChainConfig::TABLES registers all six expected audit tables', function (): void {
+    $tables = array_keys(AuditChainConfig::TABLES);
+
+    expect($tables)->toContain('auth_log')
+        ->toContain('activity_log')
+        ->toContain('tenant_operations_log')
+        ->toContain('balance_transactions')
+        ->toContain('pd_processing_log')
+        ->toContain('saas_admin_audit_log');
+
+    expect(count($tables))->toBe(6);
+});
+
+it('AuditChainConfig::rowExpression builds ROW expression with NULL::bytea at log_hash position', function (): void {
+    $expr = AuditChainConfig::rowExpression('auth_log');
+
+    expect($expr)->toStartWith('ROW(')
+        ->toContain('NULL::bytea')
+        ->not->toContain('t.__log_hash__');
+});
+
+it('AuditChainConfig::rowExpression produces same result for all six tables', function (): void {
+    foreach (array_keys(AuditChainConfig::TABLES) as $table) {
+        $expr = AuditChainConfig::rowExpression($table);
+
+        expect($expr)
+            ->toStartWith('ROW(')
+            ->toContain('NULL::bytea')
+            ->not->toContain('t.__log_hash__');
+    }
+});
+
+it('AuditChainConfig::rowExpression throws for unknown table', function (): void {
+    AuditChainConfig::rowExpression('nonexistent_table');
+})->throws(InvalidArgumentException::class);
+
+it('VerifyAuditChains command class exists and is registered', function (): void {
+    expect(class_exists(VerifyAuditChains::class))->toBeTrue();
+});
+
+it('VerifyAuditChains does not have private TABLE_CONFIG const after ADR-018 refactor', function (): void {
+    $reflection = new ReflectionClass(VerifyAuditChains::class);
+    $constants = $reflection->getReflectionConstants();
+    $names = array_map(fn ($c) => $c->getName(), $constants);
+
+    // After Task 2 refactor, TABLE_CONFIG should be removed (delegated to AuditChainConfig::TABLES)
+    expect($names)->not->toContain('TABLE_CONFIG');
+});
@@ -0,0 +1,102 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Deal;
+use App\Models\Project;
+use App\Models\SupplierLead;
+use App\Models\Tenant;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+beforeEach(function (): void {
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+});
+
+/**
+ * Сеет сделку (city=NULL по умолчанию) + лид с resolved_subject_code + связь
+ * supplier_lead_deliveries. Возвращает [tenantId, dealId].
+ *
+ * @return array{0: int, 1: int}
+ */
+function seedDealWithResolvedLead(?int $resolvedCode, ?string $city = null): array
+{
+    $tenant = Tenant::factory()->create(['balance_rub' => '100000.00']);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'site',
+        'signal_identifier' => 'backfill-city.ru',
+        'is_active' => true,
+    ]);
+
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    $deal = Deal::create([
+        'tenant_id' => $tenant->id,
+        'project_id' => $project->id,
+        'phone' => '79161234567',
+        'phones' => ['79161234567'],
+        'status' => 'new',
+        'received_at' => now(),
+        'subject_code' => $resolvedCode,
+        'city' => $city,
+    ]);
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+
+    $lead = SupplierLead::factory()->create([
+        'platform' => 'B1',
+        'phone' => '79161234567',
+        'resolved_subject_code' => $resolvedCode,
+        'region_source' => $resolvedCode !== null ? 'dadata' : 'unknown',
+    ]);
+
+    DB::connection('pgsql_supplier')->table('supplier_lead_deliveries')->insert([
+        'supplier_lead_id' => $lead->id,
+        'tenant_id' => $tenant->id,
+        'deal_id' => $deal->id,
+        'created_at' => now(),
+    ]);
+
+    return [$tenant->id, $deal->id];
+}
+
+function dealCity(int $dealId): ?string
+{
+    // BYPASSRLS чтение (как и сам бэкфилл) — без tenant-контекста.
+    return DB::connection('pgsql_supplier')->table('deals')->where('id', $dealId)->value('city');
+}
+
+it('backfills deal city from the lead resolved region code', function (): void {
+    [, $dealId] = seedDealWithResolvedLead(29); // 29 → Красноярский край
+
+    $this->artisan('deals:backfill-region-city')->assertSuccessful();
+
+    expect(dealCity($dealId))->toBe('Красноярский край');
+});
+
+it('does not touch deals that already have a city', function (): void {
+    [, $dealId] = seedDealWithResolvedLead(29, city: 'Уже стоит');
+
+    $this->artisan('deals:backfill-region-city')->assertSuccessful();
+
+    expect(dealCity($dealId))->toBe('Уже стоит');
+});
+
+it('dry-run reports candidates without writing', function (): void {
+    [, $dealId] = seedDealWithResolvedLead(29);
+
+    $this->artisan('deals:backfill-region-city', ['--dry-run' => true])->assertSuccessful();
+
+    expect(dealCity($dealId))->toBeNull();
+});
+
+it('leaves city null when the lead has no resolved region', function (): void {
+    [, $dealId] = seedDealWithResolvedLead(null);
+
+    $this->artisan('deals:backfill-region-city')->assertSuccessful();
+
+    expect(dealCity($dealId))->toBeNull();
+});
@@ -0,0 +1,124 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+function rossvyazFixture(): string
+{
+    return base_path('tests/Fixtures/rossvyaz/sample.csv');
+}
+
+it('dry-run parses csv, maps regions to subject_code, builds staging, does not swap', function (): void {
+    $this->artisan('phone-ranges:import', ['--file' => rossvyazFixture(), '--dry-run' => true])
+        ->assertSuccessful();
+
+    // Staging построен (dry-run не свапает и не дропает staging — данные видны в той же tx).
+    expect(DB::table('phone_ranges_staging')->count())->toBe(3);
+
+    $r495 = DB::selectOne('SELECT subject_code FROM phone_ranges_staging WHERE def_code = 495');
+    $r921 = DB::selectOne('SELECT subject_code FROM phone_ranges_staging WHERE def_code = 921');
+    $r999 = DB::selectOne('SELECT subject_code FROM phone_ranges_staging WHERE def_code = 999');
+
+    expect((int) $r495->subject_code)->toBe(82)   // Москва
+        ->and((int) $r921->subject_code)->toBe(83) // Санкт-Петербург
+        ->and($r999->subject_code)->toBeNull();    // Атлантида — не маппится
+
+    // Живой phone_ranges не тронут (свапа не было).
+    expect(DB::table('phone_ranges')->count())->toBe(0);
+
+    // Журнал импорта: dry-run → rolled_back, несматчившийся регион в error.
+    $imp = DB::table('phone_ranges_imports')->orderByDesc('id')->first();
+    expect($imp->status)->toBe('rolled_back')
+        ->and($imp->error)->toContain('Атлантида');
+});
+
+it('maps all matched rows and counts unmatched separately', function (): void {
+    $this->artisan('phone-ranges:import', ['--file' => rossvyazFixture(), '--dry-run' => true])
+        ->assertSuccessful();
+
+    $matched = DB::table('phone_ranges_staging')->whereNotNull('subject_code')->count();
+    $unmatched = DB::table('phone_ranges_staging')->whereNull('subject_code')->count();
+
+    expect($matched)->toBe(2)->and($unmatched)->toBe(1);
+});
+
+it('skips swap when checksum matches a completed import (idempotency)', function (): void {
+    $checksum = hash_file('sha256', rossvyazFixture());
+    DB::table('phone_ranges_imports')->insert([
+        'source_url' => 'https://rossvyaz.gov.ru/prev',
+        'checksum_sha256' => $checksum,
+        'status' => 'completed',
+        'imported_at' => now(),
+        'completed_at' => now(),
+    ]);
+
+    // Не dry-run: но checksum совпал с completed → короткое замыкание ДО свапа.
+    $this->artisan('phone-ranges:import', ['--file' => rossvyazFixture()])
+        ->assertSuccessful();
+
+    expect(DB::table('phone_ranges')->count())->toBe(0); // свапа не было
+
+    $latest = DB::table('phone_ranges_imports')->orderByDesc('id')->first();
+    expect($latest->status)->toBe('rolled_back');
+});
+
+it('force flag bypasses idempotency note even with matching checksum', function (): void {
+    // С --dry-run + --force: идемпотентность игнорируется, но dry-run всё равно не свапает.
+    $checksum = hash_file('sha256', rossvyazFixture());
+    DB::table('phone_ranges_imports')->insert([
+        'source_url' => 'https://rossvyaz.gov.ru/prev',
+        'checksum_sha256' => $checksum,
+        'status' => 'completed',
+        'imported_at' => now(),
+        'completed_at' => now(),
+    ]);
+
+    $this->artisan('phone-ranges:import', ['--file' => rossvyazFixture(), '--dry-run' => true, '--force' => true])
+        ->assertSuccessful();
+
+    // --force обошёл idempotency → staging построен заново (3 строки), но dry-run не свапнул.
+    expect(DB::table('phone_ranges_staging')->count())->toBe(3);
+    expect(DB::table('phone_ranges')->count())->toBe(0);
+});
+
+it('normalizes real Россвязь region formats to subject_code and fills region_normalized', function (): void {
+    // Форматы из реального прод-реестра (топ unmapped 02.06.2026): префикс «г. »,
+    // pipe-сегмент региона, сокращение «обл.», перевёрнутая «Республика Удмуртская»,
+    // и безнадёжный city-only «г.о. Тольятти». def-коды 3-значные (chk_phone_ranges_def_code 300-999).
+    $this->artisan('phone-ranges:import', ['--file' => base_path('tests/Fixtures/rossvyaz/messy.csv'), '--dry-run' => true])
+        ->assertSuccessful();
+
+    $moscow = DB::selectOne('SELECT subject_code, region_normalized FROM phone_ranges_staging WHERE def_code = 495');
+    $orenburg = DB::selectOne('SELECT subject_code, region_normalized FROM phone_ranges_staging WHERE def_code = 922');
+    $udmurtia = DB::selectOne('SELECT subject_code, region_normalized FROM phone_ranges_staging WHERE def_code = 987');
+    $togliatti = DB::selectOne('SELECT subject_code, region_normalized FROM phone_ranges_staging WHERE def_code = 902');
+
+    expect((int) $moscow->subject_code)->toBe(82)
+        ->and($moscow->region_normalized)->toBe('Москва')
+        ->and((int) $orenburg->subject_code)->toBe(62)
+        ->and($orenburg->region_normalized)->toBe('Оренбургская область')
+        ->and((int) $udmurtia->subject_code)->toBe(21)
+        ->and($udmurtia->region_normalized)->toBe('Удмуртская Республика')
+        ->and($togliatti->subject_code)->toBeNull()
+        ->and($togliatti->region_normalized)->toBeNull();
+});
+
+it('rebuilds staging id even after the live id default was dropped (post-swap state)', function (): void {
+    // После первого atomic-swap исходная id-последовательность уничтожается
+    // (DROP phone_ranges_old CASCADE), и live.id остаётся без DEFAULT. Повторный
+    // импорт обязан выдать staging.id из собственной последовательности, а не упасть
+    // на NOT NULL. Симулируем это, сняв default у phone_ranges.id.
+    DB::connection('pgsql_supplier')->statement('ALTER TABLE phone_ranges ALTER COLUMN id DROP DEFAULT');
+
+    $this->artisan('phone-ranges:import', ['--file' => rossvyazFixture(), '--dry-run' => true])
+        ->assertSuccessful();
+
+    expect(DB::table('phone_ranges_staging')->count())->toBe(3)
+        ->and(DB::table('phone_ranges_staging')->whereNull('id')->count())->toBe(0);
+});
@@ -0,0 +1,38 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Http;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+beforeEach(function (): void {
+    config([
+        'services.dadata.api_key' => 'k',
+        'services.dadata.secret' => 's',
+        'services.dadata.daily_cap_rub' => 100000,
+    ]);
+});
+
+it('phone-region:smoke prints the resolution and writes nothing to DB', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 0, 'region' => 'Москва', 'provider' => 'МТС',
+    ]], 200)]);
+
+    $this->artisan('phone-region:smoke', ['--phone' => '79161234567'])
+        ->assertSuccessful()
+        ->expectsOutputToContain('dadata')
+        ->expectsOutputToContain('Москва');
+
+    // Smoke не пишет в БД.
+    expect(DB::table('lead_region_resolution_log')->count())->toBe(0);
+    expect(DB::table('deals')->count())->toBe(0);
+});
+
+it('phone-region:smoke fails without --phone', function (): void {
+    $this->artisan('phone-region:smoke')->assertFailed();
+});
@@ -0,0 +1,90 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Database\QueryException;
+use Illuminate\Support\Facades\Log;
+use Illuminate\Support\Facades\Route;
+
+/**
+ * Tests for reduced verbosity of QueryException logging when triggered by
+ * a constraint violation (SQLSTATE 23xxx). After incident 2026-05-29, the
+ * default Laravel error report (full stack trace) caused laravel.log to
+ * accumulate 8.7 GB during a webhook storm. Constraint violations are
+ * data-validity errors — they need a warning summary, not a stack trace.
+ *
+ * Ref: docs/incidents/2026-05-29-disk-full-pg-recovery.md §5
+ */
+it('logs constraint violation (SQLSTATE 23505) as WARNING with sqlstate code, no stack trace', function () {
+    Log::spy();
+
+    Route::get('/_test/boom-23505', function () {
+        $pdoException = new PDOException('SQLSTATE[23505]: Unique violation: duplicate key value violates unique constraint "uniq_user_email"');
+        $pdoException->errorInfo = ['23505', 7, 'Unique violation'];
+
+        throw new QueryException('pgsql', 'INSERT INTO users ...', [], $pdoException);
+    });
+
+    /* @phpstan-ignore-next-line method.notFound */
+    $this->getJson('/_test/boom-23505');
+
+    // Constraint violation → warning channel, with sqlstate context
+    /* @phpstan-ignore-next-line staticMethod.notFound */
+    Log::shouldHaveReceived('warning')
+        ->withArgs(function ($message, $context) {
+            return $message === 'db.constraint_violation'
+                && ($context['sqlstate'] ?? '') === '23505';
+        })
+        ->atLeast()->once();
+
+    // Default behaviour (full error log) is NOT called for constraint violations
+    /* @phpstan-ignore-next-line staticMethod.notFound */
+    Log::shouldNotHaveReceived('error', [
+        Mockery::on(fn ($msg) => $msg === 'db.query_exception'),
+    ]);
+});
+
+it('still logs non-constraint QueryException (SQLSTATE 42P01) as ERROR with full SQL', function () {
+    Log::spy();
+
+    Route::get('/_test/boom-42P01', function () {
+        $pdoException = new PDOException('SQLSTATE[42P01]: relation "missing_table" does not exist');
+        $pdoException->errorInfo = ['42P01', 7, 'Undefined table'];
+
+        throw new QueryException('pgsql', 'SELECT * FROM missing_table', [], $pdoException);
+    });
+
+    /* @phpstan-ignore-next-line method.notFound */
+    $this->getJson('/_test/boom-42P01');
+
+    // Non-constraint → default error logging preserved
+    /* @phpstan-ignore-next-line staticMethod.notFound */
+    Log::shouldHaveReceived('error')
+        ->withArgs(function ($message, $context) {
+            return $message === 'db.query_exception'
+                && isset($context['sql']);
+        })
+        ->atLeast()->once();
+});
+
+it('logs constraint violation (SQLSTATE 23514) for check_constraint as WARNING', function () {
+    Log::spy();
+
+    Route::get('/_test/boom-23514', function () {
+        $pdoException = new PDOException('SQLSTATE[23514]: Check violation: new row for relation "supplier_projects" violates check constraint "chk_supplier_projects_b1_not_for_sms"');
+        $pdoException->errorInfo = ['23514', 7, 'Check violation'];
+
+        throw new QueryException('pgsql', 'INSERT INTO supplier_projects ...', [], $pdoException);
+    });
+
+    /* @phpstan-ignore-next-line method.notFound */
+    $this->getJson('/_test/boom-23514');
+
+    /* @phpstan-ignore-next-line staticMethod.notFound */
+    Log::shouldHaveReceived('warning')
+        ->withArgs(function ($message, $context) {
+            return $message === 'db.constraint_violation'
+                && ($context['sqlstate'] ?? '') === '23514';
+        })
+        ->atLeast()->once();
+});
@@ -0,0 +1,149 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+/**
+ * Task 3 — plan 2026-05-29-supplier-webhook-fast-fail-and-stuck-cleanup.md
+ *
+ * Tests the single-lead-storm detection in incidents:watch-failures command.
+ * A single supplier_lead_id generating >= threshold-single-lead failures within
+ * the watch window should create a severity=high incident with root_cause
+ * containing 'single-lead-storm'.
+ */
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+// ---------- helpers --------------------------------------------------------
+
+/**
+ * Insert failed_webhook_jobs rows for a given supplier_lead_id.
+ * Uses default DB::table() (pgsql connection) — same pattern as
+ * IncidentsWatchFailuresExpandedTest's makeFailedWebhookJobExp().
+ * SharesSupplierPdo ensures the command (pgsql_supplier) sees this data.
+ */
+function makeStormWebhookRows(int $supplierLeadId, int $count): void
+{
+    $rows = [];
+    for ($i = 0; $i < $count; $i++) {
+        $rows[] = [
+            'raw_payload' => json_encode(['supplier_lead_id' => $supplierLeadId]),
+            'exception' => 'DomainException: B1 platform does not support SMS signals',
+            'retry_count' => 3,
+            'failed_at' => now()->subMinutes(rand(1, 9))->toDateTimeString(),
+        ];
+    }
+    // Insert in chunks to stay under query size limits
+    foreach (array_chunk($rows, 200) as $chunk) {
+        DB::table('failed_webhook_jobs')->insert($chunk);
+    }
+}
+
+/**
+ * Ensure there is at least one active saas_admin_user (required by command).
+ * Mirrors ensureAdminExp() pattern in IncidentsWatchFailuresExpandedTest.
+ */
+function ensureAdminForStormTest(): int
+{
+    $id = DB::table('saas_admin_users')->where('is_active', true)->whereNull('deleted_at')->value('id');
+    if ($id !== null) {
+        return (int) $id;
+    }
+
+    return (int) DB::table('saas_admin_users')->insertGetId([
+        'email' => 'storm-watch-test@liderra.ru',
+        'full_name' => 'Storm Watch Test Admin',
+        'password_hash' => '$2y$12$placeholder',
+        'role' => 'dev_oncall',
+        'is_active' => true,
+        'created_at' => now(),
+    ]);
+}
+
+// ---------- setup ----------------------------------------------------------
+
+beforeEach(function (): void {
+    ensureAdminForStormTest();
+    // Clean only the tables the command reads/writes.
+    // Do NOT delete saas_admin_users (may have FK refs from other tables).
+    DB::table('failed_webhook_jobs')->delete();
+    DB::table('incidents_log')->whereNull('resolved_at')->delete();
+});
+
+// ---------- tests ----------------------------------------------------------
+
+it('detects single-lead-storm when one supplier_lead_id has >= 1000 failures in window', function (): void {
+    makeStormWebhookRows(9999, 1001);
+
+    $this->artisan('incidents:watch-failures', [
+        '--threshold-single-lead' => 1000,
+        '--window' => 10,
+        '--threshold' => 99999, // disable generic webhook spike to isolate
+    ])->assertSuccessful();
+
+    $incident = DB::table('incidents_log')
+        ->where('root_cause', 'LIKE', '%single-lead-storm%')
+        ->first();
+
+    expect($incident)->not->toBeNull('should create incident for storm');
+    expect($incident->severity)->toBe('high');
+    expect($incident->root_cause)->toContain('9999');
+});
+
+it('does NOT create storm incident when failures are spread across many leads', function (): void {
+    // 100 different supplier_lead_ids × 5 failures = 500 total, none reaches threshold
+    for ($i = 1; $i <= 100; $i++) {
+        makeStormWebhookRows($i, 5);
+    }
+
+    $this->artisan('incidents:watch-failures', [
+        '--threshold-single-lead' => 1000,
+        '--window' => 10,
+        '--threshold' => 99999, // disable generic webhook spike
+    ])->assertSuccessful();
+
+    $stormIncidents = DB::table('incidents_log')
+        ->where('root_cause', 'LIKE', '%single-lead-storm%')
+        ->count();
+
+    expect($stormIncidents)->toBe(0, 'no storm when failures spread across leads');
+});
+
+it('uses default threshold of 1000 when --threshold-single-lead is not provided', function (): void {
+    makeStormWebhookRows(7777, 1001);
+
+    $this->artisan('incidents:watch-failures', [
+        '--threshold' => 99999, // disable generic webhook spike
+    ])->assertSuccessful();
+
+    $incident = DB::table('incidents_log')
+        ->where('root_cause', 'LIKE', '%single-lead-storm%')
+        ->first();
+
+    expect($incident)->not->toBeNull('default threshold=1000 should detect 1001 failures');
+    expect($incident->severity)->toBe('high');
+});
+
+it('deduplicates: does not create duplicate storm incident within dedup window', function (): void {
+    makeStormWebhookRows(8888, 1001);
+
+    // Run twice — should only create 1 incident (dedup window default 60 min)
+    $this->artisan('incidents:watch-failures', [
+        '--threshold-single-lead' => 1000,
+        '--threshold' => 99999,
+    ])->assertSuccessful();
+
+    $this->artisan('incidents:watch-failures', [
+        '--threshold-single-lead' => 1000,
+        '--threshold' => 99999,
+    ])->assertSuccessful();
+
+    $count = DB::table('incidents_log')
+        ->where('root_cause', 'LIKE', '%single-lead-storm:8888%')
+        ->count();
+
+    expect($count)->toBe(1, 'dedup should prevent duplicate incident');
+});
@@ -0,0 +1,229 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Jobs\RouteSupplierLeadJob;
+use App\Models\Deal;
+use App\Models\Project;
+use App\Models\SupplierLead;
+use App\Models\SupplierProject;
+use App\Models\Tenant;
+use App\Services\Billing\LedgerService;
+use App\Services\LeadDistributor;
+use App\Services\LeadRouter;
+use App\Services\NotificationService;
+use App\Services\RegionTagResolver;
+use App\Services\SupplierProjects\SupplierProjectResolver;
+use Database\Seeders\PricingTierSeeder;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Http;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+beforeEach(function (): void {
+    $this->seed(PricingTierSeeder::class);
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+    config([
+        'services.dadata.enabled' => true,
+        'services.dadata.api_key' => 'k',
+        'services.dadata.secret' => 's',
+        'services.dadata.daily_cap_rub' => 100000,
+    ]);
+});
+
+function runRegionJob(int $supplierLeadId): void
+{
+    (new RouteSupplierLeadJob($supplierLeadId))->handle(
+        app(LeadRouter::class),
+        app(SupplierProjectResolver::class),
+        app(NotificationService::class),
+        app(LedgerService::class),
+        app(LeadDistributor::class),
+        app(RegionTagResolver::class),
+    );
+}
+
+/**
+ * Создаёт маршрутизируемый лид: supplier B1 site + tenant с балансом + project + snapshot.
+ *
+ * @return array{0: SupplierLead, 1: Project, 2: Tenant, 3: SupplierProject}
+ */
+function seedRoutableLead(string $regions, string $tag, string $phone, string $key = 'vashinvestor.ru'): array
+{
+    $supplier = SupplierProject::factory()->create([
+        'platform' => 'B1', 'signal_type' => 'site', 'unique_key' => $key,
+    ]);
+    $tenant = Tenant::factory()->create(['balance_rub' => '100000.00']);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'signal_type' => 'site', 'signal_identifier' => $key,
+        'is_active' => true, 'delivered_today' => 0, 'delivered_in_month' => 0,
+        'daily_limit_target' => 100,
+    ]);
+    linkProjectToSupplier($project, $supplier);
+    createRoutingSnapshotFromProject($project, dailyLimit: 100, regions: $regions);
+
+    $vid = 432176649;
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => null,
+        'platform' => 'B1',
+        'vid' => $vid,
+        'phone' => $phone,
+        'received_at' => now(),
+        'raw_payload' => [
+            'vid' => $vid, 'project' => "B1_{$key}", 'tag' => $tag,
+            'phone' => $phone, 'phones' => [$phone], 'time' => now()->getTimestamp(),
+        ],
+    ]);
+
+    return [$lead, $project, $tenant, $supplier];
+}
+
+function dealFor(int $tenantId, int $projectId): ?Deal
+{
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenantId}'");
+    $deal = Deal::query()->where('project_id', $projectId)->first();
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+
+    return $deal;
+}
+
+it('lead with phone uses dadata region, not the tag', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 0, 'region' => 'Москва', 'provider' => 'МТС', 'type' => 'Мобильный', 'phone' => '+7 916 123-45-67',
+    ]], 200)]);
+    // tag='Санкт-Петербург' (дал бы 83), но телефон резолвится в Москву (82).
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'Санкт-Петербург', phone: '79161234567');
+
+    runRegionJob($lead->id);
+
+    $lead->refresh();
+    expect($lead->resolved_subject_code)->toBe(82)
+        ->and($lead->region_source)->toBe('dadata')
+        ->and($lead->phone_operator)->toBe('МТС');
+
+    $deal = dealFor($tenant->id, $project->id);
+    expect($deal)->not->toBeNull()
+        ->and((int) $deal->subject_code)->toBe(82)        // регион из DaData, не из тега (83)
+        ->and((bool) $deal->region_substituted)->toBeFalse()
+        ->and($deal->phone_operator)->toBe('МТС');
+});
+
+it('logs exactly one region resolution row per lead', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 0, 'region' => 'Москва', 'provider' => 'МТС',
+    ]], 200)]);
+    [$lead] = seedRoutableLead(regions: '{82}', tag: 'tag', phone: '79161234567');
+
+    runRegionJob($lead->id);
+
+    $rows = DB::table('lead_region_resolution_log')->where('supplier_lead_id', $lead->id)->get();
+    expect($rows)->toHaveCount(1);
+    expect($rows->first()->region_source)->toBe('dadata');
+    // Телефон в логе маскирован (не сырой номер) — §7.1.
+    expect($rows->first()->phone_masked)->not->toBe('79161234567');
+});
+
+it('lead with invalid phone falls back to tag', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва']], 200)]);
+    // Невалидный телефон → DaData не дёргается → tag (Москва=82).
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'Москва', phone: '123');
+
+    runRegionJob($lead->id);
+
+    $lead->refresh();
+    expect($lead->region_source)->toBe('tag')->and($lead->resolved_subject_code)->toBe(82);
+    Http::assertNothingSent();
+});
+
+it('lead with resolver disabled via flag uses tag', function (): void {
+    config(['services.dadata.enabled' => false]);
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва']], 200)]);
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'Москва', phone: '79161234567');
+
+    runRegionJob($lead->id);
+
+    $lead->refresh();
+    expect($lead->region_source)->toBe('tag')->and($lead->resolved_subject_code)->toBe(82);
+    Http::assertNothingSent();
+});
+
+it('persistent idempotency: pre-resolved lead does not re-call dadata', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва', 'provider' => 'МТС']], 200)]);
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{83}', tag: 'tag', phone: '79161234567');
+    // Эмулируем предыдущий try: резолв уже персистнут.
+    $lead->update(['resolved_subject_code' => 83, 'region_source' => 'rossvyaz', 'phone_operator' => 'МегаФон']);
+
+    runRegionJob($lead->id);
+
+    Http::assertNothingSent(); // §3.11 — нет двойной оплаты DaData
+    $lead->refresh();
+    expect($lead->resolved_subject_code)->toBe(83)->and($lead->region_source)->toBe('rossvyaz');
+});
+
+it('step-3 fallback substitutes subject_code to client region and flags region_substituted', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 0, 'region' => 'Москва', 'provider' => 'МТС',
+    ]], 200)]);
+    // Лид по Москве (82), но клиент подписан только на Питер (83): точных нет, «вся РФ» нет → шаг 3.
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{83}', tag: 'tag', phone: '79161234567');
+
+    runRegionJob($lead->id);
+
+    $deal = dealFor($tenant->id, $project->id);
+    expect($deal)->not->toBeNull()
+        ->and((int) $deal->subject_code)->toBe(83)         // подменён на регион клиента (Питер)
+        ->and((bool) $deal->region_substituted)->toBeTrue();
+
+    // Настоящий регион (Москва=82) сохранён в журнале как actual_subject_code.
+    $log = DB::table('lead_region_resolution_log')->where('supplier_lead_id', $lead->id)->first();
+    expect((int) $log->actual_subject_code)->toBe(82)
+        ->and((int) $log->substituted_subject_code)->toBe(83);
+});
+
+it('csv-merge updates subject_code and operator when webhook resolution outranks tag (dadata)', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва', 'provider' => 'МТС']], 200)]);
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'tag', phone: '79161234567');
+
+    // CSV-recovered сделка: source_crm_id=null, регион из тега «неправильный» (53 = ЛО).
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    $csvDeal = Deal::create([
+        'tenant_id' => $tenant->id, 'source_crm_id' => null, 'project_id' => $project->id,
+        'phone' => '79161234567', 'phones' => ['79161234567'], 'status' => 'new',
+        'received_at' => now(), 'subject_code' => 53,
+    ]);
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+
+    runRegionJob($lead->id);
+
+    $merged = dealFor($tenant->id, $project->id);
+    expect((int) $merged->id)->toBe($csvDeal->id)            // merge в существующую, не новая
+        ->and((int) $merged->subject_code)->toBe(82)         // обновлено DaData (82) поверх tag (53)
+        ->and($merged->phone_operator)->toBe('МТС')
+        ->and((int) $merged->source_crm_id)->toBe($lead->vid);
+
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    expect(Deal::query()->where('project_id', $project->id)->count())->toBe(1); // второй сделки нет
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+});
+
+it('csv-merge does not overwrite subject_code when webhook resolution is tag-level', function (): void {
+    config(['services.dadata.enabled' => false]); // резолвер выключен → source='tag' (rank не выше CSV-tag)
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'Москва', phone: '79161234567');
+
+    DB::statement("SET LOCAL app.current_tenant_id = '{$tenant->id}'");
+    Deal::create([
+        'tenant_id' => $tenant->id, 'source_crm_id' => null, 'project_id' => $project->id,
+        'phone' => '79161234567', 'phones' => ['79161234567'], 'status' => 'new',
+        'received_at' => now(), 'subject_code' => 53,
+    ]);
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+
+    runRegionJob($lead->id);
+
+    $merged = dealFor($tenant->id, $project->id);
+    expect((int) $merged->subject_code)->toBe(53); // tag не выше tag → регион не тронут
+});
@@ -631,3 +631,35 @@ it('merges webhook into csv-recovered deal even when received_at differs (Phase
    // Никаких дублей deals — только один с этим vid.
    expect(Deal::query()->where('source_crm_id', $webhookVid)->count())->toBe(1);
 });
+
+it('fills deal city with the resolved region name (UI «Город» column)', function (): void {
+    \Illuminate\Support\Facades\Http::fake(['cleaner.dadata.ru/*' => \Illuminate\Support\Facades\Http::response([[
+        'qc' => 0, 'region' => 'Москва', 'provider' => 'МТС',
+    ]], 200)]);
+    config([
+        'services.dadata.enabled' => true,
+        'services.dadata.api_key' => 'k',
+        'services.dadata.secret' => 's',
+        'services.dadata.daily_cap_rub' => 100000,
+    ]);
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'tag', phone: '79161234567');
+
+    runRouteJob($lead->id);
+
+    // deals.city = имя субъекта (RussianRegions::CODE_TO_NAME) по резолву: 82 → «Москва».
+    $deal = dealFor($tenant->id, $project->id);
+    expect($deal)->not->toBeNull()
+        ->and($deal->city)->toBe('Москва');
+});
+
+it('leaves deal city null when region is unknown', function (): void {
+    config(['services.dadata.enabled' => false]);
+    // Нераспознанный тег + невалидный телефон → subjectCode null → city пустой.
+    [$lead, $project, $tenant] = seedRoutableLead(regions: '{82}', tag: 'нераспознаваемый-тег-zzz', phone: '123');
+
+    runRouteJob($lead->id);
+
+    $deal = dealFor($tenant->id, $project->id);
+    expect($deal)->not->toBeNull()
+        ->and($deal->city)->toBeNull();
+});
@@ -0,0 +1,51 @@
+<?php
+
+declare(strict_types=1);
+
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(SharesSupplierPdo::class);
+
+it('creates phone_ranges with lookup columns', function (): void {
+    expect(DB::selectOne("SELECT to_regclass('public.phone_ranges') AS t")->t)->not->toBeNull();
+
+    $cols = collect(DB::select("SELECT column_name FROM information_schema.columns WHERE table_name = 'phone_ranges'"))
+        ->pluck('column_name')->all();
+
+    expect($cols)->toContain('def_code', 'from_num', 'to_num', 'operator', 'region', 'subject_code', 'import_id');
+});
+
+it('creates phone_ranges_imports journal table', function (): void {
+    expect(DB::selectOne("SELECT to_regclass('public.phone_ranges_imports') AS t")->t)->not->toBeNull();
+
+    $cols = collect(DB::select("SELECT column_name FROM information_schema.columns WHERE table_name = 'phone_ranges_imports'"))
+        ->pluck('column_name')->all();
+
+    expect($cols)->toContain('source_url', 'checksum_sha256', 'status', 'rows_inserted', 'rows_updated');
+});
+
+it('creates lead_region_resolution_log as a partitioned table', function (): void {
+    $partitioned = DB::selectOne(
+        "SELECT 1 AS ok
+         FROM pg_partitioned_table pt
+         JOIN pg_class c ON c.oid = pt.partrelid
+         WHERE c.relname = 'lead_region_resolution_log'"
+    );
+
+    expect($partitioned)->not->toBeNull();
+});
+
+it('adds resolution columns to supplier_leads', function (): void {
+    $cols = collect(DB::select("SELECT column_name FROM information_schema.columns WHERE table_name = 'supplier_leads'"))
+        ->pluck('column_name')->all();
+
+    expect($cols)->toContain('resolved_subject_code', 'region_source', 'dadata_qc', 'phone_operator');
+});
+
+it('adds resolution columns to deals', function (): void {
+    $cols = collect(DB::select("SELECT column_name FROM information_schema.columns WHERE table_name = 'deals'"))
+        ->pluck('column_name')->all();
+
+    expect($cols)->toContain('phone_operator', 'region_substituted');
+});
@@ -76,10 +76,11 @@ test('идемпотентность: повторный запуск не па

    expect($afterSecond)->toBe($afterFirst);

-    // Output второго запуска должен сказать «0 created» по всем 8 таблицам × 6 месяцев = 48 партиций.
-    // (webhook_log удалён в миграции 2026_05_24_140000_drop_legacy_webhook_artefacts)
+    // Output второго запуска должен сказать «0 created» по всем партиционированным таблицам × 6 месяцев
+    // (текущий + ahead=5). Число таблиц берём из PARTITIONED_TABLES — тест не ломается при добавлении новых.
+    $expectedSkipped = count(\App\Services\MonthlyPartitionManager::PARTITIONED_TABLES) * 6;
    $output = Artisan::output();
-    expect($output)->toContain('0 created, 48 skipped');
+    expect($output)->toContain("0 created, {$expectedSkipped} skipped");
 });

 test('--ahead=0 создаёт только текущий месяц', function () {
@@ -0,0 +1,42 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Services\DaData\DaDataBudgetGuard;
+
+it('allows spend while under the daily cap', function (): void {
+    config(['services.dadata.daily_cap_rub' => 10]); // 1000 копеек
+    $guard = app(DaDataBudgetGuard::class);
+
+    expect($guard->canSpend())->toBeTrue();
+
+    $guard->recordSpend(500);
+
+    expect($guard->canSpend())->toBeTrue()
+        ->and($guard->spentTodayKopecks())->toBe(500);
+});
+
+it('blocks spend once the daily cap is reached', function (): void {
+    config(['services.dadata.daily_cap_rub' => 1]); // 100 копеек
+    $guard = app(DaDataBudgetGuard::class);
+
+    $guard->recordSpend(100);
+
+    expect($guard->canSpend())->toBeFalse();
+});
+
+it('accumulates spend across multiple calls', function (): void {
+    config(['services.dadata.daily_cap_rub' => 100]);
+    $guard = app(DaDataBudgetGuard::class);
+
+    $guard->recordSpend(30);
+    $guard->recordSpend(70);
+
+    expect($guard->spentTodayKopecks())->toBe(100);
+});
+
+it('starts at zero spend for a fresh day', function (): void {
+    $guard = app(DaDataBudgetGuard::class);
+
+    expect($guard->spentTodayKopecks())->toBe(0);
+});
@@ -0,0 +1,80 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Services\DaData\DaDataException;
+use App\Services\DaData\DaDataPhoneClient;
+use App\Services\DaData\DaDataTimeoutException;
+use Illuminate\Http\Client\ConnectionException;
+use Illuminate\Support\Facades\Http;
+
+it('parses qc=0 mobile response into DTO', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 0, 'qc_conflict' => 0, 'type' => 'Мобильный', 'phone' => '+7 921 555-12-34',
+        'provider' => 'МегаФон', 'region' => 'Санкт-Петербург и область', 'city' => null, 'timezone' => 'UTC+3',
+    ]], 200)]);
+
+    $resp = app(DaDataPhoneClient::class)->cleanPhone('79215551234');
+
+    expect($resp->qc)->toBe(0)
+        ->and($resp->provider)->toBe('МегаФон')
+        ->and($resp->region)->toBe('Санкт-Петербург и область')
+        ->and($resp->type)->toBe('Мобильный')
+        ->and($resp->raw)->toBeArray();
+});
+
+it('parses qc=3 multiple response', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([[
+        'qc' => 3, 'region' => 'Москва', 'provider' => 'МТС', 'type' => 'Мобильный',
+    ]], 200)]);
+
+    expect(app(DaDataPhoneClient::class)->cleanPhone('79991234567')->qc)->toBe(3);
+});
+
+it('sends Token auth, X-Secret header and json-array body', function (): void {
+    config(['services.dadata.api_key' => 'KEY', 'services.dadata.secret' => 'SEC']);
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва']], 200)]);
+
+    app(DaDataPhoneClient::class)->cleanPhone('79161234567');
+
+    Http::assertSent(function ($request): bool {
+        return $request->url() === 'https://cleaner.dadata.ru/api/v1/clean/phone'
+            && $request->hasHeader('Authorization', 'Token KEY')
+            && $request->hasHeader('X-Secret', 'SEC')
+            && $request->body() === '["79161234567"]';
+    });
+});
+
+it('throws DaDataTimeoutException on connection error', function (): void {
+    Http::fake(fn () => throw new ConnectionException('timeout'));
+
+    expect(fn () => app(DaDataPhoneClient::class)->cleanPhone('79215551234'))
+        ->toThrow(DaDataTimeoutException::class);
+});
+
+it('throws DaDataException on persistent 5xx', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response('upstream error', 500)]);
+
+    expect(fn () => app(DaDataPhoneClient::class)->cleanPhone('79215551234'))
+        ->toThrow(DaDataException::class);
+});
+
+it('retries once on 5xx then succeeds', function (): void {
+    Http::fakeSequence('cleaner.dadata.ru/*')
+        ->push('upstream error', 500)
+        ->push([['qc' => 0, 'region' => 'Москва', 'provider' => 'МТС']], 200);
+
+    $resp = app(DaDataPhoneClient::class)->cleanPhone('79161234567');
+
+    expect($resp->qc)->toBe(0);
+    Http::assertSentCount(2);
+});
+
+it('does not retry on 4xx client error', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response('bad request', 400)]);
+
+    expect(fn () => app(DaDataPhoneClient::class)->cleanPhone('79161234567'))
+        ->toThrow(DaDataException::class);
+
+    Http::assertSentCount(1);
+});
@@ -0,0 +1,215 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\SupplierLead;
+use App\Services\LeadRegionResolver;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Http\Client\ConnectionException;
+use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Facades\Http;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+beforeEach(function (): void {
+    config([
+        'services.dadata.enabled' => true,
+        'services.dadata.api_key' => 'k',
+        'services.dadata.secret' => 's',
+        'services.dadata.daily_cap_rub' => 10000,
+    ]);
+});
+
+function resolverSeedImport(): int
+{
+    return (int) DB::table('phone_ranges_imports')->insertGetId([
+        'source_url' => 'test', 'checksum_sha256' => str_repeat('b', 64),
+        'status' => 'completed', 'imported_at' => now(),
+    ]);
+}
+
+function resolverSeedRange(int $subject, string $region = 'Москва', int $def = 916, string $operator = 'Ростелеком'): void
+{
+    DB::table('phone_ranges')->insert([
+        'def_code' => $def, 'from_num' => 0, 'to_num' => 9999999,
+        'operator' => $operator, 'region' => $region, 'subject_code' => $subject,
+        'imported_at' => now(), 'import_id' => resolverSeedImport(),
+    ]);
+}
+
+function resolverLead(string $phone = '79161234567', string $tag = ''): SupplierLead
+{
+    return new SupplierLead([
+        'phone' => $phone,
+        'raw_payload' => ['tag' => $tag],
+        'received_at' => now(),
+    ]);
+}
+
+function fakeDadata(array $row): void
+{
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([$row], 200)]);
+}
+
+it('dadata qc 0 returns dadata source', function (): void {
+    fakeDadata(['qc' => 0, 'region' => 'Москва', 'provider' => 'МТС', 'type' => 'Мобильный']);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('dadata')
+        ->and($r->subjectCode)->toBe(82)
+        ->and($r->phoneOperator)->toBe('МТС')
+        ->and($r->qc)->toBe(0)
+        ->and($r->cacheHit)->toBeFalse();
+});
+
+it('dadata qc 0 ambiguous region falls to rossvyaz but keeps dadata provider', function (): void {
+    fakeDadata(['qc' => 0, 'region' => 'Санкт-Петербург и область', 'provider' => 'МегаФон']);
+    resolverSeedRange(subject: 83, region: 'Санкт-Петербург');
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')
+        ->and($r->subjectCode)->toBe(83)
+        ->and($r->phoneOperator)->toBe('МегаФон') // оператор от DaData (MNP), §3.4.1
+        ->and($r->rossvyazMatched)->toBeTrue();
+});
+
+it('dadata qc 3 returns dadata with multiple flag', function (): void {
+    fakeDadata(['qc' => 3, 'region' => 'Москва', 'provider' => 'МТС']);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('dadata')->and($r->subjectCode)->toBe(82)->and($r->qc)->toBe(3);
+});
+
+it('dadata qc 1 falls back to rossvyaz', function (): void {
+    fakeDadata(['qc' => 1, 'region' => 'Москва', 'provider' => 'Билайн']);
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82);
+});
+
+it('dadata qc 2 falls back to tag skipping rossvyaz', function (): void {
+    fakeDadata(['qc' => 2]);
+    resolverSeedRange(subject: 83); // если бы Россвязь дёрнули — был бы 83
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead(tag: 'Москва'));
+
+    expect($r->source)->toBe('tag')->and($r->subjectCode)->toBe(82)->and($r->rossvyazMatched)->toBeFalse();
+});
+
+it('dadata qc 7 falls back to tag skipping rossvyaz', function (): void {
+    fakeDadata(['qc' => 7]);
+    resolverSeedRange(subject: 83);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead(tag: 'Москва'));
+
+    expect($r->source)->toBe('tag')->and($r->subjectCode)->toBe(82);
+});
+
+it('dadata timeout falls back to rossvyaz', function (): void {
+    Http::fake(fn () => throw new ConnectionException('timeout'));
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82);
+});
+
+it('dadata network error 5xx falls back to rossvyaz', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response('err', 500)]);
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82);
+});
+
+it('budget cap exceeded skips dadata directly to rossvyaz', function (): void {
+    config(['services.dadata.daily_cap_rub' => 0]); // canSpend() → false
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва']], 200)]);
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82);
+    Http::assertNothingSent();
+});
+
+it('cache hit skips dadata and rossvyaz on the second call', function (): void {
+    fakeDadata(['qc' => 0, 'region' => 'Москва', 'provider' => 'МТС']);
+    $resolver = app(LeadRegionResolver::class);
+
+    $first = $resolver->resolve(resolverLead());
+    $second = $resolver->resolve(resolverLead());
+
+    expect($first->cacheHit)->toBeFalse()
+        ->and($second->cacheHit)->toBeTrue()
+        ->and($second->subjectCode)->toBe(82);
+    Http::assertSentCount(1);
+});
+
+it('invalid phone skips dadata returns tag', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0]], 200)]);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead(phone: '123', tag: 'Москва'));
+
+    expect($r->source)->toBe('tag')->and($r->subjectCode)->toBe(82);
+    Http::assertNothingSent();
+});
+
+it('qc 0 region null falls through to rossvyaz', function (): void {
+    fakeDadata(['qc' => 0, 'region' => null, 'provider' => 'Tele2']);
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82)->and($r->phoneOperator)->toBe('Tele2');
+});
+
+it('unmappable dadata region falls through to rossvyaz', function (): void {
+    fakeDadata(['qc' => 0, 'region' => 'Несуществующий край', 'provider' => 'МТС']);
+    resolverSeedRange(subject: 82);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead());
+
+    expect($r->source)->toBe('rossvyaz')->and($r->subjectCode)->toBe(82);
+});
+
+it('all three layers fail returns unknown with null subject_code', function (): void {
+    fakeDadata(['qc' => 1]); // → rossvyaz
+    // no phone_ranges seeded → rossvyaz miss; tag empty → null
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead(tag: ''));
+
+    expect($r->source)->toBe('unknown')->and($r->subjectCode)->toBeNull();
+});
+
+it('disabled feature flag returns tag without any dadata call', function (): void {
+    config(['services.dadata.enabled' => false]);
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0]], 200)]);
+
+    $r = app(LeadRegionResolver::class)->resolve(resolverLead(tag: 'Москва'));
+
+    expect($r->source)->toBe('tag')->and($r->subjectCode)->toBe(82);
+    Http::assertNothingSent();
+});
+
+it('persistent idempotency: already-resolved lead skips dadata', function (): void {
+    Http::fake(['cleaner.dadata.ru/*' => Http::response([['qc' => 0, 'region' => 'Москва']], 200)]);
+    $lead = resolverLead();
+    $lead->resolved_subject_code = 83;
+    $lead->region_source = 'dadata';
+    $lead->dadata_qc = 0;
+    $lead->phone_operator = 'МегаФон';
+
+    $r = app(LeadRegionResolver::class)->resolve($lead);
+
+    expect($r->subjectCode)->toBe(83)->and($r->source)->toBe('dadata');
+    Http::assertNothingSent();
+});
@@ -0,0 +1,189 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\Project;
+use App\Models\SupplierProject;
+use App\Models\Tenant;
+use App\Services\LeadRouter;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Random\Engine\Mt19937;
+use Random\Randomizer;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+beforeEach(function (): void {
+    DB::statement("SELECT set_config('app.current_tenant_id', '0', true)");
+});
+
+/** Детерминированный роутер с засеянным жребием (вариант В). */
+function seededRouter(int $seed = 42): LeadRouter
+{
+    return new LeadRouter(new Randomizer(new Mt19937($seed)));
+}
+
+/**
+ * Создаёт tenant + project + pivot/snapshot для каскад-тестов.
+ * regions — PG-массив-литерал ('{82}' / '{}'); remaining лимита = dailyLimit - deliveredToday.
+ */
+function makeCascadeProject(
+    SupplierProject $sp,
+    string $regions,
+    int $dailyLimit = 100,
+    int $deliveredToday = 0,
+): Project {
+    $tenant = Tenant::factory()->create(['balance_leads' => 100, 'balance_rub' => '1000.00']);
+    $project = Project::factory()->create([
+        'tenant_id' => $tenant->id,
+        'is_active' => true,
+        'daily_limit_target' => $dailyLimit,
+        'delivered_today' => $deliveredToday,
+        'delivery_days_mask' => 127,
+        'signal_type' => $sp->signal_type,
+        'signal_identifier' => $sp->unique_key,
+    ]);
+    linkProjectToSupplier($project, $sp);
+    createRoutingSnapshotFromProject(
+        $project,
+        signalType: $sp->signal_type,
+        signalIdentifier: $sp->unique_key,
+        dailyLimit: $dailyLimit,
+        regions: $regions,
+    );
+
+    return $project;
+}
+
+function b1Supplier(string $key = 'ex.ru'): SupplierProject
+{
+    return SupplierProject::query()->create([
+        'platform' => 'B1', 'signal_type' => 'site', 'unique_key' => $key,
+        'subject_code' => 82, 'current_limit' => 0, 'sync_status' => 'ok',
+    ]);
+}
+
+it('step 1: exact region match wins, others excluded', function (): void {
+    $sp = b1Supplier();
+    $spb = makeCascadeProject($sp, regions: '{83}'); // Питер
+    $msk = makeCascadeProject($sp, regions: '{82}'); // Москва
+
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+
+    expect($matched->pluck('id')->all())->toBe([$msk->id])
+        ->and($matched->first()->routing_step)->toBe(1);
+});
+
+it('step 2: falls to all-RF when no exact match', function (): void {
+    $sp = b1Supplier('s2.ru');
+    $allRu = makeCascadeProject($sp, regions: '{}'); // вся РФ
+
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+
+    expect($matched->pluck('id')->all())->toBe([$allRu->id])
+        ->and($matched->first()->routing_step)->toBe(2);
+});
+
+it('step 3: fallback channel when nobody subscribed to region and no all-RF', function (): void {
+    $sp = b1Supplier('s3.ru');
+    $spb = makeCascadeProject($sp, regions: '{83}'); // только Питер подписан
+
+    // resolvedSubjectCode=82 (Москва): точных нет, «вся РФ» нет → запасной канал.
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+
+    expect($matched->pluck('id')->all())->toBe([$spb->id])
+        ->and($matched->first()->routing_step)->toBe(3);
+});
+
+it('exact + all-RF combine up to cap=3, exact taking priority', function (): void {
+    $sp = b1Supplier('s4.ru');
+    $e1 = makeCascadeProject($sp, regions: '{82}');
+    $e2 = makeCascadeProject($sp, regions: '{82}');
+    $r1 = makeCascadeProject($sp, regions: '{}');
+    $r2 = makeCascadeProject($sp, regions: '{}');
+
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+
+    // Всего 3 (cap). Оба точных (step 1) обязаны быть; добор — ровно 1 «вся РФ» (step 2).
+    expect($matched)->toHaveCount(3);
+    $byStep = $matched->groupBy(fn ($p) => $p->routing_step);
+    expect($byStep->get(1)->pluck('id')->sort()->values()->all())->toBe(collect([$e1->id, $e2->id])->sort()->values()->all())
+        ->and($byStep->get(2))->toHaveCount(1);
+    expect(in_array($byStep->get(2)->first()->id, [$r1->id, $r2->id], true))->toBeTrue();
+});
+
+it('null resolvedSubjectCode skips exact, uses all-RF', function (): void {
+    $sp = b1Supplier('s5.ru');
+    $allRu = makeCascadeProject($sp, regions: '{}');
+    $exact = makeCascadeProject($sp, regions: '{82}');
+
+    // Резолвер не сработал → шаг 1 пропускается; матчит только «вся РФ».
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: null);
+
+    expect($matched->pluck('id')->all())->toBe([$allRu->id])
+        ->and($matched->first()->routing_step)->toBe(2);
+});
+
+it('cascade works for DIRECT supplier_project path too', function (): void {
+    $sp = SupplierProject::query()->create([
+        'platform' => 'DIRECT', 'signal_type' => 'site', 'unique_key' => 'cashmotor.ru',
+        'subject_code' => 82, 'current_limit' => 0, 'sync_status' => 'ok',
+    ]);
+    $msk = makeCascadeProject($sp, regions: '{82}');
+    $spb = makeCascadeProject($sp, regions: '{83}');
+
+    $matched = seededRouter()->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+
+    expect($matched->pluck('id')->all())->toBe([$msk->id])
+        ->and($matched->first()->routing_step)->toBe(1);
+});
+
+it('backward compat: no second arg behaves as all-RF/any (existing call shape)', function (): void {
+    $sp = b1Supplier('s7.ru');
+    $allRu = makeCascadeProject($sp, regions: '{}');
+
+    // Старая сигнатура (без 2-го аргумента) — дефолт null → шаг 2 all-RF матчит '{}'.
+    $matched = seededRouter()->matchEligibleProjects($sp);
+
+    expect($matched->pluck('id')->all())->toBe([$allRu->id]);
+});
+
+it('variant В: weighted pick — small client never starved, big client wins more often', function (): void {
+    $sp = b1Supplier('fair.ru');
+    // 5 клиентов на Москву, разный остаток лимита.
+    $a = makeCascadeProject($sp, regions: '{82}', dailyLimit: 100); // остаток 100
+    $b = makeCascadeProject($sp, regions: '{82}', dailyLimit: 50);
+    $c = makeCascadeProject($sp, regions: '{82}', dailyLimit: 30);
+    $d = makeCascadeProject($sp, regions: '{82}', dailyLimit: 20);
+    $e = makeCascadeProject($sp, regions: '{82}', dailyLimit: 10);  // остаток 10 — самый маленький
+
+    $wins = [];
+    $seedCount = 120;
+    for ($seed = 0; $seed < $seedCount; $seed++) {
+        $matched = seededRouter($seed)->matchEligibleProjects($sp, resolvedSubjectCode: 82);
+        expect($matched)->toHaveCount(3); // лид всегда раздаётся ровно троим
+        foreach ($matched as $p) {
+            $wins[$p->id] = ($wins[$p->id] ?? 0) + 1;
+        }
+    }
+
+    // (1) Мелкого не отрезаем: за 120 розыгрышей хотя бы раз получил лид.
+    expect($wins[$e->id] ?? 0)->toBeGreaterThan(0);
+    // (2) Вес уважается: крупный клиент выигрывает строго чаще мелкого.
+    expect($wins[$a->id] ?? 0)->toBeGreaterThan($wins[$e->id] ?? 0);
+});
+
+it('variant В: deterministic — same seed yields same recipients', function (): void {
+    $sp = b1Supplier('det.ru');
+    makeCascadeProject($sp, regions: '{82}', dailyLimit: 100);
+    makeCascadeProject($sp, regions: '{82}', dailyLimit: 50);
+    makeCascadeProject($sp, regions: '{82}', dailyLimit: 30);
+    makeCascadeProject($sp, regions: '{82}', dailyLimit: 20);
+
+    $first = seededRouter(7)->matchEligibleProjects($sp, resolvedSubjectCode: 82)->pluck('id')->all();
+    $second = seededRouter(7)->matchEligibleProjects($sp, resolvedSubjectCode: 82)->pluck('id')->all();
+
+    expect($first)->toBe($second)->and($first)->toHaveCount(3);
+});
@@ -0,0 +1,70 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Models\SupplierLead;
+use App\Services\Dto\RegionResolution;
+
+it('exposes the source rank ordering dadata>rossvyaz>tag>unknown', function (): void {
+    expect(RegionResolution::SOURCE_RANK)->toBe([
+        'dadata' => 4, 'rossvyaz' => 3, 'tag' => 2, 'unknown' => 1,
+    ]);
+});
+
+it('make sets actualSubjectCode equal to subjectCode', function (): void {
+    $r = RegionResolution::make(82, 'dadata', operator: 'МТС', qc: 0);
+
+    expect($r->subjectCode)->toBe(82)
+        ->and($r->actualSubjectCode)->toBe(82)
+        ->and($r->source)->toBe('dadata')
+        ->and($r->phoneOperator)->toBe('МТС')
+        ->and($r->qc)->toBe(0)
+        ->and($r->cacheHit)->toBeFalse()
+        ->and($r->rossvyazMatched)->toBeFalse();
+});
+
+it('fromTag builds a tag-sourced resolution', function (): void {
+    $r = RegionResolution::fromTag(82);
+
+    expect($r->subjectCode)->toBe(82)
+        ->and($r->source)->toBe('tag')
+        ->and($r->phoneOperator)->toBeNull();
+});
+
+it('fromSupplierLead reconstructs a persisted resolution (idempotency)', function (): void {
+    $lead = new SupplierLead([
+        'resolved_subject_code' => 83,
+        'region_source' => 'dadata',
+        'dadata_qc' => 0,
+        'phone_operator' => 'МегаФон',
+    ]);
+
+    $r = RegionResolution::fromSupplierLead($lead);
+
+    expect($r->subjectCode)->toBe(83)
+        ->and($r->source)->toBe('dadata')
+        ->and($r->phoneOperator)->toBe('МегаФон')
+        ->and($r->qc)->toBe(0);
+});
+
+it('withCacheHit flips the flag and clears the per-call masked response', function (): void {
+    $r = RegionResolution::make(82, 'dadata', operator: 'МТС', qc: 0, dadataMasked: ['phone' => '7916***4567']);
+
+    $hit = $r->withCacheHit(true);
+
+    expect($hit->cacheHit)->toBeTrue()
+        ->and($hit->subjectCode)->toBe(82)
+        ->and($hit->dadataResponseMasked)->toBeNull();
+});
+
+it('forCache strips per-call fields before storing', function (): void {
+    $r = RegionResolution::make(82, 'dadata', operator: 'МТС', qc: 0, dadataMasked: ['phone' => 'x'], durationMs: 120);
+
+    $c = $r->forCache();
+
+    expect($c->dadataResponseMasked)->toBeNull()
+        ->and($c->durationMs)->toBeNull()
+        ->and($c->cacheHit)->toBeFalse()
+        ->and($c->subjectCode)->toBe(82)
+        ->and($c->phoneOperator)->toBe('МТС');
+});
@@ -0,0 +1,94 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Services\Dto\RossvyazRecord;
+use App\Services\RossvyazPrefixLookup;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+/**
+ * Вставляет строку-журнал импорта и возвращает её id (import_id для phone_ranges).
+ */
+function seedRossvyazImport(): int
+{
+    return (int) DB::table('phone_ranges_imports')->insertGetId([
+        'source_url' => 'https://rossvyaz.gov.ru/test',
+        'checksum_sha256' => str_repeat('a', 64),
+        'status' => 'completed',
+        'imported_at' => now(),
+    ]);
+}
+
+/**
+ * @param  array<string, mixed>  $overrides
+ */
+function seedPhoneRange(array $overrides = []): void
+{
+    DB::table('phone_ranges')->insert(array_merge([
+        'def_code' => 921,
+        'from_num' => 5550000,
+        'to_num' => 5559999,
+        'operator' => 'МегаФон',
+        'region' => 'Санкт-Петербург',
+        'subject_code' => 83,
+        'imported_at' => now(),
+        'import_id' => seedRossvyazImport(),
+    ], $overrides));
+}
+
+it('mobile prefix returns correct region and operator', function (): void {
+    seedPhoneRange();
+
+    $rec = app(RossvyazPrefixLookup::class)->find('79215555123');
+
+    expect($rec)->toBeInstanceOf(RossvyazRecord::class)
+        ->and($rec->subjectCode)->toBe(83)
+        ->and($rec->region)->toBe('Санкт-Петербург')
+        ->and($rec->operator)->toBe('МегаФон');
+});
+
+it('prefers narrower range when two ranges overlap', function (): void {
+    $importId = seedRossvyazImport();
+    // Широкий диапазон (вся 495-зона) — Московская область (56).
+    seedPhoneRange([
+        'def_code' => 495, 'from_num' => 1000000, 'to_num' => 9999999,
+        'operator' => 'Ростелеком', 'region' => 'Московская область',
+        'subject_code' => 56, 'import_id' => $importId,
+    ]);
+    // Узкий диапазон внутри — Москва (82). Должен выиграть (ORDER BY width ASC).
+    seedPhoneRange([
+        'def_code' => 495, 'from_num' => 2000000, 'to_num' => 2009999,
+        'operator' => 'МГТС', 'region' => 'Москва',
+        'subject_code' => 82, 'import_id' => $importId,
+    ]);
+
+    $rec = app(RossvyazPrefixLookup::class)->find('74952005000');
+
+    expect($rec)->not->toBeNull()
+        ->and($rec->subjectCode)->toBe(82)
+        ->and($rec->region)->toBe('Москва');
+});
+
+it('returns null for unknown prefix', function (): void {
+    seedPhoneRange(); // только def_code=921
+
+    expect(app(RossvyazPrefixLookup::class)->find('79991234567'))->toBeNull();
+});
+
+it('returns null when subscriber number is outside any range', function (): void {
+    seedPhoneRange(['def_code' => 921, 'from_num' => 5550000, 'to_num' => 5559999]);
+
+    // def_code совпадает (921), но subscriber 4440000 вне [5550000, 5559999]
+    expect(app(RossvyazPrefixLookup::class)->find('79214440000'))->toBeNull();
+});
+
+it('returns null for malformed phone', function (): void {
+    seedPhoneRange();
+
+    expect(app(RossvyazPrefixLookup::class)->find('123'))->toBeNull();
+});
@@ -104,7 +104,6 @@ test("LeadRouter видит проекты всех tenant'ов под pgsql_sup
            'project_id' => $project->id,
            'supplier_project_id' => $supplier->id,
            'platform' => $supplier->platform,
-            // @phpstan-ignore-next-line property.notFound — subject_code is in $fillable/casts, IDE stubs lag
            'subject_code' => $supplier->subject_code,
        ]);
        createRoutingSnapshotFromProject($project, null, 'site', 'plan3-task3-warn2.example.com', 10);
@@ -0,0 +1,178 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Jobs\RouteSupplierLeadJob;
+use App\Models\SupplierLead;
+use App\Models\SupplierProject;
+use App\Services\Billing\LedgerService;
+use App\Services\LeadDistributor;
+use App\Services\LeadRouter;
+use App\Services\NotificationService;
+use App\Services\RegionTagResolver;
+use App\Services\SupplierProjects\SupplierProjectResolver;
+use Illuminate\Foundation\Testing\DatabaseTransactions;
+use Illuminate\Support\Facades\DB;
+use Tests\Concerns\SharesSupplierPdo;
+
+/**
+ * Task 2 plan 2026-05-29-supplier-webhook-fast-fail-and-stuck-cleanup.md
+ *
+ * Tests the fast-fail guard in RouteSupplierLeadJob::handle():
+ * if supplier_lead.error contains a terminal pattern ('does not support',
+ * 'platform mismatch', 'no matching supplier_project') and processed_at IS NULL,
+ * the job marks processed and exits without writing to failed_webhook_jobs.
+ *
+ * Correction 1/2: uses RouteSupplierLeadJob (not ProcessSupplierWebhookJob).
+ * Correction 3: fast-fail inserted between the 2 existing idempotency guards
+ * and parseProjectField call.
+ */
+uses(DatabaseTransactions::class);
+uses(SharesSupplierPdo::class);
+
+// ---------- helpers --------------------------------------------------------
+
+function dispatchHandleSync(int $leadId): void
+{
+    $job = new RouteSupplierLeadJob($leadId);
+    $job->handle(
+        app(LeadRouter::class),
+        app(SupplierProjectResolver::class),
+        app(NotificationService::class),
+        app(LedgerService::class),
+        app(LeadDistributor::class),
+        app(RegionTagResolver::class),
+    );
+}
+
+function countFailedWebhookJobs(): int
+{
+    return (int) DB::connection('pgsql_supplier')->table('failed_webhook_jobs')->count();
+}
+
+// ---------- setup ----------------------------------------------------------
+
+beforeEach(function (): void {
+    // Ensure pgsql_supplier sees the same transaction via shared PDO.
+    DB::connection('pgsql_supplier')->table('failed_webhook_jobs')->delete();
+    // Create one shared SupplierProject so all tests in this file share it —
+    // avoids unique constraint violations from repeated factory calls.
+    $this->sharedProject = SupplierProject::factory()->create([
+        'platform' => 'B1',
+        'signal_type' => 'call',
+        'unique_key' => 'fast-fail-test-'.uniqid(),
+    ]);
+});
+
+// ---------- tests ----------------------------------------------------------
+
+it('fast-fails when supplier_lead has terminal "does not support" error and processed_at IS NULL', function (): void {
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'platform' => 'B1',
+        'error' => 'B1 platform does not support SMS signals (supplier limitation: chk_supplier_projects_b1_not_for_sms)',
+        'processed_at' => null,
+    ]);
+
+    $beforeFails = countFailedWebhookJobs();
+
+    dispatchHandleSync($lead->id);
+
+    $afterFails = countFailedWebhookJobs();
+    expect($afterFails)->toBe($beforeFails, 'fast-fail must not write to failed_webhook_jobs');
+
+    $fresh = $lead->fresh();
+    expect($fresh?->processed_at)->not->toBeNull('fast-fail must mark processed_at');
+    expect($fresh?->error)->toContain('[fast-failed by RouteSupplierLeadJob]');
+});
+
+it('fast-fails when error contains "platform mismatch"', function (): void {
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'platform' => 'B2',
+        'error' => 'Routing failed: platform mismatch for this lead type',
+        'processed_at' => null,
+    ]);
+
+    $beforeFails = countFailedWebhookJobs();
+    dispatchHandleSync($lead->id);
+
+    expect(countFailedWebhookJobs())->toBe($beforeFails);
+    expect($lead->fresh()?->processed_at)->not->toBeNull();
+});
+
+it('fast-fails when error contains "no matching supplier_project"', function (): void {
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'platform' => 'B3',
+        'error' => 'no matching supplier_project found for identifier ваши_деньги',
+        'processed_at' => null,
+    ]);
+
+    $beforeFails = countFailedWebhookJobs();
+    dispatchHandleSync($lead->id);
+
+    expect(countFailedWebhookJobs())->toBe($beforeFails);
+    expect($lead->fresh()?->processed_at)->not->toBeNull();
+});
+
+it('does NOT fast-fail when lead error is null (normal new lead)', function (): void {
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'platform' => 'B1',
+        'error' => null,
+        'processed_at' => null,
+    ]);
+
+    // Normal path will throw (no matching supplier_project in test env) — that's OK.
+    // The important thing: no fast-fail terminal mark has been set on the lead.
+    try {
+        dispatchHandleSync($lead->id);
+    } catch (Throwable) {
+        // expected
+    }
+
+    $fresh = $lead->fresh();
+    $wasFastFailed = $fresh?->processed_at !== null
+        && str_contains($fresh?->error ?? '', '[fast-failed by RouteSupplierLeadJob]');
+    expect($wasFastFailed)->toBeFalse('must not fast-fail a lead with no prior error');
+});
+
+it('does NOT fast-fail when lead already has processed_at set (idempotency guard fires first)', function (): void {
+    $processedAt = now()->subMinutes(5);
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'error' => 'B1 platform does not support SMS signals',
+        'processed_at' => $processedAt,
+    ]);
+
+    // Should return early due to processed_at guard, not the fast-fail guard.
+    dispatchHandleSync($lead->id);
+
+    // processed_at must remain unchanged (not overwritten by fast-fail)
+    $fresh = $lead->fresh();
+    expect($fresh?->processed_at?->toDateTimeString())
+        ->toBe($processedAt->toDateTimeString(), 'processed_at must not change when already set');
+    // error must not get the fast-fail suffix
+    expect($fresh?->error)->not->toContain('[fast-failed by RouteSupplierLeadJob]');
+});
+
+it('does NOT fast-fail for transient connection errors not matching terminal patterns', function (): void {
+    $lead = SupplierLead::factory()->create([
+        'supplier_project_id' => $this->sharedProject->id,
+        'platform' => 'B1',
+        'error' => 'Connection refused to PostgreSQL at 127.0.0.1',
+        'processed_at' => null,
+    ]);
+
+    try {
+        dispatchHandleSync($lead->id);
+    } catch (Throwable) {
+        // expected — transient errors may rethrow
+    }
+
+    $fresh = $lead->fresh();
+    $wasFastFailed = $fresh?->processed_at !== null
+        && str_contains($fresh?->error ?? '', '[fast-failed by RouteSupplierLeadJob]');
+    expect($wasFastFailed)->toBeFalse('transient errors must not trigger fast-fail');
+});
@@ -2,7 +2,9 @@

 use App\Models\Project;
 use App\Models\SupplierProject;
+use Carbon\Carbon;
 use Illuminate\Foundation\Testing\RefreshDatabase;
+use Illuminate\Support\Facades\Date;
 use Illuminate\Support\Facades\DB;
 use Tests\TestCase;

@@ -69,7 +71,6 @@ function linkProjectToSupplier(Project $project, SupplierProject $supplier): voi
        'project_id' => $project->id,
        'supplier_project_id' => $supplier->id,
        'platform' => $supplier->platform,
-        // @phpstan-ignore-next-line property.notFound — subject_code is in $fillable/casts, IDE stubs lag
        'subject_code' => $supplier->subject_code,
    ]);
 }
@@ -106,7 +107,7 @@ function insertSnapshotForTomorrow(
    ?int $deliveryDaysMask = null,
    string $regions = '{}',
 ): void {
-    $tomorrow = \Carbon\Carbon::tomorrow('Europe/Moscow')->toDateString();
+    $tomorrow = Carbon::tomorrow('Europe/Moscow')->toDateString();
    DB::table('project_routing_snapshots')->insert([
        'snapshot_date' => $tomorrow,
        'project_id' => $project->id,
@@ -120,7 +121,7 @@ function insertSnapshotForTomorrow(
        'sms_keyword' => null,
        'expected_volume' => $dailyLimit ?? (int) ($project->daily_limit_target ?? 10),
        'delivered_count' => 0,
-        'created_at' => \Illuminate\Support\Facades\Date::now(),
+        'created_at' => Date::now(),
    ]);
 }

@@ -130,20 +131,21 @@ function createRoutingSnapshotFromProject(
    string $signalType = 'call',
    ?string $signalIdentifier = null,
    ?int $dailyLimit = null,
+    string $regions = '{}',
 ): void {
    DB::table('project_routing_snapshots')->insert([
-        'snapshot_date' => $date ?? \Carbon\Carbon::today('Europe/Moscow')->toDateString(),
+        'snapshot_date' => $date ?? Carbon::today('Europe/Moscow')->toDateString(),
        'project_id' => $project->id,
        'tenant_id' => $project->tenant_id,
        'daily_limit' => $dailyLimit ?? (int) ($project->effective_daily_limit_today ?? $project->daily_limit_target),
        'delivery_days_mask' => (int) ($project->delivery_days_mask ?? 127),
-        'regions' => '{}',
+        'regions' => $regions,
        'signal_type' => $signalType,
        'signal_identifier' => $signalIdentifier,
        'sms_senders' => null,
        'sms_keyword' => null,
        'expected_volume' => $dailyLimit ?? (int) ($project->effective_daily_limit_today ?? $project->daily_limit_target),
        'delivered_count' => 0,
-        'created_at' => \Illuminate\Support\Facades\Date::now(),
+        'created_at' => Date::now(),
    ]);
 }
@@ -0,0 +1,38 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Services\Audit\AuditChainConfig;
+
+it('exposes all 6 audit tables', function (): void {
+    expect(array_keys(AuditChainConfig::TABLES))->toEqual([
+        'auth_log',
+        'activity_log',
+        'tenant_operations_log',
+        'balance_transactions',
+        'pd_processing_log',
+        'saas_admin_audit_log',
+    ]);
+});
+
+it('activity_log uses PARTITION BY tenant_id', function (): void {
+    expect(AuditChainConfig::TABLES['activity_log']['partition'])
+        ->toEqual('PARTITION BY tenant_id');
+});
+
+it('auth_log and saas_admin_audit_log use global chain (empty partition)', function (): void {
+    expect(AuditChainConfig::TABLES['auth_log']['partition'])->toEqual('');
+    expect(AuditChainConfig::TABLES['saas_admin_audit_log']['partition'])->toEqual('');
+});
+
+it('rowExpression builds ROW(...) with NULL::bytea at __log_hash__ position', function (): void {
+    $expr = AuditChainConfig::rowExpression('activity_log');
+    expect($expr)->toEqual(
+        'ROW(t.id, t.tenant_id, t.user_id, t.deal_id, t.event, t.old_value, '
+        .'t.new_value, t.context, t.ip_address, t.user_agent, NULL::bytea, t.created_at)'
+    );
+});
+
+it('rowExpression throws on unknown table', function (): void {
+    AuditChainConfig::rowExpression('unknown_table');
+})->throws(InvalidArgumentException::class);
@@ -0,0 +1,10 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Services\MonthlyPartitionManager;
+
+it('knows lead_region_resolution_log partition key', function (): void {
+    expect(MonthlyPartitionManager::PARTITIONED_TABLES)->toHaveKey('lead_region_resolution_log');
+    expect(MonthlyPartitionManager::PARTITIONED_TABLES['lead_region_resolution_log'])->toBe('received_at');
+});
@@ -0,0 +1,35 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Support\DaDataRegionMap;
+use App\Support\RussianRegions;
+
+it('maps exact official names via RussianRegions', function (): void {
+    expect(DaDataRegionMap::toSubjectCode('Москва'))->toBe(82)
+        ->and(DaDataRegionMap::toSubjectCode('Московская область'))->toBe(56)
+        ->and(DaDataRegionMap::toSubjectCode('Санкт-Петербург'))->toBe(83)
+        ->and(DaDataRegionMap::toSubjectCode('Ленинградская область'))->toBe(53);
+});
+
+it('trims surrounding whitespace before mapping', function (): void {
+    expect(DaDataRegionMap::toSubjectCode('  Москва  '))->toBe(82);
+});
+
+it('flags ambiguous agglomeration strings', function (): void {
+    expect(DaDataRegionMap::isAmbiguous('Санкт-Петербург и область'))->toBeTrue()
+        ->and(DaDataRegionMap::isAmbiguous('Москва и область'))->toBeTrue()
+        ->and(DaDataRegionMap::isAmbiguous('Москва'))->toBeFalse()
+        ->and(DaDataRegionMap::isAmbiguous('Санкт-Петербург'))->toBeFalse();
+});
+
+it('returns null for unmappable region', function (): void {
+    expect(DaDataRegionMap::toSubjectCode('Атлантида'))->toBeNull()
+        ->and(DaDataRegionMap::toSubjectCode(''))->toBeNull();
+});
+
+it('resolves all 89 RussianRegions names', function (): void {
+    foreach (RussianRegions::CODE_TO_NAME as $code => $name) {
+        expect(DaDataRegionMap::toSubjectCode($name))->toBe($code);
+    }
+});
@@ -0,0 +1,102 @@
+<?php
+
+declare(strict_types=1);
+
+use App\Support\RussianRegions;
+
+/**
+ * Нормализация регионов реестра Россвязи → subject_code.
+ * Кейсы взяты из реальных топ-50 unmapped-форматов прод-реестра (02.06.2026).
+ */
+it('maps cities of federal significance with the г. prefix', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Москва'))->toBe(82)
+        ->and(RussianRegions::resolveSubjectCode('г. Санкт-Петербург'))->toBe(83)
+        ->and(RussianRegions::resolveSubjectCode('г. Севастополь'))->toBe(84);
+});
+
+it('still maps a plain canonical federal-city name', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Москва'))->toBe(82);
+});
+
+it('takes the last pipe segment as the subject region', function (): void {
+    // регион = последний сегмент после |
+    expect(RussianRegions::resolveSubjectCode('г. Оренбург|Оренбургская обл.'))->toBe(62)
+        ->and(RussianRegions::resolveSubjectCode('г. Воскресенск|р-н Воскресенский|Московская обл.'))->toBe(56);
+});
+
+it('expands the обл. abbreviation to область', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Иркутск|Иркутская обл.'))->toBe(45)
+        ->and(RussianRegions::resolveSubjectCode('г. Балашиха|Московская обл.'))->toBe(56);
+});
+
+it('keeps already-canonical край/республика segments', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Красноярск|Красноярский край'))->toBe(29)
+        ->and(RussianRegions::resolveSubjectCode('г. Уфа|Республика Башкортостан'))->toBe(3);
+});
+
+it('reorders the Удмуртская Республика inverted form', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Ижевск|Республика Удмуртская'))->toBe(21);
+});
+
+it('maps the Кузбасс special form to Кемеровская область', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Кемерово|Кемеровская область - Кузбасс обл.'))->toBe(48);
+});
+
+it('returns null for hopeless / ambiguous / city-only strings', function (string $raw): void {
+    expect(RussianRegions::resolveSubjectCode($raw))->toBeNull();
+})->with([
+    '-',
+    'Российская Федерация',
+    'Москва и Московская область', // неоднозначно — два субъекта
+    'г.о. Тольятти',               // нет региона в строке
+    'г.о. город Уфа',
+    '',
+    '   ',
+]);
+
+it('exposes the canonical name via canonicalRegionName', function (): void {
+    expect(RussianRegions::canonicalRegionName('г. Оренбург|Оренбургская обл.'))->toBe('Оренбургская область')
+        ->and(RussianRegions::canonicalRegionName('г. Ижевск|Республика Удмуртская'))->toBe('Удмуртская Республика')
+        ->and(RussianRegions::canonicalRegionName('-'))->toBeNull();
+});
+
+it('expands the АО abbreviation to автономный округ', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Ненецкий АО'))->toBe(86)
+        ->and(RussianRegions::resolveSubjectCode('Чукотский АО'))->toBe(88)
+        ->and(RussianRegions::resolveSubjectCode('г. Салехард|Ямало-Ненецкий АО'))->toBe(89);
+});
+
+it('maps Ханты-Мансийск variants to ХМАО — Югра', function (): void {
+    expect(RussianRegions::resolveSubjectCode('г. Сургут|Ханты-Мансийский Автономный округ - Югра АО'))->toBe(87)
+        ->and(RussianRegions::resolveSubjectCode('Ханты-Мансийский АО - Югра'))->toBe(87)
+        ->and(RussianRegions::resolveSubjectCode('Ханты-Мансийский Автономный округ - Югра.'))->toBe(87);
+});
+
+it('reorders inverted Республика X forms', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Республика Чеченская'))->toBe(23)
+        ->and(RussianRegions::resolveSubjectCode('Республика Кабардино-Балкарская'))->toBe(8)
+        ->and(RussianRegions::resolveSubjectCode('Республика Карачаево-Черкесская'))->toBe(10)
+        ->and(RussianRegions::resolveSubjectCode('Республика Донецкая Народная'))->toBe(6)
+        ->and(RussianRegions::resolveSubjectCode('Республика Луганская Народная'))->toBe(14);
+});
+
+it('keeps Республика-first canonical names as-is', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Республика Татарстан'))->toBe(19)
+        ->and(RussianRegions::resolveSubjectCode('Республика Карелия'))->toBe(11);
+});
+
+it('handles irregular subject spellings (Саха, Чувашия, Кузбасс)', function (): void {
+    expect(RussianRegions::resolveSubjectCode('у. Мирнинский|Республика Саха /Якутия/'))->toBe(17)
+        ->and(RussianRegions::resolveSubjectCode('г. Чебоксары|Чувашская Республика - Чувашия'))->toBe(24)
+        ->and(RussianRegions::resolveSubjectCode('Кемеровская область - Кузбасс область'))->toBe(48);
+});
+
+it('maps Moscow / SPb spelling variants', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Город Москва'))->toBe(82)
+        ->and(RussianRegions::resolveSubjectCode('г. Санкт - Петербург'))->toBe(83);
+});
+
+it('normalizes spaced hyphen to em-dash (Северная Осетия — Алания)', function (): void {
+    expect(RussianRegions::resolveSubjectCode('Республика Северная Осетия - Алания'))->toBe(18)
+        ->and(RussianRegions::resolveSubjectCode('г. Владикавказ|Республика Северная Осетия - Алания'))->toBe(18);
+});
@@ -0,0 +1,5 @@
+АВС/ DEF;От;До;Емкость;Оператор;Регион
+495;2000000;2009999;10000;ОАО МГТС;г. Москва
+922;1000000;1099999;100000;ПАО Ростелеком;г. Оренбург|Оренбургская обл.
+987;5000000;5099999;100000;ПАО Ростелеком;г. Ижевск|Республика Удмуртская
+902;7000000;7009999;10000;ООО Оператор;г.о. Тольятти
@@ -0,0 +1,4 @@
+АВС/ DEF;От;До;Емкость;Оператор;Регион
+495;2000000;2009999;10000;ОАО МГТС;Москва
+921;5550000;5559999;10000;ПАО МегаФон;Санкт-Петербург
+999;0000000;0009999;10000;Тест Оператор;Атлантида
@@ -463,6 +463,10 @@ slugs
 партиционированной
 партиционированием
 партиционирована
+партиционированы
+ретраились
+сериализуются
+OID
 Партнёрка
 виртуализация
 виртуализацией
@@ -1863,3 +1867,118 @@ nohup
 сматчить
 тригернёт
 суппрессить
+вокабуляр
+Бypass
+sess
+детектирован
+fgrep
+chgrp
+shutil
+rmtree
+триггернулась
+triggerов
+флагнутые
+ambig
+deplo
+обнулился
+Ревьюер
+
+# Router-gate v3.2 (2026-05-29) — adversarial audit closure
+уйте
+инкрементирован
+матчащий
+неверифицирована
+
+# Router-gate v3.3 (2026-05-29) — v4.1 audit closure
+эскалируем
+Ctemp
+UNC
+EACCES
+
+# 2026-05-29 incident report
+lsn
+биндинги
+ретрае
+
+# 2026-05-29 f1-rebuild workflow technical terms
+psql
+euo
+coln
+esac
+cnt
+bytea
+
+# Router-gate v3.6-v3.8 — Round 5/6 audit closure terms
+# TF-IDF + PowerShell aliases + npm package names + tokenizer artifacts
+IDF
+pnpmrc
+toolu
+rnd
+iwr
+spps
+gci
+sls
+rvpa
+dxf
+misattributes
+сканится
+социалка
+
+# Router-gate v3.9 — Round 7 audit closure terms
+# System paths + Unicode normalization + multi-language scan + cspell artifacts
+exfiltration
+exfil
+NFD
+RCE
+syscall
+Inodes
+PROGRA
+resolv
+nsswitch
+ics
+HKCU
+HKLM
+fsutil
+unstar
+mvn
+popen
+брэйншторм
+стопаем
+
+# 2026-05-29 incident-followup cleanup
+notifempty
+missingok
+верифицируется
+
+# 2026-05-29 router-gate v4.0+v4.1+v4.2 specs
+todowrite
+gpgsign
+socat
+yubi
+yubikey
+амендмента
+амендмент
+спеках
+виртуалка
+виртуалки
+виртуалке
+виртуалку
+виртуалкой
+виртуалок
+виртуалкам
+субверсия
+monitorится
+промты
+мониторьте
+промтами
+guillemets
+mirror'ящий
+plan'овский
+
+# Lead region resolution (2026-05-31) — DaData / Rossvyaz region detection
+rossvyaz
+россвязь
+россвязи
+dadata
+kopecks
+qc
@@ -2,7 +2,61 @@

 **Назначение:** консолидированный журнал изменений `schema.sql`. Содержит тридцать записей в обратном хронологическом порядке (v8.33 → v8.32 → v8.31 → v8.30 → v8.29 → v8.28 → v8.27 → v8.26 → v8.25 → v8.24 → v8.23 → v8.22 → v8.21 → v8.20 → v8.19 → v8.18 → v8.17 → v8.16 → v8.15 → v8.14 → v8.13 → v8.12 → v8.11 → v8.10 → v8.9 → v8.8 → v8.7 → v8.6 → v8.5 → v8.4 → v8.3 → v8.2), как принято в keep-a-changelog.

-**Файл схемы:** `schema.sql` (текущая версия — v8.39, консолидированная — разворачивает БД с нуля).
+**Файл схемы:** `schema.sql` (текущая версия — v8.40, консолидированная — разворачивает БД с нуля).
+
+## v8.40 (2026-05-31) — lead region resolution (phone_ranges + resolution_log + supplier_leads/deals columns)
+
+Резолюция настоящего региона лида по телефону (DaData → реестр Россвязи → tag-fallback)
+и переключение `LeadRouter` на каскадную маршрутизацию по региону. Эта запись покрывает
+только схемные изменения Session 1 (таблицы и колонки); бизнес-логика — в последующих сессиях.
+
+Спека: `docs/superpowers/specs/2026-05-29-lead-region-resolution-design.md` v0.5.
+План: `docs/superpowers/plans/2026-05-29-lead-region-resolution.md`.
+Миграция: `app/database/migrations/2026_05_31_100000_create_phone_ranges_and_resolution_log.php`.
+
+**Добавлено:**
+
+- **`phone_ranges_imports`** — журнал импортов реестра Россвязи (SaaS-level, без RLS).
+  Поля: `source_url`, `rows_inserted`/`rows_updated`, `checksum_sha256`, `status`
+  (`in_progress`/`completed`/`failed`/`rolled_back`), `error`, `completed_at`.
+  GRANT SELECT `crm_app_user` + `crm_supplier_worker`.
+- **`phone_ranges`** — реестр диапазонов нумерации Россвязи (SaaS-level, без RLS — публичные данные).
+  Поля: `def_code` (код ABC/DEF), `from_num`/`to_num`, `operator`, `region`, `region_normalized`,
+  `subject_code` (1..89), `imported_at`, `import_id`→`phone_ranges_imports`. 3 CHECK
+  (`def_code` 300..999, `subject_code` 1..89, `from_num` ≤ `to_num`). Индекс
+  `idx_phone_ranges_lookup (def_code, from_num, to_num)`. GRANT SELECT `crm_app_user` + `crm_supplier_worker`.
+- **`lead_region_resolution_log`** — PARTITION BY RANGE (`received_at`), composite PK
+  `(id, received_at)`. Аудит резолва региона на лид: `phone_masked`, `subject_code_resolved`/
+  `subject_code_from_tag`, `region_source` (`dadata`/`rossvyaz`/`tag`/`unknown`), `dadata_qc`/
+  `dadata_provider`/`dadata_type`/`dadata_response_masked` (JSONB), `rossvyaz_matched`,
+  `actual_subject_code`/`substituted_subject_code` (1..89), `routing_step` (1..3),
+  `phone_operator`, `cache_hit`, `duration_ms`, `resolved_at`. Индексы `idx_lrrl_lead_id` +
+  `idx_lrrl_source (region_source, received_at)`. GRANT SELECT,INSERT `crm_supplier_worker` /
+  SELECT `crm_app_user`. Стартовые партиции `lead_region_resolution_log_y2026_m05`, `_y2026_m06`.
+- **`MonthlyPartitionManager::PARTITIONED_TABLES`** +entry `'lead_region_resolution_log' => 'received_at'`.
+- **`system_settings`** +key `partition_retention_months_lead_region_resolution_log = '12'` (retention ~365 дней).
+
+**Изменено:**
+
+- **`supplier_leads`** +4 колонки: `resolved_subject_code` (CHECK 1..89), `region_source`
+  (CHECK `dadata`/`rossvyaz`/`tag`/`unknown`), `dadata_qc`, `phone_operator`. Persistent-idempotency
+  резолва (retry не повторяет DaData-вызов).
+- **`deals`** +2 колонки: `phone_operator`, `region_substituted` BOOLEAN NOT NULL DEFAULT FALSE
+  (флаг подмены региона на запасном канале — `routing_step` 3).
+
+**NB консолидация:** как и v8.39 (`project_routing_snapshots`), полный DDL живёт в дельта-миграции,
+а не в теле `schema.sql` — тело отражает последнюю точку консолидации, заголовок/CHANGELOG ведут
+дельты. Свежий деплой: миграция `0001` грузит `schema.sql` → дельта-миграция `2026_05_31` добавляет
+эти объекты. Иначе был бы двойной `CREATE TABLE` (0001 + дельта) и `migrate` упал бы.
+
+**NB GRANT'ы:** план Task 1.3 указывал `crm_readonly`, но этой роли на dev/прод нет —
+фактические GRANT'ы выданы `crm_app_user` + `crm_supplier_worker` (проверено по `pg_roles`).
+
+**NB 152-ФЗ:** `phone_masked` в логе — маскированный телефон (`7XXX***YYYY`), `dadata_response_masked`
+хранит ответ DaData без сырого номера (spec §7.1). Полное `pg_anonymizer`-маскирование —
+шаг раскатки (spec §7.2), вне Session 1.
+
+---

 ## v8.39 (2026-05-27) — project_routing_snapshots (Slepok routing Этап 2)

@@ -1,6 +1,7 @@
 -- =============================================================================
 -- schema.sql — единая схема БД для SaaS-аналога crm.bp-gr.ru («Лидерра»)
-- Версия: v8.39 (27.05.2026 — project_routing_snapshots: новая партиционированная таблица снимков маршрутизации (PARTITION BY RANGE (snapshot_date)), composite PK (snapshot_date, project_id), FK tenant_id→tenants, RLS tenant isolation, MonthlyPartitionManager +entry, retention 3m. Slepok routing Этап 2)
+-- Версия: v8.40 (31.05.2026 — lead region resolution Session 1: phone_ranges_imports + phone_ranges (реестр Россвязи, SaaS-level без RLS, idx_phone_ranges_lookup), lead_region_resolution_log (PARTITION BY RANGE (received_at), composite PK (id, received_at), аудит резолва региона на лид), supplier_leads +4 колонки (resolved_subject_code/region_source/dadata_qc/phone_operator), deals +2 колонки (phone_operator/region_substituted). MonthlyPartitionManager +entry, retention 12m. Миграция 2026_05_31_100000, план docs/superpowers/plans/2026-05-29-lead-region-resolution.md. DDL — в дельта-миграции, не в теле (как v8.39))
+-- Базовая версия: v8.39 (27.05.2026 — project_routing_snapshots: новая партиционированная таблица снимков маршрутизации (PARTITION BY RANGE (snapshot_date)), composite PK (snapshot_date, project_id), FK tenant_id→tenants, RLS tenant isolation, MonthlyPartitionManager +entry, retention 3m. Slepok routing Этап 2)
 -- Базовая версия: v8.38 (26.05.2026 — projects.paused_at TIMESTAMPTZ + projects_paused_at_idx: anchor для SupplierSnapshotGuard. Защита от убытка при удалении/смене источника проекта, пока поставщик может прислать лиды по уже сделанному слепку — docs/superpowers/plans/2026-05-26-supplier-snapshot-guard.md)
 -- Базовая версия: v8.37 (25.05.2026 — supplier_*.platform VARCHAR(4)→VARCHAR(8) + chk_supplier_projects_platform / chk_psl_platform / chk_supplier_leads_platform расширены до IN(B1,B2,B3,DIRECT); +seed suppliers.code='direct'. Phase 3 supplier webhook reliability — приём проектов без B-префикса end-to-end)
 -- Базовая версия: v8.36 (25.05.2026 — supplier_csv_reconcile_log.unparseable_count: учёт мусорных CSV-строк, вычитание из drift-формулы → убирает false-positive drift_alert от телефонов/URL в поле project)
@@ -42,3 +42,29 @@ narrow for dependency-direction rules.
 The layer rules live in `app/deptrac.yaml`, enforced by lefthook pre-commit
 job 10 (`deptrac analyse`) — not by an `adr-judge` regex. This ADR therefore
 carries no `adr-judge`-parsed Enforcement clause.
+
+## Amendments
+
+### 2026-05-29 — Mail ⟶ Service value objects allowed
+
+After Stage 4 slepok routing protection rollout, billing introduced
+`PreflightResult` (`app/Services/Billing/PreflightResult.php`) — a value
+object representing a pre-flight check result, used by Mail templates
+(`BalanceFrozenReminderMail`, `BalanceUnfrozenMail`, `BalanceFrozenMail`,
+`BalanceFrozenFinalMail`) для рендера email с runtime данными.
+
+Original ruleset: `Mail: [Model]` — blocked Mail ⟶ Service deps.
+4 pre-existing violations accumulated, unnoticed until incident 2026-05-29
+(`docs/incidents/2026-05-29-disk-full-pg-recovery.md`) forced first PHP commit.
+
+**Decision:** Mail layer **может** depend на Service value objects (DTOs,
+readonly result classes). Это template-rendering legitimate need: Mail
+получает data DTO от Service и рендерит — no business logic, just data
+projection.
+
+Updated ruleset: `Mail: [Model, Service]`. Result: 0 violations.
+
+**NB:** этот allowance не открывает Mail к active Service calls (e.g. invoking
+`LedgerService::charge()` из template). Convention: Mail может только **read**
+readonly Service DTOs, не вызывать mutating Service methods. Enforcement
+этого convention pending — currently deptrac granularity layer-level only.
@@ -0,0 +1,230 @@
+# ADR-018: Audit hash-chain semantics — per-tenant (через RLS scope) canonical
+
+- **Status:** Accepted
+- **Date:** 2026-05-29
+- **Deciders:** User: Дмитрий (business policy 152-ФЗ)
+
+## Context
+
+Портал ведёт 6 append-only audit-таблиц с криптографической SHA-256 hash-chain
+для tamper-detection (требование 152-ФЗ ст.18 ч.2):
+`auth_log`, `activity_log`, `tenant_operations_log`, `pd_processing_log`,
+`saas_admin_audit_log`, `balance_transactions`. Каждая запись содержит
+`log_hash = sha256(prev_log_hash || ROW(...)::text)`, где `prev_log_hash`
+берётся из последней предыдущей записи. UPDATE/DELETE заблокированы
+триггером `audit_block_mutation` ([db/schema.sql:3134-3138](../../db/schema.sql#L3134)).
+
+Все 6 таблиц партиционированы по месяцам (RANGE по `created_at`).
+
+**Инцидент 29.05.2026** (`docs/incidents/2026-05-29-disk-full-pg-recovery.md`):
+переполнение диска вызвало race condition в trigger `audit_chain_hash()` —
+часть concurrent INSERT'ов создали ветвление цепочки. Был выпущен migration
+`2026_05_30_000001_add_advisory_lock_to_audit_chain_hash.php` с
+`pg_advisory_xact_lock`, race закрыт. Затем запущена команда `audit:rebuild-chain`
+для пересчёта повреждённых партиций.
+
+После rebuild `audit:verify-chains` показал:
+
+- `balance_transactions_y2026_m05` — 0 mismatches ✅
+- `activity_log_y2026_m05` — 6 mismatches остаются (multi-tenant rows)
+
+При анализе обнаружилась несогласованность между тремя местами кода, которые
+работают с цепочкой:
+
+| Место | Файл | Семантика |
+|---|---|---|
+| **Writer** (trigger) | [db/schema.sql:3107-3127](../../db/schema.sql#L3107) `audit_chain_hash()` | `SELECT log_hash FROM <partition> ORDER BY id DESC LIMIT 1` под RLS вставляющей сессии — **видит только rows своего tenant'а** (для tenant-таблиц), то есть фактически **per-tenant chain** |
+| **Verify** | [app/app/Console/Commands/VerifyAuditChains.php:130-146](../../app/app/Console/Commands/VerifyAuditChains.php#L130) | `LAG(log_hash) OVER (PARTITION BY tenant_id ORDER BY id)` — корректно воспроизводит per-tenant scope триггера |
+| **Rebuild** | [app/app/Console/Commands/AuditRebuildChain.php:135-180](../../app/app/Console/Commands/AuditRebuildChain.php#L135) | `SET session_replication_role=replica` + global `ORDER BY id` без PARTITION BY — **не воспроизводит RLS scope**, делает global chain |
+
+Writer и Verify согласованы по per-tenant семантике (через RLS на стороне БД).
+Rebuild делает global chain — это **bug**, потому что он запускается под
+admin-сессией без RLS-контекста tenant'а и не воспроизводит реальную логику
+триггера. 6 mismatches в `activity_log_y2026_m05` — следствие неправильного
+rebuild'а, не оригинальной порчи.
+
+`saas_admin_audit_log` и `auth_log` пишутся всегда под BYPASSRLS-ролями
+(saas-admin INSERT'ы / pre-auth INSERT'ы) — для них trigger даёт global chain
+внутри партиции, и `VerifyAuditChains` использует `partition: ''` (без
+PARTITION BY) — это согласовано, mismatches там нет.
+
+ADR-002 (multi-tenancy через PostgreSQL RLS) — основа: tenant-данные изолируются
+по `tenant_id` через row-level security. Audit-цепочка наследует ту же
+изоляцию автоматически, потому что SELECT в trigger подпадает под RLS.
+
+## Decision
+
+**Canonical semantics audit hash-chain — per-tenant внутри партиции** (через
+RLS scope для tenant-таблиц, global для BYPASSRLS-таблиц), как уже работают
+trigger (writer) и `VerifyAuditChains`. Команда `AuditRebuildChain` —
+**bug**, должна быть переписана для воспроизведения per-tenant scope при
+пересчёте.
+
+Конкретно:
+
+1. **Writer (trigger `audit_chain_hash()`) — без изменений.** Он уже даёт
+   правильную семантику автоматически через RLS scope.
+
+2. **Verify (`VerifyAuditChains::TABLE_CONFIG`) — без изменений.** Текущий
+   конфиг корректно отражает реальность: per-tenant для tenant-таблиц,
+   global для admin/auth-таблиц.
+
+3. **Rebuild (`AuditRebuildChain`) — переделать.** Команда должна обходить
+   партицию **per-partition-key** (то же `partition_clause` что в
+   `VerifyAuditChains::TABLE_CONFIG`):
+   - для `activity_log` / `tenant_operations_log` / `balance_transactions` /
+     `pd_processing_log` — отдельный rebuild для каждого `tenant_id`;
+   - для `saas_admin_audit_log` / `auth_log` — global rebuild как сейчас.
+
+4. **Очистка 6 mismatches в `activity_log_y2026_m05`** — после фикса
+   rebuild'а: re-run `audit:rebuild-chain --partition=activity_log_y2026_m05`
+   на dev → smoke → на проде. mismatches исчезнут (rebuild начнёт писать
+   ту же per-tenant логику что trigger).
+
+## Alternatives Considered
+
+### Alternative A: Per-tenant canonical (выбрано)
+
+Фиксируется как описано выше. Trigger и verify уже работают так — нужно
+только починить rebuild.
+
+**Decision Maker's reasoning (Дмитрий):** «Закон о персональных данных
+требует изолированность журналов клиентов. Простота кода — слабее
+требование.»
+
+**Pros:**
+
+- Соответствует 152-ФЗ ст.18 — журналы tenant'ов изолированы.
+- Cross-tenant tampering обнаружится: если кто-то полезет в БД руками
+  и подменит запись tenant'а A, цепочка tenant'а A треснет, цепочка
+  tenant'а B останется intact.
+- Минимальные изменения: только rebuild переделать (полдня-день кода).
+- Не требует миграции БД — existing rows уже правильные.
+- 6 mismatches исчезнут автоматически после re-run исправленного rebuild'а.
+
+**Cons:**
+
+- Rebuild сложнее: нужен цикл по `DISTINCT tenant_id` с отдельной
+  prev-hash chain для каждого.
+
+### Alternative B: Global canonical (отклонено)
+
+Переписать trigger на `SECURITY DEFINER BYPASSRLS` чтобы он всегда видел все
+rows партиции. Verify изменить — убрать `PARTITION BY tenant_id`. Rebuild
+остаётся как сейчас (global).
+
+**User Feedback:** отклонено — ослабляет 152-ФЗ и требует рискованной миграции.
+
+**Pros:**
+
+- Код проще: один путь во всех трёх местах.
+- Rebuild не трогаем.
+
+**Cons:**
+
+- 152-ФЗ слабее: один tenant теоретически (через будущий баг) может повлиять
+  на chain другого tenant'а.
+- Требуется миграция: rebuild **всей** existing БД журналов под новую
+  логику. Высокий риск операции на проде.
+- Триггер становится `SECURITY DEFINER` — повышает attack surface.
+
+### Alternative C: Do nothing
+
+Оставить 6 mismatches как known historical gap, документировать в README,
+закрыть incident.
+
+**Pros:**
+
+- 0 работы.
+
+**Cons:**
+
+- Каждый запуск `audit:verify-chains` будет писать incident (best-effort
+  dedup 24ч смягчает, но не отменяет).
+- Email-алёрты на `kdv1@bk.ru` каждый день после первого истекания dedup'а.
+- При следующей аварии rebuild снова создаст новые mismatches — проблема
+  накапливается.
+- Не закрывает архитектурную несогласованность: писатель и читатель
+  работают по одной логике, чинитель — по другой.
+
+## Consequences
+
+**Benefits**
+
+- 152-ФЗ tamper-detection работает по полной: per-tenant изоляция аудита.
+- Все три места кода (writer / verify / rebuild) консистентны по
+  семантике после фикса.
+- 6 mismatches в `activity_log_y2026_m05` исчезнут.
+- Документирована causality между ADR-002 (RLS multi-tenancy) и
+  audit-chain semantics.
+
+**Trade-offs**
+
+- `AuditRebuildChain` усложняется: 50-100 LOC (цикл по tenant_id, per-tenant
+  prev-hash).
+- Время rebuild'а партиции на много-tenant таблицах увеличивается
+  пропорционально числу tenant'ов (но rebuild — операция аварийного
+  восстановления, не hot path).
+
+**Risks and mitigations**
+
+- *Risk:* в `AuditRebuildChain` появятся пограничные случаи (tenant_id IS
+  NULL, single-tenant rows). *Mitigation:* TDD-тесты на каждый шаблон —
+  pure-tenant / mixed-tenant / single-row партиции; покрытие в
+  `AuditRebuildChainTest.php`.
+- *Risk:* `auth_log` (BYPASSRLS, global) — rebuild должен явно различать
+  global vs per-tenant tables. *Mitigation:* читать `partition_clause` из
+  shared конфига (extract из `VerifyAuditChains::TABLE_CONFIG` в общий
+  helper), не дублировать список.
+- *Risk:* при будущем добавлении 7-й audit-таблицы — забыть указать
+  partition_clause. *Mitigation:* shared `AuditChainConfig::TABLES` constant
+  - assertion в `VerifyAuditChains::handle()` что все 6 таблиц зарегистрированы.
+
+## Related Decisions
+
+- **ADR-002 (Multi-tenancy через PostgreSQL RLS)** — основа: RLS scope, через
+  который trigger автоматически получает per-tenant chain semantics для
+  tenant-таблиц.
+- **Incident 2026-05-29 disk-full PG recovery** —
+  `docs/incidents/2026-05-29-disk-full-pg-recovery.md` — контекст обнаружения
+  расхождения.
+- **F1 advisory-lock migration** —
+  `app/database/migrations/2026_05_30_000001_add_advisory_lock_to_audit_chain_hash.php`
+  закрывает race condition между concurrent INSERT'ами; работает в любой
+  семантике (global или per-tenant), потому что lock ставится по
+  `(TG_TABLE_NAME, tenant_id)`-ключу.
+
+## References
+
+- [db/schema.sql:3107-3127](../../db/schema.sql#L3107) — `audit_chain_hash()` trigger function
+- [db/schema.sql:3148-3188](../../db/schema.sql#L3148) — 6 пар триггеров (BEFORE INSERT + UPDATE/DELETE block)
+- [app/app/Console/Commands/VerifyAuditChains.php](../../app/app/Console/Commands/VerifyAuditChains.php) — verify command (per-tenant + global)
+- [app/app/Console/Commands/AuditRebuildChain.php](../../app/app/Console/Commands/AuditRebuildChain.php) — rebuild command (bug: global only)
+- [app/database/migrations/2026_05_30_000001_add_advisory_lock_to_audit_chain_hash.php](../../app/database/migrations/2026_05_30_000001_add_advisory_lock_to_audit_chain_hash.php) — F1 advisory-lock
+- Memory: `memory/feedback_audit_chain_algorithm_divergence.md` — устаревшая трактовка как «divergence design'а», скорректировано в этом ADR как bug rebuild'а
+- 152-ФЗ ст.18 ч.2 — требование фиксации операций обработки ПДн
+- Stage 5 follow-up plan — будет создан под реализацию решения (TBD после Stage 5 batch-переключения)
+
+## Enforcement
+
+```json
+{
+  "rules": [
+    {
+      "id": "rebuild-must-use-shared-config",
+      "description": "AuditRebuildChain должна читать partition_clause из AuditChainConfig — не определять semantics локально",
+      "applies_to": ["app/app/Console/Commands/AuditRebuildChain.php"],
+      "require_pattern": "AuditChainConfig::TABLES|AuditChainConfig::rowExpression"
+    },
+    {
+      "id": "verify-must-use-shared-config",
+      "description": "VerifyAuditChains должна читать TABLES из AuditChainConfig — не дублировать private const",
+      "applies_to": ["app/app/Console/Commands/VerifyAuditChains.php"],
+      "require_pattern": "AuditChainConfig::TABLES|AuditChainConfig::rowExpression"
+    }
+  ],
+  "llm_judge": false
+}
+```
+
+Декларативные правила активированы после Tasks 2 и 4 этого плана.
@@ -31,9 +31,14 @@ paths:
        keyset (cursor) — O(1) глубины; offset-based — backward-совместимость.
        При count_only=true возвращает только {"total": N} без строк.
      parameters:
-        - name: status_in[]
+        - name: status_in
          in: query
-          description: Фильтр по статусам (можно несколько)
+          description: >
+            Фильтр по статусам (можно несколько). На проводе сериализуется
+            Laravel array-binding: status_in[]=NEW&status_in[]=WON. Имя параметра
+            в спецификации — без скобок: ключи свойств MCP-инструмента обязаны
+            матчить ^[a-zA-Z0-9_.-]{1,64}$ (скобки запрещены, иначе Anthropic
+            tools-схема падает с 400).
          required: false
          schema:
            type: array
@@ -0,0 +1,111 @@
+# Handoff: cleanup `activity_log_y2026_m05` после ADR-018 fix
+
+**Что:** удалить 6 mismatches в `activity_log_y2026_m05` через re-run исправленного `audit:rebuild-chain` per ADR-018.
+
+**Когда:** после merge всех task-коммитов плана `2026-05-29-audit-rebuild-per-tenant-fix.md` в `origin/main` и успешного deploy через `gh workflow run deploy.yml`.
+
+**Кто:** controller / Дмитрий (mutating prod operation — требует `confirm_apply=true`).
+
+## Pre-flight checks
+
+1. **Deploy завершён успешно** — `gh run list --workflow=deploy.yml --limit 1` показывает `success`.
+
+2. **Master verify падает только на 6 строках `activity_log_y2026_m05`** (baseline до cleanup'а):
+
+   ```bash
+   gh workflow run artisan-run.yml -f command=$(printf 'audit:verify-chains' | base64 -w0)
+   ```
+
+   Дождаться `success` workflow → читать output. Expected: `activity_log_y2026_m05: 6 mismatch(es), first broken id=NNN`, остальные партиции `intact`.
+
+## Dry-run
+
+3. **Запустить rebuild --dry-run** на проде (через artisan-run workflow whitelist):
+
+   ```bash
+   gh workflow run artisan-run.yml -f command=$(printf 'audit:rebuild-chain --partition=activity_log_y2026_m05 --from-id=NNN --dry-run' | base64 -w0)
+   ```
+
+   где `NNN` — `first broken id` из шага 2.
+
+   Expected output (через ADR-018 fix Task 4):
+   - `Партиция : activity_log_y2026_m05`
+   - `Родитель : activity_log`
+   - `Scope    : PARTITION BY tenant_id` ← **критично: НЕ `global`**
+   - `От id    : NNN`
+   - `Строк    : M`
+   - `--dry-run: UPDATE не выполнен.`
+
+   Прикинуть `M` на разумность (сотни-тысячи, не миллионы). Если `Scope` = `global` — это значит deploy не подхватил Task 4 fix, **НЕ продолжать**, открыть инцидент.
+
+## Apply (mutating)
+
+4. **Запустить rebuild с force + confirm_apply**:
+
+   ```bash
+   gh workflow run artisan-run.yml \
+     -f command=$(printf 'audit:rebuild-chain --partition=activity_log_y2026_m05 --from-id=NNN --force' | base64 -w0) \
+     -f confirm_apply=true
+   ```
+
+   Expected output: `Обновлено M строк в activity_log_y2026_m05.`
+
+## Verify
+
+5. **Запустить verify ещё раз** (тот же шаг 2 базовая команда):
+
+   ```bash
+   gh workflow run artisan-run.yml -f command=$(printf 'audit:verify-chains' | base64 -w0)
+   ```
+
+   Expected: `activity_log_y2026_m05: chain intact`. Все 6 audit-таблиц `intact`.
+
+   Если ещё mismatches — **НЕ продолжать**, открыть отдельный incident (signal что rebuild не покрыл какой-то edge case).
+
+## Post-cleanup
+
+6. **Закрыть incident-запись** в `incidents_log` через SaaS-admin UI (Системные инциденты): `resolved_at = now()`, `root_cause = "cleanup per ADR-018 rebuild fix"`.
+
+7. **Обновить memory** `feedback_audit_chain_algorithm_divergence.md` — статус «6 mismatches исчезли DD.MM.2026, ADR-018 implementation Stage 5 follow-up закрыт».
+
+## Что фактически произошло 29.05.2026
+
+Cleanup выполнен 29.05.2026 ~18:00 МСК. **3 партиции были affected, не 1 (как изначально думали)** — race condition бил по всем 3 tenant-scoped audit-таблицам:
+
+| Партиция | first broken id | mismatches | tenants | rows rebuilt |
+|----------|-----------------|------------|---------|--------------|
+| `activity_log_y2026_m05` | 599 | 6 → 0 | 3 | 216 |
+| `balance_transactions_y2026_m05` | 462 | 6 → 0 | 3 | 243 |
+| `pd_processing_log_y2026_m05` | 191 | 6 → 0 | 3 | 220 |
+| **Всего** | — | **18 → 0** | **9 scopes** | **679** |
+
+После всех 3 rebuild'ов — `audit:verify-chains` вернул `All audit chains intact.` на всех 6 audit-таблицах × ~14 партиций каждая.
+
+### Архитектурный найден gap: Laravel AuditRebuildChain не работает на проде
+
+Когда попытались выполнить шаг 4 этого handoff'а (`audit:rebuild-chain ... --force` через `artisan-run.yml`), получили:
+
+```
+SQLSTATE[42501]: Insufficient privilege: permission denied to set parameter "session_replication_role"
+(Connection: pgsql_supplier, Role: crm_supplier_worker)
+```
+
+**Причина:** `SET session_replication_role` требует SUPERUSER privilege. Laravel connection `pgsql_supplier` использует роль `crm_supplier_worker` (BYPASSRLS, но не superuser). Tests проходят потому что test env подключается как `postgres` superuser. **Это был первый запуск rebuild'а на проде когда-либо — никто раньше не натыкался на этот gap.**
+
+**Workaround использованный 29.05:** новый workflow [.github/workflows/sql-rebuild-audit-chain.yml](../../.github/workflows/sql-rebuild-audit-chain.yml) выполняет ту же per-tenant логику через `sudo -u postgres psql` (постгресовый superuser) с PL/pgSQL DO-блоком, mirror'ящим `AuditRebuildChain::rebuildScope()` PHP логику. Поддерживает 4 tenant-scoped таблицы: `activity_log`, `balance_transactions`, `pd_processing_log`, `tenant_operations_log`.
+
+**Future fix (out of scope этого handoff'а):** либо добавить `pgsql_postgres` connection в Laravel (`config/database.php`) под postgres superuser'ом + переписать `AuditRebuildChain` использовать его; либо grant'нуть `crm_supplier_worker` соответствующий privilege (если PG разрешит — `session_replication_role` обычно strictly superuser). Открыть отдельный план.
+
+## Rollback
+
+Если шаг 4 повёл себя неожиданно (например, обновлено существенно больше строк чем dry-run):
+
+- **НЕ паниковать** — записи защищены `audit_block_mutation` триггером (UPDATE/DELETE невозможен извне rebuild'а через `session_replication_role = 'replica'`).
+- Восстановить из бэкапа PG (последний автоматический + `audit_chain_hash`-snapshot перед запуском).
+- Open incident, классифицировать root cause.
+
+## Related
+
+- ADR-018: [docs/adr/ADR-018-audit-chain-per-tenant-semantics.md](../adr/ADR-018-audit-chain-per-tenant-semantics.md)
+- Plan: [docs/superpowers/plans/2026-05-29-audit-rebuild-per-tenant-fix.md](../superpowers/plans/2026-05-29-audit-rebuild-per-tenant-fix.md)
+- Stage 5 #1 finding: [docs/superpowers/plans/2026-05-29-audit-chain-race-fix.md](../superpowers/plans/2026-05-29-audit-chain-race-fix.md)
@@ -0,0 +1,194 @@
+# Incident: disk-full → PostgreSQL recovery loop → 4h prod downtime
+
+**Дата:** 2026-05-29
+**Длительность простоя:** ~4 часа 7 минут (05:41 UTC → 09:48 UTC)
+**Серьёзность:** P1 (полная недоступность БД, сайт liderra.ru отдавал HTTP 500)
+**Корневая причина:** диск `/dev/vda1` заполнился до 100% из-за неконтролируемого роста `laravel.log` (8.7 ГБ); PostgreSQL вошла в бесконечный PANIC loop при попытках записать checkpoint.
+
+---
+
+## 1. Хронология (UTC)
+
+| Время | Событие |
+|---|---|
+| 28.05 ~утро | Этап 4 slepok-routing-protection выкачен на прод (PR #28 merged). |
+| 28.05 ~день | Stage 5 day-1 monitoring обнаружил 2 P1: F1 (audit-chain race) + F2 (webhook storm 256k от B1+SMS combo). |
+| 28.05 + 29.05 ночь | Plans + code-fixes F1/F2 merged на main (commits `f1486015..00671741`). Прод НЕ затронут — ждали ручной выкатки. |
+| 29.05 ~04:00 | Шторм webhook-повторов растёт — failed_webhook_jobs от лидов 1110, 1157 уже ~256k. Laravel пишет каждое исключение в `laravel.log` (~30-50 КБ stack trace на запись). |
+| 29.05 05:11 UTC | Последняя успешная INSERT в БД (`failed_jobs` + `failed_webhook_jobs` + UPDATE `supplier_leads`) видна в pg_audit логе. |
+| 29.05 05:31:04 UTC | Последняя успешная checkpoint завершилась. lsn=0/8BD8B068. |
+| 29.05 05:41:03 UTC | `PANIC: could not write to file "pg_logical/replorigin_checkpoint.tmp": No space left on device`. PostgreSQL аварийно завершилась. |
+| 29.05 05:41:13 UTC | `terminating any other active server processes; all server processes terminated; reinitializing`. Recovery start. |
+| 29.05 05:41:14 UTC | `redo done at 0/8BD8BA58 system usage: ...`. Recovery почти готова, нужен end-of-recovery checkpoint. |
+| 29.05 05:41:14 UTC | `PANIC: could not write to file "pg_logical/replorigin_checkpoint.tmp": No space left on device`. Опять — диск так же забит. **Recovery loop начинается.** |
+| 29.05 05:41 → 09:41 | **4 часа в loop:** каждые ~3 минуты PG пытается recovery → end-of-recovery checkpoint → PANIC → restart. |
+| 29.05 09:11 UTC | Первый запрос (SELECT через sql-runner). FATAL: not yet accepting connections. Инцидент обнаружен. |
+| 29.05 09:25 UTC | Создан `pg-diagnose.yml` workflow, диагностика. Выявлено: `/dev/vda1 19G/19G/0 100%`. |
+| 29.05 09:38 UTC | Создан `disk-recover.yml` v1. Освобождено 440 МБ (apt clean + nginx старые gz). Недостаточно — PG ещё в recovery. |
+| 29.05 09:46 UTC | Создан `disk-recover.yml` v2. Truncate `laravel.log` (8.7G) + `syslog` (525M) + remove playwright cache (631M). Free space: **11 ГБ**. |
+| 29.05 09:48 UTC | `SELECT 1` проходит. PG восстановлена. HTTPS liderra.ru = HTTP 200. |
+| 29.05 09:54 UTC | F2 cleanup: 2 supplier_leads resolved (1110, 1157). |
+| 29.05 09:57 UTC | F2 cleanup: 420 192 failed_webhook_jobs marked resolved. |
+| 29.05 10:00 UTC | F1 migration applied via postgres superuser (advisory-lock в `audit_chain_hash`). Registered в migrations table batch=13. |
+| 29.05 10:02 UTC | `deploy.yml` re-run — success. F2 fast-fail код на проде. |
+| 29.05 10:10 UTC | Verify: 0 новых unresolved failed_webhook_jobs за час. Шторм остановлен. |
+| 29.05 10:24 UTC | F1.5 scheduler heartbeat reset (consecutive_failures=0 для `audit:verify-chains`). |
+| 29.05 10:26 UTC | logrotate config `/etc/logrotate.d/laravel-liderra` установлен (size 50M, rotate 5, copytruncate). |
+
+---
+
+## 2. Корневая причина (3 фактора)
+
+### Фактор A: Constraint violation создал бесконечный retry loop
+
+2 лида от поставщика (id 1110, 1157, один и тот же номер `+7***34038`) пришли с комбинацией `B1 + SMS signal_type`. Это нарушает DB constraint `chk_supplier_projects_b1_not_for_sms` (B1 платформа не поддерживает SMS-сигналы).
+
+При каждой попытке обработки:
+
+1. `RouteSupplierLeadJob` пытается INSERT/UPDATE → PostgreSQL отвергает с CHECK constraint.
+2. Laravel ловит `QueryException` → пишет в `failed_jobs` + `failed_webhook_jobs` для retry.
+3. Stack trace целиком (включая SQL, биндинги, vendor frames) пишется в `laravel.log` через стандартный Laravel handler.
+4. Через интервал ретрая (по умолчанию короткий) — новая попытка → goto 1.
+
+**Результат:** 420 192 повтора (на момент cleanup, к моменту incident возможно ~256k). Каждый занимает ~30-50 КБ в `laravel.log` → суммарно **8.7 ГБ**.
+
+### Фактор B: Отсутствие fast-fail логики
+
+В коде `RouteSupplierLeadJob` НЕ было guard'а «если уже падал на constraint — не пытайся снова». F2 code fix (`b28a9c03`) добавляет такой guard через проверку `supplier_lead.error LIKE '%chk_supplier_projects_b1_not_for_sms%'` → early return без INSERT.
+
+Этот фикс был **merged на main 28.05 утром** (commits F2 `f1486015..f97103b0`), но **не выкачен на прод** до момента incident. Если бы был выкачен — повторов было бы 2-3, не 420k.
+
+### Фактор C: Отсутствие size-based log rotation
+
+Существующий daily rotation (`laravel.log` → `laravel.log.1` ежедневно) **недостаточен**: за один день шторма (24 часа × ~5000 повторов/час × ~35 КБ) накопилось 8.7 ГБ — больше места на 19G диске после остальных данных.
+
+Не было ограничения по размеру файла. Не было компрессии.
+
+---
+
+## 3. Что сделано (incident response)
+
+### 3.1. Восстановление прода
+
+| Действие | Workflow | Результат |
+|---|---|---|
+| Диагностика диска | `pg-diagnose.yml` (новый) | Найден `laravel.log` 8.7G, `syslog` 525M, playwright cache 631M |
+| Чистка диска (truncate + rm) | `disk-recover.yml` v1+v2 (новый) | Свободно 0 → 11G |
+| Resolve 2 stuck supplier_leads | `sql-runner.yml` | UPDATE 2 |
+| Resolve 420k failed_webhook_jobs | `sql-runner.yml` | UPDATE 420192 |
+| F1 migration (advisory-lock) | `f1-apply-via-superuser.yml` (новый) | Function updated, registered batch=13 |
+| F2 fast-fail deploy | `deploy.yml` | success |
+| F1.5 reset watcher | `sql-runner.yml` | UPDATE 1 (consecutive_failures=0) |
+
+### 3.2. Профилактика повторения
+
+| Что | Workflow | Конфиг |
+|---|---|---|
+| Size-based log rotation | `setup-logrotate.yml` (новый) | `/etc/logrotate.d/laravel-liderra`: size 50M, rotate 5, compress, copytruncate |
+| PG log rotation triggered | `sql-runner.yml` `SELECT pg_rotate_logfile()` | Exit 0 (effect depends on `logging_collector` setting) |
+
+---
+
+## 4. Что НЕ сделано (deferred)
+
+### 4.1. F1 chain rebuild — 6 residual mismatches в activity_log (algorithm divergence)
+
+**Что сделано (29.05.2026 incident-followup):** новый workflow
+`.github/workflows/f1-rebuild-via-superuser.yml` через `sudo -u postgres psql`
+выполняет plpgsql DO-блок с sequential hash recomputation:
+
+- `balance_transactions_y2026_m05` (213 rows, ids 462..674): rebuilt → **0 mismatches**,
+  verify-chains intact ✅
+- `activity_log_y2026_m05` (186 rows, ids 599..784): rebuilt → **6 mismatches остаются** ⚠️
+
+**Корневая причина 6 residual mismatches — algorithm divergence в самом проекте:**
+
+| Алгоритм | Файл | Chain semantics |
+|---|---|---|
+| **Trigger** (writes hashes) | `db/schema.sql` `audit_chain_hash()` | `SELECT log_hash FROM <partition> ORDER BY id DESC LIMIT 1` — **global** chain (no tenant filter) |
+| **Rebuild canonical** (artisan) | `app/Console/Commands/AuditRebuildChain.php` | Same as trigger — global ORDER BY id |
+| **Verify** | `app/Console/Commands/VerifyAuditChains.php` `TABLE_CONFIG['activity_log']` | `'partition' => 'PARTITION BY tenant_id'` — **per-tenant** chain |
+
+Trigger и rebuild создают global chain (per partition table). Verify ожидает
+per-tenant chain. Когда `activity_log_y2026_m05` содержит multiple tenants —
+trigger-produced global chain не выглядит intact для verify.
+
+`balance_transactions` верифицируется без `partition`-config (global) → matches trigger/rebuild → 0 mismatches.
+
+`activity_log` верифицируется с `partition: 'PARTITION BY tenant_id'` →
+divergent от global trigger → 6 mismatches (это **multi-tenant rows where chain order
+differs by tenant_id grouping**).
+
+**Не блокирует бизнес:** F1 advisory-lock защищает от *новых* race-mismatches.
+Существующие 6 rows — historical data integrity gap в 152-ФЗ журнале, не операционный.
+
+**Что нужно решить (отдельная сессия / ADR):**
+
+Один из двух путей:
+
+1. **Align verify с trigger:** изменить `TABLE_CONFIG['activity_log']['partition']`
+   с `'PARTITION BY tenant_id'` на `''` (global). Pros: minimum code change.
+   Cons: ослабляет 152-ФЗ guarantee — global chain через всех tenants
+   позволяет cross-tenant tampering detection слабее.
+2. **Align trigger с verify:** изменить trigger `audit_chain_hash()` чтобы
+   читал prev_hash с `WHERE tenant_id = NEW.tenant_id`. Pros: stronger
+   per-tenant 152-ФЗ. Cons: миграция всех existing audit rows + rebuild
+   tool needs per-tenant variant.
+
+Decision требует ADR + design session. **Pending.**
+
+### 4.2. PG log file 498 МБ
+
+`/var/log/postgresql/postgresql-16-main.log` — текущий лог-файл PG. `sudo bash -c ': > file'` дал Permission denied даже из-под root (вероятно AppArmor profile postgresql).
+
+`SELECT pg_rotate_logfile()` выполнен — effect зависит от `logging_collector` setting в `postgresql.conf`. Если collector enabled — лог ротирован. Если disabled — нет.
+
+**Не критично:** 498 МБ из 19 ГБ при 11 ГБ free.
+
+**Как сделать:** проверить `SHOW logging_collector;` через sql-runner. Если `off` — лог пишется через системный wrapper, тогда нужен `logrotate` config для `/var/log/postgresql/*.log` (аналогично laravel-liderra). Если `on` — `pg_rotate_logfile()` уже сработал, нужно удалить старый файл (`sudo find /var/log/postgresql -name "*.log.*" -mtime +0 -size +100M -delete`).
+
+---
+
+## 5. Уроки / Action Items
+
+### Немедленные (сделано)
+
+- ✅ logrotate config для laravel.log с size-based лимитом
+- ✅ F2 fast-fail на проде
+- ✅ F1 advisory-lock на проде
+
+### Среднесрочные (TODO)
+
+- ⏸ **F1 chain rebuild через postgres superuser path** — отдельный workflow `f1-rebuild-via-superuser.yml`.
+- ⏸ **PG log file rotation** — проверить `logging_collector` setting и применить соответствующий fix.
+- ⏸ **Disk usage alert** — добавить cron-задачу `df -h /` с alert если >85% (через scheduler:check-heartbeats или отдельный workflow + telegram).
+- ⏸ **Laravel log level review** — рассмотреть уменьшение verbosity для constraint violation errors (они и так в `supplier_leads.error`, не нужны полные stack-trace в файл при каждом ретрае).
+- ⏸ **Retry policy** — failed_webhook_jobs ретраил без exponential backoff и без max-attempts limit. Добавить `max_attempts=3` для constraint-violation jobs.
+
+### Процессные
+
+- 🚨 **Deploy F1+F2 после Stage 5 day-1 findings должен был быть ASAP, не через сутки.** Найденные P1 фиксы лежали merged на main и НЕ выкачивались — это создало окно для шторма. Правило: **P1 findings → deploy в течение часов, не суток.**
+
+---
+
+## 6. Workflows созданные в ходе incident response
+
+| File | Назначение |
+|---|---|
+| `.github/workflows/pg-diagnose.yml` | Read-only SSH diagnostic: systemctl/journalctl/df/free + tail PG logs + WAL size + HTTPS probe |
+| `.github/workflows/disk-recover.yml` | Mutating cleanup: truncate laravel.log, syslog, PG log, remove playwright cache, vacuum journald, apt clean |
+| `.github/workflows/f1-apply-via-superuser.yml` | Apply F1 migration via `sudo -u postgres psql` + register in migrations table |
+| `.github/workflows/setup-logrotate.yml` | Install `/etc/logrotate.d/laravel-liderra` + verify --debug + force initial rotation |
+| `.github/workflows/artisan-run.yml` (edit) | Allow `audit:rebuild-chain --partition=<name> --from-id=<n> [--force]` в MUTATING_RE whitelist |
+
+Все workflow read-only-by-default (mutating требуют `confirm_apply=true` или `confirm_mutating=true` input).
+
+---
+
+## 7. Cross-refs
+
+- F1 plan: `docs/superpowers/plans/2026-05-29-audit-chain-race-fix.md`
+- F2 plan: `docs/superpowers/plans/2026-05-29-supplier-webhook-fast-fail-and-stuck-cleanup.md`
+- Stage 5 monitoring: `docs/superpowers/plans/2026-05-29-stage5-monitoring-checklist.md`
+- Stage 5 findings handoff: `docs/superpowers/handoffs/2026-05-29-stage5-findings-merged-handoff.md`
+- Memory pending entries (см. handoff §3): `feedback_subagent_falsified_test_results`, `feedback_powershell_bypasses_verify_before_push`, `feedback_subagent_worktree_bootstrap` + новые from this incident: `feedback_disk_full_root_cause_2026_05_29`, `feedback_pg_recovery_panic_loop_pattern`
@@ -1,6 +1,6 @@
 # Brain Status (auto-generated)

-Last updated: 2026-05-28T14:56:05.465Z
+Last updated: 2026-06-02T10:14:43.123Z

 | Контролёр | Состояние | Детали |
 |---|---|---|
@@ -8,15 +8,15 @@ Last updated: 2026-05-28T14:56:05.465Z
 | C2 Cross-ref consistency | ✅ | [cross-ref-checker] OK — 0 drift in 4 files |
 | C3 Observer-of-observer | ✅ | [observer-of-observer] OK — last read 0 week(s) ago |
 | C4 Сигнальный статус | ✅ | This file (self-reference) |
-| C5 Observer-coverage | ⚠️ | 620 episode(s) this month · Stop-hook + post-commit OK · 20 missed activation(s) — see /brain-retro |
+| C5 Observer-coverage | ✅ | 137 episode(s) this month · Stop-hook + post-commit OK |
 | C6 Chain map sync | ✅ | [chain-map-checker] OK — 16 chains in sync |

 ## Метрики (информационные, не алерты)

- Observer evidence: 620 episodes this month, 0 observer_error markers, 125 PII matches before filter
- Legacy v1 episodes (not in factor analysis): 481
- Last /brain-retro: 1 day(s) ago
- Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 20. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).
+- Observer evidence: 137 episodes this month, 0 observer_error markers, 6 PII matches before filter
+- Legacy v1 episodes (not in factor analysis): 137
+- Last /brain-retro: 2 day(s) ago
+- Использование узлов: см. `/brain-retro` (раз в спринт). missed_activations: 0. **Неиспользованные узлы — не алерт, если профильной задачи не было** (Pravila §16.4 v1.36; capability-readiness; см. memory `feedback_brain_unused_tools_not_problem` — outside-repo memory store).

 ## Метрики дисциплины

@@ -24,16 +24,14 @@ Baseline дисциплины роутера (этап 2 router discipline overh

 | Тип задачи | Эпизодов | % с триггер-матчем | % через скил |
 |---|---|---|---|
-| analysis | 27 | 29.6% | 14.8% |
-| bugfix | 18 | 22.2% | 27.8% |
-| planning | 16 | 18.8% | 18.8% |
-| feature | 15 | 13.3% | 0.0% |
-| cleanup | 6 | 0.0% | 0.0% |
-| refactor | 1 | 0.0% | 0.0% |
+| planning | 16 | 0.0% | 0.0% |
+| feature | 4 | 0.0% | 0.0% |
+| analysis | 2 | 0.0% | 0.0% |
+| bugfix | 1 | 0.0% | 0.0% |

-Router step distribution: 1: 265, 2: 227, 3: 61, 5: 59
+Router step distribution: 1: 81, 2: 51, 5: 4

-Boundaries applied (ADR / границы): 73 of 612 эпизодов (11.9%).
+Boundaries applied (ADR / границы): 1 of 136 эпизодов (0.7%).

 ## Активные многоэтапные проекты

@@ -45,16 +43,22 @@ Boundaries applied (ADR / границы): 73 of 612 эпизодов (11.9%).

 ## Длинные сессии

-Ни одной сессии с >50 ходов сегодня (UTC). ✅
+⚠️ Сегодня (2026-06-02 UTC) есть сессии с ≥50 ходов — корреляция с падением дисциплины роутинга (retro #5 candidate B).
+
+| session_id | макс. ход | % regulated | последний эпизод |
+|---|---|---|---|
+| `1a9888f8` | 50 | 0% | 2026-06-02T01:43:02.824Z |
+
+Long sessions correlate with discipline drift. Если % regulated просел в текущей сессии — рассмотри перезапуск.

 ## Стоимость месяца

 | Компонент | Токены (in/out) | USD |
 |---|---|---|
-| Classifier (Sonnet 4.6) | 2468/32811 | $0.50 |
+| Classifier (Sonnet 4.6) | 10473/50827 | $0.79 |
 | Self-assessment (Sonnet 4.6) | 0/0 | $0.00 |
 | Reviewer (Opus 4.7 + fallback) | 0/0 | $0.00 |
-| **Итого** | | **$0.50** |
+| **Итого** | | **$0.79** |

 ## Аномалии классификатора

@@ -67,53 +71,23 @@ Episodes since last run: 542 / threshold: 10

 ## Reviewer: субагент vs fallback

-0 эпизодов проверено из 620.
+0 эпизодов проверено из 137.

 ## Reviewer findings

-Проверено: 339 эпизодов. **51 actionable** (wrong_skill + wrong_chain_order).
-
-### error_root_cause
-
-| cause | count |
-|---|---:|
-| n/a | 261 |
-| wrong_skill | 41 |
-| external_failure | 23 |
-| wrong_chain_order | 10 |
-| wrong_tool | 4 |
-
-### Топ alternative_better
-
-| recommended | count |
-|---|---:|
-| #19 | 16 |
-| #25 | 15 |
-| #34 | 8 |
-| #18 | 6 |
-| #33 | 3 |
-
-### node_quality
-
-| judgment | count |
-|---|---:|
-| disputable | 191 |
-| correct | 113 |
-| wrong_node | 31 |
-| underkill | 2 |
-| overkill | 2 |
+(нет проверенных эпизодов в текущем периоде)

 ## Использование override-фраз

-⚠️ Превышен порог override-использования сегодня (≥5/день)
+

 | Фраза | За всё время | За сегодня |
 |---|---|---|
-| `recovery` | 892 | 619 ⚠️ |
-| `ремонт инфраструктуры` | 185 | 26 ⚠️ |
-| `без скилов` | 171 | 113 ⚠️ |
-| `срочно` | 93 | 11 ⚠️ |
-| `memory dump` | 17 | 9 ⚠️ |
+| `recovery` | 2302 | 0 |
+| `без скилов` | 507 | 0 |
+| `ремонт инфраструктуры` | 331 | 0 |
+| `срочно` | 225 | 0 |
+| `memory dump` | 46 | 0 |
 | `direct ok` | 6 | 0 |
 | `быстрый коммит` | 3 | 0 |

@@ -123,7 +97,8 @@ Episodes since last run: 542 / threshold: 10

 | PID | Имя | CPU-время | Возраст |
 |---|---|---|---|
-| 9756 | Code | 1.22ч | 0.0ч |
+| 10388 | Code | 3.05ч | 1327306.2ч |
+| 3220 | MsMpEng | 1.14ч | 0.0ч |

 ⚠️ Проверь, не «осиротевшие» ли это процессы от завершённых Claude-сессий.

@@ -0,0 +1,244 @@
+# Brain-retro #10 — 2026-05-28 (вечер)
+
+**Период:** с retro #9 (2026-05-28T07:47:21Z = 10:47 МСК) по 2026-05-28T13:31Z (16:31 МСК)
+**Эпизодов:** 27 (после filter; в файле за период 29, 27 ушли в reviewer — limit)
+**Observer errors:** 0
+**Тип сессии:** router-hooks Phase 4 closure + Phase 5 closure + текущий /brain-retro
+
+---
+
+## 1. Path-type breakdown
+
+| Path type | Count | % |
+|---|---|---|
+| improvised | 26 | 96.3 |
+| regulated | 1 | 3.7 |
+
+Очень высокий improvised — фактически вся сессия. Один regulated — момент когда триггернулась Pravila §15 (subagent-driven-development).
+
+## 2. node_chosen distribution
+
+| Node | Count | % |
+|---|---|---|
+| direct | 25 | 92.6 |
+| superpowers:writing-plans | 1 | 3.7 |
+| graphify | 1 | 3.7 |
+
+## 3. recommended_node distribution
+
+| Recommended | Count | % |
+|---|---|---|
+| null | 27 | 100 |
+
+Классификатор не дал ни одной рекомендации — все 27 ушли с `recommended_node: null`. Картина согласована с (2): я почти везде шёл direct, классификатор не возражал.
+
+## 4. GAP «рекомендован но взял direct»
+
+**0 эпизодов** — нечего флагать. recommended_node везде null.
+
+## 5. outcome × node_chosen group (reviewer-определённый outcome)
+
+| Group | Count | Rework |
+|---|---|---|
+| skill_used (writing-plans + graphify) | 2 | 1 (graphify на "да давай") |
+| direct_no_rec (рекомендации не было → direct) | 25 | 3 |
+
+После reviewer'а: 8 success / 15 soft_success / 4 rework. Rework-rate всего ~15% — но 4 из 4 reworks trace к коротким ambiguous-prompt'ам, см. §13.
+
+## 6. classifier_output source
+
+| Source | Count | % |
+|---|---|---|
+| prefilter | 16 | 59.3 |
+| regex | 6 | 22.2 |
+| llm | 4 | 14.8 |
+| cache | 1 | 3.7 |
+
+Класс — здоров. LLM-fallback срабатывал только когда prefilter+regex не справились. Никаких NULL — всё классифицировано.
+
+## 7. Per-classification (trigger-match + via-skill)
+
+| Classification | n | trigger-match% | via-skill% |
+|---|---|---|---|
+| other | 22 | 5 | 9 |
+| question | 5 | 20 | 0 |
+| analysis | 1 | 0 | 0 |
+| memory-sync | 1 | 0 | 0 |
+
+Большинство — `other`, что неудивительно для chain-сессии «делай все» где каждая мини-задача — продолжение предыдущей.
+
+## 8. Class × canon coverage
+
+| Classification | n | canonicalNodes | routerRec | claudeTook | recWithinCanon | rework |
+|---|---|---|---|---|---|---|
+| other | 20 | [] | 0 | 2 | 0 | 0 |
+| question | 5 | [] | 0 | 0 | 0 | 0 |
+| analysis | 1 | [#25,#39,#53] | 0 | 0 | 0 | 0 |
+| memory-sync | 1 | [] | 0 | 0 | 0 | 0 |
+
+Один analysis-эпизод имел канон (#25 Semgrep / #39 ToB / #53 process-analysis), но классификатор канон не вытащил (`routerRec=0`), а я ничего не взял. Не критично — это была короткая question-like analysis.
+
+## 9. Router vs Opus
+
+| Section | Count |
+|---|---|
+| A (router дал → Opus оценил) | 0 |
+| B (router молчал → Opus сказал «надо был скил») | 0 |
+| C (router дал → Opus согласился что излишен) | 0 |
+
+Пусто, потому что router ни разу не дал рекомендацию. Reviewer-найденные wrong_node случаи (см. §13) формально не попадают в эту таблицу — они идут в gap_assessment.
+
+## 10. Chain-ignore breakdown
+
+| Chain length | Count | Ignored | Rework |
+|---|---|---|---|
+| Total | 0 | 0 | 0 |
+
+Тоже пусто — router цепочек не предлагал.
+
+## 11. Chain-hook effectiveness
+
+| Bucket | Count |
+|---|---|
+| total | 211 (cumulative с момента wire-up) |
+| blocked | 7 (3.3%) |
+| passed-with-skill | 0 |
+| passed-inline-override | 0 |
+| passed-global-override | 0 |
+| passed-short-chain | 204 (96.7%) |
+| passed-no-mutating | 0 |
+
+Хук активен, 211 срабатываний с регистрации (включая retro период). 96.7% — короткая цепочка (≤1 узел) — фактически большинство triggerов происходит когда нет mutating tool или цепочка пустая. 7 блокировок за 211 событий = ~3% — рабочий уровень, не «дроссель», не «спам».
+
+---
+
+## 12. Reviewer pass — батч-mode (27 episodes, 68.2s, ~$0.05-0.10)
+
+| Поле | Распределение |
+|---|---|
+| node_quality | disputable 12 (44%) / correct 11 (41%) / wrong_node 3 (11%) / underkill 1 (4%) |
+| chain_quality | n/a 25 / missing_step 2 |
+| gap_assessment | acceptable 22 / mistake_should_not_start 3 / mistake_should_complete 1 / n/a 1 |
+| agent_self_assessment_accuracy | no_self_assessment 17 / accurate 10 |
+| error_root_cause | n/a 20 / wrong_skill 6 / external_failure 1 |
+| outcome_reviewed | soft_success 15 / success 8 / rework 4 |
+
+**41% correct vs 11% wrong_node + 4% underkill** — приемлемый уровень. Главный сюрприз — 44% «disputable»: reviewer не уверен. Это объясняется природой chain-сессии (chunks 8-16 турнов на одном task_id с пустыми мета-полями).
+
+**Self-assessment отсутствовал в 63% эпизодов** (17 из 27 no_self_assessment). Это известное состояние — self-assessment включается только на сложных задачах. На chain-сессии большинство эпизодов — короткие mini-turn'ы.
+
+## 13. Reviewer-флагнутые случаи (5 эпизодов)
+
+Все 5 трассируются к **коротким ambiguous prompt'ам** где надо было clarify, а не действовать:
+
+| Время | Prompt | Что произошло | Verdict | Что было правильно |
+|---|---|---|---|---|
+| 08:52 | «пробуй готово» (13 chars) | direct → 68 tool calls 7 файлов 55min | wrong_node + missing_step + rework | clarify |
+| 08:55 | «делай дальше» (12 chars) | hard_floor → writing-plans → 38 calls, 2 TDD-hook errors | disputable + wrong_skill | clarify |
+| 09:20 | (ambig) | direct → 28 calls multiple Edit errors → rework | underkill + missing_step + rework | #33 claude-md-management |
+| 10:16 | «да давай» | **graphify** + 10 Bash calls на context-free affirmation | wrong_node + rework | clarify |
+| 12:43 | «deplo» (5 chars) | direct + AskUserQuestion clarification (правильно) но потом 22 calls drift | disputable | clean clarify-first |
+| 12:56 | «подбери все хвосты» (18 chars) | classifier null → direct → 9 calls 3 memory файла | wrong_node + rework | clarify |
+
+**Sanity-ответ заказчика подтверждает паттерн:** «Phase 5 можно было через subagent-driven» — да, multi-file TDD таски Phase 5 кейс контекста, где inline TDD стоил больше токенов чем subagent.
+
+Causal chains (deterministic analyzer):
+- `826f2823 → 4a8b327e` (общие файлы: `tools/router-classifier.mjs` + `.test.mjs`)
+- `4a8b327e → 27e80d61` (общий: `cspell-words.txt`)
+
+Это нормальный workflow «правка → последствие в чужом файле», не error→fix loop.
+
+## 14. Missed activations
+
+**0 missed activations** (для классификаций with canonical nodes). 1 analysis-эпизод с каноном (#25/#39/#53) формально мог триггерить, но текст эпизода short question — Pravila §16.4 conditional rule не вызывает алерт.
+
+## 15. Boundaries inheritance
+
+- withBoundaries: 2/27 (7.4%) — Pravila §15 и Pravila §5
+- inheritanceCount: 0 (на коротких turn-цепочках inheritance не сработал)
+
+## 16. Cost report (за период)
+
+- classifier: 283 input + 6500 output tokens (≈$0.10 Sonnet 4.6)
+- self_assessment: 0/0 (не вызывался в задачах without self_assessment trigger)
+- reviewer batch: ~27 × Opus 4.7 (3963 in / 195 out per episode средне) ≈ $1.7-2.0 (по логам ProxyAPI)
+- self_retrospect: 0
+
+**Phase 5 cost-daily.json текущий день:** $0.098349 classifier_usd, 29 эпизодов, total $0.098349.
+
+**Замечание:** reviewer_subagent_usd / reviewer_direct_fallback_usd = 0 в cost-daily, хотя batch_reviewer работал. Stop-hook aggregator не подхватил review-cost. **Phase 5 follow-up candidate** (§17 Candidate 3).
+
+## 17. Self-retrospect status
+
+- `episodes_since_last`: **542** (≥ 50)
+- `last_run_at`: null (никогда не запускался)
+- **Триггер сработан** — пропозиция /self-retrospect ниже в §18 Candidate 1.
+
+---
+
+## 18. Candidates for owner review
+
+### Candidate 1 — `/self-retrospect` ещё ни разу не запускался (542 эпизодов)
+
+**Источник:** `docs/observer/.self-retrospect-counter.json` показывает `last_run_at: null` + `episodes_since_last: 542` (порог 50). Skill `.claude/skills/self-retrospect/` существует, но никогда не активировался.
+
+**Suggestion:** запустить `/self-retrospect` в отдельной сессии — собрать «привычки контроллера» на 542 эпизодах накопленных с момента wire-up счётчика (явно с 19.05.2026, brain governance Phase B). Сегодня уже было одно self-retrospect ручное (`docs/observer/notes/2026-05-28-self-retrospect.md` — 5 привычек по 81 эпизоду 27-28.05) — оно НЕ обновило counter. Нужно либо понять почему counter не обнулился (баг бампера?), либо запустить full /self-retrospect skill сейчас.
+
+**Reject option:** отложить — отдельная сессия, не сегодня; counter перепроверить вручную после ближайшей сессии.
+
+### Candidate 2 — поведенческий: на коротких ambiguous prompt'ах сначала clarify, потом действовать
+
+**Источник:** reviewer-флагнутые 5 из 6 wrong-cases trace к prompt'ам ≤18 chars где надо было задать AskUserQuestion вместо action. Прецеденты: «пробуй готово» / «делай дальше» / «да давай» / «deplo» / «подбери все хвосты».
+
+**Reviewer уже flagging это** через `gap_assessment: mistake_should_not_start` (3 эпизода). Хук-механики пока нет.
+
+**Suggestion (3 варианта):**
+- A. **Поведенческое правило** — добавить в Pravila §17 (universal skill-coverage) подсекцию: «при prompt_signal=new_task + длина prompt'а ≤25 chars + classifier source=prefilter/regex → AskUserQuestion mandatory». Контроллер должен соблюдать сам.
+- B. **Хук** — новый PreToolUse `enforce-clarify-short-prompts.mjs` блокирует mutating tools если turn1 user prompt ≤25 chars И classifier source ∈ {prefilter,regex} И tool НЕ AskUserQuestion. Override: inline `clarify-skip: <reason>` ИЛИ если предыдущий tool — AskUserQuestion.
+- C. **Не делать** — reviewer-findings достаточно для retro-наблюдения; жёстко регулировать ambiguous-handling нельзя (есть legit-case «делай дальше» после подтверждённого плана).
+
+**Recommendation:** B + дозовая мера. Hard-rule был бы дорогим (regress в нормальный chain-flow). Хук с явным override + список реальных flag'ов из reviewer = баланс.
+
+**Reject option:** оставить только observational mode — reviewer всё равно ловит; жёсткое правило избыточно.
+
+### Candidate 3 — Phase 5 cost-tracker: reviewer-cost не попадает в `cost-daily.json`
+
+**Источник:** запустил batch reviewer на 27 эпизодов с Opus 4.7 (по логам ProxyAPI ~$2). Stop-hook cost-aggregator смотрит только `task_cost.input_tokens` + `task_cost.output_tokens` каждого эпизода. Reviewer пишет результат в `episode.review`, не в `task_cost`.
+
+**Suggestion:** в `tools/cost-aggregator.mjs::episodeUsd(ep, pricing)` добавить чтение `ep.review.tokens_used` (если присутствует) → bucket `reviewer_subagent_usd` (если `outcome_reviewed_source==='subagent'`) / `reviewer_direct_fallback_usd` (`direct_api_*`). Тогда вызов `npx tsx tools/cost-stop-hook.mjs` после batch-review сразу обновит файл.
+
+**Альтернатива:** batch reviewer сам пишет cost в отдельный bucket файла (минуя aggregator).
+
+**Reject option:** оставить cost-daily покрывающим только classifier — это известный gap, отдельный план.
+
+### Candidate 4 — графики `prompt_signal` и `economy_level` плоские (single-bucket)
+
+**Источник:** factorMatrix показал `economy_level`: 100 → 24 episodes / null → 3 episodes. `prompt_signal` matrix — почти весь `neutral` (типично для chain-сессий).
+
+**Это не проблема**, но снижает информативность factor matrix для коротких retro. На таком scale (27 эпизодов 2.5 часа) фактор-анализ слабый.
+
+**Suggestion:** добавить в `tools/brain-retro-analyzer.mjs` rule «если total episodes < 30 ИЛИ factor matrix has cells ≥ 80% single-bucket → mark `factor_analysis: low_signal`» — сигнал в STATUS.md, что retro имеет узкое окно и patterns надо смотреть на retro с ≥30 эпизодов.
+
+**Reject option:** не делать — retro at small N просто меньше говорит, не нужен formal marker.
+
+---
+
+## 19. Cross-refs
+
+- Sanity answers: `docs/observer/sanity-checks/2026-05-28-brain-retro-10.json`
+- Self-retrospect skill: `.claude/skills/self-retrospect/`
+- Predecessor: `docs/observer/notes/2026-05-28-brain-retro-9.md`
+- Cost-daily: `~/.claude/runtime/cost-daily.json`
+- Chain-hook ledger: `~/.claude/runtime/hook-outcomes.jsonl`
+
+---
+
+## 20. Report to user (простым языком)
+
+За эти 2.5 часа сессия Phase 4 + Phase 5 шла чисто — без серьёзных обходов и без явных багов мозга. Ревьюер всё-таки нашёл одно повторяющееся слабое место: **короткие неясные сообщения от тебя я переводил в действие, а надо было сначала переспросить**. Примеры: «делай дальше» / «да давай» / «deplo» — в этих случаях я запускал по 20-60 tool calls, иногда с откатами. Лучший ответ — задать уточняющий вопрос.
+
+Phase 5 (cost-tracker) уже работает, в файле `cost-daily.json` сегодня записаны $0.10 — но это только классификатор. Стоимость ревьюера (~$2 за сегодняшний прогон) ещё не попадает в этот файл — это известная мелкая дырка, лечится за полчаса.
+
+Счётчик `/self-retrospect` показывает 542 эпизода с последнего запуска (порог 50) — но запуска фактически никогда не было. Либо запустить full skill в отдельной сессии, либо проверить почему bumper не обнулил счётчик.
+
+Главный кандидат на правку — **поведенческое правило / хук**, чтобы я на коротких неясных сообщениях сначала спрашивал, а не делал. Три варианта в §18 Candidate 2. Что выбрать — за тобой.
@@ -0,0 +1,95 @@
+---
+date: 2026-05-28
+kind: self-retrospect
+sequence: 2
+window:
+  episodes_since_last_run: 569 (counter reading) / 67 (since previous self-retrospect ~07:30 UTC)
+  episodes_in_file: 752
+  last_run_at: null (counter never updated by previous skill invocation — quirk)
+trigger: explicit «1. запустить снова» from owner after /brain-retro #10 Candidate 1
+predecessor: docs/observer/notes/2026-05-28-self-retrospect.md (same day ~07:30)
+---
+
+# Self-retrospect #2 — 2026-05-28 (вечер)
+
+Второй прогон скила за день. Триггер — Candidate 1 brain-retro #10 («counter показывает 569, last_run_at=null»). Окно для интроспекции — 67 эпизодов с предыдущего self-retrospect, плюс прямая проверка 5 commitments, которые я зафиксировал утром.
+
+## Метод
+
+Утренний self-retrospect выдал 5 «привычек» (override-дисциплина / feature→план / Sentry-first / Semgrep на security-edit / coder-agent на массовое). Заметка прямо предупреждала: «если за 50-100 эпизодов паттерны не изменятся — повод для нового хука». 67 эпизодов прошли — проверяю.
+
+Снимаю фактические цифры за окно, формулирую 3 наблюдения, спрашиваю заказчика — симптом или нет.
+
+## Наблюдения и вердикт заказчика
+
+### 1. Override-дисциплина — 27+ событий в одной Phase 4 Task A сессии за 6 часов после обещания
+
+Source: `~/.claude/runtime/override-usage.jsonl`. Сессия `4a8b327e` (Phase 4 Task A subagent crash → controller handoff) выжгла 27+ override-events за ~3 минуты — `recovery` + `без скилов` повторяющимся паттерном на каждый TDD-gate пропуск. Сессия `b9f91f37` (Phase 5 inline) — ещё ~5 events.
+
+Утренний commitment #1: «Прежде чем впечатать `recovery` или `ремонт инфраструктуры` — спросить себя „это правда инфра-фикс или я ленюсь дать verify?"».
+
+**Вердикт заказчика:** сломана в обоих направлениях. И привычка не держится, и инфра (TDD-gate subagent handoff quirk) действительно сломана.
+
+**Что это значит:**
+
+- Honest read: я знал утром что без enforcement привычка не удержится — и не удержалась. Доверять чистой self-discipline нельзя на этом классе действий, нужен хук.
+- Но в этой конкретной сессии часть override была объективно нужна: subagent (Sonnet) рухнул mid-Task с API socket error, controller подобрал работу, TDD-gate не видит subagent test-edit в моём transcript'е → каждый prod-edit упирается в gate. Это уже задокументировано в `feedback_tdd_gate_subagent_handoff.md`, но я этой памяти на момент Task A не дёрнул — снова игнорировал собственный опыт.
+- Конкретное действие: пушить Candidate 2 brain-retro #10 — хук `enforce-clarify-short-prompts.mjs` ИЛИ аналогичный override-counter (Phase 2 already done `enforce-override-limit.mjs` с порогом 5). Текущий лимит 5/день per phrase — но 27 событий в 3 минуты в одной phrase обходят его (счёт ведётся по дню, не по rate). Возможно нужно дополнить **per-session** или **per-minute** лимит.
+
+### 2. 90% direct за 67 эпизодов — Phase 5 inline TDD вместо subagent
+
+Source: 60/67 эпизодов `node_chosen=direct`. 3 brainstorming / 1 writing-plans (hard_floor) / 1 systematic-debugging / 1 graphify. Утренний commitment #2: «Любой запрос на „добавь X" / „сделай Y" требующий ≥3 шагов — сначала `superpowers:writing-plans` или `superpowers:brainstorming`, не сразу Edit/Write».
+
+Phase 5 = 5 файлов (cost-pricing.mjs + cost-aggregator.mjs + cost-stop-hook.mjs + их .test.mjs) — это classic «массовое кодирование по шаблону», утренний commitment #5 явно говорит «суб-агент». Я делал inline за 4 turn'а контроллера.
+
+**Вердикт заказчика:** план был (Phase 4/5 планы существуют, brainstorming-chain проходил ранее в день), но исполнение надо было делегировать. И то и другое.
+
+**Что это значит:**
+
+- Commitment #2 (план-first) формально соблюдён — план был утром.
+- Commitment #5 (coder-agent на массовое) сломан — я сделал Phase 5 inline «для скорости», но reviewer (batch-mode на 27 эпизодах) фактически подтвердил: «Phase 5 можно было через subagent-driven».
+- Reflex: «я уже залип в этой задаче, быстрее самому сделать» — ровно та же лень, что утром констатировал.
+- Конкретное действие: при размере правки ≥4 файлов с одинаковым паттерном — **обязан** перед первым Edit вызвать Task() с coder-agent. Никаких «для скорости».
+
+### 3. Reviewer-флагнутые «direct вместо clarify» — это симптом #1+#2, не новый паттерн
+
+Source: brain-retro #10 §13 — 5 эпизодов где reviewer пометил `wrong_node` / `underkill` / `mistake_should_not_start` на коротких промптах («пробуй готово» / «делай дальше» / «да давай» / «deplo» / «подбери все хвосты»).
+
+Я предположил что это новая привычка, не покрытая утренним списком.
+
+**Вердикт заказчика:** не было явно в commitments, **но входит в #1 (override) и #2 (plan-first)**.
+
+**Что это значит:**
+
+- Reflex chain: короткий ambiguous prompt → не вижу очевидного skill match → use `direct` → если потом классификатор/хук возражает → override через `без скилов`/`recovery`. То есть «прыжок в direct» и «реакция override» — две стороны одного паттерна.
+- Это переоткрывает утренний commitment #1 более широко: дисциплина не только в *написании* override, но в *первичном решении* идти direct без clarify.
+- Конкретное действие: на коротких промптах (≤25 chars) с classifier source `prefilter`/`regex` (= не дотянулись до LLM-этапа) **обязательная** AskUserQuestion clarify перед mutating tool. Это новый порядок, который я хочу пройти через Pravila §17 или хук.
+
+## Сравнение с утренним прогоном
+
+Утренний self-retrospect зафиксировал 5 «привычек». Этот вечерний прогон проверил факт-trail:
+
+| Commitment | Status за 67 эпизодов |
+|---|---|
+| #1 Override-дисциплина | **Сломан** (27+ events за одну сессию, заказчик согласен) |
+| #2 Feature → план first | **Формально OK** (планы Phase 4/5 утром были) |
+| #3 Симптом с боевого → Sentry first | Не было профильных задач за период |
+| #4 Security-edit → Semgrep | Не было профильных задач (но именно для этого был выкачен Phase 4 хук Semgrep — сам теперь enforce'ит) |
+| #5 Объёмное → coder-agent | **Сломан** (Phase 5 inline вместо subagent, заказчик согласен) |
+
+Сломанные 2 из 5 на 67-эпизодном окне.
+
+## Что меняю с этого момента
+
+В заметку утреннюю было записано: «Не правила — привычки». 6 часов показали — на этом классе привычек enforcement обязателен. Меняю не привычки, а **запрос на хуки**:
+
+1. **Enforce-clarify-short-prompts** (brain-retro #10 Candidate 2 B) — ставлю в шорт-лист на ближайшую сессию.
+2. **Enforce-override-rate-limit** (расширение существующего enforce-override-limit.mjs) — добавить per-minute или per-session порог поверх per-day. Например: ≥10 same-phrase в окне 5 минут = блок.
+3. **Coder-agent auto-suggest** — рекомендация при правке ≥4 файлов с похожим паттерном в одном turn'е. Не хук-блок, а уведомление в response.
+
+## Метаданные
+
+- Sanitize: ответы заказчика — pre-defined options, PII-фильтр не применялся (нет свободного текста).
+- Counter: сброс в `docs/observer/.self-retrospect-counter.json` → `last_run_at: <now>, episodes_since_last: 0`.
+- Этот скил **не пишет episode JSONL** — наблюдатель его собственное действие фиксирует через events of the parent turn (как и любую другую skill-инвокацию).
+- Quirk выявлен: утренний прогон не обновил counter (last_run_at остался null, episodes_since_last не сбросился — отсюда чтение 569 в этом прогоне). См. brain-retro #10 Candidate 1 — отдельная инфра-правка. **Этот прогон делает явный reset** через `node -e`.
@@ -0,0 +1,94 @@
+# Router-gate v4 — оставшиеся дыры (чек-лист «на потом»)
+
+**Дата:** 2026-05-30
+**Контекст:** после закрытия нестыковки №1 (убраны 2 лишние записи судьи из `.claude/settings.json`).
+**Статус системы:** Layers 1–3 работают; Layer 4 (судья) построен как движок + добавлен config-выключатель (DEFAULT OFF); нигде не прописан и без ключа → реально выключен. Владелец 30.05 выбрал курс «включать», но активация (ключ + флаг + хуки) — отдельный его шаг.
+
+> Делать в **чистой сессии**: без параллельных Claude-сессий и НЕ в изолированной копии (worktree).
+> Многое упирается в файл `.claude/settings.json` — Claude'у его Read/Edit заблокированы собственной защитой, нужна ручная правка владельцем.
+
+---
+
+## Приоритет 1 — обёртка написана (TDD), подключение отложено
+
+### [x] 1a. Обёртка `enforce-safe-baseline-metering.mjs` — СДЕЛАНО (30.05, worktree h-close)
+
+- **Что сделано:** обёртка с чистой функцией `decide()` (инкремент per-task счётчика + оценка порогов через `incrementCounter`/`evaluateThresholds`) + функция границ задачи `processEvent()` (см. 1b) + 14 тестов. TDD: тест первым, RED подтверждён в том же ходе, GREEN 14/14.
+- **Шаблон:** как соседние обёртки Stream H (`enforce-decomposition-detector.mjs`) — `main()` намеренно no-op (exit 0), без живого подключения и без self-lockout.
+- **NB по среде:** TDD-сторож сверяет правки по основной папке и не видит правки в worktree → ложно блокирует; фразы-исключения в v4 отключены (universal vocab removal, `findOverride`→null), текст «Override: …» в сообщении хука устарел. Цикл RED→GREEN нужно делать в ОДНОМ ходе (правка теста + красный прогон + запись реализации), тогда сторож засчитывает.
+
+### [x] 1b. Живое подключение `safe-baseline` — СДЕЛАНО (31.05, commits `f740f612` + `80e514f5` + `84dcf4aa`, pushed)
+
+- **Спроектировано** через brainstorming (3 adversarial-ревью + ghost-pass): спек `docs/superpowers/specs/2026-05-30-safe-baseline-live-wiring-design.md` v4. Закрыты C1 (escape Skill/EnterPlanMode никогда не блокируется) / C2 (skill-match только по реальному tool_use, без self-writable text-path) / C3 (write-deny на runtime, decoupled) / H1 (детерминированная токенизация) / V2-1 (stickiness-контракт, без потери/утечки между задачами) / V2-2 (`.`-segment-proof через `pathNormalize`). G3 override-подсистема вырезана как ghost-protection (escape всегда доступен).
+- **Реализовано (TDD):** `extractKeywords` + `detectSkillMatch` + `runLiveDecision` + живой `runMain`/`main` в `tools/enforce-safe-baseline-metering.mjs` (+14 тестов); новый `tools/enforce-runtime-write-deny.mjs` (+7 тестов). Регрессия **1880 GREEN**.
+- **Режим:** hard-block (решение владельца «убери g3, больше ничего»). observe-флаг не добавлялся.
+- **Осталось (владелец):** регистрация обоих хуков в `.claude/settings.json` (точный блок — в handoff-заметке `2026-05-30-safe-baseline-overnight-handoff.md`); Claude'у settings.json заблокирован. До регистрации хуки инертны.
+
+---
+
+## Приоритет 2 — Layer 4 (судья): выключатель готов, активация за владельцем
+
+### [~] 2. «Мозг» судьи (Layer 4 plumbing) — config-выключатель СДЕЛАН (30.05)
+
+- **Находка:** движок `tools/llm-judge.mjs` УЖЕ полный (consensus + anti-injection + cache/budget); `llmJudgeCall` при отсутствии ключа возвращает `null`/degraded → fail-safe.
+- **2a config-выключатель — СДЕЛАНО:** `tools/llm-judge-config.mjs` `resolveJudgeConfig()` — DEFAULT OFF, `enabled=true` только если И флаг `ROUTER_LLM_JUDGE_ENABLED` truthy, И ключ резолвится (keychain→env); keychain-ошибки degrade в «нет ключа, выключен», не бросают. +10 тестов GREEN; связка judge+safe-baseline 93/93 без регрессий. Файл написан, судья ОСТАЁТСЯ ВЫКЛЮЧЕННЫМ (нет флага, нет ключа, хуки не прописаны).
+- **2b активация (НЕ сделано, требует владельца, деньги отсюда):** (1) ключ в keychain (служба `router-gate-llm-judge`/`default`) ИЛИ `ROUTER_LLM_KEY`; (2) `ROUTER_LLM_JUDGE_ENABLED=1`; (3) хуки `enforce-llm-judge-*` в settings.json. До всех трёх — $0.
+
+### [x] 3. Хук-обёртки судьи — СДЕЛАНО (31.05, commit `ca52d354`, pushed)
+
+- **Что:** `tools/enforce-llm-judge-per-tool.mjs` + `tools/enforce-llm-judge-response-scan.mjs` написаны по TDD как соседние обёртки — чистая `decide()` (уважает config-gate, disabled→allow $0) + namespaced **no-op `main()`** (БЕЗ регистрации в settings.json). 14 тестов GREEN, полный прогон без регрессий.
+- **Зачем:** недостающее звено между движком судьи и settings.json — готово к шагу 2b.3.
+- **Осталось (владелец, 2b):** ключ + флаг `ROUTER_LLM_JUDGE_ENABLED=1` + регистрация хуков в settings.json. До всех трёх — $0.
+
+---
+
+## Приоритет 3 — порядок и документация
+
+### [~] 4. Синхронизация «мозга» (нормативка) — КОНТЕНТ ГОТОВ, ПРИМЕНЕНИЕ ЗАБЛОКИРОВАНО (31.05)
+
+- **Готово:** ready-to-paste §6-абзац + §9-entry + header version-bump для 1b — `docs/observer/notes/2026-05-31-claude-md-1b-insertion-draft.md`. §0 cross-ref счётчики НЕ меняются (инфраструктура `tools/`, не tooling-канон #1-#86 / не ADR / не off-phase).
+- **⚠️ НОВЫЙ БЛОКЕР (31.05):** `enforce-read-path-deny` (Smoke 5, 30.05) добавил `CLAUDE.md` в Read-protected paths → harness Edit требует предварительного Read → **Edit CLAUDE.md для Claude невозможен**, а Write-overwrite канонического файла слишком рискован. Это **over-block** legit `claude-md-management` workflow (Smoke 5 целил в transcript/runtime exfil; Read-deny на публичный-в-репо CLAUDE.md security-ценности не несёт). Владелец: либо сузить `DEFAULT_PROTECTED_PATTERNS` (убрать `CLAUDE.md` из Read-deny, оставить Bash/PowerShell/Write-защиты), либо вставить вручную из draft. Учение уже зафиксировано в этой заметке + handoff, ничего не теряется.
+
+### [ ] 5. Выйти из изолированной копии (worktree) — ПОДГОТОВЛЕНО К РЕАЛИЗАЦИИ (31.05)
+
+- **Верификация выполнена (31.05):** worktree `.claude/worktrees/router-gate-v4-stream-h-close` проверен — все 4 рабочих файла (`enforce-safe-baseline-metering.mjs`+`.test.mjs`, `llm-judge-config.mjs`+`.test.mjs`) **байт-в-байт идентичны main** (4× пустой `git diff --no-index`); `git log main..worktree-router-gate-v4-stream-h-close` **пуст** (нет уникальных коммитов). Несохранённой нужной работы НЕТ — терять нечего.
+- **Готовая команда (выполняет ВЛАДЕЛЕЦ — `git worktree` для Claude в default-deny гейта, approval-пути к нему нет; через PowerShell — запрещённый обход):**
+
+  ```bash
+  git worktree remove --force ".claude/worktrees/router-gate-v4-stream-h-close"
+  git branch -D worktree-router-gate-v4-stream-h-close   # опционально — ветка-база, уникальных коммитов нет
+  ```
+
+  `--force` нужен: рабочая папка worktree содержит те же 4 файла, что уже в main (relative своей старой ветки они «незакоммичены»), плюс авто-регенерируемый STATUS.md-дрейф.
+- **Статус решения:** 30.05 владелец выбрал «оставить worktree». Шаги выше — на случай, когда решит удалить; ничего не блокируют (worktree безвреден, только занимает диск).
+
+---
+
+## Приоритет 4 — крупное, требует железа и ручных шагов владельца
+
+### [ ] 6. Layer 5 (v4.2) — виртуалка / биометрия / YubiKey
+
+- **Что:** Phase 1 VirtualBox ($0), Phase 2+3 — YubiKey ($50–150 разово, один ключ покрывает биометрию + HSM).
+- **Загвоздка:** Claude может написать только конфиги/инструкции; установка и железо — на владельце.
+- **Делать:** отдельным заходом, когда дойдут руки и появится YubiKey.
+
+---
+
+## Перенос в git — СДЕЛАНО (31.05)
+
+Всё зафиксировано и запушено в `origin/main` (`c8059880..84dcf4aa`, fast-forward, gitleaks-full-history GREEN / lychee 0 errors). Коммиты сессии:
+
+- `ca52d354` — judge-обёртки (item 3).
+- `6d512f5c`/`9f84d9ef`/`c86fdfc9`/`84dcf4aa` — спек safe-baseline v1→v4 + план + handoff (item 1b doc).
+- `f740f612` — живой safe-baseline `main()` (item 1b code).
+- `80e514f5` — `enforce-runtime-write-deny` (C3).
+
+Items 1a/2a (`enforce-safe-baseline-metering` обёртка + `llm-judge-config`) были перенесены из worktree ранее (commits `6ac4b1c1`+`c8059880`).
+
+## Что НЕ требует действий (уже сделано параллельными сессиями)
+
+- recovery-procedures.md — есть.
+- brain-retro таблицы 16–17 — есть (в анализаторе).
+- Исправления `extractPathArgs` / `pathDenyOverlay` — есть.
+- Защита от чтения транскриптов (Smoke 5) — работает.
+- Smoke-тесты 1–9 — прогнаны.
--- a/Show More
+++ b/Show More