Aller au contenu

PD-277 — Rapport de confrontation (Etape 3)

Ce rapport est produit par l'orchestrateur Claude avant chaque gate PMO. Il confronte les documents produits pour identifier convergences, divergences et zones d'ombre.

1. Sources confrontees

  • Specification canonique : PD-277 — Specification canonique anti-rejeu nonce et PKI certificate binding (v1.1) (etape 1)
  • Scenarios de tests contractuels : PD-277 — Scenarios de tests contractuels (etape 2)

2. Convergences

  • Le scope fonctionnel est aligne sur les deux axes mandates (anti-rejeu nonce sur reEncrypt() et PKI binding sur generateReKey()), sans extension hors legal-pre.
  • Les invariants critiques sont repris dans la matrice de couverture de tests (INV-277-01 a INV-277-08), avec references explicites aux criteres d'acceptation.
  • Le mode fail-closed est coherent entre spec et tests : toute anomalie nonce/certificat/persistance doit produire un rejet explicite sans succes metier partiel.
  • L'objectif de conformite Prolog est convergent : regeneration de _generated-facts.pl, execution run_audit., attente de 24/24 checks bloquants OK avec checks 23/24 explicites.
  • Les exigences de migration (up/down) sont convergentes : execution sans erreur et restauration schema post-down.
  • La non-regression des 22 checks deja conformes est explicitement couverte des deux cotes (spec + plan de tests).

3. Divergences

⚠️ Les conflits ne doivent JAMAIS etre lisses. Chaque divergence est rendue visible.

  • DIV-01 : Reference Epic incoherente/non stabilisee entre les documents.
  • Source A (specification) : section References = Epic : A completer (reference non fournie).
  • Source B (tests) : section References = Epic : EPIC-XX.

  • Impact : tracabilite documentaire et synchronisation Jira non fiabilisees pour le dossier de gate.

  • DIV-02 : Ecart entre caractere "non negociable" des invariants et leur niveau de demonstrabilite dans le plan de tests.

  • Source A (specification) : INV-277-06 et INV-277-08 sont declares non negociables au meme niveau que les autres invariants.
  • Source B (tests) : couverture Partielle pour INV-277-06 et INV-277-08 + section "Regles non testables" signalant des preuves manquantes (KMS/HSM, baseline etats).
  • Impact : risque de verdict PMO sous reserve ou non conforme faute de preuve complete sur des invariants pourtant obligatoires.

4. Zones d'ombre

  • Format contractuel du nonce non fige (longueur, encodage, normalisation, casse), ce qui laisse des comportements potentiellement ambigus en rejeu.
  • Politique de stockage de used_nonces non contractualisee (TTL, cardinalite max, archivage), avec impact direct sur robustesse et exploitation.
  • Typage SQL exact et contraintes DB des nouveaux champs (used_nonces, owner_certificate_id, recipient_certificate_id) non decrits de facon canonique.
  • Modalite d'immutabilite des certificats non precisee (enforcement domaine, DB, trigger, historisation).
  • Referentiel canonique des faits Prolog attendus pour prouver checks 23/24 absent, alors que c'est un pre-requis de preuve formelle.
  • Baseline explicite des etats metier pre-PD-277 absente pour demontrer rigoureusement INV-277-08 (aucune transition nouvelle).
  • Preuves operationnelles de chiffrement at-rest (AES-256-GCM/HSM envelope) non decrites dans le dossier de tests.
  • Contraintes et impacts sur triggers/workers dependants mentionnes comme "a verifier" dans la spec, mais non documentes factuellement.

5. Recommandation

  • Proceder — convergence confirmee, aucun conflit bloquant
  • Rework necessaire — divergences a resoudre avant de continuer
  • Escalade — decision humaine requise sur un point structurant