PD-287 — Retour d'expérience (REX)¶

1. Résumé exécutif¶

2. Métriques de convergence¶

2.1 Temps et itérations¶

2.2 Scores de convergence par gate¶

2.3 Écarts par catégorie¶

3. Points fluides¶

• Spec enrichie v2 fortement améliorée : delta +1.25 entre v1 et v2 de Gate 3 grâce à l'ajout complet des bornes numériques §5.2, de la FSM explicite §5.5 et des contraintes techniques §10.1.
• Plan détaillé : 14 composants identifiés, 4 waves de parallélisation, 28 points de vigilance tracés — base robuste pour la décomposition multi-agents.
• Gate 8 delta +2.0 : la v2 (après corrections) a rattrapé 2 points complets, ce qui démontre la valeur de la boucle de correction.
• Temps LLM bref : les étapes LLM pures (spec, tests, plan) ont convergé en ~10 min chacune grâce au prompt caching et à l'injection unifiée (PD-295).
• Traçabilité intégrale : tous les verdicts, reviews et confrontations sont sauvegardés dans le dossier epic.

4. Points difficiles¶

• Gate 8 v1 NON_CONFORME sévère (5.25/10) : le code livré par les agents step 6 présente 5 bloquants code + 3 critiques sécurité — le verdict v1 reflète un écart majeur entre plan et implémentation.
• Tests CI absents : aucun test unitaire/intégration n'a été produit par les agents step 6. agent-tests (C14 du plan) n'a pas été exécuté ou n'a produit aucun livrable testable.
• Sonar skipped : Docker indisponible et sonar-scanner non installé → Phase 1.5 d'acceptabilité entièrement sautée (violation de la procédure .claude/rules/procedures.md Étape 7).
• Crypto PRE en mode STUB : la primitive centrale de la story (proxy re-encryption) a été livrée en STUB documenté — ce que la spec/plan interdisaient (INV-287-02 + INV-287-18 + lint CI no-plaintext-key).
• Session non liée au share_link_id (critique sécurité CVSS 9.1) : violation directe de INV-287-05 (compartimentation) non détectée en cours d'implémentation.
• Transactions atomiques non appliquées : plusieurs services (createSession, purgeLink, expireOrphanLinks) ont l'audit append hors transaction, violant INV-287-21 (fail-closed).

5. Hypothèses révélées tardivement¶

• H-plan-06 (scope ack DRM = compte serveur) découverte à l'étape 4 via ADR-287-02 ; non documentée dans la spec v2.
• H-plan-08 (idempotence canonique JCS RFC 8785) découverte à l'étape 4 ; impose une contrainte client non documentée dans la spec.
• Extension enum audit_event_type (LINK_OTP_BLOCKED, LINK_REAUTH_REQUESTED, LINK_REAUTH_CONFIRMED) introduite en step 4 comme « correction spec proposée » — extension non ratifiée par Gate 3.
• Endpoints /reauth/* présents dans le diagramme de séquence spec mais absents du §5.4 contractuel — formalisés unilatéralement en plan §2.3.
• OTP_CODE_TTL_SECONDS=300s ajouté par le plan sans décision PO (H-plan-03).
• max_inline_document_bytes=50 MB introduit par ADR-287-01, absent du §5.2 spec.

6. Invariants complexes¶

• INV-287-01 (zero-knowledge) — TC-INV-11 : protocole de grep mémoire non déterministe ; script scripts/security/memory-scan.sh défini en plan §9 point 11 mais non exécuté en acceptabilité.
• INV-287-13 (hash-chain + ancrage Merkle) — DIV-05 : hash-chain lecture sans verrou → fork en concurrence. ADR-287-03 (worker mono-instance + pg_advisory_lock) non appliqué dans l'implémentation.
• INV-287-08 (révocation P95 ≤ 2s) — ZO-06 : aucune mesure perf (k6 N≥200) exécutée ; SLO non vérifié.
• INV-287-12 (anti-enumeration 404 homogène) — DIV-04 : ShareProofGuard relance les NotFoundException avec messages différents, brisant l'enveloppe unique.
• INV-287-17 (trust-store obligatoire) — DIV-02 + DIV-10 : verifyCertificateChain() pas appelée dans reEncrypt(), TRUST_STORE_CONFIG provider non visible.
• INV-287-21 (atomicité DB + audit synchrone) — DIV-05 + DIV-08 : multiples services audit hors transaction métier.
• INV-287-02/18 (PRE obligatoire + roundtrip) — DIV-16 : PRE en STUB, test roundtrip absent.

7. Dette technique¶

• Crypto PRE en STUB — impact : élevé. À remplacer par une lib réelle (Umbral PRE ou équivalent) avant tout déploiement.
• Aucun test CI — impact : élevé. 70+ TC contractuels non couverts. Story de rattrapage obligatoire (suite tests C14).
• Sonar non scanné — impact : moyen. À exécuter post-merge sur pipeline GitLab ou localement après installation sonar-scanner.
• Session non scopée share_link_id — impact : élevé. Fix obligatoire avant merge (CVSS 9.1).
• Extensions plan non ratifiées par spec (enum audit, endpoints reauth, OTP TTL) — impact : moyen. Propagation à la spec ou rollback requis pour cohérence.
• Worker Merkle mono-instance non garanti — impact : moyen. pg_advisory_lock à implémenter.
• Mesure P95 révocation absente — impact : moyen. Scénario k6 à produire (PD-287-PERF).
• 1 TODO tracé (PD-287 Merkle worker stub) — impact : faible.

8. Risques résiduels¶

8bis. Matrice de délégation inter-PD¶

8ter. Bugs de tests¶

Aucun bug de test rencontré : aucun test n'a été exécuté (0 TC produit).

8quater. Corrections post-Gate 8¶

9. Patterns récurrents détectés¶

9.1 Patterns confirmés (déjà vus dans d'autres stories)¶

• Génération massive de code sans couverture test proportionnelle — aussi dans PD-80, PG-03, PG-04. Ici amplifié à 52 fichiers TS / 3717 lignes sans aucun test.
• Validation format ≠ validation fonctionnelle — learning universel 2026-03-09 (PD-283, PD-282, PD-265). Ici : verifyCertificateChain absent dans reEncrypt alors que isReady() seul est appelé.
• Anti-enumeration messages 404 distincts — aussi dans PD-85. Ici DIV-04 : guard relance NotFoundException avec messages différents.
• Audit fail-closed absorbé dans catch / hors transaction — aussi dans PD-85, PD-63, PD-250, PD-262, PD-265. Ici DIV-08 : createSession/purgeLink/expireOrphanLinks hors transaction audit.
• STUB crypto sans story de destination précise — pattern PD-250/PD-251. Ici STUB PD-287 sans date cible de retrait ni story dédiée.
• Contraintes/extensions plan↔spec non ratifiées — aussi dans PD-254, PD-262. Ici DIV-17 à DIV-22 (6 extensions non ratifiées par Gate 3).

9.2 Nouveaux patterns identifiés¶

• Agents isolés sans intégration cross-module — 52 fichiers produits en 4 waves mais session non liée au share_link_id (DIV-01), guard non homogène (DIV-04), trust-store provider non visible (DIV-10) : les agents n'ont pas vu le contrat commun appliqué bout-en-bout.
• Acceptabilité minimale sans tests ni Sonar — prérequis « Tests CI : pas de tests … (code agents) » coché comme normal, sans escalade : pattern à flagger systématiquement (violation procédure Étape 7).
• Delta Gate 8 de +2.0 en une seule itération v1→v2 — la correction post-v1 a majoritairement été une mise à jour doctrinale (plan + acceptabilité rediscutés) plutôt qu'un vrai fix code ; à surveiller si le pattern se répète (risque de gate « cosmétique »).
• Step 0 très long (101 min) — 3× la cible de 30 min. Exploration du domaine sharing + 4 clarifications PO + vérification de cohérence + injection unifiée. À normaliser si répété.

10. Améliorations du workflow¶

10.1 Améliorations des prompts/templates¶

10.2 Améliorations des agents¶

10.3 Améliorations du processus¶

• Gate 7 Phase 1.5 (Sonar) non contournable : installer sonar-scanner automatiquement si absent (cf. .claude/rules/procedures.md déjà prescrit) et escalader si Docker indisponible. Ici le workflow a continué malgré le skip.
• Check pré-Gate 8 « tests exécutés ? » : ajouter une gate déterministe simple (test count > 0) avant de lancer le verdict Gate 8 v1. Évite qu'un verdict soit rendu sur un code non testé.
• Check post-step-4 « extensions plan vs spec » (/gov-check-plan Phase 4) : détecter automatiquement les champs/events/endpoints introduits par le plan et absents de la spec ; forcer escalade PO ou retour Gate 3.
• Formal-check integration : le formal-check GO 99.7 step 0 a validé la cohérence du besoin, mais aucun formal-check n'a été lancé post-step-4 ou post-step-6 pour cette story → vérifier que tous les hooks Art. VIII se sont bien exécutés.

11. Enseignements clés¶

1. Aucun test, aucune gouvernance — Le plan a prévu agent-tests en wave 4 et exigé 80% coverage. Les agents step 6 ont livré 52 fichiers TS sans aucun test. L'acceptabilité a coché « N/A » sans escalade. Résultat : Gate 8 RESERVE sur un code non testé. Règle à graver : aucun verdict Gate 8 possible si 0 test CI exécuté.
2. La compartimentation session/ressource se perd en multi-agents — Chaque agent produit son composant conforme à son prompt, mais le contrat transverse (ici : session liée à share_link_id) n'est porté par aucun. Ajouter un contrat partagé inter-agents explicite en step 6a.
3. Un STUB d'invariant obligatoire est un NON_CONFORME déguisé — Le stub PRE a été accepté comme « attendu, documenté STUB: PD-287 » alors que INV-287-02 et INV-287-18 l'interdisent explicitement. Dérogation jamais tracée formellement par le PO. Règle : un STUB sur une primitive d'invariant obligatoire doit déclencher escalade PO avant Gate 8.
4. Les extensions plan→spec doivent être ratifiées — 6 extensions (enum audit, endpoints reauth, OTP TTL, inline 50 MB, chiffrement PG, scope ack compte) introduites en plan sans retour vers Gate 3. À terme : soit la spec doit être amendée, soit le plan doit rollback. Le workflow actuel ne force aucune décision.
5. Transactions atomiques audit+métier : pattern récurrent à coder par défaut — 6e story consécutive (PD-85, PD-63, PD-250, PD-262, PD-265, PD-287) où le pattern est violé. Mûr pour un learning-as-invariant injecté automatiquement dans les prompts agents via .claude/rules/learnings-universal.md (déjà présent mais visiblement non internalisé par les agents step 6).

12. Métriques cumulatives (auto-calculées)¶

Cette story cumule plus d'écarts que la moyenne (46 vs 15.4) et un score final sous la moyenne projet (7.25 vs 8.45). Cause principale : 0 test CI livré et crypto PRE en STUB. Story à suivre avec ses 8 dépendances sortantes (CRYPTO, TESTS, PERF, SONAR, FRONT, EXT-½/3).