AIJIM PROTOOLS
Trust-File-WahrheitAktuell

Aktueller Stand

Die Trust-File-Haltung der aktuellen Runtime: was live geschlossen ist, was code-complete ist und was bewusst begrenzt bleibt.

Geschlossen oder belegt

Supabase-Haertung ist live geschlossen

RLS fuer release-relevante Tabellen, Entfernung permissiver Policies, Function-Grants, search_path-Haertung, private Media-Buckets und Signer-Registry-Lesehaltung sind in Production angewandt und read-only belegt.

Relaxed-Auth-Incident ist strukturell geschlossen

Das Production-Core-Image lehnt Relaxed Auth unter AIJIM_ENV=prod ab, auch wenn der Flag fehlt oder auf 1 steht. Runtime- und Template-Images sind ueber immutable Digests gepinnt.

Verifier-Vertrag ist sprachuebergreifend gegatet

Canonical JSON, Source-Set-Hash, Merkle Root und audit-bundle-Signaturen sind durch TypeScript/Python-Conformance-Checks in der PR-Lane gedeckt.

Production-L2-Signaturpfad existiert

Ein echter Production-Signer-Record ist aus dem live Core-Signaturschluessel registriert; L2-Verifikation laeuft ueber die gemeinsame Verifier-Authority und CLI.

Flow-A-Verifier-Policy ist belegt

Happy Path, revoked signer, expired signer und public-key mismatch sind gegen den Verify-Pfad als getrennte Trust-Policy-Eigenschaften bewiesen. Lokal/hybrid existiert zudem ein echtes L2-Bundle mit menschlichem Actor und trusted Anchor.

Slice 1 UX-Boden ist lokal gehaertet

Route-/Surface-Inventur, SSR-Budget, Story-Delay-Recovery, Mapbox-Lifecycle, explizite Case-Exits und lokale Browser-Smokes fuer Map, List, Story und Close-case sind gruen.

Slices 2 bis 6 sind lokal weiter gehaertet

Map/List/Reader-URL-Zustand, Reader-Readiness-Copy, Generate-Doppelstartschutz, explizite Human-Review-Entscheidung und lokalisierte Trust-File-Proof-Freshness sind testseitig gruen. Der Human-Walkthrough bleibt das Greenlight-Gate.

Begrenzt, nicht versteckt

Production L2 ist nicht der volle Key-Lifecycle-Abschluss

Rotation, Revocation-Drills, begrenzte Gueltigkeitsfenster und KMS/HSM-gestuetzte Key-Ablage bleiben explizite Haertungsarbeit.

App-zu-Core-User-JWT-Auth ist vorerst service-token-delegiert

Core unterstuetzt RS256/ES256 ueber JWKS, waehrend die beobachtete Production-Supabase-User-Token-Haltung HS256 ist. Bis die asymmetrische JWT-Migration belegt ist, klassifiziert die Release-Evidence App-zu-Core als service-token-delegiert.

Wissenschaftlicher Abschluss bleibt begrenzt

T.1 ist geschlossen. T.2 formales Theorem/Supervisor-Review und T.4 zweiter Real-Domain-Fall bleiben offen. T.3 ist materiell weit, braucht aber weiter den benannten externen Falsifikationsabschluss.

Impact-Metriken bleiben ehrlich

Impact-Tools und Doku behaupten keine hash-verifizierten Impact-Metriken, solange keine server-attestierte Aggregation existiert.

Market-ready ist noch kein ausgesprochener Abschluss

Der technische UX-Boden ist lokal stark, aber der komplette Human-Reviewer-Walkthrough auf Desktop und Mobile ist noch das Greenlight-Gate. Test-gruen ist nicht dasselbe wie Pilot-Greenlight.

Production-Pilot-Signal braucht letzte Reproduktion

Vor einem externen NamicGreen-Satz muss der Flow-A-Happy-Path gegen Production reproduziert werden: echtes L2-Bundle, menschlicher Actor ohne wskey und signatureTrusted=true gegen den echten Anchor.

UI-Systemstand

Eine reduzierte Produkt-Stage.

Public Login, Demo, Workspaces, Organisation, API-Key-Einstellungen und Story-Flächen nutzen die kompakte Stage-Sprache.
Die gemeinsame App-Rail ist die Produkt-UI-Authority: kompakte 76px-Stage-Spalte, zentrierte 62px-Rail, 48px-Items.
Die Doku nutzt dieselbe reduzierte Stage-Grammatik statt einer permanenten breiten Dokumentations-Sidebar.
Market-Ready Gate Testanleitung Deployment-Belege