Aktueller Stand
Die Trust-File-Haltung der aktuellen Runtime: was live geschlossen ist, was code-complete ist und was bewusst begrenzt bleibt.
Supabase-Haertung ist live geschlossen
RLS fuer release-relevante Tabellen, Entfernung permissiver Policies, Function-Grants, search_path-Haertung, private Media-Buckets und Signer-Registry-Lesehaltung sind in Production angewandt und read-only belegt.
Relaxed-Auth-Incident ist strukturell geschlossen
Das Production-Core-Image lehnt Relaxed Auth unter AIJIM_ENV=prod ab, auch wenn der Flag fehlt oder auf 1 steht. Runtime- und Template-Images sind ueber immutable Digests gepinnt.
Verifier-Vertrag ist sprachuebergreifend gegatet
Canonical JSON, Source-Set-Hash, Merkle Root und audit-bundle-Signaturen sind durch TypeScript/Python-Conformance-Checks in der PR-Lane gedeckt.
Production-L2-Signaturpfad existiert
Ein echter Production-Signer-Record ist aus dem live Core-Signaturschluessel registriert; L2-Verifikation laeuft ueber die gemeinsame Verifier-Authority und CLI.
Flow-A-Verifier-Policy ist belegt
Happy Path, revoked signer, expired signer und public-key mismatch sind gegen den Verify-Pfad als getrennte Trust-Policy-Eigenschaften bewiesen. Lokal/hybrid existiert zudem ein echtes L2-Bundle mit menschlichem Actor und trusted Anchor.
Slice 1 UX-Boden ist lokal gehaertet
Route-/Surface-Inventur, SSR-Budget, Story-Delay-Recovery, Mapbox-Lifecycle, explizite Case-Exits und lokale Browser-Smokes fuer Map, List, Story und Close-case sind gruen.
Slices 2 bis 6 sind lokal weiter gehaertet
Map/List/Reader-URL-Zustand, Reader-Readiness-Copy, Generate-Doppelstartschutz, explizite Human-Review-Entscheidung und lokalisierte Trust-File-Proof-Freshness sind testseitig gruen. Der Human-Walkthrough bleibt das Greenlight-Gate.
Production L2 ist nicht der volle Key-Lifecycle-Abschluss
Rotation, Revocation-Drills, begrenzte Gueltigkeitsfenster und KMS/HSM-gestuetzte Key-Ablage bleiben explizite Haertungsarbeit.
App-zu-Core-User-JWT-Auth ist vorerst service-token-delegiert
Core unterstuetzt RS256/ES256 ueber JWKS, waehrend die beobachtete Production-Supabase-User-Token-Haltung HS256 ist. Bis die asymmetrische JWT-Migration belegt ist, klassifiziert die Release-Evidence App-zu-Core als service-token-delegiert.
Wissenschaftlicher Abschluss bleibt begrenzt
T.1 ist geschlossen. T.2 formales Theorem/Supervisor-Review und T.4 zweiter Real-Domain-Fall bleiben offen. T.3 ist materiell weit, braucht aber weiter den benannten externen Falsifikationsabschluss.
Impact-Metriken bleiben ehrlich
Impact-Tools und Doku behaupten keine hash-verifizierten Impact-Metriken, solange keine server-attestierte Aggregation existiert.
Market-ready ist noch kein ausgesprochener Abschluss
Der technische UX-Boden ist lokal stark, aber der komplette Human-Reviewer-Walkthrough auf Desktop und Mobile ist noch das Greenlight-Gate. Test-gruen ist nicht dasselbe wie Pilot-Greenlight.
Production-Pilot-Signal braucht letzte Reproduktion
Vor einem externen NamicGreen-Satz muss der Flow-A-Happy-Path gegen Production reproduziert werden: echtes L2-Bundle, menschlicher Actor ohne wskey und signatureTrusted=true gegen den echten Anchor.