i-repo 2.13.0 → 2.14.0

package/dist/commands/deliver/aggregate.js

@@ -66,8 +66,8 @@ export function buildDeliverRun(meta, sinks) {
             status,
             delivered,
             ...(s.skippedReason ? { skippedReason: s.skippedReason } : {}),
-            ...(s.dest !== undefined ? { dest: s.dest } : {}),
-            ...(s.canonicalLandedUri !== undefined ? { canonicalLandedUri: s.canonicalLandedUri } : {}),
+            ...(s.dest !== undefined ? { dest: maskUserinfo(s.dest) } : {}),
+            ...(s.canonicalLandedUri !== undefined ? { canonicalLandedUri: maskUserinfo(s.canonicalLandedUri) } : {}),
             ...(s.failure ? { failure: s.failure } : {}),
             receipts: maskUserinfo(s.receipts),
         };

package/dist/commands/deliver/index.js

@@ -24,6 +24,7 @@ export const deliverCommand = new Command("deliver")
         format: globals.format,
         quiet: globals.quiet,
         timeout: globals.timeout,
+        flowName: spec.flowName, // archive の {flow} 展開（#89）
     };
     const run = await runDeliver(spec, ctx, { dryRun, archiveClean: !!opts.archiveClean });
     // run 集約は常に stdout へ（DC が結果に依らず永続化できる・§9.7）。

package/dist/commands/deliver/orchestrator.js

@@ -65,7 +65,31 @@ async function runSink(sink, archivePath, ctx, resolver) {
     const cap = await capturePlugin(sink.plugin, [sink.subcommand, archivePath, ...extraArgs], ctx);
     if (!cap)
         return { ...base, failure: `plugin "i-repo-${sink.plugin}" not found` };
-    return { ...base, code: cap.code, receipts: cap.receipts, ...(sinkFailure(cap.code, cap.receipts)) };
+    // bundle sink の receipt が焼いた canonical な store location（dest）/ storeKind を
+    // sink へ載せる（#89）。DC が catalog の dataset identity・store.location に使うため、
+    // **delivered（verify 成功）した sink のみ**に載せる — 失敗 sink の receipt も
+    // dest を持つが、未着地の宛先を identity として広告すると DC が phantom dataset を作る。
+    const verifiedOk = receiptVerifiedOk(cap.receipts);
+    return {
+        ...base,
+        code: cap.code,
+        receipts: cap.receipts,
+        ...(verifiedOk ? sinkDestFromReceipts(cap.receipts) : {}),
+        ...(sinkFailure(cap.code, cap.receipts)),
+    };
+}
+/** push receipt が焼いた canonical `dest` / `storeKind` を拾う（#89・bundle sink）。 */
+function sinkDestFromReceipts(receipts) {
+    const out = {};
+    for (const r of receipts) {
+        if (typeof r.dest === "string" && out.dest === undefined)
+            out.dest = r.dest;
+        if (typeof r.storeKind === "string" && out.storeKind === undefined)
+            out.storeKind = r.storeKind;
+        if (out.dest !== undefined && out.storeKind !== undefined)
+            break;
+    }
+    return out;
 }
 /** enrichLocator stream sink が依存する bundle sink id（明示 locatorFrom／単一 bundle なら自動）。 */
 function locatorSourceId(sink, bundleIds) {
@@ -86,6 +110,9 @@ export async function runDeliver(spec, ctx, opts) {
     const startedAt = localDash(new Date());
     const dryRun = opts.dryRun;
     const already = new Set(spec.alreadyDelivered ?? []);
+    // spec.flowName を IREPO_FLOW_NAME として全プラグインへ渡す（archive の {flow}
+    // 展開・#89）。caller(index.ts) に依らずオーケストレータが正本（直接呼び出しでも効く）。
+    ctx = { ...ctx, flowName: spec.flowName ?? ctx.flowName };
     // 1. archive create を 1 回（ハブ）。
     const archiveArgs = [
         spec.archive.subcommand,

package/dist/plugins/dispatch.d.ts

@@ -8,6 +8,11 @@ export interface PluginContext {
     quiet?: boolean;
     /** Request timeout in seconds (--timeout); forwarded as IREPO_TIMEOUT. */
     timeout?: string;
+    /**
+     * フロー名。`deliver`（fan-out）が spec.flowName から渡す。IREPO_FLOW_NAME として
+     * プラグインへ転送し、archive の `--to`/`--prefix` の `{flow}` 展開に使う（#89）。
+     */
+    flowName?: string;
     /**
      * --save のファイルパス。プラグインは stdout を inherit で直接所有する
      * ため --save は適用できない — 呼び出し側 (run) で明示エラーにする

package/dist/plugins/dispatch.js

@@ -246,6 +246,12 @@ export function buildPluginEnv(ctx, opts = {}) {
         env.IREPO_FORMAT = String(format);
     if (timeout)
         env.IREPO_TIMEOUT = String(timeout);
+    // フロー名（deliver fan-out 由来）。archive の {flow} 展開に使う（#89）。host が
+    // 権威的に設定する: 継承値を先に scrub（PATH バイナリが IREPO_FLOW_NAME を spoof して
+    // 着地パス/canonical dest を捻じ曲げるのを防ぐ＝fingerprint 系と同じ規律）。
+    delete env.IREPO_FLOW_NAME;
+    if (ctx.flowName)
+        env.IREPO_FLOW_NAME = String(ctx.flowName);
     env.IREPO_QUIET = quiet ? "1" : "";
     env.IREPO_PLUGIN_API = "1";
     // Provenance of the resolved i-Reporter endpoint, computed CLI-side — the CLI

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "i-repo",
-  "version": "2.13.0",
+  "version": "2.14.0",
   "description": "Modern CLI for ConMas i-Reporter - Built for humans and AI",
   "type": "module",
   "bin": {

package/plugins/i-repo-archive

@@ -44,7 +44,7 @@ async function loadBuiltins() {
 }
 
 const PLUGIN = "i-repo-archive";
-const VERSION = "0.6.1";
+const VERSION = "0.6.2";
 const PLUGIN_API = "1";
 const defaultArchiveRoot = () => join(homedir(), ".i-repo", "archives");
 
@@ -817,12 +817,17 @@ async function pushArchiveBundle(options, backend) {
   // 宛先サブパス。--prefix 指定時はテンプレ解決後の安全な相対パスが「実行ごとフォルダ」を置き換える。
   // 未指定なら従来どおり batchDir(UUID)。destSub は宛先専用で、ローカル dir 名(batchDir)とは分離する。
   const destSub = options.prefix ? resolvePrefixTemplate(options.prefix, { batchDir }) : batchDir;
+  // --to のテンプレ（{flow} 等）を展開し、着地も dest も展開後の値で扱う（issue #89）。
+  const expandedTo = expandToTemplate(options.to);
+  // バッチ非依存の安定 store location（catalog 掲載用）。実行フォルダ destSub は含めない。
+  const dest = canonicalBundleDest(backend.store, expandedTo);
+  const storeKind = `${backend.store}-bundle`;
   const env = buildPushEnv(options);
 
   if (options.dryRun) {
     // local は OS パス結合（joinDest）、cloud は scheme ベースの joinUri。
-    const previewDest = backend.joinDest ? backend.joinDest(options.to, destSub) : joinUri(options.to, destSub);
-    emitReceipt("write", jobId, count, 0, false, { archivePath, [backend.prefixKey]: previewDest, dryRun: true });
+    const previewDest = backend.joinDest ? backend.joinDest(expandedTo, destSub) : joinUri(expandedTo, destSub);
+    emitReceipt("write", jobId, count, 0, false, { archivePath, [backend.prefixKey]: previewDest, dest, storeKind, dryRun: true });
     return;
   }
 
@@ -832,10 +837,10 @@ async function pushArchiveBundle(options, backend) {
   await fsp.rm(receiptPath, { force: true });
   // Upload the bundle first; only after the recursive copy succeeds do we
   // write the push receipt and upload it as a final, separate object.
-  const destination = await backend.upload(archivePath, options.to, destSub, env);
-  emitReceipt("write", jobId, count, 0, false, { archivePath, [backend.prefixKey]: destination });
+  const destination = await backend.upload(archivePath, expandedTo, destSub, env);
+  emitReceipt("write", jobId, count, 0, false, { archivePath, [backend.prefixKey]: destination, dest, storeKind });
 
-  await writeJsonFile(receiptPath, { jobId, count, archivePath, [backend.prefixKey]: destination, pushedAt: new Date().toISOString() });
+  await writeJsonFile(receiptPath, { jobId, count, archivePath, [backend.prefixKey]: destination, dest, storeKind, pushedAt: new Date().toISOString() });
   await backend.uploadReceipt(receiptPath, destination, env);
 
   // ── verify phase: read the receipt object back from the destination ──
@@ -845,7 +850,7 @@ async function pushArchiveBundle(options, backend) {
   // (PLUGINS.md: 不可逆処理は exit 0 ではなく verified receipt を条件にする)。
   // 削除失敗は配送の失敗ではないので exit 0 のまま、ただし receipt の
   // cleanedUp:false と stderr で必ず報告する (沈黙させない)。
-  const extras = { archivePath, [backend.prefixKey]: destination };
+  const extras = { archivePath, [backend.prefixKey]: destination, dest, storeKind };
   if (options.cleanup) {
     if (verified) {
       try {
@@ -1512,3 +1517,56 @@ function resolvePrefixTemplate(template, { batchDir }) {
 function joinS3Uri(prefix, child) {
   return `${prefix.replace(/\/+$/, "")}/${child.replace(/^\/+/, "")}`;
 }
+
+/**
+ * --to トークンを URI パスセグメント安全な**単一トークン**へ無害化する（issue #89）。
+ * `sanitizeUnicodeFileName` が `/\` 等を `_` に潰す（パス深さ注入防止）のに加え、URI 予約/
+ * 問題文字（`#`・`?`・`@`・`%`・空白）も `_` にする — これで dest が round-trippable かつ
+ * 全ストアで安全（azure の `[?#]` 拒否や `#` フラグメント切れを防ぐ）。Windows 予約名も無害化。
+ */
+function sanitizeToToken(value) {
+  let s = sanitizeUnicodeFileName(String(value).replace(/[\x00-\x1f\x7f]/g, ""));
+  s = s.replace(/[#?@%\s]/g, "_");
+  return WIN_RESERVED.test(s) ? `_${s}` : s;
+}
+
+/**
+ * --to のテンプレートを展開する（issue #89・§9.4a）。dest は**バッチ非依存**でなければ
+ * ならないので、--to で許すのは**安定キー `{flow}` のみ**。run-varying トークン
+ * （{batchId}/{datetime}/{date}）は --prefix（実行フォルダ）専用で、--to にあれば拒否する。
+ * {flow} は host が env(IREPO_FLOW_NAME) で渡す。scheme/bucket/区切りは保持。
+ */
+function expandToTemplate(to) {
+  const raw = String(to).replace(/[\x00-\x1f\x7f]/g, "");
+  if (/\{(batchId|datetime|date)\}/.test(raw)) {
+    throw new Error(
+      "--to must not contain run-varying tokens ({batchId}/{datetime}/{date}) — dest must be batch-independent; " +
+      "put those in --prefix. --to may use {flow} only.",
+    );
+  }
+  const flow = sanitizeToToken(process.env.IREPO_FLOW_NAME || "");
+  const expanded = raw.replace(/\{flow\}/g, flow);
+  // 空 {flow} 等で生じる連続スラッシュを畳む（scheme の :// は保持）。
+  return expanded.replace(/(?<!:)\/{2,}/g, "/");
+}
+
+/**
+ * 展開後 --to から、バッチに依らず安定した canonical な store location（dest）を作る（issue #89）。
+ * DC(gemba-os) catalog.rs の canonical_dest と同形（単一コロン）: s3:bucket/prefix・gcs:bucket/prefix・
+ * azure:account/container[/prefix]・dir:absPath。実行フォルダ（--prefix/destSub）は dest に含めない。
+ * secret(userinfo) は含めない（azure --to は query/SAS を parseAzureTo で既に拒否）。
+ */
+function canonicalBundleDest(store, expandedTo) {
+  if (store === "s3" || store === "gcs") {
+    const scheme = store === "s3" ? "s3://" : "gs://";
+    const rest = String(expandedTo).slice(scheme.length).replace(/\/+$/, ""); // bucket[/prefix...]
+    return `${store === "s3" ? "s3" : "gcs"}:${rest}`;
+  }
+  if (store === "azure") {
+    const { account, container, prefix } = parseAzureTo(expandedTo);
+    return prefix ? `azure:${account}/${container}/${prefix}` : `azure:${account}/${container}`;
+  }
+  // local: 絶対パスへ正規化して dir: スキーム（dir-bundle と同表現）。
+  const abs = resolve(normalizeLocalDest(expandedTo));
+  return `dir:${abs}`;
+}

package/spec/gemba-adc/spec.md

@@ -667,6 +667,18 @@ GUI 右側に claude / codex CLI を子プロセスで起動するパネル構
 - URI は round-trippable（§4.4.1）＝ objectKey のパスセグメントは予約文字（`#`・空白・`@` 等）を **percent-encode** してから連結する。
 - secret（userinfo 等）は URI に載せない（§6.2 マスク対象）。**enrich 経路（レコードへの注入）も必ず §6.2 マスクを通す**（receipt だけでなく注入値も対象）。
 
+### 9.4a per-sink の安定 `dest` / `storeKind`（catalog 掲載用・#89）
+
+`canonicalLandedUri` が**レコード単位**の着地 URI なのに対し、`deliver-run.sinks[].dest` は**その配信先が読み返し対象として指す、バッチに依らず安定した store location**（sink 単位）。DC はこれを dataset の identity・`store.location` に使う。
+
+- **算出はプラグイン（bundle backend）が責任を持つ**（store 固有の `--to`/`--prefix` 展開・URL 解析を host で二重化しない＝脱料理）。push receipt に **canonical `dest` ＋ `storeKind`** を焼き、`deliver` はそれを sink へコピーするだけ。
+- **`dest` = canonical(展開後 `--to`)**。**`--to` で展開できる安定キーは `{flow}` のみ**（host が `IREPO_FLOW_NAME` で渡す）。**run-varying トークン（`{batchId}`/`{datetime}`/`{date}`）を `--to` に置くのは拒否**（dest がバッチ非依存でなくなる）＝それらは `--prefix`（run-folder）専用。**実行フォルダ（`--prefix`/destSub）は dest に含めない**。
+- トークン値は **URI パスセグメント安全な単一トークン**へ無害化（`/\` と `#`・`?`・`@`・`%`・空白 → `_`）＝パス深さ注入・`#` フラグメント切れ・azure の `[?#]` 拒否を防ぎ、raw のまま round-trip できる（DC は受信 dest を verbatim 採用するので一致は構成的に保たれる）。空 `{flow}` の連続スラッシュは畳む。
+- **canonical 形（DC `canonical_dest` と同形・単一コロン）**: `s3:<bucket>/<prefix>` ／ `gcs:<bucket>/<prefix>` ／ `azure:<account>/<container>[/<prefix>]` ／ `dir:<absPath>`（prefix 空なら `s3:<bucket>` 等）。secret(userinfo) 非掲載。
+- **`storeKind`**: `s3-bundle` / `gcs-bundle` / `azure-bundle` / `local-bundle`。
+- **delivered（verify 成功）した sink のみ `dest`/`storeKind` を出す**（失敗 sink が未着地の宛先を identity として広告すると DC が phantom dataset を作る）。
+- stream sink（es/sqlite/mongo）は接続値が具体なので `dest`/`storeKind` は任意（現状 bundle のみ populated）。
+
 ### 9.5 per-sink `exported` 次元と再実行（skip-delivered）
 
 - sink の識別は **`id`**（プラグイン名ではない）。同一プラグインで 2 宛先（例: ES の 2 インデックス）を別 sink として許容する。
@@ -703,8 +715,8 @@ L3 カタログの単一書き手は GEMBA OS（§4.2）。`deliver` は **catal
   "sinks": [
     { "id": "es-main", "plugin": "elastic", "kind": "stream", "storeKind": "elasticsearch", "status": "success", "delivered": true,
       "dest": "elasticsearch:irepo-reports@https://es.local", "canonicalLandedUri": null, "receipts": [ /* write+verify・masked */ ] },
-    { "id": "s3-archive", "plugin": "archive", "kind": "bundle", "storeKind": "s3-bundle", "status": "skipped", "delivered": true,
-      "skippedReason": "already-delivered", "receipts": [] },
+    { "id": "s3-archive", "plugin": "archive", "kind": "bundle", "storeKind": "s3-bundle", "status": "success", "delivered": true,
+      "dest": "s3:my-bucket/reports/設備点検", "receipts": [ /* write+verify・masked */ ] },
     { "id": "mongo-x", "plugin": "mongo", "kind": "stream", "storeKind": "mongodb", "status": "failed", "delivered": false,
       "failure": "verify failed: count mismatch", "receipts": [ /* write のみ */ ] } ],
   "deliveredSinkIds": ["es-main","s3-archive"], "retrySinkIds": ["mongo-x"],
@@ -714,6 +726,7 @@ L3 カタログの単一書き手は GEMBA OS（§4.2）。`deliver` は **catal
 - **`batchId` / `finishedAtIso` / `watermarkAdvanced` / `deliverApi` は必須**（DC が `runs/<batchId>.json` 命名・前進判定に使う＝省略を schema が拒否する。`catalog.schema.json` の `deliverRun` で強制）。
 - **per-sink `delivered`** ＝ §9.2 の sink「成功」定義（今回 `verified:true && failedCount==0`、または `skipped`＝前回配信済みを継承）。**`delivered:true` かつ非 `skipped` の sink は `receipts[]` に該当 phase の receipt（`verified` 等）を必ず持つ**（裏付けなしに `delivered:true` を主張させない＝§0.1 原則1）。`skipped`（前回 verify 済みを継承）と、**未 delivered（失敗・あるいは locator source 未着地で実行を held した sink＝receipt 皆無）** は `receipts:[]` を許す。`catalog.schema.json` の `deliverRun` も同条件で強制。
 - **run `delivered`** ＝ **全 sink が delivered（fresh または skip）** かつ `!dryRun`。`status`: 全 sink delivered＝`success`（全 skip も含む＝前進）／一部 delivered＋一部失敗＝`partial`（停止）／archive create 失敗・配信ゼロ＝`failed`（停止）。`watermarkAdvanced = (status=="success" && !dryRun)`。
+- **bundle sink の `dest`/`storeKind`**（§9.4a・#89）: プラグインが push receipt に焼いた canonical な store location（展開後 `--to`・実行フォルダ除外）と storeKind を、`deliver` が sink へコピーする。DC はこれを dataset identity・`store.location` に使い、テンプレート宛先 bundle も `datasets/` に掲載できる。
 - `pluginReceipts` は全 receipt 行を **§6.2 のマスクを通してから**載せる（elastic dest の userinfo 混入が実在・§8.1.1）。
 - 予約 recordType に `deliver-run` を追加（`catalog.schema.json`）。fail-open（§4.7）: 未知 store の sink は `storeKind:"unknown"` として run にのみ現れ、datasets は作らない（`storeKind` は sink オブジェクトの宣言フィールド）。
 - exit code: `success`＝0、`partial`/`failed`＝非 0。ただし **JSON は常に stdout へ出す**（DC が結果に依らず run を永続化できる）。