i-repo 2.15.0 → 2.16.0

package/dist/commands/deliver/orchestrator.js

@@ -44,6 +44,13 @@ function dryRunArgs(dryRun) {
 async function runSink(sink, archivePath, ctx, resolver) {
     const base = { id: sink.id, plugin: sink.plugin, kind: sink.kind, skipped: false, receipts: [] };
     const extraArgs = sink.args ?? [];
+    // per-sink secret env（#94）: deliver プロセスの env から名指しの変数だけを取り出し、
+    // この sink のプロセスにだけ注入する（argv 非掲載・他 sink へ漏れない）。
+    const extraEnv = resolveSecretEnv(sink.secretEnv);
+    // 転送した secret の**値**を receipt から伏せる（#94/#5）。プラグインが受領 secret を
+    // receipt へ echo しても、deliver-run/pluginReceipts に平文の鍵が残らないようにする。
+    const secretValues = Object.values(extraEnv ?? {});
+    const redact = (receipts) => redactSecretValues(receipts, secretValues);
     if (sink.kind === "stream") {
         const manifest = join(archivePath, "manifests", "reports.ndjson");
         let stdin = createReadStream(manifest);
@@ -51,33 +58,48 @@ async function runSink(sink, archivePath, ctx, resolver) {
             // resolver は orchestrator が bundle 着地後に組む（実パス or null）。
             stdin = stdin.pipe(createLocatorEnrich(resolver ?? (() => null)));
         }
-        const cap = await capturePlugin(sink.plugin, [...extraArgs], ctx, { stdin });
+        const cap = await capturePlugin(sink.plugin, [...extraArgs], ctx, { stdin, extraEnv });
         if (!cap)
             return { ...base, failure: `plugin "i-repo-${sink.plugin}" not found` };
-        return {
-            ...base,
-            code: cap.code,
-            receipts: cap.receipts,
-            ...(sinkFailure(cap.code, cap.receipts)),
-        };
+        const receipts = redact(cap.receipts);
+        return { ...base, code: cap.code, receipts, ...(sinkFailure(cap.code, receipts)) };
     }
     // bundle sink: archive dir を位置引数で渡す（stdin 無し）。
-    const cap = await capturePlugin(sink.plugin, [sink.subcommand, archivePath, ...extraArgs], ctx);
+    const cap = await capturePlugin(sink.plugin, [sink.subcommand, archivePath, ...extraArgs], ctx, { extraEnv });
     if (!cap)
         return { ...base, failure: `plugin "i-repo-${sink.plugin}" not found` };
+    const receipts = redact(cap.receipts);
     // bundle sink の receipt が焼いた canonical な store location（dest）/ storeKind を
     // sink へ載せる（#89）。DC が catalog の dataset identity・store.location に使うため、
     // **delivered（verify 成功）した sink のみ**に載せる — 失敗 sink の receipt も
     // dest を持つが、未着地の宛先を identity として広告すると DC が phantom dataset を作る。
-    const verifiedOk = receiptVerifiedOk(cap.receipts);
+    const verifiedOk = receiptVerifiedOk(receipts);
     return {
         ...base,
         code: cap.code,
-        receipts: cap.receipts,
-        ...(verifiedOk ? sinkDestFromReceipts(cap.receipts) : {}),
-        ...(sinkFailure(cap.code, cap.receipts)),
+        receipts,
+        ...(verifiedOk ? sinkDestFromReceipts(receipts) : {}),
+        ...(sinkFailure(cap.code, receipts)),
     };
 }
+/**
+ * 転送 secret の値を receipt 群から伏せる（部分一致も置換・#94）。
+ * 短い値は部分一致で**無関係なフィールド（canonical dest 等）を巻き込んで壊す**ため除外する
+ * （host が AWS_REGION 等を誤って secretEnv に入れた場合の collision を防ぐ）。実クラウド資格情報は
+ * 十分長い（AWS secret key=40・access key id=20・GCP creds=パス）ので閾値で取りこぼさない。
+ */
+const SECRET_REDACT_MIN_LEN = 8;
+function redactSecretValues(receipts, values) {
+    const secrets = values.filter((v) => typeof v === "string" && v.length >= SECRET_REDACT_MIN_LEN);
+    if (!secrets.length)
+        return receipts;
+    const scrub = (s) => secrets.reduce((acc, sec) => acc.split(sec).join("***"), s);
+    const walk = (x) => typeof x === "string" ? scrub(x)
+        : Array.isArray(x) ? x.map(walk)
+            : x && typeof x === "object" ? Object.fromEntries(Object.entries(x).map(([k, v]) => [k, walk(v)]))
+                : x;
+    return receipts.map((r) => walk(r));
+}
 /** push receipt が焼いた canonical `dest` / `storeKind` を拾う（#89・bundle sink）。 */
 function sinkDestFromReceipts(receipts) {
     const out = {};
@@ -99,6 +121,32 @@ function locatorSourceId(sink, bundleIds) {
         return sink.locatorFrom;
     return bundleIds.length === 1 ? bundleIds[0] : undefined;
 }
+/**
+ * sink.secretEnv（env 名リスト）を deliver プロセスの env から解決する（#94）。
+ * 値は host が deliver プロセスへ設定したもの。spec に値は持たせない（disk 非掲載）。
+ * 未設定の名前は黙って飛ばす（host が用意していない＝その sink は認証できず失敗するだけ）。
+ *
+ * 照合は **大文字小文字を無視**する（dispatch の env 取り扱い＝parsePassEnv が env 名を
+ * 大文字化して照合するのに合わせる）。POSIX env は本来 case-sensitive だが資格情報は慣習的に
+ * 大文字（AWS_* や GOOGLE_… 等）で、spec 著者の lowercase 取り違えが**無診断で認証失敗**するのを防ぐ。
+ * 転送は **実在 env キー名**で行う（SDK が読む正準名を保つ）。
+ */
+function resolveSecretEnv(names) {
+    if (!names || names.length === 0)
+        return undefined;
+    const index = new Map(); // UPPER(name) -> [realName, value]
+    for (const [k, v] of Object.entries(process.env)) {
+        if (typeof v === "string")
+            index.set(k.toUpperCase(), [k, v]);
+    }
+    const out = {};
+    for (const n of names) {
+        const hit = index.get(n.toUpperCase());
+        if (hit)
+            out[hit[0]] = hit[1];
+    }
+    return Object.keys(out).length ? out : undefined;
+}
 function sinkFailure(code, receipts) {
     if (code !== 0)
         return { failure: `exit ${code}` };

package/dist/commands/deliver/spec.d.ts

@@ -13,6 +13,13 @@ export interface SinkSpec {
     /** locator をどの bundle sink から組むか（bundle が複数のとき必須）。 */
     locatorFrom?: string;
     skipIfDelivered?: boolean;
+    /**
+     * この sink のプロセスへ転送する env 変数名のリスト（#94）。値は deliver プロセスの
+     * env（host が設定）から取り、この sink だけに注入する（argv 非掲載・他 sink へ漏れない）。
+     * 無人クラウド認証（AWS_* や GOOGLE_APPLICATION_CREDENTIALS 等）を fan-out 経由で渡す用。
+     * プラグインの envVar 宣言に依存しない（任意の第三者プラグインで動く）。
+     */
+    secretEnv?: string[];
 }
 export interface ArchiveSpec {
     plugin: string;

package/dist/commands/deliver/spec.js

@@ -7,6 +7,9 @@
  */
 import { readFileSync } from "node:fs";
 import { ValidationError } from "../../core/errors.js";
+import { isForwardableSecretEnvName } from "../../plugins/dispatch.js";
+/** env 変数名として妥当か（POSIX 風・注入/取り違え防止）。 */
+const ENV_NAME_RE = /^[A-Za-z_][A-Za-z0-9_]*$/;
 function isObject(v) {
     return v !== null && typeof v === "object" && !Array.isArray(v);
 }
@@ -73,6 +76,17 @@ export function validateDeliverSpec(value) {
                 bundleIds.add(s.id);
             }
         }
+        if ("secretEnv" in s) {
+            if (!Array.isArray(s.secretEnv) || !s.secretEnv.every((n) => typeof n === "string" && ENV_NAME_RE.test(n))) {
+                p.push(`sinks[${i}].secretEnv must be an array of env var names ([A-Za-z_][A-Za-z0-9_]*)`);
+            }
+            else {
+                // contract 所有(IREPO_*)・ローダ/実行系乗っ取り(LD_*/DYLD_*/PATH/NODE_OPTIONS 等)は禁止。
+                const bad = s.secretEnv.filter((n) => !isForwardableSecretEnvName(n));
+                if (bad.length)
+                    p.push(`sinks[${i}].secretEnv must not include protected/dangerous names: ${bad.join(", ")}`);
+            }
+        }
     });
     // locatorFrom の整合（§9.4）: enrichLocator の stream sink が複数 bundle 下で
     // どの bundle を使うか曖昧にしない。順序依存の暗黙選択は禁止。

package/dist/plugins/capture.d.ts

@@ -10,6 +10,13 @@ export interface CaptureOptions {
     timeoutSec?: number;
     /** Run-level abort — on abort the child is SIGTERM'd (then SIGKILL after grace). */
     signal?: AbortSignal;
+    /**
+     * Extra env merged onto the allow-listed plugin env, AFTER buildPluginEnv
+     * (so it can re-add vars the allow-list would otherwise scrub). Used by
+     * `deliver` to forward per-sink secret env (gemba-deliver `secretEnv`, #94)
+     * into this sink's process only — never into argv, never to sibling sinks.
+     */
+    extraEnv?: Record<string, string>;
 }
 export interface CaptureResult {
     /** Exit code; signal deaths map to 128+n (SIGNUM), matching dispatchPlugin. */

package/dist/plugins/capture.js

@@ -15,7 +15,7 @@
  * identically whether invoked directly or under deliver.
  */
 import { spawn } from "node:child_process";
-import { buildPluginEnv, prepareSpawn, GRACE_MS, SIGNUM, } from "./dispatch.js";
+import { buildPluginEnv, isForwardableSecretEnvName, prepareSpawn, GRACE_MS, SIGNUM, } from "./dispatch.js";
 import { parseLines } from "./verify.js";
 /**
  * Run a plugin capturing its stdout. Returns null when no `i-repo-<name>`
@@ -32,6 +32,18 @@ export async function capturePlugin(name, args, ctx, opts = {}) {
     }
     const { spawnBin, spawnArgs, windowsVerbatim } = prep.plan;
     const env = buildPluginEnv(ctx);
+    // per-sink の追加 env（#94）。allow-list の後に重ねる＝この sink のプロセス限定で
+    // host 指定の secret env を復活させる（他 sink・argv には出ない）。ただし
+    // **buildPluginEnv の trust 境界は迂回させない**: 契約所有(IREPO_*)・ローダ/実行系
+    // 乗っ取り(LD_*/DYLD_*/PATH/NODE_OPTIONS 等)の名前は defense-in-depth で弾く。
+    if (opts.extraEnv) {
+        for (const [k, v] of Object.entries(opts.extraEnv)) {
+            if (isForwardableSecretEnvName(k))
+                env[k] = v;
+            else
+                process.stderr.write(`deliver: refusing to forward protected env "${k}" to a sink\n`);
+        }
+    }
     return await new Promise((resolve) => {
         const child = spawn(spawnBin, spawnArgs, {
             // stdout piped (we capture receipts); stderr inherited (progress flows to

package/dist/plugins/dispatch.d.ts

@@ -20,6 +20,7 @@ export interface PluginContext {
      */
     save?: string;
 }
+export declare function isForwardableSecretEnvName(name: string): boolean;
 /** Plugin names are restricted to a safe charset to prevent path escaping. */
 export declare function isValidPluginName(name: string): boolean;
 /**

package/dist/plugins/dispatch.js

@@ -18,6 +18,26 @@ import { fingerprintEndpoint } from "../config/endpoint-fingerprint.js";
 import { resolveSourceMachine } from "../config/provenance.js";
 /** Prefix every plugin executable must carry. */
 export const PLUGIN_PREFIX = "i-repo-";
+/**
+ * deliver の per-sink `secretEnv`（#94）で sink へ転送してよい env 名か。
+ * buildPluginEnv の trust 境界を secretEnv で迂回させないための denylist:
+ * - `IREPO_*`: 契約/来歴は CLI が権威的に設定する正本（spoof・clobber 禁止。IREPO_PASSWORD 含む）。
+ * - `LD_*` / `DYLD_*`: ELF/Mach-O ローダ注入（任意コード実行）。
+ * - `PATH`/`NODE_OPTIONS`/`BASH_ENV`/`ENV`/`IFS`/`SHELL`/`PYTHON*PATH` 等: 実行系の乗っ取りベクタ。
+ * 大文字小文字無視で判定（case で denylist をすり抜けさせない）。
+ */
+const SECRET_ENV_DENY_EXACT = new Set([
+    "PATH", "NODE_OPTIONS", "NODE_REPL_EXTERNAL_MODULE", "BASH_ENV", "ENV", "IFS",
+    "SHELL", "PYTHONPATH", "PYTHONSTARTUP", "PERL5LIB", "PERL5OPT", "RUBYOPT", "GEM_PATH",
+]);
+export function isForwardableSecretEnvName(name) {
+    const u = String(name).toUpperCase();
+    if (u.startsWith("IREPO_"))
+        return false;
+    if (u.startsWith("LD_") || u.startsWith("DYLD_"))
+        return false;
+    return !SECRET_ENV_DENY_EXACT.has(u);
+}
 const isWin = process.platform === "win32";
 /** Plugin names are restricted to a safe charset to prevent path escaping. */
 export function isValidPluginName(name) {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "i-repo",
-  "version": "2.15.0",
+  "version": "2.16.0",
   "description": "Modern CLI for ConMas i-Reporter - Built for humans and AI",
   "type": "module",
   "bin": {

package/spec/gemba-adc/deliver.schema.json

@@ -107,6 +107,11 @@
           "description": "true かつ id が alreadyDelivered に含まれるとき、spawn せず skipped(delivered:true) として集約する。",
           "type": "boolean",
           "default": false
+        },
+        "secretEnv": {
+          "description": "この sink のプロセスへ転送する env 変数名のリスト（§9.9・#94）。値は deliver プロセスの env（host が設定）から取り、この sink だけに注入する（argv 非掲載・他 sink へ漏れない）。fan-out 経由の無人クラウド認証用。プラグインの envVar 宣言に依存しない。",
+          "type": "array",
+          "items": { "type": "string", "pattern": "^[A-Za-z_][A-Za-z0-9_]*$" }
         }
       },
       "allOf": [

package/spec/gemba-adc/spec.md

@@ -737,6 +737,16 @@ L3 カタログの単一書き手は GEMBA OS（§4.2）。`deliver` は **catal
 - bundle sink の `--cleanup`（destructive）はハブを壊すため、`deliver` は**全 sink 成功時に最後に実行**するか、`--archive-keep` を推奨して警告する（黙ってハブを消して他 sink を取りこぼさない）。
 - 既定は run-to-completion（全 sink を走らせ切り、再送集合を完全にする）。run-level の AbortSignal で最初の hard 失敗時に兄弟を中止する選択肢は持つが既定オフ。
 
+### 9.9 per-sink `secretEnv`（無人クラウド認証の host 主導注入・#94）
+
+fan-out（`deliver`）経由で sink を起動するとき、dispatch の env allow-list（system＋`IREPO_*`＋`pluginPassEnv`）が `AWS_*`/`GOOGLE_APPLICATION_CREDENTIALS`/`AZURE_STORAGE_*` 等を scrub するため、無人クラウド認証の資格情報が sink に届かない。これを **host 主導**で埋める。
+
+- spec の各 sink に **`secretEnv: [<env 名>, …]`**（その sink へ転送する env 変数の**名前**リスト）。**値は `deliver` プロセスの env**（host=DC が設定）から取り、**その sink のプロセスにだけ**注入する。
+- secret は **env のみ**で渡し **argv には出さない**。**他 sink・他プラグインには漏れない**（allow-list をグローバルに広げない）。spec ファイルに値は持たせない（名前だけ）。
+- **プラグインの `envVar` 宣言には依存しない**＝任意の第三者プラグイン（`i-repo-kintone` 等）が宣言なしで動く。プラグイン側 `envVar` は GUI の入力欄ヒント用。
+- env 名は `^[A-Za-z_][A-Za-z0-9_]*$`。deliver プロセスに無い名前は黙って飛ばす（host 未設定＝その sink は認証できず失敗するだけ）。
+- 例: `{ "id":"s3-main","plugin":"archive","subcommand":"push-s3","secretEnv":["AWS_ACCESS_KEY_ID","AWS_SECRET_ACCESS_KEY"] }`（archive 0.6.3 の push-s3 が env から IAM キーを読む・#92）。
+
 ---
 
 ## 付録A: ウォークスルー（CLI 直叩き経路）