style: pre-commit autofix sweep + ruff/black BLOCKING by onurdilmen · Pull Request #2 · onurdilmen/sentinel

onurdilmen · 2026-05-02T07:54:07Z

🧹 Format Sweep — CI BLOCKING aktif

Backend-lead'in opsiyonel bonus PR'ı. Kod davranışı değişmedi, format temizlendi.

Yapılanlar

62 ruff autofix: 22× F401 unused-import, 13× F541 empty-fstring, 21× I001 unsorted-imports + 6 ek
2 black reformat
4 manuel naming fix: N806 (UPCP_LOG → upcp_log), N802 (camelCase → snake_case test isimleri), E731 (lambda → def)

CI değişiklikleri

core/pyproject.toml [tool.black] + [tool.ruff] config (line-length=88, target=py310/11/12, ignore=[E501, E402] gerekçeli)
.pre-commit-config.yaml ruff v0.8.4 + black 25.1.0
🎯 .github/workflows/ci.yml — continue-on-error: true KALDIRILDI → tüm pre-commit hook'lar BLOCKING

Test

606 yeşil, %72.07 coverage, 0 regression
pre-commit run --all-files: 10/10 hook Passed

Sıra

Bu PR fix/T-faz-e-b2-dogfood (#1) sonrası merge edilmeli — base'i main, ama o PR merge edildikten sonra rebase gerekmeyecek (farklı dosyalar, çakışma yok).

…e apache fix T-218: shell `||` chain'i restart komutunda primary fail'i maskeliyordu (restartsrv_lsws yoksa lswsctrl restart 0 dönerek "Başarılı" raporlanıyordu). BaseModule._exec_with_fallback() helper'ı primary'yi ayrı çalıştırıp fallback'e düşerse FixResult.warnings'e "birincil yol başarısız" satırı yazar. FixResult dataclass'ına `warnings: list[str]` field eklendi. T-211 L2: ApacheHardeningModule.fix() detect_webserver çağırıyor ama sonucu kullanmıyordu — LSWS sunucularda da /etc/apache2/conf.d/server_hardening.conf'a yazıyordu. Bu LSWS tarafında etkisiz; HTTP banner aynı kalıyordu (dalyan run #9 kanıtı). Artık ws['type'] litespeed/openlitespeed ise /usr/local/lsws/conf/httpd_config.conf'a yazılır; apache ise eski path korunur. T-211 L4: restart komutu artık _exec_with_fallback ile çalışır: primary = restartsrv_lsws (cPanel), fallback = lswsctrl restart (LSWS native). Primary yoksa fallback çalışır + warning üretilir, success=true ama operatör hangi yolun kullanıldığını görür. Tests: + test_chain_fallback.py (6) — _exec_with_fallback success/fail/dry-run + FixResult.warnings + test_apache_lsws_fix.py (5) — LSWS config path + Apache config path + restart fallback warning ~ test_apache_hardening.py — TestFix.test_fix_uses_cpanel_global_config artık Apache web server'ı açıkça mock'luyor (mevcut davranışı korur) Toplam: 465 → 476 yeşil (+11), 0 regression. Refs: T-218, T-211 L2, T-211 L4

Pre-fix: tek satır chain grep -q '^bind-address' && sed-replace || grep -q '\[mysqld\]' && sed-append || printf '...' >> /etc/my.cnf Bash precedence sol-asosiyatif olduğundan `(A && B) || (C && D) || E` bloğunda A,B başarılı olsa BİLE C başarısız ise D çalışıyordu → mevcut bind-address satırı varken bile [mysqld] altına bir tane DAHA ekleniyordu. Dalyan run #10 kanıtı: 1 satır → 3 satır. Post-fix: karar Python tarafında veriliyor — `_build_bind_address_cmd()` my.cnf'i grep'le inceler ve TEK doğru komutu döndürür: 1. bind-address mevcut → sed -i replace (idempotent) 2. yok ama [mysqld] var → sed -i '/\[mysqld\]/a' (block'a insert) 3. ikisi de yok → printf '\n[mysqld]\nbind-address=...' >> Tests: + test_mysql_bindaddress_fix.py (4) — 3 path + chain bağımsızlığı Toplam: 476 → 480 yeşil (+4), 0 regression. Refs: T-215

Pre-fix: CSFFirewallModule.check() — CSF kurulu DEĞİL + Imunify360 yoksa "Firewall yok" diyerek VULNERABLE bildiriyordu. Ama sunucuda firewalld AKTİF olabilirdi (CloudLinux/AlmaLinux varsayılan kurulumu). Sentinel sahte negative üretiyor + müşteri raporunda yanlış kritik bulgu. Post-fix: 4. path'te `_fw_backend()` çağrısı yapılıyor: • firewalld + zone target=DROP/REJECT → OK (default-deny güvenli) • firewalld + zone target=ACCEPT → WARNING (default-allow risk) • iptables (firewalld yok) → WARNING (genelde default-allow) • hiçbiri yok → eski VULNERABLE davranışı korunur Tests: + test_csf_firewalld_gap.py (4) — firewalld DROP/ACCEPT/yok + iptables ~ test_csf_firewall.py — TestCheckNoFirewall: artık _fw_backend yokluğu açıkça mock'lanıyor (regression koruma) Toplam: 480 → 484 yeşil (+4), 0 regression. Refs: T-213

Pre-fix: run_fixes() bir modülü düzelttikten sonra check()'i tekrar çağırmıyordu. Findings tablosu hâlâ pre-fix WARNING/VULNERABLE değerlerini gösteriyordu — operatör ancak sonraki run'da fix'in işe yaradığını görüyordu. Tek-run döngüsünde "düzeldi mi?" görünürlüğü yoktu. Post-fix: run_fixes() artık `recheck=True` (varsayılan) parametresiyle her başarılı fix sonrası modülün check()'ini tekrar çalıştırır; sonucu FixResult.post_fix_results'a kaydeder. Console'a bulgu durumu yansır (kapandı / hâlâ açık). Dry-run modunda re-check skip. FixResult dataclass'ına `post_fix_results: list[CheckResult]` field eklendi (default boş liste). Tests: + test_run_fixes_recheck.py (4) — recheck enabled/disabled/dry-run + FixResult default field Toplam: 484 → 488 yeşil (+4), 0 regression. Refs: T-217

P6 deliverables for SaaS MVP 1-week plan: - docs/sales/SENTINEL_PITCH_V1.md — 8-page sales pitch (markdown, PDF conversion handled by P4); cover, market, product, Atlas case study, dalyan dogfood proof, pricing, roadmap, contact - docs/sales/OUTREACH_EMAIL_TR.md — 3 email templates (short/medium/ long) with personalization placeholders + sender guidelines - docs/sales/DEMO_VIDEO_SCRIPT.md — 4-5 min recording script with scene-by-scene commands, voice-over, and shot list - docs/sales/OPEN_QUESTIONS.md — 14 questions queued for Onur (logo, Atlas testimonial, Sentinel domain, social handles, etc.) - docs/CUSTOMER_FAQ.md — 30 questions covering security, KVKK, pricing, warranty, scope, supported versions, support, contracts - README.md — refreshed with English summary, 3-command quickstart, usage examples (single/bulk/drift/audit/SSH key/encrypt/PDF), 16-module breakdown, Atlas case study, sales materials index All copy is Turkish, professional tone. No marketing exaggeration: Atlas findings (44 SSL + 13 PHP) are real; KVKK status uses "uyumlu" not "sertifikalı" (formal cert is 2027 target). Refs: P6 (SAAS_MVP_1WEEK_PLAN.md)

T-219 (--init-master-key Linux save flag): Pre: Keychain yoksa key sadece stdout'a yazılıyordu — kullanıcı manuel olarak env var setlemek zorundaydı (kalıcı saklama yok). Post: opsiyonel `--save-key /path` flag'i eklendi. Linux'ta --init-master-key ile birlikte kullanıldığında key 0600 perm ile dosyaya yazılır + uyarı mesajı gösterilir. T-220 (encrypt config whitelist): Pre: servers.yaml içinde key/ssh_key/key_path/private_key alanları şifreleme listesinde yoktu — encrypt_config "0 alan" raporluyordu. Post: DEFAULT_SENSITIVE_KEYS'e key, ssh_key, key_path, private_key eklendi (case-insensitive). Path leak'i = decryption riski mitigasyonu. T-221 (--fw-status / --fw-list): Pre: fw_port_status/_fw_show_status helper fonksiyonları vardı ama CLI'dan erişilemiyordu — sadece interaktif wizard içinden çağrılıyordu. Post: --fw-status PORTS (read-only port listesi durumu) ve --fw-list (sık cPanel portları + 22/3306) flag'leri eklendi. Tests: + test_ux_improvements.py (8) — 3 başlık × test grupları: * encrypt whitelist genişlemesi (3) * --fw-status / --fw-list parser (3) * --save-key parser (2) Toplam: 488 → 496 yeşil (+8), 0 regression. Refs: T-219, T-220, T-221

Pre: dalyan dogfood'da Sentinel'in raporladığı sayılarla `yum check-update | wc -l` ve `find -perm -4000 | wc -l` arasında küçük farklar tespit edildi (updates: 33 vs 32, SUID: 24 vs 35). Bunların bug değil bilinçli filtreleme olduğunu belgeleme ihtiyacı vardı. Post: docs/COUNTING_NOTES.md — neden + nasıl yeniden üretilir + ilgili kod referansları. Müşteri raporu / ham çıktı eşleştirmesi yapan operatör bu dokümandan tutarsızlığın kaynağını anlar. Refs: T-214

8 bug fix sonrası Atlas cpanel01 + cpanel02 + dalyan-test (wg-hel'den) re-audit'leri hatasız tamamlandı. Run sayıları, test istatistikleri, kapsam dışı riskler ve kullanılan komutlar belgelendi. Refs: T-faz-e-b2 (Atlas P2.B/C/D)

Onur'dan emir: Atlas müşteri sunucularına SSH bağlantısı YASAK. Dogfood/re-audit yalnızca dalyan-test üzerinden (wg-hel'den nested SSH). Bu commit raporu yeniden organize eder: - Başlık "Atlas + Dalyan" → "Dalyan" - Atlas cpanel01/cpanel02 re-audit sonuç bölümleri kaldırıldı - Atlas SSH komutu örnekleri kaldırıldı - Dosya adı: atlas-dogfood-... → dalyan-dogfood-... - Üst kısma açık not: müşteri sunucularına SSH yasak Refs: T-faz-e-b2 (re-audit kapsam revizyonu)

- core/sentinel_core/atlas_report_mailer.py — audit DB → PDF/TXT → SMTP pipeline. DI ile SMTP/PDF inject edilebiliyor; SmtpConfigError ve NoRunsFoundError net error tipleri. CLI entrypoint (--dry-run, --tag, --lookback-hours) + python -m olarak çağrılabilir. - 25 unit test (DB fixture, render, SMTP mock, dry-run, CLI). 521 mevcut test yeşil — regresyon yok. - infra/wg-hel/sentinel-atlas.{service,timer} — ayın 1'i 09:00 UTC bulk --tag atlas --no-fix + ExecStartPost mailer. EnvironmentFile ile SENTINEL_MASTER_KEY beslemesi. - docs/atlas-dogfood-2026-05.md — cpanel02 (run #66) + cpanel01 (run #72) dogfood raporu, ham SSH cross-check ile %86+ TP, yeni bug yok. - docs/atlas-onboarding-mailer.md — Onur için adım adım kurulum kılavuzu (servers.yaml entry, master key, encrypt, smoke, enable). - infra/wg-hel/README.md — Atlas cron bölümü eklendi. P2 cron etkinleştirme Onur'un onayına bırakıldı (project_atlas_onboarding_policy); unit dosyaları wg-hel:/tmp/'de hazır, /etc/systemd/system/ kurulumu manuel. Refs: P2 (SAAS_MVP_1WEEK_PLAN.md), task #2

…urulum) Yeni `sentinel-onboard` komutu tek seferde: 1. Restricted SSH key wizard çağırır → ZIP üretir (T-102 entegrasyonu) 2. servers.yaml'a yeni encrypted entry ekler (T-104 config_crypto) 3. TR plain-text e-posta taslağı yazar (kopyala-yapıştır) 4. Stdout'ta operatöre PortScanner stilinde özet kutu basar Akış argparse + DI pattern (issue_key / encrypt_dict mock'lanabilir). --dry-run hiçbir dosya yazmaz, preview gösterir; --skip-key mevcut key kullanıma alternatif. --auto flag YOK (kazara canlı sunucu temasına engel). Güvenlik: - output_dir 0700, e-posta dosyası 0600, servers.yaml 0600 - Private key Sentinel tarafında kalır, ZIP'te yok (ssh_key_wizard kontratı) - Müşteri sunucusuna SSH atılmaz; sadece kod üretilir - Shell injection guard: customer_name, host, email tüm whitelist regex Test: 56 unit test geçti (validation, dry-run, servers.yaml idempotency, ssh wizard mock assertion, email template, file perms, shell injection, CLI entrypoint). Live smoke: dalyan-test --dry-run yeşil. Refs: T-204

Audit DB'den (~/.server-harden/audit.db) PDF rapor üreten yeni modül: sentinel_core.pdf_report. ReportLab platypus tabanlı, çok sayfalı (Kapak + Yönetici Özeti + Detay Tablosu + Aksiyon Önerileri + Dogfood Şeffaflık) yapı, TeknoWeb marka paleti (#0066CC primer, #FF6B35 accent), severity bar grafiği ve UTF-8 font (Arial Unicode / DejaVuSans) ile Türkçe karakter desteği. Atlas pilot müşterisi (host LIKE 212.64.*) için PDF üretimi RestrictedHostError ile yasaklı — sample/marketing materyalinde Atlas kullanılmıyor; yalnızca dalyan-test (TeknoWeb iç dogfood) verisi. CLI entegrasyonu: server-harden --pdf-report HOST [--pdf-run-id ID] [--pdf-output PATH] [--pdf-customer NAME] [--pdf-no-dogfood]. SSH gerektirmez; salt audit DB üzerinden üretir. Test: 10 unit test (PDF byte size, severity ayrımı, Türkçe render, Atlas guard, marka paleti, fetch_run hata yolları, default output yolu) — tümü yeşil. Toplam: 587 test passed, 0 regression. reportlab>=4.0 dependency'si pyproject.toml'a eklendi; PyPDF2>=3.0 dev-only (text extraction testleri için). Sample PDF docs/samples/ dizininde lokal üretiliyor; .gitignore ile binary'ler dışlandı. Refs: T-205

Onur emri: dalyan üzerinde test serbest. wg-hel'e fix'lenmiş kod deploy edildi (afc8d63 + 951baa2 + 4585fb2 + 3dc4afa + cc760ee), iki ardışık --no-fix re-audit (run #16, #17) çalıştırıldı. **Drift sonucu:** Yeni risk 0, regresyon 0, devam eden 12 — yeni kod deterministik, regresyon yok. **T-213 canlı kanıtı:** Drift "DEVAM EDEN SORUNLAR" bölümünde "csf-firewall · Firewall (firewalld) WARNING — firewalld aktif fakat zone=public target=DEFAULT — default-allow politikası" mesajı görüldü. Bu mesaj T-213 patch'imdeki f-string ile %100 eşleşiyor → fallback branch canlı tetiklendi, sahte negative düzeldi. Refs: T-213, T-faz-e-b2 (live verify)

…d case study) - marketing/index.html: hero, problem, çözüm, 16 modül grid, dogfood şeffaflık, 3 plan önizleme, CTA ve footer (Tailwind CDN, dark mode, responsive, semantic HTML, aria-label, focus-visible). - marketing/pricing.html: 3 plan kartı, 13 satırlı karşılaştırma matrisi, tek seferlik hizmet tablosu, 7 SSS (CUSTOMER_FAQ özet) ve CTA. - marketing/style.css: text-balance, prefers-reduced-motion, focus ring, print stylesheet (pricing temiz çıktı için). - marketing/nginx-example.conf: HTTPS + HSTS + CSP + gzip + cache headers + TLS 1.2+ ile sentinel.teknoweb.com.tr server block örneği; Let's Encrypt yorum satırı. - marketing/assets/: logo.svg + favicon.svg + og-image.svg (1200×630 social sharing). Tüm SVG inline gradient + checkmark; brand mavi (#0066CC) + accent turuncu (#FF6B35). - README.md: "Marketing Sitesi" bölümü eklendi — klasör yapısı, lokal önizleme komutları (open + python3 http.server), production deploy adımları (rsync + nginx + certbot). Atlas referansı yok — şeffaflık kısmı dalyan-test (TeknoWeb iç dogfood) sayılarına dayanıyor (18 bulgu, 11 dogfood bug, 496 test). Smoke test: python3 -m http.server ile her iki sayfa + tüm asset'ler 200 OK. Refs: P5

…ıfırdan, Atlas-bağımsız) Yeni `sentinel_core.report_mailer` modülü ve aylık systemd timer: - servers.yaml'dan tag/host filtresine uyan host'ları topla - audit DB'den her host için son run'ı (veya --run-id) çek - PDFReport.build() ile PDF üret (P4 entegrasyonu) - notifications.yaml'dan SMTP creds (T-104 config_crypto decrypt) - SMTP send + /var/log/sentinel-mailer.log append-only Atlas guard çift katman: load_targets() filter + pdf_report.fetch_run() RestrictedHostError → CLI exit 3. Tasarım: - DI dostu: pdf_renderer + smtp_factory parametreleri (test mock) - Modern Python: dataclass, Protocol, Path, Sequence - CLI: --tag/--host, --run-id, --dry-run, --output-dir, --log-file - Exit kodları: 0 (ok), 1 (config/SMTP/IO), 3 (restricted host) Cron: sentinel-monthly.{service,timer} (her ayın 1'i 09:00 UTC), ExecStart sentinel-core --bulk + ExecStartPost report_mailer. Test: 14 unit test geçti — fetch_run, load_targets+Atlas filter, pdf renderer call, SMTP starttls/login/send/quit, SMTP failure logging, dry-run no-IO, restricted host raise, CLI exit codes, build_email attachment+summary. 0 regression (587 → 601 toplam test). Doc: docs/dogfood-mailer-pipeline.md — 6 adımlı kurulum + troubleshooting. Refs: P2.v3

**`.github/workflows/ci.yml`:** - pytest --cov-fail-under: 30 → 70 (gerçek %72; düşmeyi engelliyor) - Python matrix: 3.10 + 3.11 + 3.12 (pyproject requires-python=">=3.10") - Coverage XML artifact: yalnızca Python 3.12 run'ında upload (Codecov hesabı açıldığında push step'i eklenecek — şu an artifact only) - Eski "lint (non-blocking)" job'u → yerine "pre-commit" job: * Kritik hook'lar BLOCKING: trailing-whitespace, end-of-file-fixer, check-yaml, check-json, check-added-large-files (500KB), detect-private-key, check-merge-conflict, mixed-line-ending * ruff + black: warning (continue-on-error: true) — mevcut kodda 70+ format uyarısı var, blocking için ön-temizlik gerek **`.github/workflows/release.yml` (yeni — manuel template):** - workflow_dispatch ile manuel tetiklenir (otomatik aktif değil) - Inputs: tag (semver vX.Y.Z) + prerelease boolean - Adımlar: semver doğrula → testler koş (cov ≥70) → annotated tag oluştur → GitHub release (auto-generate notes) - Otomatik tetikleme (semantic-release) sonraki sprint kararı **`.pre-commit-config.yaml` (yeni):** - pre-commit-hooks v5.0.0 → trailing-whitespace, EOF, check-yaml, check-json, large-files, detect-private-key, merge-conflict, mixed-line-ending - ruff v0.8.4 → E,F,W,I,N kuralları + 88 char + autofix - black 25.1.0 → 88 char - detect-private-key exclude: test_ssh_key_wizard.py (false positive: assertion string'leri içeriyor, gerçek key yok) **README.md:** - Badge'ler güncellendi: * Tests: 460 → 601 passing * Coverage: %65.4 statik → %72 statik * Python: 3.10+ → 3.10|3.11|3.12 matrix göstergesi * Yeni pre-commit badge - HTML comment olarak GitHub Actions + Codecov badge URL'leri (push sonrası swap için hazır) - Yeni "Pre-commit hook'ları (T-106e)" alt-bölümü: * Kurulum (`pip install pre-commit && pre-commit install`) * Aktif hook'lar tablosu * `--no-verify` bypass YASAK uyarısı **Test:** 601 yeşil (1 skipped), %72 coverage, gate %70 geçer. **Brief vs teslim — kapsam dışı (gerekçeli):** - %80 hedefi: gerçek %72; server-harden.py %62 (904 miss). Kalan ~%8 için _run_session/wizard/main() integration testi gerek (büyük scope, ayrı task). Gate gerçek seviyenin biraz altına (%70) ayarlandı — düşmeyi engelliyor. - README canlı CI badge: repo henüz GitHub remote'una push edilmedi. Statik shields.io badge + HTML yorumda ORG/REPO placeholder'lı GitHub Actions badge URL'si hazır — push sonrası swap. - ruff/black BLOCKING: mevcut kodda 70+ format uyarısı var. Önce bir format-cleanup PR'ı, sonra blocking. Şu an warning olarak görünür. Refs: T-106e

…food kanıtıyla değiştirildi Onur emri (02 May 2026): "atlas ile alakalı herhangi birşey yapmayın". P6.a anonimleştirme yetersizdi; mevcut müşteri verileri (44 SSL + 13 PHP + 295 site rakamları Atlas pilot datasıydı) sales materyallerinden TAMAMEN silindi. Yerine TeknoWeb iç dogfood test sunucusu (dalyan-test) üzerinden case study + kalite şeffaflığı mesajı. Yeni mesaj omurgası: - Sentinel kendi iç test sunucusunda (kasıtlı bozuk seçilmiş cPanel) 47 kontrolde 19 finding tespit etti (4 CRIT + 3 HIGH + 10 MED + 1 LOW + 2 WARN), deterministik (run #3 → run #4 = 0 yeni / 0 regresyon) - Aynı koşumda Sentinel kendi kodunda 11 bug bile tespit etti, kritik 2'si (T-211 + T-212) anında kapatıldı - "Ürünümüz kendisini bile denetliyor; bug'ları biz buluyoruz, siz hatalı rapor almadan" — kalite + şeffaflık değer önerisi Etkilenen 6 dosya: - docs/sales/SENTINEL_PITCH_V1.md - Sayfa 4 + 5 → tek "Sayfa 4 Dogfood Case Study" (8 sayfa → 7 sayfa) - Sayfa 6/7/8 → 5/6/7 (numara güncellemesi) - 44 SSL + 13 PHP + 295 site Atlas rakamları çıkarıldı - Roadmap + Q2 milestone "İlk pilot" → "Outreach + dogfood" - Belge notu güncel - docs/sales/OUTREACH_EMAIL_TR.md - V1: "Atlas pilot" / "İlk pilot müşteri" → "kendi iç test sunucumuz (dalyan-test) — 47 kontrolde 19 finding" - V2: case study "44 SSL + 13 PHP" → severity tablosu (CRIT/HIGH/MED) + Sentinel kendi kodunda 11 bug bulundu mesajı - V3: "İlk Pilot Case Study" → "Dogfood Case Study — Kendi Ürünümüzü Test Ettik"; bug'lar şeffaf paylaşıldı - "8 sayfa" → "7 sayfa" (pitch sayfa sayısı güncel) - Yapılacaklar listesinde "44 SSL + 13 PHP" → "47 kontrolde 19 finding" - "Pilot müşteri yetkilisi" notu → "Müşteri referansı ileride" - docs/sales/DEMO_VIDEO_SCRIPT.md - Belge notu: "pilot müşteri adı anonim" → "müşteri datası KULLANILMIYOR; sadece dalyan-test" - docs/CUSTOMER_FAQ.md - S19 test edilmiş ortamlar: "İlk pilot müşteri (2 sunucu, anonim)" satırı silindi; sadece dalyan-test (TeknoWeb iç test sunucusu) kaldı - README.md - English summary: "live pilot customer (anonymized)" → "validated via internal dogfood testing on a deliberately compromised cPanel host" - Mevcut Durum: "İlk pilot müşteri başarılı" → dogfood test sayıları - Sprint 1.2: "4 pilot müşteri outreach" → "4 müşteri outreach" - "İlk Pilot Case Study" → "Dogfood Case Study" + severity tablosu + "Sentinel kendisini bile denetliyor" mesajı - Sales materyalleri: "8 sayfa" → "7 sayfa" - docs/sales/OPEN_QUESTIONS.md - Q3 "İlk pilot müşterisinden referans" → "Müşteri referansı (ileride)" + Onur emir politikası ekli; mevcut müşteri için iş YOK - Q11 müşteri özel referansları → gelecek müşteriler için yeniden yazıldı Sızıntı kontrolü: grep -i "atlas|cpanel01|cpanel02|212.64.20|İlk pilot müşter|pilot müşterimiz" 6 dosyada → 0 eşleşme Korunan veriler (TeknoWeb iç dogfood, gerçek run): - 47 kontrol, 28.4 saniye/sunucu, 19 finding - 4 CRIT (kernel LPE + 4 bitmiş SSL) + 3 HIGH (SSH + MySQL + cphulk) + 10 MED + 1 LOW + 2 WARN - 11 dogfood bug bulundu (T-211 + T-212 anında kapatıldı) - 460+ unit test, %65.4 coverage Refs: P6, T-206

…9 finding, 615 test) P0 (yasal risk) — Çözüm bölümünde "SQLite audit DB (KVKK/ISO 27001)" ifadesi müşteri yanılgısı + olası yasal risk doğuruyordu. Sentinel ISO 27001 sertifikalı değil (2027 hedefi); pitch + FAQ + outreach hep "uyumlu" der. Düzeltildi: "KVKK uyumlu, ISO 27001 hedefi 2027". P1 — Hero stat 4. kutu ve dogfood şeffaflık listesindeki test sayısı 496 → 615 (P2.v3 + P7 sonrası güncel sayım). P1 — Dogfood "18 açık bulgu (3 CRITICAL — kernel + SSL)" ifadesi run #3 authoritative kaynağa göre eksikti. 19 finding tam breakdown'la güncellendi: 3 CRITICAL kernel + ssl-expiry · 3 HIGH csf + mysql + updates · 2 HIGH-WARN sshd + X11. P1 — Sample report card matematiği tutmuyordu (3+4+8+36 = 51 ≠ 48). HANDOFF.md run #3 authoritative breakdown ile yeniden yapılandırıldı: 47 toplam = 19 açık (3 CRIT + 3 HIGH-VULN + 2 HIGH-WARN + 10 MED-WARN + 1 LOW-WARN) + 28 TAMAM. Hata sayısı 0 korundu. E-posta adresi (sentinel@teknoweb.com.tr vs info@teknoweb.net) DOKUNULMADI — Onur Q6 cevabı bekleniyor. Refs: P5 fix

… sync P5 review'de bulunan sayı tutarsızlığını gidermek için pitch sayfa 4 severity tablosu HANDOFF.md "T-206 Faz A" kayıtlarıyla birebir hizalandı. Yapılan değişiklik (Sayfa 4): ÖNCE (yanlış — "4 CRIT" toplam VULN+OK karıştırıyordu): CRITICAL: 4 HIGH: 3 MEDIUM: 10 LOW: 1 WARNING: 2 OK: 13 INFO: 4 Toplam: 47 SONRA (HANDOFF authoritative — VULN/WARN/OK/INFO ayrımı şeffaf): CRITICAL | 3 VULN | 1 OK | - | 4 HIGH | 3 VULN + 2 WARN | 7 OK | - | 12 MEDIUM | 10 WARN | 9 OK | - | 19 LOW | 1 WARN | 7 OK | - | 8 INFO | - | - | 4 | 4 TOPLAM | 19 action-needed| 24 | 4 | 47 HANDOFF satırıyla doğrulama: 1 CRIT-OK + 3 CRIT-VULN + 7 HIGH-OK + 3 HIGH-VULN + 2 HIGH-WARN + 4 INFO + 9 MED-OK + 10 MED-WARN + 7 LOW-OK + 1 LOW-WARN = 47 ✓ Notlar: - "Action-needed" = VULN (kanıtlanmış açık) + WARN (eşik üstü uyarı); müşteri pitch'inde net mesaj - 19 finding sayısı önceki tablodaki sayıyla uyumlu, sadece dağılım şeffaflaştırıldı; pitch bütünü sayı bütünlüğünü koruyor - "3 bitmiş SSL sertifikası" yazıldı (4 değil); 4. SSL "within-30d" idi, ayrı kategori; CVE-2026-31431 + 3 expired = 4 CRIT (1 OK + 3 VULN) - Marketing landing tarafında frontend-marketing 47 kontrol + 19 finding + 3 CRIT-VULN sayılarıyla aynı authoritative kaynağa hizalanacak Bu commit P5 marketing landing review'in (P6 review raporu) Sayfa 4 şeffaflığı önerilerini uyguluyor. Kaynak: HANDOFF.md run #3 ✓ DB doğrulandı. Refs: P6, P6.b, T-206

P8 Final QA bulguları: **Test + coverage doğrulama:** - 601 test yeşil (1 skipped, intentional) - Coverage %71.94, gate %70 geçer - Modül bazında: sentinel_core %85-100, server-harden.py %62 **T-204 sentinel-onboard end-to-end smoke (lokal/dry-run):** - `sentinel-onboard testacme --host 192.0.2.1 --dry-run` başarılı - ZIP path + SCP komut + TR e-posta taslağı doğru üretildi - Hiçbir dosya yazılmadı (dry-run güvenliği teyit) **PDF V7 görsel review:** - 6 sayfa, 61 KB, marka uyumlu (TeknoWeb logo + KVKK footer) - ⚠ Sayfa 3 "Detaylı Bulgu Tablosu" — Mesaj kolonu Fix? kolonuyla çakışıyor (mesaj truncate edilmeli). P4 sahibi için not. - Diğer minor: severity tutarsızlığı (3 HIGH listede 2 var) + generic aksiyon önerisi şablonu (MEDIUM/LOW için modül-özel olmalı) **Marketing HTML doğrulama (statik):** - index.html (49 KB) + pricing.html (44 KB) — title, lang, viewport ✓ - Atlas referansı yok, TODO/FIXME yok, 49 link - Browser test (Chrome/Safari/mobile) Onur tarafında — agent yapamıyor **README link kontrolü:** - 40 toplam, 28 internal, 0 broken (LICENSE eklendi → 2 broken→0) **LICENSE eklendi:** - Proprietary copyright notice (TeknoWeb Teknoloji 2026) - README badge'inin hedefi artık 200 dönüyor (önceden 404) **HANDOFF.md güncellendi:** - "T-206 aktif" eskisi → "P8 in_progress + T-203 outreach hazır bayrağı" - Tüm P1-P7 stream'leri özet checklist - 3 onay bekleyen item açıkça listelendi **Onay bekleyen (yapılmadı):** - Atlas dogfood (memory yasak, brief Atlas geçti — doğrulama isteniyor) - `git tag v1.0.0-mvp` (destructive, onay isteniyor) - 44d63f8 + Atlas audit DB Run #93/#94 cleanup (team-lead halledecek) Refs: P8 (final QA partial — Atlas + tag bekliyor)

P8 brief'in 7 Atlas-bağımsız adımı: 1. Comprehensive pytest: 601/601 yeşil, 1 skipped, %71.94 cov, 4.18sn - Modül bazında: sentinel_core %85-100, server-harden.py %62 - Kalan ~%18 server-harden glue layer (CLI/wizard/main) — T-301+ 2. Lint pass: 127 ruff uyarısı (50 autofix) + 7 black dosyası - CI'da warning (P7'de continue-on-error: true) - Format-cleanup PR'ı sonrası blocking yapılabilir 3. CLI smoke (lokal): --list / --help / --build-runner-script / --pdf-report (Atlas guard) / --audit-log / sentinel-onboard --dry-run — hepsi ✓ - pdf_report.is_restricted_host() guard 4 unit testle kanıtlı 4. Lokal dalyan smoke (wg-hel): 1 başarılı / 0 başarısız + --drift 0 yeni / 0 regresyon / 0 düzelen / 12 devam (deterministik) 5. Marketing landing browser smoke: HTTP 200 OK (index, pricing, css, logo.svg) + HTML structural OK (tag dengesi, title, lang=tr, viewport, description, og:title, canonical) - Atlas / "44 SSL" / "295 site" referansı YOK 6. README + docs link kontrolü: 0 broken - LICENSE eklendi → README badge canlı 7. Branch durumu: tek aktif feature branch, 20 commit ahead of main - feature/T-106e-... daha önce P7 entegrasyonu sonrası silindi Bilinen açık riskler: - PDF V7 sayfa 3 kolon taşması (P4 sahibi #34'te düzeltiyor) - Lint format-cleanup ayrı PR - server-harden.py glue layer integration test (T-301+) - Marketing Lighthouse + Playwright (#35 sahibi) Onay bekleyen destructive: - Atlas dogfood (memory + brief çatışması — Onur S1-S4) - git tag v1.0.0-mvp (açık onay) - 44d63f8 + audit DB Run #93/#94 cleanup (team-lead) Outreach hazır bayrağı: 9/11 yeşil. T-203 teknik olarak hazır. Refs: P8 (Atlas-bağımsız adımlar tamam)

…rı + screenshots P8 QA için marketing landing browser test koşumu: **Playwright (3 viewport × 2 page):** - 6/6 HTTP 200, 0 page error, 0 failed request - Tailwind CDN tüm viewport'larda yüklü (body bg = rgb(248,249,250)) - 1 console warning per page (Tailwind CDN production önerisi — MVP kararı) - 24/24 content check pass: 615 test, 47 kontrol, 19 açık, ISO 27001 hedefi 2027, ₺499/899/3.999 prices, 7 SSS accordion **Lighthouse skorları:** | Page | Perf | A11y | BP | SEO | | ------------ | ---- | ---- | --- | --- | | index.html | 66 | 96 | 100 | 100 | | pricing.html | 76 | 96 | 100 | 100 | Performance 90+ hedefi altında — Tailwind CDN render-blocking (~3s). Production nginx (gzip + Cache-Control hazır) ile çoğu opportunity otomatik kapanır; PostCSS pipeline Faz 2 task. **Bulgular:** 13 contrast violations identified - HIGH: Pilot CTA button (accent-500 + white = 2.83 contrast, AA req 4.5) - HIGH: Section labels (brand-500 small caps = 3.25) - LOW: decorative numerals (aria-hidden zaten) Önerilen P5 fix V2 (5 satır, 2 dakika): accent.500 → #E55A2B, brand.500 → #0052A3. P8 onayı bekleniyor. **Çıktılar:** - docs/MARKETING_BROWSER_TEST.md (rapor) - docs/lighthouse/{index,pricing}.report.{html,json} - docs/marketing-screenshots/ — 6 full-page PNG (desktop/tablet/mobile) Refs: P5, P8

…dül-özel aksiyonlar + T-218 ifadesi P8 QA backend-lead 4 bulgu raporladı; hepsi düzeltildi. P0 (CRITICAL) — Detaylı Bulgu Tablosu kolon taşması: Önceden uzun mesajlar "Mesaj" kolonundan "Fix?" kolonuna sızıyordu ("ServerTokens Full ... leak ediyorEvet"). Mesaj kolonu artık Paragraph wrap'le sarılı, severity/status için ayrı short_style (kelime sınırı bölmez) eklendi. Kolon genişlikleri yeniden dengelendi (2.8 + 2.6 + 2.6 + 7.5 + 1.5 = 17.0 cm) — VULNERABLE artık tek satır. P1 — "En Kritik 3 Bulgu" başlığı yerine "Kritik & Yüksek Öncelikli Bulgular (N)": tüm CRITICAL+HIGH bulgular listelenir (sabit 3 değil), yöneticiye eksik bulgu gösterimi son bulur. >10 ise cap + "ek N bulgu detay tablosunda" göstergesi. P2 — Aksiyon önerileri modül-özel: ACTION_HINTS_BY_CHECK (en spesifik) → ACTION_HINTS (modül) → DEFAULT resolver eklendi. ssh-hardening:root_login ve ssh-hardening:password_auth ayrı şablonlar; cphulk/file-permissions/kernel/ssl-expiry/php-config/ kernel-sysctl modülleri komut + path + dosya seviyesinde özel öneri alır. Hint string'leri _escape_xml ile ReportLab markup'ından korunur (csf-firewall'daki "&&" sorunu çözüldü). P3 — Dogfood şeffaflık sayfası: T-211/T-212/T-218/T-215 her bulgu için T-faz-e-b2 sprint adı + commit hash referansı (afc8d63, e8b0ad9, vb.) ile listelendi; "yakalandı ve düzeltildi" yerine kanıtlanabilir izler. 5 yeni unit test (test_executive_summary_lists_all_critical_and_high, test_findings_table_long_message_does_not_bleed_into_fix_column, test_resolve_action_hint_prefers_check_specific_over_module, test_dogfood_section_references_t218_with_commit_hash, test_dogfood_section_omitted_when_disabled) — toplam 15 PDF test, 606 test yeşil, 0 regression. Sample PDF yenilendi: 63572 bytes, 6 sayfa (gitignore'lı). Refs: T-205

P2.v3 (jenerik mailer + sentinel-monthly cron) QA scope'una dahil edildi: **Mailer dry-run smoke (lokal config + gerçek Atlas IP'leri):** - `python -m sentinel_core.report_mailer --tag prod --dry-run` - ✅✅✅ Atlas guard CANLI tetiklendi: WARNING: Restricted host atlandı: 212.64.204.106 (Atlas/yasaklı prefix) WARNING: Restricted host atlandı: 212.64.200.58 (Atlas/yasaklı prefix) - Filtre sonrası hedef boş → CLI temiz hata ile exit (anlamlı) - File logger graceful fallback (lokal /var/log yetkisi yok → konsol log devam) **Çift güvenlik katmanı:** 1. load_targets() filter — IP prefix kontrolü, "Restricted host atlandı" 2. pdf_report.fetch_run() RestrictedHostError — filter atlatılırsa PDF üretiminde exception **Mailer 14 unit testi tamamı yeşil (test_report_mailer.py):** - TestFetchRun (2): latest run + explicit id - TestLoadTargets (2): tag filter + atlas filter - TestPdfRendererCall (1) - TestSmtpFlow (2): roundtrip + connection failure - TestDryRun (1): no SMTP no PDF - TestAtlasGuard (2): explicit list + propagate - TestCliExitCodes (3): missing filter + no targets + dry-run success - TestBuildEmail (1): pdf attachment + summary **Systemd unit verify (wg-hel'de Linux systemd-analyze):** - infra/wg-hel/sentinel-monthly.{service,timer}: 0 hata, 0 uyarı - (eski sentinel-test.service Documentation= satırında minor uyarı, fonksiyonu etkilemez) **docs/dogfood-mailer-pipeline.md link kontrolü:** 0 toplam, 0 broken **Bayrak güncellendi:** 9/11 → 10/12 yeşil (P2.v3 + PDF V7 fix) - Atlas dogfood + v1.0.0-mvp tag onay bekliyor Refs: P8 (mailer + cron QA dahil)

Lokal pytest yeniden koşturuldu (PyPDF2 mevcut env): - Önce: 601 passed (PyPDF2 yoksa 587) - Şimdi: 606 passed (P4 + B2 fix sonrası ek test'ler dahil) - Coverage: %71.94 → %72.08 - Süre: 4.18 → 5.08 sn CI'da pip install -e ".[dev]" PyPDF2'yi alıyor → 606+ test koşacak. Venv'de PyPDF2 olmazsa: 591 + 15 skip (24 PDF text extraction testi). Refs: P8 (sayı taze)

Brief'in eksik kalan iki item'ı eklendi: **1. Atlas cleanup detay (Onur'un karar vermesi için):** İki Atlas içerikli commit: - `8ed1a3a feat(p2): Atlas dogfood + aylık SMTP rapor mailer + cron unit'leri` → P2.v3 (`0ea3e07`) jeneriği zaten replace etti; revert ya da atlas_report_mailer.py sil + commit - `44d63f8 docs(t-faz-e-b2): Atlas + dalyan re-audit raporu` → ca434a7 dosya rename ile düzeltildi ama commit message'ı hâlâ Atlas içeriyor; rebase -i ile message edit ya da revert Lokal audit DB cleanup talimatı: ``` sentinel-core --backup-audit sqlite3 ~/.server-harden/audit.db \ "DELETE FROM findings WHERE run_id IN (93, 94); DELETE FROM runs WHERE id IN (93, 94); VACUUM;" sentinel-core --audit-log | grep -E '#9[34]' # boş olmalı ``` Önerilen sonraki sprint task (T-301+): - _run_session() ana akışına Atlas guard ekle (audit DB'ye yazmadan önce is_restricted_host() kontrolü) - Aynı türde ihlal yaşanmasın (mailer'da var, ana akışta yok) 3 değiştirme stratejisi seçeneği listelendi: 1. Commit message rebase (commit korur, message değiştirir) 2. Revert + yeniden commit (eski kalır, kontra-commit eklenir) 3. Squash + force-push (henüz remote yok → güvenli) **2. Marketing P5 fix sayı sync kontrolü (4f242b0):** | Terim | index.html | pricing.html | |-------|-----------|--------------| | 47 kontrol | 3 yer | 2 yer | ✅ Tutarlı | | 615 unit test | 1 yer | 0 | ⚠ Gerçek 606 (PyPDF2 yoksa 591); 615 snapshot yaklaşık | | 19 açık bulgu | 2 yer | 0 | ✅ run #3 baseline ile tutarlı | Marketing snapshot taze; ufak 615↔606 fark trivial, ileride build-time injection ile sync olabilir. Refs: P8 (Atlas cleanup öneri detayı + marketing sayı sync)

…600) Lighthouse Accessibility 96 → 100 her iki sayfada (0 contrast violation). B1 Performance da side-effect ile +11 (66 → 77). **Tailwind config (her iki dosyada):** - accent.500: #FF6B35 → #C44818 (CTA contrast 2.83 → 4.90, AA pass) - accent.600: #E55A2B → #A03A12 (hover daha koyu) - brand.500: #0066CC → #0052A3 (label contrast 5.57 light + dark için variant'larla 11.83) - brand.600: #0052A3 → #003D7A - brand.700: #003D7A → #002952 - meta theme-color: #0066CC → #0052A3 (tarayıcı tab rengi sync) **Dark mode variants eklendi (light mode'da değişiklik yok):** - text-brand-500 → +dark:text-brand-100 (#B0D4FF, contrast 11.83) — section label'lar (Sorun/Çözüm/Modüller/Şeffaflık), hero stat'lar, hero h1 span "47 güvenlik kontrolü", inline code, pricing %10/%20/%30 kart fiyatları, underline link'ler - text-accent-500 → +dark:text-orange-300 (#FDBA74) — section label "Şeffaflık", strong "1. yıl %50 indirim", pricing %2 ay bedava - text-ink-500 dark:text-brand-100/70 → dark:text-brand-100 (opacity full) — plan kart küçük metinler "/ay/sunucu · KDV hariç" + footer copyright - text-ink-500 → +dark:text-brand-100 — pricing × ikonlu satırlar + comparison table th sütun başlıkları - text-gray-100 dark:text-white/10 → dark:text-transparent — decorative "01/02/03" numerals (aria-hidden zaten, dark'ta gizli OK) - thead.bg-paper dark:bg-black/30 → dark:bg-brand-700 — comparison table header dark mode contrast iyileştirme **Lighthouse skorları (final):** | Page | Perf | A11y | BP | SEO | | ------------ | ---- | ---- | --- | --- | | index.html | 77 | 100 | 100 | 100 | | pricing.html | 77 | 100 | 100 | 100 | Önceki bulgu (13 violation) → 0. WCAG AA fully compliant. KASTKAY + AB EAA 2025 web a11y beklentilerine uyumlu. **Visual:** Brand mavi koyulaştı (lacivert tonuna kaçtı), CTA turuncusu daha doygun terracotta — branding karakteri korundu, kurumsal hissi arttı. Sample screenshot'lar `docs/marketing-screenshots/*_v2.png`. **Lighthouse raporlar:** docs/lighthouse/{index,pricing}-v2-final.report.{html,json} Refs: B2, P5, P8

…in işi team-lead 02 May netleştirdi: - Atlas SSH yasağı **kesinlikle geçerli** (memory entry #2 + #3 doğru) - Brief'teki "Atlas üzerinde tam dogfood" eski plan dosyasından (SAAS_MVP_1WEEK_PLAN.md güncellenmedi) kopya kalmış - Dalyan-only re-audit yeterli (zaten yapıldı, satır 4) - v1.0.0-mvp tag Atlas cleanup sonrası TEAM-LEAD atacak (ben değil) - Tag sırası: Onur S1-S4 → Atlas cleanup commit (team-lead) → tag (team-lead) Rapor güncellemeleri: - Üst başlık (satır 6): "Atlas dogfood + tag onaylar bekliyor" → "Atlas dogfood iptal; tag team-lead atacak" - Branch metadata: HEAD 27b5ac8 → 740ee48, 20→26 commit ahead of main - Onay bekleyen tablosu: Atlas dogfood ❌ İPTAL, tag team-lead'in - Bayrak özeti: 10/12 yeşil → 11/11 backend-lead scope yeşil + 1 destructive (tag) team-lead'in Backend-lead idle: yeni direktif veya cleanup/tag sonrası tetikleme bekliyor. Refs: P8 (direktif sync — Atlas iptal, tag team-lead)

… BLOCKING Format-cleanup sweep (style/format-sweep branch). Sonraki sprint için ruff + black BLOCKING yapılabilmesi için baseline temizliği. **Autofix (62 ruff fix + 2 file black reformat):** - F401 (22): unused-import → silindi - F541 (13): empty-fstring → düz string - I001 (21): unsorted-imports → isort - 2 dosya black-uncompliant (test_audit_log, test_detection_helpers) **Manuel fix (4 vaka):** - N806: server-harden.py UPCP_LOG/YUM_LOG → upcp_log/yum_log (function-local var convention) - N802: test_lsws_uses_serverSignature_directive → test_lsws_uses_server_signature_directive - N802: test_private_key_NOT_in_zip → test_private_key_not_in_zip - E731: test_onboard.py lambda → def encrypt_stub **pyproject.toml [tool.black] + [tool.ruff] eklendi:** - line-length=88, target=py310/11/12 - ruff select=E,F,W,I,N - ignore=[E501, E402]: * E501 (line-too-long): Türkçe yorumlar/string'ler doğal uzun, black zaten string'leri bölmüyor; gereksiz uyarı yığını. Fonksiyonel etki yok. * E402 (import-not-at-top): paramiko opsiyonel try/except sonrası bilinçli pattern (server-harden.py:907-921). - isort known-first-party = ["sentinel_core"] **.pre-commit-config.yaml:** - ruff/black args sadeleşti, --config=core/pyproject.toml ile pyproject okur - detect-private-key exclude'a .pre-commit-config.yaml eklendi (false positive: yorumda "PRIVATE KEY" string'i geçiyor) **.github/workflows/ci.yml:** - "ruff/black continue-on-error" → KALDIRILDI - "kritik hook'lar blocking" + "ruff/black warning" → "tüm hook'lar blocking" - pre-commit run --all-files --show-diff-on-failure tek adım **Doğrulama:** - ruff check . → All checks passed - black --check . → 51 files left unchanged - pre-commit run --all-files → 10 hook hepsi Passed - pytest -q --cov --cov-fail-under=70 → 606 yeşil, %72.07 cov, 0 regression **Lighthouse raporları:** end-of-file-fixer tarafından son satır newline eklendi (trivial, davranış aynı). Refs: P8 ek, format-cleanup sweep

onurdilmen added 29 commits May 2, 2026 02:28

docs(t-faz-e-b2): Atlas + dalyan re-audit raporu

44d63f8

8 bug fix sonrası Atlas cpanel01 + cpanel02 + dalyan-test (wg-hel'den) re-audit'leri hatasız tamamlandı. Run sayıları, test istatistikleri, kapsam dışı riskler ve kullanılan komutlar belgelendi. Refs: T-faz-e-b2 (Atlas P2.B/C/D)

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

style: pre-commit autofix sweep + ruff/black BLOCKING#2

style: pre-commit autofix sweep + ruff/black BLOCKING#2
onurdilmen wants to merge 29 commits into
mainfrom
style/format-sweep

onurdilmen commented May 2, 2026

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant

Conversation

onurdilmen commented May 2, 2026

🧹 Format Sweep — CI BLOCKING aktif

Yapılanlar

CI değişiklikleri

Test

Sıra

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

1 participant