ovtube/vtube
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

initial: tubev infrastructure docs

Browse Source 
- CLAUDE.md lean entry-point + index
- BOT_WORKFLOW.md dispatch rules + no-make-work + recommendations cadence
- SITES.md 14 ports inventory
- SYNC_WORKFLOW.md 2 sync paradigms
- MODULES.md module map + DEL_/test/obfuscated flags
- REFACTOR_RULES.md REFACTOR vs CLEANUP vs BUG vs FEATURE
- RECOMMENDATIONS.md initial backlog from gocc1+2+3+4 audits 2026-04-30
- docs/roles/ 4 bot roles
This commit is contained in:
goboss
2026-04-30 14:18:23 +00:00
commit a9db23dfa4
12 changed files with 1386 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

9
.gitignore vendored Normal file
View File

@@ -0,0 +1,9 @@
.vscode/
.idea/
.DS_Store
*.swp
*~
*.log
*.bak
.env
.env.local

86
CLAUDE.md Normal file
View File

@@ -0,0 +1,86 @@
# tubev
Multi-site adult tube infrastructure — **frontend-only** scope (templates / CSS / JS). Backend (OpenResty + Lua) — у розробника, не в нашому доступі.
## Сайти
14 портів у `/home/w4/backup_<port>/`. Повна таблиця: **[docs/SITES.md](docs/SITES.md)**.
## Stack
- Templates: **etlua** (Lua templating, OpenResty environment)
- CSS: критичний inline `views/css/css_*.etlua` + deferred `static/css/`
- JS: `static/js/{c2, auth, comment, profile_index, main, ...}.{js,min.js}`
- Video player: `static/videojs-v10/`
## Workflow (де що правити)
1. **Edit:** `~/backup_<port>/views/` (наша зона; кожен порт = окремий git repo)
2. **Sync:** `~/backup_<port>/sync.sh` копіює з prod (`/home/nosfortube/frontend_<port>/`) → backup. Деталі: **[docs/SYNC_WORKFLOW.md](docs/SYNC_WORKFLOW.md)**
3. **Push to prod:** через git remote → developer-side. **goboss НЕ пушить**, тільки локальні коміти у власному worktree
4. **`/home/nosfortube/`** — це prod, читати можна, **писати — НІКОЛИ**
## Команди
```bash
~/start-devs.sh boss # старт goboss
~/start-devs.sh gocc # старт gocc1-4
~/bin/trigger-bots [gocc{N}] # тригер нової task
~/bin/restart-bots [gocc{N}] # повний reset (kill+start+wait+trigger)
~/bin/clear-bots [gocc{N}] # /clear context (topic switch)
git pull --rebase # ЗАВЖДИ перед роботою у backup_<port>/
```
## Команда (ролі ботів)
| Бот | Tool access | Domain |
|-----|-------------|--------|
| **goboss** | All | Planner + dispatch (не push до prod, тільки local commits) |
| **gocc1** | Read-only | Code audit + regression |
| **gocc2** | Read-only | Test gap + endpoint smoke |
| **gocc3** | Edit/Write/commit (no push) | Frontend writer (templates/CSS/UI) |
| **gocc4** | Edit/Write/commit (no push) | Architect/refactor (services/lib/scripts) |
**2 read-only + 2 writer** — read-only safety net, писателі паралельно.
Деталі: **[docs/roles/](docs/roles/)** | Workflow rules: **[docs/BOT_WORKFLOW.md](docs/BOT_WORKFLOW.md)**
## Правила (КРИТИЧНІ)
### No make-work
**НЕ давати ботам задачі з пустого в порожнє.** Кожен dispatch має конкретну причину: новий audit area, conkretne виявлений bug, follow-up з reportу. Якщо нема такої причини — bot пише `[bot] Чекаю.` і чекає. Cross-audit / regression test / research **тільки коли є concrete trigger**.
### No-touch zones
- `/home/nosfortube/` — production source, READ ONLY
- `/etc/nginx/`, `/var/www/` — server configs, поза scope
- Backend Lua код розробника — нема доступу
### Refactor vs Cleanup vs Bug-fix vs Feature
Чітко розрізняти. Деталі: **[docs/REFACTOR_RULES.md](docs/REFACTOR_RULES.md)**.
### Recommendations not plans
Виявлені refactor/security/cleanup candidates → **[docs/RECOMMENDATIONS.md](docs/RECOMMENDATIONS.md)** як **рекомендації**, не план. Робимо ТІЛЬКИ коли розробник скаже. goboss періодично нагадує про unprocessed items.
### No hardcodes у нових патчах
Перш ніж писати літерал (URL, домен, GA ID, magic number) — `grep` чи вже є у `views/config/` чи аналогічному місці. Існує — import/include. Нема — додай як параметр у `views/config/site.lua` (якщо буде створено) і потім use.
## Doc Index
| Файл | Призначення |
|------|-------------|
| **[docs/SITES.md](docs/SITES.md)** | Таблиця 14 портів × домен × cluster × outlier flags |
| **[docs/SYNC_WORKFLOW.md](docs/SYNC_WORKFLOW.md)** | Як sync.sh працює, 2 парадигми, як додати порт |
| **[docs/MODULES.md](docs/MODULES.md)** | Карта `views/modules/*.etlua` × presence × DEL_/test/deprecated flags |
| **[docs/REFACTOR_RULES.md](docs/REFACTOR_RULES.md)** | Що таке REFACTOR vs CLEANUP vs BUG vs FEATURE |
| **[docs/RECOMMENDATIONS.md](docs/RECOMMENDATIONS.md)** | Backlog refactor/cleanup/security candidates як рекомендації |
| **[docs/BOT_WORKFLOW.md](docs/BOT_WORKFLOW.md)** | Bot dispatch + reporting + escalation rules |
| **[docs/roles/](docs/roles/)** | Ролі gocc1-4 |
Файли наповнюємо/оновлюємо по мірі знахідок. CLAUDE.md = тонкий entry-point + index.
## Communication
- Українською, коротко, по суті
- Боти приймають **ТІЛЬКИ від `goboss:`**
- TIMESTAMP формат: `[bot YYYY-MM-DD HH:MM] Task ID: XXX`
- Task vs Report Task ID порівнюються **рядково**, не по змісту
- Signal через PostToolUse hook автоматично після Write `~/comms/{bot}-report.md`

234
docs/BOT_WORKFLOW.md Normal file
View File

@@ -0,0 +1,234 @@
# Bot & goboss workflow — обов'язкові правила
Durable spec для всіх Claude-ботів (gocc1..4) і goboss-планувальника. Project-agnostic.
**Головне правило:** не патчимо "на око". Думай → план → роби. No hardcodes, no patches, SSOT-first, architectural over patches.
## NO MAKE-WORK rule (CRITICAL)
**НЕ давати ботам задачі з пустого в порожнє.** Кожен dispatch має конкретну причину:
- ✅ developer запитав audit / refactor / fix
- ✅ HIGH severity finding з попереднього report потребує follow-up verify
- ✅ нова area не покрита попередніми звітами (concrete gap)
- ✅ regression/test після коміту з реальними змінами
**Не валідні тригери (НЕ робити):**
- ❌ "давай ще раз перевіримо" без нової причини
- ❌ "audit того ж самого через тиждень — раптом щось зміниться"
- ❌ make-work cross-audit / regression / research коли нічого не змінилось
- ❌ дублювання попереднього task'у з той ж scope
Якщо нема валідного тригера — task file = `Чекай.`. Не вигадуй роботу.
## Recommendations cadence (для goboss)
На початку кожної session goboss перевіряє `docs/RECOMMENDATIONS.md`:
- Скільки items OPEN по severity
- Що додано з last session
- Згадай developer-у (1 рядок: `📋 RECOMMENDATIONS: N OPEN (X HIGH, Y MEDIUM, Z LOW). Найпріоритетніше: ...`)
- НЕ виконуй items самостійно — чекай developer-go
---
## Частина A — для goboss (planner)
### A1. Планування перед dispatch
Перед task file для бота goboss МУСИТЬ:
1. **Scope** — one-liner: що зробити, які файли, який контракт.
2. **Якщо multi-step (≥3 discrete steps) АБО architectural**`Agent(subagent_type: Plan)`. Результат — concrete step-by-step з critical files і trade-offs.
3. **Якщо brainstorming** (невідомий підхід / 2+ competing options) — `superpowers:brainstorming` skill. Записати decision + reasoning у task.
4. **SSOT check** — чи є вже helper/module для цього? Використовуй існуюче.
5. **Recent commits**`git log --oneline -20` — щоб не дублювати.
### A2. Architectural fixes, not patches
Якщо помилка зустрічається 2+ рази з того ж root cause → REDESIGN, не FIX по одному разу.
`feedback_architectural_not_patches` memory — якщо існує.
### A3. Перевірка cherry-pick'ів
Після cherry-pick bot-зміни:
1. Smoke (`pytest tests/test_<feature>.py -q`)
2. Full regression (`./run_tests.sh` або `pytest -q`)
3. ≥3 commits разом без verify → `gocc2` на drift-check audit
4. Push + verify health endpoint
5. Update `docs/ROADMAP.md` (якщо проект має) у тій самій сесії
### A4. Code review після great IMPL
Після кожного MAJOR step (refactor, new SSOT module, multi-file migration):
1. `Agent(superpowers:code-reviewer)` на результат
2. Передати: commit hash, changed files, task spec link
3. Issue → fix inline АБО queue follow-up PR
---
## Частина B — для ботів (executor)
### B1. Before coding — planning phase
Перед першим code edit:
1. Прочитай task ПОВНІСТЮ.
2. Multi-step (≥3 кроків) АБО scope нечіткий → `Agent(subagent_type: Plan)` з task context. Plan = checklist.
3. Architectural decision → `superpowers:brainstorming` skill. `## Decision` block у report.
4. Unclear → ЗАПИТАЙ goboss (через partial report з `QUESTION:` block). НЕ ВГАДУЙ.
### B2. No hardcodes — SSOT first
Перед кожним новим літералом (path, model name, URL, retry count, language code):
1. `grep -rn "<literal>" config/ lib/`
2. Існує → IMPORT
3. Немає → додай у `config/<domain>.py` як module-level const, потім import
Never:
- `API_KEYS = ['xxx']` у коді (use env)
- `DATA_DIR = '/var/lib/...'` у коді (use config)
- `MAX_RETRIES = 3` у двох файлах (extract до `config.retry`)
### B3. No patches — architectural fixes
Bug знайдено:
1. Root cause (не симптом)
2. Локальний → fix inline + regression test
3. ≥2 місцях АБО ≥2 commits → architectural refactor (SSOT, validator, dedup). НЕ копіюй fix у N місць.
### B4. Test coverage
Кожна нова public function / class / module:
- 1 smoke (happy path)
- 1 edge (empty/invalid/failure)
- 1 integration якщо side effects (DB, HTTP, FS)
Test name: `tests/test_<module>_<feature>.py`. Новий endpoint = новий test.
### B5. Pre-push code review
Після commit, ДО report:
1. Re-read diff (`git diff HEAD~1`)
2. Constraint check проти task spec
3. Large refactor (≥200 LOC АБО ≥5 files): `Agent(superpowers:code-reviewer)` з task spec, diff, own trade-offs.
4. Code-reviewer feedback → fix inline АБО record у report BUGLOG як deferred.
### B6. Report structure
Кожен report МУСИТЬ мати у цьому порядку:
1. **Status** (READY / BLOCKED / FAILED)
2. **Deliverable** (branch, base commit, commit hash, files, LOC delta, tests added)
3. **Scope summary** (3-5 bullets)
4. **Decision notes** (якщо archi — варіант + чому)
5. **Test coverage** (per-module)
6. **Full regression** (pytest tail)
7. **Hardcode self-check** (grep — 0 hits)
8. **BUGLOG** (touched OR deferred)
9. **Deviation** (де відхилився від spec + чому)
10. **Signal** (filename for auto-hook trigger)
---
## Частина C — task file template
```markdown
# Task: <one-line scope>
**Assignee:** gocc<N> (<READ-ONLY AUDIT | IMPL | DECISION>)
**Origin:** <link to prior report / TODO / audit finding>
**Base:** `origin/main` @ `<commit-sha>`
## Workflow requirements (per docs/BOT_WORKFLOW.md)
- **Before coding:** `Plan` agent якщо multi-step; `brainstorming` skill якщо archi
- **SSOT check:** grep existing constants; import not copy
- **After major step:** `Agent(superpowers:code-reviewer)` на commit+diff
- **No patches:** recurring bug = root cause refactor
- **Report:** 10 sections per §B6
<!-- task spec -->
```
---
## Частина D — enforcement + exceptions
### D1. Enforcement
- Report без required sections (§B6) → goboss повертає `MISSING: <sections>`
- Bot patch замість architectural → goboss queue додатковий PR на refactor
- Bot пропустив SSOT, hardcode landed → goboss inline-fix + memory update
### D2. Exceptions (без планів)
Не потрібно planning overhead для:
- Trivial 1-file fix (typo, rename, const update)
- READ-ONLY audit (план = task spec sections)
- Doc-only update
- Emergency rollback (`git revert` — явно)
Bot вважає task — exception → ЗАПИШИ у report `## Planning skipped` з reasoning. goboss review.
### D3. Rollback on violation
Architectural violation post-merge (hardcode landed, patch замість refactor):
1. `git revert <commit>` (not --force, not amend)
2. Dispatch новий PR з proper fix
3. Update `feedback_<violation>.md` memory
---
## Частина E — operational procedures (goboss → bot dispatch)
### E1. Порядок dispatch
1. Запиши task у `~/comms/gocc{N}-task.md` з **унікальним Task ID**.
2. Тригер: `~/bin/trigger-bots gocc{N}` (або `~/bin/trigger-bots` для всіх).
`trigger-bots` робить: clear stale reports → git pull → signal через `~/scripts/trigger_bot.sh` (flock-serialized, paste-buffer + dual-Enter + verify).
### E2. Якщо бот не реагує
- `` prompt — Claude процес мертвий
- НЕ Ctrl-C (вбиває Claude)
- Use `~/bin/restart-bots gocc{N}` — kill-session → start-devs → wait 20s → trigger одним скриптом
### E3. Тригер ботів (нова задача)
```bash
~/bin/trigger-bots # всі gocc1-4
~/bin/trigger-bots gocc2 # один
~/bin/trigger-bots gocc1 gocc3 # subset
```
### E4. Повний перезапуск
```bash
~/bin/restart-bots # всі: kill+start+wait+trigger
~/bin/restart-bots gocc4 # один
```
**НІКОЛИ ручний `tmux kill-session`** — використовуй `restart-bots`.
### E5. Task ID правила
- Кожна нова task = новий унікальний Task ID
- Формат: `[goboss YYYY-MM-DD] Task ID: НАЗВА-ЗАДАЧІ`
- Бот порівнює task Task ID vs report Task ID — якщо однакові → "Чекаю.", різні → виконує
- При restart — clear report files перед trigger (restart-bots робить автоматично)
### E6. Context clear policy
`~/bin/clear-bots` (per-bot subset) — використовуй коли:
- Новий епох незалежний від попереднього (different feature/area)
- Контекст ≥30% з 1M (бот сам пише `⚠️ CONTEXT HEAVY` у report)
- Послідовний follow-up на ту саму задачу — НЕ кліри
### E7. Communication scripts (КАНОНІЧНІ)
- `~/scripts/send_to_goboss.sh "<msg>"` — bot → goboss (flock, idle-wait, verify)
- `~/scripts/trigger_bot.sh <session> "<msg>"` — goboss → bot (flock, idle-wait, verify)
- НІКОЛИ raw `tmux send-keys` для quoted text — guard блокує
---
**Reference memories:** `feedback_bot_verification`, `feedback_pre_push_subagent`, `feedback_signal_flood_mutex`, `feedback_simple_no_details`, `reference_bot_comms`.

103
docs/MODULES.md Normal file
View File

@@ -0,0 +1,103 @@
# tubev — Modules Map
Модулі = `views/modules/*.etlua` partials що включаються через `<%= include … %>` у layout/page templates.
## Канонічні модулі (присутні скрізь або майже)
| Module | Sites Present | Reuse signal | Notes |
|--------|--------------:|--------------|-------|
| `video.etlua` | 14/14 | ❌ всі md5 різні (67-77% common lines) | **Top SSOT candidate** — найвища similarity, зберігає однакову data-loop структуру |
| `related_video.etlua` | 13/14 (no 8148) | ❌ всі md5 різні | structurally similar, candidates for shared partial |
| `recommended_video.etlua` | 13/14 (no 8148) | ❌ | те саме |
| `relink_videos.etlua` | 13/14 (no 8148) | ❌ | те саме |
| `cat_list_alpha.etlua` | 13/14 (no 8129) | mixed | |
| `cat_list_thumb.etlua` | 12/14 | ❌ всі md5 різні | + 5 варіантів з пробілами/"with ads" — потребує нормалізації |
| `lang.etlua` | 12/14 (no 8081, 8129, 8148) | 9 unique md5, 2 ідентичні | i18n switcher |
| `pager.etlua` | 10/14 | ✅ **3 unique md5, 7 ідентичні** | **Shared candidate** — вже фактично shared |
| `removed_notify.etlua` | 10/14 | ✅ **4 unique md5, 6 ідентичні** | **Shared candidate** — вже фактично shared |
| `paginator.etlua` | 10/14 | ❌ всі різні | + `paginator_old.etlua`, `paginator_ajax.etlua` варіанти |
| `donors.etlua` | 12/14 | ❌ всі md5 різні | |
## Site-specific (тільки на 1 сайті)
| Module | Site | Why |
|--------|------|-----|
| `profile_index.etlua` | 8081 | NL agego SPA-like, профілі користувачів — окрема архітектура |
| `profile_public.etlua` | 8081 | те саме |
| `profile_upload.etlua` | 8081 | те саме |
| `channel_list_thumb.etlua` | 8081 | unique to 8081 |
| `_cat_list_thumb.etlua` | 8081 | underscore-prefix variant |
| `related_top_channels.etlua` | 8081 | |
| `ga/ga.etlua` | 8081, 8112 | Google Analytics module |
## DEL_* tombstones (24 файли × 6 сайтів)
**Видалити при першій нагоді (XS task, ~15 хв).** Префікс `DEL_` явно signals tombstone, але файли досі живуть і шумлять у grep.
| Module | Sites |
|--------|-------|
| `DEL_channel_id.etlua` | 8100, 8102, 8107, 8112, 8131, 8133 |
| `DEL_friend_list.etlua` | 8100, 8102, 8107, 8112, 8131, 8133 |
| `DEL_lang.etlua` | 8100, 8102, 8107, 8112, 8131, 8133 |
| `DEL_lang_mob.etlua` | 8100, 8102, 8107, 8112, 8131, 8133 |
Деталі: **[RECOMMENDATIONS.md](RECOMMENDATIONS.md)** #2.
## `_test.etlua` / .test.js (sandbox у prod tree)
Tests не повинні жити у prod. Перенести у `/tests/` або видалити.
| File | Sites |
|------|-------|
| `cat_list_thumb_test.etlua` | 8084, 8085 |
| `cat_index_test.etlua` | 8084, 8085 |
| `main_list_test.etlua` | 8084, 8085 |
| `video_test.etlua` | 8084, 8085 |
| `counters.min.test.js` | 8133 |
## Backup-via-rename артефакти (~30 файлів)
**Видалити при першій нагоді (S task, ~1h).** Файлові імена з пробілами ламають shell scripts. Версії повинні бути у git, не у filename.
| Pattern | Examples | Sites |
|---------|----------|-------|
| `header copy bongo link 25_10_22.etlua` | (один з typo `bogolink` на 8112) | 8084, 8085, 8112, 8126, 8131 |
| `* copy_ads_actual.etlua` | `id_index copy_ads_actual.etlua` | 8084, 8085 |
| `* copy.etlua/.js` | `my copy.js`, `machine copy.js` | 8 sites |
| `* with ads.etlua` / `* without ads.etlua` | `cat_list_thumb with ads.etlua` | 8112 (10 файлів) |
| `* with titles.etlua` | | 8100 (5 файлів) |
| `untitled file` | IDE saved-no-name | 8126 (×2) |
| `*_old/`, `*_bak*` | `js_old/`, `img_old/`, `paginator_old.etlua`, `layout_bak_25-05-18.etlua` | 8085 (dirs), 8086, 8100 |
| `asdadsasd.html`, `del___search_top.etlua` | obvious garbage | 8086 |
## Obfuscated JS (10 файлів — потребує origin audit)
**Random naming підозріло на adblock-bypass scripts.** Не у sync.sh. Походження невідоме.
| File | Site |
|------|------|
| `9qFdXQ7.js` | 8131 |
| `gD0A3.js` | 8131 |
| `PxqbeCb.js` | 8131 |
| `gk5LT.js` | 8107 |
| `f4T4s.js` | 8126 |
| `aOKM9.js` | 8085 |
| `N7Ym4F.js` | 8084 |
| `k3KL5.js` | 8102 |
| `qDap9.js` | 8112 |
| `c24c4cd9.js` | (неідентифіковано) |
| `popa.js`, `mo.js` | (неідентифіковано) |
**Питання до розробника:** ваші adblock-bypass payloads, legacy ad scripts, чи невідомий drop?
## Banners модулі
`views/modules/banners/` — окрема зона з ~30+ файлів native_adspy variants, embed_*adspy classes. Site-specific. Map поки не побудовано (P4 doc).
## Refactor candidate: shared base partial
`video.etlua` — найкращий кандидат на extraction до shared partial з per-site CSS theme overrides. Деталі: **[RECOMMENDATIONS.md](RECOMMENDATIONS.md)** #4.
---
*Source: gocc2 + gocc3 + gocc4 audits 2026-04-30.*

230
docs/RECOMMENDATIONS.md Normal file
View File

@@ -0,0 +1,230 @@
# tubev — Recommendations Backlog
**⚠️ Це РЕКОМЕНДАЦІЇ, не PLANS.** Кожен пункт виявлено через audit (gocc1+2+3+4 на 2026-04-30) і чекає developer-go перед виконанням. goboss періодично нагадує про unprocessed items на session start.
Типи: **REFACTOR** (структурна зміна без зміни поведінки) / **CLEANUP** (видалення dead code) / **BUG** (неправильна поведінка) / **FEATURE** (нове). Деталі: [REFACTOR_RULES.md](REFACTOR_RULES.md).
---
## 🚨 HIGH severity — Security
### S1. SRI / integrity для third-party JS *(BUG/FEATURE)*
**Where:** layout*.etlua усіх 14 сайтів
**Files:** `ajax.googleapis.com/.../jquery.min.js`, `cdn.jsdelivr.net/...flatpickr/pikaday`, `verifycdn.agego.com/v1/verify.js`, `https://a5.g--o.info`, `https://t1.tubev.sex/static/js/{interdata.min,sync}.js`
**Why:** Compromise CDN → arbitrary JS у браузері користувача. Особливо `agego.com`, `g--o.info` — third-party без вашого контролю.
**What:** pin-version + `integrity="sha384-..."` для кожного CDN script ABO self-host.
**Effort:** M (2-4h per site, batch'ами)
**Status:** OPEN. Чекає developer-go.
### S2. Origin audit obfuscated JS *(BUG)*
**Where:** 10+ файлів random-name JS, не у sync.sh
**Files:** `c24c4cd9.js`, `N7Ym4F.js`, `popa.js`, `f4T4s.js`, `gD0A3.js`, `qDap9.js`, `mo.js`, `aOKM9.js`, `9qFdXQ7.js`, `gk5LT.js`, `PxqbeCb.js`, `k3KL5.js`
**Sites:** 8084, 8085, 8102, 8107, 8112, 8126, 8131
**Why:** Підозріло на adblock-bypass payloads ABO malicious drop. Нема git track, нема sync.sh entry, обфусковані імена.
**What:** Audit походження. Якщо ваші → перейменувати + покласти у sync.sh + git track. Якщо невідомі → видалити після перевірки що active loading не залежить.
**Effort:** S (1-2h)
**Status:** OPEN. Питання до developer: ваші чи невідомі?
---
## 🟡 MEDIUM severity
### M1. 8112 — два GA properties в одному gtag *(BUG)*
**Where:** `backup_8112/views/modules/ga/ga.etlua`
**Why:** gtag config містить одночасно `G-CQN2KFSXSG` і `G-WW50B2EGSJ` → дані пишуться на 2 property. Imовірний bug — не сумісно з legitimate analytics workflow.
**What:** Підтвердити з developer який ID правильний. Видалити інший.
**Effort:** XS (15 min)
**Status:** OPEN. Питання до developer.
### M2. site_domain / GA ID / CDN host → config *(REFACTOR)*
**Where:** layout/header `.etlua` всіх 14 сайтів
**Why:** Site domain hardcoded у CSP `form-action`, `preconnect`, partner logo links. GA IDs hardcoded. CDN hosts hardcoded. Зараз — по N літералів у кожному layout. Drift-prone.
**What:** Створити `views/config/site.lua` (або еквівалент Lua module) з constants:
```lua
return {
domain = "hdsexvideo.xxx",
ga_id = "G-CQN2KFSXSG",
cdn_pic = "cdn-pic.hdsexvideo.xxx",
cdn_video = "...",
partners = { "fulltube.xxx", "nu-bay.com", ... },
}
```
Layout uses `<%= site.domain %>`, `<%= site.ga_id %>`.
**Effort:** M (4-6h)
**Status:** OPEN.
### M3. CSP — meta → HTTP header *(REFACTOR)*
**Where:** layout*.etlua з `<meta http-equiv="Content-Security-Policy" ...>`
**Why:** meta-CSP не може встановити `frame-ancestors` / `report-uri`, повільніший за HTTP header. Зараз 8084 (та інші) використовують meta.
**What:** Перенести у nginx config. Може треба developer-side change бо nginx config не наш scope.
**Effort:** S frontend-side / depends backend
**Status:** OPEN. Залежить від developer.
### M4. modules/video.etlua → shared partial *(REFACTOR)*
**Where:** `views/modules/video.etlua` × 14/14 сайтів
**Why:** 67-77% common lines, найвища similarity з усіх модулів. 14 окремих копій що data-loop ідентичний, але class names + tweaks per site.
**What:**
- Extract base partial з `<%= include 'modules/video_base' %>`
- Per-site theme = CSS overrides (не template fork)
- Shared params: `<%= video, css_class, lazy_load %>`
**Effort:** M (4-6h)
**Status:** OPEN. **Найбільший SSOT win** з усіх refactor candidates.
### M5. 8081 layout split *(REFACTOR)*
**Where:** `backup_8081/views/layout.etlua` (1223 рядки monolithом)
**Why:** Outlier. Median решти ~200 рядків. Усі profile_*.etlua унікальні тут — 8081 has different architecture (NL agego, premium fork).
**What:** Розбити на partials аналогічно іншим 13 сайтам (header.etlua + footer.etlua + bottom_block.etlua + main.etlua).
**Effort:** L (8-12h, ПІСЛЯ M4 — щоб 8081 теж пристосувався до shared video partial)
**Status:** OPEN. Залежність: M4.
### M6. 8112 static/ duplicate tree *(CLEANUP/REFACTOR)*
**Where:** `backup_8112/static/{js,css,img,jsplayer,player,trade-th,tmp}``backup_8112/views/static/...`
**Why:** Дві ідентичні копії (md5-confirmed). Один live, інший stale.
**What:** З'ясувати який referenced (читай OpenResty config якщо доступно, або питай developer). Видалити інший.
**Effort:** M (2-4h, потребує OpenResty config check)
**Status:** OPEN. Питання до developer.
### M7. 8085 submodule drift *(BUG)*
**Where:** `backup_8085/views/static/js/lib`
**Why:** Modified submodule reference (`m` у git status). Submodule гілка drift'нула від трекованого коміту. Або локальний edit, або prod оновив submodule а tracking — ні.
**What:** З'ясувати з developer: rollback або commit поточний state.
**Effort:** XS (15 min)
**Status:** OPEN. Питання до developer.
### M8. 8086 sync drift — 30+ legacy файлів *(CLEANUP)*
**Where:** `backup_8086/views/`
**Why:** Sync.sh селективно копіює ~25 файлів, але диск містить ~30+ legacy не у sync.sh: `asdadsasd.html`, `layout_bak_25-05-18.etlua`, `id_index_copy_with_cjannels.etlua`, `del___search_top.etlua`, `header_with_country_if.etlua`, `layout_copy_withads.etlua`, plus 24+ модулів.
**What:**
1. Audit чи щось з цього reference'ed у живому layout/modules
2. Unreferenced → видалити
3. Sync 8086 на rsync-парадигму (Group A) — `--delete` зачистить решту
**Effort:** S (1-2h)
**Status:** OPEN.
### M9. 8112 untracked drift *(CLEANUP/BUG)*
**Where:** `backup_8112/{rotator/,lib/,nginx.conf,nginx.conf.compiled,redirect_*.nginx}`
**Why:** Untracked у git, але присутні на disk. `rotator/` має 40+ файлів `1_<lang>.txt` (i18n) + `cats.txt` symlink → `/home/nosfortube/frontend_8112/rotator/data/cats.txt`. backup mirror'ить prod app structure частково.
**What:** Or:
- Додати у sync.sh + git track (якщо потрібно у backup)
- Виключити (`gitignore` + не sync) (якщо не потрібно)
**Effort:** S (1h)
**Status:** OPEN. Питання до developer.
---
## 🟢 LOW severity / cleanup
### C1. Видалити DEL_* tombstones *(CLEANUP)*
**Where:** 24 файли × 6 сайтів
**Files:** `DEL_channel_id.etlua`, `DEL_friend_list.etlua`, `DEL_lang.etlua`, `DEL_lang_mob.etlua`
**Sites:** 8100, 8102, 8107, 8112, 8131, 8133
**Why:** Префікс DEL_ явно signals tombstone, але файли досі живуть. Шум grep-у, ризик випадкового деплою.
**Effort:** XS (15 min)
**Status:** OPEN.
### C2. Видалити backup-via-rename артефакти *(CLEANUP)*
**Where:** ~30 файлів з пробілами / " copy" / "with ads" / "without ads" / "with titles"
**Files:** Окремі категорії:
- `header copy bongo link 25_10_22.etlua` × 5 сайтів (8084, 8085, 8112, 8126, 8131; з typo `bogolink` на 8112)
- `id_index copy_ads_actual.etlua` × 2 (8084, 8085)
- `cat_list_thumb with ads.etlua` × 10 (8112)
- `* with titles.etlua` × 5 (8100)
- `untitled file` × 2 (8126)
- `my copy.js`, `machine copy.js`, etc. × 8
**Why:** File names з пробілами ламають shell scripts. Версії повинні бути у git.
**Effort:** S (1h)
**Status:** OPEN.
### C3. Видалити legacy `*_old/` dirs *(CLEANUP)*
**Where:** `backup_8085/views/static/{js_old/,img_old/}` (6+25 файлів)
**Why:** "_old" — explicit legacy marker.
**Verification:** `grep -rn "js_old\|img_old" backup_8085/` → 0 матчів = safe to delete.
**Effort:** XS (30 min)
**Status:** OPEN.
### C4. Видалити legacy UA-* GA *(CLEANUP)*
**Where:** `views/modules/ga/ga.etlua`, `static/js/ga.js`, `layout-orig.etlua`
**Sites:** 8081, 8086, 8100, 8112, 8126
**Why:** Universal Analytics EOL 2023-07-01. UA-* IDs не shipping data, але збільшують attack surface (extra script tag) і гасять performance.
**Files з UA-:** `UA-128492434-7`, `UA-109631925-*`, `UA-105546426-7` (7 унікальних)
**Effort:** XS (30 min)
**Status:** OPEN.
### C5. Видалити paginator_old / video_test варіанти *(CLEANUP)*
**Where:** `views/modules/`
**Sites:** 8084 і 8085
**Files:** `paginator_old.etlua`, `cat_list_thumb_test.etlua`, `cat_index_test.etlua`, `main_list_test.etlua`, `video_test.etlua`, `counters.min.test.js` (8133)
**Why:** Tests / older versions у prod tree.
**Effort:** XS (15 min)
**Status:** OPEN.
### C6. Уніфікувати sync.sh на rsync *(REFACTOR)*
**Where:** 7 selective sites: 8081, 8086, 8112, 8120, 8129, 8133, 8148
**Why:** 7 з 14 уже на ідентичному rsync template (74a6acb…). 7 інших роблять те саме через ad-hoc whitelists. Drift-magnet, важко synced модулі для нових сайтів.
**What:** Замінити selective `cp` allowlists на 12-line rsync template. Виняток — 8148 build-step (виносити окремо в `build.sh`).
**Effort:** S (1h)
**Status:** OPEN.
### C7. 8148 — винести build з sync.sh *(REFACTOR)*
**Where:** `backup_8148/sync.sh` (виконує `sed -i` MUTATION на prod source)
**Why:** sync.sh не повинен мутувати джерело. Build step і sync — різні concerns.
**What:**
- `build.sh` робить ad-bundle build + md5 + sed
- `sync.sh` робить тільки rsync mirror
- Pipeline: `build.sh && sync.sh` — explicit ordering
**Effort:** S (1h)
**Status:** OPEN.
### C8. Naming convention enforcement *(FEATURE/REFACTOR)*
**Where:** Pre-commit hook (per-repo) ABO server-side guard
**Why:** Запобігти повторного появи pробілів у file names, " copy", DEL_*, _test*, obfuscated random names. Інакше backlog буде відновлюватися.
**What:**
- Pre-commit script blocks: `[ a-zA-Z0-9_./-]` чорний список (тільки лат+цифри+`_./- `)
- Block `^DEL_`, `*test*` у production paths
- Document у [docs/NAMING.md](NAMING.md) (TODO P4)
**Effort:** S (1h script + 1h documentation)
**Status:** OPEN.
### C9. Min/non-min JS policy *(REFACTOR)*
**Where:** `c2.{js,min.js}`, `main.{js,min.js}`, `my.{js,min.js}`, `jquery-3.2.1.{js,min.js}` etc.
**Why:** Production = тільки `.min.js`. Dev = source. Зараз обидва у репо — шумно.
**What:** Pre-commit minifier ABO build-step pipeline. Source у `src/`, minified у `static/js/`.
**Effort:** M (3-5h, build pipeline)
**Status:** OPEN. Потенційно потребує developer-side build infrastructure.
### C10. CSS file naming standardization *(REFACTOR)*
**Where:** 8084 (no `views/css/` folder), 8086 (`styles.etlua` instead of `css_<page>.etlua`), 8148 (no folder)
**Why:** 11/14 use `css_<page>.etlua` pattern → решта 3 не вписуються.
**What:** Привести 8084/8086/8148 до `css_<page>.etlua` convention. Якщо вони мають окрему причину (8148 — sprite-driven, не split per page) — задокументувати у [SITES.md](SITES.md) виняток.
**Effort:** S (1-2h)
**Status:** OPEN.
### C11. Cross-site partner logos через config *(REFACTOR)*
**Where:** `header*.etlua`, layout footer-блоки 7 сайтів
**Sites:** 8084, 8085, 8086, 8100, 8102, 8126, 8131
**Why:** Hardlinks на партнерські сайти (`fulltube.xxx`, `hdsexvideo.xxx`, `nu-bay.com`, `gaypornhd.xxx`, `xxxtube1.com`, `fullhdxxx.com`, `maturesexmovies.xxx`) — кожен layout має свої literals.
**What:** Винести у `views/config/partners.lua` як array. Layout iterates.
**Effort:** S (1-2h, після M2 site.lua)
**Status:** OPEN. Залежність: M2.
---
## Reminders cadence
goboss перевіряє цей файл **на початку кожної session** і нагадує developer-у:
- Скільки items OPEN (по severity)
- Що було додано з минулої session
- Найдешевші items (XS-S) — пропонувати спершу
- Найпріоритетніші (HIGH) — окремо помічати
Items з статусом `DONE`, `WONTFIX`, `DEFERRED` переходять у footer цього файлу (history), щоб не плутатися з активним backlog.
---
## DONE / WONTFIX / DEFERRED
*(порожньо — поки нічого не виконано)*
---
*Last update: 2026-04-30 (initial backlog from gocc1+2+3+4 audits)*

127
docs/REFACTOR_RULES.md Normal file
View File

@@ -0,0 +1,127 @@
# Refactor / Cleanup / Bug-fix / Feature — definitions
**Чотири типи змін.** Кожна задача має ідентифікувати свій тип. Це визначає:
- Тригер (хто запитує: developer / audit / автоматичний)
- Scope (skill rough effort)
- Тестування (regression / smoke / нове)
- Як комітити (commit message prefix)
---
## REFACTOR
**Що це:** зміна **структури** коду без зміни поведінки. Goal — clearer code, less duplication, easier maintenance.
**Не змінює:**
- HTTP responses (statuses, JSON shape, HTML output byte-for-byte для existing inputs)
- DB schema (без migration)
- API contracts
- Visual rendering for users
**Приклади у tubev:**
- Винести `modules/video.etlua` у shared partial з per-site theme overrides → 14 сайтів дають однаковий HTML output, але код DRY (відсутнє ~60% дублювання)
- Розбити `8081/views/layout.etlua` 1223L монолітом на partials аналогічно іншим 13 сайтам → той же rendered HTML, чистіша структура
- Уніфікувати `sync.sh` на rsync-парадигму (7 selective → 7 rsync) → той же файловий результат, єдина mental model
**Тестування:**
- **Regression smoke** — той же rendered HTML before/after на тестовому сайті
- **Diff snapshot** — `curl <before> vs curl <after>` має бути identical
- Якщо diff — це BUG у refactor, треба фіксити
**Комміт:** `refactor: <scope>: <change>`
**Хто запитує:** developer (`go: refactor X`). НІКОЛИ боти/goboss самостійно — тільки коли явна директива.
---
## CLEANUP
**Що це:** видалення **dead code / dead files** які точно не використовуються.
**Не змінює:**
- Нічого, бо видаляється тільки те що було не задіяне.
**Приклади у tubev:**
- Видалити `DEL_*.etlua` (24 файли × 6 сайтів) — префікс DEL_ явно signals tombstone
- Видалити `*copy*.etlua`, `*_bak*.etlua`, `*_old/` папки — backup-via-rename артефакти
- Видалити `_test.etlua`, `.test.js` з prod tree — tests не у prod
- Видалити legacy UA-* GA snippets (Universal Analytics EOL 2023-07)
**Verification перед видаленням:**
- `grep -rn "<filename>" backup_<port>/` — чи десь reference?
- Якщо posicionado — re-classify як refactor (треба міняти reference спершу)
- Якщо unreferenced — safe to delete
**Тестування:**
- Sync.sh re-run → backup ідентичний прод (для rsync mirror sites)
- Smoke render головних сторінок — нічого не зламалось
**Комміт:** `cleanup: <scope>: remove <what>`
**Хто запитує:** developer ("видали DEL_*"). Боти **знаходять** і **рекомендують** у RECOMMENDATIONS.md, але не видаляють самі без явного go.
---
## BUG-FIX
**Що це:** код **неправильно** працює, треба виправити.
**Змінює поведінку — навмисно**, бо поведінка була некоректна.
**Приклади у tubev:**
- 8112 має 2 GA properties у одному gtag — likely баг (gtag config записує на дві property)
- 8085 submodule `views/static/js/lib` drift — modified reference але не committed; treba decide rollback або commit
- Site domain hardcoded у CSP `<meta>` — правильніше через nginx HTTP header
- `header copy bogolink 25_10_22.etlua` (8112) — typo в назві файлу = drift від 4 інших сайтів
**Тестування:**
- Reproducer test (показує проблему)
- Fix test (показує що пофіксено)
- Regression — нічого іншого не зламалось
**Комміт:** `fix: <scope>: <symptom> → <root cause>`
**Хто запитує:** будь-хто (developer, audit, користувач). Bots HIGH severity findings → goboss flagує developer-у.
---
## FEATURE
**Що це:** **нова поведінка** яка раніше не була доступна.
**Приклади у tubev:**
- Винести `views/config/site.lua` (новий конфіг файл) → нова можливість централізованого управління site_domain / GA ID / CDN host
- SRI integrity для third-party scripts → нова security guarantee
- Build-step для 8148 (винести з sync.sh) → нова функція автоматизації
**Тестування:**
- New tests для нової поведінки (smoke + edge + integration)
- Regression — нічого не зламалось
**Комміт:** `feat: <scope>: <new behavior>`
**Хто запитує:** developer / product. Боти не пропонують features самостійно.
---
## Як вибирати
| Зміна | Type |
|-------|------|
| "Винести в shared module / extract / DRY-it" | **REFACTOR** |
| "Видали мертве" / "забрати DEL_*" / "wipe legacy" | **CLEANUP** |
| "Не працює як треба" / "неправильна відповідь" / "конфлікт даних" | **BUG-FIX** |
| "Додай нове" / "тепер можна X" / "нова кнопка/endpoint" | **FEATURE** |
Якщо змішується — розбий на окремі коміти, **по одному типу на commit**. Mixed commits ламають revert / cherry-pick.
---
## Recommendations vs Plans (важливо)
**Recommendation** = "ось що варто зробити, ось чому, ось приблизний effort".
**Plan** = "ми зараз робимо наступне: ...".
Боти створюють recommendations у [RECOMMENDATIONS.md](RECOMMENDATIONS.md). **Plans створюються тільки коли developer каже "зробити"**.
goboss **не виконує** recommendations самостійно. Тільки нагадує developer-у періодично через session-start summary поки developer не скаже "роби X" або "видали X з backlog".

67
docs/SITES.md Normal file
View File

@@ -0,0 +1,67 @@
# tubev — Sites Inventory
14 сайтів у `/home/w4/backup_<port>/`. Кожен — окремий git repo.
## Таблиця
| Port | Domain | Status | Architecture | Sync | CSS | Brand | Notes |
|------|--------|--------|--------------|------|-----|-------|-------|
| 8081 | ? (NL agego) | active dev | **monolith** | selective (46L) | 449KB **outlier** | dark blue `#3162d8` | profile_*.etlua тільки тут; channel_list_thumb унікальний; SPA-like; CSS monolith style.css 221KB; layout 1223L |
| 8084 | hdsexvideo.xxx | live | legacy partials | rsync mirror (12L) | 172KB | light + orange `#ff8201` | SCSS + gulp build pipeline; **без `views/css/`** |
| 8085 | sexfreehd.xxx | live | legacy partials | rsync mirror (12L) | 252KB | dark + pink `#fe6661` | SCSS hybrid (style.scss 2421L); **submodule drift** `views/static/js/lib`; legacy `js_old/`, `img_old/` |
| 8086 | nu-bay.com | live | legacy partials | hybrid (36L) | 98KB | dark + green `#8bc215` | **outlier color** (зелений); 30+ legacy файлів `*copy*`, `*bak*`, `del___*`; single `styles.etlua` (не css_*.etlua) |
| 8100 | fulltube.xxx | live | legacy partials | rsync mirror (12L) | 147KB | red/brown `#c8280e` | багато файлів з пробілами та " copy"/"with titles" варіантами |
| 8102 | gaypornhd.xxx | live | legacy partials | rsync mirror (12L) | 106KB | dark + red `#fe1c5c` | DEL_* модулі; `my copy.js` dead |
| 8107 | maturesexmovies.xxx | live | legacy partials | rsync mirror (12L) | 104KB | gradient blue-violet | DEL_* + adspy banners cluster; obfuscated `gk5LT.js` |
| 8112 | hdpornvideo.xxx | live | **prod canonical** | selective (50L) | 209KB | dark + orange `#f45100` | **повна дублікація** static/ ↔ views/static/ (md5-identical); єдиний з git remote `git.tubev.sex`; 2 GA properties у одному gtag (потенційний bug); 7+ "with/without ads" варіантів; untracked `rotator/`, `lib/`, `nginx.conf` |
| 8120 | pornv.xxx | live | partial-modern | selective (46L) | 133KB | navy + orange | мінімальний (без `top_list`); HTML5 `<main>` semantic; обmodernized |
| 8126 | xxxtube1.com | live | legacy partials | rsync mirror (12L) | 103KB | dark + red `#ff0344` | мінімалістичні breakpoints (7 BP); HTML5 `<section>`; mobile menu з 8 aria-expanded; `untitled file` × 2 |
| 8129 | ? | active dev | minimal | hybrid (36L) | 69KB **smallest** | dark + orange `#fb671e` | **мінімаліст** (без model_list, top_list, header.etlua, footer.etlua, bottom_block.etlua); 7 модулів total |
| 8131 | fullhdxxx.com | live | legacy partials | rsync mirror (12L) | 111KB | dark + orange `#f47a20` | obfuscated JS: `PxqbeCb.js`, `gD0A3.js`, `9qFdXQ7.js` |
| 8133 | broxxx.com | live | legacy partials | hybrid (37L) | 127KB | light | `__main.js` underscore prefix; `counters.min.test.js` (test у prod) |
| 8148 | ? | **canonical lab** | minimal modern | selective (79L) + **build hook** | 82KB | sprite-driven, light | **288 commits/30d** (broadcast source); CSS vars system (24 tokens) — **єдиний з token system**; sync.sh викликає `build-ad-bundle.sh` + md5 hash bump через `sed -i`; `vast-preroll.js`, `ad-*` adstack |
## Кластери
### Архітектурні
- **Monolith outlier:** 8081 (1223L layout, profile pages, SPA-like)
- **Canonical lab:** 8148 (modern, CSS vars, ad-bundle automation, broadcast source)
- **Prod canonical:** 8112 (повна дублікація tree, untracked prod mirror)
- **Legacy partials majority:** 8084, 8085, 8086, 8100, 8102, 8107, 8126, 8131, 8133 (header.etlua + footer.etlua + bottom_block.etlua)
- **Minimalists:** 8120, 8129, 8148 (без top_list / без header.etlua)
### Візуальні
- **Dark + Orange:** 8112, 8129, 8131, 8133
- **Dark + Red/Pink:** 8085, 8086 (зелений), 8102, 8126
- **Dark + Blue:** 8081
- **Light + Orange:** 8084, 8133
- **Hybrid/Modern:** 8107 (gradient), 8120 (navy+orange), 8148 (sprite light)
- **Outlier color:** 8086 (зелений `#8bc215`)
### Sync патерни
- **Group A** (rsync mirror 12L, ідентично): 8084, 8085, 8100, 8102, 8107, 8126, 8131
- **Group B** (selective cp): 8081, 8086, 8112, 8120, 8129, 8133, 8148
## Невідомі домени
8081, 8129, 8148 — `lib/<port>/var.lua` відсутній у backup, домен не виводиться. **Питання до розробника:** які домени відповідають цим портам?
## Test/staging
`test.<domain>` НЕ налаштовано (DNS/connect-fail для всіх 11 known доменів). Усі live тільки на `www.<domain>` (HTTP/2 200, nginx 1.21.1, спільний backend `s=l8` cookie).
**Питання до розробника:** як працює preview змін перед prod? Інший механізм (port-direct, VPN, feature branch deploy)?
## Останні активності (станом на 2026-04-30)
| Activity | Sites |
|----------|-------|
| **288 commits/30d** | 8148 (lab/dev) |
| **12 commits/30d** | 8081 (NL experiments) |
| **2-5 commits/30d** | решта 12 (broadcast рецепієнти) |
Pattern: 8148 розробляється → коміти broadcast'яться по всіх 14 сайтах (cross-site batch commits типу `popunder cross-tab gate _asgGatedLoad on 12 sites`).
---
*Source: gocc2 + gocc3 + gocc4 audits 2026-04-30. Update — коли додається/закривається сайт, або змінюється cluster.*

130
docs/SYNC_WORKFLOW.md Normal file
View File

@@ -0,0 +1,130 @@
# tubev — Sync Workflow
`sync.sh` копіює фронтенд з prod (`/home/nosfortube/frontend_<port>/`) → backup (`~/backup_<port>/`).
## Дві парадигми
### Group A — rsync mirror (7 сайтів)
**Сайти:** 8084, 8085, 8100, 8102, 8107, 8126, 8131
**Шаблон (12 рядків, ідентичний після port-mask):**
```bash
#!/bin/bash
SRC="/home/nosfortube/frontend_<port>"
DST="/home/w4/backup_<port>"
# Mirror views/
rsync -a --delete --exclude='.git' "$SRC/views/" "$DST/views/"
# Mirror lib/<port>/
mkdir -p "$DST/lib/<port>"
rsync -a --delete "$SRC/lib/<port>/" "$DST/lib/<port>/"
```
**Властивості:**
- `--delete` → backup завжди = SRC. Drift=0.
- Підтягує ВСЕ під `views/`, включно зі сміттям (`*copy*`, `*bak*`, `_test`, `DEL_*`).
- Безпечно для drift.
### Group B — selective cp (7 сайтів)
**Сайти:** 8081, 8086, 8112, 8120, 8129, 8133, 8148
**Pattern:** explicit allowlist файлів через `cp` per-file.
| Site | Lines | Особливість |
|------|-------|-------------|
| 8081 | 46 | Templates + JS allowlist; profile_* + videojs-v10 |
| 8086 | 36 | header/footer + ~14 modules + minimal css/js |
| 8112 | 50 | Templates з ad/no-ad варіантами + banners + player + var.lua |
| 8120 | 46 | Templates + 14 modules + 5 css + forms + dropzone JS |
| 8129 | 36 | Templates + 7 modules + 5 css + timeline JS |
| 8133 | 37 | Templates + 11 modules + 9 banners + static html |
| 8148 | **79** | + auto-rebuild ad-bundle (md5) + pjs/timeline-pjs/tests |
**Властивості:**
- Drift-prone: якщо у prod з'являється файл якого нема у allowlist — backup його не знає.
- Швидко (sync лише потрібного).
- Жорсткий контроль що бекапиться.
### 8148 — особливий
`sync.sh` 8148 не лише копіює, а й **виконує MUTATION на prod source:**
```bash
# Builds ad-bundle, computes md5, replaces ?v=HASH у layout.etlua
build-ad-bundle.sh
HASH=$(md5sum ad-bundle.js | cut -d' ' -f1)
sed -i "s/ad-bundle.js?v=[a-f0-9]*/ad-bundle.js?v=$HASH/" layout.etlua
```
Це дельта sync ↔ build. Інші sync.sh — read-only operations. **Рекомендація** — винести build у окремий скрипт (див. RECOMMENDATIONS.md).
## Як додати новий сайт
1. **Створити `~/backup_<NEW_PORT>/`:**
```bash
mkdir -p ~/backup_<NEW_PORT>
cd ~/backup_<NEW_PORT>
git init
git remote add origin <repo-url-from-developer>
```
2. **Скопіювати rsync-template (Group A) — recommended:**
```bash
cat > sync.sh <<'SHELL'
#!/bin/bash
SRC="/home/nosfortube/frontend_<NEW_PORT>"
DST="/home/w4/backup_<NEW_PORT>"
rsync -a --delete --exclude='.git' "$SRC/views/" "$DST/views/"
mkdir -p "$DST/lib/<NEW_PORT>"
rsync -a --delete "$SRC/lib/<NEW_PORT>/" "$DST/lib/<NEW_PORT>/"
SHELL
chmod +x sync.sh
./sync.sh
```
3. **Закомітити перший snapshot:**
```bash
git add .
git commit -m "Initial backup of frontend_<NEW_PORT>"
```
4. **Оновити `docs/SITES.md`** — додати рядок з портом, доменом, кластером.
## Як зробити локальну зміну
1. **Sync прод стан:**
```bash
cd ~/backup_<port>
./sync.sh
git status # перевір чи прод змінився під час твоєї роботи
```
2. **Edit:** редагуй `views/`, `static/`, etc. **НЕ йди у `/home/nosfortube/`**.
3. **Commit локально:**
```bash
git add <files>
git commit -m "<scope>: <change>"
```
4. **Push до prod:** **goboss НЕ пушить**. Це робить розробник через свій процес. Боти лишають коміти у власному worktree (`~/gocc{N}/<repo>/`), goboss збирає через cherry-pick.
5. **Verify:** preview/test domain механізм наразі не ідентифіковано (питання до розробника).
## Git remote
Тільки **8112** має `origin = git@git.tubev.sex:nosfotube/frontend.git`. Інші 13 — local-only repos. Це означає що pull/push між backup'ами не централізовано.
**Рекомендація:** з'ясувати у розробника правильний git workflow (чи всі сайти ідуть через `git.tubev.sex`, чи інакше).
## Рекомендація: уніфікація на rsync (S, ~1h)
7 selective sync.sh роблять те саме що 7 rsync, але через ad-hoc allowlists. Це drift-magnet (gocc1 знайшов 8086: 30+ файлів на disk не у sync.sh; 8112: untracked `rotator/`, `lib/`, `nginx.conf`).
Краще — один template на 14 сайтів. Деталі: **[docs/RECOMMENDATIONS.md](RECOMMENDATIONS.md)** #1.
---
*Source: gocc1 + gocc2 + gocc4 audits 2026-04-30.*

87
docs/roles/gocc1-auditor-code.md Normal file
View File

@@ -0,0 +1,87 @@
# gocc1 — Аудитор коду (READ-ONLY)
## Ідентифікація
Кожну відповідь починай з `[gocc1]`.
## Тригер
Коли юзер пише `+`, `го`, `go` — прочитай `~/comms/gocc1-task.md`. Виконай. Результат — Write у `~/comms/gocc1-report.md` (перезаписуй).
## Фоллбек
Якщо task порожній / не змінився / Task ID збігається з report → НЕ вигадуй роботу. Write у report: `[gocc1] Чекаю.` Юзеру: `Чекаю.`
## Що робиш
- Hardcoded values (URLs, keys, magic numbers, paths)
- DRY violations (дублювання)
- Security issues (exposed secrets, injection patterns, unsafe defaults)
- Dead code (unused imports, unreachable branches)
- Config correctness (env vars, missing validation)
- Regression check проти попередніх findings (свій report — кожна нова task ПЕРШИМ ділом ретест)
## Що ДОЗВОЛЕНО
- ✅ Read, Grep, Glob — читати/шукати
- ✅ Bash — тільки read-only (`grep`, `wc`, `find`, `curl`, `python3 -c "..."` для аналізу)
- ✅ Write — ТІЛЬКИ `~/comms/gocc1-report.md`
## Що ЗАБОРОНЕНО
- ❌ Edit будь-якого файлу
- ❌ Write у будь-який інший файл крім свого report
- ❌ git commit, git push
- ❌ deploy.sh, systemctl
-Не виправляй код — тільки знаходь і звітуй
## Верифікація (включай у звіт)
Не "подивився на код" — запускай перевірки:
```bash
# Python синтаксис
python3 -m py_compile <file>.py && echo "✅ OK"
# Unused imports
python3 -c "
import ast
tree = ast.parse(open('<file>.py').read())
imports = [n.module if isinstance(n, ast.ImportFrom) else n.names[0].name
for n in ast.walk(tree) if isinstance(n, (ast.Import, ast.ImportFrom))]
print(imports)
"
# SQL sanity
python3 -c "import sqlite3; sqlite3.connect('<db>').execute('EXPLAIN SELECT 1')"
```
## Ретест попередніх findings (ОБОВ'ЯЗКОВО)
При кожній новій task:
1. Прочитай свій `~/comms/gocc1-report.md`
2. Якщо там issues — перевір кожен (git pull, file:line, чи пофіксено)
3. Таблиця `## Ретест` — FIXED / STILL OPEN
4. ТІЛЬКИ ПІСЛЯ — нова task
## Формат звіту
```markdown
[gocc1 YYYY-MM-DD HH:MM] Task ID: <id>
## Ретест
| # | Прев issue | Статус |
## Аудит: <тема>
| # | Файл:рядок | Проблема | Severity |
|---|-----------|----------|----------|
| 1 | config.py:12 | SECRET_KEY hardcoded | HIGH |
Severity: HIGH (security/crash) / MEDIUM (correctness) / LOW (style)
```
## Координація
- Задачі від goboss
- HIGH severity — на початок звіту
## Signal goboss
Write `~/comms/gocc1-report.md` → PostToolUse hook `auto-signal-goboss.sh` автоматично шле `gocc1: done` до goboss. Ніяких ручних tmux send-keys не треба.
Manual fallback (якщо hook fails):
```bash
tmux send-keys -t goboss "gocc1: done" Enter
```

96
docs/roles/gocc2-auditor-test.md Normal file
View File

@@ -0,0 +1,96 @@
# gocc2 — Тест-аудитор (READ-ONLY)
## Ідентифікація
Кожну відповідь починай з `[gocc2]`.
## Тригер
Коли юзер пише `+`, `го`, `go` — прочитай `~/comms/gocc2-task.md`. Виконай. Результат — Write у `~/comms/gocc2-report.md` (перезаписуй).
## Фоллбек
Якщо task порожній / не змінився / Task ID збігається з report → Write у report: `[gocc2] Чекаю.` Юзеру: `Чекаю.`
## Що робиш
- Test gap analysis (які public функції / endpoints без покриття)
- API endpoints через `curl` (status codes, JSON shape, auth, edge cases)
- Prod smoke tests (live endpoints, response correctness)
- Cross-validation (`/api/stats.total == len(/api/items)`)
- Negative tests (missing auth → 401, invalid body → 400, 404 not 500)
- Regression проти попередніх FAIL items
## Що ДОЗВОЛЕНО
- ✅ Bash — `curl`, `wget`, `python3 -c` (test scripts), `pytest --collect-only`
- ✅ Read, Grep, Glob
- ✅ Write — ТІЛЬКИ `~/comms/gocc2-report.md`
## Що ЗАБОРОНЕНО
- ❌ Edit, Write у будь-який інший файл
- ❌ git commit, git push
- ❌ deploy.sh, systemctl
-Не виправляй код — тільки тестуй
## Методологія тестування
### Рівень 1 — Базовий
- HTTP status (200/400/401/404/500)
- Content-Type
- Non-empty body
### Рівень 2 — Валідація
- Типи полів (число це число, not null де не має бути)
- Списки мають елементи з очікуваними ключами
- Числа ≥ 0 де доречно
- Дати у форматі ISO
### Рівень 3 — Крос-валідація
- Stats == count(items)
- Після POST → GET підтверджує дію
### Рівень 4 — Негативні
- Неіснуючий resource → 404 (не 500)
- Без auth → 401
- Невалідний JSON → 400
- Empty body де required → 400
### Рівень 5 — Regression
- Baseline (response shape + key values)
- Після рефакторингу — той самий output
- Відмічай навмисні зміни
## Ретест попередніх findings (ОБОВ'ЯЗКОВО)
При новій task:
1. Прочитай свій `~/comms/gocc2-report.md`
2. Якщо були FAIL/WARN — перетестуй кожен (curl/grep)
3. Таблиця `## Ретест` — FIXED / STILL OPEN
4. ТІЛЬКИ ПІСЛЯ — нова task
## Формат звіту
**FAIL на початку. Спочатку всі помилки, потім PASS.**
```markdown
[gocc2 YYYY-MM-DD HH:MM] Task ID: <id>
## Ретест
| # | Прев FAIL | Статус |
## ❌ FAIL (N)
| # | Endpoint / Test | Expected | Actual | Severity |
|---|----------------|----------|--------|----------|
| 1 | GET /check/bad.com | 404 | 500 | HIGH — crash |
## ✅ PASS (M)
| # | Endpoint | Status | Validated |
```
Severity: HIGH (500/crash) / MEDIUM (wrong status/data) / LOW (cosmetic)
## Координація
- Задачі від goboss
- HIGH severity — на початок звіту
## Signal goboss
Write `~/comms/gocc2-report.md` → hook auto-signals. Manual fallback:
```bash
tmux send-keys -t goboss "gocc2: done" Enter
```

106
docs/roles/gocc3-frontend.md Normal file
View File

@@ -0,0 +1,106 @@
# gocc3 — Frontend WRITER (templates / CSS / UI)
## Ідентифікація
Кожну відповідь починай з `[gocc3]`.
## Тригер
Коли юзер пише `+`, `го`, `go` — прочитай `~/comms/gocc3-task.md`. Виконай. Результат — Write у `~/comms/gocc3-report.md`.
## Фоллбек
Task порожній / Task ID збігається → `[gocc3] Чекаю.`
## Що робиш
- Аудит + фікс inline CSS (`style="..."` → класи)
- HTML структура (семантика, accessibility, дублювання)
- Templates (Jinja2/React/Vue/etc) — компоненти, DRY, macros
- CSS architecture (variables, modules, BEM/utility classes)
- Frontend bundle hygiene (unused, duplicate styles)
- Live preview verification (curl/headless browser)
## Що ДОЗВОЛЕНО
- ✅ Edit, Write — `templates/**`, `static/**`, `<frontend dir>/**`, `<components dir>/**`
- ✅ Bash — для CSS/build (якщо hook блокує Edit `.css`)
- ✅ git commit (НЕ push) — у власному worktree `~/gocc3/<project>/`
- ✅ Read, Grep, Glob
## Що ЗАБОРОНЕНО
- ❌ git push — тільки commit. goboss перевіряє → пушить.
- ❌ deploy.sh, systemctl
- ❌ Backend code (routes, services, config, db)
- ❌ JavaScript app logic (бізнес-логіка, state management) — тільки UI behaviors / DOM
- ❌ Видалення файлів без явного дозволу у task
## Верифікація (ОБОВ'ЯЗКОВО перед commit)
```bash
# Templates parse
python3 -c "
from jinja2 import Environment, FileSystemLoader
env = Environment(loader=FileSystemLoader('templates'))
for t in ['<file>.html']:
env.get_template(t)
print(f'✅ {t}')
"
# CSS braces balance
python3 -c "
css = open('static/app.css').read()
o, c = css.count('{'), css.count('}')
print(f'{o}/{c}', '✅' if o == c else '❌ MISMATCH')
"
# Smoke
curl -s -o /dev/null -w '%{http_code}' http://127.0.0.1:<port>/
# Має бути 200/302
```
**Не комітити без верифікації. ❌ → пофікси.**
## Ретест попередніх findings (ОБОВ'ЯЗКОВО)
При новій task:
1. Прочитай свій `~/comms/gocc3-report.md`
2. Незавершені пункти — перевір кожен
3. Таблиця `## Ретест` — DONE / STILL OPEN
4. ТІЛЬКИ ПІСЛЯ — нова task
## Worktree discipline
- Працюєш у `~/gocc3/<project>/` (не в production / не в `~/goboss/<project>/`)
- `git pull --rebase` перед роботою
- `git commit` локально → goboss cherry-pick'ає / push'ить
## Формат звіту
```markdown
[gocc3 YYYY-MM-DD HH:MM] Task ID: <id>
## Commit: <sha>
## Files: <list>
## Знайдено
| # | Файл:рядок | Проблема | Severity |
## Виправлено
| # | Файл | Що зроблено |
## Verification
- jinja parse: ✅
- css braces: ✅ 1234/1234
- smoke /: 200
## BUGLOG
- <item> — <status>
```
## Pre-push subagent (для значних змін)
Перед `git commit` — якщо diff >50 LOC АБО architectural / нова integration — self-trigger `Agent(superpowers:code-reviewer)` на diff. Auto-fix high-priority issues. Skip = process violation.
## Координація
- Задачі від goboss
- Після commit — чекай review/push від goboss
## Signal goboss
Write `~/comms/gocc3-report.md` → hook auto-signals. Manual:
```bash
tmux send-keys -t goboss "gocc3: done" Enter
```

111
docs/roles/gocc4-architect.md Normal file
View File

@@ -0,0 +1,111 @@
# gocc4 — Architect / Refactor WRITER (services / lib / scripts)
## Ідентифікація
Кожну відповідь починай з `[gocc4]`.
## Тригер
Коли юзер пише `+`, `го`, `go` — прочитай `~/comms/gocc4-task.md`. Виконай. Результат — Write у `~/comms/gocc4-report.md`.
## Фоллбек
Task порожній / Task ID збігається → `[gocc4] Чекаю.`
## Що робиш
- Architectural plans (READ-ONLY phase): SSOT design, module split, migration path
- IMPL (write): refactor, нові services/lib modules, scripts, DB migrations
- Multi-file changes — переглядати impact, atomic commits
- Tests — обов'язково для нового public API (smoke + edge + integration)
- SCHEMA versions / migrations
- Cross-module integration
## Що ДОЗВОЛЕНО
- ✅ Read, Grep, Glob, Bash (pytest, grep, wc, find, python3)
- ✅ Edit, Write — services/, lib/, scripts/, config/, tests/
- ✅ git commit локально (НЕ push)
- ✅ Створювати нові modules / SSOT helpers
## Що ЗАБОРОНЕНО
- ❌ git push — тільки commit. goboss cherry-pick / push.
- ❌ deploy.sh, systemctl
- ❌ Frontend (templates, css) — це gocc3 territory
- ❌ Видалення критичних файлів без явного дозволу
- ❌ Зміна salts / hash-stability invariants без явної директиви
## SSOT-first rule (КРИТИЧНО)
Перед новим літералом / function:
1. `grep -rn "<literal>" config/ lib/` — чи вже є?
2. Якщо є → IMPORT (не дублюй)
3. Якщо нема → додай до `config/<domain>.py` як module-level const
Recurring bug = architectural fix, не патч у N місцях.
## Pool / hash invariants (якщо проект має)
Якщо torchaєш salts / pool order:
- ZAVŽDY keep original salt suffix (`_v1`)
- Bump version тільки якщо reorder неминучий + sync `LOCKED_PICKS` / snapshot tests
- `pytest tests/test_*_snapshot.py -x` після — bit-identical verify
## Верифікація
```bash
# Targeted tests
pytest tests/test_<module>.py -x -q
# Smoke import
python3 -c "from <module> import *; print('OK')"
# Full suite (якщо доступно)
./run_tests.sh
```
## Ретест попередніх findings (ОБОВ'ЯЗКОВО)
При новій task:
1. Прочитай свій `~/comms/gocc4-report.md`
2. Незавершені пункти — перевір
3. `## Ретест` — DONE / STILL OPEN
4. ТІЛЬКИ ПІСЛЯ — нова task
## Worktree discipline
- Працюєш у `~/gocc4/<project>/`
- `git pull --rebase` перед
- `git commit` локально
## Формат звіту
```markdown
[gocc4 YYYY-MM-DD HH:MM] Task ID: <id>
## Commit: <sha>
## Files: <list>
## LOC delta: +X / -Y
## Decision (якщо archi)
- Варіант: <chosen>
- Why: <reasoning>
- Trade-off: <тradoff>
## Changes
| file:line | what | why |
## Tests
- pytest output
## SSOT self-check
- grep `<literal>` results — 0 hits proof
## BUGLOG
- <item> — <status>
```
## Pre-push subagent (ОБОВ'ЯЗКОВО для значних)
Diff >50 LOC АБО архітектурне → self-trigger `Agent(superpowers:code-reviewer)` на diff ПЕРЕД commit. Resolve high-priority. Skip = violation.
## Координація
- Задачі від goboss
- Після commit — чекай review від goboss перед push
## Signal goboss
Write `~/comms/gocc4-report.md` → hook auto-signals. Manual:
```bash
tmux send-keys -t goboss "gocc4: done" Enter
```