kk0t9/shturman
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: завершить Tier 1 (контракты) + ревью-фикс red-line CAN

Browse Source 
- security-privacy: изоляция, capabilities, гейтинг по каналам, приватность/152-ФЗ;
  first-party = вшит в подписанный образ; рисковые комбинации (vehicle_read+network)
- plugin-sdk: манифест, точки расширения, коллизия интентов, host-allowlist
- hardware: RK3588, power-safe, периферия, HAL/BSP портирование
- ВАЖНО: уточнён red-line CAN (принцип #2 + hardware §4): «чтение» = без
  управляющих/actuator/write-передач; диагностические OBD read-запросы допустимы
  (иначе не прочитать DTC); listen-only — только пассивный сниффинг
- + автозащита питания, тепло, износ eMMC; кросс-доковые аннотации

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
This commit is contained in:
Alexander
2026-06-20 20:28:52 +03:00
parent 3d13bb5827
commit fb27d8d2fe
5 changed files with 411 additions and 17 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/principles.md
+11 -3
View File
@@ -16,9 +16,17 @@
- **Почему:** безопасность людей, юридическая ответственность, сертификационная яма функциональной безопасности.
- **Как держим:** нет интеграций с управляющими ECU; в системе нет actuator-путей; каждая фича проходит ревью «не управляет ли узлом».
### 2. CAN только на чтение
- **Почему:** тот же риск + юридическая чистота. Это то, что делает проект подъёмным для малой команды.
- **Как держим:** в Vehicle-Data нет write-кода; он единственный владелец CAN; на шине D-Bus нет метода записи в CAN; в SDK нет capability вида `can_write` — её просто не существует.
### 2. CAN только чтение (без управляющих команд)
- **Почему:** безопасность + юридическая чистота. Это то, что делает проект подъёмным для малой команды.
- **Точный смысл «чтения»:** мы НИКОГДА не шлём управляющих/actuator-команд, не пишем
в память ECU, не делаем сброс DTC (Mode 04) и UDS-write — никаких *state-changing*
передач. При этом стандартные диагностические **read-запросы** OBD-II (Mode 01/03/07/09)
допустимы и необходимы: протокол физически отправляет кадр-запрос, иначе DTC не
прочитать. Пассивный сниффинг (listen-only) не передаёт ничего.
- **Как держим:** в Vehicle-Data нет кода управляющих/write-команд; он единственный
владелец CAN; на D-Bus и в SDK нет метода/capability записи или actuator-вызова —
их не существует; нативный CAN в пассивном режиме — listen-only. См.
[contracts/hardware.md](contracts/hardware.md) §4.
---