kk0t9
3790715fc7
- аудио per-node гейтинг (PipeWire Security Context + WirePlumber), не голый сокет: audio_out ≠ audio_in; capture только по runtime-гранту - сеть: строгая гарантия только бинарно on/off; host-allowlist best-effort (DNS-allowlist обходится прямым IP — нужен forced-proxy по SNI/Host) - якорь first-party не существует до v4: v0-v3 = trust-by-build/физконтроль - целостность id при установке (отказ при коллизии; ru.shturman.plugin.* зарезервирован) - жизненный цикл гранта: while-in-use, авто-снятие на stop/crash; enforce-split (статически прокси+sandbox/App-Host, рантайм-гранты Perm-Broker) - НОВОЕ: §1a Модель угроз (адверсарии↔слои + out-of-scope) - 152-ФЗ: явное отзываемое согласие (не только уведомление), минимизация VIN/локации, роли оператора/обработчика в BYO, локализация ≠ правовое основание - audit-log промотирован в нормативный (владелец A §9 + UI домена C) Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Контракты (Tier 1) — соединительная ткань
Сквозные интерфейсы, которыми домены связаны друг с другом. «Связи» проекта живут здесь. Каждый контракт — отдельный документ; создаём по мере наполнения.
Статус: индекс. Документы наполняем после фундамента (architecture + principles).
| Документ | Назначение |
|---|---|
ipc.md |
D-Bus сервисы, интерфейсы, схемы сообщений: кто что публикует/слушает. |
data-model.md |
VSS-подобная таксономия сигналов машины + общие типы данных. |
plugin-sdk.md |
API расширения: манифест, capability-модель, точки расширения (экраны, тайлы, интенты, доступ к данным). Рантайм плагинов — домен F. |
security-privacy.md |
Sandboxing плагинов, модель разрешений, обработка данных, 152-ФЗ. |
hardware.md |
Целевой таргет (RK3588), топология питания, периферия + HAL/board-support API для портирования на другое железо/авто. |
Важный нюанс: plugin-SDK (API, тут) и домен F «Plugin host» (рантайм, sandbox, дистрибуция — в domains/) — разные вещи, ссылаются друг на друга.