Saltar a contenido

Gobernanza de Repositorios (Público vs Fuente Única)

Contrato de Publicación · Colaboración Bidireccional

ATLANTYQA opera con dos planos:

  • atlantyqa-universe: base única de conocimiento interno (privado, control-plane).
  • atlantyqa-universe: superficie pública para comunidad técnica, instituciones, clientes y early adopters.
  • stack-tech-core/**: ruta canónica de gobierno para proyectos adoptados.

Reglas de publicación en atlantyqa-universe

  1. Solo contenido sanitizado y reutilizable públicamente.
  2. Sin playbooks de negociación, pricing táctico ni runbooks internos.
  3. Sin datos operativos reales de cliente ni trazas sensibles.
  4. Evidencia pública siempre anonimizada y declarada como muestra.

Colaboración en ambas direcciones

  • Público -> Universo:
  • feedback de issues/discussions
  • bugs y solicitudes de roadmap
  • aportes técnicos OSS
  • Universo -> Público:
  • documentación curada por audiencia
  • plantillas públicas y ejemplos anonimizados
  • actualizaciones técnicas validadas para publicación

Control de entrada a main

main está protegido por contrato de fuente única:

  • Solo PRs de sincronización controlada (sync/universe-*, sync/public-*).
  • Solo actores permitidos (bots de sincronización).
  • Excepción manual limitada por etiqueta + actor autorizado.

Este control vive en:

  • .github/workflows/main-source-of-truth-gate.yml
  • .github/contracts/main-source-of-truth-gate.json
  • scripts/verify/main_source_of_truth_guard.py

No asumir decisiones de colaboradores sin aprobación

Para cualquier PR nacida de ramas collab/<login>/**, la decisión técnica del colaborador no se considera válida sin aprobación explícita de aprobadores autorizados por contrato.

Este control vive en:

  • .github/workflows/collaborator-decision-approval-gate.yml
  • .github/contracts/collaborator-decision-approval-gate.json
  • scripts/verify/collaborator_decision_approval_guard.py

Regla operativa:

  1. sin aprobación explícita, no hay merge;
  2. la validación es automática en CI sobre PR a main;
  3. la política de aprobadores se versiona como contrato auditable.

Protocolo de decisión humana (operativa diaria + regulada)

Además de la aprobación por reviews, toda PR en alcance gobernado debe declarar:

  1. tipo de decisión (operativa diaria o proceso regulado);
  2. actor aprobador responsable por rol;
  3. decisión final (aprobado, cambios requeridos, bloqueado, en espera de evidencia);
  4. riesgo residual, evidencia y referencia trazable a issue/PR.

Este control vive en:

  • .github/contracts/human-decision-protocol-gate.json
  • .github/workflows/human-decision-protocol-gate.yml
  • scripts/verify/human_decision_protocol_guard.py
  • .github/pull_request_template.md

Para la fase step-01-consultoria-agent-hilt de ATLANTYQA Sovereign Systems S.L., la aprobación exige decisión explícita de 4 actores definidos en contrato.

Artefactos:

  • .github/contracts/sl-constitution-step1-approval-gate.json
  • .github/workflows/sl-constitution-step1-approval-gate.yml
  • scripts/verify/sl_constitution_step1_approval_guard.py
  • stack-tech-core/projects/atlantyqa-sovereign-systems-sl/legal/step-01-consultoria-agent-hilt/

Protección de secretos e información privada industrial

Para rutas de publicación (exports/public-repos/**) se bloquea cualquier PR que añada:

  1. Credenciales/tokens/keys detectables por patrón.
  2. Marcadores de estrategia competitiva interna (pricebook, márgenes objetivo, listas de clientes, negociación privada).
  3. Menciones de secreto industrial o contenido marcado como interno/confidencial.

Sync de inteligencia privada desde workflows

ATLANTYQA permite sincronizar datos generados por workflows seleccionados como inteligencia de negocio, bajo contrato estricto:

  1. origen permitido: solo workflows allowlisted;
  2. destino controlado: knowledge/private-intelligence/snapshots/**;
  3. trazabilidad obligatoria: manifest.json por snapshot;
  4. payload sensible: cifrado (*.age) cuando aplique;
  5. PR de sync: rama sync/universe-* y actor de sincronización autorizado.

Artefactos de control:

  • .github/contracts/private-intelligence-sync-contract.json
  • .github/workflows/private-intelligence-sync.yml
  • scripts/private_intelligence_sync.py

Guardas adicionales en main:

  • solo extensiones permitidas en knowledge/private-intelligence/**;
  • bloqueo de patrones de secretos en texto claro dentro de esa ruta.

Ciclo de vida de proyecto adoptado

atlantyqa-universe queda tratado como proyecto núcleo activo:

  1. Detectado y analizado desde inputs/repositories/**.
  2. Promovido y gobernado desde la ruta canónica stack-tech-core/projects/*.
  3. Eliminado del origen inputs/repositories/GitHub/* tras adopción.
  4. Exportado a superficie pública gobernada.
  5. Mantenido bidireccionalmente desde atlantyqa-universe.
  6. Auditado continuamente con gates de main, secret scanning y trazabilidad de cambios.

Catálogo vivo de adoptados:

  • trust/adopted-projects.md (público)
  • internal/adopted-projects-index.md (interno)