CI/CD-Pipeline-Diagramm
Visuelle Karte und Spuraufschlüsselung der Workflow-Phasen für Build, Test, Lint, Sicherheit und Veröffentlichung, die jede Codeänderung und jedes Release kontrollieren.
Die strukturelle Karte des Build- · Validierungs- · Veröffentlichungs-Workflows, der jede Änderung am Apothem-Ökosystem kontrolliert. Dieses Dokument installiert die Visualisierungsoberfläche; die konkreten GitHub-Actions-Workflow- Dateien und das Release-Werkzeug landen später unter der Produktionsreife-Installation.
Pipeline-Form
%%{ init: { "theme": "neutral" } }%%
%% verified: 2026-04-27 %%
%% provenance: pyproject.toml + scripts/dev/validate_ecosystem.py + scripts/dev/validate_hooks.py %%
%% cross-reference: site/content/docs/developer-guide.mdx (contributor workflow) %%
flowchart LR
accTitle: CI/CD pipeline shape
accDescr: Left-to-right flowchart of the apothem CI CD pipeline showing build, test, lint, type-check, security scan, docs build, package, sign, and publish stages with branch protection gates between them.
subgraph Trigger["Trigger surface"]
PR["Pull request opened or updated"]
PUSH["Push to main"]
TAG["Tag release vX.Y.Z"]
end
subgraph Static["Static analysis lane"]
LINT["Ruff lint + format check"]
TYPE["Mypy strict"]
MD["markdownlint"]
FRONT["Frontmatter validator"]
end
subgraph Test["Test lane"]
PYTEST["pytest tests/hooks"]
ECO["validate_ecosystem.py"]
CHAOS["chaos_pass.py (release lane)"]
BENCH["src/apothem/benchmarks/ (release lane)"]
end
subgraph Security["Security lane"]
SECRETS["Secret scan"]
SBOM["SBOM generation"]
LICENSE["License audit"]
end
subgraph Publish["Publish lane (tags only)"]
SIGN["Signed-tag verification"]
ATTEST["Provenance attestation"]
DOCS["Project website publish"]
RELEASE["Release notes from CHANGELOG.md"]
end
PR --> Static
PR --> Test
PR --> Security
PUSH --> Static
PUSH --> Test
PUSH --> Security
TAG --> Static
TAG --> Test
TAG --> Security
TAG --> Publish
Static --> GATE{All lanes green?}
Test --> GATE
Security --> GATE
GATE -->|yes| MERGE[Merge / publish]
GATE -->|no| BLOCK[Block · surface failures · request fix]
Publish --> MERGESpurrollen
- Spur für statische Analyse — schnelles Feedback. Ruff deckt den Python-Stil und ein kuratiertes Regelwerk ab; mypy erzwingt Typdisziplin im Strict-Modus; markdownlint reguliert die Dokumentationsoberfläche; der Frontmatter-Validator kontrolliert die Artefakt-Schema-Konformität für Regeln, Skills, delegierte Worker und Befehle.
- Test-Spur —
pytest tests/hooksübt die Hook-Laufzeit gegen die vollständige Ereignismatrix aus;validate_ecosystem.pyist das primäre strukturelle Gate für artefaktübergreifende Konsistenz;chaos_pass.pyund die klassenbezogene Benchmark-Suite untersrc/apothem/benchmarks/aktivieren sich auf der Release-Spur, um Verschlechterung bei verschlechterten Eingaben und Laufzeitbudget-Regressionen zu erkennen. - Sicherheits-Spur — das Secret-Scanning erkennt versehentlich committete Anmeldedaten; die SBOM-Generierung und die Lizenzaudits kontrollieren die Lieferketten-Oberfläche für jede Produktionsreife-Installation.
- Veröffentlichungs-Spur — läuft nur bei getaggten Releases. Die
Signed-Tag-Verifikation bestätigt die Herkunft des Release-Branches; die
Projekt-Website wird von
site/dist/zum GitHub-Pages-Ziel veröffentlicht; die Release-Notes leiten sich aus dem Keep-A-Changelog-Format vonCHANGELOG.mdab.
Konkrete Konfiguration
Die tatsächlichen Workflow-Dateien (.github/workflows/ci.yml,
.github/workflows/release.yml usw.) werden während des Aufbaus des
Produktionsreife-Ökosystems installiert. Dieses Diagramm definiert die kanonische
Form, die jede zukünftige Konfiguration widerspiegelt.
Maßgebliche Querverweise
pyproject.toml— Quelle der Wahrheit für die Ruff- / mypy- / pytest-Konfiguration.scripts/dev/validate_ecosystem.py— das primäre artefaktübergreifende Gate.scripts/dev/validate_hooks.py— hook-spezifische strukturelle Validierung.scripts/dev/chaos_pass.py— adversarialer Durchlauf jedes konfigurierten Hooks.src/apothem/benchmarks/— klassenbezogene Laufzeitbudget-Verifizierer.site/content/docs/developer-guide.mdx— der bedienerorientierte Contributor-Workflow.CHANGELOG.md— Quelle der Release-Notes.
Repository-bezogene Konventionen für Harnesses
Wie Apothem repository-bezogene Betriebskonventionen — Regeln, Skills und Definitionen delegierter Arbeiter — in die native Anweisungsoberfläche jedes Harness materialisiert (AGENTS.md und seine werkzeugspezifischen Entsprechungen).
Referenz
Navigierbares Register der Artefaktklassen mit Pfaden und Plattenlayouts für Regeln, Befehle, Skills, delegierte Worker, Hooks, MCP-Server, Einstellungen und Ausgabestile.