K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / roadmap-dev

Roadmapa deweloperska — Evidence & Resilience Orchestrator

Program wielosprintowy dostarczany przyrostowo. Od stabilizacji warstwy prezentacji (już gotowej) przez szkielet produkcyjny, konektory, remediację, pakiety DORA/TIBER, aż po SIEM/CTI/BAS i bezpieczeństwo AI. Ta strona jest jawnym rejestrem: co jest LIVE, co jest PoC, a co pozostaje ROADMAP.

Specyfikacja docelowa (dev-doc). Status: ROADMAP — nie zaimplementowane produkcyjnie. Zgodnie z regułą §16: bez kodu + testu + endpointu = nie LIVE. Ta strona opisuje architekturę docelową orchestratora. Elementy realnie istniejące są oznaczone LIVE z linkiem/dowodem; reszta nosi status ROADMAP. Granica działania: system nie wykonuje nieautoryzowanych testów, exploitacji ani hack-back poza pisemnymi Rules of Engagement (RoE). Zero payloadów, zero technik ofensywnych. To narzędzie GRC/obrony, nie zestaw ataku.
7 sprintów. Jedna reguła: status ≤ dowód.

Roadmapa nie obiecuje „gotowego systemu" — deklaruje kolejność dostarczania. Sprint 0 jest zamknięty i dowodliwy. Sprint 1 ma działający PoC na gałęzi. Sprinty 2–6 to specyfikacja z jasno postawionymi kryteriami akceptacji.

PRZYROST: S0 stabilizacjaS1 szkieletS2 importS3 remediacjaS4 DORA/TIBERS5 SIEM/CTI/BASS6 AI security

Stan realny — co jest LIVE dziś (kanon: pages.json = źródło prawdy dla liczby stron; poniższa Evidence Matrix = kanon dla testów · zweryfikowano 2026-07-05)

8/8
Smoke test stron
LIVE · pages.json PASS
56/56
Integ. v1 (żywa PostgreSQL)
LIVE · auth/RBAC/import/pack/engagement
13/13
Unit parsery + PDF
LIVE · Burp/ZAP/Nessus/CSV
R+W
API /api/ip3/*
read demo + v1 zapis (auth, DB)

Dowody: smoke tests/ip3-smoke-pages.js (8/8), integracja tests/ip3-api-pro.integration.js (56/56 na żywej bazie), unit tests/ip3-parsers.unit.js (13/13), eksplorator /api-explorer, /.well-known/security.txt. Wszystko poza powyższym = ROADMAP.

Evidence Matrix — kanon testów (jedno źródło prawdy)

Wszystkie liczby testów w portalu i PDF-ach linkują do tej tabeli. Data weryfikacji: 2026-07-05.

ObszarWynikPlik / źródłoStatus
Smoke stron8/8tests/ip3-smoke-pages.jsPASS
Unit — parsery + generator PDF13/13tests/ip3-parsers.unit.jsPASS
Unit — Legal Trigger Engine9/9tests/ip3-legal.unit.jsPASS
Unit — Fala 1 (Qualys/enrich/MITRE)8/8 · 8/8 · 9/9ip3-parsers-ext · ip3-enrich · ip3-mitrePASS
Integracja — żywa PostgreSQL56/56tests/ip3-api-pro.integration.jsPASS (staging)
Prod healthdb:true/api/ip3/v1/_healthLIVE

Suma unit = 47/47 (13+9+8+8+9). Ewentualne liczby historyczne w changelogu opisują stan w chwili dostawy — kanon bieżący = ta tabela (56/56 integracja).

CHANGELOG (pełny dziennik z datą/godziną: aktualizacje)

2026-07-04 · Wisienki #2 + #3 — DOSTARCZONE (MVP) LIVE v1
#2 Engagement report-package GET /api/ip3/v1/engagements/:id/report-package?format=json|pdf — raport TLPT: engagement + timeline zdarzeń + evidence-register + final-report + manifest + package_sha256; realny PDF. #3 Legal Trigger Engine GET /api/ip3/v1/incidents/:id/legal-triggers — mapuje incydent na obowiązki DORA art.19 / NIS2 (24h/72h) / RODO art.33-34 / AI Act art.73 z zegarami (deadline ISO liczony od created_at) i draftem powiadomienia. Doktryna DECISION-SUPPORT (nie porada prawna; terminy orientacyjne). Flagi: ?personal_data&high_risk&entity&sector. Dowód: unit 9/9 + integracja.
2026-07-04 · Wisienka #1 „Pentest Report → Board Pack" — DOSTARCZONE LIVE v1
Realne parsery importu Burp (XML) · OWASP ZAP (JSON/XML) · Nessus/Tenable (CSV) · generic CSV/JSON → normalizacja severity (P0–P3) → incydent + evidence (sha256 + chain-of-custody) w PostgreSQL (import = MEDIA_SIGNAL, nie dowód naprawy). Evidence-package / board pack GET /reports/evidence-package/:id — JSON (manifest + package_sha256 + ślad audytowy + chain-of-custody) oraz realny pobieralny PDF (bezzależnościowy generator). DORA/TIBER white-team-log MVP — engagement (scope/crown-jewels/RoE) + /log (white-team-log · evidence-register) + /final-report (wymaga rejestru dowodów). Dowód: unit 13/13, integracja 56/56 na żywej bazie (import→pack→retest→engagement). Commit na gałęzi feat/orphan-pages.
2026-07-04 · Audyt r0xk0n (Konrad, RSpace) + PR#39 LIVE — bug F4 (PATCH bypass reguły close-with-evidence) naprawiony + 3 testy regresyjne; F5 (fallback JWT_SECRET) i F6 (audit log) domknięte.
2026-07-01 · K0-CONNECTORS import generyczny v1 LIVE — pierwszy realny import (JSON) do DB; warstwa v1 (JWT+RBAC+audit) na PostgreSQL.

Roadmapa — 7 sprintów (§13, §14, §17)

SprintCelStatusKryteria akceptacji (acceptance)
S0 · Stabilizacja Warstwa prezentacji spójna, dowodliwa, higieniczna. Smoke + lint + security.txt + API demo. LIVE / ZROBIONE Smoke tests/ip3-smoke-pages.js = 8/8 PASS · hygiene 0 zakazanych fraz · security.txt obecny · /api-explorer odpowiada na read-path.
S1 · Szkielet produkcyjny organizations / users / OIDC / RBAC / audit log / multi-tenant / rate-limit. LIVE-PoC + ROADMAP PoC auth-skeleton 15/15 PASS na gałęzi (login, sesja, role, audyt zapisu) LIVE-PoC. OIDC realny IdP, izolacja tenantów, rate-limit prod, twardy RBAC = ROADMAP.
S2 · Import findings Konektory: skanery/DAST → normalizacja do modelu incydentu. LIVE v1 + ROADMAP LIVE v1: realne parsery Burp (XML) · ZAP (JSON/XML) · Nessus (CSV) · Qualys (CSV/XML) · generic CSV/JSON + enrichment offline KEV/CVSS + MITRE ATT&CK TTP → normalizacja severity → incydent + evidence (sha256) w PostgreSQL. Dowód: 56/56 integ. SIEM/CTI online-lookup, STIX/TAXII, deduplikacja, idempotencja = ROADMAP. Zobacz Connectors.
S3 · Remediacja / retest Playbook → działanie → walidacja naprawy (close-with-evidence). LIVE v1 + ROADMAP LIVE v1: reguła close-with-evidence egzekwowana w DB (422 bez CONFIRMED, PATCH-bypass zamknięty — audyt F4); retest → CONFIRMED → close → evidence-package odzwierciedla zmianę (inny package_sha256). Orkiestracja wieloetapowa, dowód regresji, workflow zatwierdzeń = ROADMAP. Zobacz Response & Retest.
S4 · DORA / TIBER pack Pakiet raportowy: zegary incydentów, ślad audytowy, eksport do organu. LIVE MVP + ROADMAP LIVE MVP: engagement (scope/crown-jewels/RoE) + white-team-log + evidence-register + final-report jako realne rekordy DB (reguła: raport końcowy wymaga rejestru — claim ≤ proof). Evidence-package board pack PDF/JSON (manifest + package_sha256). Mapowanie na obowiązki DORA, podpisany PAdES/PQC eksport, branding KNF = ROADMAP. Zobacz DORA / TIBER.
S5 · SIEM / CTI / BAS Integracja detekcji, threat intel i Breach & Attack Simulation (tylko w RoE). ROADMAP Dwukierunkowa wymiana ze SIEM, wzbogacanie CTI, BAS wyłącznie w autoryzowanym zakresie (pisemne RoE) = ROADMAP. Zero technik ofensywnych poza RoE.
S6 · AI security Klasa incydentów AI: prompt injection, agent hijack, data poisoning, nadzór HITL. ROADMAP Detektory zagrożeń AI, red-team AI w RoE, mapowanie na AI Act art. 73 = ROADMAP. Zobacz AI Red-Team.

Sprint 0 — dowody (zamknięty)

Smoke testnode tests/ip3-smoke-pages.js przechodzi 8/8 stron z pages.json. Weryfikacja HTTP 200, obecności NAV/FOOTER, braku pustych sekcji. LIVE
Hygiene / lint treści — 0 zakazanych fraz (brak nieuprawnionych deklaracji „100% bezpieczne", brak payloadów, brak fałszywych statusów LIVE). LIVE
security.txt/.well-known/security.txt z kontaktem VDP i zakresem. LIVE
API demo (read-path)/api-explorer odpytuje /api/ip3/* w trybie odczytu na danych demonstracyjnych. Zapis/mutacje = ROADMAP. LIVE

Definition of Done v1 (§14) — 15 punktów

= spełnione dziś · = warunek dla sprintu docelowego (ROADMAP).

#Kryterium DoDStan
1Strona/endpoint istnieje i odpowiada 200 w smoke✔ LIVE
2NAV + FOOTER + CSS spójne z kanonem portalu✔ LIVE
3Zero zewnętrznych zasobów (CSP), JS inline bez nonce✔ LIVE
4Hygiene lint: 0 zakazanych fraz✔ LIVE
5Każdy status ma dowód (link/test/endpoint) — §16✔ LIVE
6security.txt + kanał VDP✔ LIVE
7PoC uwierzytelniania (login/sesja/role) z testem✔ LIVE-PoC
8Audit log zapisów (kto/co/kiedy)✔ LIVE v1 (w DB)
9OIDC realny IdP + twardy RBAC✔ RBAC LIVE v1 · ◻ OIDC/mTLS
10Multi-tenant izolacja + rate-limit prod✔ rate-limit v1 · ◻ multi-tenant
11Import findings z realnego źródła✔ LIVE v1 (Burp/ZAP/Nessus/CSV) · ◻ dedup/idempotencja
12Close-with-evidence egzekwowane w produkcji✔ LIVE v1 (DB, F4 zamknięty)
13Pakiet DORA/TIBER + eksport (board pack)✔ MVP v1 (PDF/JSON+hash) · ◻ podpis PAdES/PQC
14Integracja SIEM/CTI + BAS wyłącznie w RoE◻ S5
15Detektory AI + mapowanie AI Act art. 73◻ S6

Backlog (§17)

P0 Fundament produkcyjny

Wiring /api/incidents (zapis), audit log, OIDC + RBAC, izolacja tenantów. Bez tego reszta nie jest bezpieczna.

Sprint docelowy: S1 · status ROADMAP (PoC szkielet LIVE).

P1 Konektory i remediacja

Import findings (SIEM/skanery/CTI), normalizacja, deduplikacja; workflow remediacja→retest z dowodem naprawy.

Sprint docelowy: S2–S3 · status ROADMAP.

P2 Compliance-pack i AI

Pakiety DORA/TIBER, integracja SIEM/CTI/BAS w RoE, detektory incydentów AI i mapowanie na AI Act.

Sprint docelowy: S4–S6 · status ROADMAP.

Wisienki — pakiety wartości (backlog dostaw)

Każda „wisienka" to samodzielny, demonstrowalny scenariusz end-to-end dla instytucji finansowej. #1 LIVE v1; #2 i #3 LIVE MVP; #5 częściowo v1; #4 i #6 ROADMAP.

#WisienkaCo dowoziStatus
#1Pentest Report → Board Pack (5 min)import Burp/ZAP/Nessus/CSV → incydent+evidence → evidence-package PDF/JSON+hash → retest→closeLIVE v1
#2DORA/TIBER Engagement → raport TLPTcykl white-team: scope→RoE→evidence-register→final-report + report-package (JSON/PDF z timeline+hash)LIVE MVP
#3Legal Trigger Engine (incydent → obowiązek)auto-mapowanie zdarzenia na DORA art.19 / NIS2 24h-72h / RODO art.33-34 / AI Act art.73 z zegarami (deadline ISO) i draftem powiadomienia (DECISION-SUPPORT)LIVE MVP
#4Executive / KNF Board Reportpakiet dla zarządu/regulatora: ryzyko rezydualne, control effectiveness, trend, branding, podpisany eksportROADMAP
#5Retest / Remediation Validation workfloworkiestracja: przypisanie właściciela → SLA → dowód naprawy → retest regresyjny → control mappingczęściowo v1
#6AI Red-Team / model risk registerklasa incydentów AI (prompt injection, agent hijack, data poisoning) + corpus testów + mapowanie AI ActROADMAP

Co podciągnąć: demo / symulacja → LIVE

Jawny rejestr elementów, które dziś są DEMO/SIMULATION/PoC, a mają zdefiniowaną ścieżkę do statusu LIVE. To jest lista „awansów".

ElementDziśCelCo potrzebne do awansuPrio
Rejestr operacyjny /api/incidentsSIMULATION (401 anon)LIVEwpięcie dashboardu w warstwę v1 DB zamiast danych demo; przełączenie źródła read-path na /api/ip3/v1P0
Konta v1 na prodzamknięte (brak IP3_SEED_PASS)dostęp na zaproszeniedecyzja operatora + IP3_SEED_PASS na prod (dla audytora/pentesterów), lub OIDC IdPP0
Konektory Qualys / Splunk / SIEMQualys LIVE (Fala 1)LIVE v1✓ Qualys CSV/XML; Splunk/SIEM webhook ingestion = ROADMAPP1
Enrichment CVE → CVSS/EPSS/KEVoffline LIVE (Fala 1)LIVE✓ hint z seedu (KEV/CVSS/EPSS) przy imporcie; online NVD/CISA lookup = ROADMAPP1
Auth: JWT lokalny → OIDC/mTLS/PQCJWT+RBAC LIVEenterpriseswap na Keycloak/JWKS, mTLS, podpis PQC (hardening — funkcja już działa)P0
Board pack PDF → podpisanyPDF+hash LIVEPAdES/PQCpodpis PAdES + timestamp TSA (dziś: sha256 integralności)P1
MITRE ATT&CK / STIX-TAXIIbiblioteka LIVE (Fala 1)LIVE✓ 21 technik + /incidents/:id/ttp; STIX/TAXII + MISP/OpenCTI = ROADMAPP2
Multi-tenant (bank/urząd/partner)jedna orgizolacjatenant scoping w zapytaniach + RLS PostgreSQLP1

Reguła statusów (§16)

Każdy element w portalu i w tym rejestrze nosi dokładnie jeden status. To jedyna waluta zaufania orchestratora.

StatusZnaczenieWarunek nadania
LIVEDziała produkcyjnie/na gałęzi z dowodem.Kod + test + endpoint (lub link do artefaktu).
DEMOŚcieżka odczytu na danych przykładowych.Endpoint read-path działa, dane oznaczone jako demo.
SIMULATIONWartości/incydenty ilustracyjne.Jawnie oznaczone „symulacja", nie stan realnej infrastruktury.
ROADMAPSpecyfikacja docelowa, jeszcze nie zbudowane.Opisane kryteria akceptacji, brak działającego kodu.
GAPHipoteza/luka bez pokrycia dowodowego.Brak dowodu — nie wolno przedstawiać jako fakt.
Zasada nadrzędna. Roadmapa nie jest deklaracją gotowości. Jest zobowiązaniem do przyrostu z dowodem. Sprint uznajemy za zamknięty dopiero, gdy spełnia Definition of Done i przechodzi smoke. Do tego czasu nosi status ROADMAP — i tak jest opisany. Bez kodu + testu + endpointu = nie LIVE (§16).
Granica etyczna i prawna. Orchestrator jest narzędziem obrony i zgodności (GRC/blue). Nie wykonuje nieautoryzowanych skanów, exploitacji ani hack-back. Wszelkie działania o charakterze testu bezpieczeństwa (BAS, red-team) wyłącznie w granicach pisemnych Rules of Engagement. Ta strona nie zawiera payloadów ani instrukcji ofensywnych.