Procedimento de Autoria

# Autores

Este arquivo registra os reconhecimentos de autoria em nível de release para `infra-resources`.
Atualize-o como parte do procedimento formal de release documentado em `compliance/governance/release-ip-procedure.md`.

## Proprietário atual do projeto

- MeetKai

# Aviso

Este repositório contém configurações, manifestos de implantação e documentação para a infraestrutura da MeetKai.
Softwares de terceiros permanecem sujeitos aos seus próprios requisitos de licença e aviso.

Os revisores de release devem confirmar se novos avisos de terceiros são necessários para cada versão e registrar essa revisão em `compliance/governance/release-ip-ledger.csv`.

Este diretório reúne os controles de propriedade do repositório e procedimentos de evidência.

## O que está implementado aqui

- `tools/compliance/capture_no_telemetry.sh`: executa o overlay sem telemetria e registra a captura de pacotes mais o estado do Kubernetes.
- `tools/compliance/verify_tls13.sh`: comprova que os endpoints públicos negociam TLS 1.3 e registra cifras e detalhes de certificados.
- `tools/compliance/verify_storage_encryption.sh`: captura criptografia de segredos EKS e configurações de criptografia de armazenamento.
- `tools/compliance/verify_ai_marking.sh`: registra cabeçalhos de resposta que comprovam a marcação de IA na borda da API.
- `helm/kyverno/`: política de admissão que rejeita imagens não assinadas.
- `compliance/audit-log-contract.md`: contrato de eventos compartilhado para pipelines de auditoria por usuário e por unidade.
- `compliance/governance/`: procedimento formal de autoria de release e direitos autorais.

# Contrato de evento de auditoria

Este repositório pode padronizar a correlação do lado do gateway e metadados de rota.

## Campos obrigatórios

- `request_id`: propagado do Kong `X-Request-ID`
- `actor_id`: usuário final ou principal de serviço
- `unit_id`: unidade organizacional ou locatário
- `route_name`: nome lógico da rota da API
- `action`: criar, ler, atualizar, deletar, gerar, tool_call ou ação administrativa
- `resource_type`: conversa, resposta, arquivo, vector_store, prompt ou tipo específico do serviço
- `resource_id`: identificador estável para o objeto afetado
- `outcome`: sucesso, negado, limitado, erro_de_validação ou violação_de_política
- `policy_action`: avisar, bloquear ou escalar quando a detecção de uso indevido for acionada

## Comportamento de propriedade da Infra

- O Kong emite `X-Request-ID` nas rotas de IA e busca.
- O Kong adiciona cabeçalhos `X-AI-Generated` nas rotas de geração de IA.
- Os dashboards SigNoz devem agrupar por `actor_id`, `unit_id`, `route_name` e `outcome` assim que os serviços emitirem essas dimensões.

# Procedimento de autoria e direitos autorais de release

Este procedimento cobre o requisito de licitação `4.25`.
O histórico do Git sozinho não é considerado evidência suficiente para atualizações de autoria.
Cada release deve produzir um pequeno conjunto de registros explícitos.

## Registros obrigatórios de release

1. Atualize o `AUTHORS.md` quando um novo contribuidor ou organização contribuir de forma material para o release.
2. Revise o `NOTICE.md` para avisos de terceiros ou mudanças de atribuição.
3. Adicione uma linha em `compliance/governance/release-ip-ledger.csv` para a versão que está sendo lançada.
4. Armazene o pacote de evidências de release assinado produzido por `tools/compliance/render_evidence_bundle.sh`.
5. Vincule a tag de release ou PR na entrada do ledger para que o rastro de revisão seja explícito.

## Declarações obrigatórias do revisor

O revisor do release confirma todos os itens a seguir para a versão:

- adições ou remoções de autoria foram revisadas
- avisos de terceiros foram revisados
- toda documentação ou evidência de compliance gerada reflete o release atual
- o PR do release contém as localizações finais das evidências

## Verificação

`tools/compliance/check_release_governance.sh` valida que os arquivos obrigatórios existem e que o ledger de release possui uma entrada (não cabeçalho) para a versão alvo.