[security → main] starter-security 0.2.0 已发布制品非不可变且预认证缺陷 —— 子仓 CI 红

[JIAQIA]

背景

• 提问方：security（HashMatrixData/hashmatrix-security）
• 目标方：主仓（HashMatrixData/hashmatrix）· libs-java / platform-parent
• 触及公共依赖：io.hashmatrix:hashmatrix-starter-security（经 platform-parent 的 BOM 锁版本）

现象

hashmatrix-security#4 的 PR（CI mvn -B -ntp clean verify）红，集成切片 InfraConnectivityIT 有 3 个既有「网关预认证」用例失败：

用例	期望	CI 实际
带 X-User/X-Roles 调业务 API	200	401
同上（多租户 schema 路由）	200	401
带身份但角色不足	403	401

即：网关下发的身份头在 CI 里未被认证（带身份仍按匿名 → 401）。本地 mvn clean verify 却全绿——典型「works on my machine」。

根因（已逐字节核实）

hashmatrix-starter-security:0.2.0 同一版本号下存在两份不同制品：

制品	SHA1	大小	SecurityErrorAdvice / 预认证
已发布 0.2.0（GitHub Packages，CI 拉取）	317c7d8…	9952 B	❌ 缺，预认证/异常响应行为旧
本地 ~/.m2（mvn install 装入）	18d22a5…	11156 B	✅ 有
已发布 0.2.1	c592f3e…	11156 B	✅ 有

决定性证据：本地那份「0.2.0」与已发布 0.2.1 的安全类逐字节 SHA 完全一致（SecurityFilterChainConfiguration / GatewayPreAuthFilter / SecurityProperties / SecurityAutoConfiguration 全部相同）。

→ 结论：0.2.1 的代码被以 0.2.0 版本号 mvn install 进了部分开发者本地缓存，本地构建静默用上修复版 → 绿；CI 拉真·已发布 0.2.0（旧/缺修复）→ 红。且「本地 install 覆盖已发布 release」会持续掩盖该问题。

注：这是 security#4 的 A 修复（修好 failsafe 集成切片 bootstrap）让 IT 首次在 CI 真正执行后才暴露的——此前 main 的 CI 红在 bootstrap 阶段，这 3 个用例在 CI 从未跑到。

影响面

凡 inherit platform-parent:0.2.0（BOM 锁 starter 系列 0.2.0）的子服务，CI 都会踩到这份坏掉的已发布 0.2.0；本地若装过 0.2.1-as-0.2.0 则本地绿、CI 红，难以自查。

讨论点 / 期望主仓定夺

1. 版本处置：坏掉的已发布 0.2.0 如何处理？（已发布 release 应不可变，建议勿原地重发 0.2.0，而是统一弃用并升 ≥0.2.1。）
2. BOM/parent 锁版本：platform-parent 的 BOM 是否把 starter 系列上锁到 0.2.1？子仓应统一升 parent 到哪个版本作为 blessed 基线？
3. 发布纪律：约定禁止用 mvn install 以已发布 release 版本号覆盖本地缓存（迭代用 -SNAPSHOT 或新版本号），避免再次「本地绿 / CI 红」。

引用

• 失败 CI：HashMatrixData/hashmatrix-security PR feat(deploy): Helm umbrella + per-tenant chart + values 分层 + ESO + helm-deploy SKILL #8 的 security CI run（Build + test (unit + integration) 步骤）
• 关联升级 issue（实现期已提）：本仓 cross-ask 前已开 HashMatrixData/hashmatrix#26（permit-paths 默认）、#27（repackage×failsafe）

可能的落点

• 澄清 blessed 版本即可（子仓升 parent 后重跑）
• 大概率需落成 Issue 到 libs-java：修复发布纪律 + 作废/弃用 0.2.0（结论清晰后用 /issue-report 落单）
• 其它

我方临时处置

security#4 的 PR 暂不合入（不带病开发），待主仓给出 blessed starter 版本后，本仓升 parent/依赖、CI 重跑转绿再合。

[JIAQIA]

✅ 验证结论（取证）

把本仓（security）的 parent + BOM 升到 0.2.1（即从 GitHub Packages 取已发布的修复版 starter-security c592f3e）后，PR #8 的 CI 完整全绿：

• 单测 6/6、集成切片 InfraConnectivityIT 6/6 全过——含此前在 published-0.2.0 下报 401 的 3 个网关预认证用例 + readiness 新断言；
• 首次跑到并通过镜像构建步骤（本仓 CI 首次端到端全绿）。
• run: HashMatrixData/hashmatrix-security actions/runs/27924973809

→ 即：已发布 0.2.1 即修复版，子仓升到 0.2.1 即可解除「带病」。

仍请主仓定夺（子仓不各自发明基线）：

1. 作废/弃用坏掉的 published 0.2.0（勿原地重发）；
2. 是否将 0.2.1 定为 blessed 基线、各子仓统一升 parent/BOM；
3. 发布纪律：禁止 mvn install 以已发布 release 号覆盖本地缓存。

本仓 PR #8 暂保持 draft，待主仓拍板基线后转 ready。