Scope-Lockの実装

2026-04-18 19:25:03 +09:00 · 2026-04-18 19:25:03 +09:00 · a7b9b6fa4b
commit a7b9b6fa4b
parent 4ba58723dc
9 changed files with 1196 additions and 4 deletions
--- a/Cargo.lock
+++ b/Cargo.lock
@ -735,6 +735,16 @@ dependencies = [
 "percent-encoding",
 ]

+[[package]]
+name = "fs4"
+version = "0.13.1"
+source = "registry+https://github.com/rust-lang/crates.io-index"
+checksum = "8640e34b88f7652208ce9e88b1a37a2ae95227d84abec377ccd3c5cfeb141ed4"
+dependencies = [
+ "rustix 1.1.4",
+ "windows-sys 0.59.0",
+]
+
 [[package]]
 name = "futures"
 version = "0.3.32"
@ -1388,9 +1398,9 @@ checksum = "09edd9e8b54e49e587e4f6295a7d29c3ea94d469cb40ab8ca70b288248a81db2"

 [[package]]
 name = "libc"
-version = "0.2.184"
+version = "0.2.185"
 source = "registry+https://github.com/rust-lang/crates.io-index"
-checksum = "48f5d2a454e16a5ea0f4ced81bd44e4cfc7bd3a507b61887c99fd3538b28e4af"
+checksum = "52ff2c0fe9bc6cb6b14a0592c2ff4fa9ceb83eea9db979b0487cd054946a2b8f"

 [[package]]
 name = "libredox"
@ -1893,8 +1903,10 @@ dependencies = [
 "chrono",
 "clap",
 "dotenv",
+ "fs4",
 "futures",
 "include_dir",
+ "libc",
 "llm-worker",
 "manifest",
 "minijinja",
@ -2244,7 +2256,7 @@ dependencies = [
 "errno",
 "libc",
 "linux-raw-sys 0.4.15",
- "windows-sys 0.52.0",
+ "windows-sys 0.59.0",
 ]

 [[package]]
@ -3583,6 +3595,15 @@ dependencies = [
 "windows-targets",
 ]

+[[package]]
+name = "windows-sys"
+version = "0.59.0"
+source = "registry+https://github.com/rust-lang/crates.io-index"
+checksum = "1e38bc4d79ed67fd075bcc251a1c39b32a1776bbe92e5bef1f0bf1f8c531853b"
+dependencies = [
+ "windows-targets",
+]
+
 [[package]]
 name = "windows-sys"
 version = "0.61.2"
--- a/crates/manifest/src/scope.rs
+++ b/crates/manifest/src/scope.rs
@ -138,6 +138,22 @@ impl Scope {
        self.allow.iter().map(|r| r.target.as_path())
    }

+    /// Allow rules with their targets resolved to absolute paths.
+    ///
+    /// Used by the scope-lock registry, where every Pod's allocation
+    /// must be expressed in absolute terms so prefix comparisons are
+    /// meaningful across processes.
+    pub fn allow_rules(&self) -> Vec<ScopeRule> {
+        self.allow
+            .iter()
+            .map(|r| ScopeRule {
+                target: r.target.clone(),
+                permission: r.permission,
+                recursive: r.recursive,
+            })
+            .collect()
+    }
+
    /// Iterate over absolute paths granted `Write` by an allow rule.
    /// Subset of [`readable_paths`](Self::readable_paths).
    pub fn writable_paths(&self) -> impl Iterator<Item = &Path> {
--- a/crates/pod/Cargo.toml
+++ b/crates/pod/Cargo.toml
@ -22,6 +22,8 @@ tools = { version = "0.1.0", path = "../tools" }
 minijinja = "2.19.0"
 chrono = "0.4.44"
 include_dir = "0.7.4"
+fs4 = { version = "0.13.1", features = ["sync"] }
+libc = "0.2.185"

 [dev-dependencies]
 async-trait = "0.1.89"
--- a/crates/pod/src/lib.rs
+++ b/crates/pod/src/lib.rs
@ -2,6 +2,7 @@ pub mod controller;
 pub mod hook;
 pub mod notifier;
 pub mod runtime_dir;
+pub mod scope_lock;
 pub mod shared_state;
 pub mod socket_server;

--- a/crates/pod/src/pod.rs
+++ b/crates/pod/src/pod.rs
@ -23,6 +23,8 @@ use crate::notification_buffer::NotificationBuffer;
 use crate::notifier::Notifier;
 use crate::pod_interceptor::PodInterceptor;
 use crate::prompt_loader::PromptLoader;
+use crate::runtime_dir;
+use crate::scope_lock::{self, ScopeAllocationGuard, ScopeLockError};
 use crate::system_prompt::{SystemPromptContext, SystemPromptError, SystemPromptTemplate};
 use crate::usage_tracker::UsageTracker;
 use protocol::{NotificationLevel, NotificationSource};
@ -105,6 +107,13 @@ pub struct Pod<C: LlmClient, St: Store> {
    /// injection into the next LLM request. Shared with the
    /// PodInterceptor installed in `ensure_interceptor_installed`.
    pending_notifications: NotificationBuffer,
+    /// Scope allocation in the machine-wide lock file. `Some` for
+    /// Pods built via `from_manifest` (production path); `None` for
+    /// lower-level constructors (`Pod::new`, `Pod::restore`) that
+    /// bypass the registry. Kept purely for its `Drop` impl, which
+    /// releases the allocation when the Pod is dropped.
+    #[allow(dead_code)]
+    scope_allocation: Option<ScopeAllocationGuard>,
 }

 impl<C: LlmClient, St: Store> Pod<C, St> {
@ -146,6 +155,7 @@ impl<C: LlmClient, St: Store> Pod<C, St> {
            system_prompt_template: None,
            notifier: None,
            pending_notifications: NotificationBuffer::new(),
+            scope_allocation: None,
        };
        pod.apply_prune_from_manifest();
        Ok(pod)
@ -195,6 +205,7 @@ impl<C: LlmClient, St: Store> Pod<C, St> {
            system_prompt_template: None,
            notifier: None,
            pending_notifications: NotificationBuffer::new(),
+            scope_allocation: None,
        };
        pod.apply_prune_from_manifest();
        Ok(pod)
@ -875,6 +886,20 @@ impl<St: Store> Pod<Box<dyn LlmClient>, St> {
            return Err(PodError::PwdOutsideScope { pwd });
        }

+        // Register this Pod in the machine-wide scope-lock registry
+        // before building anything else, so a spawn that conflicts on
+        // scope fails fast (and without having paid for client setup).
+        let socket_path = runtime_dir::default_base()
+            .map_err(ScopeLockError::from)?
+            .join(&manifest.pod.name)
+            .join("sock");
+        let scope_allocation = scope_lock::install_top_level(
+            manifest.pod.name.clone(),
+            std::process::id(),
+            socket_path,
+            scope.allow_rules(),
+        )?;
+
        let client = provider::build_client(&manifest.provider)?;
        let mut worker = Worker::new(client);
        apply_worker_manifest(&mut worker, &manifest.worker);
@ -910,6 +935,7 @@ impl<St: Store> Pod<Box<dyn LlmClient>, St> {
            system_prompt_template,
            notifier: None,
            pending_notifications: NotificationBuffer::new(),
+            scope_allocation: Some(scope_allocation),
        };
        pod.apply_prune_from_manifest();
        Ok(pod)
@ -1058,6 +1084,9 @@ pub enum PodError {
        #[source]
        source: SystemPromptError,
    },
+
+    #[error(transparent)]
+    ScopeLock(#[from] ScopeLockError),
 }

 /// Canonicalize an absolute pwd (resolves symlinks and any `.`/`..`
--- a/crates/pod/src/runtime_dir.rs
+++ b/crates/pod/src/runtime_dir.rs
@ -86,7 +86,11 @@ async fn atomic_write(target: &Path, content: &[u8]) -> Result<(), io::Error> {
 }

 /// Resolve the default base directory for runtime data.
-fn default_base() -> Result<PathBuf, io::Error> {
+///
+/// Public so the scope-lock registry (which lives outside the
+/// `RuntimeDir` instance lifecycle) can predict a Pod's socket path
+/// without constructing a `RuntimeDir` first.
+pub fn default_base() -> Result<PathBuf, io::Error> {
    if let Ok(runtime_dir) = std::env::var("XDG_RUNTIME_DIR") {
        Ok(PathBuf::from(runtime_dir).join("insomnia"))
    } else if let Ok(home) = std::env::var("HOME") {
--- a/crates/pod/src/scope_lock.rs
+++ b/crates/pod/src/scope_lock.rs
--- a/tickets/scope-lock.md
+++ b/tickets/scope-lock.md
@ -1,5 +1,10 @@
 # Scope lock file: write 排他とスコープ分譲の記録基盤

+## レビュー状態
+
+初回レビュー実施済み。[scope-lock.review.md](scope-lock.review.md) を参照。
+指摘1件（ファイルパーミッション 0600 の明示設定）の修正を条件に受け入れ可。
+
 ## 背景

 Pod オーケストレーションでは scope の分譲（spawner が自身の scope を spawned Pod に譲渡）が発生する。また、人間が独立に複数の Pod を起動した場合にも同一パスへの write 衝突を検出する必要がある。
--- a/tickets/scope-lock.review.md
+++ b/tickets/scope-lock.review.md
@ -0,0 +1,100 @@
+# レビュー: Scope lock file
+
+対象差分: `crates/pod/src/scope_lock.rs` (新規 992行), `crates/manifest/src/scope.rs`, `crates/pod/src/{pod,lib,runtime_dir}.rs`, `crates/pod/Cargo.toml`（未コミット）
+
+## 要件達成状況
+
+| 要件 | 状態 |
+|---|---|
+| lock file に Pod の scope allocation を記録 | ✅ `register_pod` / `delegate_scope` で JSON に書き込み |
+| flock による排他アクセス | ✅ `LockFileGuard::open` で `lock_exclusive`、Drop で `unlock` |
+| write 衝突の検出 | ✅ `find_conflict_owner` が delegation tree を下降して真の所有者を特定 |
+| stale エントリの自動回収 (PID 死活) | ✅ `reclaim_stale` が `kill(pid, 0)` で判定、dead を削除・子を reparent |
+| scope 分譲の記録 (`delegated_from`) | ✅ `delegate_scope` が spawner の effective scope 内か検証してから登録 |
+| 分譲チェーンの reparent (A→B→D、B 死亡時 D を A に付け替え) | ✅ `release_pod` / `reclaim_stale` ともに `delegated_from` を親に付け替え |
+| Pod 正常終了時の allocation 解放 | ✅ `ScopeAllocationGuard` の Drop で `release_pod` を呼ぶ |
+| Pod 起動時 (`from_manifest`) に自動登録 | ✅ `scope_lock::install_top_level` を `from_manifest` 内で呼出 |
+| テストで衝突検出・stale 回収・分譲/返却を検証 | ✅ 16 テストケース |
+| パーミッション制御 (0600) | — チケットに記載あるが、ファイル作成時の umask 制御は未実装。`OpenOptions` に mode 設定なし |
+
+## アーキテクチャ
+
+### 良い点
+
+**`LockFileGuard` の RAII 設計**: `open` で flock 取得、`save` で書き込み、Drop で unlock。mutate-but-don't-save のパスでは変更が破棄される（エラー時に安全）。
+
+**`ScopeAllocationGuard` で Pod ライフサイクルに紐付け**: Pod 構造体が `Option<ScopeAllocationGuard>` を保持し、Drop で lock file から自動削除。`Pod::new` / `Pod::restore`（テスト用）は `None` でバイパス。
+
+**`find_conflict_owner` が delegation tree を下降**: 衝突エラーに「真の所有者」（最深のノード）を表示。`conflict_detection_descends_to_real_owner` テストで lock-in。
+
+**`reclaim_stale_with` のテストシーム**: PID 生存判定を引数で差し替え可能。テストで任意の PID を「dead」にできる。
+
+**`is_within_effective_write`**: spawner の allow set から子に委譲済みの部分を差し引いた「実効 scope」を計算。`delegate_scope` のバリデーションに使用。
+
+**`rules_overlap` の 4 パターン分岐** (recursive×recursive, recursive×non, non×recursive, non×non): 非再帰ルールの覆域（target 自身 + 直下の子）を正しく考慮。
+
+### 指摘事項
+
+#### 1. 🟡 ファイルパーミッションの明示設定
+
+チケットの「セキュリティとアクセス」セクション:
+> ファイルパーミッション `0600`（owner only）、ディレクトリは `0700`
+
+`LockFileGuard::open` は `OpenOptions::new().create(true)` で作成しているが、パーミッションの明示設定がない。umask がデフォルト (0022) なら `0644` になり、他ユーザーから読めてしまう。
+
+```rust
+// 現状
+let file = OpenOptions::new()
+    .read(true).write(true).create(true).truncate(false)
+    .open(path)?;
+
+// 修正案: Unix 拡張で mode を設定
+use std::os::unix::fs::OpenOptionsExt;
+let file = OpenOptions::new()
+    .read(true).write(true).create(true).truncate(false)
+    .mode(0o600)
+    .open(path)?;
+```
+
+ディレクトリも `create_dir_all` の後に `std::fs::set_permissions` で `0700` に制限する。
+
+**判断**: セキュリティ要件。修正すべき。
+
+#### 2. 🟢 `socket` フィールドの予測パス
+
+`pod.rs` で socket path を `runtime_dir::default_base()?.join(&manifest.pod.name).join("sock")` と予測しているが、実際の `RuntimeDir` が作る socket path と一致するか保証がない（`RuntimeDir` のパス構築ロジックが変わったら乖離する）。
+
+現時点では一致しているが、将来 `RuntimeDir` のパス規則が変わったとき scope_lock の socket 情報が嘘になる。`RuntimeDir` 側に `fn socket_path_for(pod_name: &str) -> PathBuf` のような static メソッドを置いて、両者が同じ関数を呼ぶようにするとより堅牢。
+
+**判断**: 現時点では問題なし。リファクタ余地として認識。
+
+#### 3. 🟢 `covers_fully` の permission 比較
+
+```rust
+fn covers_fully(cover: &ScopeRule, inner: &ScopeRule) -> bool {
+    if cover.permission < inner.permission {
+        return false;
+    }
+    ...
+}
+```
+
+`Permission` の `Ord` は `Read < Write`。`cover.permission < inner.permission` = 「cover が Read で inner が Write なら不十分」。正しい。
+
+#### 4. 🟢 テストの網羅性
+
+16 ケース:
+- ファイル操作: open creates / save-reopen roundtrip
+- overlap 判定: prefix relation / non-recursive
+- 登録: write conflict / duplicate name / read doesn't conflict
+- 分譲: must be subset / succeeds within parent / rejects sibling overlap
+- 解放: reparents children / reopens scope / returns to parent
+- stale: reparents and removes dead entries
+- guard: releases on drop
+- conflict detection: descends to real owner
+
+delegation tree の主要シナリオ (A→B→D) がカバーされている。
+
+## 結論
+
+**指摘1 (ファイルパーミッション 0600) の修正を条件に受け入れ可**。他は問題なし。実装の核心（delegation tree walk, effective scope 計算, stale reclaim + reparent）が正確で、テストが充実している。