Skulto Release Cert

• Bevor ein neues skulto-Release getaggt oder der Homebrew-Tap aktualisiert wird, um zu bestätigen, dass alle Qualitätsgates grün sind.
• Wenn ein deterministischer, schrittweise agent-ausführbarer Prozess benötigt wird, um das CLI-Verhalten in Szenarien mit warmem Zustand, sauberem Ausgangszustand, Migration und Abgleich zu überprüfen.
• Wenn automatisiertes Sicherheits-Scanning (hartcodierte Secrets, SQL-Injection, Command-Injection, Credential-Dateien) in Kombination mit einer manuellen Review-Checkliste vor dem Ausliefern gewünscht wird.
• Wenn ein neuer Zertifizierer (Mensch oder Agent) eingearbeitet wird, der eine kanonische, in sich geschlossene Referenz dafür benötigt, was „release-ready" für skulto bedeutet.

• Wenn Sie nicht am skulto-Projekt arbeiten — diese Fähigkeit ist eng mit skultos Codebasis, CLI-Befehlen und Datenbankschema verknüpft.
• Wenn Sie nur einen schnellen Smoke-Test benötigen; dies ist ein vollständiger Zertifizierungsdurchlauf und ist absichtlich gründlich und zeitaufwändig.
• Wenn das skulto-Binary noch nicht gebaut wurde — Pass 1 muss erfolgreich sein, bevor die späteren Passes aussagekräftig sind.

Die Zertifizierung ist in drei aufeinanderfolgende Durchläufe unterteilt: Unit-Tests, Linting und Cross-Kompilierung (Durchlauf 1); eine umfassende CLI-Komplettprüfung (Durchlauf 2); sowie ein Sicherheits-Audit (Durchlauf 3). Alle drei müssen erfolgreich abgeschlossen sein, bevor ein Skulto Release Cert-Urteil mit dem Status CERTIFIED FOR RELEASE ausgestellt wird.

Pass 1 cross-kompiliert das Skulto-Binary für vier Ziele — linux/amd64, linux/arm64, darwin/amd64 und darwin/arm64 — mit CGO_ENABLED=0. Alle vier müssen erfolgreich abgeschlossen sein, bevor fortgefahren wird.

Pass 2 behandelt warmen Zustand, Clean-Slate-Lebenszyklus, Migration, Abgleich, Bereinigung veralteter Skills, Sicherheits-Scan-Abläufe, MCP-Metadaten, Emoji-freie Ausgabe sowie die Logik „Installationsorte merken". Vor allen Tests wird ein Zustands-Snapshot erstellt und nach Abschluss aller Tests per Diff überprüft, um sicherzustellen, dass der Skulto Release Cert-Prozess nicht destruktiv ist.

Mehrere Pass-2-Unterabschnitte testen, ob der integrierte Sicherheitsscanner von Skulto korrekt funktioniert: Saubere Skills werden lautlos installiert, unter Quarantäne gestellte Skills werden blockiert oder lösen eine Warnung aus, und Scanergebnisse erscheinen während der Abläufe add, pull, ingest, URL-Installation, sync und save.

Bestehen Sie 3 Durchläufe mit grep-basierten Scans nach hartcodierten Geheimnissen, SQL-String-Interpolation, Command-Injection-Mustern und eingecheckten Credential-Dateien, ergänzt durch eine manuelle Überprüfungs-Checkliste, die parametrisierte Abfragen, die Verwendung von exec.Command, den Geltungsbereich von os.RemoveAll sowie die PostHog-Key-Injektion über ldflags abdeckt.

Nach allen drei Durchläufen erstellt die Funktion eine formatierte Zertifizierungstabelle, die jeden Prüfpunkt mit dem Status PASS/FAIL/SKIPPED/CLEAN/FOUND, der Version, dem Datum und dem Zertifizierer auflistet – mit einem abschließenden, eindeutigen Urteil: CERTIFIED FOR RELEASE oder BLOCKED.

Ein KI-Agent führt alle drei Durchläufe gegen ein erstelltes Skulto-Binary aus, arbeitet jeden nummerierten Schritt und jede Tabellenzeile durch und erstellt die abschließende Zertifizierungszusammenfassung ohne menschliches Eingreifen (mit Ausnahme der ausdrücklich als MANUAL-only gekennzeichneten interaktiven Terminal-Schritte).

Bevor die Homebrew-Tap-Formel aktualisiert wird, um auf ein neues Release zu verweisen, führt ein Entwickler oder Agent diese Funktion aus dem Stammverzeichnis des skulto-Repositorys aus, um zu bestätigen, dass der Build sauber ist, alle CLI-Pfade wie erwartet funktionieren und keine Sicherheitsregressionen vorliegen.

Nach wesentlichen Änderungen an der Installations-, Scan- oder Abgleichlogik von Skulto deckt die CLI-Komplettübersicht (2a–2t) Regressionen über die gesamte Befehlsoberfläche auf, einschließlich Randfällen wie veralteten Datenbankeinträgen, blockierten Quarantäne-Skills und dem Verhalten beim Merken von Installationspfaden.

Ein neues Teammitglied oder ein Agent, der mit den Release-Kriterien von Skulto nicht vertraut ist, nutzt diese Funktion als zentrale, maßgebliche Referenz dafür, was einen auslieferbaren Build ausmacht – einschließlich bereits bekannter Probleme, die nachverfolgt werden, aber nicht blockierend sind.