Skulto Release Cert

• Avant de tagger une nouvelle version de skulto ou de mettre à jour le tap Homebrew, pour confirmer que toutes les portes de qualité sont au vert.
• Lorsque vous avez besoin d'un processus déterministe, étape par étape, exécutable par un agent, pour vérifier le comportement de la CLI dans les scénarios d'état chaud, de table rase, de migration et de réconciliation.
• Lorsque vous souhaitez combiner une analyse de sécurité automatisée (secrets codés en dur, injection SQL, injection de commandes, fichiers de credentials) avec une checklist de révision manuelle avant la mise en production.
• Lors de l'intégration d'un nouveau certificateur (humain ou agent) qui a besoin d'une référence canonique et autonome définissant ce que « prêt pour la release » signifie pour skulto.

• Si vous ne travaillez pas sur le projet skulto — cette compétence est étroitement liée à la base de code, aux commandes CLI et au schéma de base de données de skulto.
• Si vous avez seulement besoin d'un test rapide ; il s'agit d'une exécution de certification complète, intentionnellement approfondie et chronophage.
• Si le binaire skulto n'a pas encore été compilé — le Pass 1 doit réussir avant que les passes suivantes aient un sens.

La certification est divisée en trois passes séquentielles : les tests unitaires, le lint et la compilation croisée (Passe 1) ; un parcours CLI complet (Passe 2) ; et un audit de sécurité (Passe 3). Les trois doivent être au vert avant qu'un verdict CERTIFIÉ POUR LA MISE EN PRODUCTION soit émis par Skulto Release Cert.

La passe 1 compile de manière croisée le binaire skulto pour quatre cibles — linux/amd64, linux/arm64, darwin/amd64 et darwin/arm64 — avec CGO_ENABLED=0. Les quatre compilations doivent réussir avant de continuer.

La passe 2 couvre l'état chaud, le cycle de vie à ardoise vierge, la migration, la réconciliation, le nettoyage des compétences obsolètes, les flux d'analyse de sécurité, les métadonnées MCP, la sortie sans emoji et la logique « mémoriser les emplacements d'installation ». Un instantané d'état est pris avant tout test et vérifié par comparaison différentielle après tous les tests, garantissant que le processus Skulto Release Cert est non destructif.

Plusieurs sous-sections du Pass 2 testent que le scanner de sécurité intégré de Skulto se comporte correctement : les skills propres s'installent silencieusement, les skills mis en quarantaine sont bloqués ou signalés par un avertissement, et les résultats de l'analyse apparaissent lors des flux add, pull, ingest, d'installation par URL, sync et save.

Réussir 3 exécutions de scans basés sur grep pour les secrets codés en dur, l'interpolation de chaînes SQL, les modèles d'injection de commandes et les fichiers d'identifiants committés, complétés par une liste de vérification manuelle couvrant les requêtes paramétrées, l'utilisation de exec.Command, la portée de os.RemoveAll et l'injection de clé PostHog via ldflags.

Après les trois passes, la compétence produit un tableau de certification formaté répertoriant chaque vérification avec le statut PASS/FAIL/SKIPPED/CLEAN/FOUND, la version, la date et le certificateur, aboutissant à un verdict clair CERTIFIED FOR RELEASE ou BLOCKED.

Un agent IA exécute les trois passes complètes sur un binaire skulto compilé, en traitant chaque étape numérotée et chaque ligne de tableau, puis produit le résumé de certification final sans intervention humaine (à l'exception des étapes de terminal interactif explicitement signalées comme MANUAL uniquement).

Avant de mettre à jour la formule du tap Homebrew pour pointer vers une nouvelle version, un développeur ou un agent exécute cette compétence depuis la racine du dépôt skulto afin de confirmer que la compilation est propre, que tous les chemins CLI se comportent comme prévu et qu'aucune régression de sécurité n'existe.

Après des modifications importantes apportées à la logique d'installation, d'analyse ou de réconciliation de Skulto Release Cert, le parcours guidé en ligne de commande (étapes 2a à 2t) permet de détecter les régressions sur l'ensemble de la surface de commande, y compris les cas limites tels que les enregistrements de base de données obsolètes, le blocage par compétence mise en quarantaine, et le comportement de mémorisation de l'emplacement d'installation.

Un nouveau membre de l'équipe ou un agent non familiarisé avec les critères de publication de Skulto utilise cette compétence comme référence unique faisant autorité pour définir ce qui constitue une version livrable, y compris les problèmes connus préexistants qui sont suivis mais non bloquants.