Operator Go-live Command Center

Die letzten Produktiv-Gates in einer Betreiber-Checkliste

Operator-Go-live: 0/3 Aktivierungsbereiche bereit, 3 warten auf sichere Eingaben oder Freigaben.

Dieses Command Center aktiviert nichts, erzeugt keine Credentials, ruft keine externen Feeds auf, sendet keine Alerts und veroeffentlicht keine Secret-Werte, Ziel-URLs, Empfaenger, Rohpayloads oder Besucherlogs.

JSON CSV Markdown Evidence-Hub Parity
0/3Bereiche bereit 3Blocker 20Env-Refs 9Smokes 3/3Freigaben warten 0Alerts gesendet 64Alert-Outbox okAlert-Smoke 0Alert-Checks failed 0Feed-Runs 0Feed-Speicherungen okFeed-Smoke 0Feed-Checks failed 0/2API-Storage 0/7API-Gates waiting_for_secure_inputsStatus

Alert-Delivery-Go-live-Smoke

Alert-Zustellung bleibt kontrolliert blockiert

Alert-Delivery-Smoke ist grün: öffentliche Nachweise sind erreichbar, erwartete Produktivblocker sind sichtbar und Dry-run/Runner haben keine Alerts versendet.

Smoke-JSON Delivery-Preflight Runner
okStatus 6Ziele 0failed 1erwartete Blocker 0Dry-run gesendet 0Runner gesendet
No-Secret- und No-Send-Grenze Produktive Alerts bleiben blockiert, bis Zielsystem, Receiver-Test und Betreiberfreigabe dokumentiert sind.

Dieser Smoke setzt keine Delivery-Secrets, konfiguriert keine Zielsysteme, versendet keine Alerts, schreibt keinen produktiven Sink und veröffentlicht keine Webhook-URLs, Tokens, Empfänger oder Rohpayloads.

Approval
blockiert
native Ziele
1
Evidence
öffnen

Security-Feed-Go-live-Smoke

Feed-Go-live bleibt kontrolliert blockiert

Security-Feed-Smoke ist grün: öffentliche Nachweise sind erreichbar, erwartete Produktivblocker sind sichtbar und der Dry-run hat keine externen Feeds ausgeführt oder Observations gespeichert.

Smoke-JSON Launch-Board Credential-Preflight
okStatus 10Ziele 0failed 2erwartete Blocker 0Dry-run Feeds 0Dry-run Storage
No-Secret- und No-Execution-Grenze Produktive Feed-Claims bleiben blockiert, bis Secrets, Storage-Migration, Retention-Review und Betreiberfreigabe nachgezogen sind.

Dieser Smoke setzt keine Feed-Credentials, ruft keine externen Malware-/Safe-Browsing-Feeds auf, speichert keine echten Observations, versendet keine Alerts und wendet keine Migration an.

fehlende Secrets
3
fehlende DB-Artefakte
11
Evidence
öffnen

Öffentliche Evidence-Health

Benchmark-Evidence ist vor Go-live grün

Öffentliche Evidence ist grün; Produktiv-Gates bleiben trotzdem an Secrets, Betreiberfreigabe und phasenspezifische Smokes gebunden.

Evidence-Health Smoke-JSON
okStatus 74passed 0failed 74Evidence-Routen 2026-06-09T18:48:35+00:00Smoke-Zeit
No-Secret-Grenze für Go-live Dieser Snapshot darf nur öffentliche Evidence-Routen, Status und Referenzen zeigen.
contains_secrets
false
contains_private_target_urls
false
contains_recipients
false
contains_private_documents
false
contains_visitor_logs
false

Operator-Freigabequeue

Entscheidung, Evidence und Smoke vor Produktivfreigabe

Diese Queue ist die Betreiberansicht fuer Signoff: Was muss entschieden werden, welche Evidence ist Pflicht und welche No-Secret-Grenze gilt.

Parity-Board
Alert-Zustellung freigeben waiting_for_operator_inputs · IT/Security

Sichere Inputs, Betreiberfreigabe und Smoke-Evidence nachreichen.

Nur Referenznamen, Status, Hashes, Evidence-URLs, Kommandonamen, Abnahmekriterien und Stop-Bedingungen oeffentlich zeigen; keine Secret-Werte, DSN, Ziel-URLs, Empfaenger, Roh-Keys, Authorization-Header, Rohpayloads oder Besucherlogs.
Primärlink
öffnen
Env-Refs
SAFERPAGE_ALERT_DISPATCH_APPROVED, SAFERPAGE_WEBHOOK_URL, SAFERPAGE_WEBHOOK_SECRET, SAFERPAGE_SLACK_WEBHOOK_URL, SAFERPAGE_TEAMS_WEBHOOK_URL, SAFERPAGE_LOCAL_FILE_SINK_PATH
Smoke
scripts/run-alert-delivery-readiness-smoke.sh · scripts/run-alert-dispatch-dry-run-smoke.sh
Stop
sent_count steigt ohne Approval-Record. · Webhook-URL, Token oder Empfaenger erscheinen in Public-State, Logs oder Exporten. · Zielsystem erzeugt Duplikate trotz Idempotency-Key. · Runner error_count ist groesser 0.
Security-Feeds aktivieren waiting_for_operator_inputs · IT/Security + Datenschutz

Sichere Inputs, Betreiberfreigabe und Smoke-Evidence nachreichen.

Nur Referenznamen, Status, Hashes, Evidence-URLs, Kommandonamen, Abnahmekriterien und Stop-Bedingungen oeffentlich zeigen; keine Secret-Werte, DSN, Ziel-URLs, Empfaenger, Roh-Keys, Authorization-Header, Rohpayloads oder Besucherlogs.
Primärlink
öffnen
Env-Refs
SAFERPAGE_URLHAUS_AUTH_KEY, SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY, SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED, SAFERPAGE_SECURITY_FEED_PREFLIGHT_APPROVED, SAFERPAGE_WEBHOOK_SECRET, SAFERPAGE_OPERATOR_WEBHOOK_SECRET
Smoke
scripts/run-security-feed-readiness-smoke.sh · scripts/run-security-feed-storage-preflight.sh · scripts/run-storage-migrations.sh · scripts/run-security-feed-dry-run-smoke.sh
Stop
Secret-Wert, API-Key, Rohpayload oder personenbezogene Logzeile erscheint in Public-State. · Externe Feed-Abfrage laeuft ohne explizites Run-Gate. · stored_observation_count steigt vor Storage-Freigabe. · Launch-Board zeigt Runner-Fehler oder unerklaerte externe Ausfuehrungen.
Operator-API-Key-Store freischalten waiting_for_operator_inputs · IT/Security

Sichere Inputs, Betreiberfreigabe und Smoke-Evidence nachreichen.

Nur Referenznamen, Status, Hashes, Evidence-URLs, Kommandonamen, Abnahmekriterien und Stop-Bedingungen oeffentlich zeigen; keine Secret-Werte, DSN, Ziel-URLs, Empfaenger, Roh-Keys, Authorization-Header, Rohpayloads oder Besucherlogs.
Primärlink
öffnen
Env-Refs
SAFERPAGE_MIGRATION_DATABASE_URL, SAFERPAGE_API_KEY_STORE_READY, SAFERPAGE_API_SCOPE_ENFORCEMENT_READY, SAFERPAGE_API_ACCESS_AUDIT_READY, SAFERPAGE_API_RATE_LIMIT_READY, SAFERPAGE_API_REVOCATION_READY, SAFERPAGE_API_DOMAIN_CLAIM_READY, SAFERPAGE_API_WRITE_HMAC_READY, SAFERPAGE_API_WRITE_HMAC_SECRET
Smoke
scripts/run-api-access-migration-preflight.sh · scripts/run-storage-migrations.sh · scripts/run-api-runtime-deny-smoke.sh · scripts/run-api-service-smoke.sh
Stop
DB-User hat kein CREATE-Recht und kein kurzlebiger Admin-DSN ist sicher gesetzt. · Key-Hash, Pepper, Roh-Key oder Authorization-Header erscheint in Exporten. · Write-HMAC oder Domain-Claim fehlen vor produktiver Key-Ausstellung. · API-Gates werden vor erfolgreichem Smoke aktiviert.

Reihenfolge

Erst Evidence, dann Secrets, dann Freigabe

Schema
Schritt 1

Oeffentliche Evidence zuerst pruefen und unveraendert archivieren; Evidence-Health muss vor Produktivfreigabe gruen sein.

Schritt 2

Secrets, Ziel-URLs und DSN ausschliesslich im Server-Environment oder Secret Manager setzen.

Schritt 3

Dry-runs und Preflights ausfuehren, bevor ein Go-live-Gate aktiviert wird.

Schritt 4

Betreiberfreigabe mit Scope, Owner, Smoke-Referenzen, Ablaufdatum und Rollback-Owner dokumentieren.

Schritt 5

Nach jeder Freigabe Live-JSON, Runner-State, Sitemap und Parity-Board erneut pruefen.

Aktivierungsbereiche

Was fuer echte Konkurrenz-Paritaet noch geschlossen werden muss

Parity-JSON
Alert-Zustellung freigeben waiting_for_secure_inputs · IT/Security

Externes Webhook/Slack/Teams-Ziel fehlt. SAFERPAGE_ALERT_DISPATCH_APPROVED ist nicht aktiv.

Nur Referenznamen, Status, Hashes, Commands und Evidence-URLs werden exportiert; keine DSN, Passwoerter, API-Keys, Tokens, Ziel-URLs, Empfaenger, Rohpayloads oder Besucherlogs.
Env-Refs
SAFERPAGE_ALERT_DISPATCH_APPROVED, SAFERPAGE_WEBHOOK_URL, SAFERPAGE_WEBHOOK_SECRET, SAFERPAGE_SLACK_WEBHOOK_URL, SAFERPAGE_TEAMS_WEBHOOK_URL, SAFERPAGE_LOCAL_FILE_SINK_PATH
Smokes
scripts/run-alert-delivery-readiness-smoke.sh · scripts/run-alert-dispatch-dry-run-smoke.sh
Evidence
öffnen · öffnen · öffnen · öffnen · öffnen
Betreiber-Schritte

Zielsystem-Owner und Testkanal festlegen.

Secrets in /etc/saferpage/alert-dispatch.env oder Secret Manager setzen.

Dry-run ausfuehren und Runner-State pruefen.

Receiver-Signatur und Dedupe pruefen.

Freigabe setzen und nach erstem Lauf sent/error pruefen.

Abnahme

Alert-Delivery-Readiness-Smoke ist gruen: HTTP-Ziele erreichbar, failed_check_count=0, Dry-run sent_count=0 und Runner sent_count=0.

Mindestens ein externes natives Zielsystem ist serverseitig konfiguriert oder der lokale File-Sink ist bewusst nur fuer Audit-Dry-runs zugelassen.

SAFERPAGE_ALERT_DISPATCH_APPROVED=yes ist erst nach dokumentierter Betreiberfreigabe gesetzt.

Receiver prueft Idempotency-Key und optional HMAC-Signatur.

Public-State zeigt keine Ziel-URLs, Tokens, Empfaenger oder Rohpayloads.

Stop-Bedingungen

sent_count steigt ohne Approval-Record.

Webhook-URL, Token oder Empfaenger erscheinen in Public-State, Logs oder Exporten.

Zielsystem erzeugt Duplikate trotz Idempotency-Key.

Runner error_count ist groesser 0.

Security-Feeds aktivieren waiting_for_secure_inputs · IT/Security + Datenschutz

URLhaus/Safe-Browsing-Credentials fehlen. SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED ist nicht aktiv.

Nur Referenznamen, Status, Hashes, Commands und Evidence-URLs werden exportiert; keine DSN, Passwoerter, API-Keys, Tokens, Ziel-URLs, Empfaenger, Rohpayloads oder Besucherlogs.
Env-Refs
SAFERPAGE_URLHAUS_AUTH_KEY, SAFERPAGE_GOOGLE_SAFE_BROWSING_API_KEY, SAFERPAGE_SECURITY_FEED_STORAGE_APPROVED, SAFERPAGE_SECURITY_FEED_PREFLIGHT_APPROVED, SAFERPAGE_WEBHOOK_SECRET, SAFERPAGE_OPERATOR_WEBHOOK_SECRET
Smokes
scripts/run-security-feed-readiness-smoke.sh · scripts/run-security-feed-storage-preflight.sh · scripts/run-storage-migrations.sh · scripts/run-security-feed-dry-run-smoke.sh
Evidence
öffnen · öffnen · öffnen · öffnen · öffnen · öffnen
Betreiber-Schritte

Feed-Quellen und Zweck freigeben.

Secrets nur serverseitig setzen.

Storage-Migration und Preflight pruefen.

Canary ohne externe Feed-Abfrage ausfuehren.

Erst danach Storage-Approval und optional Live-Probe setzen.

Abnahme

Security-Feed-Readiness-Smoke ist gruen: HTTP-Ziele erreichbar, failed_check_count=0, Dry-run executed_count=0 und stored_observation_count=0.

Feed-Credentials sind als present=true sichtbar, ohne Secret-Werte auszugeben.

Storage-Artefakte sind migriert und Retention-/Review-Regeln sind freigegeben.

Storage-Canary laeuft vor echten Feed-Treffern erfolgreich.

Live-Probe und Runner-State zeigen keine Feed-Rohpayloads, Malware-Samples oder personenbezogenen Logs.

Stop-Bedingungen

Secret-Wert, API-Key, Rohpayload oder personenbezogene Logzeile erscheint in Public-State.

Externe Feed-Abfrage laeuft ohne explizites Run-Gate.

stored_observation_count steigt vor Storage-Freigabe.

Launch-Board zeigt Runner-Fehler oder unerklaerte externe Ausfuehrungen.

Operator-API-Key-Store freischalten waiting_for_secure_inputs · IT/Security

API-Access-Storage 0/2 Tabellen; produktive API-Key-Freigaben 0/7.

Nur Referenznamen, Status, Hashes, Commands und Evidence-URLs werden exportiert; keine DSN, Passwoerter, API-Keys, Tokens, Ziel-URLs, Empfaenger, Rohpayloads oder Besucherlogs.
Env-Refs
SAFERPAGE_MIGRATION_DATABASE_URL, SAFERPAGE_API_KEY_STORE_READY, SAFERPAGE_API_SCOPE_ENFORCEMENT_READY, SAFERPAGE_API_ACCESS_AUDIT_READY, SAFERPAGE_API_RATE_LIMIT_READY, SAFERPAGE_API_REVOCATION_READY, SAFERPAGE_API_DOMAIN_CLAIM_READY, SAFERPAGE_API_WRITE_HMAC_READY, SAFERPAGE_API_WRITE_HMAC_SECRET
Smokes
scripts/run-api-access-migration-preflight.sh · scripts/run-storage-migrations.sh · scripts/run-api-runtime-deny-smoke.sh · scripts/run-api-service-smoke.sh
Evidence
öffnen · öffnen · öffnen · öffnen · öffnen
Betreiber-Schritte

Migration-Preflight pruefen.

Kurzlebigen Admin-DSN nur in sicherer Shell setzen.

Migration anwenden und Preflight erneut pruefen.

Pepper/HMAC-Secret serverseitig setzen.

Domain-Claim, Test-Key, Deny/Allow/Revocation-Smokes abnehmen.

Abnahme

api_keys und api_access_audit_log existieren.

Migration wurde mit kurzlebigem Admin-DSN angewendet, ohne DSN oder Passwort zu loggen.

Deny-Smokes erzeugen 401/403/429/Revocation-Evidence ohne Roh-Key-Ausgabe.

Write-HMAC-Test-Fixture ist gegen Client/Receiver verifiziert.

Alle sieben API-Gates sind erst nach Domain-Claim und Test-Key-Abnahme aktiv.

Stop-Bedingungen

DB-User hat kein CREATE-Recht und kein kurzlebiger Admin-DSN ist sicher gesetzt.

Key-Hash, Pepper, Roh-Key oder Authorization-Header erscheint in Exporten.

Write-HMAC oder Domain-Claim fehlen vor produktiver Key-Ausstellung.

API-Gates werden vor erfolgreichem Smoke aktiviert.

Evidence

Pflichtlinks fuer die Abnahmeakte

Schema-Registry