HANDOFF S178 Fix 17 → Phiên sau

MỤC TIÊU LỚN — Điều 43 trọn vẹn

1. Khai sinh Đ41/Đ43 vào normative_registry
2. Rà description cho đủ (1277 row thiếu)
3. AI mới đọc Đ43 là hiểu (test agent lạ)

---

ĐÃ XONG (Fix 17)

#	Việc	Evidence
1	Fix drift registry (HP 4.3.0→4.6.2, Đ33, Đ35)	law_version_verification_log, admin_fallback_log
2	Fix API endpoint Agent Data (nginx auth)	vps_deploy_log id=2
3	M1 DDL: apr_approvals + ALTER system_issues	admin_fallback_log id=3, vps_deploy_log id=3
4	M2 Seed: apr_action_types (5) + apr_request_types (14) + backfill 165 APR + 3 triggers + Đ36 register	admin_fallback_log id=4, vps_deploy_log id=4
5	Ghi 3 TD mới (TD-S178-20/21/22) vào tech-debt.md	rev 398

---

CÒN LẠI (theo thứ tự)

Bước 5 — M3: Bật trigger + deploy DOT (NẶNG — chia nhỏ)

Phần nhẹ (DDL — 1 prompt):

• Trigger fn_apr_quorum_check trên approval_requests — enforce quorum theo risk_level (P14 gói spec)
• Trigger fn_admin_fallback_overdue_scan cron hourly — flip status audit_overdue (P13)
• Có thể còn trigger khác — agent đọc gói spec §II P3 + P14 xác nhận

Phần nặng (cần VIẾT code — nhiều prompt):

• 2 DOT APR v2: cập nhật dot-apr-propose + dot-apr-execute đọc cột code mới (thay vì JSONB cũ)
• 3 DOT cặp mới (6 scripts): cho flow fix_repair_dot (Đ35 v5.2 §6)
• Spec chi tiết: knowledge/dev/laws/dieu35-dot-governance-law.md §6 + gói spec §II P3

Bước 6 — M4: Scanner detect-only

• P4 gói spec — quét silent-fail annotation markers
• /effort low

Bước 7 — M5: Context pack regenerate

• Section ops_code_inventory mới (P11 gói spec)
• /effort low

Bước 8 — ENACT 7 luật (MỤC TIÊU CHÍNH)

• Dùng dot-nrm-enact (đã fix Fix 16, backup /opt/incomex/dot/bin/.backup-s178-fix16/)
• 7 row: HP v4.6.3, Đ22 v1.1, Đ32 v1.1, Đ33 v2.1, Đ35 v5.2, Đ41 v1.1, Đ43 v1.2
• DB directus, bảng normative_registry

Bước 9 — Retroactive APR

• admin_fallback_log id=1 (Fix 16): deadline 2026-04-20 01:42 UTC ⚠️
• admin_fallback_log id=3 (M1): deadline ~24h từ tạo
• admin_fallback_log id=4 (M2): deadline ~24h từ tạo
• Dùng request_type_code='fix_repair_dot' + proposed_action_code='patch_ops_code'

Bước 10-12 — Hoàn thiện Đ43 (roadmap Phase C-E)

• C1: Nới max_size_bytes section project_map (hiện 22KB > 20KB max)
• C2: Backfill description 14 bảng (1277 row thiếu)
• C3: Project Identity ở trang bìa (5-7 dòng mô tả Incomex)
• C4: Architecture Annotation 4 layer
• C7: Section ops_code_inventory verify
• D: Test agent lạ — CLI mới đọc pack, mô tả lại hệ thống ≥80%
• E1: Test bảo vệ Đ43 chống agent phá (4 lớp)
• E2: Verify Đ39 shadow trigger binding

---

CHIẾN LƯỢC PHIÊN SAU

Ủi thẳng. Vướng đâu fix đó.

Thứ tự ưu tiên:

1. M3 phần nhẹ (triggers DDL) → 1 prompt /low
2. M3 phần nặng (DOT scripts) → nhiều prompt, chia nhỏ theo từng DOT
3. M4 + M5 → 2 prompt /low mỗi cái
4. Enact 7 luật → 1 prompt /medium
5. Retroactive APR → 1 prompt /low
6. Phase C-E (hoàn thiện Đ43) → nhiều prompt

---

TÀI LIỆU THAM CHIẾU

Tài liệu	Path KB
Gói amend v4 FINAL	knowledge/dev/laws/patch-dot-repair-governance-s178-fix15.md
HP v4.6.3	knowledge/dev/laws/constitution.md
Đ43 v1.2 rev 6	knowledge/dev/laws/dieu43-system-context-law.md
Đ35 v5.2	knowledge/dev/laws/dieu35-dot-governance-law.md
Đ32 v1.1	knowledge/dev/laws/dieu32-approval-law.md
Đ41 v1.1	knowledge/dev/laws/dieu41-luat-van-hanh-ma-vps-v1.1.md
Phụ lục Đ43	knowledge/dev/laws/dieu43-phu-luc-ban-do-he-thong.md
Tech debt	knowledge/dev/ssot/tech-debt.md (rev 398)
Roadmap Fix 16+	Xem document knowledge/dev/laws/dieu43-migrations/README.md hoặc search "roadmap S178 Fix 16"

---

LƯU Ý QUAN TRỌNG

• Mọi bảng governance ở DB directus (không phải incomex_metadata)
• POSTGRES_USER = directus (không phải postgres)
• Alias SSH = contabo (key ~/.ssh/contabo_vps)
• KB đọc qua dot-knowledge-search (đã fix auth header Fix 17)
• Nguyên tắc: Theo đúng luật. Thiếu → bổ sung luật. Không sáng tác.