docs(ORCH-021): post-deploy HEALTHY/NONE for ORCH-095

render_task_tracker sends/edits the live card with parse_mode=HTML. _fmt_minutes
returns the literal "<1м" for a sub-minute stage; interpolated raw into HTML text
Telegram parsed "<1м" as an opening tag -> editMessageText 400 can't parse
entities -> edit_telegram EDIT_FAILED -> update_task_tracker early return
(anti-duplicate ORCH-087) -> the card froze (incident ORCH-093, message_id 18854).

Close the whole "unescaped data in HTML text" class per ADR-001: a module-local
_esc(x)=html.escape(str(x)) (never-raise) wraps every DATA slot (durations, status
label, model, effort, token/cost metrics) exactly once at the render boundary in
render_task_tracker/_stage_line. Source functions stay HTML-agnostic (_fmt_minutes
still returns "<1м"; escape on the boundary renders it visually identical as
&lt;1м, so the visible format is unchanged). Intentional MARKUP slots (num_html /
link_for / _done_link / already-escaped esc_title) are NOT escaped, so the issue
number stays a clickable <a> tag and nothing is double-escaped.

A previously-frozen card auto-recovers on the next stage transition (a new safe
render edits in place, 200) — no new code, no touch to edit_telegram /
update_task_tracker / the orphan ledger, so the ORCH-087 anti-duplicate invariant
is preserved (a transient edit failure still does not spawn a new card).

STAGE_TRANSITIONS / QG_CHECKS / check_* / notification transport / DB schema are
untouched. New tests/test_tracker_html_escape.py (TC-01..TC-11); full suite green.

Refs: ORCH-095

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

.env.example

@@ -139,6 +139,17 @@ ORCH_SERIAL_GATE_FREEZE_ENABLED=true
 #                                for enduro too).
 ORCH_STOP_STATUS_ENABLED=true
 ORCH_STOP_STATUS_REPOS=
+# ORCH-094: terminal-window-aware guard for the three deploy-phase Plane status
+# setters (set_issue_awaiting_deploy / set_issue_deploying / set_issue_monitoring).
+# A DB stage=done task converges to Done idempotently instead of flapping
+# Awaiting <-> Monitoring, EXCEPT the legitimate post-deploy Monitoring while the
+# window is active (ARMED & not DONE). Leaf src/deploy_status_guard.py, never-raise;
+# STAGE_TRANSITIONS / QG_CHECKS / machine-verdict keys untouched (no DB migration).
+#   DEPLOY_STATUS_GUARD_ENABLED=false -> setters are terminal-blind (1:1 pre-ORCH-094).
+#   DEPLOY_STATUS_GUARD_REPOS (CSV)   -> scope; EMPTY = self-hosting only (orchestrator),
+#                                        the only repo where deploy-phase statuses are set.
+ORCH_DEPLOY_STATUS_GUARD_ENABLED=true
+ORCH_DEPLOY_STATUS_GUARD_REPOS=
 # ORCH-071/073: merge-verify under-gate on the `deploy -> done` edge (врезка in
 # advance_stage, NOT a new STAGE_TRANSITIONS edge / registered QG). A deterministic
 # merge-actor merges the feature code-PR via the Gitea PR-merge API (never push/

CHANGELOG.md

@@ -3,6 +3,21 @@
 Формат: [Keep a Changelog](https://keepachangelog.com/). Записи — на смысловой PR/задачу.
 
 ## [Unreleased]
+- **Live-карточка трекера: HTML-инъекция «<1м» больше не застывает карточку — экранирование всех данных-полей на границе рендера** (ORCH-095, `fix`): карточка задачи (`src/notifications.py::render_task_tracker`) шлётся/редактируется с `parse_mode=HTML`. `_fmt_minutes` для стадии < 60 с возвращает литерал `"<1м"`, который интерполировался в HTML-текст **сырым** → Telegram парсит `<1м` как открывающий тег → `editMessageText` отвечает `400 can't parse entities: Unsupported start tag "1м"` → `edit_telegram` классифицирует как `EDIT_FAILED` → `update_task_tracker` делает ранний `return` (анти-дубль ORCH-087) → **карточка застывает** (детерминированно воспроизведено 09.06 на ORCH-093, `message_id 18854`). Корневой класс шире одного `<1м`: все подставляемые **данные** (длительности, статус-лейбл, модель, эффорт, токены/стоимость) вставлялись сырыми; экранирован был только заголовок (`esc_title`) и href/label внутри `plane_issue_link`. **Аддитивно, never-raise, без нового поведения конвейера:** `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / транспорт нотификаций / схема БД — **не тронуты** (затронут ровно один модуль индикативного слоя); kill-switch не требуется (исправление дефекта корректности, откат = `git revert`).
+  - **Экранирование на границе рендера, не в источнике (ADR-001 D1/D2, AC-1/AC-2):** новый модуль-локальный хелпер `_esc(x) = html.escape(str(x))` (never-raise → `""` на исключении) оборачивает каждое подставляемое **данные-значение** (категория D) ровно один раз в точке интерполяции в `render_task_tracker`/`_stage_line`: длительности (`_fmt_minutes`/`_capped_review_str`), статус-лейбл (`_card_status_label`), модель (`short_model_name`), эффорт (`_run_effort`), токены/стоимость (`fmt_tokens`/`fmt_cost`). Функции-источники остаются **HTML-агностичными** (данные, не разметка): `src/usage.py` и `_fmt_minutes` не тронуты — `_fmt_minutes` продолжает возвращать `"<1м"`, безопасность даёт escape на границе (`&lt;1м` рендерится оператору визуально идентично `<1м` → видимый формат не меняется).
+  - **Категория M (намеренная разметка) неприкосновенна (D5, AC-3):** кликабельный номер задачи `num_html` (`plane_issue_link`, внутри уже экранированы href+label), `link_for(...)` в строке «⏳ ждёт …», `_done_link(...)` («🔗 PR #n · 📦 Внедрено») и уже-экранированный `esc_title` через `_esc` **не** проходят → остаются валидным HTML, номер остаётся кликабельным. Двойное экранирование (`&amp;lt;`) структурно исключено: D-слот → `_esc` ровно один раз, M-слот → as-is.
+  - **Defence-in-depth (D3):** экранируются и сейчас-безопасные D-поля (токены/стоимость/модель дают только цифры/`.`/`k`/`M`/`$`/`^claude-…$`) — escape для них no-op, выгода — структурный инвариант «каждый D-слот экранирован», устойчивый к будущей смене формата источника.
+  - **Восстановление застрявших карточек (D4, AC-4):** механизм — достаточное условие FR-4 без нового кода: на ближайшем переходе стадии `update_task_tracker` рендерит новый безопасный текст → `edit_telegram` отвечает `200` → застрявшая карточка обновляется на месте. Переклассификация `can't parse entities` → переотправка **отвергнута** (после фикса источник из наших данных устранён структурно; касание ветки `EDIT_FAILED`/леджера рискует анти-дублем ORCH-087). Known-limitation (унаследовано ORCH-087/Telegram-48ч): карточка задачи, завершившейся до деплоя фикса, не восстанавливается (нет будущего рендера).
+  - **Трассировка:** перед правкой блоков, помеченных ORCH-042/067/087/091, прочитаны их ADR — инварианты (одна карточка на задачу, леджер сирот + анти-дубль, отражение откатов + суммирование `_stage_line`, строка Plane-статуса/кликабельный номер) сохранены по построению (ORCH-095 лишь оборачивает уже вычисленные D-значения в `_esc`, не меняя состав строк/порядок/логику подавления).
+  - Тесты: новый `tests/test_tracker_html_escape.py` (TC-01..TC-11: sub-minute escape на границе, never-raise `_fmt_minutes`/`_esc` на граничных входах, рендер sub-minute без сырого `<1м`, заголовок со спецсимволами без двойного экранирования, escape статус-лейбла/модели/эффорта, HTML-безопасность токенов/стоимости, регресс кликабельного `<a href>` номера и `_done_link`, parse-safe edit-payload, edit-in-place без новой карточки + анти-дубль на транзиентном фейле, never-raise на битых входах). Полный регресс `tests/ -q` зелёный (1437). ADR: `docs/work-items/ORCH-095/06-adr/ADR-001-html-safe-card-data-render.md`. Откат: `git revert` (один модуль + тесты + CHANGELOG, без миграций/kill-switch).
+- **Терминальная (done) задача держит `Done` в Plane: terminal-window-aware гард deploy-статусов** (ORCH-094, `fix`): задача с БД `stage=done` и 0 активных job'ов (верифицировано на ORCH-061, task 47) стабильно флаппила в Plane `Awaiting Deploy ⟷ Monitoring after Deploy` (273 активности парами, само не затихает) вместо `Done`. Корень: три deploy-фазовых сеттера (`set_issue_awaiting_deploy`/`set_issue_deploying`/`set_issue_monitoring`) **терминал-слепы** — любой стейл/двойной/неизвестный вызов под бот-токеном перезаписывает `Done` промежуточным deploy-статусом, и обратно, бесконечно. **Аддитивно, never-raise, под kill-switch, в зоне self-hosting:** `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / machine-verdict ключи (`deploy_status:`/`staging_status:`/…) / схема БД — **не тронуты** (читается существующая `tasks.stage`, без миграции).
+  - **Единый гард на низком чокпоинте (FR-2, D1/D2):** новый leaf `src/deploy_status_guard.py` (чистая, never-raise, config-gated логика; по образцу `serial_gate.py`/`labels.py`/`cancel.py`) — `decide(work_item_id, target, reason) -> ALLOW | CONVERGE_DONE | SUPPRESS`. Гард ставится на **входе** трёх сеттеров `plane_sync` (а не в caller'ах `stage_engine`) → перехватывает **любой** путь, включая неизвестный актор под бот-токеном. Предикат легитимности: deploy-статус легитимен ⇔ задача **нетерминальна** ИЛИ (`done` **И** активно пост-деплой-окно `post_deploy.window_active` = ARMED & не DONE). Для `done`: `monitoring`+окно-активно → `ALLOW`; иначе → `CONVERGE_DONE` (сеттер вместо PATCH'а зовёт `set_issue_done`, идемпотентно). `cancelled` → `SUPPRESS` (не штампуем поверх терминала ORCH-090). Нетерминальная задача → `ALLOW` (рабочий deploy-цикл 1:1, AC-4). Task не найден / не-self репо / kill-switch off / любое исключение → `ALLOW` (fail-safe к прежнему поведению 1:1, NFR-1).
+  - **Перенос арм-блока перед terminal-sync (D3, AC-4):** в `advance_stage` (ветка `next_stage=="done"`) блок `post_deploy.arm_monitor` перемещён **выше** блока `set_issue_monitoring` (стр. 404). Критично: `update_task_stage(task_id,"done")` пишет `stage='done'` **раньше** легитимного первого `Monitoring` — без переноса гард ошибочно свёл бы его к Done. Арм-первым пишет `ARMED` → `window_active==True` → `ALLOW` пропускает легитимный `Monitoring`; re-drive `deploy→done` **после** закрытия окна (`DONE` present) → `window_active==False` → `CONVERGE_DONE` (не воскрешает `Monitoring`). Перенос безопасен: `arm_monitor` лишь пишет sentinel + ставит отложенный job, не зависит от Plane-статуса/merge-lease (release остаётся после terminal-sync). Инварианты ORCH-021 (идемпотентный арм по `ARMED`) и ORCH-066 (`deploy→done` self ⇒ `Monitoring`) сохранены.
+  - **Харднинг пост-деплой-монитора (FR-3, D4, AC-3):** `run_post_deploy_monitor` — существующий идемпотентный страж `has_marker(DONE)` (no-op завершённого окна) сохранён; аддитивно: тик при БД `stage='cancelled'` мид-окно → закрыть окно `mark_done` **без статус-PATCH и без перепостановки** следующего тика (zombie-tick guard). Перепостановка остаётся строго при `HEALTHY and ticks < budget` (тик ≡ job; нет job → нет тика). После закрытия окна — 0 последующих статус-PATCH; любой стейл `set_issue_monitoring` добивается гардом D2.
+  - **Наблюдаемость (FR-4, D5, AC-5):** аддитивный BC-kwarg `reason: str | None = None` у трёх сеттеров; call-site'ы передают `"advance:deploy->done"`/`"phase_a"`/`"phase_b"`. `decide` эмитит ОДНУ структурную запись на вызов: `work_item`, `caller(reason)`, `target_status`, `db_stage`, `window_active`, `verdict` (`ALLOW` → INFO; `CONVERGE_DONE`/`SUPPRESS` → WARNING, «что подавили и почему» — атрибуция будущего флаппа). Новый read-only аксессор `db.get_task_by_work_item_id` (human-readable `work_item_id` матчит живой ряд; тумбстоны ORCH-090 имеют суффикс `#cancelled-<id>`).
+  - **Конфиг/откат (FR-5, D6):** `src/config.py` `deploy_status_guard_enabled: bool = True` (env `ORCH_DEPLOY_STATUS_GUARD_ENABLED`; `False` → сеттеры терминал-слепы, поведение **1:1** прежнее) / `deploy_status_guard_repos: str = ""` (env `ORCH_DEPLOY_STATUS_GUARD_REPOS`; CSV, **пусто → self-hosting only** — не-self репо (enduro) гард не трогает, нулевая регрессия). Откат: `ORCH_DEPLOY_STATUS_GUARD_ENABLED=false` (мгновенный runtime) или revert ветки.
+  - **Источник флаппа (BR-7):** code-писатели deploy-статусов — только `stage_engine.py:404/1218/1316`; реконсилятор F-2 эти статусы не перебирает; live-overlay `notifications.py` — read-only. Гард — **буфер на стороне орка**, гасящий маятник за один цикл независимо от актора (известный/стейл/неизвестный под бот-токеном). Если актор — внешняя Plane-automation под другим токеном, code-фикс не закрывает её полностью, но идемпотентное схождение к Done нейтрализует видимый эффект.
+  - **Трассировка:** перед правкой блока `next_stage=="done"` (маркеры ORCH-021/066/043/088) прочитаны их ADR — инварианты сохранены (deploy→done self ⇒ Monitoring; монитор-close ⇒ Done; терминал-набор `{done,cancelled}`). Тесты: `tests/test_deploy_status_terminal_guard.py` (TC-01..05/12), `tests/test_post_deploy_monitor_termination.py` (TC-06..08), `tests/test_deploy_status_observability.py` (TC-09), `tests/test_reconciler_done_deploy_convergence.py` (TC-10), `tests/test_self_deploy_cycle_regression.py` (TC-11). Обновлены анти-регресс-ассерты `tests/test_deploy_terminal_sync.py`/`test_deploy_approve.py` под `reason`-kwarg. Полный регресс `tests/ -q` зелёный (1411). ADR: `docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md`, сквозной `docs/architecture/adr/adr-0028-terminal-window-aware-deploy-status-guard.md`.
 - **Merge-актор ретраит транзиентные ошибки Gitea (405/5xx) + гард «ветка уже в `main`»** (ORCH-093, `fix`): две точечные доработки детерминированного merge-актора `src/merge_gate.py`, чинящие инцидент **ORCH-063**: self-deploy прошёл, staging OK, PR был `open`+`mergeable`, но `POST /pulls/{n}/merge` вернул `HTTP 405 "Please try again later"` (Gitea пересчитывал `mergeable` сразу после пуша) → one-shot `merge_pr` мгновенно вернул `False` → корректная защита ORCH-071/081 удержала задачу на `deploy` + потребовала ручной домерж; повторный прогон финализатора плодил мусорный пустой PR. **Аддитивно, never-raise, под существующими kill-switch'ами:** `STAGE_TRANSITIONS` / `QG_CHECKS` / схема БД — **не тронуты**; INV-4 (мерж только через Gitea PR-merge API, никогда `push`/`force-push` в `main`) сохранён 1:1.
   - **Retry-loop транзиента (FR-1/FR-2, AC-1/AC-2/AC-3, D1/D2):** `merge_pr` оборачивает **только** мутирующий `POST …/merge` в ограниченный retry-loop с экспоненциальным backoff (`min(base*2^(i-1), max)`, дефолты 2/5 с → суммарный сон `(N-1)*max ≤ 10 с`, monitor-поток не подвешивается). Классификатор `_classify_merge_response`: **транзиент** (ретрай) — `405`/`408`/любой `5xx`/`httpx`-таймаут/сетевая ошибка, **и** `409`/`422` когда PR всё ещё mergeable; **терминал** (быстрый честный `False`, защита ORCH-071/081 как прежде) — `403`/`404`/реальный конфликт (`409`/`422` при `mergeable==False`). Неоднозначный `409`/`422` разрешается доп. `GET /pulls/{index}` → `mergeable`; дефолт-политика `mergeable==None`/недоступно → **транзиент** (fail-OPEN-в-ретрай: икота Gitea — наблюдаемый кейс, бюджет конечен, backstop сохранён). Каждая попытка логируется `attempt i/N` (образец `check_ci_green`).
   - **Гард already-in-main (FR-3/FR-4, AC-4, D3/D4):** новый leaf `_branch_fully_in_main` (`git merge-base --is-ancestor HEAD origin/main` в per-branch worktree) вызывается в `ensure_open_pr` **между** «открытый code-PR не найден» и `POST …/pulls`: ветка целиком в `main` (нет коммитов `origin/main..HEAD`) → новый исход `"already-in-main"` **без создания PR** (нет мусорного пустого PR на уже влитой ветке). git-ошибка/ambiguous (`None`) → **fail-OPEN** (деградация на create-путь, НЕ ложный no-op). В `stage_engine._handle_merge_verify` исход `already-in-main` **пропускает** `merge_pr` (мержить нечего) и отдаёт авторитетному SHA-in-main (`verify_merged_to_main`) довести до `done`; это НЕ HOLD. SHA-in-main остаётся единственным доказательством мержа (ADR-0014).

CLAUDE.md

@@ -41,6 +41,8 @@ created → analysis → architecture → development → review → testing →
 ## Статусная модель Plane (ORCH-066) — индикация ≠ управление
 Статусы Plane — это **слой B (индикация)**, отдельный от **слоя A (машина стадий)** `src/stages.py::STAGE_TRANSITIONS`. Plane показывает наблюдателю осмысленную картину (`Backlog → Todo → Analysis → Architecture → Development → Code-Review → Testing → Awaiting Deploy → Deploying → Monitoring after Deploy → Done` + человеческие гейты `In Review/Approved`, `Confirm Deploy`), но НИКОГДА не управляет конвейером. Маппинг и сеттеры — `src/plane_sync.py` (6 новых ключей: `to_analyse/analysis/code_review/awaiting_deploy/deploying/monitoring`), с project-relative alias-fallback: на частично сконфигурированном проекте новый ключ деградирует на базовый UUID ТОГО ЖЕ проекта (нулевая регрессия для enduro-trails). Детали — `docs/architecture/README.md`.
 
+**Terminal-window-aware гард deploy-статусов (ORCH-094).** Задача с БД `stage=done` и 0 активных job'ов стабильно держит Plane=`Done`: три deploy-фазовых сеттера (`set_issue_awaiting_deploy`/`set_issue_deploying`/`set_issue_monitoring`) были терминал-слепы и флаппили `Awaiting ⟷ Monitoring` (верифицировано на ORCH-061, task 47), т.к. любой стейл/двойной/неизвестный вызов под бот-токеном перезаписывал терминал промежуточным статусом. Новый leaf `src/deploy_status_guard.py` (чистая, never-raise, config-gated; по образцу `serial_gate`/`labels`/`cancel`) — `decide(work_item_id, target, reason) -> ALLOW | CONVERGE_DONE | SUPPRESS` на **входе** трёх сеттеров `plane_sync` (низкий чокпоинт ловит любой путь, включая неизвестный актор). Инвариант: deploy-статус легитимен ⇔ задача **нетерминальна** ИЛИ (`done` И активно пост-деплой-окно `post_deploy.window_active` = ARMED & не DONE); иначе для `done` — идемпотентное `CONVERGE_DONE` (сеттер зовёт `set_issue_done`), для `cancelled` — `SUPPRESS`. Чтобы легитимный первый `Monitoring` (БД уже `done` к моменту стр. 404) прошёл, арм-блок `post_deploy.arm_monitor` **перенесён выше** terminal-sync-блока в `advance_stage` (ADR-001 D3) → `window_active==True` до выставления `Monitoring`. Монитор-тик при БД `cancelled` мид-окно → закрыть окно без статус-PATCH (zombie-tick guard, FR-3). Наблюдаемость: BC-kwarg `reason` у трёх сеттеров + одна структурная лог-запись на вердикт (`work_item`/`caller`/`target`/`db_stage`/`window_active`/`verdict`; converge/suppress → WARNING). Read-only аксессор `db.get_task_by_work_item_id`. Флаги `deploy_status_guard_enabled` (kill-switch; `False` → 1:1 прежнее) / `deploy_status_guard_repos` (CSV; **пусто → self-hosting only**, enduro не затронут). `STAGE_TRANSITIONS`/`QG_CHECKS`/`check_*`/machine-verdict/схема БД — не тронуты. Детали — `docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md`, сквозной `docs/architecture/adr/adr-0028-terminal-window-aware-deploy-status-guard.md`.
+
 ## Нотификации / Telegram live-tracker (ORCH-042/066/067/087)
 Каждая задача = **одна карточка** в Telegram (`src/notifications.py`). Поведение карточки:
 - **Дефолт `tracker_mode` — `bump`** (ORCH-067; `edit` доступен через `ORCH_TRACKER_MODE=edit`).

docs/architecture/adr/adr-0028-terminal-window-aware-deploy-status-guard.md

@@ -0,0 +1,96 @@
+---
+work_item: ORCH-094
+stage: architecture
+author_agent: architect
+status: proposed
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# adr-0028: Terminal-window-aware гард выставления deploy-фазовых статусов Plane
+
+Сквозной (cross-cutting) ADR. **Амендмент** к [adr-0010](adr-0010-post-deploy-monitor.md)
+(post-deploy monitor, ORCH-021) и Plane-статусной модели (ORCH-066): вводит инвариант
+«deploy-фазовые Plane-статусы — terminal-window-aware» поверх общих сеттеров `plane_sync` и
+переупорядочивает блок `next_stage == "done"` в `advance_stage`. Детальное решение задачи —
+`docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md`.
+
+> Регистрируется как сквозной, т.к. правит **общие** сеттеры `set_issue_awaiting_deploy`/
+> `set_issue_deploying`/`set_issue_monitoring` (используются системно) и трогает маркированный блок с
+> `ORCH-021`/`ORCH-066` (`docs/_standards/TRACEABILITY.md`).
+
+## Статус
+Proposed
+
+## Контекст
+
+Терминальная (`done`) задача в Plane **не держит `Done`**: непрерывный флапп
+`Awaiting Deploy ⟷ Monitoring after Deploy` (верифицировано живьём на **ORCH-061**, task 47, done с
+07.06 — 273 активности, само не затихает). Установлено по коду/логам/БД прода:
+
+- Три code-писателя deploy-фазовых статусов (`src/stage_engine.py:404/1218/1316`) делегируют в тонкие
+  сеттеры `src/plane_sync.py`, которые **БД-стадию не читают** ⇒ терминал-слепы: любой повторный вызов
+  перезаписывает `Done` обратно на промежуточный статус.
+- **Ordering:** `update_task_stage("done")` (`stage_engine.py:369`) пишет `tasks.stage='done'`
+  **раньше** легитимного `set_issue_monitoring` (стр. 404) ⇒ пост-деплой-окно ORCH-021 — by-design
+  индикация поверх уже-`done` задачи. Наивный гард «stage==done → Done» ⇒ регресс легитимного окна.
+- Актор всех 273 переходов — бот-токен орка (`daf4d3f4-…`), не привязан к активной task/job; в БД нет
+  активного post-deploy-monitor для task 47 (окно 15 мин закрыто). Реконсилятор F-1 пропускает
+  `done`/`cancelled`, F-2 опрашивает только `[to_analyse, approved, rejected]` ⇒ механизма привести
+  застрявшую на deploy-статусе done-задачу к `Done` нет.
+
+## Решение
+
+**Единый terminal-window-aware гард на низком чокпоинте** — на входе трёх deploy-фазовых сеттеров
+`plane_sync`. Чистую логику держит **новый leaf-модуль `src/deploy_status_guard.py`** (never-raise,
+config-gated; образец `serial_gate.py`/`labels.py`/`cancel.py`); сеттеры исполняют вердикт.
+
+- **Инвариант легитимности:** deploy-фазовый статус легитимен ⇔ задача **нетерминальна** ИЛИ
+  (`done` **И** активно пост-деплой-окно). Иначе — идемпотентное схождение к `Done`.
+  `decide(work_item_id, target) -> ALLOW | CONVERGE_DONE | SUPPRESS`:
+  kill-switch off / чужой issue / не-self репо / нетерминал → **ALLOW**; `cancelled` → **SUPPRESS**;
+  `done` + `target==monitoring` + `window_active` → **ALLOW**; `done` иначе → **CONVERGE_DONE**
+  (`set_issue_done`, идемпотентно); любое исключение → **ALLOW** + warning (never-raise).
+- **Новый helper** `post_deploy.window_active(repo, wi)` = `has_marker(ARMED) and not
+  has_marker(DONE)` (restart-safe).
+- **Перенос арм-блока** (`post_deploy.arm_monitor`) **перед** terminal-sync в блоке
+  `next_stage == "done"`: на стр. 404 `ARMED` уже записан ⇒ `window_active==True` ⇒ легитимный первый
+  `Monitoring` проходит; re-drive после закрытия окна сходится к `Done`.
+- **Харднинг монитора:** идемпотентный страж `has_marker(...DONE)` (ранний return без PATCH/реэнкью)
+  + тик no-op при `cancelled` мид-окно; тики привязаны к активному job'у (нет job → нет тика).
+- **Наблюдаемость:** каждый вердикт логируется (`work_item`/`caller`/`target`/`db_stage`/
+  `window_active`/вердикт); подавление/схождение — явно.
+- **Флаги** (`config.py`): `deploy_status_guard_enabled=True`
+  (`ORCH_DEPLOY_STATUS_GUARD_ENABLED`, kill-switch → 1:1) + `deploy_status_guard_repos=""`
+  (`ORCH_DEPLOY_STATUS_GUARD_REPOS`, пусто → self-hosting only) с локальным `applies(repo)`.
+
+## Альтернативы
+
+- **Гард в caller'ах `stage_engine`** — отвергнуто: не ловит неизвестный/стейл путь под бот-токеном,
+  размазывает инвариант.
+- **Наивный «stage==done → Done» без предиката окна** — отвергнуто: регресс легитимного `Monitoring`.
+- **Bypass-флаг на доверенном вызове 404** — отвергнуто в пользу переноса арм-блока (один предикат).
+- **Активная сходимость в реконсиляторе F-2** — отвергнуто как основной механизм (лишний polling,
+  правка маркированного F-2); гард на сеттере гасит непрерывный флапп.
+
+## Последствия
+
+- Терминальная задача стабильно держит `Done`; маятник гаснет за один цикл независимо от актора.
+- Легитимный пост-деплой `Monitoring` и рабочий self-deploy-цикл — 1:1 (предикат окна + перенос арм).
+- `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / machine-verdict ключи / схема БД — **не тронуты**.
+- `main`/force-push/прод-контейнер/detached-деплой — не тронуты; не-self репо инертны.
+- Ограничение: если актор флаппа — внешняя Plane-automation (вне кода орка), гард — буфер на стороне
+  орка; локализация (FR-1) и итог документируются (BR-7).
+- **Откат:** `ORCH_DEPLOY_STATUS_GUARD_ENABLED=false` → поведение 1:1; полный — revert ветки.
+
+## Связи
+
+- [adr-0010](adr-0010-post-deploy-monitor.md) (ORCH-021 — пост-деплой-окно, sentinel `armed`/`done`,
+  арм-блок) — амендмент: окно становится предикатом легитимности `Monitoring`.
+- ORCH-066 (Plane-статусная модель — слой B индикации; `deploy→done` self ⇒ `Monitoring`) — инвариант
+  сохранён.
+- [adr-0026](adr-0026-stop-cancel-task.md) (ORCH-090 — терминал `cancelled`) — гард не штампует
+  deploy-статус поверх `cancelled`.
+- ORCH-068/086 (терминал-скип реконсилятора) — этот ADR распространяет идею терминал-aware на
+  выставление deploy-статусов.
+- Детально: `docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md`.

docs/architecture/internals.md

@@ -142,6 +142,8 @@ claude.exe --print  --system-prompt  --allowedTools Read,Write,Edit,Bash
 
 **Кликабельный номер задачи (ORCH-067).** Номер в заголовке карточки И во всех уведомлениях орка, где упоминается `work_item_id`, — HTML-ссылка на issue в Plane через общий `plane_issue_link` / `link_for` (URL строит `_plane_issue_url` с loopback/workspace/project-гардами, переиспользуя резолв ORCH-017). Fail-safe: при нехватке любого из (web-base/не-loopback, workspace, project_id, plane_issue_id) → `html.escape(work_item_id)` без `<a>`; динамические части экранируются, `<a>`-разметка валидна под `parse_mode=HTML`. Алерты `stage_engine`/`launcher`/`security_gate`/`reconciler` переведены на `link_for` (резолвит `repo`+`plane_issue_id` из БД по `task_id` или `work_item_id`).
 
+**HTML-безопасность данных карточки (ORCH-095).** Текст карточки шлётся с `parse_mode=HTML` и собирается из слотов двух категорий: **markup** (намеренная разметка — `num_html`/`plane_issue_link`, `link_for(...)`, `_done_link(...)`, уже-экранированный `esc_title`) и **data** (подставляемые значения — длительности `_fmt_minutes`/`_capped_review_str`, статус-лейбл `_card_status_label`, имя модели `short_model_name`, эффорт `_run_effort`, токены/стоимость `fmt_tokens`/`fmt_cost`). Инвариант: **каждый data-слот экранируется `html.escape` ровно один раз на границе рендера** (`render_task_tracker`/`_stage_line`); функции-источники остаются HTML-агностичными, markup-слоты не экранируются (двойное экранирование запрещено). Это устранило класс «неэкранированные данные в HTML-тексте»: до фикса `_fmt_minutes(<60s)` возвращал литерал `<1м`, который Telegram парсил как открывающий тег → `editMessageText` `400 can't parse entities` → `EDIT_FAILED` → ранний `return` (анти-дубль ORCH-087) → карточка застывала (инцидент ORCH-093). `_fmt_minutes` по-прежнему возвращает `<1м` — escape на границе (`&lt;1м`) рендерит его визуально идентично; формат не меняется. Застрявшая (в окне) карточка авто-восстанавливается следующим безопасным рендером; `edit_telegram`/`update_task_tracker`/леджер сирот/режимы `bump`/`edit` не тронуты. Детали — [ORCH-095 ADR-001](../work-items/ORCH-095/06-adr/ADR-001-html-safe-card-data-render.md).
+
 ## Database Schema
 
 ```sql

docs/work-items/ORCH-093/14-deploy-log.md

@@ -0,0 +1,12 @@
+---
+deploy_status: SUCCESS
+work_item: ORCH-093
+hook_exit_code: 0
+deployed_by: deploy-finalizer
+---
+
+# Deploy log — ORCH-036 executable self-deploy
+
+Прод-деплой завершён хост-хуком с exit-code `0` -> `deploy_status: SUCCESS`.
+
+Вердикт зафиксирован детерминированным finalizer'ом (Фаза C), не LLM.

docs/work-items/ORCH-094/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: BUG: терминальная (done) задача флаппит deploy-статусы в Plane (Awaiting↔Monitoring), не держит Done
+
+Work Item ID: ORCH-094
+
+## Description
+
+TBD

docs/work-items/ORCH-094/01-brd.md

@@ -0,0 +1,155 @@
+---
+work_item: ORCH-094
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 01 — BRD (бизнес-требования): ORCH-094 — терминальная (done) задача флаппит deploy-статусы в Plane (Awaiting↔Monitoring), не держит Done
+
+Work Item: **ORCH-094** · Repo: **orchestrator** · Стадия: analysis
+
+## 1. Бизнес-контекст и проблема
+
+**Тип:** BUG — рассинхрон БД↔Plane / «зомби»-цикл post-deploy-статуса (self-hosting).
+
+**Симптом (верифицирован живьём 09.06 на ORCH-061):**
+Задача ORCH-061 в БД оркестратора = `done` с 07.06 (task 47; фикс задеплоен в прод; конвейер её
+не трогает — 0 активных job'ов). При этом карточка задачи в **Plane не держит Done**: непрерывно
+флаппит `Monitoring after Deploy ⟷ Awaiting Deploy` парами (туда-обратно за ~2 сек), каждые
+несколько минут. Накоплено 273 активности. Доходило до абсурда: 09.06 14:56 встала в `Done` →
+15:48 её выдернуло обратно `Done → Awaiting Deploy`. Воспроизводится детерминированно: ручной
+sync 061→Done (PATCH 200, 16:47) → через ~60 сек снова `Done → Awaiting Deploy → Monitoring`
+(16:48). Само **не затихает**.
+
+**Установленные факты (по логам/БД прода + чтение кода ветки):**
+- **Сам оркестратор не инициирует переходы из своих штатных стадийных обработчиков для done-задачи.**
+  В момент флаппа лог орка показывает только **входящие** webhook-и Plane
+  (`issue … updated to state … (Awaiting Deploy) → no pipeline action`, затем `(Monitoring) →
+  no pipeline action`). Обработчик `webhooks/plane.py::handle_issue_updated` для статусов
+  Awaiting/Monitoring логирует «no pipeline action» и **сам статус не переотправляет** (echo-loop
+  обработчика исключён).
+- **Actor всех 273 переходов** = `daf4d3f4-55df-4016-9095-0cf9ddd8fd28` — бот-актор оркестратора
+  (тот же токен, под которым орк делает гигиену доски / sync). То есть PATCH-и шлёт **что-то под
+  токеном орка**, не привязанное к активной task/job в БД.
+- В БД орка **нет активного post-deploy-monitor** для task 47 (pdm активен только у текущей
+  063/task 74). `orchestrator-staging` (8501) — не источник (task 061 в его БД отсутствует).
+- В коде ветки **единственные три писателя** deploy-статусов — `src/stage_engine.py`:
+  `set_issue_monitoring` (строка 404, на переходе `deploy → done` для self-hosting),
+  `set_issue_awaiting_deploy` (строка 1218, Phase A), `set_issue_deploying` (строка 1316, Phase B).
+  Все три — **внутри стадийных обработчиков** (`advance_stage` / `_handle_self_deploy_phase_*`),
+  ни один не сидит в фоновом цикле, независимом от таблицы `jobs`.
+- `notifications.py::_live_plane_branch_override` **только читает** живой Plane-статус (для рендера
+  карточки) — писателем не является.
+- Реконсилятор: F-1 пропускает задачи со `stage in ('done','cancelled')` (terminal-skip ORCH-086);
+  F-2 опрашивает issue **только** в статусах `[to_analyse, approved, rejected]` — статусы
+  `Monitoring`/`Awaiting` он не перебирает. **Механизма «привести done-задачу, застрявшую на
+  deploy-статусе, обратно к Done» (идемпотентного схождения) — нет.**
+
+**Боль:** карточка вводит наблюдателя в заблуждение («задача деплоится», хотя она в проде и done),
+шумит активностью (273 события на одной задаче), **вечно жжёт API-вызовы Plane** флаппом и
+маскирует реальное состояние доски. Конвейер технически не нарушен (задача в проде), поэтому
+приоритет **MEDIUM**, но дефект бессрочный и самовоспроизводящийся.
+
+**Родственные задачи:** ORCH-091 (врущие/застывшие статусы карточки), ORCH-068/086 (терминал-скип
+как защита инвариантов). ORCH-094 распространяет идею терминал-скипа на deploy-статусы и закрывает
+источник флаппа.
+
+## 2. Объём (scope)
+
+### В объёме
+- **G1 — устранить источник** PATCH-ей deploy-статуса на задачу, у которой в БД `stage=done` и нет
+  активного job'а. Терминальная (done) задача в Plane должна стабильно держать `Done` и не получать
+  `Awaiting`/`Monitoring`.
+- **G2 — идемпотентность sync/setter'ов:** если БД=`done`, любой sync/монитор/реконсилятор/прямой
+  вызов приводит Plane к `Done` (не к промежуточному deploy-статусу) — терминал-скип/схождение,
+  распространённые на статусы `Monitoring`/`Awaiting` (как ORCH-068/086 для других статусов).
+- **G3 — детерминированный конец post-deploy-monitor:** монитор завершается чётко (HEALTHY / N тиков
+  → Done) и не оставляет «зомби»-таймеров, переживающих завершение задачи/рестарт; тики монитора
+  привязаны к активному job'у в БД (нет job → нет тиков, нет статус-PATCH).
+- **G4 — наблюдаемость:** лог однозначно показывает, **кто и почему** ставит deploy-статус
+  (caller/функция + причина), для будущей диагностики таких флаппов.
+- Инструментальная локализация фактического актора флаппа на проде (воспроизведение на 061) и его
+  документирование (что это было) — в рамках выполнения задачи (developer/architect).
+
+### Вне объёма
+- Изменение конвейера стадий (`STAGE_TRANSITIONS`), состава `QG_CHECKS`, семантики machine-verdict
+  ключей (`deploy_status:`/`staging_status:`/…) — **не трогать**.
+- Изменение рабочего deploy-цикла для **реально деплоящейся** задачи (Phase A→B→C, post-deploy
+  HEALTHY-окно) — поведение должно сохраниться 1:1 (регресс, AC-4).
+- Поведение для не-self-hosting репозиториев (enduro-trails) — нулевая регрессия.
+- Архитектурное решение «где именно поставить гард» (на уровне setter'а в `plane_sync` vs на уровне
+  вызывающего в `stage_engine` vs реконсилятор) — определяет **архитектор** в `06-adr/`.
+
+## 3. Заинтересованные стороны
+
+- **Заказчик/репортёр:** Слава (владелец) — обнаружил на ORCH-061 09.06.
+- **Затрагивает:** всех наблюдателей доски Plane проекта ORCH (ложная индикация); лимиты Plane API
+  (вечный флапп жжёт вызовы под общим бот-токеном).
+- **Принимает результат:** Owner / CI на финальной стадии конвейера.
+- **Особый риск:** self-hosting — правка идёт в инструмент, обслуживающий прод всех проектов из
+  общего инстанса; рабочий deploy-цикл нельзя сломать.
+
+## 4. Бизнес-требования (BR)
+
+- **BR-1** — Терминальная задача (БД `stage=done`, 0 активных job'ов), выставленная в Plane=`Done`,
+  **остаётся `Done`** и не получает авто-переходов в `Awaiting Deploy`/`Monitoring after Deploy`.
+- **BR-2** — Любой источник синхронизации (реконсилятор, монитор, прямой вызов setter'а deploy-статуса)
+  для задачи с БД=`done` приводит Plane к **`Done` идемпотентно**, а не к промежуточному deploy-статусу;
+  повторные срабатывания не качают маятник.
+- **BR-3** — Post-deploy-monitor имеет **детерминированный конец** (HEALTHY / исчерпание N тиков → Done,
+  или DEGRADED → Blocked+freeze) и после завершения **не производит ни одного** последующего
+  статус-PATCH для этой задачи; не оставляет таймера/состояния, переживающего завершение или рестарт.
+- **BR-4** — Тики post-deploy-monitor **привязаны к активному job'у** в таблице `jobs`: нет активного
+  job'а для задачи → нет тиков → нет статус-PATCH. «Зомби»-монитор (тики без соответствующего активного
+  job'а) исключён.
+- **BR-5** — Для **реально деплоящейся** задачи (063-подобной) deploy-окно
+  `Awaiting → Deploying → Monitoring → Done` работает в точности как раньше (нет регресса).
+- **BR-6** — Каждый вызов, выставляющий deploy-статус, оставляет в логе однозначную запись **кто
+  (функция/путь) и почему** ставит статус (наблюдаемость для будущей диагностики флаппов).
+- **BR-7** — Фактический источник флаппа на проде локализован и **задокументирован** (что это было)
+  в `06-adr/` и/или `CHANGELOG.md`.
+
+## 5. Нефункциональные требования (NFR)
+
+- **NFR-1 — never-raise:** вся новая логика (гарды/терминал-скип/идемпотентность) не бросает
+  исключений в горячих путях; сетевая ошибка Plane при сверке статуса → безопасная деградация
+  (не флаппить и не падать), а не блокировка конвейера всех проектов.
+- **NFR-2 — self-hosting безопасность:** не перезапускать/не ронять прод-контейнер; не трогать
+  `main`/force-push/прод-деплой; правка не меняет рабочий критический путь self-deploy.
+- **NFR-3 — обратимость:** поведение под kill-switch (или иным обратимым флагом) — при выключении
+  возврат к прежнему поведению; нулевая регрессия для не-self репозиториев.
+- **NFR-4 — restart-safe:** состояние монитора/гардов корректно после рестарта контейнера (нет
+  «воскрешения» тиков для уже завершённой задачи).
+- **NFR-5 — `pytest tests/ -q` зелёный**; `STAGE_TRANSITIONS` / `QG_CHECKS` / machine-verdict ключи /
+  схема БД (если без миграции) — без изменений или строго аддитивно.
+
+## 6. Допущения и ограничения
+
+- Допущение: статусы `Monitoring after Deploy` / `Awaiting Deploy` существуют в Plane-проекте ORCH
+  как реальные статусы (иначе alias-fallback маппит их на базовые UUID — это часть диагностики
+  терминал-детекта).
+- Допущение: бот-токен орка (`daf4d3f4-…`) — единственный актор переходов; внешняя Plane-automation
+  под другим токеном считается отдельной гипотезой и проверяется при локализации (H-внешнее).
+- Ограничение: установленные факты выше **не изобретать** — они верифицированы на проде; точный
+  актор флаппа требует инструментального воспроизведения (фикс — после локализации).
+- Ограничение: правка строго в зоне self-hosting deploy/post-deploy/sync; конвейер и гейты неизменны.
+
+## 7. Критерии успеха
+
+Терминальная задача стабильно держит `Done` ≥10 мин без авто-переходов (AC-1); любой sync для done
+идемпотентно сходится к `Done` (AC-2); post-deploy-monitor завершается детерминированно и не
+оставляет тиков/таймеров (AC-3); рабочий deploy-цикл 063-подобной задачи не регрессирует (AC-4);
+never-raise + зелёный pytest + источник флаппа задокументирован (AC-5). Детальные PASS/FAIL — в
+`03-acceptance-criteria.md`.
+
+## 8. Риски
+
+- Гард терминал-скипа поставлен слишком широко → подавит легитимный `Monitoring` у реально
+  деплоящейся задачи (регресс AC-4). Митигировать тонкой привязкой к БД `stage=done` + активность job.
+- Фактический актор флаппа окажется внешней Plane-automation (вне кода орка) → код-фикс не закроет
+  G1 полностью; нужно зафиксировать в ADR и, при необходимости, защититься идемпотентным схождением
+  к Done (BR-2) как буфером.
+- Детали — `10-tech-risks.md` (заполняет архитектор).

docs/work-items/ORCH-094/02-trz.md

@@ -0,0 +1,129 @@
+---
+work_item: ORCH-094
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 02 — ТЗ (TRZ): ORCH-094 — устранение флаппа deploy-статусов у терминальной (done) задачи
+
+Work Item: **ORCH-094** · Repo: **orchestrator** · Стадия: analysis
+
+> ТЗ описывает **конкретные изменения к реализации**, выведенные из BRD и фактического кода ветки.
+> Архитектурное обоснование (ГДЕ ставить гард: setter `plane_sync` vs caller `stage_engine` vs
+> реконсилятор) — задача архитектора (`06-adr/`). Здесь — ЧТО должно выполняться и ГДЕ искать.
+
+## 1. Сводка изменения
+
+Задача с БД `stage=done` и 0 активных job'ов в Plane стабильно держит `Done`: нужно (а) закрыть
+источник, который шлёт ей PATCH-и deploy-статусов (`Awaiting Deploy`/`Monitoring after Deploy`),
+(б) сделать выставление любого **deploy-фазового** статуса **терминал-aware / идемпотентным** —
+для задачи, чья БД-стадия терминальна (`done`/`cancelled`), любой sync/монитор/прямой вызов
+сходится к `Done`, а не к промежуточному статусу, (в) гарантировать детерминированный конец
+post-deploy-monitor с привязкой тиков к активному job'у (нет job → нет тиков), (г) добавить
+наблюдаемость «кто/почему ставит deploy-статус».
+
+Изменение **аддитивное, под обратимым флагом, never-raise**, в зоне self-hosting deploy/post-deploy/sync.
+`STAGE_TRANSITIONS` / `QG_CHECKS` / machine-verdict ключи — **не трогаются**.
+
+## 2. Задействованные модули / пути
+
+| Путь | Действие | Зачем |
+|------|----------|-------|
+| `src/plane_sync.py` | изменить | Сеттеры `set_issue_awaiting_deploy` (~954), `set_issue_deploying` (~964), `set_issue_monitoring` (~974), `set_issue_done` (~913) — кандидат на единый терминал-aware гард (FR-2). Терминал-детект статуса (группа/UUID, ORCH-068) уже здесь. |
+| `src/stage_engine.py` | изменить | Три писателя deploy-статуса: `advance_stage` стр. 404 (`set_issue_monitoring` на `deploy→done`), `_handle_self_deploy_phase_a` стр. 1218, `_handle_self_deploy_phase_b` стр. 1316. `run_post_deploy_monitor` (~1698–1850) — детерминированный конец, привязка к job. `arm_monitor`-вызов (~431). Логирование caller/причины (FR-4). |
+| `src/post_deploy.py` | изменить (вероятно) | `arm_monitor` (~388–411), маркеры `armed`/`series`/`done`, `enqueue_job("post-deploy-monitor", …)` — гарантия отсутствия «зомби»-тиков и привязки к активному job (FR-3). |
+| `src/reconciler.py` | изменить (вероятно) | F-2 опрашивает только `[to_analyse, approved, rejected]` (стр. ~387). Нет схождения «done-задача на deploy-статусе → Done». Добавить идемпотентное схождение/терминал-детект для deploy-статусов (FR-1/FR-2) ИЛИ убедиться, что гард в setter'е делает это излишним. |
+| `src/config.py` | изменить | Kill-switch/флаг новой логики (FR-5). |
+| `src/webhooks/plane.py` | прочитать (диагностика) | `handle_issue_updated` (~129–180): подтверждено, что для `Awaiting`/`Monitoring` логирует «no pipeline action» и не переотправляет — echo-loop исключён; править не требуется (если локализация не покажет иное). |
+| `tests/test_*` | создать/изменить | Анти-регресс по FR-1…FR-5 (см. `04-test-plan.yaml`). |
+| `CHANGELOG.md`, `docs/architecture/README.md`, `CLAUDE.md` | изменить | Документация = golden source; зафиксировать фикс + локализованный источник флаппа (BR-7). |
+
+> **Трассировка маркеров (CLAUDE.md прав. 9):** перед правкой строк с маркерами `ORCH-066`/`ORCH-068`/
+> `ORCH-086`/`ORCH-036`/`ORCH-059`/`ORCH-071`/`ORCH-088` прочитать их `06-adr/` и не сломать инвариант
+> (особенно: deploy→done ставит `Monitoring`, монитор-close ставит `Done`; терминал-скип реконсилятора;
+> post-deploy DEGRADED → freeze ORCH-088).
+
+## 3. Функциональные требования
+
+### FR-1 — Источник флаппа локализован и устранён
+Инструментально воспроизвести флапп на ORCH-061 (или эквивалентной терминальной задаче), определить
+**фактического актора** (функция/путь под бот-токеном орка ИЛИ внешняя Plane-automation) и устранить
+его так, чтобы терминальная задача не получала deploy-статус-PATCH-ей.
+- Зацепки (BR diagnostics): единственные code-писатели — `stage_engine.py:404/1218/1316`; реконсилятор
+  F-1 done-skip есть, F-2 эти статусы не перебирает; live-overlay `notifications.py` — read-only.
+- Если актор — внешняя Plane-automation (вне кода орка), это **фиксируется в ADR** (BR-7) и закрывается
+  буфером FR-2 (идемпотентное схождение к Done гасит маятник на стороне орка).
+- Привязка: BR-1, BR-7.
+
+### FR-2 — Терминал-aware идемпотентность выставления deploy-статуса
+Любая попытка выставить **deploy-фазовый** статус (`Awaiting Deploy`/`Deploying`/`Monitoring after
+Deploy`) для задачи, чья БД-стадия **терминальна** (`stage IN ('done','cancelled')`), должна вместо
+этого привести Plane к `Done` (для `done`) либо к корректному терминалу (для `cancelled`) —
+идемпотентно. Повторные вызовы не качают маятник: уже-`Done` → no-op.
+- Гард — терминал-aware (по БД-стадии задачи, не по живому Plane-статусу), чтобы НЕ подавлять
+  легитимный `Monitoring` у реально деплоящейся (нетерминальной) задачи (BR-5/AC-4).
+- Реализация-кандидат (решает архитектор): единая точка в setter'ах `plane_sync` (требует доступа к
+  БД-стадии по `work_item_id`) ИЛИ в caller'ах `stage_engine`/`reconciler`. ТЗ требует **результат**:
+  done-задача сходится к Done из любого пути.
+- never-raise: невозможность определить стадию/сетевая ошибка → безопасная деградация (не флаппить).
+- Привязка: BR-1, BR-2.
+
+### FR-3 — Детерминированный конец post-deploy-monitor + привязка тиков к активному job
+- Монитор завершается детерминированно: HEALTHY+исчерпание `post_deploy_budget` тиков → `set_issue_done`
+  + маркер `done`; DEGRADED → штатный путь (Blocked/freeze ORCH-088); после завершения — **ни одного**
+  последующего статус-PATCH (маркер `done` — идемпотентный страж, ~стр. 1729).
+- Тик монитора **обязан** проверять, что задача не терминальна и для неё есть основание тикать (нет
+  активного основания/job → тик no-op, новый тик не ставится в очередь). «Зомби»-тик (тик без
+  соответствующего активного job'а/при БД=done) → немедленный no-op без статус-PATCH.
+- Гарантировать, что `arm_monitor` не может быть вызван/перезапущен для задачи, уже находящейся в `done`,
+  способом, который заново ставит `Monitoring` (повторный `deploy→done` re-drive).
+- restart-safe: после рестарта контейнера нет воскрешения тиков для завершённого окна.
+- Привязка: BR-3, BR-4, NFR-4.
+
+### FR-4 — Наблюдаемость выставления deploy-статуса
+Каждый вызов, выставляющий deploy-фазовый статус, логирует структурно: **work_item, caller
+(функция/путь), целевой статус, причина/триггер, БД-стадия задачи на момент вызова**. Достаточно,
+чтобы по логу однозначно определить «кто и почему» при будущем флаппе. Терминал-aware-подавление
+(FR-2) тоже логируется (что подавили и почему).
+- Привязка: BR-6, G4.
+
+### FR-5 — Обратимость и совместимость
+- Новая логика — под kill-switch/флагом в `config.py` (env-override); `False` → прежнее поведение
+  1:1 (нулевая регрессия).
+- Условность self-hosting, как ORCH-035/036/043/088: для не-self репозиториев — no-op / прежнее
+  поведение.
+- Привязка: NFR-3, BR-5.
+
+## 4. Изменения API
+
+Нет новых внешних эндпоинтов конвейера. Допустимо (на усмотрение архитектора) аддитивное read-only
+поле наблюдаемости в `GET /queue` (напр. блок `post_deploy`/`deploy_status_guard` со счётчиками
+подавлений), по образцу существующих блоков `serial_gate`/`reconcile`/`reaper`. Не обязательно.
+
+## 5. Изменения схемы БД
+
+Ожидается **без миграции схемы**: терминал-aware гард читает существующую `tasks.stage`; привязка
+тиков к job — существующая таблица `jobs`; состояние монитора — существующие sentinel-файлы
+(`post_deploy.py`). Если архитектор сочтёт необходимым durable-счётчик/маркер — строго аддитивно
+(`_ensure_column`, по образцу ORCH-088/090), без изменения существующих колонок.
+
+## 6. Требования к новым/изменённым QG checks
+
+**Нет.** `QG_CHECKS` и `check_*` (включая `check_deploy_status`/`check_staging_status`) — **не
+трогаются**; machine-verdict ключи (`deploy_status:`/`staging_status:`/…) — байт-в-байт. ORCH-094 —
+фикс индикации/идемпотентности sync, не гейт.
+
+## 7. Совместимость / регресс
+
+- **Kill-switch** (FR-5): выключение → прежнее поведение 1:1.
+- **Регресс деплоя (AC-4):** рабочий цикл 063-подобной задачи `Awaiting→Deploying→Monitoring→Done`
+  сохраняется — гард срабатывает строго на терминальной БД-стадии, нетерминальная задача проходит
+  как раньше.
+- **Не-self репозитории:** условность self-hosting → нулевая регрессия (enduro-trails).
+- **`STAGE_TRANSITIONS`/`QG_CHECKS`/machine-verdict/схема БД** — без изменений (или строго аддитивно).
+- **never-raise / self-hosting безопасность:** не трогать `main`/force-push/прод-контейнер/детач-деплой.
+- **Артефакты pipeline:** обновляются `CHANGELOG.md`, обзорные доки (`README.md`/`docs/architecture/
+  README.md`), `CLAUDE.md`; `06-adr/ADR-NNN-…` с локализованным источником флаппа (BR-7).

docs/work-items/ORCH-094/03-acceptance-criteria.md

@@ -0,0 +1,94 @@
+---
+work_item: ORCH-094
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 03 — Критерии приёмки (Acceptance Criteria): ORCH-094 — флапп deploy-статусов у терминальной (done) задачи
+
+Work Item: **ORCH-094** · Repo: **orchestrator** · Стадия: analysis
+
+Формат: каждый критерий имеет **PASS** (что должно быть истинно для приёмки) и **FAIL** (что
+считается провалом). Reviewer/CI проверяет их буквально по файлам репозитория и/или прод-проверкой.
+
+---
+
+## AC-1 — Терминальная задача стабильно держит Done
+
+**Условие:** задача с БД `stage=done` и 0 активных job'ов, выставленная в Plane=`Done`, наблюдается
+≥10 минут (воспроизводящий тест на 061-подобной фикстуре и/или прод-проверка на ORCH-061).
+- **PASS:** за окно наблюдения **ни одного** авто-перехода в `Awaiting Deploy`/`Monitoring after
+  Deploy`; статус остаётся `Done`. В тесте: после выставления `Done` ни один кодовый путь орка не
+  порождает PATCH deploy-статуса для этой задачи.
+- **FAIL:** зафиксирован хотя бы один авто-переход done-задачи в `Awaiting`/`Monitoring`, либо флапп
+  продолжается.
+
+---
+
+## AC-2 — Идемпотентное схождение к Done для done-задачи
+
+**Условие:** для задачи с БД `stage IN ('done','cancelled')` инициируется любой источник sync
+(реконсилятор-тик, монитор-тик, прямой вызов setter'а deploy-статуса).
+- **PASS:** результат — `Done` (для `done`) / корректный терминал (для `cancelled`); промежуточный
+  deploy-статус (`Awaiting`/`Deploying`/`Monitoring`) **не** выставляется; повторный вызов на
+  уже-`Done` — no-op (без PATCH-маятника). Подавление логируется (что/почему).
+- **FAIL:** sync для done-задачи выставляет промежуточный deploy-статус, либо повторные вызовы
+  качают `Done ⟷ deploy-статус`.
+
+---
+
+## AC-3 — Детерминированный конец post-deploy-monitor, без «зомби»-тиков
+
+**Условие:** post-deploy-monitor отрабатывает свой жизненный цикл (HEALTHY до исчерпания
+`post_deploy_budget` тиков, либо DEGRADED).
+- **PASS:** по достижении HEALTHY/N-тиков → `set_issue_done` + маркер `done`; **после завершения —
+  0 последующих статус-PATCH** для этой задачи (тест: монитор отработал → последующих
+  `set_issue_*`-вызовов нет). Тик при БД=`done`/отсутствии активного основания → немедленный no-op
+  без PATCH. После рестарта контейнера тики завершённого окна не воскресают.
+- **FAIL:** после завершения монитора фиксируется хотя бы один статус-PATCH; либо «зомби»-тик
+  выполняется без активного job'а/при БД=done и шлёт статус; либо `arm_monitor` повторно ставит
+  `Monitoring` уже-done-задаче.
+
+---
+
+## AC-4 — Регресс: рабочий deploy-цикл реально деплоящейся задачи
+
+**Условие:** реально деплоящаяся 063-подобная задача проходит self-deploy.
+- **PASS:** последовательность статусов `Awaiting Deploy → Deploying → Monitoring after Deploy →
+  Done` работает в точности как до ORCH-094; Phase A/B/C, merge-gate, post-deploy HEALTHY-окно,
+  freeze-на-DEGRADED (ORCH-088) — не затронуты; терминал-aware гард (FR-2) **не** подавляет
+  легитимный `Monitoring` у нетерминальной задачи.
+- **FAIL:** любой шаг рабочего deploy-цикла нетерминальной задачи изменён/подавлён/сломан.
+
+---
+
+## AC-5 — Наблюдаемость, безопасность, документация, зелёный pytest
+
+**Условие:** реализация завершена.
+- **PASS:**
+  - Лог однозначно показывает **кто (функция/путь) и почему** ставит deploy-статус, и что/почему
+    подавлено терминал-aware гардом (FR-4).
+  - never-raise: новая логика не бросает исключений в горячих путях; сетевая ошибка Plane → безопасная
+    деградация. Не трогаются `main`/force-push/прод-контейнер/детач-деплой.
+  - `STAGE_TRANSITIONS` / `QG_CHECKS` / machine-verdict ключи — без изменений; новая логика под
+    kill-switch (`False` → прежнее поведение 1:1); не-self репозитории не затронуты.
+  - `pytest tests/ -q` зелёный; добавлены тесты по `04-test-plan.yaml`.
+  - **Источник флаппа задокументирован** (что это было) в `06-adr/ADR-NNN-…` + `CHANGELOG.md`;
+    обновлены `CLAUDE.md` / `docs/architecture/README.md` (golden source).
+- **FAIL:** нет логирования caller/причины; new-логика бросает/без флага; тронуты гейты/verdict-ключи;
+  красный pytest; источник флаппа не задокументирован; затронут не-self репозиторий.
+
+---
+
+## Сводная матрица AC ↔ FR/BR
+
+| AC | Покрывает |
+|----|-----------|
+| AC-1 | BR-1 / FR-1 |
+| AC-2 | BR-2 / FR-2 |
+| AC-3 | BR-3, BR-4 / FR-3 |
+| AC-4 | BR-5 / FR-2, FR-5 |
+| AC-5 | BR-6, BR-7 / FR-4, FR-5, NFR-1…NFR-5 |

docs/work-items/ORCH-094/04-test-plan.yaml

@@ -0,0 +1,97 @@
+work_item: ORCH-094
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+title: "Тест-план: терминальная (done) задача не флаппит deploy-статусы, держит Done"
+framework: pytest
+scope: >
+  Покрывается: терминал-aware идемпотентность выставления deploy-статусов
+  (Awaiting/Deploying/Monitoring) для задач с БД stage=done/cancelled; детерминированный
+  конец post-deploy-monitor и отсутствие "зомби"-тиков/статус-PATCH после завершения;
+  привязка тиков монитора к активному job; наблюдаемость caller/причины; обратимость
+  (kill-switch) и регресс рабочего deploy-цикла реально деплоящейся задачи.
+  Вне покрытия: изменение STAGE_TRANSITIONS/QG_CHECKS/machine-verdict ключей (не трогаются);
+  поведение не-self репозиториев (проверяется как нулевая регрессия). Точный актор флаппа на
+  проде локализуется инструментально (developer) и фиксируется в ADR — на это отдельный
+  smoke/прод-чек, не unit.
+notes: >
+  Полный регресс tests/ должен оставаться зелёным (pytest tests/ -q). Setter'ы Plane и сетевые
+  вызовы — мокать (никаких реальных PATCH в Plane из тестов). Регресс = любой авто-переход
+  done-задачи в deploy-статус, либо статус-PATCH после завершения монитора, либо подавление
+  легитимного Monitoring у нетерминальной задачи. Тесты опираются на фикстуры задач со стадиями
+  done/deploy и на счётчики вызовов set_issue_* (через мок).
+
+tests:
+  - id: TC-01
+    type: unit
+    description: "deploy-статус для задачи с БД stage=done сходится к Done: попытка set_issue_monitoring/awaiting/deploying при terminal-стадии выставляет Done (или no-op, если уже Done), а не промежуточный статус."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "Идемпотентность: повторный вызов терминал-aware setter'а на уже-Done задаче — no-op (0 дополнительных PATCH), маятник Done<->deploy-статус не возникает."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: "Нетерминальная задача (stage=deploy) не подавляется: set_issue_monitoring/awaiting/deploying проходит штатно (регресс AC-4)."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: "Kill-switch выключен -> прежнее поведение 1:1 (терминал-aware гард не вмешивается); включён -> done-задача сходится к Done."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: "never-raise: при невозможности определить БД-стадию / сетевой ошибке Plane сеттер деградирует безопасно (не флаппит, не бросает исключение)."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: "post-deploy-monitor: после завершения окна (HEALTHY, ticks==budget -> set_issue_done + маркер done) последующих статус-PATCH для задачи нет (0 set_issue_* вызовов)."
+    module: tests/test_post_deploy_monitor_termination.py
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: "post-deploy-monitor тик при БД stage=done / отсутствии активного основания -> немедленный no-op без статус-PATCH и без постановки следующего тика ('зомби'-тик исключён)."
+    module: tests/test_post_deploy_monitor_termination.py
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: "arm_monitor не пере-арминг для задачи, уже находящейся в done: повторный deploy->done re-drive не выставляет Monitoring заново (маркер armed/done -> no-op)."
+    module: tests/test_post_deploy_monitor_termination.py
+    expected: PASS
+
+  - id: TC-09
+    type: unit
+    description: "Наблюдаемость: каждый вызов выставления deploy-статуса логирует work_item, caller/путь, целевой статус, причину и БД-стадию; подавление терминал-aware гардом тоже логируется."
+    module: tests/test_deploy_status_observability.py
+    expected: PASS
+
+  - id: TC-10
+    type: integration
+    description: "Реконсилятор/sync для задачи с БД=done и Plane=Monitoring приводит к Done идемпотентно (а не к промежуточному deploy-статусу) и не качает маятник на повторных тиках."
+    module: tests/test_reconciler_done_deploy_convergence.py
+    expected: PASS
+
+  - id: TC-11
+    type: integration
+    description: "Регресс рабочего deploy-цикла: реально деплоящаяся (нетерминальная) 063-подобная задача проходит Awaiting -> Deploying -> Monitoring -> Done без подавления (Phase A/B/C, post-deploy HEALTHY-окно как раньше)."
+    module: tests/test_self_deploy_cycle_regression.py
+    expected: PASS
+
+  - id: TC-12
+    type: integration
+    description: "Не-self репозиторий (enduro-подобный): нулевая регрессия — терминал-aware гард deploy-статусов инертен (условность self-hosting)."
+    module: tests/test_deploy_status_terminal_guard.py
+    expected: PASS

docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md

@@ -0,0 +1,232 @@
+---
+work_item: ORCH-094
+stage: architecture
+author_agent: architect
+status: proposed
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# ADR-001: Terminal-window-aware гард выставления deploy-фазовых статусов Plane
+
+Work Item: **ORCH-094** — терминальная (done) задача флаппит deploy-статусы в Plane
+(`Awaiting Deploy ⟷ Monitoring after Deploy`), не держит `Done`.
+Стадия: **architecture**
+Сквозная регистрация: **`docs/architecture/adr/adr-0028-terminal-window-aware-deploy-status-guard.md`**
+(кросс-каттинг: правит общие сеттеры `plane_sync` + переупорядочивает маркированный блок
+`next_stage == "done"` ORCH-021/066).
+
+## Статус
+Proposed
+
+## Контекст
+
+Сверено по коду ветки `feature/ORCH-094-…`:
+
+- **Три code-писателя deploy-фазовых статусов** — все в `src/stage_engine.py`, все вызывают
+  тонкие сеттеры `src/plane_sync.py`, которые делегируют в общий `_set_issue_state_direct`
+  (PATCH issue.state; never-raise; **БД-стадию не читает**):
+  - `set_issue_awaiting_deploy` (Phase A, `stage_engine.py:1218`),
+  - `set_issue_deploying` (Phase B, `stage_engine.py:1316`),
+  - `set_issue_monitoring` (terminal-sync `deploy → done` для self-hosting, `stage_engine.py:404`).
+  - `set_issue_done` (`plane_sync.py:913`) — **терминальная цель**, отдельно.
+- **Критический факт ordering'а:** в `advance_stage` строка **369** `update_task_stage(task_id, "done")`
+  пишет `tasks.stage='done'` **РАНЬШЕ**, чем строка **404** `set_issue_monitoring(...)`. То есть в
+  момент **легитимного** первого выставления `Monitoring after Deploy` задача в БД **уже `done`**.
+  Пост-деплой-окно ORCH-021 — это by-design индикация поверх уже-терминальной (`done`) задачи
+  («ответственность ЗА `done`»). ⇒ **наивный гард «stage==done → редирект на Done» подавил бы
+  легитимный `Monitoring` → регресс AC-4.**
+- **Арм пост-деплой-монитора** (`stage_engine.py:431` → `post_deploy.arm_monitor`) выполняется
+  **ПОСЛЕ** строки 404. Sentinel `ARMED` пишется в `arm_monitor`; окно закрывается sentinel'ом
+  `DONE` (`post_deploy.mark_done`); идемпотентный страж `has_marker(...DONE)` в
+  `run_post_deploy_monitor` (~1729).
+- **Симптом (верифицирован живьём на ORCH-061, task 47, done с 07.06):** Plane не держит `Done` —
+  непрерывный флапп `Awaiting ⟷ Monitoring` парами каждые ~сек, 273 активности, само не затихает.
+  В БД **нет активного post-deploy-monitor** для task 47 (окно 15 мин давно закрыто); реконсилятор
+  F-1 пропускает `done`/`cancelled`, F-2 опрашивает только `[to_analyse, approved, rejected]` —
+  механизма «привести застрявшую на deploy-статусе done-задачу обратно к Done» нет. Актор всех 273
+  переходов — бот-токен орка (`daf4d3f4-…`), т.е. PATCH-и шлёт **что-то под токеном орка**, не
+  привязанное к активной task/job. Точный актор подлежит инструментальной локализации (FR-1,
+  developer); фикс должен быть **буфером, гасящим маятник на стороне орка независимо от актора**.
+
+**Почему «как есть» не годится:** сеттеры deploy-статусов терминал-слепы — любой повторный вызов
+(стейл-job, двойной webhook, неизвестный внутренний путь под бот-токеном) перезаписывает `Done`
+обратно на промежуточный deploy-статус, и наоборот, бесконечно. Нет ни идемпотентного схождения к
+`Done` для терминальной задачи, ни наблюдаемости «кто/почему» ставит статус.
+
+## Решение
+
+### Сводка
+
+Вводим **единый terminal-window-aware гард на самом низком чокпоинте** — на входе трёх
+deploy-фазовых сеттеров `plane_sync`. Решение принимает **новый leaf-модуль
+`src/deploy_status_guard.py`** (чистая, never-raise, config-gated логика; по образцу
+`serial_gate.py`/`labels.py`/`cancel.py`), сеттеры лишь исполняют вердикт. Ключевой инвариант:
+**deploy-фазовый статус легитимен ⇔ задача нетерминальна ИЛИ (`done` И активно пост-деплой-окно)**;
+иначе — идемпотентное схождение к `Done`. Чтобы легитимный первый `Monitoring` на строке 404
+проходил, **арм-блок переносится перед terminal-sync-блоком** (предикат «окно активно» становится
+истинным до выставления `Monitoring`). Всё под kill-switch, аддитивно, в зоне self-hosting; реестры
+конвейера не тронуты.
+
+### D1 — Где гард: единый чокпоинт в deploy-фазовых сеттерах `plane_sync`
+
+Гард ставится на входе **`set_issue_awaiting_deploy` / `set_issue_deploying` / `set_issue_monitoring`**
+(а НЕ в caller'ах `stage_engine`). Это перехватывает **любой** путь к этим статусам — известные
+(stage_engine), будущие и **неизвестный актор под бот-токеном** (если он проходит через код орка) —
+одной точкой. `set_issue_done` **не гардится** (это цель схождения). Привязка: **FR-2, BR-1, BR-2**.
+
+> Альтернатива «гард в caller'ах stage_engine» отвергнута: не ловит неизвестный/стейл путь, который
+> и есть подозреваемый источник 061-флаппа; размазывает инвариант по трём местам. См. «Альтернативы».
+
+### D2 — Предикат легитимности: терминал **И окно**, не только стадия
+
+Вердикт `deploy_status_guard.decide(work_item_id, target_status) -> ALLOW | CONVERGE_DONE | SUPPRESS`:
+
+1. `not settings.deploy_status_guard_enabled` → **ALLOW** (kill-switch off ⇒ поведение 1:1).
+2. `task = <lookup по work_item_id>`; `task is None` → **ALLOW** (чужой/не наш issue — не вмешиваемся).
+3. `not deploy_status_guard.applies(task.repo)` → **ALLOW** (не-self репо ⇒ нулевая регрессия; для них
+   `Monitoring`/`Awaiting`/`Deploying` и так не выставляются — terminal-sync идёт сразу в `Done`).
+4. `stage = task.stage`; `stage NOT IN ('done','cancelled')` → **ALLOW** (нетерминальная задача —
+   легитимный рабочий deploy-цикл; **AC-4**).
+5. `stage == 'cancelled'` → **SUPPRESS** (не штампуем deploy-статус поверх терминала `cancelled`;
+   cancel-flow ORCH-090 уже привёл Plane к своему терминалу — гард лишь не затирает его).
+6. `stage == 'done'`:
+   - `target == 'monitoring'` **И** `post_deploy.window_active(repo, work_item_id)` → **ALLOW**
+     (легитимное пост-деплой-окно — `Monitoring` корректен; **AC-4**);
+   - иначе → **CONVERGE_DONE** (для `done` `Awaiting`/`Deploying` всегда спуриозны — Phase A/B
+     случаются строго **до** `deploy → done`; и `Monitoring` при закрытом/неарм'ленном окне —
+     спуриозен, как 061).
+7. **Любое исключение / невозможность определить стадию** → **ALLOW** + `logger.warning`
+   (never-raise, fail-safe к прежнему поведению; **NFR-1**). БД-чтение локальное (SQLite) и надёжное —
+   в штатном случае стадия читается, маятник не возникает.
+
+Сеттер исполняет вердикт: `ALLOW` → штатный PATCH; `CONVERGE_DONE` → `set_issue_done(work_item_id)`
+(идемпотентно — уже-`Done` ⇒ no-op PATCH-эквивалент); `SUPPRESS` → ничего не патчим. Привязка:
+**FR-2, BR-1, BR-2, AC-1, AC-2, AC-4**.
+
+**Новый helper** `post_deploy.window_active(repo, wi) -> bool` = `has_marker(ARMED) and not
+has_marker(DONE)` (never-raise; restart-safe — sentinel'ы на диске переживают рестарт; **NFR-4**).
+
+### D3 — Перенос арм-блока перед terminal-sync (чтобы D2 пропускал легитимный первый `Monitoring`)
+
+В `advance_stage`, внутри ветки `next_stage == "done"`, **арм-блок** (`post_deploy.arm_monitor`,
+сейчас стр. 431) перемещается **выше** terminal-sync-блока (`set_issue_monitoring`, стр. 404). После
+переноса в момент строки 404: `ARMED` уже записан, `DONE` отсутствует ⇒ `window_active==True` ⇒
+вердикт **ALLOW** ⇒ легитимный `Monitoring` проходит как раньше. Re-drive `deploy → done` **после**
+закрытия окна (`DONE` присутствует) ⇒ `window_active==False` ⇒ **CONVERGE_DONE** (не воскрешает
+`Monitoring`).
+
+Перенос безопасен: `arm_monitor` лишь пишет sentinel + ставит отложенный job — не зависит ни от
+Plane-статуса, ни от merge-lease (release остаётся после terminal-sync). Инварианты ORCH-021
+(идемпотентный арм по `ARMED`) и ORCH-066 (`deploy → done` для self ⇒ `Monitoring`, не `Done`)
+сохранены. Привязка: **AC-4, BR-5**; маркеры `ORCH-021`/`ORCH-066` (прочитаны: `06-adr/ADR-001`,
+`adr-0010`).
+
+> Альтернатива «bypass-флаг `force=True` на доверенном вызове 404 вместо переноса» отвергнута: плодит
+> два определения «легитимности» и доверенный обход; перенос оставляет **один** предикат «окно активно».
+
+### D4 — Харднинг пост-деплой-монитора: нет «зомби»-тиков/PATCH после закрытия окна
+
+`run_post_deploy_monitor` (`stage_engine.py` ~1698): сохранить существующий идемпотентный страж
+`has_marker(...DONE)` (~1729; первым — ранний `return` без PATCH/реэнкью). Аддитивно: тик
+**no-op без PATCH и без перепостановки**, если задача стала терминальной аномально (`stage ==
+'cancelled'` мид-окно → закрыть окно `mark_done`, без статус-PATCH). Перепостановка тика остаётся
+строго при `HEALTHY and ticks < budget` — тики **привязаны к активному job'у** (тик и есть job; нет
+job → нет тика). После закрытия окна (`DONE`) или исчерпания бюджета — **0 последующих** статус-PATCH;
+любой стейл-вызов `set_issue_monitoring` теперь добивается гардом D2 (`window_active==False` →
+CONVERGE_DONE). `arm_monitor` уже идемпотентен по `ARMED` (повторный арм done-задачи → no-op). Привязка:
+**FR-3, BR-3, BR-4, AC-3, NFR-4**.
+
+### D5 — Наблюдаемость «кто/почему» (FR-4)
+
+Каждый вердикт гарда логируется структурно одной записью: `work_item`, `caller` (короткая причина —
+аддитивный BC-kwarg `reason: str | None = None` у трёх сеттеров; call-site передаёт напр.
+`"advance:deploy->done"`/`"phase_a"`/`"phase_b"`/`"monitor-tick"`), `target_status`, `db_stage`,
+`window_active`, итоговый вердикт (`ALLOW`/`CONVERGE_DONE`/`SUPPRESS`). Подавление/схождение
+(`CONVERGE_DONE`/`SUPPRESS`) логируется **явно** («что подавили и почему»). Достаточно, чтобы по
+логу однозначно атрибутировать будущий флапп. Привязка: **FR-4, BR-6, AC-5**.
+
+### D6 — Обратимость, скоуп, флаги (FR-5)
+
+`src/config.py` (по образцу ORCH-088/090):
+- `deploy_status_guard_enabled: bool = True` — env `ORCH_DEPLOY_STATUS_GUARD_ENABLED` (kill-switch;
+  `False` → сеттеры терминал-слепы, поведение **1:1** прежнее).
+- `deploy_status_guard_repos: str = ""` — env `ORCH_DEPLOY_STATUS_GUARD_REPOS` (CSV; **пусто →
+  self-hosting only**). `applies(repo)` (локальный, без сети) — единственная точка скоупа.
+
+Дефолт `enabled=True` + `repos=""` ⇒ активен только для self-hosting (`orchestrator`), где deploy-фазовые
+статусы вообще выставляются; не-self репо (enduro-trails) гард не трогает (D2 шаг 3). Привязка: **NFR-3,
+BR-5, FR-5, AC-4, AC-5**.
+
+### D7 — Что НЕ трогаем (инварианты)
+
+`STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / machine-verdict ключи
+(`deploy_status:`/`staging_status:`/`security_status:`) — **байт-в-байт**. Схема БД — **без миграции**
+(гард читает существующую `tasks.stage`; окно — существующие sentinel'ы `post_deploy.py`; привязка к
+job — существующая таблица `jobs`). `main`/force-push/прод-контейнер/detached-деплой — **не трогаются**.
+Рабочий критический путь self-deploy (Phase A→B→C, merge-gate, freeze-на-DEGRADED ORCH-088) —
+сохранён 1:1. Реконсилятор F-1/F-2 — **без изменений** (гард на сеттере субсумирует «sync → Done»:
+любой путь, дёрнувший deploy-сеттер для done-задачи, сходится к `Done`). Привязка: **NFR-2, NFR-5, AC-5**.
+
+### D8 — Лукап задачи по `work_item_id` (реализационная заметка для developer)
+
+Сеттеры принимают `work_item_id` (напр. `"ORCH-061"`). В `src/db.py` существующий
+`get_task_by_plane_id` матчит `plane_id`/`plane_issue_id` (UUID-ы), **не** человекочитаемый
+`work_item_id`. Developer добавляет минимальный **read-only** аксессор
+`get_task_by_work_item_id(work_item_id)` (`SELECT * FROM tasks WHERE work_item_id = ?`; живой ряд
+матчит точно — тумбстоны ORCH-090 имеют суффикс `#cancelled-<id>`), **без изменения схемы**. Один
+локальный SELECT отдаёт и `repo`, и `stage` для D2.
+
+## Альтернативы
+
+- **Гард в caller'ах `stage_engine` (а не в сеттерах)** — отвергнуто: не ловит неизвестный/стейл
+  актор под бот-токеном (вероятный источник 061-флаппа), размазывает инвариант по трём врезкам,
+  слабее как буфер BR-2 «сходимость из любого пути».
+- **Наивный гард «stage==done → редирект на Done» (без предиката окна)** — отвергнуто: подавляет
+  легитимный пост-деплой `Monitoring` (он by-design поверх уже-`done` задачи, стр. 369 < 404) ⇒
+  прямой регресс **AC-4**.
+- **Bypass-флаг `force=True` на доверенном вызове 404** (вместо переноса арм-блока) — отвергнуто:
+  два определения легитимности + доверенный обход; перенос даёт один предикат «окно активно».
+- **Активная сходимость в реконсиляторе (F-2 опрашивает Awaiting/Monitoring → set_issue_done)** —
+  отвергнуто как **основной** механизм (лишний Plane-polling, правка маркированного F-2). Гард на
+  сеттере уже гасит непрерывный флапп (каждый вызов актора сходится к `Done` за один цикл). Возможен
+  как **необязательный** follow-up для разовой зачистки quiescent-застрявшего статуса (вне scope —
+  такой кейс чинится разовым ручным sync; наблюдаемый дефект — непрерывный флапп, который буфер
+  покрывает).
+- **Колонка-маркер в `tasks` для состояния окна** — отвергнуто: миграция на проде; sentinel'ы
+  `post_deploy.py` уже restart-safe (как ORCH-021/036).
+
+## Последствия
+
+- **+** Терминальная (`done`) задача стабильно держит `Done`: любой deploy-сеттер для неё сходится к
+  `Done` идемпотентно, маятник гаснет за один цикл независимо от актора (буфер BR-1/BR-2, AC-1/AC-2).
+- **+** Легитимный пост-деплой `Monitoring` сохранён точно (предикат «окно активно» + перенос
+  арм-блока); рабочий deploy-цикл 1:1 (AC-4).
+- **+** Наблюдаемость: лог однозначно атрибутирует «кто/почему» при будущем флаппе (AC-5).
+- **+** Единый низкий чокпоинт ловит и неизвестный внутренний путь под бот-токеном.
+- **−** Один локальный SELECT (`tasks`) на каждый deploy-фазовый PATCH-вызов self-репо. Митигейшн:
+  читается тот же ряд, что даёт `repo` для `applies`; SQLite-чтение пренебрежимо против сетевого PATCH;
+  для не-self/выключенного флага — ранний ALLOW без лукапа окна.
+- **−** Если фактический актор флаппа — **внешняя** Plane-automation под другим токеном (вне кода
+  орка), code-фикс не закроет G1 полностью. Митигейшн: гард — буфер на стороне орка; локализация
+  актора (FR-1) и итог документируются (BR-7) — этот ADR фиксирует гипотезу «под бот-токеном орка».
+- **−** Перенос арм-блока меняет порядок внутри маркированного блока ORCH-021/066. Митигейшн:
+  инварианты обоих ADR проверены сохранёнными (D3); анти-регресс — TC-11 (рабочий цикл) + структурные
+  тесты.
+- **Откат:** `ORCH_DEPLOY_STATUS_GUARD_ENABLED=false` → сеттеры терминал-слепы, поведение 1:1
+  прежнее (D2 шаг 1). Полный откат — revert ветки (перенос арм-блока + leaf + config + сеттер-врезки).
+
+## Ссылки
+
+- BRD: `docs/work-items/ORCH-094/01-brd.md`
+- TRZ: `docs/work-items/ORCH-094/02-trz.md`
+- Acceptance: `docs/work-items/ORCH-094/03-acceptance-criteria.md`
+- Tech-risks: `docs/work-items/ORCH-094/10-tech-risks.md`
+- Сквозной ADR: `docs/architecture/adr/adr-0028-terminal-window-aware-deploy-status-guard.md`
+- Сверено по коду: `src/stage_engine.py` (369/404/431/1218/1316/~1698-1729),
+  `src/plane_sync.py` (913/954/964/974, `_set_issue_state_direct`), `src/post_deploy.py`
+  (`arm_monitor`/`has_marker`/`ARMED`/`DONE`/`state_dir`), `src/reconciler.py` (F-1/F-2),
+  `src/config.py` (флаги ORCH-088/021/036), `src/db.py` (`get_task_by_plane_id`).
+- Маркеры (прочитаны, не сломаны): ORCH-021 (`adr-0010` / `06-adr/ADR-001`), ORCH-066
+  (`06-adr/ADR-001-plane-status-model`), ORCH-086/068 (терминал-скип), ORCH-088 (freeze),
+  ORCH-090 (cancelled-терминал).

docs/work-items/ORCH-094/10-tech-risks.md

@@ -0,0 +1,90 @@
+---
+work_item: ORCH-094
+stage: architecture
+author_agent: architect
+status: proposed
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 10 — Технические риски: ORCH-094 — terminal-window-aware гард deploy-статусов
+
+Work Item: **ORCH-094** · Repo: **orchestrator** · Стадия: architecture
+
+Формат: каждый риск — **вероятность × влияние**, причина, **митигейшн**, привязка к AC/ADR-решению.
+
+---
+
+## R-1 — Гард подавляет ЛЕГИТИМНЫЙ `Monitoring` у реально деплоящейся задачи (регресс AC-4)
+- **Вероятность:** средняя (без точного предиката — высокая) · **Влияние:** высокое.
+- **Причина:** `update_task_stage("done")` (стр. 369) выполняется **раньше** `set_issue_monitoring`
+  (стр. 404) ⇒ в момент легитимного `Monitoring` задача в БД уже `done`. Наивный гард
+  «stage==done → Done» затёр бы легитимную индикацию.
+- **Митигейшн:** предикат **«терминал И НЕ активное окно»** (D2 шаг 6) + **перенос арм-блока перед
+  terminal-sync** (D3): `window_active==True` на стр. 404 ⇒ ALLOW. Анти-регресс — **TC-11**
+  (рабочий цикл `Awaiting→Deploying→Monitoring→Done` без подавления) + **TC-03** (stage=deploy
+  проходит).
+
+## R-2 — Фактический актор флаппа — внешняя Plane-automation (вне кода орка)
+- **Вероятность:** низкая · **Влияние:** среднее (G1 закрыт не полностью).
+- **Причина:** все 273 перехода — под бот-токеном орка; гипотеза H-внешнее не исключена до
+  инструментальной локализации (FR-1).
+- **Митигейшн:** гард — **буфер на стороне орка** (BR-2): если PATCH идёт через код орка — гасится;
+  developer локализует актора (FR-1) и фиксирует в ADR/CHANGELOG (BR-7). Если актор реально внешний —
+  это документируется как known-limitation, гард остаётся защитой от внутренних путей.
+
+## R-3 — Перенос арм-блока ломает инвариант ORCH-021/066
+- **Вероятность:** низкая · **Влияние:** высокое (self-hosting прод).
+- **Причина:** правка порядка внутри маркированного блока `next_stage == "done"`.
+- **Митигейшн:** `arm_monitor` не зависит от Plane-статуса/merge-lease (пишет sentinel + ставит
+  отложенный job); merge-lease release остаётся после terminal-sync; идемпотентность арма по `ARMED`
+  и инвариант ORCH-066 (`deploy→done` self ⇒ `Monitoring`) сохранены (D3). Прочитаны `adr-0010` +
+  `06-adr/ADR-001-plane-status-model`. Тесты TC-06/TC-08 + TC-11.
+
+## R-4 — `never-raise`-деградация маскирует флапп (fail-safe = ALLOW)
+- **Вероятность:** низкая · **Влияние:** низкое.
+- **Причина:** при ошибке лукапа стадии / сетевой ошибке гард делает ALLOW (прежнее поведение), что
+  в теории не гасит маятник.
+- **Митигейшн:** БД-чтение — локальный SQLite (надёжно; ошибка редка); в штатном случае стадия
+  читается ⇒ сходимость работает. Деградация **логируется** `warning` (D5) ⇒ видно в диагностике.
+  NFR-1 приоритезирует «не падать/не блокировать конвейер всех проектов» над агрессивным подавлением.
+  Тест TC-05.
+
+## R-5 — «Зомби»-тик пост-деплой-монитора после рестарта/стейл-job шлёт статус-PATCH
+- **Вероятность:** низкая · **Влияние:** среднее.
+- **Причина:** стейл-job `post-deploy-monitor` в очереди после закрытия окна/рестарта мог бы дёрнуть
+  `set_issue_monitoring`.
+- **Митигейшн:** идемпотентный страж `has_marker(...DONE)` (ранний return без PATCH/реэнкью, ~1729) +
+  тик no-op при `cancelled` мид-окно (D4) + **гард D2** (`window_active==False` ⇒ CONVERGE_DONE).
+  restart-safe (sentinel'ы на диске). Тесты TC-06/TC-07.
+
+## R-6 — Стоимость лукапа `tasks` на каждый deploy-PATCH
+- **Вероятность:** низкая · **Влияние:** пренебрежимое.
+- **Причина:** новый SELECT на каждый вызов deploy-сеттера self-репо.
+- **Митигейшн:** тот же ряд даёт `repo` для `applies`; SQLite-чтение ничтожно против сетевого PATCH;
+  не-self/выключенный флаг → ранний ALLOW. Без кэша (корректность > микро-оптимизация).
+
+## R-7 — Регресс не-self репозиториев (enduro-trails)
+- **Вероятность:** очень низкая · **Влияние:** среднее.
+- **Причина:** общий инстанс/БД; правка общих сеттеров `plane_sync`.
+- **Митигейшн:** `applies(repo)` (D2 шаг 3, `deploy_status_guard_repos=""` → self-hosting only);
+  для не-self deploy-фазовые статусы и так не выставляются (terminal-sync сразу `Done`). Тест TC-12.
+
+## R-8 — Лукап по `work_item_id` не матчит (нет аксессора)
+- **Вероятность:** низкая · **Влияние:** низкое (деградирует в ALLOW).
+- **Причина:** `get_task_by_plane_id` матчит UUID-ключи, не человекочитаемый `work_item_id`.
+- **Митигейшн:** developer добавляет read-only `get_task_by_work_item_id` (D8, без миграции); при
+  промахе — ALLOW (never-raise). Тумбстоны ORCH-090 (`#cancelled-<id>`) не коллизируют с живым рядом.
+
+---
+
+## Сводка по инвариантам (не нарушены)
+
+| Инвариант | Статус |
+|-----------|--------|
+| `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / machine-verdict ключи | не тронуты (D7) |
+| Схема БД | без миграции (read-only аксессор) (D7/D8) |
+| `main` / force-push / прод-контейнер / detached-деплой | не тронуты (D7, NFR-2) |
+| Рабочий self-deploy (Phase A→B→C, merge-gate, freeze ORCH-088) | 1:1 (D7, AC-4) |
+| Реконсилятор F-1/F-2 | без изменений (гард субсумирует sync→Done) (D7) |
+| Обратимость (kill-switch → 1:1) | `ORCH_DEPLOY_STATUS_GUARD_ENABLED` (D6) |

docs/work-items/ORCH-094/12-review.md

@@ -0,0 +1,102 @@
+---
+verdict: APPROVED
+work_item: ORCH-094
+stage: review
+author_agent: reviewer
+status: approved
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+type: review
+work_item_id: ORCH-094
+version: 1
+---
+
+# Review ORCH-094 — terminal-window-aware гард deploy-статусов
+
+## Summary
+
+PR устраняет флапп deploy-статусов у терминальной (`done`) задачи в Plane через единый
+terminal-window-aware гард на входе трёх deploy-фазовых сеттеров `plane_sync`. Реализация
+**точно следует** ADR-001 (D1–D8): новый leaf `src/deploy_status_guard.py` (чистый, never-raise,
+config-gated), перенос арм-блока перед terminal-sync, харднинг пост-деплой-монитора, наблюдаемость
+через `reason`-kwarg. Все 4 оси проверки — без P0/P1.
+
+Проверено по коду ветки: `deploy_status_guard.py`, `plane_sync.py` (врезка `_deploy_status_guarded` +
+3 сеттера), `stage_engine.py` (перенос арм-блока D3 + zombie-tick guard D4 + `reason`-call-sites),
+`post_deploy.py` (`window_active`), `db.py` (`get_task_by_work_item_id`), `config.py` (2 флага).
+
+## Findings
+
+### P0 — Blocker
+- Нет.
+
+### P1 — Must fix
+- Нет.
+
+### P2 — Should fix
+- Нет.
+
+### P3 — Nice-to-have (информационно, вердикт не меняет)
+- [ ] `post_deploy.window_active` при внутреннем исключении (`has_marker`-чтение sentinel'а) →
+  `False` → внутри `decide` шаг 6 даёт `CONVERGE_DONE`. Это **асимметрия** относительно общего
+  fail-safe-к-ALLOW контракта `decide` (шаг 7): транзиентная ошибка чтения sentinel'а в момент
+  легитимного первого `Monitoring` свела бы его к `Done` (индикация-глитч, не флапп). Поведение
+  **намеренное и задокументировано** (docstring `window_active`: «doubt → window closed → converge
+  to Done — safe-for-indication default»), безопасно к терминальному состоянию; SQLite/диск-чтение
+  локальное и надёжное. Оставлено как осознанный дизайн-выбор, фиксации не требует.
+
+## Соответствие ТЗ (`02-trz.md` / `03-acceptance-criteria.md`)
+
+- **FR-1 / AC-1** (источник флаппа локализован, done держит Done) — ✅ актор задокументирован
+  (BR-7: code-писатели `stage_engine.py:404/1218/1316`, F-2 не перебирает, live-overlay read-only;
+  гипотеза «под бот-токеном» в ADR), гард — буфер сходимости. Тесты TC-01/02/10.
+- **FR-2 / AC-2** (терминал-aware идемпотентность) — ✅ `decide → ALLOW|CONVERGE_DONE|SUPPRESS`,
+  предикат «нетерминал ИЛИ (`done` И окно)», `done`-иначе → `set_issue_done` идемпотентно, повтор
+  на уже-`Done` → no-op. Тесты TC-01/02/12.
+- **FR-3 / AC-3** (детерминированный конец монитора, нет зомби-тиков) — ✅ страж `has_marker(DONE)`
+  сохранён; добавлен `cancelled`-мид-окно → `mark_done` без PATCH и без перепостановки; тик ≡ job.
+  Тесты TC-06/07/08.
+- **FR-4 / AC-5** (наблюдаемость) — ✅ BC-kwarg `reason` у 3 сеттеров; ровно одна структурная запись
+  на вердикт (`work_item`/`caller`/`target`/`db_stage`/`window_active`/`verdict`; converge/suppress →
+  WARNING). Тест TC-09 (полная атрибуция).
+- **FR-5 / AC-4** (обратимость, регресс рабочего цикла) — ✅ kill-switch
+  `deploy_status_guard_enabled` (`False` → 1:1) + self-hosting-only по дефолту (`repos=""`);
+  нетерминальный `Awaiting/Deploying/Monitoring` проходит как раньше. Тесты TC-04/11/12 — особо
+  TC-11 (end-to-end `run_deploy_finalizer`: легитимный `Monitoring` НЕ свёрнут к Done).
+
+## Соответствие ADR (`06-adr/ADR-001` + сквозной `adr-0028`)
+
+- D1 (гард на входе сеттеров `plane_sync`, не в caller'ах) — ✅.
+- D2 (предикат терминал **И** окно; 7 шагов) — ✅ реализован 1:1 в `decide`.
+- D3 (перенос арм-блока выше terminal-sync) — ✅ подтверждён в diff `advance_stage`; merge-lease
+  release остаётся после terminal-sync; инварианты ORCH-021/066 сохранены.
+- D4 (харднинг монитора) — ✅. D5 (наблюдаемость) — ✅. D6 (флаги) — ✅. D7 (что НЕ трогаем) — ✅
+  (проверено: `src/stages.py`/`src/qg/`/`src/reconciler.py` — нулевой diff; machine-verdict ключи
+  байт-в-байт). D8 (`get_task_by_work_item_id` read-only) — ✅.
+- **Трассировка маркеров (CLAUDE.md прав. 9 / TRACEABILITY):** правка маркированного блока
+  `next_stage=="done"` (ORCH-021/066/043/088) — ADR прочитаны, инварианты не сломаны (deploy→done
+  self ⇒ Monitoring; монитор-close ⇒ Done; терминал-набор `{done,cancelled}`; merge-lease release
+  не сдвинут относительно terminal-sync). Слома инвариантов нет.
+
+## Качество кода
+
+- Leaf-модуль `deploy_status_guard.py` — чистый, never-raise (двойная защита: `decide` + wrapper
+  `_deploy_status_guarded`), нет рекурсии (`set_issue_done` не гардится), docstrings на всех публичных
+  функциях, образец `serial_gate`/`labels`/`cancel` выдержан.
+- Тесты содержательные (не тривиальные): 5 новых файлов, TC-01..12; TC-11 — реальный прогон
+  `run_deploy_finalizer` с проверкой стадии и единственного `Monitoring`-PATCH; обновлены
+  анти-регресс-ассерты под `reason`-kwarg. `pytest tests/ -q` — **1413 passed**.
+
+## Документация
+
+`src/` изменён → документация обновлена **в том же PR** (golden source соблюдён):
+- ✅ `CHANGELOG.md` — детальная запись ORCH-094 (FR/AC/D-разбивка).
+- ✅ `docs/architecture/README.md` — новый раздел «Terminal-window-aware гард deploy-статусов».
+- ✅ `CLAUDE.md` — врезка в блок статусной модели Plane.
+- ✅ `.env.example` — `ORCH_DEPLOY_STATUS_GUARD_ENABLED` / `_REPOS` с описанием.
+- ✅ `docs/work-items/ORCH-094/06-adr/ADR-001-…md` (work-item) + сквозной
+  `docs/architecture/adr/adr-0028-…md` (кросс-каттинг) — оба присутствуют.
+- ✅ Обзорные доки (ORCH-079): PR — баг-фикс индикации, не закрывает пункт `README.md`
+  «Известные ограничения»; обновления корневого `README.md` не требуется.
+
+Документация полная и согласована с реализацией. Расхождений код ↔ доки не найдено.

docs/work-items/ORCH-094/13-test-report.md

@@ -0,0 +1,84 @@
+---
+result: PASS   # PASS | FAIL — машинный вердикт, UPPERCASE
+work_item: ORCH-094
+stage: testing
+author_agent: tester
+status: pass
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+type: test-report
+work_item_id: ORCH-094
+---
+
+# Test Report — ORCH-094 — terminal-window-aware гард deploy-статусов
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Дата: 2026-06-09
+- Worktree (база прогона): `/repos/_wt/orchestrator/feature_ORCH-094-bug-done-deploy-plane-awaiting`
+- Ветка: `feature/ORCH-094-bug-done-deploy-plane-awaiting`
+- HEAD: `11de318` (поверх `3738888 fix(deploy): terminal-window-aware guard … (ORCH-094)`)
+- Review: `12-review.md` → `verdict: APPROVED` (P0/P1 — нет).
+
+> Прогон выполнен из worktree ветки задачи (не из общего `/repos/orchestrator`) — анти-гонка checkout.
+
+## Smoke API (read-only)
+| Проверка | Результат |
+|----------|-----------|
+| `GET /health` | PASS — `{"status":"ok","service":"orchestrator"}` |
+| `GET /status` | PASS — отвечает, отдаёт `active_tasks` |
+| `GET /queue` | PASS — блок `serial_gate` присутствует (ORCH-088), `auto_labels` присутствует (ORCH-089) |
+
+Деструктивные операции не выполнялись (read-only smoke).
+
+## Результаты (покрытие тест-плана `04-test-plan.yaml` ↔ `03-acceptance-criteria.md`)
+
+| TC ID | Тип | Описание | AC | Тест | Результат |
+|-------|-----|----------|----|------|-----------|
+| TC-01 | unit | done-задача сходится к Done (monitoring/awaiting/deploying при terminal → Done/no-op) | AC-2 | `test_deploy_status_terminal_guard::test_tc01_*` | PASS |
+| TC-02 | unit | Идемпотентность: повтор на уже-Done → no-op, нет маятника | AC-2 | `test_deploy_status_terminal_guard::test_tc02_idempotent_no_pendulum` | PASS |
+| TC-03 | unit | Нетерминальная (stage=deploy) не подавляется (регресс) | AC-4 | `test_deploy_status_terminal_guard::test_tc03_non_terminal_not_suppressed` | PASS |
+| TC-04 | unit | Kill-switch: off → 1:1 прежнее; on → done сходится к Done | AC-5 | `test_deploy_status_terminal_guard::test_tc04_kill_switch` | PASS |
+| TC-05 | unit | never-raise: неизвестная стадия / ошибка БД → безопасная деградация | AC-5 | `test_deploy_status_terminal_guard::test_tc05_*` | PASS |
+| TC-06 | unit | После завершения окна монитора (HEALTHY, ticks==budget) → 0 последующих PATCH | AC-3 | `test_post_deploy_monitor_termination::test_tc06_clean_finish_then_no_more_patches` | PASS |
+| TC-07 | unit | Тик при БД=done/cancelled / нет основания → no-op без PATCH и без перепостановки | AC-3 | `test_post_deploy_monitor_termination::test_tc07_*` | PASS |
+| TC-08 | unit | `arm_monitor` не пере-арминг для done; re-drive не выставляет Monitoring заново | AC-3 | `test_post_deploy_monitor_termination::test_tc08_*` | PASS |
+| TC-09 | unit | Наблюдаемость: лог work_item/caller/target/reason/db_stage; подавление логируется | AC-5 | `test_deploy_status_observability::test_tc09_*` | PASS |
+| TC-10 | integration | Реконсилятор/sync для done+Plane=Monitoring → Done идемпотентно, без маятника | AC-2 | `test_reconciler_done_deploy_convergence::test_tc10_repeated_sync_converges_no_pendulum` | PASS |
+| TC-11 | integration | Регресс рабочего цикла: нетерминальная задача Awaiting→Deploying→Monitoring→Done не подавлена | AC-4 | `test_self_deploy_cycle_regression::test_tc11_*` | PASS |
+| TC-12 | integration | Не-self репо (enduro-подобный): гард инертен (условность self-hosting) | AC-4/AC-5 | `test_deploy_status_terminal_guard::test_tc12_*` | PASS |
+
+**Все 12 TC выполнены и сопоставлены с критериями приёмки. Непокрытых TC нет.**
+
+Покрытие AC:
+- **AC-1** (done держит Done; нет авто-перехода в Awaiting/Monitoring) — TC-01/02/10 ✅
+- **AC-2** (идемпотентное схождение к Done) — TC-01/02/10/12 ✅
+- **AC-3** (детерминированный конец монитора, нет зомби-тиков) — TC-06/07/08 ✅
+- **AC-4** (регресс рабочего deploy-цикла нетерминальной задачи) — TC-03/11/12 ✅
+- **AC-5** (наблюдаемость, kill-switch, never-raise, зелёный pytest) — TC-04/05/09 + полный регресс ✅
+
+## Вывод pytest
+
+Целевые модули ORCH-094:
+```
+tests/test_deploy_status_terminal_guard.py ........... (11)
+tests/test_post_deploy_monitor_termination.py ..... (5)
+tests/test_deploy_status_observability.py ... (3)
+tests/test_reconciler_done_deploy_convergence.py . (1)
+tests/test_self_deploy_cycle_regression.py .. (2)
+======================== 22 passed, 1 warning in 1.43s =========================
+```
+
+Полный регресс (`pytest tests/ -v --tb=short`):
+```
+======================= 1413 passed, 1 warning in 44.34s =======================
+```
+> Единственное предупреждение — PydanticDeprecatedSince20 (class-based config в `src/config.py`),
+> не связано с ORCH-094, не является ошибкой.
+
+## Итог
+
+**PASS** — полный регресс зелёный (1413 passed), все 12 TC из `04-test-plan.yaml` выполнены,
+сопоставлены с AC и зелёные; smoke API (`/health`, `/status`, `/queue` c блоком `serial_gate`) OK.
+Задача переходит на стадию `deploy-staging`.

docs/work-items/ORCH-094/14-deploy-log.md

@@ -0,0 +1,12 @@
+---
+deploy_status: SUCCESS
+work_item: ORCH-094
+hook_exit_code: 0
+deployed_by: deploy-finalizer
+---
+
+# Deploy log — ORCH-036 executable self-deploy
+
+Прод-деплой завершён хост-хуком с exit-code `0` -> `deploy_status: SUCCESS`.
+
+Вердикт зафиксирован детерминированным finalizer'ом (Фаза C), не LLM.

docs/work-items/ORCH-094/15-staging-log.md

@@ -0,0 +1,30 @@
+---
+staging_status: SUCCESS
+work_item: ORCH-094
+stage: deploy-staging
+author_agent: deployer
+status: success
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+timestamp: 2026-06-09T20:38:21Z
+base_url: http://localhost:8501
+---
+
+# Staging Gate Log
+
+Staging test suite completed against the live `orchestrator-staging` stand (8501), run canonically
+inside the container via `docker exec orchestrator-staging python3 /repos/orchestrator/scripts/staging_check.py --base-url http://localhost:8501 --mode stub`.
+
+Exit code **0** → `staging_status: SUCCESS`. All REAL pipeline checks passed; the only failures are
+the two known sandbox-infra checks (C9a/C9b), waived under ORCH-061 tolerance.
+
+INFRA-WAIVED: C9a Branch appears in orchestrator-sandbox, C9b Analyst job enqueued in staging queue (known sandbox-infra; real checks green)
+VERDICT: SUCCESS (exit 0) — SUCCESS (infra-waived): ['C9a Branch appears in orchestrator-sandbox', 'C9b Analyst job enqueued in staging queue'] are known sandbox-infra checks; all real checks green
+
+## Results
+- **Block A (SMOKE)**: PASS — A1 `/health`→200 `status=ok`; A2 `/queue`→200 (counts/max_concurrency/resilience); A3 `ORCH_STAGING=true`.
+- **Block B (ACCESS)**: PASS — B4 Plane sandbox accessible (sandbox=YES); B5 Gitea `orchestrator-sandbox` accessible, push=true; B6 registry isolation OK (sandbox present, prod ET/ORCH absent).
+- **Block C (E2E, mode=stub)**: C7 create issue in Plane SANDBOX PASS; C8 trigger pipeline via `/webhook/plane` PASS; **C9a/C9b FAIL — waived** (sandbox-infra: SANDBOX bot-accounts not members of the sandbox project; not a pipeline regression). CLEANUP: Plane issue deleted (HTTP 204), no branch to delete.
+
+REAL failed: none.
+Result: 8/10 checks PASS (2 waived sandbox-infra).

docs/work-items/ORCH-095/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: BUG: карточка трекера застывает — HTML-инъекция «<1м» в render_task_tracker (parse_mode=HTML)
+
+Work Item ID: ORCH-095
+
+## Description
+
+TBD

docs/work-items/ORCH-095/01-brd.md

@@ -0,0 +1,154 @@
+---
+work_item: ORCH-095
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 01 — BRD (бизнес-требования): ORCH-095 — HTML-инъекция «<1м» в render_task_tracker застывает live-карточку
+
+Work Item: **ORCH-095** · Repo: **orchestrator** · Стадия: analysis
+
+## 1. Бизнес-контекст и проблема
+
+Live-трекер задачи (`src/notifications.py::render_task_tracker`) — **основной канал
+видимости конвейера для оператора**. Слава узнаёт состояние каждой задачи по её единственной
+карточке в Telegram (инвариант «одна карточка на задачу», ORCH-042/067/087). Если карточка
+перестаёт обновляться — оператор слепнет: задача реально идёт/завершилась, а карточка врёт.
+
+**Установленный факт (воспроизведён детерминированно 09.06, сырой ответ Telegram).**
+Прямой вызов `editMessageText` для застрявшей карточки ORCH-093 (`message_id 18854`) вернул:
+
+```
+400 Bad Request: can't parse entities: Unsupported start tag "1м" at byte offset 500
+```
+
+В тексте карточки на позиции ~379 присутствует подстрока `<1м · …` — длительность стадии
+«меньше одной минуты», которую `_fmt_minutes` (`src/notifications.py:288-289`) рендерит как
+литерал **`<1м`**. Карточка отправляется с `parse_mode=HTML` (`editMessageText`,
+`notifications.py:175`). Telegram трактует `<1м` как **открывающий HTML-тег** → парсинг падает
+с `400` → `edit_telegram` возвращает `EDIT_FAILED` → `update_task_tracker` по ветке
+`EDIT_FAILED` (`notifications.py:733-739`) делает `return`, **не** отправляя новую карточку
+(защита от дублей, ORCH-087) → карточка **застывает** на стейте, где `<1м` впервые попал в текст.
+
+**Цепочка отказа** (по коду):
+`_fmt_minutes(<60s) → "<1м"` → интерполируется в HTML без экранирования → `editMessageText`
+`400 can't parse entities` → `edit_telegram → EDIT_FAILED` → `update_task_tracker` ранний
+`return` → карточка не обновляется до конца жизни задачи.
+
+**Почему проявляется не на каждой задаче.** Баг ловится **только** когда хотя бы одна
+длительность стадии < 1 мин (`seconds < 60`) и эта строка попадает в текст, который затем
+редактируется. Карточки ORCH-090/091 редактировались успешно (на момент `edit` в их тексте
+`<1м` не было); ORCH-093 — упала. Это объясняет «плавающую» природу симптома.
+
+**Корневой класс дефекта — шире одного `<1м`.** Текст карточки собирается с `parse_mode=HTML`
+из смеси (а) намеренной разметки-обёртки (`<a href>` номер задачи, `<b>`) и (б) подставляемых
+**данных**. Намеренная разметка экранироваться **не должна**; данные — должны. Сейчас
+экранирован только заголовок (`esc_title`, `notifications.py:428`) и href/label внутри
+`plane_issue_link`. Прочие данные — длительности (`_fmt_minutes`), метрики токенов/стоимости
+(`fmt_tokens`/`fmt_cost`), имя модели (`short_model_name`), статус-лейбл
+(`_card_status_label`) — вставляются **без** `html.escape`. `<1м` — первый сработавший
+экземпляр этого класса; задача закрывает класс, а не единичный символ.
+
+## 2. Объём (scope)
+
+### В объёме
+- Устранить HTML-инъекцию в `render_task_tracker`: любые **данные**, попадающие в текст
+  карточки с `parse_mode=HTML`, не должны ломать парсер Telegram (`< > &` в данных
+  безопасны).
+- Привести формат «длительность < 1 мин» к HTML-безопасному виду (экранированный `&lt;1м`
+  ИЛИ переформулировка `<1м` → `~0м` / `< 1 мин` с экранированием).
+- Сохранить работоспособность **намеренной** разметки карточки (`<a href>` номер задачи,
+  жирный/прочее форматирование) — экранируются только данные, не обёртка.
+- Восстановить обновления уже застрявших карточек (после фикса карточка возобновляет
+  обновления или переотправляется свежей).
+- Юнит-покрытие HTML-безопасности всех динамических полей; зелёный регресс `pytest tests/ -q`;
+  запись в `CHANGELOG.md`.
+
+### Вне объёма
+- Изменение `STAGE_TRANSITIONS`, `QG_CHECKS`, `check_*`, схемы БД — **не трогаются** (баг
+  чисто в слое рендера уведомлений).
+- Изменение режима трекера (`bump`/`edit`), логики леджера сирот (ORCH-087), статусной модели
+  ORCH-066, транспортных примитивов (`send_telegram`/`edit_telegram`/`delete_telegram`) —
+  кроме точечной HTML-безопасности самого текста.
+- Редизайн раскладки/состава карточки, новые метрики, перевод строк.
+- Изменение машинных вердиктов / frontmatter-контракта.
+
+## 3. Заинтересованные стороны
+
+- **Заказчик / репортёр:** Слава (оператор) — обнаружил баг 09.06 (карточка ORCH-093 застряла,
+  «по 91 уже нету»).
+- **Затронуты:** все наблюдатели Telegram-трекера по **всем** проектам (self-hosting: общий
+  прод-инстанс обслуживает и enduro-trails — карточки их задач так же уязвимы при стадии < 1 мин).
+- **Принимает результат:** reviewer/tester конвейера ORCH; финальная приёмка — оператор
+  (карточки снова обновляются в реальном времени).
+
+## 4. Бизнес-требования (BR)
+
+- **BR-1** — Карточка трекера, в тексте которой есть стадия длительностью < 1 мин, должна
+  успешно редактироваться (`editMessageText` → `200`, не `400 can't parse entities`). Источник
+  отказа — литерал `<1м` от `_fmt_minutes` — устранён. (⇒ G1, G2)
+- **BR-2** — **Все** динамические значения, вставляемые в текст карточки с `parse_mode=HTML`
+  (длительности, метрики токенов/стоимости, имя модели/эффорта, имена/лейблы стадий,
+  статус-лейбл, заголовок задачи), HTML-безопасны: символы `< > &` в **данных** не
+  интерпретируются Telegram как разметка. (⇒ G1)
+- **BR-3** — Длительность «меньше минуты» рендерится так, чтобы не выглядеть открывающим
+  HTML-тегом: экранированный `&lt;1м` **ИЛИ** переформулировка (`~0м` / `< 1 мин`) с
+  экранированием. Видимое оператору значение остаётся осмысленным («меньше минуты»). (⇒ G2)
+- **BR-4** — **Регресс намеренной разметки:** кликабельный номер задачи (`<a href>`,
+  `plane_issue_link`) и любое форматирование-обёртка (`<b>` и т.п.) продолжают рендериться и
+  оставаться кликабельными/валидными — экранируются только подставляемые данные, не разметка. (⇒ G3)
+- **BR-5** — Уже застрявшая карточка (класс ORCH-093) после деплоя фикса **возобновляет
+  обновления**: либо успешный `editMessageText` на следующем переходе стадии, либо
+  переотправка свежей карточки. Конкретный механизм восстановления (текст снова валиден →
+  edit проходит, ИЛИ классификация `can't parse entities` как пересоздаваемой) — решение
+  архитектора; бизнес-требование — карточка перестаёт быть «замёрзшей сиротой». (⇒ G... / AC-4)
+
+## 5. Нефункциональные требования (NFR)
+
+- **NFR-1 (never-raise):** `render_task_tracker` и весь путь уведомлений сохраняют контракт
+  «никогда не роняют конвейер» — любая ошибка рендера/экранирования деградирует к
+  fallback-строке, не исключение.
+- **NFR-2 (нулевая регрессия разметки):** существующие зелёные тесты трекера
+  (`test_telegram_tracker.py`, `test_tracker_*`, `test_notifications_orphans.py`,
+  `test_notify_issue_links.py`) остаются зелёными; кликабельность номера и формат строк не
+  деградируют визуально (кроме намеренной смены вида «<1м»).
+- **NFR-3 (self-hosting):** фикс — изменение **только** слоя рендера уведомлений; прод-контейнер
+  `orchestrator` не перезапускается в рамках стадий разработки; обязательна страховка
+  `deploy-staging` перед прод-деплоем. Машина стадий/гейты/схема БД не затрагиваются.
+- **NFR-4 (совместимость):** изменение обратносовместимо по данным/схеме; не требует миграций;
+  применяется к новым рендерам сразу после деплоя.
+
+## 6. Допущения и ограничения
+
+- Карточка всегда отправляется с `parse_mode=HTML` (`send_telegram:58`, `edit_telegram:175`) —
+  это инвариант (ссылки/жирный требуют HTML); переход на `parse_mode=None`/MarkdownV2 **не**
+  рассматривается (сломает намеренную разметку, шире объёма).
+- `fmt_tokens`/`fmt_cost` сейчас выдают только цифры/`.`/`k`/`M`/`$` (HTML-безопасно), но
+  требование BR-2 покрывает их **defence-in-depth** на случай будущих изменений формата.
+- Telegram-лимит 48ч: карточки старше 48ч физически неудаляемы/неперезаписываемы — для них
+  восстановление недостижимо (known-limitation, унаследовано от ORCH-087); BR-5 относится к
+  карточкам в пределах окна.
+- Источник `<1м` — `_fmt_minutes` (единственная функция, эмитящая литерал `<`); прочие данные
+  лишь потенциально опасны. Точка(и) внесения экранирования — решение архитектора (централизовать
+  в `_fmt_minutes`/на точке рендера/обёрткой-хелпером).
+
+## 7. Критерии успеха
+
+Карточка задачи со стадией < 1 мин успешно редактируется (нет `400 can't parse entities`);
+все динамические поля HTML-безопасны; намеренная разметка (ссылка-номер, форматирование)
+рендерится и кликабельна; застрявшие карточки возобновляют обновления; `never-raise` сохранён;
+`pytest tests/ -q` зелёный; `CHANGELOG.md` обновлён. Детальные PASS/FAIL — `03-acceptance-criteria.md`.
+
+## 8. Риски
+
+- **Двойное экранирование** уже экранированных полей (`esc_title`, href/label в
+  `plane_issue_link`) → `&amp;lt;` в выводе. Митигировать на стадии архитектуры (экранировать
+  ровно один раз на источник данных).
+- **Случайное экранирование разметки-обёртки** (`<a>`, `<b>`) → ссылки/жирный перестают
+  работать (регресс BR-4). Чёткая граница «данные vs обёртка».
+- Изменение вида «<1м» меняет визуал карточки — согласовать формулировку с оператором (BR-3
+  допускает оба варианта).
+- Детали/перечень — `10-tech-risks.md` (заполняет архитектор).

docs/work-items/ORCH-095/02-trz.md

@@ -0,0 +1,132 @@
+---
+work_item: ORCH-095
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 02 — ТЗ (TRZ): ORCH-095 — HTML-безопасность динамических полей render_task_tracker
+
+Work Item: **ORCH-095** · Repo: **orchestrator** · Стадия: analysis
+
+> ТЗ описывает **конкретные изменения к реализации**, выведенные из BRD и фактического кода.
+> Архитектурное обоснование/выбор точки внесения экранирования — задача архитектора (06-adr).
+
+## 1. Сводка изменения
+
+Текст live-карточки (`render_task_tracker`) собирается с `parse_mode=HTML` из намеренной
+разметки-обёртки (`<a href>` номер задачи, форматирование) и подставляемых **данных**. Сейчас
+экранирован только заголовок (`esc_title`) и href/label внутри `plane_issue_link`; остальные
+данные вставляются сырыми. Литерал `<1м` (длительность < 1 мин), возвращаемый `_fmt_minutes`,
+Telegram парсит как открывающий тег → `editMessageText` падает `400 can't parse entities` →
+`edit_telegram → EDIT_FAILED` → `update_task_tracker` делает ранний `return` → карточка
+застывает.
+
+Требуется: (а) сделать формат «< 1 мин» HTML-безопасным; (б) гарантировать HTML-безопасность
+**всех** данных, попадающих в текст карточки, **не** экранируя намеренную разметку-обёртку;
+(в) обеспечить возобновление обновлений ранее застрявших карточек. Изменение локализовано в
+слое уведомлений; машина стадий/гейты/схема БД не затрагиваются.
+
+## 2. Задействованные модули / пути
+
+| Путь | Действие |
+|------|----------|
+| `src/notifications.py` | **изменить** — `_fmt_minutes` (~280) и/или точки рендера в `render_task_tracker` (~355): HTML-безопасность данных |
+| `src/notifications.py::render_task_tracker` | **изменить** — экранировать данные: длительности (`dur`), `status_label`, `model`/`effort`, метрики (defence-in-depth); НЕ трогать `num_html`, `_done_link`-разметку |
+| `src/notifications.py::_card_status_label` (~1173) | **проверить/экранировать на потребителе** — статус-лейбл вставляется в `status_line` сырым |
+| `src/notifications.py::edit_telegram` (~157) | **возможно изменить** (на усмотрение архитектора) — классификация `can't parse entities` для восстановления застрявших карточек (BR-5/AC-4) |
+| `src/notifications.py::update_task_tracker` (~650) | **возможно затронуть** — ветка `EDIT_FAILED` vs пересоздание при перманентном parse-фейле (BR-5/AC-4) |
+| `tests/test_telegram_tracker.py` (или новый `tests/test_tracker_html_escape.py`) | **создать/дополнить** — юнит HTML-безопасности всех динамических полей |
+| `CHANGELOG.md` | **изменить** — запись о фиксе |
+
+> Примечание: `fmt_tokens`/`fmt_cost`/`short_model_name` живут в `src/usage.py`; их выход
+> сейчас HTML-безопасен (цифры/`.`/`k`/`M`/`$`/имя модели). Менять `src/usage.py` **не
+> требуется** — defence-in-depth экранирование делается на потребителе в `notifications.py`.
+
+## 3. Функциональные требования
+
+### FR-1 — HTML-безопасный формат «меньше минуты» (⇒ BR-1, BR-3)
+Длительность стадии < 60 с не должна порождать подстроку, которую Telegram трактует как
+открывающий тег. Текущий `_fmt_minutes(seconds)` при `0 < seconds < 60` возвращает литерал
+`"<1м"` (`notifications.py:288-289`). Поведение должно стать одним из (выбор — архитектор):
+- экранированный вывод `&lt;1м` (видится оператору как `<1м`), **либо**
+- переформулировка `~0м` / `< 1 мин` с последующим экранированием.
+Инвариант: для **любого** входа `_fmt_minutes` (включая `0м`, `Nм`, `~Nм` от
+`_capped_review_str`) результат, попав в `parse_mode=HTML`, не ломает парсер. `_fmt_minutes`
+сохраняет never-raise (нечисловой/None вход → `0м`).
+
+### FR-2 — HTML-безопасность всех данных карточки (⇒ BR-2)
+Каждое **подставляемое значение-данные**, попадающее в текст `render_task_tracker`,
+экранируется `html.escape(...)` ровно один раз перед вставкой в HTML-текст. Перечень полей-данных:
+
+| Поле | Источник | Текущий статус |
+|------|----------|----------------|
+| Заголовок задачи | `title` → `esc_title` | уже экранирован ✓ (не дублировать) |
+| Длительности стадий / BRD / done | `_fmt_minutes`, `_capped_review_str` | **дыра** (FR-1) |
+| Статус-лейбл карточки | `_card_status_label` → `status_label` | **дыра** — экранировать |
+| Имя модели | `short_model_name(last["model"])` | экранировать (defence-in-depth) |
+| Эффорт | `_run_effort(last)` | экранировать (defence-in-depth) |
+| Токены / стоимость | `fmt_tokens`/`fmt_cost` | HTML-безопасны; экранировать defence-in-depth |
+| Метка «попытка N» / лейблы стадий | статические константы `_TRACKER_STAGES`/`_BRD_LABEL` | статичны; не требуют, но безопасно |
+
+Инвариант FR-2: после рендера **ни один** символ `< > &`, пришедший из данных, не остаётся
+неэкранированным в выходном тексте.
+
+### FR-3 — Сохранность намеренной разметки-обёртки (⇒ BR-4)
+Намеренные HTML-фрагменты **не** экранируются:
+- `num_html` = `plane_issue_link(...)` — кликабельный `<a href>` номер задачи (внутри уже
+  экранированы href через `html.escape(url, quote=True)` и label);
+- `link_for(...)` в строке «⏳ ждёт …» — намеренные ссылки;
+- `_done_link(...)` — строка `🔗 PR #n · 📦 Внедрено`.
+После фикса эти фрагменты рендерятся как валидный HTML и остаются кликабельными. Запрещено
+двойное экранирование уже экранированных полей (`esc_title`, внутренности `plane_issue_link`).
+
+### FR-4 — Возобновление обновлений застрявших карточек (⇒ BR-5)
+После деплоя фикса карточка, ранее застрявшая на `400 can't parse entities`, должна
+возобновить обновления. Достаточное условие по умолчанию: текст следующего рендера больше не
+содержит небезопасной подстроки → `editMessageText` проходит (`200`) на ближайшем переходе
+стадии. Опционально (решение архитектора): классифицировать перманентный parse-фейл в
+`edit_telegram`/`update_task_tracker` как повод **переотправить** свежую карточку вместо
+тихого `return` по `EDIT_FAILED` — но **без** регресса защиты от дублей (ORCH-087: транзиентные
+фейлы по-прежнему НЕ плодят карточки). Если выбирается переклассификация — она должна отличать
+перманентный `can't parse entities` от транзиентного (network/timeout/5xx).
+
+### FR-5 — never-raise (⇒ NFR-1)
+Все изменённые функции сохраняют контракт «никогда не роняют конвейер»: ошибка
+экранирования/рендера → деградация к существующему fallback (`f"task-{task_id}"` /
+пропуск строки), не исключение наружу.
+
+## 4. Изменения API
+
+Нет. HTTP-эндпоинты не добавляются/не меняются. (Внешний вызов — только исходящий
+`editMessageText`/`sendMessage` к Telegram Bot API; контракт вызова не меняется, меняется
+лишь безопасность `text`.)
+
+## 5. Изменения схемы БД
+
+Нет. Таблицы `tasks`/`agent_runs`/`tracker_messages` не затрагиваются; миграций нет.
+
+## 6. Требования к новым/изменённым QG checks
+
+Нет. `QG_CHECKS` / `check_*` / `STAGE_TRANSITIONS` / машинные вердикты не затрагиваются. Баг —
+в слое рендера уведомлений, вне Quality Gate.
+
+## 7. Совместимость / регресс
+
+- **Обратная совместимость:** изменение чисто в формировании строки текста карточки; данные
+  БД, схема, режимы трекера (`bump`/`edit`), леджер сирот (ORCH-087), статусная модель
+  (ORCH-066) — без изменений.
+- **Область раската:** все проекты на общем прод-инстансе (self-hosting) — фикс применяется к
+  каждому новому рендеру сразу после деплоя; не требует миграции/бэкфилла.
+- **Kill-switch:** не требуется (исправление дефекта корректности, а не новая фича-ветка). Если
+  архитектор выбирает переклассификацию parse-фейла в `update_task_tracker` (FR-4 опц.) —
+  оценить целесообразность флага; по умолчанию изменение поведения минимально и безопасно.
+- **Обратимость:** изменение откатывается обычным revert PR (только `notifications.py` +
+  тесты + CHANGELOG); прод-контейнер не требует ручных операций над данными.
+- **Артефакты pipeline:** обновляются `12-review.md` (reviewer), `13-test-report.md` (tester),
+  `06-adr/ADR-001-*.md` (архитектор — выбор точки экранирования и стратегии FR-4),
+  `CHANGELOG.md`. Машинные вердикты гейтов — без изменений.
+- **Self-hosting:** обязательна стадия `deploy-staging` (8501) перед прод-деплоем; прод
+  `orchestrator` не рестартуется в рамках разработки.

docs/work-items/ORCH-095/03-acceptance-criteria.md

@@ -0,0 +1,97 @@
+---
+work_item: ORCH-095
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 03 — Критерии приёмки (Acceptance Criteria): ORCH-095 — HTML-инъекция «<1м» в render_task_tracker
+
+Work Item: **ORCH-095** · Repo: **orchestrator** · Стадия: analysis
+
+Формат: каждый критерий имеет **PASS** (что должно быть истинно для приёмки) и **FAIL**
+(что считается провалом). Любой машинный/ручной reviewer проверяет их буквально по файлам
+репозитория.
+
+---
+
+## AC-1 — Стадия < 1 мин не ломает парсер Telegram
+
+**Условие:** `render_task_tracker` для задачи, у которой хотя бы одна стадия длилась < 60 с,
+выдаёт текст, безопасный для `parse_mode=HTML` (нет неэкранированного `<` в данных длительности).
+- **PASS:** В выходном тексте подстрока длительности «меньше минуты» представлена как `&lt;1м`
+  (или переформулированный безопасный вид `~0м` / `< 1 мин` без сырого `<`); `editMessageText`
+  с этим текстом не вернул бы `400 can't parse entities: Unsupported start tag "1м"`. Юнит-тест
+  на `_fmt_minutes(30)` / `render_task_tracker(...)` подтверждает отсутствие сырого `<` от
+  длительности.
+- **FAIL:** Текст содержит сырой `<1м` (или иной литерал `<`+нецифра) из данных длительности;
+  тест на парсинг/наличие сырого `<` падает.
+
+---
+
+## AC-2 — Все динамические поля карточки HTML-безопасны (юнит)
+
+**Условие:** Существует юнит-тест, проверяющий, что каждое подставляемое **данные-поле**
+`render_task_tracker` экранировано: длительность, токены, стоимость (`$`), заголовок с
+спецсимволами `< > &`, статус-лейбл, имя модели/эффорт.
+- **PASS:** Тест рендерит карточку с заголовком, содержащим `<`, `>`, `&` (напр.
+  `"A <b>x</b> & <1"`), и стадией < 1 мин; ассертит, что эти спецсимволы из ДАННЫХ
+  присутствуют в выводе только в экранированном виде (`&lt;`/`&gt;`/`&amp;`) и НЕ как
+  сырые теги; одновременно нет двойного экранирования (`&amp;lt;`).
+- **FAIL:** Тест отсутствует, либо любое из перечисленных данных-полей попадает в текст без
+  экранирования, либо обнаруживается двойное экранирование.
+
+---
+
+## AC-3 — Регресс намеренной разметки (ссылка-номер, форматирование)
+
+**Условие:** После фикса намеренная HTML-разметка карточки продолжает рендериться валидной и
+кликабельной.
+- **PASS:** Кликабельный номер задачи (`<a href="…">ORCH-095</a>` от `plane_issue_link`)
+  присутствует в выводе как валидный незаэкранированный `<a>`-тег; строки `🔗 PR #n`/`📦`
+  (`_done_link`) и любое форматирование-обёртка рендерятся; существующие тесты
+  `test_tracker_issue_link.py`/`test_notify_issue_links.py`/`test_telegram_tracker.py`
+  зелёные. Двойного экранирования href/label нет.
+- **FAIL:** Номер задачи перестал быть кликабельным (`<a>` заэкранирован в `&lt;a&gt;`), либо
+  любой регресс-тест разметки красный.
+
+---
+
+## AC-4 — Застрявшая карточка возобновляет обновления
+
+**Условие:** Карточка, ранее застрявшая на `400 can't parse entities` (класс ORCH-093), после
+фикса снова обновляется.
+- **PASS:** На следующем переходе стадии текст рендера больше не содержит небезопасной
+  подстроки → `editMessageText` проходит (`200`); ИЛИ (если выбрана стратегия FR-4-опц.)
+  перманентный parse-фейл классифицируется как повод переотправить свежую карточку, и
+  `update_task_tracker` отправляет новую. Поведение покрыто тестом (рендер валиден → edit-путь
+  не возвращает `EDIT_FAILED` из-за parse-ошибки).
+- **FAIL:** После фикса карточка с прежним содержимым по-прежнему даёт `EDIT_FAILED` и не
+  обновляется/не переотправляется; либо защита от дублей (ORCH-087) сломана — транзиентный
+  фейл теперь плодит дубликаты карточек.
+
+---
+
+## AC-5 — never-raise, зелёный регресс, CHANGELOG
+
+**Условие:** Контракт надёжности и гигиена изменения сохранены.
+- **PASS:** `render_task_tracker`/`update_task_tracker`/`edit_telegram` не выбрасывают
+  исключение наружу при любом входе (включая «битый» заголовок/None); `pytest tests/ -q`
+  полностью зелёный; в `CHANGELOG.md` есть запись о фиксе ORCH-095; `STAGE_TRANSITIONS`/
+  `QG_CHECKS`/`check_*`/схема БД не изменены (diff их не трогает).
+- **FAIL:** Любой тест в `tests/` красный; обнаружено непойманное исключение в пути рендера;
+  тронуты машина стадий/гейты/схема БД; нет записи в `CHANGELOG.md`.
+
+---
+
+## Сводная матрица AC ↔ FR/BR
+
+| AC | Покрывает |
+|----|-----------|
+| AC-1 | BR-1, BR-3 / FR-1 |
+| AC-2 | BR-2 / FR-2 |
+| AC-3 | BR-4 / FR-3 |
+| AC-4 | BR-5 / FR-4 |
+| AC-5 | NFR-1, NFR-2 / FR-5 |

docs/work-items/ORCH-095/04-test-plan.yaml

@@ -0,0 +1,95 @@
+work_item: ORCH-095
+stage: analysis
+author_agent: analyst
+status: ready-for-review
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+title: "HTML-безопасность динамических полей render_task_tracker (фикс инъекции «<1м»)"
+framework: pytest
+scope: >
+  Покрывается: HTML-безопасность всех подставляемых данных в render_task_tracker
+  (длительности < 1 мин, токены/стоимость, имя модели/эффорт, статус-лейбл, заголовок со
+  спецсимволами), сохранность намеренной разметки (<a href> номер задачи, _done_link),
+  возобновление обновлений застрявшей карточки, never-raise. Вне покрытия: реальная сеть к
+  Telegram Bot API (мокируется httpx), изменения STAGE_TRANSITIONS/QG_CHECKS/схемы БД (не
+  трогаются).
+notes: >
+  Тесты — изоляция от сети: httpx.post/get мокируются; БД — временная SQLite-фикстура с
+  задачей и agent_runs (стадия < 60 с). Полный регресс pytest tests/ -q должен оставаться
+  зелёным, включая существующие test_telegram_tracker.py / test_tracker_*.py /
+  test_notifications_orphans.py / test_notify_issue_links.py. Регрессом считается: красный
+  любой существующий тест трекера, заэкранированная намеренная разметка, двойное
+  экранирование, непойманное исключение в пути рендера.
+
+tests:
+  - id: TC-01
+    type: unit
+    description: "_fmt_minutes для длительности < 60 с (напр. 30) не возвращает сырой '<1м': результат HTML-безопасен (&lt;1м либо переформулированный '~0м'/'< 1 мин' без сырого '<')."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "_fmt_minutes для граничных входов (0, None, нечисловое, ровно 60, большое значение) — never-raise и HTML-безопасный вывод во всех ветках."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: "render_task_tracker для задачи со стадией < 1 мин: в выходном тексте нет неэкранированного '<' из данных длительности; подстрока длительности безопасна для parse_mode=HTML."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: "render_task_tracker с заголовком, содержащим спецсимволы '<', '>', '&' (напр. 'A <b>x</b> & <1'): спецсимволы данных присутствуют только экранированными (&lt;/&gt;/&amp;), не как сырые теги; двойного экранирования (&amp;lt;) нет."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: "Статус-лейбл (_card_status_label) и имя модели/эффорт, попадающие в текст карточки, экранированы (defence-in-depth): спецсимволы в них не ломают HTML."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: "Метрики токенов/стоимости (fmt_tokens/fmt_cost) в карточке HTML-безопасны: '$' и числовой формат не порождают сырых тегов."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: "Регресс намеренной разметки: кликабельный номер задачи (plane_issue_link -> <a href>) присутствует в выводе как валидный незаэкранированный <a>-тег; href/label не задвоены экранированием."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: "Регресс _done_link: для завершённой задачи строка '🔗 PR #n · 📦 Внедрено' рендерится валидной (ссылочная разметка не экранирована)."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-09
+    type: integration
+    description: "update_task_tracker (edit-режим) с замоканным editMessageText: текст карточки со стадией < 1 мин принимается (мок ассертит отсутствие 'can't parse entities'-триггера, т.е. нет сырого '<1м' в payload text)."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-10
+    type: integration
+    description: "Возобновление застрявшей карточки (AC-4): после фикса валидный рендер проходит edit-путь без EDIT_FAILED из-за parse-ошибки; защита от дублей сохранена — транзиентный (network) фейл по-прежнему НЕ плодит новую карточку."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-11
+    type: unit
+    description: "never-raise: render_task_tracker на 'битых' входах (отсутствует задача, None-заголовок, нечисловые длительности) возвращает fallback-строку, не выбрасывает исключение."
+    module: tests/test_tracker_html_escape.py
+    expected: PASS
+
+  - id: TC-12
+    type: integration
+    description: "Полный регресс существующих тестов трекера (test_telegram_tracker.py, test_tracker_issue_link.py, test_tracker_status_line.py, test_notifications_orphans.py, test_notify_issue_links.py) остаётся зелёным после фикса."
+    module: tests/test_telegram_tracker.py
+    expected: PASS

docs/work-items/ORCH-095/06-adr/ADR-001-html-safe-card-data-render.md

@@ -0,0 +1,209 @@
+---
+work_item: ORCH-095
+stage: architecture
+author_agent: architect
+status: accepted
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# ADR-001: HTML-безопасный рендер данных live-карточки трекера (устранение инъекции «<1м»)
+
+Work Item: **ORCH-095** — HTML-инъекция `<1м` в `render_task_tracker` застывает live-карточку
+Стадия: **architecture**
+Сквозная регистрация: **N/A — локальное решение задачи.** Изменение целиком в слое рендера
+уведомлений (`src/notifications.py`); новой стадии/QG/компонента/смены БД нет, инварианты
+`STAGE_TRANSITIONS`/`QG_CHECKS`/схемы не затрагиваются → глобальный `adr-NNNN` не заводится
+(прецедент — ORCH-091, такой же indication-only фикс рендера, тоже без сквозного ADR).
+
+## Статус
+Accepted
+
+## Контекст
+
+Live-карточка задачи (`src/notifications.py::render_task_tracker`) — основной канал видимости
+конвейера для оператора, инвариант «одна карточка на задачу» (ORCH-042/067/087). Карточка
+отправляется и редактируется с `parse_mode=HTML` (`send_telegram:58`, `edit_telegram:175`).
+
+**Сверено по коду.** `_fmt_minutes(seconds)` (`notifications.py:280-290`) при `0 < seconds < 60`
+возвращает литерал `"<1м"`:
+
+```python
+if seconds < 60:
+    return "<1м"
+```
+
+Эта подстрока интерполируется в HTML-текст карточки **без экранирования** (`_stage_line`:
+`dur = _fmt_minutes(dur_sum)` → строка `f"✅ {label:<13} {dur} · …"`; те же `_fmt_minutes` /
+`_capped_review_str` в строке BRD и в итоговой строке времени). Telegram трактует `<1м` как
+открывающий HTML-тег → `editMessageText` отвечает `400 Bad Request: can't parse entities:
+Unsupported start tag "1м"`. В `edit_telegram` неизвестный `400` классифицируется как
+`EDIT_FAILED` (`notifications.py:203`), а `update_task_tracker` по ветке `EDIT_FAILED` делает
+ранний `return` (анти-дубль ORCH-087) → **карточка застывает** (воспроизведено детерминированно
+09.06 на ORCH-093, `message_id 18854`).
+
+**Корневой класс шире одного `<1м`.** Текст карточки — смесь (а) намеренной разметки-обёртки
+(`<a href>` номер задачи `num_html`, `link_for`, `_done_link`; заголовок уже экранирован как
+`esc_title`, `notifications.py:428`) и (б) подставляемых **данных**. Экранирована только
+категория-обёртка (href/label в `plane_issue_link` через `html.escape(..., quote=True)`) и
+заголовок. Прочие данные — длительности (`_fmt_minutes`/`_capped_review_str`), статус-лейбл
+(`_card_status_label` → `status_label`), имя модели (`short_model_name`), эффорт (`_run_effort`),
+токены/стоимость (`fmt_tokens`/`fmt_cost`) — вставляются сырыми. `<1м` — первый сработавший
+экземпляр класса «неэкранированные данные в HTML-тексте»; ТЗ требует закрыть класс, а не символ
+(BR-2/FR-2).
+
+«Как есть» не годится: симптом плавающий (ловится только когда хотя бы одна стадия длилась
+< 60 с и её строка попадает в редактируемый текст), а отказ перманентный для конкретной карточки
+до конца жизни задачи — оператор слепнет.
+
+## Решение
+
+### Сводка
+
+Локализуем HTML-безопасность в **границе рендера**: каждое подставляемое **данные-значение**
+экранируется `html.escape(...)` ровно один раз в точке интерполяции в `render_task_tracker`;
+функции-источники данных (`_fmt_minutes`, `short_model_name`, `_run_effort`, `fmt_tokens`,
+`fmt_cost`, `_card_status_label`) остаются **HTML-агностичными** (производят данные, не разметку).
+Намеренная разметка-обёртка (`num_html`, `link_for(...)`, `_done_link`, уже-экранированный
+`esc_title`) через экранирование **не** проходит. Литерал `<1м` в `_fmt_minutes` **сохраняется
+как есть**: будучи экранированным на границе (`&lt;1м`), он рендерится оператору визуально
+идентично (`<1м`) → видимый формат не меняется, согласование формулировки не требуется.
+
+### D1 — Точка внесения экранирования: граница рендера, не источник данных (⇒ FR-1, FR-2)
+
+Экранирование делается на **потребителе** (внутри `render_task_tracker`/`_stage_line`), а не
+внутри функций-источников. Модель «слотов»: текст карточки собирается из слотов двух категорий —
+
+- **Категория M (markup, НЕ экранировать):** `num_html` (`plane_issue_link`, внутри уже
+  экранированы href+label), `link_for(...)` в строке «⏳ ждёт …», `_done_link(...)`
+  («🔗 PR #n · 📦 Внедрено»), `esc_title` (уже экранирован в строке 428).
+- **Категория D (data, экранировать ровно один раз):** `dur` (`_fmt_minutes`/`_capped_review_str`),
+  `status_label` (`_card_status_label`), `model` (`short_model_name`), `effort` (`_run_effort`),
+  `in_tok`/`out_tok` (`fmt_tokens`), `cost` (`fmt_cost`), а также числовые `attempt` и static-лейблы
+  стадий (`_TRACKER_STAGES`/`_BRD_LABEL` — статичны и безопасны, но проходят через D ради
+  единообразного инварианта).
+
+Рекомендуемая реализация (необязательна к буквальному следованию — выбор формы за developer):
+завести тонкий модуль-локальный хелпер `def _esc(x): return html.escape(str(x))` (never-raise:
+на исключении `str()` → пустая строка/исходный fallback) и обернуть им каждый D-слот в момент
+присваивания, например `dur = _esc(_fmt_minutes(dur_sum))`, `model = _esc(short_model_name(...))`,
+`status_label = _esc(status_label)`. Источники данных НЕ трогаются (в т.ч. `src/usage.py` —
+`fmt_tokens`/`fmt_cost`/`short_model_name` остаются как есть; defence-in-depth делается на
+потребителе, как зафиксировано в ТЗ §2).
+
+**Почему граница рендера, а не источник.** (1) Single-responsibility: `_fmt_minutes` и
+`short_model_name` используются и вне HTML-контекста (логи, потенциально иные потребители) —
+вшивать `&lt;` в их вывод сделало бы данные «грязными» в не-HTML-контексте. (2) Инвариант FR-2
+формулируется и тестируется как свойство ОДНОЙ функции (`render_task_tracker`): «ни один символ
+`< > &` из данных не остаётся неэкранированным в выходе» — а не как разрозненные контракты пяти
+источников. (3) Экранирование на границе по построению исключает двойное экранирование: каждый
+D-слот экранируется в ровно одной точке; M-слоты не экранируются вовсе.
+
+**Инвариант D1:** видимый оператору формат всех D-полей не меняется (escape `<1м`→`&lt;1м`
+рендерится как `<1м`; `~Nм`, `Nм`, токены/стоимость/модель символов `< > &` не содержат →
+escape для них no-op).
+
+### D2 — Сохранение `<1м` в источнике; формат-источник `_fmt_minutes` не меняется (⇒ FR-1, BR-3)
+
+BR-3/FR-1 допускают два пути: (а) экранировать `&lt;1м`, либо (б) переформулировать (`~0м` /
+`< 1 мин`). Выбираем **(а)**: `_fmt_minutes` продолжает возвращать `"<1м"`, безопасность даёт
+escape на границе (D1). Это минимизирует поверхность изменения (никаких правок числовой/строковой
+логики `_fmt_minutes`, `_capped_review_str`, тестов формата длительности) и сохраняет видимый
+оператору вид `<1м` без согласования новой формулировки. `_fmt_minutes` сохраняет never-raise
+(нечисловой/None → `0м`) без изменений.
+
+### D3 — Defence-in-depth: экранируются ВСЕ D-поля, включая сейчас-безопасные (⇒ FR-2, BR-2)
+
+Экранируются все поля категории D, в т.ч. сейчас гарантированно безопасные (`fmt_tokens`/
+`fmt_cost` дают только цифры/`.`/`k`/`M`/`$`; `short_model_name` — `^claude-…$`). Стоимость
+нулевая (escape безопасной строки — no-op), выгода — **структурный инвариант**: «каждый D-слот
+карточки экранирован», который защищает от регрессии при будущей смене формата любого источника
+(напр. если в имя модели/эффорта когда-нибудь попадёт пользовательский ввод). Тест AC-2 ассертит
+инвариант, а не отдельные поля.
+
+### D4 — FR-4 (восстановление застрявших карточек): авто-recovery следующим рендером; парс-фейл НЕ переклассифицируется (⇒ BR-5, FR-4)
+
+Механизм восстановления — **достаточное условие по умолчанию** из FR-4: после деплоя фикса на
+ближайшем переходе стадии `update_task_tracker` рендерит НОВЫЙ безопасный текст и вызывает
+`edit_telegram(mid, new_text)` → Telegram отвечает `200` → застрявшая карточка (класс ORCH-093)
+обновляется на месте. **Нового кода не требуется.**
+
+Опциональную переклассификацию `can't parse entities` в `edit_telegram`/`update_task_tracker`
+(переотправка свежей карточки вместо `EDIT_FAILED`) **отвергаем**:
+
+- **Не помогает.** Если текст всё ещё небезопасен, `send_telegram` упадёт на том же `400`
+  идентично `editMessageText` (тот же `parse_mode=HTML`) и вернёт `None` → новой карточки нет.
+  После фикса D1–D3 источник `can't parse entities` из НАШИХ данных структурно устранён, поэтому
+  отдельная ветка восстановления лечит несуществующий после фикса случай.
+- **Риск.** Любое касание ветки `EDIT_FAILED`/леджера сирот рискует инвариантом ORCH-087
+  (транзиентный фейл НЕ должен плодить карточки). Минимальная поверхность безопаснее.
+
+`edit_telegram`, `update_task_tracker`, `send_telegram`, леджер `tracker_messages`, режимы
+`bump`/`edit` — **не трогаются**. Known-limitation (унаследовано ORCH-087): для карточки, у
+которой после фикса больше НЕ будет переходов стадии (задача завершилась до деплоя), повторного
+рендера не возникнет → карточка остаётся замёрзшей; Telegram-лимит 48ч делает её неперезаписываемой
+вне окна. BR-5 относится к карточкам в пределах окна с предстоящими переходами.
+
+### D5 — Граница «данные vs обёртка»: M-слоты неприкосновенны, двойное экранирование запрещено (⇒ FR-3, BR-4)
+
+`num_html` (`plane_issue_link`), `link_for(...)`, `_done_link(...)` и `esc_title` через `_esc`
+НЕ проходят — остаются валидным HTML, номер задачи кликабелен. Внутренности `plane_issue_link`
+(href `html.escape(url, quote=True)`, label `html.escape(work_item_id)`) уже экранированы — повторно
+их не экранируем (иначе `&amp;lt;`, регресс AC-2/AC-3). Граница явная и тестируемая: D-слот → `_esc`;
+M-слот → as-is.
+
+### D6 — Трассировка и инварианты соседних маркеров (⇒ NFR-2, NFR-3)
+
+`render_task_tracker`/`_stage_line` несут маркеры ORCH-042/067/087/091. Изменение ORCH-095
+**аддитивно** к ним и обязано сохранить их инварианты: «одна карточка на задачу», леджер сирот и
+анти-дубль (ORCH-087), отражение откатов + суммирование метрик `_stage_line` (ORCH-091), строка
+Plane-статуса/кликабельный номер (ORCH-067). Поскольку ORCH-095 лишь оборачивает уже вычисленные
+D-значения в `_esc`, не меняя ни состава строк, ни порядка, ни логики подавления/суммирования —
+инварианты сохраняются по построению. Новые/изменённые строки помечаются маркером `ORCH-095`;
+блок остаётся читаемым (не вводим 3+ новых маркера в один блок → сводный сквозной ADR не требуется,
+TRACEABILITY анти-археология соблюдена).
+
+## Альтернативы
+
+- **Экранировать в источнике (`_fmt_minutes` возвращает `&lt;1м`)** — отвергнуто: пачкает данные
+  в не-HTML-контексте (логи), размазывает инвариант FR-2 по пяти функциям, усложняет защиту от
+  двойного экранирования (D1).
+- **Переформулировать `<1м` → `~0м`/`< 1 мин`** — отвергнуто: меняет видимый оператору формат
+  (требует согласования), трогает логику/тесты `_fmt_minutes`; escape на границе достигает того же
+  при меньшей поверхности и нулевом визуальном изменении (D2).
+- **Переключить карточку на `parse_mode=None`/MarkdownV2** — отвергнуто (вне объёма BRD §6):
+  сломает намеренную разметку (`<a href>` номер, `<b>`), MarkdownV2 требует экранирования ещё
+  большего набора символов.
+- **Переклассификация `can't parse entities` → переотправка** — отвергнуто (D4): не помогает
+  (send падает идентично), риск инварианту анти-дубля ORCH-087.
+
+## Последствия
+
+- **+** Класс «неэкранированные данные в HTML-тексте карточки» закрыт целиком (BR-2); `<1м` и
+  любые будущие `< > &` из данных безопасны; карточка со стадией < 1 мин редактируется (`200`).
+- **+** Структурный defence-in-depth инвариант («каждый D-слот экранирован»), тестируемый одним
+  свойством `render_task_tracker` (AC-2), устойчив к будущим сменам формата источников.
+- **+** Видимый формат карточки и намеренная разметка (кликабельный номер, `_done_link`) без
+  изменений (BR-3/BR-4); никаких миграций/правок схемы/гейтов (NFR-3/NFR-4).
+- **+** Застрявшие (в окне) карточки авто-восстанавливаются следующим рендером без нового кода
+  (BR-5).
+- **−** Точечная дисциплина «D-слот → `_esc`, M-слот → as-is» вносит точку для будущих ошибок
+  (можно забыть обернуть новый D-слот или по ошибке обернуть M-слот → двойное экранирование).
+  Митигейшн: тест-инвариант AC-2 (нет сырого `< > &` из данных И нет `&amp;lt;`) ловит обе
+  ошибки; явный реестр M-слотов в D5.
+- **−** Карточки задач, завершившихся до деплоя фикса, не восстанавливаются (нет будущего
+  рендера) — known-limitation, унаследовано ORCH-087/Telegram-48ч; вне управляемого.
+- **Откат:** обычный revert PR (только `src/notifications.py` + тесты + `CHANGELOG.md` +
+  doc-правки); прод-контейнер `orchestrator` не требует ручных операций над данными/БД.
+
+## Ссылки
+- BRD: `docs/work-items/ORCH-095/01-brd.md`
+- TRZ: `docs/work-items/ORCH-095/02-trz.md`
+- Acceptance: `docs/work-items/ORCH-095/03-acceptance-criteria.md`
+- Tech-risks: `docs/work-items/ORCH-095/10-tech-risks.md`
+- Сверено по коду: `src/notifications.py` (`_fmt_minutes:280-290`, `_capped_review_str:315-336`,
+  `render_task_tracker:355-610`, `_stage_line:467-507`, `_card_status_label:1173-1186`,
+  `plane_issue_link:932-949`, `_done_link:613-647`, `link_for:952-984`, `edit_telegram:157-207`,
+  `update_task_tracker:650-746`, `send_telegram:42-71`, `esc_title:428`)
+- Инварианты соседей: ORCH-042/067 (карточка/номер), ORCH-087 (леджер сирот/анти-дубль),
+  ORCH-091 (откаты/суммирование `_stage_line`) — `docs/architecture/internals.md` §7

docs/work-items/ORCH-095/10-tech-risks.md

@@ -0,0 +1,37 @@
+---
+work_item: ORCH-095
+stage: architecture
+author_agent: architect
+status: accepted
+created_at: 2026-06-09
+model_used: claude-opus-4-8
+---
+
+# 10 — Технические риски: ORCH-095 — HTML-безопасность данных live-карточки
+
+Work Item: **ORCH-095** · Repo: **orchestrator** · Стадия: architecture
+
+> Информационный (гейтом не парсится). Перечисляет риски реализации и их митигейшн.
+
+## Реестр рисков
+
+| ID | Риск | Вер. | Влия. | Митигейшн |
+|----|------|------|-------|-----------|
+| TR-1 | **Двойное экранирование** уже-экранированных полей (`esc_title`, href/label внутри `plane_issue_link`) → `<` в выводе, визуальный мусор / регресс AC-2 | Сред. | Сред. | D1/D5: явный реестр M-слотов (markup) — через `_esc` НЕ проходят; `esc_title` остаётся единственной точкой escape заголовка; тест AC-2 ассертит отсутствие `<` |
+| TR-2 | **Случайное экранирование разметки-обёртки** (`num_html`/`link_for`/`_done_link`) → `<a>` превращается в `&lt;a&gt;`, номер задачи перестаёт быть кликабельным (регресс BR-4/AC-3) | Низ. | Выс. | D5: M-слоты неприкосновенны; регресс-тесты `test_tracker_issue_link.py`/`test_notify_issue_links.py`/`test_telegram_tracker.py` зелёные; AC-3 проверяет наличие валидного `<a href>` в выводе |
+| TR-3 | **Пропущен новый/существующий D-слот** (забыли обернуть `_esc`) → инъекция возвращается на другом поле | Низ. | Сред. | D3 defence-in-depth (обернуть ВСЕ D-поля разом); тест-инвариант AC-2 рендерит карточку с `< > &` в данных и ассертит отсутствие сырых спецсимволов из данных в выводе (свойство `render_task_tracker`, не пер-поле) |
+| TR-4 | **Регресс never-raise**: `_esc(str(x))` на «битом» входе (объект с падающим `__str__`) бросает исключение в пути рендера (нарушение NFR-1) | Низ. | Сред. | FR-5: `_esc` сам never-raise (try/except → fallback-строка); путь `render_task_tracker`/`update_task_tracker` уже обёрнут `try/except` (строки 654/745); тест AC-5 с «битым» входом |
+| TR-5 | **Застрявшая карточка не восстановилась** (задача завершилась до деплоя → нет будущего рендера) | Сред. | Низ. | Принятая known-limitation (D4): авто-recovery работает только при предстоящем переходе стадии; вне окна — Telegram-48ч (унаследовано ORCH-087); BR-5 ограничен карточками в окне |
+| TR-6 | **Скрытая регрессия инвариантов соседних маркеров** (ORCH-087 анти-дубль, ORCH-091 суммирование `_stage_line`) при правке тела `_stage_line`/`render_task_tracker` | Низ. | Выс. | D6: изменение аддитивно (лишь оборачивает уже вычисленные значения в `_esc`), не меняет состав/порядок строк, логику подавления откатов и суммирования; полный регресс `pytest tests/ -q` зелёный (NFR-2) |
+| TR-7 | **Self-hosting**: фикс деплоится на общий прод-инстанс (затронуты и enduro-trails) | Низ. | Сред. | NFR-3: изменение только слоя рендера; `STAGE_TRANSITIONS`/`QG_CHECKS`/схема БД не тронуты; обязательная страховка `deploy-staging` (8501) перед прод-деплоем; прод `orchestrator` не рестартится в рамках разработки |
+
+## Сводный вывод
+
+Доминирующий класс рисков — **регресс рендера** (двойное экранирование / случайное экранирование
+разметки / пропущенный D-слот), полностью покрываемый тест-инвариантом AC-2 + существующими
+регресс-тестами трекера (AC-3/AC-5). Изменение **локализовано** в `src/notifications.py` (слой
+рендера уведомлений), аддитивно к маркерам ORCH-042/067/087/091, не затрагивает машину стадий,
+Quality Gates, схему БД, транспортные примитивы и режимы трекера. Остаточный риск для
+прод-конвейера (self-hosting) — **низкий**: контракт never-raise сохранён, откат — обычный revert
+PR без операций над данными. Эскалация `arch:major-change` **не требуется**; возврат в анализ
+**не требуется** (ТЗ реализуемо без нарушения архитектурных принципов).

docs/work-items/ORCH-095/12-review.md

@@ -0,0 +1,81 @@
+---
+verdict: APPROVED
+work_item: ORCH-095
+stage: review
+author_agent: reviewer
+status: approved
+created_at: 2026-06-10
+model_used: claude-opus-4-8
+type: review
+work_item_id: ORCH-095
+version: 1
+---
+
+# Review ORCH-095
+
+## Summary
+
+Фикс HTML-инъекции `<1м` в live-карточке трекера. Точечное, аддитивное, never-raise изменение
+в индикативном слое (`src/notifications.py`): новый модуль-локальный хелпер `_esc(x) =
+html.escape(str(x))` оборачивает каждый **data**-слот (`dur`/`_fmt_minutes`/`_capped_review_str`,
+`status_label`, `model`, `effort`, токены/стоимость) ровно один раз на границе рендера
+(`render_task_tracker`/`_stage_line`); **markup**-слоты (`num_html`/`link_for`/`_done_link`/
+уже-экранированный `esc_title`) не трогаются. Источники (`_fmt_minutes`, `src/usage.py`) остаются
+HTML-агностичными.
+
+Проверены все четыре оси. Реализация соответствует ТЗ (FR-1…FR-5) и ADR-001 (D1…D6) буквально;
+все 5 AC выполнены. `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / схема БД / транспорт нотификаций
+— не тронуты (`git diff` пуст по `src/stages.py`, `src/qg/`, `src/stage_engine.py`, `src/db.py`).
+Полный регресс `pytest tests/ -q` зелёный (**1437 passed**), новый `tests/test_tracker_html_escape.py`
+(TC-01…TC-11) — зелёный.
+
+**Соответствие осям:**
+1. **ТЗ / AC** — FR-1/AC-1 (`<1м`→`&lt;1м` на границе, источник не меняется), FR-2/AC-2 (все
+   D-слоты экранированы — сверено по коду стр. 471/517-523/529/594/607/614-615/620-621/629),
+   FR-3/AC-3 (M-слоты не экранированы, двойного экранирования нет), FR-4/AC-4 (авто-восстановление
+   следующим рендером, без рискованной переклассификации `EDIT_FAILED` — корректно, защищает
+   инвариант ORCH-087), FR-5/AC-5 (never-raise + зелёный регресс + CHANGELOG). ✓
+2. **ADR + трассировка** — реализация 1:1 с ADR-001 (escape на границе рендера, не в источнике;
+   M-слоты неприкосновенны). Блоки с маркерами ORCH-042/067/087/091 правлены аддитивно: код лишь
+   оборачивает уже вычисленные D-значения в `_esc`, не меняя состав строк/порядок/логику подавления
+   и суммирования — инварианты сохранены по построению. Сквозной `adr-NNNN` обоснованно не заведён
+   (локальный indication-only фикс). ✓
+3. **Качество кода** — `_esc` с docstring и never-raise; тесты содержательные (11 TC покрывают
+   каждый AC, включая регресс кликабельного `<a href>`-номера, `_done_link` и анти-дубль ORCH-087
+   на транзиентном фейле). ✓
+4. **Документация** — обновлены в том же PR: `CHANGELOG.md`, `docs/architecture/README.md`
+   (блок Notifications/Live-tracker), `docs/architecture/internals.md` §7, ADR-001. ✓
+
+## Findings
+
+### P0 — Blocker
+- Нет.
+
+### P1 — Must fix
+- Нет.
+
+### P2 — Should fix
+- Нет.
+
+### P3 — Nice-to-have
+- [ ] `attempt` (`f"… попытка {attempt} …"`, ~стр. 572) и статичные лейблы стадий
+  (`_TRACKER_STAGES`/`_BRD_LABEL`) не проходят через `_esc`. ADR-001 D1 упоминает их в категории D
+  «ради единообразного инварианта», но `attempt` — всегда `int` (`len(agent_runs)`), а лейблы —
+  статичные константы → фактической поверхности инъекции нет, расхождение безвредно. Не блокирует;
+  можно унифицировать при будущем касании блока (оставляю на усмотрение, не требую правки).
+
+## Документация
+
+**Обновлена полностью в том же PR — требование правила 6 (CLAUDE.md) выполнено:**
+- `CHANGELOG.md` — детальная запись ORCH-095 (механизм бага, D1–D5, восстановление, трассировка, тесты).
+- `docs/architecture/README.md` — компонент «Notifications / Live-tracker» дополнен абзацем ORCH-095
+  (data/markup-слоты, инвариант экранирования на границе, ссылка на ADR).
+- `docs/architecture/internals.md` §7 — новая подсекция «HTML-безопасность данных карточки (ORCH-095)».
+- `docs/work-items/ORCH-095/06-adr/ADR-001-html-safe-card-data-render.md` — архитектурное обоснование
+  (выбор точки экранирования, альтернативы, последствия).
+
+Пункт `README.md` «Известные ограничения» данным фиксом не закрывается (баг корректности, не числился
+в витрине ограничений) → обновление обзорной витрины (ORCH-079) не требуется.
+
+**Вывод:** `src/` изменён — документация обновлена синхронно. P0 «документация не обновлена» не
+применяется.

docs/work-items/ORCH-095/13-test-report.md

@@ -0,0 +1,92 @@
+---
+result: PASS   # PASS | FAIL — машинный вердикт, UPPERCASE
+work_item: ORCH-095
+stage: testing
+author_agent: tester
+status: pass
+created_at: 2026-06-10
+model_used: claude-opus-4-8
+type: test-report
+work_item_id: ORCH-095
+---
+
+# Test Report — ORCH-095
+
+Фикс HTML-инъекции «<1м» в live-карточке трекера (`render_task_tracker`). Прогон полного
+регресса + профильной сюиты, smoke read-only API. Review-вердикт — `APPROVED` (12-review.md).
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Дата: 2026-06-10
+- Worktree: `/repos/_wt/orchestrator/feature_ORCH-095-bug-html-1-render-task-tracker`
+  (ветка `feature/ORCH-095-bug-html-1-render-task-tracker` — код именно этой задачи, не общий чекаут)
+
+## Smoke API (read-only, прод-контейнер не трогается)
+- `GET /health` → `{"status":"ok","service":"orchestrator"}` ✓
+- `GET /status` → активная задача ORCH-095 (id=80) на стадии `testing`, agent_running=null ✓
+- `GET /queue` → блок `serial_gate` **присутствует** (ORCH-088): `enabled=true`, репо
+  `orchestrator` — active_task ORCH-095 `testing`, `frozen=false`, waiting пуст; блок
+  `auto_labels` **присутствует** (ORCH-089). Регресса смока нет. ✓
+
+## Результаты
+
+### Полный регресс
+`cd <worktree> && pytest tests/ -v --tb=short` → **1437 passed, 1 warning in 46.89s**.
+Единственное предупреждение — PydanticDeprecatedSince20 (унаследованное, не относится к задаче).
+
+### Профильная сюита (ORCH-095)
+`pytest tests/test_tracker_html_escape.py -v` → **24 passed** (новый файл, TC-01…TC-11).
+
+### Регресс существующих тестов трекера (TC-12)
+`pytest tests/test_telegram_tracker.py tests/test_tracker_issue_link.py
+tests/test_tracker_status_line.py tests/test_notifications_orphans.py
+tests/test_notify_issue_links.py -q` → **91 passed**.
+
+### Сопоставление с тест-планом (04-test-plan.yaml)
+
+| TC ID | Описание | Тест-функция | Результат |
+|-------|----------|--------------|-----------|
+| TC-01 | `_fmt_minutes(<60с)` → HTML-безопасно, без сырого `<1м` | `test_tc01_sub_minute_duration_escaped_at_boundary` | PASS |
+| TC-02 | `_fmt_minutes` граничные входы (0/None/нечисло/60/большое/-5/59/61) — never-raise + безопасно | `test_tc02_fmt_minutes_never_raise_and_safe[*]` (9 кейсов) | PASS |
+| TC-03 | `render_task_tracker` со стадией < 1 мин — нет неэкранированного `<` из длительности | `test_tc03_render_sub_minute_stage_is_safe` | PASS |
+| TC-04 | Заголовок со спецсимволами `< > &` — только экранированно, без двойного экранирования | `test_tc04_title_special_chars_escaped_no_double` | PASS |
+| TC-05 | Статус-лейбл / имя модели / эффорт экранированы (defence-in-depth) | `test_tc05_status_label_escaped`, `test_tc05_model_escaped`, `test_tc05_effort_escaped` | PASS |
+| TC-06 | Токены/стоимость (`$`, числа) HTML-безопасны | `test_tc06_token_cost_metrics_safe` | PASS |
+| TC-07 | Регресс намеренной разметки: `<a href>` номер задачи остаётся кликабельным, не задвоен | `test_tc07_issue_number_stays_clickable` | PASS |
+| TC-08 | Регресс `_done_link`: строка `🔗 PR #n · 📦 Внедрено` валидна, не экранирована | `test_tc08_done_link_markup_preserved` | PASS |
+| TC-09 | `update_task_tracker` (edit) — payload text не содержит сырого `<1м`-триггера | `test_tc09_edit_payload_is_parse_safe` | PASS |
+| TC-10 | Возобновление застрявшей карточки + анти-дубль ORCH-087 на транзиентном фейле | `test_tc10_valid_render_edits_in_place_no_new_card`, `test_tc10_transient_fail_does_not_duplicate` | PASS |
+| TC-11 | never-raise на битых входах (нет задачи / None-заголовок / битые timestamps / `_esc`) | `test_tc11_never_raise_missing_task`, `test_tc11_never_raise_none_title_and_bad_timestamps`, `test_tc11_esc_never_raises` | PASS |
+| TC-12 | Полный регресс существующих тестов трекера остаётся зелёным | suite (91 passed) + полный регресс (1437 passed) | PASS |
+
+**Все 12 TC выполнены и сопоставлены.**
+
+### Сопоставление с критериями приёмки (03-acceptance-criteria.md)
+
+| AC | Содержание | Покрытие | Результат |
+|----|------------|----------|-----------|
+| AC-1 | Стадия < 1 мин не ломает парсер Telegram (`&lt;1м`) | TC-01, TC-03, TC-09 | PASS |
+| AC-2 | Все динамические поля HTML-безопасны, без двойного экранирования | TC-02, TC-04, TC-05, TC-06 | PASS |
+| AC-3 | Регресс намеренной разметки (`<a href>` номер, `_done_link`, форматирование) | TC-07, TC-08, TC-12 | PASS |
+| AC-4 | Застрявшая карточка возобновляет обновления; анти-дубль ORCH-087 цел | TC-10 | PASS |
+| AC-5 | never-raise, зелёный регресс, CHANGELOG, машина стадий/гейты/схема БД не тронуты | TC-11, TC-12, полный регресс 1437 passed | PASS |
+
+## Вывод pytest
+```
+======================= 1437 passed, 1 warning in 46.89s =======================
+```
+Профильная сюита:
+```
+======================== 24 passed, 1 warning in 1.31s =========================
+```
+Регресс трекера (TC-12):
+```
+91 passed, 1 warning in 4.32s
+```
+
+## Итог
+PASS — полный регресс зелёный (1437 passed), профильная сюита ORCH-095 зелёная (24 passed),
+каждый TC из тест-плана выполнен и сопоставлен с критериями приёмки, smoke API read-only
+(`/health`, `/status`, `/queue` с блоками `serial_gate` + `auto_labels`) без регресса.
+Обоснованных FAIL/смок-сбоев нет → `result: PASS` → задача переходит на `deploy-staging`.

docs/work-items/ORCH-095/14-deploy-log.md

@@ -0,0 +1,12 @@
+---
+deploy_status: SUCCESS
+work_item: ORCH-095
+hook_exit_code: 0
+deployed_by: deploy-finalizer
+---
+
+# Deploy log — ORCH-036 executable self-deploy
+
+Прод-деплой завершён хост-хуком с exit-code `0` -> `deploy_status: SUCCESS`.
+
+Вердикт зафиксирован детерминированным finalizer'ом (Фаза C), не LLM.

docs/work-items/ORCH-095/15-staging-log.md

@@ -0,0 +1,39 @@
+---
+staging_status: SUCCESS
+work_item: ORCH-095
+stage: deploy-staging
+author_agent: deployer
+status: success
+created_at: 2026-06-10
+model_used: claude-opus-4-8
+timestamp: 2026-06-09T21:15:53Z
+base_url: http://localhost:8501
+---
+
+# Staging Gate Log
+
+> Машинный вердикт читается ТОЛЬКО из `staging_status:` во frontmatter. Реален для self-hosting
+> (`orchestrator`). `SUCCESS` → дальше; `FAILED` → откат.
+
+Staging test suite completed against the live `orchestrator-staging` stand (8501). Run canonically
+**inside the container** via the Docker Engine API over `/var/run/docker.sock` (the `docker` CLI
+binary is unavailable in the agent sandbox; the exec was driven through the socket — equivalent to
+`docker exec orchestrator-staging python3 /repos/orchestrator/scripts/staging_check.py
+--base-url http://localhost:8501 --mode stub`). **Exit code 0 → `staging_status: SUCCESS`.**
+
+All REAL pipeline checks passed. The two non-passing checks are the known sandbox-infra checks
+(C9a/C9b), waived per ORCH-061 (SANDBOX bot accounts are not members of the sandbox Plane project —
+this is not a pipeline regression). Verdict line from the script:
+
+```
+INFRA-WAIVED: C9a Branch appears in orchestrator-sandbox, C9b Analyst job enqueued in staging queue (known sandbox-infra; real checks green)
+VERDICT: SUCCESS (exit 0) — SUCCESS (infra-waived): ['C9a Branch appears in orchestrator-sandbox', 'C9b Analyst job enqueued in staging queue'] are known sandbox-infra checks; all real checks green
+```
+
+## Results — 8/10 checks PASS (exit 0)
+- **Block A (SMOKE)**: A1 `/health` 200 ok · A2 `/queue` 200 with counts/max_concurrency/resilience · A3 `ORCH_STAGING=true`. All PASS.
+- **Block B (ACCESS)**: B4 Plane sandbox accessible (sandbox=YES) · B5 Gitea `orchestrator-sandbox` accessible push=true · B6 Registry isolation (sandbox=YES, prod-ET=NO, prod-ORCH=NO). All PASS.
+- **Block C (E2E, stub)**: C7 Create issue in Plane SANDBOX PASS · C8 Trigger pipeline via `/webhook/plane` PASS · C9a/C9b FAIL → **waived** (sandbox-infra). Cleanup: Plane issue deleted (HTTP 204).
+
+REAL failed: **none**.
+SANDBOX_INFRA waived: C9a (branch in orchestrator-sandbox), C9b (analyst job enqueued).

docs/work-items/ORCH-095/16-post-deploy-log.md

@@ -0,0 +1,14 @@
+---
+post_deploy_status: HEALTHY
+action_taken: NONE
+work_item: ORCH-095
+window_s: 900
+checks_total: 30
+checks_failed: 0
+---
+
+# Post-deploy log — ORCH-021 post-deploy monitor
+
+Наблюдение прода завершено: `post_deploy_status: HEALTHY`, `action_taken: NONE`.
+
+Окно наблюдения: 900s; опросов всего: 30, из них с провалом: 0.

src/config.py

@@ -649,6 +649,32 @@ class Settings(BaseSettings):
     stop_status_enabled: bool = True
     stop_status_repos: str = ""
 
+    # ORCH-094: terminal-window-aware guard for deploy-phase Plane status setters.
+    # A task with DB stage='done' (and 0 active jobs) was flapping in Plane between
+    # `Awaiting Deploy` and `Monitoring after Deploy` instead of holding `Done`,
+    # because the three deploy-phase setters (set_issue_awaiting_deploy /
+    # set_issue_deploying / set_issue_monitoring) are terminal-blind: any stale /
+    # duplicate / unknown caller under the bot token re-stamps an intermediate
+    # deploy status over the terminal Done. ORCH-094 puts a single low choke-point
+    # guard on the entry of those three setters (leaf src/deploy_status_guard.py):
+    # for a task whose DB stage is terminal it converges to Done idempotently
+    # (CONVERGE_DONE), EXCEPT the legitimate post-deploy `Monitoring` while the
+    # window is still active (ARMED & not DONE). Additive, never-raise; reads the
+    # existing tasks.stage (no migration); STAGE_TRANSITIONS / QG_CHECKS /
+    # machine-verdict keys are NOT touched. See
+    # docs/work-items/ORCH-094/06-adr/ADR-001-terminal-window-aware-deploy-status-guard.md
+    # and the cross-cutting docs/architecture/adr/adr-0028-…md.
+    #   deploy_status_guard_enabled -> kill-switch (env ORCH_DEPLOY_STATUS_GUARD_ENABLED).
+    #                                  False -> the setters are terminal-blind, behaviour
+    #                                  strictly 1:1 as before ORCH-094 (zero regression).
+    #   deploy_status_guard_repos   -> CSV scope (env ORCH_DEPLOY_STATUS_GUARD_REPOS).
+    #                                  Empty -> applies ONLY to the self-hosting repo
+    #                                  (orchestrator), where deploy-phase statuses are set
+    #                                  at all; non-empty -> only the listed repos. Tokens
+    #                                  are sanitised (^[A-Za-z0-9._-]+$) by the guard leaf.
+    deploy_status_guard_enabled: bool = True
+    deploy_status_guard_repos: str = ""
+
     # ORCH-073 (ADR-001 Р-4): main-integrity regression guard. After the merge-verify
     # under-gate confirms the deployed SHA is an ancestor of origin/main (FR-1), a
     # secondary deterministic (no-LLM) guard checks that a declarative set of markers

src/db.py

@@ -223,6 +223,28 @@ def get_task_by_plane_id(plane_id: str) -> dict | None:
     return None
 
 
+def get_task_by_work_item_id(work_item_id: str) -> dict | None:
+    """ORCH-094: read-only lookup of the live task row by human-readable
+    ``work_item_id`` (e.g. ``"ORCH-061"``).
+
+    ``get_task_by_plane_id`` matches the Plane UUIDs (``plane_id`` /
+    ``plane_issue_id``), not the human-readable ``work_item_id`` the deploy-phase
+    setters receive — hence this thin accessor. A live row matches exactly; the
+    ORCH-090 cancel tombstones carry a ``#cancelled-<id>`` suffix on
+    ``work_item_id`` so they never collide with a clean id. No schema change.
+    """
+    if not work_item_id:
+        return None
+    conn = get_db()
+    try:
+        row = conn.execute(
+            "SELECT * FROM tasks WHERE work_item_id = ?", (work_item_id,)
+        ).fetchone()
+    finally:
+        conn.close()
+    return dict(row) if row else None
+
+
 def get_task_by_repo_branch(repo: str, branch: str) -> dict | None:
     """Find task by repo and branch name."""
     conn = get_db()

src/deploy_status_guard.py

@@ -0,0 +1,191 @@
+"""ORCH-094: terminal-window-aware guard for deploy-phase Plane status setters.
+
+Leaf module — pure, never-raise, config-gated logic over the existing ``tasks``
+table and the restart-safe post-deploy sentinels. Mirrors the leaf pattern of
+``src/serial_gate.py`` / ``src/labels.py`` / ``src/cancel.py``: it imports only
+``config`` (and lazily ``db`` / ``post_deploy`` / ``qg.checks``), never
+``plane_sync`` / ``stage_engine`` — the setters that need a verdict call
+:func:`decide`, they do not live here.
+
+The bug (verified live on ORCH-061, task 47, done since 07.06): a task with DB
+``stage='done'`` and no active job flaps in Plane between ``Awaiting Deploy`` and
+``Monitoring after Deploy`` instead of holding ``Done``. The three deploy-phase
+setters (``set_issue_awaiting_deploy`` / ``set_issue_deploying`` /
+``set_issue_monitoring``) are **terminal-blind**: any stale / duplicate / unknown
+caller under the bot token re-stamps an intermediate deploy status over the
+terminal Done, and the pendulum never settles.
+
+The fix is a single low choke-point on the entry of those three setters. For a
+task whose DB stage is terminal the verdict converges to ``Done`` idempotently,
+EXCEPT the one legitimate case: the post-deploy ``Monitoring`` status while the
+observation window is still active (``post_deploy.window_active`` — ARMED & not
+DONE). The deploy ``Awaiting``/``Deploying`` statuses are ALWAYS spurious for a
+``done`` task (Phase A/B happen strictly BEFORE ``deploy -> done``).
+
+Key invariant (ADR-001 D2): a deploy-phase status is legitimate iff the task is
+non-terminal OR (``done`` AND the post-deploy window is active); otherwise the
+verdict is idempotent convergence to ``Done`` (for ``done``) / suppression (for
+``cancelled``).
+
+never-raise contract (self-hosting safety): any error / inability to determine
+the DB stage degrades to ``ALLOW`` (fail-safe to the prior 1:1 behaviour, NFR-1)
+— a local SQLite read is reliable, so in the normal case the stage is read and
+the pendulum cannot arise.
+"""
+from __future__ import annotations
+
+import logging
+import re
+
+from .config import settings
+
+logger = logging.getLogger("orchestrator.deploy_status_guard")
+
+# Verdicts returned by decide() (the setter executes them).
+ALLOW = "ALLOW"  # PATCH the requested deploy-phase status (normal path).
+CONVERGE_DONE = "CONVERGE_DONE"  # set_issue_done instead (idempotent convergence).
+SUPPRESS = "SUPPRESS"  # do nothing (do not stamp over a `cancelled` terminal).
+
+# Deploy-phase target tokens (one per guarded setter).
+AWAITING = "awaiting"
+DEPLOYING = "deploying"
+MONITORING = "monitoring"
+
+# Terminal DB stages (harmonised with serial_gate / adr-0026).
+_TERMINAL = ("done", "cancelled")
+
+# Repo tokens embedded into config CSV must match this (mirrors serial_gate R-6).
+_REPO_TOKEN = re.compile(r"^[A-Za-z0-9._-]+$")
+
+
+# ---------------------------------------------------------------------------
+# Conditionality (mirrors post_deploy_applies / _merge_gate_applies)
+# ---------------------------------------------------------------------------
+def _scope_repos() -> set[str]:
+    """Sanitised set of in-scope repo tokens from ``deploy_status_guard_repos``.
+
+    Empty/blank CSV -> empty set, meaning "self-hosting only" (resolved by the
+    caller via :func:`applies`). Invalid tokens (regex miss) are dropped. Never
+    raises.
+    """
+    try:
+        raw = (settings.deploy_status_guard_repos or "").strip()
+    except Exception:  # noqa: BLE001
+        return set()
+    if not raw:
+        return set()
+    out: set[str] = set()
+    for tok in raw.split(","):
+        t = tok.strip()
+        if t and _REPO_TOKEN.match(t):
+            out.add(t)
+        elif t:
+            logger.warning("deploy_status_guard: dropping invalid repo token %r", t)
+    return out
+
+
+def applies(repo: str) -> bool:
+    """Whether the guard is REAL for this repo (D6).
+
+      * ``deploy_status_guard_enabled=False`` -> always False (kill-switch; the
+        setters are terminal-blind, 1:1 as before ORCH-094).
+      * ``deploy_status_guard_repos`` (CSV) non-empty -> real only for listed repos.
+      * empty CSV -> real ONLY for the self-hosting repo (``orchestrator``), where
+        deploy-phase statuses are set at all. Mirrors the ORCH-35/36/43/58
+        self-hosting-only rollout -> non-self repos (enduro-trails) are untouched
+        (they never see Awaiting/Deploying/Monitoring; terminal-sync goes straight
+        to Done), i.e. zero regression.
+    Never raises -> False on error (degrade to "guard inert").
+    """
+    try:
+        if not getattr(settings, "deploy_status_guard_enabled", False):
+            return False
+        scope = _scope_repos()
+        if scope:
+            return (repo or "").strip() in scope
+        # Lazy import keeps this module a leaf (avoid importing qg at load time).
+        from .qg.checks import is_self_hosting_repo
+        return is_self_hosting_repo(repo)
+    except Exception as e:  # noqa: BLE001 - never-raise
+        logger.warning("deploy_status_guard.applies error for %s: %s", repo, e)
+        return False
+
+
+# ---------------------------------------------------------------------------
+# Verdict (the single predicate — ADR-001 D2)
+# ---------------------------------------------------------------------------
+def decide(work_item_id: str, target_status: str, reason: str | None = None) -> str:
+    """Decide what a deploy-phase setter should do for ``work_item_id`` (D2).
+
+    Returns one of :data:`ALLOW` / :data:`CONVERGE_DONE` / :data:`SUPPRESS`.
+    Steps (ADR-001 D2):
+
+      1. kill-switch off                          -> ALLOW (behaviour 1:1).
+      2. task not found                           -> ALLOW (foreign/unknown issue).
+      3. guard not applicable for the repo        -> ALLOW (non-self / out-of-scope).
+      4. DB stage non-terminal                    -> ALLOW (live deploy cycle, AC-4).
+      5. DB stage == 'cancelled'                  -> SUPPRESS (do not stamp over it).
+      6. DB stage == 'done':
+           * target == 'monitoring' AND window active -> ALLOW (legit post-deploy).
+           * otherwise                                -> CONVERGE_DONE.
+      7. any exception / undeterminable stage     -> ALLOW (fail-safe, NFR-1).
+
+    Always emits exactly one structured observability line (FR-4 / D5): work_item,
+    caller (``reason``), target_status, db_stage, window_active, verdict.
+    """
+    db_stage = None
+    window = None
+    verdict = ALLOW
+    try:
+        if not getattr(settings, "deploy_status_guard_enabled", False):
+            return ALLOW  # step 1 (logged in finally)
+
+        from . import db
+        task = db.get_task_by_work_item_id(work_item_id)
+        if task is None:
+            return ALLOW  # step 2
+
+        repo = task.get("repo")
+        if not applies(repo):
+            return ALLOW  # step 3
+
+        db_stage = (task.get("stage") or "").strip()
+        if db_stage not in _TERMINAL:
+            verdict = ALLOW  # step 4 — non-terminal: legit working deploy cycle
+            return verdict
+
+        if db_stage == "cancelled":
+            verdict = SUPPRESS  # step 5
+            return verdict
+
+        # step 6 — db_stage == 'done'
+        if target_status == MONITORING:
+            from . import post_deploy
+            window = post_deploy.window_active(repo, work_item_id)
+            if window:
+                verdict = ALLOW
+                return verdict
+        verdict = CONVERGE_DONE
+        return verdict
+    except Exception as e:  # noqa: BLE001 - never-raise; fail-safe to ALLOW
+        logger.warning(
+            "deploy_status_guard.decide error for %s (target=%s) -> ALLOW: %s",
+            work_item_id, target_status, e,
+        )
+        verdict = ALLOW
+        return verdict
+    finally:
+        # FR-4 / D5: one structured line per call. Convergence/suppression is the
+        # interesting case — log it at WARNING so a future flapp is easy to attribute.
+        try:
+            msg = (
+                "deploy_status_guard: work_item=%s caller=%s target=%s db_stage=%s "
+                "window_active=%s verdict=%s"
+            )
+            argv = (work_item_id, reason, target_status, db_stage, window, verdict)
+            if verdict == ALLOW:
+                logger.info(msg, *argv)
+            else:
+                logger.warning(msg, *argv)
+        except Exception:  # noqa: BLE001 - logging must never raise
+            pass

src/notifications.py

@@ -290,6 +290,27 @@ def _fmt_minutes(seconds) -> str:
     return f"{seconds // 60}\u043c"
 
 
+def _esc(x) -> str:
+    """ORCH-095: escape a DATA value for the parse_mode=HTML card text (never-raise).
+
+    Every dynamic *data* value interpolated into ``render_task_tracker``'s HTML text
+    (durations, status label, model, effort, token/cost metrics) is wrapped here
+    exactly once at the render boundary (ADR-001, category D). This closes the class
+    "unescaped data in HTML text": a literal like ``<1м`` from ``_fmt_minutes`` (or any
+    future ``< > &`` from a data source) can no longer be parsed by Telegram as an
+    opening tag (``400 can't parse entities`` -> EDIT_FAILED -> frozen card, ORCH-093).
+
+    Intentional markup slots (``num_html``/``link_for``/``_done_link``/already-escaped
+    ``esc_title`` — category M) are NOT passed through ``_esc`` so they stay valid,
+    clickable HTML and are never double-escaped. On any error ``str()``/escape degrades
+    to '' rather than raising (FR-5 never-raise).
+    """
+    try:
+        return html.escape(str(x))
+    except Exception:
+        return ""
+
+
 def _parse_sql_ts(ts):
     """Parse a SQLite 'YYYY-MM-DD HH:MM:SS' UTC timestamp -> aware datetime/None."""
     if not ts:
@@ -445,7 +466,9 @@ def render_task_tracker(task_id: int) -> str:
         )
     except Exception:
         status_label = _DEFAULT_STATUS_LABEL
-    status_line = f"\U0001f4cd {status_label}"
+    # ORCH-095 (ADR-001 D3): status label is a DATA slot (offline core + live
+    # overlay) -> escaped at interpolation; intentional markup is never built here.
+    status_line = f"\U0001f4cd {_esc(status_label)}"
     lines = [header, status_line, bar]
 
     # ORCH-026 (B-4): waiting-line for a task blocked by an unfinished declared
@@ -487,19 +510,23 @@ def render_task_tracker(task_id: int) -> str:
             d = _duration_seconds(run["started_at"], run["finished_at"])
             if d is not None:
                 dur_sum += d
-        in_tok = fmt_tokens(in_sum)
-        out_tok = fmt_tokens(out_sum)
-        cost = fmt_cost(cost_sum)
-        dur = _fmt_minutes(dur_sum)
+        # ORCH-095 (ADR-001 D1/D3): every interpolated DATA value (category D) is
+        # escaped here at the render boundary so a literal like '<1м' from
+        # _fmt_minutes can no longer break parse_mode=HTML; defence-in-depth for the
+        # token/cost/model/effort fields too (currently safe, structurally guarded).
+        in_tok = _esc(fmt_tokens(in_sum))
+        out_tok = _esc(fmt_tokens(out_sum))
+        cost = _esc(fmt_cost(cost_sum))
+        dur = _esc(_fmt_minutes(dur_sum))
         # Model/effort/"\u043f\u043e\u043f\u044b\u0442\u043a\u0430 N" come from the LAST run (agent_runs are id ASC).
         last = stage_runs[-1] if stage_runs else None
-        model = short_model_name(last["model"]) if last is not None else ""
+        model = _esc(short_model_name(last["model"])) if last is not None else ""
         model_suffix = f" \u00b7 {model}" if model else ""
         # ORCH-087 (BR-EFF): render the resolved --effort next to the model
         # ("\u00b7 opus-4-8 \u00b7 xhigh"). Stamped at launch in agent_runs.effort; empty /
         # missing -> suffix omitted (like the model suffix). Historical rows with
         # NULL effort fall back to the config-resolved effort for the agent.
-        effort = _run_effort(last) if last is not None else ""
+        effort = _esc(_run_effort(last)) if last is not None else ""
         effort_suffix = f" \u00b7 {effort}" if effort else ""
         return (
             f"\u2705 {label:<13} {dur} \u00b7 "
@@ -564,7 +591,7 @@ def render_task_tracker(task_id: int) -> str:
             if review_seconds is not None:
                 # ORCH-042 (BR-10): approve-gate passed -> \u2705 (was \u23f8\ufe0f). The
                 # still-waiting branch below keeps \u23f8\ufe0f + \u23f3 unchanged.
-                dur = _fmt_minutes(review_seconds)
+                dur = _esc(_fmt_minutes(review_seconds))  # ORCH-095: D-slot
                 lines.append(
                     f"\u2705 {brd_label} {dur} \u00b7 \u0442\u0432\u043e\u0451 \u0432\u0440\u0435\u043c\u044f"
                 )
@@ -577,21 +604,21 @@ def render_task_tracker(task_id: int) -> str:
                     waited = int(
                         (datetime.now(timezone.utc) - start_dt).total_seconds()
                     )
-                dur = _fmt_minutes(waited) if waited is not None else "\u2026"
+                dur = _esc(_fmt_minutes(waited)) if waited is not None else "\u2026"  # ORCH-095: D-slot
                 lines.append(
                     f"\u23f8\ufe0f {brd_label} {dur} \u00b7 \u0442\u0432\u043e\u0451 \u0432\u0440\u0435\u043c\u044f \u23f3"
                 )
 
     lines.append(bar)
     lines.append(
-        f"\U0001f4b0 {fmt_tokens(total_in)}\u2193 / {fmt_tokens(total_out)}\u2191 \u00b7 "
-        f"{fmt_cost(total_cost)}"
+        f"\U0001f4b0 {_esc(fmt_tokens(total_in))}\u2193 / {_esc(fmt_tokens(total_out))}\u2191 \u00b7 "
+        f"{_esc(fmt_cost(total_cost))}"
     )
 
     if done:
         wall = _duration_seconds(task["created_at"], task["updated_at"])
-        wall_str = _fmt_minutes(wall) if wall is not None else "?"
-        review_str = _capped_review_str(review_seconds)
+        wall_str = _esc(_fmt_minutes(wall)) if wall is not None else "?"  # ORCH-095: D-slot
+        review_str = _esc(_capped_review_str(review_seconds))  # ORCH-095: D-slot
         # ORCH-087 (BR-G5): three INDEPENDENT, explicitly-labelled metrics. None is
         # presented as the sum of the others \u2014 queue/wait pauses are not logged, so
         # wall != agents + review; the old "\u0412\u0441\u0435\u0433\u043e {wall}" read like a (wrong) sum.
@@ -599,7 +626,7 @@ def render_task_tracker(task_id: int) -> str:
         #   \u0442\u0432\u043e\u0451   = human BRD-review, capped to drop anomalous stalls (T-2)
         #   \u043e\u0431\u0449\u0435\u0435 \u0441 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u0435\u043c = wall-clock incl. queue/wait, NOT work time (T-3)
         lines.append(
-            f"\u23f1\ufe0f \u0410\u0433\u0435\u043d\u0442\u044b {_fmt_minutes(agent_seconds)} \u00b7 "
+            f"\u23f1\ufe0f \u0410\u0433\u0435\u043d\u0442\u044b {_esc(_fmt_minutes(agent_seconds))} \u00b7 "
             f"\u0442\u0432\u043e\u0451 {review_str} \u00b7 "
             f"\u043e\u0431\u0449\u0435\u0435 \u0441 \u043e\u0436\u0438\u0434\u0430\u043d\u0438\u0435\u043c {wall_str}"
         )

src/plane_sync.py

@@ -951,32 +951,67 @@ def set_issue_code_review(work_item_id: str, project_id: str = None):
     _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
-def set_issue_awaiting_deploy(work_item_id: str, project_id: str = None):
+def _deploy_status_guarded(work_item_id: str, target: str, reason: str | None) -> bool:
+    """ORCH-094: apply the terminal-window-aware guard for a deploy-phase setter.
+
+    Returns True iff the caller should PROCEED with the normal PATCH (verdict
+    ALLOW). On CONVERGE_DONE it drives the task to terminal ``Done`` here (the
+    idempotent convergence target) and returns False; on SUPPRESS it does nothing
+    and returns False. never-raise: any error degrades to ALLOW (proceed), keeping
+    behaviour 1:1 with pre-ORCH-094 (the guard leaf itself fails safe to ALLOW).
+    """
+    try:
+        from . import deploy_status_guard
+        verdict = deploy_status_guard.decide(work_item_id, target, reason=reason)
+        if verdict == deploy_status_guard.CONVERGE_DONE:
+            set_issue_done(work_item_id)
+            return False
+        if verdict == deploy_status_guard.SUPPRESS:
+            return False
+        return True
+    except Exception as e:  # noqa: BLE001 - never-raise; proceed (1:1) on doubt
+        logger.warning(f"deploy_status_guard wrapper error for {work_item_id}: {e}")
+        return True
+
+
+def set_issue_awaiting_deploy(work_item_id: str, project_id: str = None, reason: str = None):
     """ORCH-066: set issue to 'Awaiting Deploy' — self-deploy Phase A approval-pending.
 
     Degrades to the project's In Review UUID when 'Awaiting Deploy' is not created.
+    ORCH-094: terminal-window-aware — a task whose DB stage is terminal converges to
+    Done instead of stamping a spurious deploy status (``reason`` = caller, FR-4).
     """
+    if not _deploy_status_guarded(work_item_id, "awaiting", reason):
+        return
     project_id = _resolve_project_id(work_item_id, project_id)
     state_id = get_project_states(project_id)["awaiting_deploy"]
     _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
-def set_issue_deploying(work_item_id: str, project_id: str = None):
+def set_issue_deploying(work_item_id: str, project_id: str = None, reason: str = None):
     """ORCH-066: set issue to 'Deploying' — self-deploy Phase B prod deploy in flight.
 
     Degrades to the project's In Progress UUID when 'Deploying' is not created.
+    ORCH-094: terminal-window-aware (see :func:`set_issue_awaiting_deploy`).
     """
+    if not _deploy_status_guarded(work_item_id, "deploying", reason):
+        return
     project_id = _resolve_project_id(work_item_id, project_id)
     state_id = get_project_states(project_id)["deploying"]
     _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
-def set_issue_monitoring(work_item_id: str, project_id: str = None):
+def set_issue_monitoring(work_item_id: str, project_id: str = None, reason: str = None):
     """ORCH-066: set issue to 'Monitoring after Deploy' — post-deploy window open.
 
     Degrades to the project's Done UUID when 'Monitoring after Deploy' is not
     created (so the board shows Done, exactly as before ORCH-066).
+    ORCH-094: terminal-window-aware — the LEGITIMATE first Monitoring (DB already
+    ``done`` by the time line 404 runs, but the post-deploy window is active) is
+    allowed; a stale Monitoring after the window has closed converges to Done.
     """
+    if not _deploy_status_guarded(work_item_id, "monitoring", reason):
+        return
     project_id = _resolve_project_id(work_item_id, project_id)
     state_id = get_project_states(project_id)["monitoring"]
     _set_issue_state_direct(work_item_id, state_id, project_id)

src/post_deploy.py

@@ -316,6 +316,28 @@ def has_marker(repo: str, work_item_id: str | None, name: str) -> bool:
         return False
 
 
+def window_active(repo: str, work_item_id: str | None) -> bool:
+    """ORCH-094: True iff a post-deploy observation window is currently OPEN.
+
+    A window is open iff it has been armed (``ARMED`` sentinel) and has NOT yet
+    finished (no ``DONE`` sentinel). The terminal-window-aware deploy-status guard
+    (``deploy_status_guard.decide``) uses this to keep the legitimate post-deploy
+    ``Monitoring after Deploy`` status for a task that is already DB-``done`` while
+    its window is live, and to converge to ``Done`` once the window has closed.
+
+    Restart-safe (the sentinels live on disk) and never-raise -> False on error
+    (a doubt resolves to "window closed", i.e. converge to Done — the safe-for-
+    indication default that matches the bug we are fixing).
+    """
+    try:
+        return has_marker(repo, work_item_id, ARMED) and not has_marker(
+            repo, work_item_id, DONE
+        )
+    except Exception as e:  # noqa: BLE001 - never-raise
+        logger.warning("window_active error for %s/%s: %s", repo, work_item_id, e)
+        return False
+
+
 def write_marker(repo: str, work_item_id: str | None, name: str, content: str = "") -> bool:
     """Create/overwrite a sentinel (best-effort). Returns True on success."""
     try:

src/stage_engine.py

@@ -384,6 +384,29 @@ def advance_stage(
             f"(auto-advance after {agent})"
         )
 
+        # ORCH-021: arm post-deploy monitoring PAST `done`. Responsibility extends
+        # beyond the restart-time health-check to catch the "green deploy, red prod"
+        # class (ET-8). Idempotent (sentinel `armed`) + conditional (applies()), so a
+        # double webhook / reconciler / finalizer re-driving `done` never doubles it
+        # and non-applicable repos are untouched. never-raise (arm_monitor + guard).
+        #
+        # ORCH-094 (ADR-001 D3): the arm block is moved ABOVE the terminal-sync
+        # block (it used to run AFTER set_issue_monitoring). The order matters now
+        # that set_issue_monitoring is terminal-window-aware: by the time the
+        # legitimate first `Monitoring` is set, the task is ALREADY DB-`done`
+        # (update_task_stage ran above), so the guard must see the window as ACTIVE
+        # (ARMED & not DONE) to let it through. Arming first writes the ARMED
+        # sentinel -> window_active==True -> the guard returns ALLOW. A re-drive of
+        # deploy->done AFTER the window has closed (DONE present) -> window_active
+        # False -> the guard converges to Done (no resurrected Monitoring). The
+        # move is safe: arm_monitor only writes a sentinel + enqueues a deferred
+        # job; it depends on neither the Plane status nor the merge lease.
+        if next_stage == "done" and post_deploy.post_deploy_applies(repo):
+            try:
+                post_deploy.arm_monitor(repo, work_item_id, branch, task_id)
+            except Exception as e:  # noqa: BLE001 - monitoring must never crash done
+                logger.warning(f"Task {task_id}: post-deploy arm failed: {e}")
+
         # --- Terminal sync: deploy -> done must reach Plane's Done -----------
         # When the deployer's check_deploy_status passes we advance to the
         # terminal 'done' stage. Previously a merged-PR webhook completed the
@@ -401,7 +424,7 @@ def advance_stage(
         if next_stage == "done" and work_item_id:
             try:
                 if post_deploy.post_deploy_applies(repo):
-                    set_issue_monitoring(work_item_id)
+                    set_issue_monitoring(work_item_id, reason="advance:deploy->done")
                     logger.info(
                         f"Task {task_id}: deploy->done (self), Plane state -> "
                         f"Monitoring after Deploy (post-deploy window)"
@@ -416,24 +439,14 @@ def advance_stage(
 
         # ORCH-043: the merge has landed (deploy->done). Release the merge lease as
         # a backstop in case the PR-merged webhook was lost (holder-aware no-op if a
-        # different task already owns it). Never raises.
+        # different task already owns it). Never raises. ORCH-094: stays AFTER the
+        # terminal-sync (the arm-block move above does not touch the lease).
         if next_stage == "done":
             try:
                 merge_gate.release_merge_lease(repo, branch)
             except Exception as e:  # noqa: BLE001 - defensive
                 logger.warning(f"Task {task_id}: merge-lease release on done failed: {e}")
 
-        # ORCH-021: arm post-deploy monitoring PAST `done`. Responsibility extends
-        # beyond the restart-time health-check to catch the "green deploy, red prod"
-        # class (ET-8). Idempotent (sentinel `armed`) + conditional (applies()), so a
-        # double webhook / reconciler / finalizer re-driving `done` never doubles it
-        # and non-applicable repos are untouched. never-raise (arm_monitor + guard).
-        if next_stage == "done" and post_deploy.post_deploy_applies(repo):
-            try:
-                post_deploy.arm_monitor(repo, work_item_id, branch, task_id)
-            except Exception as e:  # noqa: BLE001 - monitoring must never crash done
-                logger.warning(f"Task {task_id}: post-deploy arm failed: {e}")
-
         # --- Launch the next agent (ORCH-4 fix: current_stage, not next) -----
         next_agent = get_agent_for_stage(current_stage)
         if next_agent:
@@ -1214,8 +1227,8 @@ def _handle_self_deploy_phase_a(
         # ORCH-066 (AC-6/AC-13): Phase A approval-pending is now `Awaiting Deploy`,
         # which discharges `In Review` of the deploy-approval meaning (In Review
         # stays for analyst BRD/review approve-pending only). Degrades to In Review
-        # where the status is not created.
-        set_issue_awaiting_deploy(work_item_id)
+        # where the status is not created. ORCH-094: reason tags the caller (FR-4).
+        set_issue_awaiting_deploy(work_item_id, reason="phase_a")
     # ORCH-036: belt-and-suspenders — wipe any STALE deploy-state markers before
     # arming a fresh approve. A prior FAILED pass clears on rollback, but clearing
     # here too guarantees the entry to every new prod-deploy pass starts clean
@@ -1312,8 +1325,9 @@ def _handle_self_deploy_phase_b(task_id, repo, work_item_id, branch, result: Adv
     )
     # ORCH-066 (AC-7): the prod deploy is now in flight -> indicate `Deploying`
     # (degrades to In Progress where the status is not created).
+    # ORCH-094: reason tags the caller (FR-4).
     if work_item_id:
-        set_issue_deploying(work_item_id)
+        set_issue_deploying(work_item_id, reason="phase_b")
     task_desc = (
         f"Work item: {work_item_id}\nRepo: {repo}\nBranch: {branch}\n"
         f"Stage: deploy\nNote: deploy-finalize poll (prod self-deploy initiated)."
@@ -1714,7 +1728,7 @@ def run_post_deploy_monitor(job: dict):
     try:
         conn = get_db()
         row = conn.execute(
-            "SELECT work_item_id, branch FROM tasks WHERE id=?", (task_id,)
+            "SELECT work_item_id, branch, stage FROM tasks WHERE id=?", (task_id,)
         ).fetchone()
         conn.close()
     except Exception as e:  # noqa: BLE001 - never-raise
@@ -1723,13 +1737,28 @@ def run_post_deploy_monitor(job: dict):
     if not row:
         logger.error(f"post-deploy-monitor: no task row for task_id={task_id}")
         return
-    work_item_id, branch = row[0], row[1]
+    work_item_id, branch, db_stage = row[0], row[1], row[2]
 
     # AC-15: a finished window is a no-op (defends against a duplicate job).
     if post_deploy.has_marker(repo, work_item_id, post_deploy.DONE):
         logger.info(f"post-deploy-monitor: {work_item_id} already done (no-op)")
         return
 
+    # ORCH-094 (FR-3 / D4 / AC-3): a tick must have an active basis. If the task
+    # became terminal ANOMALOUSLY mid-window (cancelled via STOP, ORCH-090), the
+    # tick is a "zombie" — close the window WITHOUT a status PATCH and WITHOUT
+    # re-queueing the next tick (a cancelled task already reached its own terminal;
+    # stamping a deploy status over it would flapp). A `done` stage is the NORMAL
+    # state of a post-deploy window (it opens strictly past deploy->done) so it is
+    # NOT treated as an anomaly here.
+    if (db_stage or "").strip() == "cancelled":
+        logger.info(
+            f"post-deploy-monitor: {work_item_id} task cancelled mid-window -> "
+            f"closing window, no status PATCH, no re-queue (zombie-tick guard)"
+        )
+        post_deploy.mark_done(repo, work_item_id)
+        return
+
     # One probe -> append -> classify (restart-safe via the persisted series).
     probe = post_deploy.probe_signals(settings.post_deploy_base_url)
     series = post_deploy.append_probe(repo, work_item_id, probe)

tests/test_config.py

@@ -292,3 +292,30 @@ def test_merge_retry_settings_env_override(monkeypatch):
     assert s.merge_retry_max_attempts == 5
     assert s.merge_retry_backoff_base_s == 1
     assert s.merge_retry_backoff_max_s == 8
+
+
+# ---------------------------------------------------------------------------
+# ORCH-094: deploy_status_guard_* settings defaults + env override.
+# ---------------------------------------------------------------------------
+_DEPLOY_GUARD_ENV = (
+    "ORCH_DEPLOY_STATUS_GUARD_ENABLED",
+    "ORCH_DEPLOY_STATUS_GUARD_REPOS",
+)
+
+
+def test_deploy_status_guard_settings_defaults(monkeypatch):
+    """Documented defaults: enabled True, repos empty (self-hosting only)."""
+    for name in _DEPLOY_GUARD_ENV:
+        monkeypatch.delenv(name, raising=False)
+    s = Settings()
+    assert s.deploy_status_guard_enabled is True
+    assert s.deploy_status_guard_repos == ""
+
+
+def test_deploy_status_guard_settings_env_override(monkeypatch):
+    """Each field is read from its ORCH_DEPLOY_STATUS_GUARD_* env var."""
+    monkeypatch.setenv("ORCH_DEPLOY_STATUS_GUARD_ENABLED", "false")
+    monkeypatch.setenv("ORCH_DEPLOY_STATUS_GUARD_REPOS", "orchestrator,enduro-trails")
+    s = Settings()
+    assert s.deploy_status_guard_enabled is False
+    assert s.deploy_status_guard_repos == "orchestrator,enduro-trails"

tests/test_deploy_approve.py

@@ -132,7 +132,8 @@ def test_tc05_no_approve_does_not_call_prod_hook(monkeypatch):
     # The restart-safe approve-requested marker was written.
     assert self_deploy.has_marker("orchestrator", "ORCH-036", self_deploy.APPROVE_REQUESTED)
     # ORCH-066 AC-6/AC-13: Phase A indicates `Awaiting Deploy`, NOT `In Review`.
-    stage_engine.set_issue_awaiting_deploy.assert_called_once_with("ORCH-036")
+    # ORCH-094: the caller now tags the reason (FR-4 observability).
+    stage_engine.set_issue_awaiting_deploy.assert_called_once_with("ORCH-036", reason="phase_a")
     stage_engine.set_issue_in_review.assert_not_called()
 
 
@@ -161,7 +162,8 @@ def test_tc06_approved_calls_prod_hook_exactly_once(monkeypatch):
     assert any(j["agent"] == "deploy-finalizer" for j in _jobs())
     assert self_deploy.has_marker("orchestrator", "ORCH-036", self_deploy.INITIATED)
     # ORCH-066 AC-7: Phase B indicates `Deploying` on a successful initiate.
-    stage_engine.set_issue_deploying.assert_called_once_with("ORCH-036")
+    # ORCH-094: the caller now tags the reason (FR-4 observability).
+    stage_engine.set_issue_deploying.assert_called_once_with("ORCH-036", reason="phase_b")
 
     # 2nd (duplicate) Confirm Deploy -> idempotent no-op, hook NOT called again.
     res2 = advance_stage(

tests/test_deploy_status_observability.py

@@ -0,0 +1,88 @@
+"""ORCH-094 — observability of deploy-status setting (FR-4 / AC-5 / TC-09).
+
+Every deploy-phase status decision emits ONE structured line carrying work_item,
+caller (reason), target_status, db_stage, window_active and the verdict; a
+suppression/convergence is logged explicitly so a future flapp is attributable.
+"""
+import logging
+import os
+import tempfile
+
+import pytest
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_deploy_status_obs.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+os.environ["ORCH_REPOS_DIR"] = tempfile.gettempdir()
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+
+import src.db as _db  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import deploy_status_guard as guard  # noqa: E402
+from src import post_deploy  # noqa: E402
+from src import config as cfg  # noqa: E402
+
+
+@pytest.fixture(autouse=True)
+def fresh_db(monkeypatch, tmp_path):
+    monkeypatch.setattr(_db.settings, "db_path", _test_db)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True, raising=False)
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "", raising=False)
+    monkeypatch.setattr(post_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "host_repos_dir", str(tmp_path))
+    yield
+
+
+def _make_task(stage, repo="orchestrator", wi="ORCH-061", branch="feature/ORCH-061-x"):
+    conn = get_db()
+    conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage) "
+        "VALUES (?, ?, ?, ?, ?)",
+        (f"plane-{wi}", wi, repo, branch, stage),
+    )
+    conn.commit()
+    conn.close()
+
+
+def test_tc09_converge_logs_full_attribution(caplog):
+    _make_task("done")
+    with caplog.at_level(logging.INFO, logger="orchestrator.deploy_status_guard"):
+        verdict = guard.decide("ORCH-061", guard.MONITORING, reason="advance:deploy->done")
+    assert verdict == guard.CONVERGE_DONE
+    rec = [r for r in caplog.records if r.name == "orchestrator.deploy_status_guard"]
+    assert rec, "guard emitted no observability record"
+    msg = rec[-1].getMessage()
+    # All five attribution fields + verdict are present.
+    for token in (
+        "work_item=ORCH-061", "caller=advance:deploy->done", "target=monitoring",
+        "db_stage=done", "window_active=False", "verdict=CONVERGE_DONE",
+    ):
+        assert token in msg, f"missing {token!r} in {msg!r}"
+    # A convergence is logged at WARNING (easy to grep on a future flapp).
+    assert rec[-1].levelno == logging.WARNING
+
+
+def test_tc09_allow_active_window_logged(caplog):
+    _make_task("done")
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+    with caplog.at_level(logging.INFO, logger="orchestrator.deploy_status_guard"):
+        verdict = guard.decide("ORCH-061", guard.MONITORING, reason="advance:deploy->done")
+    assert verdict == guard.ALLOW
+    rec = [r for r in caplog.records if r.name == "orchestrator.deploy_status_guard"][-1]
+    msg = rec.getMessage()
+    assert "window_active=True" in msg and "verdict=ALLOW" in msg
+    assert rec.levelno == logging.INFO
+
+
+def test_tc09_suppress_cancelled_logged(caplog):
+    _make_task("cancelled")
+    with caplog.at_level(logging.INFO, logger="orchestrator.deploy_status_guard"):
+        verdict = guard.decide("ORCH-061", guard.AWAITING, reason="phase_a")
+    assert verdict == guard.SUPPRESS
+    rec = [r for r in caplog.records if r.name == "orchestrator.deploy_status_guard"][-1]
+    assert "verdict=SUPPRESS" in rec.getMessage()
+    assert "db_stage=cancelled" in rec.getMessage()
+    assert rec.levelno == logging.WARNING

tests/test_deploy_status_terminal_guard.py

@@ -0,0 +1,217 @@
+"""ORCH-094 — terminal-window-aware deploy-status guard (FR-2 / FR-5).
+
+Covers (04-test-plan.yaml):
+  TC-01  deploy-status for a DB stage=done task converges to Done: a
+         set_issue_monitoring/awaiting/deploying attempt on a terminal task drives
+         Done (or no-op if already Done), never an intermediate status.
+  TC-02  idempotency: a repeated terminal-aware setter call on an already-Done task
+         never PATCHes an intermediate status (no Done<->deploy pendulum).
+  TC-03  a non-terminal task (stage=deploy) is NOT suppressed: the deploy setters
+         proceed normally (regression AC-4).
+  TC-04  kill-switch off -> 1:1 prior behaviour (guard inert); on -> converge.
+  TC-05  never-raise: an undeterminable DB stage / DB error degrades safely (ALLOW,
+         no flapp, no exception).
+  TC-12  non-self repo: zero regression — the guard is inert (self-hosting only).
+"""
+import os
+import tempfile
+
+import pytest
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_deploy_status_guard.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+os.environ["ORCH_REPOS_DIR"] = tempfile.gettempdir()
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+
+from unittest.mock import MagicMock  # noqa: E402
+
+import src.db as _db  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import deploy_status_guard as guard  # noqa: E402
+from src import plane_sync  # noqa: E402
+from src import post_deploy  # noqa: E402
+from src import config as cfg  # noqa: E402
+
+
+@pytest.fixture(autouse=True)
+def fresh_db(monkeypatch, tmp_path):
+    monkeypatch.setattr(_db.settings, "db_path", _test_db)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    # Guard ON, self-hosting only (empty CSV) by default.
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True, raising=False)
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "", raising=False)
+    # post-deploy sentinels live under a fresh tmp dir (window closed by default).
+    monkeypatch.setattr(post_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "host_repos_dir", str(tmp_path))
+    yield
+
+
+def _make_task(stage, repo="orchestrator", wi="ORCH-061", branch="feature/ORCH-061-x"):
+    conn = get_db()
+    conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage) "
+        "VALUES (?, ?, ?, ?, ?)",
+        (f"plane-{wi}", wi, repo, branch, stage),
+    )
+    conn.commit()
+    conn.close()
+
+
+@pytest.fixture
+def spy_setters(monkeypatch):
+    """Spy the low-level PATCH primitive + the Done convergence target."""
+    direct = MagicMock()
+    done = MagicMock()
+    monkeypatch.setattr(plane_sync, "_set_issue_state_direct", direct)
+    monkeypatch.setattr(plane_sync, "set_issue_done", done)
+    # Keep status resolution offline-deterministic.
+    monkeypatch.setattr(plane_sync, "_resolve_project_id", lambda w=None, p=None: "proj-1")
+    monkeypatch.setattr(
+        plane_sync, "get_project_states",
+        lambda pid: {"awaiting_deploy": "S-aw", "deploying": "S-dep", "monitoring": "S-mon"},
+    )
+    return direct, done
+
+
+# --- TC-01 ------------------------------------------------------------------
+def test_tc01_done_task_converges_to_done(spy_setters):
+    direct, done = spy_setters
+    _make_task("done")
+    # Window is NOT active (no ARMED sentinel) -> Monitoring is spurious.
+    for setter in (
+        plane_sync.set_issue_monitoring,
+        plane_sync.set_issue_awaiting_deploy,
+        plane_sync.set_issue_deploying,
+    ):
+        done.reset_mock()
+        direct.reset_mock()
+        setter("ORCH-061")
+        # Converged to Done; no intermediate deploy-status PATCH.
+        done.assert_called_once_with("ORCH-061")
+        direct.assert_not_called()
+
+
+def test_tc01_decide_verdicts_for_done():
+    _make_task("done")
+    # No window -> all three converge.
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.CONVERGE_DONE
+    assert guard.decide("ORCH-061", guard.AWAITING) == guard.CONVERGE_DONE
+    assert guard.decide("ORCH-061", guard.DEPLOYING) == guard.CONVERGE_DONE
+
+
+def test_tc01_decide_allows_monitoring_in_active_window(tmp_path, monkeypatch):
+    _make_task("done")
+    # Arm the window: ARMED present, DONE absent.
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+    assert post_deploy.window_active("orchestrator", "ORCH-061") is True
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.ALLOW
+    # Awaiting/Deploying are ALWAYS spurious for a done task, even with a window.
+    assert guard.decide("ORCH-061", guard.AWAITING) == guard.CONVERGE_DONE
+    # Once the window closes (DONE present) Monitoring converges too.
+    post_deploy.mark_done("orchestrator", "ORCH-061")
+    assert post_deploy.window_active("orchestrator", "ORCH-061") is False
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.CONVERGE_DONE
+
+
+# --- TC-02 ------------------------------------------------------------------
+def test_tc02_idempotent_no_pendulum(spy_setters):
+    direct, done = spy_setters
+    _make_task("done")
+    # Repeated calls keep converging to Done; the intermediate Monitoring PATCH
+    # never fires, so there is no Done<->deploy-status pendulum.
+    for _ in range(5):
+        plane_sync.set_issue_monitoring("ORCH-061")
+    assert direct.call_count == 0
+    assert done.call_count == 5  # idempotent PATCH-equivalent (same terminal state)
+
+
+# --- TC-03 ------------------------------------------------------------------
+def test_tc03_non_terminal_not_suppressed(spy_setters):
+    direct, done = spy_setters
+    _make_task("deploy")  # a really-deploying task
+    plane_sync.set_issue_awaiting_deploy("ORCH-061")
+    plane_sync.set_issue_deploying("ORCH-061")
+    plane_sync.set_issue_monitoring("ORCH-061")
+    # All three proceed to a real PATCH; nothing converges to Done.
+    assert direct.call_count == 3
+    done.assert_not_called()
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.ALLOW
+
+
+# --- TC-04 ------------------------------------------------------------------
+def test_tc04_kill_switch(spy_setters, monkeypatch):
+    direct, done = spy_setters
+    _make_task("done")
+    # OFF -> terminal-blind, the monitoring PATCH proceeds (1:1 pre-ORCH-094).
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", False)
+    plane_sync.set_issue_monitoring("ORCH-061")
+    assert direct.call_count == 1
+    done.assert_not_called()
+    # ON -> converge to Done.
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True)
+    direct.reset_mock()
+    done.reset_mock()
+    plane_sync.set_issue_monitoring("ORCH-061")
+    direct.assert_not_called()
+    done.assert_called_once_with("ORCH-061")
+
+
+# --- TC-05 ------------------------------------------------------------------
+def test_tc05_never_raise_on_db_error(spy_setters, monkeypatch):
+    direct, done = spy_setters
+    _make_task("done")
+
+    def _boom(_wi):
+        raise RuntimeError("db down")
+
+    monkeypatch.setattr(_db, "get_task_by_work_item_id", _boom)
+    # decide degrades to ALLOW (fail-safe), never raises.
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.ALLOW
+    # The setter proceeds with the normal PATCH (1:1), no convergence, no crash.
+    plane_sync.set_issue_monitoring("ORCH-061")
+    assert direct.call_count == 1
+    done.assert_not_called()
+
+
+def test_tc05_unknown_task_allows(spy_setters):
+    direct, done = spy_setters
+    # No task row at all -> ALLOW (foreign/unknown issue, not ours).
+    assert guard.decide("ORCH-999", guard.MONITORING) == guard.ALLOW
+    plane_sync.set_issue_monitoring("ORCH-999")
+    assert direct.call_count == 1
+    done.assert_not_called()
+
+
+def test_tc05_cancelled_is_suppressed(spy_setters):
+    direct, done = spy_setters
+    _make_task("cancelled")
+    assert guard.decide("ORCH-061", guard.MONITORING) == guard.SUPPRESS
+    plane_sync.set_issue_monitoring("ORCH-061")
+    # Suppressed: neither an intermediate PATCH nor a Done convergence.
+    direct.assert_not_called()
+    done.assert_not_called()
+
+
+# --- TC-12 ------------------------------------------------------------------
+def test_tc12_non_self_repo_inert(spy_setters):
+    direct, done = spy_setters
+    # A non-self repo done task: the guard is inert (self-hosting only, empty CSV).
+    _make_task("done", repo="enduro-trails", wi="ET-042", branch="feature/ET-042-x")
+    assert guard.applies("enduro-trails") is False
+    assert guard.decide("ET-042", guard.MONITORING) == guard.ALLOW
+    plane_sync.set_issue_monitoring("ET-042")
+    # Behaviour unchanged: the requested PATCH proceeds, no convergence.
+    assert direct.call_count == 1
+    done.assert_not_called()
+
+
+def test_tc12_csv_scope_overrides_self_hosting(monkeypatch):
+    _make_task("done", repo="enduro-trails", wi="ET-042", branch="feature/ET-042-x")
+    # Explicit CSV scope brings a non-self repo in-scope.
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "enduro-trails")
+    assert guard.applies("enduro-trails") is True
+    assert guard.applies("orchestrator") is False  # not listed -> out of scope
+    assert guard.decide("ET-042", guard.MONITORING) == guard.CONVERGE_DONE

tests/test_deploy_terminal_sync.py

@@ -135,7 +135,10 @@ def test_tc08_self_deploy_done_sets_monitoring_not_done(monkeypatch):
 
     assert _stage(task_id) == "done"
     # Self-hosting: the issue enters the Monitoring window, NOT terminal Done yet.
-    stage_engine.set_issue_monitoring.assert_called_once_with("ORCH-036")
+    # ORCH-094: the terminal-sync caller now tags the reason (FR-4 observability).
+    stage_engine.set_issue_monitoring.assert_called_once_with(
+        "ORCH-036", reason="advance:deploy->done"
+    )
     stage_engine.set_issue_done.assert_not_called()
 
 

tests/test_post_deploy_monitor_termination.py

@@ -0,0 +1,170 @@
+"""ORCH-094 — deterministic post-deploy-monitor termination (FR-3 / AC-3).
+
+Covers (04-test-plan.yaml):
+  TC-06  after the window finishes (HEALTHY, ticks==budget -> set_issue_done +
+         `done` marker) there are NO further status PATCHes for the task (a second
+         tick is a no-op: 0 set_issue_* calls).
+  TC-07  a tick at DB stage=done with a closed window OR a task cancelled mid-window
+         -> immediate no-op: no status PATCH and no next-tick enqueue (zombie-tick
+         excluded).
+  TC-08  arm_monitor does not re-arm a task already in done (armed/done marker ->
+         no-op), and a deploy->done re-drive after the window closed converges to
+         Done instead of resurrecting Monitoring.
+"""
+import os
+import tempfile
+
+import pytest
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_post_deploy_termination.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+os.environ["ORCH_REPOS_DIR"] = tempfile.gettempdir()
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+
+from unittest.mock import MagicMock  # noqa: E402
+
+import src.db as _db  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import stage_engine  # noqa: E402
+from src import post_deploy  # noqa: E402
+from src import config as cfg  # noqa: E402
+
+
+@pytest.fixture(autouse=True)
+def fresh_db(monkeypatch, tmp_path):
+    monkeypatch.setattr(_db.settings, "db_path", _test_db)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    monkeypatch.setattr(post_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "host_repos_dir", str(tmp_path))
+    # Small window so the budget is 1 tick (window // interval).
+    monkeypatch.setattr(stage_engine.settings, "post_deploy_window_s", 10)
+    monkeypatch.setattr(stage_engine.settings, "post_deploy_interval_s", 10)
+    monkeypatch.setattr(post_deploy.settings, "post_deploy_window_s", 10)
+    monkeypatch.setattr(post_deploy.settings, "post_deploy_interval_s", 10)
+    # write_post_deploy_log touches a worktree/git; stub it.
+    monkeypatch.setattr(post_deploy, "write_post_deploy_log", MagicMock(return_value=True))
+    yield
+
+
+@pytest.fixture
+def spy_status(monkeypatch):
+    setters = {}
+    for name in ("set_issue_done", "set_issue_monitoring", "set_issue_awaiting_deploy",
+                 "set_issue_deploying", "set_issue_blocked"):
+        m = MagicMock()
+        monkeypatch.setattr(stage_engine, name, m)
+        setters[name] = m
+    monkeypatch.setattr(stage_engine, "_notify_post_deploy", MagicMock())
+    return setters
+
+
+def _make_task(stage="done", repo="orchestrator", wi="ORCH-061", branch="feature/ORCH-061-x"):
+    conn = get_db()
+    cur = conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage) "
+        "VALUES (?, ?, ?, ?, ?)",
+        (f"plane-{wi}", wi, repo, branch, stage),
+    )
+    tid = cur.lastrowid
+    conn.commit()
+    conn.close()
+    return tid
+
+
+def _jobs():
+    conn = get_db()
+    rows = conn.execute("SELECT agent FROM jobs ORDER BY id").fetchall()
+    conn.close()
+    return [r[0] for r in rows]
+
+
+def _healthy(*a, **k):
+    return post_deploy.ProbeResult(health_ok=True, total=2, fivexx=0, detail="ok")
+
+
+# --- TC-06 ------------------------------------------------------------------
+def test_tc06_clean_finish_then_no_more_patches(spy_status, monkeypatch):
+    monkeypatch.setattr(post_deploy, "probe_signals", _healthy)
+    tid = _make_task("done")
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+
+    job = {"task_id": tid, "repo": "orchestrator", "id": 1, "agent": "post-deploy-monitor"}
+    # Tick 1: budget==1, ticks==1 -> HEALTHY window exhausted -> finish.
+    stage_engine.run_post_deploy_monitor(job)
+    spy_status["set_issue_done"].assert_called_once_with("ORCH-061")
+    assert post_deploy.has_marker("orchestrator", "ORCH-061", post_deploy.DONE)
+    # No next tick was enqueued (window exhausted).
+    assert _jobs() == []
+
+    # Tick 2 (e.g. duplicate job): DONE marker present -> no-op, ZERO new PATCHes.
+    spy_status["set_issue_done"].reset_mock()
+    stage_engine.run_post_deploy_monitor(job)
+    spy_status["set_issue_done"].assert_not_called()
+    spy_status["set_issue_monitoring"].assert_not_called()
+    assert _jobs() == []
+
+
+# --- TC-07 ------------------------------------------------------------------
+def test_tc07_cancelled_mid_window_is_noop(spy_status, monkeypatch):
+    monkeypatch.setattr(post_deploy, "probe_signals", _healthy)
+    tid = _make_task("cancelled")
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+
+    job = {"task_id": tid, "repo": "orchestrator", "id": 1, "agent": "post-deploy-monitor"}
+    stage_engine.run_post_deploy_monitor(job)
+    # Zombie-tick guard: window closed, NO status PATCH, NO next tick.
+    for name, m in spy_status.items():
+        m.assert_not_called()
+    assert post_deploy.has_marker("orchestrator", "ORCH-061", post_deploy.DONE)
+    assert _jobs() == []
+
+
+def test_tc07_finished_window_is_noop(spy_status, monkeypatch):
+    monkeypatch.setattr(post_deploy, "probe_signals", _healthy)
+    tid = _make_task("done")
+    # Window already finished (DONE marker present) -> no active basis to tick.
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+    post_deploy.mark_done("orchestrator", "ORCH-061")
+
+    job = {"task_id": tid, "repo": "orchestrator", "id": 1, "agent": "post-deploy-monitor"}
+    stage_engine.run_post_deploy_monitor(job)
+    spy_status["set_issue_done"].assert_not_called()
+    spy_status["set_issue_monitoring"].assert_not_called()
+    assert _jobs() == []
+
+
+# --- TC-08 ------------------------------------------------------------------
+def test_tc08_arm_monitor_idempotent_no_rearm(monkeypatch):
+    tid = _make_task("done")
+    # First arm: writes ARMED + enqueues tick 1.
+    assert post_deploy.arm_monitor("orchestrator", "ORCH-061", "feature/ORCH-061-x", tid) is True
+    assert _jobs() == ["post-deploy-monitor"]
+    # Second arm (re-drive deploy->done): ARMED present -> no-op, no new job.
+    assert post_deploy.arm_monitor("orchestrator", "ORCH-061", "feature/ORCH-061-x", tid) is False
+    assert _jobs() == ["post-deploy-monitor"]
+
+
+def test_tc08_redrive_after_window_closed_converges(spy_status, monkeypatch):
+    # Guard ON, self-hosting.
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True, raising=False)
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "", raising=False)
+    _make_task("done")
+    # Window armed then closed (a completed post-deploy observation).
+    post_deploy.write_marker("orchestrator", "ORCH-061", post_deploy.ARMED, "armed")
+    post_deploy.mark_done("orchestrator", "ORCH-061")
+    # A stale re-drive calling the REAL guarded setter must converge to Done, not
+    # resurrect Monitoring. (Use the real plane_sync setter via stage_engine import.)
+    from src import plane_sync
+    direct = MagicMock()
+    done = MagicMock()
+    monkeypatch.setattr(plane_sync, "_set_issue_state_direct", direct)
+    monkeypatch.setattr(plane_sync, "set_issue_done", done)
+    monkeypatch.setattr(plane_sync, "_resolve_project_id", lambda w=None, p=None: "proj-1")
+    monkeypatch.setattr(plane_sync, "get_project_states", lambda pid: {"monitoring": "S-mon"})
+
+    plane_sync.set_issue_monitoring("ORCH-061", reason="advance:deploy->done")
+    direct.assert_not_called()
+    done.assert_called_once_with("ORCH-061")

tests/test_reconciler_done_deploy_convergence.py

@@ -0,0 +1,82 @@
+"""ORCH-094 — sync convergence for a done task stuck on a deploy status (TC-10).
+
+Integration-level: ANY sync source (reconciler tick / monitor tick / a direct
+deploy-status setter call) that touches a DB-done task converges Plane to Done
+idempotently instead of an intermediate deploy status, and a repeated tick does
+NOT swing the Done<->deploy-status pendulum. The guard lives on the setter
+(ADR-001 D1/D7), so the reconciler code itself is unchanged — driving the setter
+the way a stale actor would is the faithful reproduction of the 061 flapp.
+"""
+import os
+import tempfile
+
+import pytest
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_reconciler_done_converge.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+os.environ["ORCH_REPOS_DIR"] = tempfile.gettempdir()
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+
+from unittest.mock import MagicMock  # noqa: E402
+
+import src.db as _db  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import plane_sync  # noqa: E402
+from src import post_deploy  # noqa: E402
+from src import config as cfg  # noqa: E402
+
+
+@pytest.fixture(autouse=True)
+def fresh_db(monkeypatch, tmp_path):
+    monkeypatch.setattr(_db.settings, "db_path", _test_db)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True, raising=False)
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "", raising=False)
+    monkeypatch.setattr(post_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "host_repos_dir", str(tmp_path))
+    yield
+
+
+@pytest.fixture
+def spy(monkeypatch):
+    direct = MagicMock()
+    done = MagicMock()
+    monkeypatch.setattr(plane_sync, "_set_issue_state_direct", direct)
+    monkeypatch.setattr(plane_sync, "set_issue_done", done)
+    monkeypatch.setattr(plane_sync, "_resolve_project_id", lambda w=None, p=None: "proj-1")
+    monkeypatch.setattr(
+        plane_sync, "get_project_states",
+        lambda pid: {"awaiting_deploy": "S-aw", "deploying": "S-dep", "monitoring": "S-mon"},
+    )
+    return direct, done
+
+
+def _make_task(stage="done", repo="orchestrator", wi="ORCH-061"):
+    conn = get_db()
+    conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage) "
+        "VALUES (?, ?, ?, ?, ?)",
+        (f"plane-{wi}", wi, repo, "feature/ORCH-061-x", stage),
+    )
+    conn.commit()
+    conn.close()
+
+
+def test_tc10_repeated_sync_converges_no_pendulum(spy):
+    direct, done = spy
+    _make_task("done")  # done, window closed (no ARMED sentinel)
+    # Simulate many sync ticks alternately trying to set Monitoring / Awaiting,
+    # exactly like the observed 061 pendulum (Awaiting <-> Monitoring forever).
+    for i in range(10):
+        if i % 2 == 0:
+            plane_sync.set_issue_monitoring("ORCH-061", reason="reconciler-tick")
+        else:
+            plane_sync.set_issue_awaiting_deploy("ORCH-061", reason="reconciler-tick")
+    # Every tick converged to Done; not a single intermediate deploy-status PATCH.
+    assert direct.call_count == 0
+    assert done.call_count == 10
+    # All convergence calls target the same terminal Done (no swing).
+    assert all(c.args == ("ORCH-061",) for c in done.call_args_list)

tests/test_self_deploy_cycle_regression.py

@@ -0,0 +1,128 @@
+"""ORCH-094 — the real deploy cycle is NOT suppressed by the guard (TC-11 / AC-4).
+
+A genuinely-deploying (non-terminal) self-hosting task must still walk
+`Awaiting Deploy -> Deploying -> Monitoring after Deploy -> Done` exactly as before
+ORCH-094. The critical regression case is the LEGITIMATE first `Monitoring`: by the
+time the terminal-sync runs the task is ALREADY DB-`done` (update_task_stage ran
+above), so the guard would wrongly converge it to Done UNLESS the arm-block moved
+ABOVE the terminal-sync (ADR-001 D3) marks the post-deploy window active first.
+This test exercises that ordering end-to-end via run_deploy_finalizer with the REAL
+guard + REAL arm_monitor wired in (only the network PATCH primitive is mocked).
+"""
+import os
+import tempfile
+
+import pytest
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_self_deploy_cycle_regression.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+os.environ["ORCH_REPOS_DIR"] = tempfile.gettempdir()
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+
+from unittest.mock import MagicMock  # noqa: E402
+
+import src.db as _db  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import stage_engine  # noqa: E402
+from src import plane_sync  # noqa: E402
+from src import post_deploy  # noqa: E402
+from src import self_deploy  # noqa: E402
+from src import config as cfg  # noqa: E402
+
+
+@pytest.fixture(autouse=True)
+def fresh_db(monkeypatch, tmp_path):
+    monkeypatch.setattr(_db.settings, "db_path", _test_db)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    monkeypatch.setattr(self_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(self_deploy.settings, "host_repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "repos_dir", str(tmp_path))
+    monkeypatch.setattr(post_deploy.settings, "host_repos_dir", str(tmp_path))
+    # Guard ON, self-hosting only.
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_enabled", True, raising=False)
+    monkeypatch.setattr(cfg.settings, "deploy_status_guard_repos", "", raising=False)
+    # Post-deploy monitor applies for self repo (arm fires on deploy->done).
+    monkeypatch.setattr(post_deploy.settings, "post_deploy_monitor_enabled", True)
+    monkeypatch.setattr(post_deploy.settings, "post_deploy_repos", "")
+    monkeypatch.setattr(stage_engine.post_deploy.settings, "post_deploy_monitor_enabled", True)
+    monkeypatch.setattr(stage_engine.post_deploy.settings, "post_deploy_repos", "")
+    # Stub the worktree/git artefact writers.
+    monkeypatch.setattr(stage_engine.self_deploy, "write_deploy_log", MagicMock(return_value=True))
+    monkeypatch.setattr(stage_engine.merge_gate, "release_merge_lease", MagicMock())
+    yield
+
+
+@pytest.fixture
+def spy_plane(monkeypatch):
+    """Spy plane_sync's low-level PATCH + Done convergence (the REAL guard runs)."""
+    direct = MagicMock()
+    done = MagicMock()
+    monkeypatch.setattr(plane_sync, "_set_issue_state_direct", direct)
+    monkeypatch.setattr(plane_sync, "set_issue_done", done)
+    monkeypatch.setattr(plane_sync, "_resolve_project_id", lambda w=None, p=None: "proj-1")
+    monkeypatch.setattr(
+        plane_sync, "get_project_states",
+        lambda pid: {"awaiting_deploy": "S-aw", "deploying": "S-dep", "monitoring": "S-mon",
+                     "done": "S-done"},
+    )
+    # stage_engine.set_issue_done is a module-level binding -> patch it too so a
+    # non-self / fallback Done path is observable; here we expect Monitoring though.
+    monkeypatch.setattr(stage_engine, "set_issue_done", done)
+    return direct, done
+
+
+def _make_task(stage, repo="orchestrator", wi="ORCH-063", branch="feature/ORCH-063-x"):
+    conn = get_db()
+    cur = conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage) "
+        "VALUES (?, ?, ?, ?, ?)",
+        (f"plane-{wi}", wi, repo, branch, stage),
+    )
+    tid = cur.lastrowid
+    conn.commit()
+    conn.close()
+    return tid
+
+
+def _pass(*a, **k):
+    return (True, "ok")
+
+
+def test_tc11_non_terminal_awaiting_deploying_pass(spy_plane):
+    direct, done = spy_plane
+    _make_task("deploy")
+    # Phase A / Phase B statuses on a NON-terminal task proceed (no convergence).
+    plane_sync.set_issue_awaiting_deploy("ORCH-063", reason="phase_a")
+    plane_sync.set_issue_deploying("ORCH-063", reason="phase_b")
+    assert direct.call_count == 2
+    done.assert_not_called()
+
+
+def test_tc11_legit_monitoring_preserved_on_deploy_done(spy_plane, monkeypatch):
+    direct, done = spy_plane
+    # Hook reported exit 0.
+    self_deploy.write_marker("orchestrator", "ORCH-063", self_deploy.RESULT, "0")
+    monkeypatch.setattr(
+        stage_engine, "QG_CHECKS",
+        {**stage_engine.QG_CHECKS, "check_deploy_status": _pass},
+    )
+
+    tid = _make_task("deploy")
+    stage_engine.run_deploy_finalizer(
+        {"task_id": tid, "repo": "orchestrator", "id": 1, "agent": "deploy-finalizer"}
+    )
+
+    # Stage advanced to done.
+    conn = get_db()
+    stage = conn.execute("SELECT stage FROM tasks WHERE id=?", (tid,)).fetchone()[0]
+    conn.close()
+    assert stage == "done"
+    # The arm-block ran BEFORE terminal-sync -> the window is active -> the guard
+    # ALLOWS the legitimate Monitoring PATCH (S-mon), it is NOT converged to Done.
+    assert post_deploy.has_marker("orchestrator", "ORCH-063", post_deploy.ARMED)
+    mon_calls = [c for c in direct.call_args_list if c.args[1] == "S-mon"]
+    assert len(mon_calls) == 1, f"expected one Monitoring PATCH, got {direct.call_args_list}"
+    done.assert_not_called()

tests/test_tracker_html_escape.py

@@ -0,0 +1,358 @@
+"""ORCH-095 — HTML-safety of dynamic data fields in render_task_tracker.
+
+The live card text is sent/edited with parse_mode=HTML. It is assembled from
+two kinds of slots:
+
+  * category M (intentional markup, NEVER escaped): the clickable issue number
+    (plane_issue_link -> <a href>), the ⏳-waiting links (link_for), the done
+    line (_done_link), and the already-escaped title (esc_title);
+  * category D (data, escaped EXACTLY once at the render boundary): durations
+    (_fmt_minutes / _capped_review_str), the status label, model, effort, and
+    the token/cost metrics.
+
+The bug (ORCH-093 incident): _fmt_minutes returns the literal "<1м" for a
+sub-minute stage; interpolated raw into HTML text Telegram parsed "<1м" as an
+opening tag -> 400 can't parse entities -> EDIT_FAILED -> the card froze. ADR-001
+closes the whole class by escaping every D-slot at the boundary (helper N._esc)
+while keeping the M-slots intact (so the number stays clickable, no double-escape).
+
+These tests assert: sub-minute durations are safe (TC-01/02/03), all data fields
+escape special chars without double-escaping (TC-04/05/06), markup survives
+(TC-07/08), the edit payload is parse-safe and the anti-duplicate invariant
+(ORCH-087) holds (TC-09/10), and the render path never raises (TC-11).
+
+Network is isolated (no live overlay HTTP); the DB is a temp SQLite.
+"""
+
+import os
+import tempfile
+
+os.environ.setdefault("ORCH_PLANE_API_TOKEN", "test-token")
+os.environ.setdefault("ORCH_GITEA_TOKEN", "test-token")
+
+_test_db = os.path.join(tempfile.gettempdir(), "test_orchestrator_html_escape.db")
+os.environ["ORCH_DB_PATH"] = _test_db
+
+from types import SimpleNamespace  # noqa: E402
+from unittest.mock import MagicMock  # noqa: E402
+
+import pytest  # noqa: E402
+
+import src.db as db_module  # noqa: E402
+import src.projects as projects_mod  # noqa: E402
+from src.db import init_db, get_db  # noqa: E402
+from src import notifications as N  # noqa: E402
+
+# orchestrator repo -> default project registry uuid (src/projects.py).
+_ORCH_PROJECT_ID = "8da6aa25-a60e-44d6-a1e2-d8ae59aa7d6a"
+
+
+@pytest.fixture(autouse=True)
+def setup_db(monkeypatch):
+    monkeypatch.setattr(db_module.settings, "db_path", _test_db, raising=False)
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+    init_db()
+    # Keep the render path fully offline (no live overlay HTTP).
+    monkeypatch.setattr(N._get_settings(), "tracker_live_status", False,
+                        raising=False)
+    monkeypatch.setattr(
+        projects_mod, "get_project_by_repo",
+        lambda repo: (SimpleNamespace(plane_project_id=_ORCH_PROJECT_ID)
+                      if repo == "orchestrator" else None),
+    )
+    yield
+    if os.path.exists(_test_db):
+        os.unlink(_test_db)
+
+
+def _set(monkeypatch, **kw):
+    s = N._get_settings()
+    for k, v in kw.items():
+        monkeypatch.setattr(s, k, v, raising=False)
+
+
+def _mk_task(wid="ORCH-095", repo="orchestrator", title="card",
+             plane_issue_id="issue-uuid-1", stage="development",
+             brd_start=None, brd_end=None):
+    conn = get_db()
+    cur = conn.execute(
+        "INSERT INTO tasks (plane_id, work_item_id, repo, branch, stage, title, "
+        "plane_issue_id, brd_review_started_at, brd_review_ended_at) "
+        "VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)",
+        ("p1", wid, repo, "feature/ORCH-095-x", stage, title, plane_issue_id,
+         brd_start, brd_end),
+    )
+    tid = cur.lastrowid
+    conn.commit()
+    conn.close()
+    return tid
+
+
+def _mk_run(task_id, agent, started, finished, in_tok=100, out_tok=50,
+            cache_read=0, cache_creation=0, cost=0.0, model=None,
+            effort=None, exit_code=0):
+    conn = get_db()
+    cur = conn.execute(
+        "INSERT INTO agent_runs (task_id, agent, started_at, finished_at, "
+        "exit_code, input_tokens, output_tokens, cache_read_tokens, "
+        "cache_creation_tokens, cost_usd, model, effort) "
+        "VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?, ?)",
+        (task_id, agent, started, finished, exit_code, in_tok, out_tok,
+         cache_read, cache_creation, cost, model, effort),
+    )
+    rid = cur.lastrowid
+    conn.commit()
+    conn.close()
+    return rid
+
+
+# A stage that lasted 30s (< 60s) -> _fmt_minutes -> "<1м".
+_SUB_MIN_START = "2026-06-04 09:00:00"
+_SUB_MIN_END = "2026-06-04 09:00:30"
+
+
+# --------------------------------------------------------------------------- #
+# TC-01 — sub-minute duration is HTML-safe at the render boundary
+# --------------------------------------------------------------------------- #
+def test_tc01_sub_minute_duration_escaped_at_boundary():
+    # ADR-001 D2: _fmt_minutes keeps returning the literal "<1м" (source
+    # unchanged); safety comes from _esc at the boundary -> "&lt;1м".
+    assert N._fmt_minutes(30) == "<1м"
+    escaped = N._esc(N._fmt_minutes(30))
+    assert escaped == "&lt;1м"
+    assert "<1" not in escaped          # no raw opening-tag-looking substring
+
+
+# --------------------------------------------------------------------------- #
+# TC-02 — _fmt_minutes boundary inputs: never-raise + boundary-safe
+# --------------------------------------------------------------------------- #
+@pytest.mark.parametrize("value", [0, None, "abc", 59, 60, 61, 100000, -5, 30])
+def test_tc02_fmt_minutes_never_raise_and_safe(value):
+    out = N._fmt_minutes(value)           # must not raise
+    assert isinstance(out, str)
+    safe = N._esc(out)
+    # After boundary escaping no raw '<' (or '>'/'&') survives in any branch.
+    assert "<" not in safe
+    assert ">" not in safe
+
+
+# --------------------------------------------------------------------------- #
+# TC-03 — render_task_tracker for a sub-minute stage: no raw '<1м'
+# --------------------------------------------------------------------------- #
+def test_tc03_render_sub_minute_stage_is_safe():
+    tid = _mk_task(stage="development")
+    # Analysis stage lasted 30s; analysis sits before development -> ✅ line shown.
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END, model="claude-opus-4-8")
+
+    text = N.render_task_tracker(tid)
+    assert "<1м" not in text             # the bug: raw literal must be gone
+    assert "&lt;1м" in text              # rendered safely instead
+    # And no double escaping leaked in.
+    assert "&amp;lt;" not in text
+
+
+# --------------------------------------------------------------------------- #
+# TC-04 — title with '<', '>', '&' escaped, no raw tags, no double-escape
+# --------------------------------------------------------------------------- #
+def test_tc04_title_special_chars_escaped_no_double():
+    tid = _mk_task(title="A <b>x</b> & <1", stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END)
+
+    text = N.render_task_tracker(tid)
+    # Data special chars present only escaped...
+    assert "&lt;b&gt;" in text
+    assert "&amp;" in text
+    # ...never as raw markup from the title.
+    assert "<b>" not in text
+    assert "</b>" not in text
+    # No double escaping anywhere.
+    assert "&amp;lt;" not in text
+    assert "&amp;amp;" not in text
+
+
+# --------------------------------------------------------------------------- #
+# TC-05 — status label + model + effort are escaped (defence-in-depth)
+# --------------------------------------------------------------------------- #
+def test_tc05_status_label_escaped(monkeypatch):
+    monkeypatch.setattr(N, "_card_status_label", lambda *a, **k: "<danger>")
+    tid = _mk_task(stage="development")
+    text = N.render_task_tracker(tid)
+    assert "&lt;danger&gt;" in text
+    assert "<danger>" not in text
+
+
+def test_tc05_model_escaped(monkeypatch):
+    # The model name is a D-slot: even if a '<' ever reached it, it is escaped.
+    import src.usage as U
+    monkeypatch.setattr(U, "short_model_name", lambda m: "<m>" if m else "")
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END, model="whatever")
+    text = N.render_task_tracker(tid)
+    assert "&lt;m&gt;" in text
+    assert "<m>" not in text
+
+
+def test_tc05_effort_escaped():
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END,
+            model="claude-opus-4-8", effort="<e>")
+    text = N.render_task_tracker(tid)
+    assert "&lt;e&gt;" in text
+    assert "<e>" not in text
+
+
+# --------------------------------------------------------------------------- #
+# TC-06 — token / cost metrics are HTML-safe ('$' + digits)
+# --------------------------------------------------------------------------- #
+def test_tc06_token_cost_metrics_safe():
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END,
+            in_tok=1_100_000, out_tok=39_600, cost=2.38,
+            model="claude-opus-4-8")
+    text = N.render_task_tracker(tid)
+    # The 💰 totals line renders with a '$' cost and no stray angle brackets
+    # coming from the metric data.
+    assert "$" in text
+    assert "&amp;" not in text or "&amp;lt;" not in text  # no double-escape
+    # No raw opening-tag substring produced by the metrics.
+    assert "<$" not in text
+
+
+# --------------------------------------------------------------------------- #
+# TC-07 — markup regression: clickable issue number stays a valid <a> tag
+# --------------------------------------------------------------------------- #
+def test_tc07_issue_number_stays_clickable(monkeypatch):
+    _set(monkeypatch, plane_web_url="https://plane.example.org",
+         plane_api_url="http://localhost:8091", plane_workspace_slug="acme")
+    tid = _mk_task(plane_issue_id="abcd-issue-uuid", stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END)
+
+    text = N.render_task_tracker(tid)
+    expected_url = (
+        f"https://plane.example.org/acme/projects/{_ORCH_PROJECT_ID}"
+        f"/issues/abcd-issue-uuid/"
+    )
+    # The anchor markup is NOT escaped (M-slot) -> still clickable & valid.
+    assert f'<a href="{expected_url}">ORCH-095</a>' in text
+    assert text.count("<a href=") == text.count("</a>")
+    # href/label are not double-escaped.
+    assert "&lt;a href=" not in text
+    assert "&amp;lt;" not in text
+
+
+# --------------------------------------------------------------------------- #
+# TC-08 — markup regression: _done_link renders valid '🔗 PR #n · 📦 Внедрено'
+# --------------------------------------------------------------------------- #
+def test_tc08_done_link_markup_preserved(monkeypatch):
+    tid = _mk_task(stage="done")
+    _mk_run(tid, "deployer", _SUB_MIN_START, _SUB_MIN_END)
+
+    # Mock the Gitea PR lookup inside _done_link.
+    resp = MagicMock()
+    resp.status_code = 200
+    resp.json = lambda: [{"number": 105}]
+    monkeypatch.setattr(N.httpx, "get", lambda *a, **k: resp)
+
+    text = N.render_task_tracker(tid)
+    assert "\U0001f517 PR #105" in text          # 🔗 PR #105
+    assert "\U0001f4e6" in text                   # 📦
+    # The done line is an M-slot -> not escaped.
+    assert "&lt;" not in text.split("\n")[-1]
+
+
+# --------------------------------------------------------------------------- #
+# TC-09 — integration: edit payload for a sub-minute card is parse-safe
+# --------------------------------------------------------------------------- #
+def test_tc09_edit_payload_is_parse_safe(monkeypatch):
+    from src.db import set_tracker_message_id
+    _set(monkeypatch, tracker_mode="edit",
+         telegram_bot_token="bot-token", telegram_chat_id="chat-1")
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END, model="claude-opus-4-8")
+    set_tracker_message_id(tid, 18854)
+
+    captured = {}
+
+    def _fake_post(url, json=None, timeout=None, **kw):
+        captured["url"] = url
+        captured["json"] = json
+        return SimpleNamespace(status_code=200, json=lambda: {"ok": True})
+
+    monkeypatch.setattr(N.httpx, "post", _fake_post)
+
+    N.update_task_tracker(tid)
+
+    assert "editMessageText" in captured["url"]
+    payload_text = captured["json"]["text"]
+    assert captured["json"]["parse_mode"] == "HTML"
+    # The crux of ORCH-095: no raw '<1м' reaches Telegram -> no 'can't parse
+    # entities' -> the card does not freeze.
+    assert "<1м" not in payload_text
+    assert "&lt;1м" in payload_text
+
+
+# --------------------------------------------------------------------------- #
+# TC-10 — stuck card resumes; anti-duplicate (ORCH-087) preserved
+# --------------------------------------------------------------------------- #
+def test_tc10_valid_render_edits_in_place_no_new_card(monkeypatch):
+    from src.db import set_tracker_message_id, get_tracker_message_id
+    _set(monkeypatch, tracker_mode="edit")
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END, model="claude-opus-4-8")
+    set_tracker_message_id(tid, 18854)
+
+    # After the fix the render is valid -> edit succeeds in place (EDIT_OK).
+    monkeypatch.setattr(N, "edit_telegram", lambda mid, text: N.EDIT_OK)
+    send_mock = MagicMock(return_value=999)
+    monkeypatch.setattr(N, "send_telegram", send_mock)
+
+    N.update_task_tracker(tid)
+
+    send_mock.assert_not_called()                 # edited in place, no new card
+    assert get_tracker_message_id(tid) == 18854   # pointer unchanged
+
+
+def test_tc10_transient_fail_does_not_duplicate(monkeypatch):
+    # ORCH-087 invariant: a transient edit failure must NOT spawn a new card.
+    from src.db import set_tracker_message_id, get_tracker_message_id
+    _set(monkeypatch, tracker_mode="edit")
+    tid = _mk_task(stage="development")
+    _mk_run(tid, "analyst", _SUB_MIN_START, _SUB_MIN_END, model="claude-opus-4-8")
+    set_tracker_message_id(tid, 18854)
+
+    monkeypatch.setattr(N, "edit_telegram", lambda mid, text: N.EDIT_FAILED)
+    send_mock = MagicMock(return_value=999)
+    monkeypatch.setattr(N, "send_telegram", send_mock)
+
+    N.update_task_tracker(tid)
+
+    send_mock.assert_not_called()                 # no duplicate on transient fail
+    assert get_tracker_message_id(tid) == 18854
+
+
+# --------------------------------------------------------------------------- #
+# TC-11 — never-raise on broken inputs
+# --------------------------------------------------------------------------- #
+def test_tc11_never_raise_missing_task():
+    # No such task -> minimal fallback string, no exception.
+    assert N.render_task_tracker(999999) == "task-999999"
+
+
+def test_tc11_never_raise_none_title_and_bad_timestamps():
+    tid = _mk_task(title=None, stage="development")
+    # Unparseable timestamps -> _duration_seconds degrades to None, no raise.
+    _mk_run(tid, "analyst", "not-a-ts", "also-bad", model="claude-opus-4-8")
+    text = N.render_task_tracker(tid)        # must not raise
+    assert isinstance(text, str)
+    assert "ORCH-095" in text                # falls back to work_item_id
+
+
+def test_tc11_esc_never_raises():
+    class _Boom:
+        def __str__(self):
+            raise RuntimeError("boom")
+
+    # _esc degrades to '' rather than propagating an exception (FR-5).
+    assert N._esc(_Boom()) == ""
+    assert N._esc(None) == "None"