deployer(ET): auto-commit from deployer run_id=180

Both compose services (orchestrator, orchestrator-staging) now declare
user: "1000:1000" so pipeline artifacts (git worktree, docs/work-items
commits) are created as slin:slin on the host — git pull/reset under slin
no longer fail with permission errors. docker.sock access preserved via
group_add: ["999"]. SSH mount target aligned with the launcher-forced
HOME=/home/slin (/root/.ssh -> /home/slin/.ssh). launcher.py and Dockerfile
unchanged. INFRA.md and CHANGELOG.md updated; host-prerequisites (P-1..P-4)
documented.

Refs: ORCH-040

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

.env.example

@@ -1,4 +1,8 @@
 ORCH_PLANE_API_URL=http://plane-app-api-1:8000
+# External (browser) web URL of Plane for clickable issue links in notifications
+# (ORCH-017). Falls back to ORCH_PLANE_API_URL; a loopback fallback is treated as
+# "no web URL" and the Plane link is omitted. Example: https://plane.example.org
+ORCH_PLANE_WEB_URL=
 ORCH_PLANE_API_TOKEN=
 ORCH_PLANE_WORKSPACE_SLUG=
 ORCH_PLANE_WEBHOOK_SECRET=
@@ -8,3 +12,8 @@ ORCH_GITEA_WEBHOOK_SECRET=
 ORCH_CLAUDE_BIN=/usr/bin/claude
 ORCH_REPOS_DIR=/home/slin/repos
 ORCH_DB_PATH=/app/data/orchestrator.db
+# ORCH-042: live-tracker mode. edit (DEFAULT) -> the task card is edited in place
+# (editMessageText). bump -> on every update the old card is deleted and a fresh
+# one is sent silently to the BOTTOM of the chat (deleteMessage + sendMessage +
+# repoint). One card per task in both modes. Any value other than "bump" -> edit.
+ORCH_TRACKER_MODE=edit

.gitea/workflows/ci.yml

@@ -12,11 +12,17 @@ jobs:
       - uses: actions/checkout@v4
       - name: Install dependencies
         run: |
+          set -euo pipefail
           python3 -m pip install --user --upgrade pip
           python3 -m pip install --user -r requirements.txt
       - name: Test
         env:
           PYTHONPATH: ${{ github.workspace }}
         run: |
+          # ORCH-39: fail the job on ANY failure. Run the WHOLE suite from the
+          # repo root. --strict-markers + pytest-asyncio (asyncio_mode=auto, see
+          # pytest.ini) make async tests actually run instead of silently
+          # skipping (the hole that hid red tests behind a green CI).
+          set -euo pipefail
           export PATH="$HOME/.local/bin:$PATH"
-          python3 -m pytest tests/ -q
+          python3 -m pytest tests/ -q -p no:cacheprovider --strict-markers

.openclaw/agents/deployer.md

@@ -21,10 +21,20 @@ On stage `deploy-staging` your job is to run the staging test suite and write a
 
 ### Steps:
 
-1. Run the staging test suite against the live staging environment:
+1. Run the staging test suite against the live staging environment.
+   **CANONICAL: run INSIDE the `orchestrator-staging` container via `docker exec`**
+   (ORCH-048, ADR-001) — NOT from the host:
    ```bash
-   python3 scripts/staging_check.py --base-url http://localhost:8501 --mode stub
+   docker exec orchestrator-staging \
+     python3 /repos/orchestrator/scripts/staging_check.py \
+     --base-url http://localhost:8501 --mode stub
    ```
+   Why: the B6 registry-isolation check reads the registry from the running
+   instance's own process-env (`.env.staging`). Running from the host leaves
+   `ORCH_PROJECTS_JSON` unset → B6 falls back to the default (ET+ORCH) registry
+   → false FAIL → spurious rollback. The script path is `/repos/orchestrator/scripts/…`
+   (bind-mount); `scripts/` is NOT copied into the image, so `/app/scripts` does
+   not exist. Details: `docs/operations/STAGING_CHECK.md`.
 
 2. Check the exit code:
    - Exit code **0** = all tests PASS → `staging_status: SUCCESS`

CHANGELOG.md

@@ -5,6 +5,12 @@
 ## [Unreleased]
 
 ### Added
+- **Режим `bump` live-трекера Telegram** (ORCH-042): новый `ORCH_TRACKER_MODE` (`Settings.tracker_mode`, дефолт `edit`) выбирает поведение карточки задачи. `edit` (как было) — карточка редактируется на месте (`editMessageText`). `bump` — на каждом обновлении старое сообщение удаляется и карточка отправляется заново вниз чата (best-effort `delete_telegram(старый_id)` → `send_telegram(text, disable_notification=True)` → `set_tracker_message_id(new_id)`), чтобы актуальный статус всегда был последним в чате при активной переписке. Инвариант «одна карточка на задачу» сохранён в обоих режимах: за один вызов `update_task_tracker` шлётся ≤1 нового сообщения; `set_tracker_message_id` вызывается ТОЛЬКО при успешном send (транзиентный `None` не затирает указатель); результат delete НЕ блокирует отправку новой карточки (delete-fail у сообщения >48ч → всё равно шлём новое). Резолюция режима в `notifications` (case-insensitive, trim): всё, что ≠ `"bump"` (включая пустое/мусор) → `edit` → нулевая регрессия и оркестратор не падает на любом значении флага. Новый low-level helper `delete_telegram(message_id) -> bool` (контракт «never raises», маркеры `_DELETE_GONE_MARKERS`): `ok:true` или «уже нет / нельзя удалить» → `True`; неизвестный `ok:false`/5xx/исключение → `False`; нет кредов → `False` без HTTP. Сигнатуры `send_telegram`/`edit_telegram`/`update_task_tracker` и схема БД (`tasks.tracker_message_id`) не менялись. ADR `docs/work-items/ORCH-042/06-adr/ADR-001-tracker-bump-mode.md`. Тесты: `tests/test_tracker_bump.py`, `tests/test_config.py`.
+- **Дословный текст findings reviewer/tester встраивается в `task_desc` заворота** (ORCH-046): при откате на `development` строка `task_desc` (попадает в `.task-dev.md` developer-агента) теперь несёт суть претензий, а не только ссылку на файл — устраняет «испорченный телефон», из-за которого агент шёл «читать файл», терял ключевые P0/P1 / причину FAIL и заворачивался снова, выжигая `MAX_DEVELOPER_RETRIES` и токены. Новый defensive-модуль `src/review_parse.py` (контракт «never raise», как `src/frontmatter.py`): `extract_review_findings(path)` — дословные пункты P0/P1 из секции `## Findings` файла `12-review.md`; `extract_test_failures(path)` — релевантный фрагмент тела `13-test-report.md` (приоритет `## Вывод pytest` → FAIL-строки `## Результаты` → `## Итог`). Обе функции усекают результат до `MAX_FINDINGS_CHARS`/`MAX_FAILURES_CHARS` (≈2000) с маркером `…(truncated)`. Две rollback-ветки `src/stage_engine.py` (reviewer REQUEST_CHANGES, tester `check_tests_passed` FAIL) встраивают извлечённый текст и **сохраняют ссылку** на полный файл («Полный контекст»); при пустом/битом артефакте — graceful-фоллбэк на прежнюю ссылку-строку (никаких исключений в `advance_stage`). Tester-ветка дополнительно всегда включает `reason` гейта. Последовательность отката, `_developer_retry_count`, поля `AdvanceResult` и реестр `QG_CHECKS` не менялись. ADR `docs/work-items/ORCH-046/06-adr/ADR-001-embed-findings-in-task-desc.md`. Тесты: `tests/test_review_parse.py`, `tests/test_stage_engine.py::TestRollbackTaskDescEmbedding`.
+- **Поллинг с ретраем в quality-gate `check_ci_green`** (ORCH-045): гейт CI превращён из single-shot в polling, чтобы устранить race condition — раньше один опрос combined commit-status сразу после пуша developer-а ловил транзиентный `pending` (типично 1-3с, реальный кейс ORCH-017: опрос 17:58:54 → pending, CI дозеленел 17:58:55) и задача застревала насмерть без повторного опроса. Теперь: `success` → пропуск сразу; `failure`/`error` → провал сразу (терминально, ретрай бессмыслен); `pending`/unknown → `time.sleep` и повторный опрос до `ci_poll_max_attempts` раз; истечение попыток → явный `(False, "CI still pending after <T>s")` (тупик больше не молчаливый); 404 → как раньше; транзиентная `httpx.HTTPError` на попытке логируется и ретраится в рамках бюджета. Параметры — новые настройки `ORCH_CI_POLL_MAX_ATTEMPTS` (12) и `ORCH_CI_POLL_INTERVAL_S` (10) в `src/config.py` (~2 мин ожидания pending). Сигнатура `check_ci_green(repo, branch)` и реестр `QG_CHECKS` не менялись; `check_tests_passed` не затронут. ADR `docs/architecture/adr/adr-0004-ci-poll-retry.md`. Тесты: `tests/test_qg.py::TestCheckCIGreen`.
+- **Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве** (ORCH-017): пингующее сообщение `notify_approve_requested` теперь встраивает две HTML-`<a>`-ссылки — на `docs/work-items/<WI>/01-brd.md` (Gitea branch-view: `gitea_public_url`→`gitea_url`) и на issue в Plane (`{web_base}/{workspace}/projects/{project_id}/issues/{plane_issue_id}/`). Новая настройка `ORCH_PLANE_WEB_URL` (внешний браузерный web-URL Plane; фолбэк на `plane_api_url`). **Loopback-guard:** если итоговый Plane web-base указывает на localhost/127.0.0.1/0.0.0.0/::1 или пуст — Plane-ссылка опускается (не выпускаем битый localhost-URL). Graceful degradation: каждая ссылка строится независимо и опускается при нехватке данных, сообщение и призыв «Переведите задачу в статус Approved …» сохраняются всегда; ровно одно пингующее сообщение, разделяемая `send_telegram` не тронута. Динамические подписи экранируются `html.escape`, `parse_mode=HTML` сохранён. ADR `docs/work-items/ORCH-017/06-adr/ADR-001-telegram-approve-links.md`. Тесты: `test_notify_approve_links.py`, `test_analysis_approve_flow_links.py`.
+- **Конфигурируемые модель LLM и режим работы (`--effort`) агентов** (ORCH-41): модель/effort каждого агента вынесены из хардкода `launcher.py` в конфиг — глобально per-agent (`ORCH_AGENT_MODEL_<AGENT>` / `ORCH_AGENT_EFFORT_<AGENT>`, дефолты `ORCH_AGENT_MODEL_DEFAULT=claude-opus-4-8`, `ORCH_AGENT_EFFORT_DEFAULT=high`) и per-project (`agent_models` / `agent_efforts` в `ORCH_PROJECTS_JSON`). Резолверы `resolve_agent_model` / `resolve_agent_effort` (приоритет project > per-agent env > default > пусто), валидация effort `{low,medium,high,xhigh,max}`, опц. `ORCH_AGENT_FALLBACK_MODEL` (`--fallback-model`). Хардкод `"model":"opus"` (architect/reviewer) удалён. Тесты: `test_resolve_agent_model.py`, `test_resolve_agent_effort.py`.
+- **Единый status-коммент агентов в Plane** (ORCH-016): `usage.build_status_comment(...)` — один хелпер для ВСЕХ ролей (analyst..deployer). HTML-формат: header `{icon} {Role} — {описание}`, опциональная строка `Verdict/Status: …` из YAML-frontmatter артефакта, **строка `Длительность: 4m 12s`** (явный `duration_s` от launcher, fallback из `agent_runs` для аналитика), `<b>Документы:</b><ul><li><a>…</a></li></ul>`, тех-хвост `<sub>tokens · cost</sub>`. Утилитки: `usage.fmt_duration`, `usage.get_agent_duration`, новый модуль `src/frontmatter.py` (defensive YAML reader). ADR `docs/work-items/ORCH-016/06-adr/ADR-001-unified-status-comment.md`.
 - **Документация по канону** (ORCH-9): `CLAUDE.md` (паспорт проекта), структура `docs/` (`architecture/` + `adr/`, `operations/`, `work-items/`, `history/`), `docs/operations/INFRA.md` (RUNBOOK с инфра-изоляцией и self-hosting рисками).
 - **ADR**: adr-0001 (multi-repo registry), adr-0002 (job queue), adr-0003 (условный staging-гейт).
 - **Стадия `deploy-staging`** (ORCH-35): промежуточный гейт между `testing` и `deploy`. QG `check_staging_status` (условный, только для self-hosting repo). PR #31.
@@ -14,9 +20,14 @@
 - **Реестр проектов** (ORCH-6): `src/projects.py`, фильтрация вебхуков по проекту.
 
 ### Changed
+- **Русификация и косметика карточки live-трекера Telegram** (ORCH-042, оба режима): метка `Подтверждение BRD` вместо «Ревью БРД» (`_BRD_LABEL`); после прохождения approve-gate строка подтверждения BRD начинается с ✅ вместо ⏸️ (ветка ожидания человека сохраняет ⏸️/⏳); русские display-labels стадий в `_TRACKER_STAGES` (`Анализ / Архитектура / Разработка / Код ревью / Тестирование / Внедрение`) — применяются и в «✅ …», и в «🔄 … идёт»; финальная строка готовой задачи `📦 Внедрено` вместо `deployed` (`_done_link`). Меняются только отображаемые строки — ключи стадий и имена агентов не трогаются. Существующие ассерты `tests/test_telegram_tracker.py` обновлены под русские метки.
+- **Status-коммент агентов теперь HTML и единообразен** (ORCH-016): `src/usage.usage_comment(...)` помечен deprecated и стал тонкой обёрткой над `build_status_comment`; `src/usage.artifact_links(...)` теперь возвращает `<li><a>…</a></li>` HTML-фрагменты (раньше — markdown `[label](url)`); `stage_engine._build_analyst_ready_comment(...)` — тонкая обёртка, аналитик идёт через ту же ветку `build_status_comment(agent="analyst", ...)`. Реестр `QG_CHECKS` и `STAGE_TRANSITIONS` НЕ изменялись.
 - Цепочка стадий: `... testing → deploy-staging → deploy → done` (была без `deploy-staging`).
 
 ### Fixed
+- **Контейнер и агенты бегут под uid хоста (1000:1000), не root** (ORCH-040): оба сервиса в `docker-compose.yml` (`orchestrator`, `orchestrator-staging`) получили `user: "1000:1000"` (slin) — устраняет корень проблемы, при которой Claude-CLI агенты, запускаемые через `subprocess.Popen` внутри root-контейнера, создавали все артефакты конвейера (git worktree `/repos/_wt/...`, коммиты в `docs/work-items/...`) с владельцем `root:root` на хосте, из-за чего `git pull`/`git reset` под slin падали с `insufficient permission for adding an object` и каждый деплой требовал ручного `chown`. Теперь файлы сразу `slin:slin`. Доступ к docker.sock сохранён через `group_add: ["999"]` (МИНА 1 — НЕ удалена). SSH-маунт приведён к единому HOME агента: target `/root/.ssh` → `/home/slin/.ssh` (`/home/slin/.orchestrator-ssh:/home/slin/.ssh:ro`), синхронно с `HOME=/home/slin`, который launcher форсит в env Popen и git_env — устранён скрытый рассинхрон SSH-маунта с форсимым HOME. `src/agents/launcher.py` и `Dockerfile` НЕ менялись (numeric uid работает без записи в `/etc/passwd`; `safe.directory '*'` уже покрывает git над bind-mount). Требует host-prerequisites Owner (P-1…P-4, вне кода): блокер P-1 — `chown -R 1000:1000 /home/slin/.claude` для доступа uid 1000 к claude creds (иначе preflight заворачивает конвейер); прод-рестарт self — только в окно тишины (общий инстанс с enduro-trails), страховка — staging-гейт (adr-0003). ADR `docs/work-items/ORCH-040/06-adr/ADR-001-run-agents-as-host-uid.md`, глобальный `docs/architecture/adr/adr-0005-container-runs-as-host-uid.md`; INFRA.md обновлён (рантайм-uid, volumes/SSH target, host-prerequisites). Тесты: `tests/test_orch040_compose.py`.
+- **Staging-чек B6 читает реестр из окружения работающего staging-инстанса** (ORCH-048): блок B6 «Registry: sandbox present, prod ET/ORCH absent» в `scripts/staging_check.py` давал **ложный FAIL** (`prod-ET=YES(BAD!)`, `prod-ORCH=YES(BAD!)`) при фактически исправной изоляции — единственный чек suite, который не ходил к инстансу по HTTP, а импортировал `src.projects` локально через host-path хак `sys.path.insert(0, "/repos/orchestrator")` + `importlib.reload`, строя реестр из `ORCH_PROJECTS_JSON` **process-env запускающего процесса**. При фактическом запуске деплоером с хоста переменная не задана → дефолт `_DEFAULT_PROJECTS` (ET+ORCH) → ложный FAIL → лишний откат `deploy-staging → development`. Решение (вариант «в», ADR-001): host-path хак удалён; suite канонически запускается ВНУТРИ контейнера `orchestrator-staging` через `docker exec … python3 /repos/orchestrator/scripts/staging_check.py` (`scripts/` доступен только через bind-mount, `import src.projects` резолвится через `PYTHONPATH=/app` из кода контейнера, env — `.env.staging`) → B6 читает реестр именно работающего инстанса, без HTTP-bootstrap и «курицы-яйца». Логика вердикта вынесена в чистую `_evaluate_b6(known) -> (passed, detail)` (инвариант `passed ⟺ SANDBOX ∈ known ∧ PROD_ET ∉ known ∧ PROD_ORCH ∉ known`, формат detail сохранён) + `_known_project_ids_from_registry()` / `_run_b6()` с детерминированным FAIL при недоступности источника (не ложный PASS, не необработанное исключение). Синхронно обновлены `.openclaw/agents/deployer.md` (команда стадии через `docker exec`) и `docs/operations/STAGING_CHECK.md`. `src/projects.py`, `.env*` и прочие чеки A/B4/B5/C не тронуты; реестр `QG_CHECKS` и `check_staging_status` (ADR-0003) не менялись. ADR `docs/work-items/ORCH-048/06-adr/ADR-001-b6-registry-via-in-container-run.md`. Тесты: `tests/test_staging_check_b6.py`.
+- **Testing-гейт `check_tests_passed` читает `result:` наравне с `verdict:`/`status:`** (ORCH-047): парсер `_parse_tests_verdict` (`src/qg/checks.py`) теперь принимает три равноправных машиночитаемых поля frontmatter `13-test-report.md` — `result:` (канон промпта тестера `.openclaw/agents/tester.md`, `result: PASS|FAIL`), плюс легаси `verdict:` и `status:` (enduro-trails ET-001..ET-014); достаточно любого одного непустого. Устраняет рассинхрон контракта: тестер честно эмитил `result: PASS` без `verdict:`/`status:`, парсер попадал в ветку «нет машинного вердикта» → откат `testing → development` в петлю до исчерпания `MAX_DEVELOPER_RETRIES` (наблюдалось на ORCH-17; ORCH-016 прошёл лишь из-за избыточного дублирования полей). Семантика приоритетов сохранена и распространена на все три поля через объединённую строку: negative-токен в любом поле авторитетен (перебивает positive), наборы токенов заморожены (обратная совместимость). Сигнатура гейта, имя и реестр `QG_CHECKS` не менялись. ADR `docs/work-items/ORCH-047/06-adr/ADR-001-result-field-in-tests-gate.md`. Тесты: `tests/test_qg.py::TestCheckTestsPassed`.
 - БАГ-8: провал deploy/deploy-staging → корректный откат на `development`.
 - Изоляция тестов от живого Plane API (PR #27): autouse-фикстура сброса settings.
 

docker-compose.yml

@@ -3,6 +3,11 @@ services:
     build: .
     container_name: orchestrator
     restart: unless-stopped
+    # ORCH-040: бежим под uid:gid хоста (slin=1000:1000), а не root, чтобы
+    # артефакты конвейера (worktree + docs) создавались как slin:slin и git на
+    # хосте работал без ручного chown. Доступ к docker.sock сохранён через
+    # group_add: ["999"] (МИНА 1 — НЕ удалять). См. ADR-001 ORCH-040.
+    user: "1000:1000"
     # init: true injects docker-init (tini) as PID 1 so reparented grandchild
     # processes from the claude/node subprocess tree are reaped (no zombies, B-2).
     init: true
@@ -15,7 +20,8 @@ services:
       - /usr/bin/node:/usr/bin/node:ro
       - /home/slin/.claude:/home/slin/.claude
       - /home/slin/.claude.json:/home/slin/.claude.json:ro
-      - /home/slin/.orchestrator-ssh:/root/.ssh:ro
+      # ORCH-040: target согласован с HOME=/home/slin (launcher), не /root/.ssh.
+      - /home/slin/.orchestrator-ssh:/home/slin/.ssh:ro
     env_file: .env
     environment:
       - ORCH_REPOS_DIR=/repos
@@ -35,6 +41,8 @@ services:
     build: .
     container_name: orchestrator-staging
     restart: unless-stopped
+    # ORCH-040: тот же uid хоста, что и у prod (см. комментарий выше / ADR-001).
+    user: "1000:1000"
     init: true
     network_mode: host
     command: ["uvicorn", "src.main:app", "--host", "0.0.0.0", "--port", "8501"]
@@ -46,7 +54,8 @@ services:
       - /usr/bin/node:/usr/bin/node:ro
       - /home/slin/.claude:/home/slin/.claude
       - /home/slin/.claude.json:/home/slin/.claude.json:ro
-      - /home/slin/.orchestrator-ssh:/root/.ssh:ro
+      # ORCH-040: target согласован с HOME=/home/slin (launcher), не /root/.ssh.
+      - /home/slin/.orchestrator-ssh:/home/slin/.ssh:ro
     env_file: .env.staging
     environment:
       - ORCH_REPOS_DIR=/repos

docs/architecture/README.md

@@ -7,6 +7,7 @@
 - **Webhook Receivers** (`src/webhooks/plane.py`, `gitea.py`) — приём событий, HMAC-проверка, дедупликация (`_dedup.py`). Роуты: `POST /webhook/plane`, `POST /webhook/gitea`.
 - **State Machine** (`src/stages.py`) — `STAGE_TRANSITIONS`: переходы, агент и QG каждой стадии. Хелперы: `get_next_stage`, `get_agent_for_stage`, `get_qg_for_stage`, `get_previous_stage`.
 - **Stage Engine** (`src/stage_engine.py`) — исполнение переходов, диспетчеризация QG (`_run_qg`), откаты, синхронизация с Plane.
+- **Review/Test Parsers** (`src/review_parse.py`, ORCH-046) — defensive-извлечение дословного must-fix текста из артефактов для встраивания в `task_desc` заворота: `extract_review_findings` (P0/P1 из `12-review.md`), `extract_test_failures` (фрагмент тела `13-test-report.md`). Контракт «never raise»: любая ошибка → `""`.
 - **Quality Gates** (`src/qg/checks.py`) — проверки выхода со стадии, реестр `QG_CHECKS`.
 - **Agent Launcher** (`src/agents/launcher.py`) — запуск Claude CLI агентов в изолированном git worktree, мониторинг, auto-advance.
 - **Queue** (`src/queue_worker.py`, ORCH-1) — персистентная очередь задач (SQLite `jobs`), atomic claim, max_concurrency, ретраи, restart-safe.
@@ -46,6 +47,28 @@ created → analysis → architecture → development → review → testing →
 - Deploy / deploy-staging FAILED → откат на `development`.
 - `get_previous_stage` использует порядок ключей `STAGE_TRANSITIONS`.
 
+### Обогащение `task_desc` при заворотах (ORCH-046)
+При откате на `development` `task_desc` (попадает в `.task-dev.md` developer-агента) несёт **дословный must-fix текст**, а не только ссылку — чтобы агент видел суть претензий сразу и не повторял ту же ошибку:
+- **reviewer REQUEST_CHANGES** → дословные пункты P0/P1 из секции `## Findings` файла `12-review.md` (`extract_review_findings`);
+- **tester `check_tests_passed` FAIL** → `reason` гейта + фрагмент тела `13-test-report.md` (приоритет: `## Вывод pytest` → FAIL-строки `## Результаты` → `## Итог`; `extract_test_failures`).
+
+Ссылка на полный файл-артефакт сохраняется всегда («Полный контекст»). Парсеры `src/review_parse.py` — defensive (never-raise); при отсутствующем/битом артефакте `task_desc` graceful-фоллбэк на прежнюю ссылку-строку, последовательность отката и retry-счётчик не меняются (ADR `docs/work-items/ORCH-046/06-adr/ADR-001-embed-findings-in-task-desc.md`).
+
+### Plane Sync: единый status-коммент агентов (ORCH-016)
+Все агенты (analyst / architect / developer / reviewer / tester / deployer) пишут финальный коммент через **один хелпер** `usage.build_status_comment(...)` (ADR `docs/work-items/ORCH-016/06-adr/ADR-001-unified-status-comment.md`). Формат HTML, разделители `<br>`:
+
+```
+{ICON} {RoleName} — {описание стадии}
+[Verdict|Status: VALUE]                  # reviewer/tester/deployer, из YAML-frontmatter артефакта
+[Длительность: 4m 12s]                   # явный duration_s от launcher, либо fallback из agent_runs
+<b>Документы:</b><ul><li><a href="…">label</a></li>…</ul>
+[<sub>8.5M in / 45.8k out · $7.29</sub>] # тех-хвост usage; опускается при нулях
+```
+
+- **Длительность** считается launcher'ом (`_monitor_agent`) и пробрасывается в `_post_usage_comments`; для analyst (коммент строится в `stage_engine`) используется DB-фоллбэк `usage.get_agent_duration(task_id, agent)`.
+- **Vердикт-парсер** — `src/frontmatter.read_frontmatter_value(...)` (defensive, никогда не raise). Машинные ключи: reviewer → `verdict:` (12-review.md); **testing-гейт `check_tests_passed` (13-test-report.md) → любое из трёх равноправных: `result:` (канон промпта тестера), `verdict:`, `status:`** (ORCH-047, ADR-001); deployer → `deploy_status:` (14-deploy-log.md), `staging_status:` (15-staging-log.md). Negative-токен в любом поле авторитетен (перебивает positive).
+- Формат коммента **не** меняет реестр гейтов и стадий; коммент — отображение, не управление.
+
 ## База данных (SQLite)
 - `events` — входящие вебхуки (дедуп)
 - `tasks` — задачи и их стадии

docs/architecture/adr/README.md

@@ -8,6 +8,8 @@ Per-work-item решения живут в `docs/work-items/<id>/06-adr/ADR-NNN-
 | adr-0001 | Реестр проектов (multi-repo) | accepted | 2026-06-02 | ORCH-6 |
 | adr-0002 | Очередь задач вместо in-process потоков | accepted | 2026-06-03 | ORCH-1 |
 | adr-0003 | Условный staging-гейт перед прод-деплоем | accepted | 2026-06-05 | ORCH-35 |
+| adr-0004 | Поллинг с ретраем в check_ci_green (фикс CI-race) | accepted | 2026-06-05 | ORCH-045 |
+| adr-0005 | Контейнеры бегут под uid:gid хоста (1000:1000) | accepted | 2026-06-06 | ORCH-040 |
 
 ## Формат
 **Контекст → Решение → Альтернативы → Последствия → Связи.** Статус: proposed / accepted / superseded.

docs/architecture/adr/adr-0004-ci-poll-retry.md

@@ -0,0 +1,45 @@
+# adr-0004: Поллинг с ретраем в quality-gate check_ci_green (фикс CI-race)
+
+- **Статус:** accepted
+- **Дата:** 2026-06-05
+- **Задача:** ORCH-045
+
+## Контекст
+Quality-gate `check_ci_green(repo, branch)` (`src/qg/checks.py`) проверяет combined commit-status ветки через Gitea API сразу после того, как developer-агент запушил код. Реализация была **single-shot**: один `GET /repos/{owner}/{repo}/commits/{branch}/status`, чтение `data["state"]` — `success` → пропуск, иначе → сразу `False`.
+
+Это создавало race condition. Gitea-CI после пуша 1–3 секунды держит combined state `pending`, пока не отработают чек-раннеры. Если гейт опрашивал статус в этом окне, он получал `pending` и возвращал `False` **ровно один раз** — повторного опроса не было. Combined state затем дозеленевал до `success`, но гейт уже промахнулся, и задача застревала насмерть без видимой причины.
+
+Реальный инцидент **ORCH-017**: гейт опросил статус в 17:58:54 → `pending`; CI дозеленел в 17:58:55. Задача встала в тупик (см. `docs/history` / lessons ORCH-017).
+
+## Решение
+`check_ci_green` превращён из single-shot в **polling с ретраем**:
+
+- `state == "success"` → `(True, "CI green")` немедленно.
+- `state in ("failure", "error")` → `(False, "CI state: <state>")` немедленно — CI красный, ретрай бессмыслен (терминальное состояние).
+- `state == "pending"` (или `unknown` / иное не-терминальное) → `time.sleep(interval)` и опрос снова, до `N` попыток.
+- После исчерпания всех попыток при всё ещё `pending` → `(False, "CI still pending after <T>s")` — **явный** провал с причиной, чтобы оператор видел тупик, а не молчаливый стол.
+- `404` → `(False, "Branch ... not found or no status")` — как раньше.
+- Транзиентная `httpx.HTTPError` на отдельной попытке — **не падаем сразу**: логируем и пробуем ещё в рамках лимита попыток; если все попытки — сетевая ошибка → `(False, "API error: <e>")`.
+
+Параметры вынесены в `src/config.py` (pydantic-settings, env-prefix `ORCH_`, единый стиль с остальными настройками):
+- `ci_poll_max_attempts` (env `ORCH_CI_POLL_MAX_ATTEMPTS`, дефолт **12**)
+- `ci_poll_interval_s` (env `ORCH_CI_POLL_INTERVAL_S`, дефолт **10**)
+
+Итого по умолчанию гейт ждёт `pending` до ~2 минут (12 × 10s) перед тем как явно провалиться. Каждая не-финальная попытка логируется через существующий `logger` (`check_ci_green: attempt i/N, state=..., retrying in Ns`). `timeout=10` на каждый отдельный запрос сохранён.
+
+Сигнатура `check_ci_green(repo, branch) -> tuple[bool, str]` **не менялась** — её зовёт stage_engine и реестр гейтов `QG_CHECKS`.
+
+## Альтернативы
+- **Оставить single-shot, опрашивать гейт повторно снаружи (на уровне stage_engine/воркера).** Отклонено: размазывает логику CI-ожидания по слоям, дублирует таймауты; гейт — естественное место знания о combined-status.
+- **Webhook от Gitea на завершение CI вместо поллинга.** Отложено: требует надёжной доставки/дедупликации вебхуков именно по CI-статусу и переписывания триггера стадии; поллинг — минимальный, локализованный фикс race-а здесь и сейчас.
+- **Бесконечный ретрай до зелёного.** Отклонено: задача могла бы висеть вечно при реально зависшем CI; ограниченный бюджет + явный `False` с причиной даёт оператору сигнал.
+
+## Последствия
+- CI-race ORCH-017 закрыт: транзиентный `pending` переживается ретраем, гейт не промахивается.
+- `check_ci_green` теперь **блокирующий** до ~`max_attempts × interval` секунд при затяжном `pending` (по умолчанию ~2 мин). Это осознанный trade-off; для красного CI и success — выход немедленный, без задержки.
+- Тупик больше не молчаливый: истечение попыток → `(False, "CI still pending after <T>s")`, причина видна.
+- Бюджет/интервал настраиваемы через env без правки кода.
+- `check_tests_passed` / `_parse_tests_verdict` (ORCH-47) **не затронуты**.
+
+## Связи
+ORCH-017 (инцидент-первоисточник: deadlock shared-gate из-за CI-race), реестр гейтов `QG_CHECKS` (`check_ci_green`), стадия `development`. Тесты: `tests/test_qg.py::TestCheckCIGreen`.

docs/architecture/adr/adr-0005-container-runs-as-host-uid.md

@@ -0,0 +1,42 @@
+# adr-0005: Контейнеры оркестратора бегут под uid:gid хоста (1000:1000)
+
+- **Статус:** accepted
+- **Дата:** 2026-06-06
+- **Задача:** ORCH-040
+
+## Контекст
+Оба контейнера (`orchestrator`, `orchestrator-staging`) запускались под `uid=0 (root)` и
+монтировали хостовый `/home/slin/repos` → `/repos` (rw). Claude-CLI агенты исполняются
+`subprocess.Popen` внутри контейнера под тем же root, поэтому все артефакты конвейера
+(git worktree, коммиты в `docs/`) появлялись на хосте как `root:root`. Деплой прода под
+`slin` (uid 1000) ломался на правах git до ручного `chown`. Это сквозное свойство рантайма:
+касается агентов **всех** проектов, а не отдельной фичи.
+
+## Решение
+Оба сервиса в `docker-compose.yml` запускаются под `user: "1000:1000"` (uid:gid хоста `slin`).
+- `group_add: ["999"]` сохраняется — доступ к docker.sock идёт через gid 999, не через root.
+- target SSH-маунта приведён к `/home/slin/.ssh` (был `/root/.ssh`), синхронно с
+  `HOME=/home/slin`, который форсит launcher → единый HOME по осям uid/claude/ssh.
+- Образ и launcher не меняются: numeric uid не требует записи в `/etc/passwd`,
+  `git config --system safe.directory '*'` уже есть.
+
+Обязательные host-prerequisites (Owner, вне кода): доступ uid 1000 к
+`/home/slin/.claude/.credentials.json` (блокер), ssh-ключи в новом HOME, рестарт prod
+только в окно тишины. Детали и команды — work-item ADR-001 и `docs/operations/INFRA.md`.
+
+## Альтернативы
+- **drop-privileges только для subprocess агента** (`gosu`/`setuid`) — контейнер остаётся
+  root; новый код в горячем пути launcher, два uid в одном контейнере; отклонён.
+- **chown-хук после каждой стадии** — лечит симптом, требует root внутри контейнера
+  (несовместимо), хрупкий пост-шаг; отклонён (fallback на крайний случай).
+
+## Последствия
+- Артефакты создаются под `slin:slin`; деплой прода не требует ручного `chown`.
+- HOME консистентен (uid = claude = ssh = `/home/slin`); устранён рассинхрон SSH-маунта.
+- Появляется явная привязка рантайма к uid 1000 хоста (задокументирована в INFRA.md).
+- Прод-рестарт self = групповой риск (общий инстанс с enduro-trails) → строго окно тишины;
+  страховка — staging-гейт (adr-0003).
+
+## Связи
+adr-0003 (staging-гейт — обязательная проверка перед прод-рестартом self),
+adr-0001 (`is_self_hosting_repo`), work-item `docs/work-items/ORCH-040/06-adr/ADR-001-run-agents-as-host-uid.md`.

docs/architecture/internals.md

@@ -107,6 +107,27 @@ claude.exe --print  --system-prompt  --allowedTools Read,Write,Edit,Bash
 2. Если < MAX_DEV_RETRIES (3) — откатывает в development, перезапускает developer
 3. Если >= MAX_DEV_RETRIES — эскалация (логирование + уведомление)
 
+### 7. Live Telegram tracker (`src/notifications.py`)
+
+Вместо ~15 отдельных сообщений на задачу оркестратор держит **ОДНУ** live-карточку на задачу (`update_task_tracker`), которая обновляется на каждом переходе стадии. Текст рендерится статически из БД (`render_task_tracker`: стадии, токены, стоимость, BRD-подтверждение, итоги). Карточка всегда тихая (`disable_notification=True`); отдельные пинги шлют только `notify_approve_requested` / `notify_error`. `message_id` хранится в `tasks.tracker_message_id`; helpers `get_tracker_message_id` / `set_tracker_message_id`. Контракт всего компонента — **never raises**.
+
+**Режимы (ORCH-042, `ORCH_TRACKER_MODE` → `Settings.tracker_mode`).** Резолвится в `update_task_tracker` (case-insensitive, trim); всё, что ≠ `"bump"` (включая пустое/мусор/None), трактуется как `edit` → нулевая регрессия и безопасный фолбэк. Инвариант «одна карточка на задачу» сохраняется в обоих режимах.
+
+| Режим | Поведение при обновлении |
+|-------|--------------------------|
+| `edit` (дефолт) | первый вызов → `send_telegram` (тихо) + сохранение `message_id`; далее → `edit_telegram` на сохранённый id. Новое сообщение шлётся ТОЛЬКО при `EDIT_GONE` (удалено/старше 48ч/невалидный id). `EDIT_NOT_MODIFIED` / `EDIT_FAILED` → нового сообщения нет (анти-дубль). |
+| `bump` | карточка пересоздаётся внизу чата: best-effort `delete_telegram(старый_id)` → `send_telegram(text, disable_notification=True)` → `set_tracker_message_id(new_id)` **только** при успешном send (`new_mid is not None`). За один вызов — не более одного нового сообщения. |
+
+**`delete_telegram(message_id) -> bool`** (low-level, never raises). Семантика возврата — «исчезло ли старое сообщение»:
+- `ok:true` → `True`;
+- `ok:false` с маркерами `_DELETE_GONE_MARKERS` (`message to delete not found`, `message can't be deleted`, `message_id_invalid`) → `True` (старше 48ч / уже удалено — не транзиент);
+- прочий `ok:false` / 5xx / исключение (сеть/таймаут) → `False` + `logger.warning`;
+- нет токена/chat_id → `False`, HTTP не выполняется.
+
+Результат `delete_telegram` **не** блокирует отправку новой карточки (BR-6: delete-fail у сообщения >48ч → всё равно шлём новое); `False` означает лишь «старое, возможно, ещё живо» — будет вычищено повторной попыткой на следующем переходе. При транзиентном сбое send (`None`) указатель `tracker_message_id` **не** затирается (анти-затирание, симметрично edit-fallback).
+
+**Текст карточки (оба режима, ORCH-042):** метка `Подтверждение BRD` (была «Ревью БРД»); после прохождения approve-gate строка BRD начинается с ✅ (ветка ожидания сохраняет ⏸️/⏳); русские display-labels стадий (`Анализ / Архитектура / Разработка / Код ревью / Тестирование / Внедрение`); финальная строка `📦 Внедрено` (было `deployed`). Меняются только отображаемые строки — ключи стадий и имена агентов (завязаны на `_STAGE_ACTIVE_AGENT`, `last_done`, БД) не трогаются.
+
 ## Database Schema
 
 ```sql
@@ -326,6 +347,10 @@ jobs со статусом `running` (воркер умёр на рестарт
 
 - `ORCH_MAX_CONCURRENCY` (default 1) — лимит параллельных jobs.
 - `ORCH_QUEUE_POLL_INTERVAL` (default 2.0) — период опроса.
+- `ORCH_AGENT_MODEL_DEFAULT` / `ORCH_AGENT_MODEL_<AGENT>` (ORCH-41) — модель агентов; дефолт `claude-opus-4-8`.
+- `ORCH_AGENT_EFFORT_DEFAULT` / `ORCH_AGENT_EFFORT_<AGENT>` (ORCH-41) — режим `--effort` (low|medium|high|xhigh|max).
+- `ORCH_AGENT_FALLBACK_MODEL` (ORCH-41) — опц. `--fallback-model` при overloaded.
+- per-project override: `agent_models` / `agent_efforts` в `ORCH_PROJECTS_JSON`; резолверы `resolve_agent_model` / `resolve_agent_effort` (project > per-agent env > default > пусто).
 
 Наблюдаемость: `GET /queue` — counts по статусам + последние 10 jobs.
 

docs/history/LESSONS_2026-06-05.md

@@ -0,0 +1,128 @@
+# Lessons Learned — 2026-06-05 (вечер): ORCH-17/45/47 + деплой прода
+
+## Итог дня
+Закрыты три задачи (ORCH-17, ORCH-45, ORCH-47), два прод-гейта стали умнее, заведено
+4 системных задачи в бэклог (ORCH-44/46/48 + B6). Главный сквозной урок: **конвейер не мог
+провести эти задачи автономно из-за дыр в самом конвейере** — потребовались ручные merge и
+ребилды прода. Корни задокументированы, чинятся отдельными задачами.
+
+---
+
+## 1. ORCH-17 — approve-ping links (закрыта вручную)
+Подробный разбор: `docs/history/LESSONS_ORCH-017.md`. Кратко: косметика (2 ссылки)
+застряла 5 раз, объективный дедлок shared-гейта, ручной merge PR #37 (`26c6f267`).
+
+---
+
+## 2. ORCH-45 — CI-гонка в `check_ci_green` (исправлена, в проде)
+
+### Проблема
+`check_ci_green` делал **один** запрос статуса CI сразу после developer. Если CI ещё
+`pending` 1-3 секунды (реальный кейс: опрос 17:58:54 → pending, CI позеленел 17:58:55) —
+гейт возвращал False **один раз** и задача застревала насмерть с зелёным CI.
+
+### Решение (PR #39, merge `982698c4`)
+Поллинг с ретраем: `success`/`failure` — терминальны (сразу), `pending` → ждать
+`CI_POLL_INTERVAL_S`(10с) до `CI_POLL_MAX_ATTEMPTS`(12) раз, истёк лимит → явный
+`False` с причиной "CI still pending after Ns" (не виснет молча). Параметры в `config.py`
+как env `ORCH_CI_POLL_*`. ADR-0004. +5 тестов (мок httpx + time.sleep).
+
+---
+
+## 3. ORCH-47 — тестер-гейт игнорил `result:` (исправлен, в проде)
+
+### Проблема (уловка-22)
+`check_tests_passed`/`_parse_tests_verdict` читал только `verdict:`/`status:` из frontmatter
+`13-test-report.md`, но промпт tester-агента велит писать `result: PASS|FAIL`. Честный тестер
+(`result: PASS`, без `verdict:`) → гейт «No machine-readable verdict» → ложный FAIL → петля
+dev↔review↔tester → Blocked. **И сама ORCH-47 (которая это чинит) попала в тот же капкан:**
+в проде крутился старый гейт → не понимал её собственный `result: PASS` → 3 круга петли.
+Змея кусает хвост: чтобы пройти гейт автономно, фикс уже должен быть в проде.
+
+### Решение (PR #40, merge `5d04de9e`)
+`result:` добавлен как равноправное поле наряду с `verdict:`/`status:`. Любое одно непустое
+поле достаточно. Negative-токен (BLOCKED/FAILED) в ЛЮБОМ поле авторитетен (ET-013 кейс
+сохранён). Token sets заморожены для обратной совместимости. ADR-001. +6 тестов (68 passed).
+После деплоя ручной `advance_stage` пнул застрявшую task → гейт принял `result: PASS` →
+прошёл testing. Петля исчезла навсегда.
+
+### Остаточная находка → B6 / ORCH-48
+На staging деплоер дал 9/10 PASS, завалил **B6 Registry isolation**: staging-реестр видит
+боевые ET+ORCH вместо одного sandbox (нарушает «staging — только sandbox»). Деплоер честно
+поставил FAILED и НЕ стал натягивать зелёнку (вне мандата) → откат by design. К фиксу гейта
+отношения не имеет (E2E против sandbox прошёл). Заведена ORCH-48.
+
+---
+
+## 4. ДЕПЛОЙ ПРОДА — как правильно (важная операционная памятка)
+
+### `/app` запечён в образ, НЕ volume
+`docker-compose.yml`: `build: .` + `COPY src/ ./src/`. Поэтому `git pull` + рестарт с
+`--no-build` **НЕ довозит код** — нужен `docker compose build orchestrator`. Деплой-хук
+(`scripts/orchestrator-deploy-hook.sh`) по дефолту целит в **staging** (by design) — для
+прода нужны env `TARGET_SERVICE=orchestrator TARGET_PORT=8500 COMPOSE_PROFILE=''`.
+
+### Порты/профили
+- prod orchestrator = порт **8500** (`/health` → `{"status":"ok"}`), `network_mode: host`,
+  профиль prod = пустой (стартует обычным `docker compose up -d orchestrator`).
+- staging = порт **8501**, профиль `staging` (стартует только `--profile staging`).
+
+### Рабочая последовательность деплоя (проверена дважды 05.06)
+1. `sudo chown -R slin:slin /home/slin/repos/orchestrator` (см. грабля ниже).
+2. `git checkout main && git reset --hard origin/main && git clean -fd -e '*.bak*' -e '.deploy-prev-image-prod'`.
+3. `docker compose build orchestrator`.
+4. `docker compose up -d orchestrator` + health-loop на :8500.
+5. **Проверка claude-auth** (ребилд её ломает — см. ниже).
+6. Проверка что новый код активен в `/app` (grep маркера правки).
+
+### ⚠️ ГРАБЛЯ: хост-репо рассинхронизирован с git (агенты пишут под root)
+Хост-репо `/home/slin/repos/orchestrator` оказывался на feature-ветке (не main), а рабочая
+копия засеяна untracked+modified файлами, созданными агентами **под uid=0 (root-owned)** прямо
+в репо. → `git pull --ff-only` падал `Permission denied` / `would be overwritten`, обычный
+`rm` под slin не мог снести root-файлы. **Лечение:** `sudo chown -R slin:slin <repo>` →
+проверить что modified=совпадает-с-main и untracked=уже-в-main (дубликаты, не теряем) →
+`git reset --hard origin/main` + `git clean`. **Хук это НЕ разруливает** — сверять состояние
+хост-репо перед каждым деплоем.
+
+### ⚠️ ГРАБЛЯ: ребилд ломает claude-auth (проверять ВСЕГДА)
+Пересоздание контейнера может root-овнить `/home/slin/.claude/.credentials.json` и сделать
+`/root/.claude` пустышкой → агенты падают `Not logged in`. Защита — монтирование creds в
+compose (`/home/slin/.claude` + `.claude.json`), launcher форсит `HOME=/home/slin`.
+**После каждого ребилда боевая проверка:**
+`docker exec orchestrator bash -c 'cd /tmp && HOME=/home/slin /opt/claude-code/bin/claude.exe --print "ОК"'`
+(timeout 90с). 05.06 auth пережил оба ребилда — защита держит.
+
+---
+
+## 5. ЗАПУСК конвейера и Gitea API
+
+### Старт конвейера = Plane Backlog → In Progress
+Конвейер стартует штатно переводом задачи в Plane из Backlog в **In Progress** (код:
+`webhooks/plane.py handle_status_start` — «pipeline is started when Slava moves the issue
+into In Progress»). Webhook создаёт task-row, заводит ветку, запускает analyst. Никаких
+ручных вставок в БД.
+
+### QG-0: лимит заголовка 80 символов
+При старте задача с заголовком >80 символов заворачивается на QG-0 («Title слишком длинный»)
+и уходит в Blocked. Чинить — укоротить `name` (суть в заголовок, детали в description),
+вернуть в Backlog, снова In Progress.
+
+### Gitea API грабли
+- **merge/create PR** требуют заголовок `Authorization: token <ORCH_GITEA_TOKEN>` (форма
+  с префиксом `token `), иначе 401 "token is required".
+- **heredoc через ssh+docker exec глотает вывод** python-скрипта. Надёжный путь: написать
+  `.py` локально → `base64 -w0` → `ssh "echo <b64> | base64 -d > /tmp/x.py"` → `docker cp`
+  → `docker exec python3 /tmp/x.py`. Это же обходит экранирование кириллицы/скобок.
+
+---
+
+## Состояние прод-гейтов после 05.06
+- ✅ `check_ci_green` — поллинг с ретраем (ORCH-45)
+- ✅ `check_tests_passed` — читает `result:`/`verdict:`/`status:` (ORCH-47)
+
+## Бэклог (high) после дня
+- **ORCH-44** — надёжность запуска агента (preflight слеп к auth; `--effort` гасит вывод;
+  пустой run-лог → должен быть failed).
+- **ORCH-46** — «испорченный телефон»: орк не передаёт деву ТЕКСТ замечаний reviewer/tester
+  (только ссылку на файл), противоречивые сигналы tester↔reviewer, нет памяти между кругами.
+- **ORCH-48 / B6** — staging registry isolation (staging видит прод-проекты вместо sandbox).

docs/history/LESSONS_ORCH-017.md

@@ -0,0 +1,103 @@
+# Lessons Learned — ORCH-017 (Telegram approve-ping links)
+
+## Дата: 2026-06-05
+## Задача: ORCH-017 — Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве BRD
+## Итог: смержено **вручную** (PR #37, merge `26c6f267`) после ~5 застреваний конвейера
+
+---
+
+## TL;DR
+
+Косметическая задача (две HTML-ссылки в уведомлении) **5 раз застряла** в конвейере и каждый
+раз требовала ручного пинка. Корень — **не баг задачи, а дыры автономности конвейера**. Код был
+готов и зелёный (434 теста), но пайплайн не мог довести его до merge сам. В итоге — ручной merge
+Owner-ом; четыре системные дыры заведены в бэклог (ORCH-44/45/46/47).
+
+---
+
+## Хронология застреваний
+
+1. **Auth claude после rebuild** — агенты падали `Not logged in` (root-owned creds + `/root/.claude`
+   пустышка). См. отдельный разбор в memory/INCIDENT по auth. → починено + защищено монтированием.
+2. **`check_ci_green` race** — гейт опросил CI **один раз** в `17:58:54` → `pending`; CI дозеленел в
+   `17:58:55` (промах на 1 секунду). Повторного опроса нет → задача висит насмерть с зелёным CI.
+3. **Петля dev↔review↔testing → `max retries reached`** (MAX_DEVELOPER_RETRIES=3).
+4. **Откат неполный** — убрали код shared-гейта, но оставили 2 doc-строки про него → рассинхрон
+   код↔доки → reviewer снова REQUEST_CHANGES.
+5. **Объективный дедлок** (см. ниже) → ручной merge.
+
+---
+
+## Корневые проблемы (→ бэклог)
+
+### P1. `check_ci_green` промахивается на гонке CI (→ ORCH-45)
+Гейт читает статус CI **ровно один раз** сразу после developer. Если CI ещё `pending` — задача
+застревает молча, без повторного опроса. Нужен polling с ретраем: `pending` → ждать N×15с,
+`success` → advance, `failure` → rollback, вечный `pending` → уведомить (не застревать молча).
+
+### P2. Developer не понимает замечаний reviewer/tester — "испорченный телефон" (→ ORCH-46)
+**Это прямой удар по автономности.** Три причины, почему dev повторял одну и ту же ошибку:
+- **Испорченный телефон.** При REQUEST_CHANGES `stage_engine.py:~421` шлёт developer-у только
+  `"Fix findings in docs/work-items/<WI>/12-review.md"` — **без текста претензий**, лишь ссылку на
+  файл. Ключевую governance-мысль легко проскочить. → Вклеивать ТЕКСТ findings прямо в task_desc.
+- **Противоречивые сигналы.** После tester прилетает `"Tests FAILED. Fix failures"` (толкает чинить
+  связанное с тестами → dev лез в test-gate). После reviewer — `"не трогай gate"`. Два
+  противоположных приказа. → Склеивать замечания tester+reviewer в одно непротиворечивое ТЗ.
+- **Нет памяти между кругами.** Каждый запуск developer — новый чистый агент, не помнит прошлых
+  заворотов. Видит "тесты падают" → снова лезет в gate. → Передавать историю прошлых REQUEST_CHANGES/
+  FAIL ("на чём уже погорел, чего НЕ делать"). Можно: ранняя эскалация к Owner при повторе.
+
+### P3. `check_tests_passed` игнорирует поле `result:` (→ ORCH-47)
+`_parse_tests_verdict` (`src/qg/checks.py`) читал только `verdict:`/`status:` из frontmatter
+`13-test-report.md`. НО промпт tester-агента (`.openclaw/agents/tester*`) предписывает писать
+`result: PASS | FAIL`. Честный тестер (отчёт ORCH-017: `result: PASS`, без `verdict:`/`status:`)
+проваливал гейт ложным «Tests FAILED» → откат на development. ORCH-016 проходил лишь потому, что
+дублировал `verdict:` И `result:`. → Гейт должен читать `result:` как первоклассное машинное поле.
+**ВАЖНО:** это shared-гейт (влияет на ВСЕ проекты общего прода) → требует отдельного ADR
+(CLAUDE.md правило 2), потому вынесено в свой work item, не в ORCH-017.
+
+### P4. Preflight слеп к auth и битым флагам (→ ORCH-44)
+`claude --version` отвечает даже без логина → preflight=ok, а реальный запуск падает `Not logged in`.
+Плюс `--effort` с CLI 2.1.142 + `--print`/`--output-format json` гасит вывод. Нужны: дешёвая
+проверка auth без токенов (права+дата истечения OAuth в `.credentials.json`), фикс effort,
+«пустой лог + job running + процесс мёртв → failed».
+
+---
+
+## Главный урок: объективный дедлок shared-инфры
+
+ORCH-017 попала в **неразрешимый автономно дедлок** из-за того, что тест-отчёт уже написан под
+новый контракт (`result: PASS`):
+- **С фиксом гейта в ветке** → reviewer заворачивает (governance: shared-инфра без ADR). ❌
+- **Без фикса гейта** → `check_tests_passed` не видит `result:` → ложный FAIL → откат. ❌
+
+**Вывод:** изменение shared quality-gate нельзя протаскивать внутри прикладной задачи. Оно создаёт
+циклическую зависимость (артефакты задачи зависят от изменённого гейта, а гейт нельзя менять без
+отдельного ADR). Менять shared-гейты — только отдельным work item со своим ADR. Если артефакты уже
+написаны под новый контракт — задача физически не пройдёт, пока не приедет фикс гейта.
+
+---
+
+## Урок про роль ассистента/оператора
+
+Когда оператор **раз за разом пинает гейты и чистит за dev вручную** — это сигнал «конвейер не тянет
+автономно». Честнее предложить Owner-у ручной merge/эскалацию, чем гонять карусель кругов и доказывать
+конвейеру то, что уже готово (код зелёный, reviewer: «технически корректно», претензии процедурные).
+
+---
+
+## Урок про откат
+
+При откате **кода** обязательно откатывать и **доки/CHANGELOG**, иначе возникает обратный
+рассинхрон код↔доки (доки описывают фичу, которой в коде уже нет) → reviewer заворачивает. Откат —
+это код + доки + changelog + (при необходимости) тест-отчёт одним согласованным движением.
+
+---
+
+## Что сработало хорошо
+
+- **Reviewer ловит governance-нарушения** — корректно завернул протаскивание shared-гейта в
+  прикладную задачу. Процедурно прав, даже когда код технически верный.
+- **Безопасный ручной пинок гейта** через `stage_engine.advance_stage(...)` — без ребилда/мержа,
+  перевызывает QG внутри процесса орка.
+- **Ручной merge как осознанный выход** из дедлока (с явным ОК Owner), а не бесконечные круги.

docs/history/LESSONS_ORCH-048.md

@@ -0,0 +1,119 @@
+# LESSONS — ORCH-048 (B6 staging registry isolation, вариант «в»)
+
+**Дата:** 2026-06-06
+**Work item:** ORCH-048 — «staging B6 check reads registry from host worktree, not staging container»
+**Статус:** ✅ Done. Merge PR #45 (`2a36ed80`), Plane → Done, task 38 → done. Прод не тронут.
+
+---
+
+## TL;DR
+
+B6-чек staging-suite давал **ложный FAIL** (`prod-ET=YES, prod-ORCH=YES`), блокируя `deploy-staging` у **всех** ORCH-задач, хотя изоляция реестра в staging работала корректно. Починили, выбрав архитектурный вариант, который **не порождает новых ловушек автономности**. По дороге словили три урока, которые стоят дороже самой фичи.
+
+---
+
+## 1. Root cause (для истории)
+
+`scripts/staging_check.py` блок **B6** был единственным чеком suite, который не ходил по HTTP к живому инстансу, а **импортировал Python-код локально**:
+
+```python
+sys.path.insert(0, "/repos/orchestrator")        # host-worktree
+importlib.reload(sys.modules["src.projects"])     # подхватывает env ТЕКУЩЕГО процесса
+known = known_plane_project_ids()
+```
+
+Деплоер запускал suite **с хоста**, где `ORCH_PROJECTS_JSON` не задан → `src.projects` грузил встроенный `_DEFAULT_PROJECTS` (ET+ORCH) → `known_plane_project_ids()` возвращал боевые id → **ложный FAIL**. То есть B6 проверял реестр НЕ того окружения, реестр которого реально использует staging-инстанс.
+
+Изоляция при этом была исправна: внутри `orchestrator-staging` `known_plane_project_ids()` корректно отдавал только sandbox (`.env.staging`).
+
+---
+
+## 2. ГЛАВНЫЙ УРОК: «курица-яйцо» в staging-гейте
+
+Архитектор на первом прогоне выбрал **вариант (а): новый HTTP-эндпоинт `GET /projects`**, и B6 стал ходить на него. Решение красивое (единый HTTP-стиль с остальными чеками), **но оно само себя заблокировало**:
+
+- B6 проверяет **работающий** staging-инстанс (порт 8501).
+- Эндпоинт `/projects` **запечён в Docker-образ** (`src/main.py`).
+- В текущем (ещё не пересобранном) образе эндпоинта НЕТ → `GET /projects` → **404** → B6 FAIL → откат на development.
+- Чтобы чек прошёл, нужен **ручной bootstrap-деплой** образа. А деплой не происходит, потому что чек красный. **Тупик by design.**
+
+Подтверждено на проде: `GET /projects` на 8501 и 8500 → 404 → `deploy-staging FAILED`.
+
+**Вывод-правило:**
+> Staging-чек НЕ должен проверять то, что появляется в работающем инстансе только ПОСЛЕ деплоя проверяемой ветки. Иначе первый прогон всегда падает и требует ручного bootstrap — это прямая поломка автономности.
+
+**Решение — вариант (в):** запускать suite **ВНУТРИ** staging-контейнера (`docker exec orchestrator-staging`), читать реестр из собственного process-env контейнера, убрать host-path хак. Преимущество принципиальное:
+- B6 не зависит от того, что отдаёт инстанс по HTTP.
+- `staging_check.py` берётся из bind-mount → свежий код подхватывается **без ребилда образа**.
+- **Курицы-яйца нет ни на первом прогоне, ни в будущем.**
+
+Вариант (б) (`docker exec ... python3 -c "..."` + парсинг stdout) отклонён: хрупкое экранирование (см. `LESSONS_2026-06-05.md`).
+
+**Как это попало в реализацию:** после FAIL под (а) — откатили ветку к analyst-артефактам (`git reset --hard <analyst-commit>`), стёрли ADR(а)+код(а), зашили в `02-trz.md §4` блок «РЕШЕНИЕ ПРИНЯТО ВЛАДЕЛЬЦЕМ: вариант (в)» с обоснованием и чек-листом, откатили задачу на `architecture` + поставили job архитектору заново. Второй прогон: arch→dev→review→tester→deploy-staging — без петель, **B6 ✓ PASS, 10/10**.
+
+---
+
+## 3. УРОК: орк мержит в main ТОЛЬКО логи, а не фикс-код
+
+После прохождения staging орк сам:
+- закрыл задачу в `done`,
+- смержил в `main` PR с **логами** (`15-staging-log.md`, `14-deploy-log.md`),
+- но **сам фикс-код остался в feature-ветке** — `main` всё ещё содержал старый сломанный B6.
+
+Это by design: фичу в main вливает **владелец**. Поймали проверкой:
+
+```bash
+git fetch origin -q
+git log --oneline origin/main..origin/feature/<branch>   # покажет невлитые коммиты фикса
+git show origin/main:scripts/staging_check.py | grep -c '_evaluate_b6'   # 0 = фикс НЕ в main
+```
+
+**Правило:**
+> Прежде чем считать задачу реально доставленной — проверить `git log origin/main..feature` и наличие ключевой функции/строки фикса в `origin/main`. `done` в Plane + смерженные логи ≠ код в main.
+
+Финальный шаг: смерджить feature-PR в main (Gitea API, `Do: merge`), затем синхронизировать host-репо.
+
+---
+
+## 4. УРОК: rollout bind-mount-фикса = host `git pull`, без ребилда/рестарта прода
+
+ORCH-048 менял только **bind-mounted / non-runtime** артефакты:
+
+| Файл | Как доходит до прода |
+|------|----------------------|
+| `scripts/staging_check.py` | bind-mount (`/home/slin/repos` → `/repos`); **не** в образе (`scripts/` нет в `/app`) → host `git pull` → live сразу |
+| `.openclaw/agents/deployer.md` | bind-mounted промпт, читается при запуске агента → live на следующем запуске |
+| `tests/`, `docs/` | не деплоятся |
+
+`src/` и `Dockerfile` НЕ менялись → **рестарт/ребилд прод-контейнера 8500 не нужен и не делался** (zero group-risk для ET).
+
+**Грабли host-репо:** `git pull` в `/home/slin/repos/orchestrator` сначала упёрся в `sudo: a password is required` — ложная тревога. Репо принадлежит `slin`, sudo не нужен; прямой `git pull --ff-only origin main` прошёл. **Сначала проверь `ls -ld` / `stat -c %U` репо — не лезь в sudo вслепую.**
+
+**Верификация rollout в живом bind-mount (обязательна):**
+```bash
+grep -c '_evaluate_b6' scripts/staging_check.py                       # >=1
+grep -c 'sys.path.insert(0, "/repos/orchestrator")' scripts/staging_check.py  # 0
+grep -c 'docker exec orchestrator-staging' .openclaw/agents/deployer.md       # >=1
+curl -s -o /dev/null -w '%{http_code}' http://localhost:8500/health   # 200
+```
+
+---
+
+## 5. Технические заметки (gotchas)
+
+- **В контейнере orchestrator НЕТ `curl`** — для Gitea/Plane API использовать `urllib` через python (script-file → base64 → `docker cp` → `docker exec`).
+- **Plane state-id зависят от проекта.** Approved для проекта orchestrator = `63f2c8fe-dcda-4ace-952f-dd88bd0118ff` (НЕ дефолтный `a519a341...` из кода — тот для sandbox/ET). Брать реальные state-id через `GET .../states/`.
+- **BRD-апрув = перевод Plane-issue в статус Approved** → webhook ловит смену статуса → путь `agent=None` → `approved-via-status` → гейт пропускает, БЕЗ повторного запуска `check_analysis_approved`.
+- **Dockerfile НЕ копирует `scripts/`** в образ — `staging_check.py` доступен в контейнере только через mount. Путь запуска внутри контейнера учитывать (не `/app/scripts`).
+- **Перезапуск стадии вручную:** `update_task_stage(task_id, "<stage>")` + `enqueue_job(agent, repo, task_content, task_id)`. Guard перед этим: `agent_running IS NULL` И нет jobs со `status IN ('queued','running')` для task_id.
+
+---
+
+## 6. Итог по гейтам/ядру после серии ORCH-45/46/47/48
+
+- ✅ `check_ci_green` — поллинг (ORCH-45)
+- ✅ `check_tests_passed` — читает `result:` (ORCH-47)
+- ✅ `stage_engine` — передаёт деву **текст** findings, не только ссылку (ORCH-46)
+- ✅ B6 staging — читает реестр ВНУТРИ staging-контейнера, больше не ложный FAIL (ORCH-48) → **deploy-staging разблокирован для всех ORCH-задач**
+
+Конвейер стал по-настоящему автономным: задача проходит analyst→deploy без ручного пинания стадий.

docs/operations/INFRA.md

@@ -30,24 +30,51 @@
 
 Оба: `network_mode: host`, `init: true` (tini как PID 1 — reaping зомби, B-2), `restart: unless-stopped`.
 
+### Рантайм-uid (ORCH-040)
+Оба сервиса бегут под `user: "1000:1000"` (slin), **не** root. Артефакты конвейера
+(git worktree `/repos/_wt/...`, коммиты в `docs/work-items/...`) создаются как
+`slin:slin`, поэтому `git pull` / `git reset` на хосте под slin работают без ручного
+`chown`. Доступ к docker.sock сохранён через `group_add: ["999"]` (gid docker, **не**
+через root — НЕ удалять). При переносе на другой хост uid пересматривается. См.
+ADR `docs/work-items/ORCH-040/06-adr/ADR-001-run-agents-as-host-uid.md` и глобальный
+`docs/architecture/adr/adr-0005-container-runs-as-host-uid.md`.
+
+**Host-prerequisites (обязательная процедура Owner, в git не коммитятся):**
+- **P-1 (блокер):** uid 1000 читает claude creds — `chown -R 1000:1000 /home/slin/.claude`;
+  проверка `sudo -u '#1000' test -r /home/slin/.claude/.credentials.json`. Без этого
+  preflight (ORCH-044) заворачивает весь конвейер.
+- **P-2:** ssh-ключи в `/home/slin/.orchestrator-ssh` читаемы uid 1000 (маунт ведёт в `/home/slin/.ssh`).
+- **P-3:** `id slin` → `1000:1000`; `/repos`, `/app/data` уже `1000:1000`.
+- **P-4:** прод-рестарт self — только в окно тишины (`GET /status` без активных задач):
+  общий инстанс с enduro-trails.
+- Разовый разгребающий `chown -R 1000:1000 /home/slin/repos/orchestrator` для старых
+  `root:root` файлов из истории (вне объёма кода).
+
 ### Тома (volumes)
 - `./data` → `/app/data` (БД; у staging — `./data/staging`)
 - `/home/slin/repos` → `/repos` (рабочие репозитории проектов)
 - `/var/run/docker.sock` (для docker-операций деплоя)
 - claude-code, node, `~/.claude*` (CLI агентов, ro)
-- `~/.orchestrator-ssh` → `/root/.ssh` (ro, деплой по ssh)
+- `~/.orchestrator-ssh` → `/home/slin/.ssh` (ro, деплой по ssh; target в HOME агента,
+  согласован с `HOME=/home/slin` из launcher — ORCH-040, ранее `/root/.ssh`)
 
 ## Переменные окружения (карта; значения — в `.env`)
 
 | Переменная | Назначение |
 |-----------|-----------|
 | `ORCH_PLANE_API_URL` / `_TOKEN` / `_WORKSPACE_SLUG` | доступ к Plane API |
+| `ORCH_PLANE_WEB_URL` | внешний (браузерный) web-URL Plane для кликабельных ссылок на issue в уведомлениях (ORCH-017); пусто → фолбэк на `ORCH_PLANE_API_URL`, loopback-фолбэк → ссылка опускается |
 | `ORCH_PLANE_WEBHOOK_SECRET` | HMAC-проверка вебхуков Plane |
 | `ORCH_GITEA_URL` / `_TOKEN` / `_WEBHOOK_SECRET` | доступ к Gitea + HMAC |
 | `ORCH_CLAUDE_BIN` | путь к claude CLI |
 | `ORCH_REPOS_DIR` / `ORCH_HOST_REPOS_DIR` | каталог репозиториев (в контейнере / на хосте) |
 | `ORCH_DB_PATH` | путь к SQLite БД |
 | `ORCH_PROJECTS_JSON` | реестр проектов (Plane id → repo + prefix); пусто → дефолт из `src/projects.py` |
+| `ORCH_AGENT_MODEL_DEFAULT` | LLM-модель агентов по умолчанию (ORCH-41); дефолт `claude-opus-4-8` |
+| `ORCH_AGENT_MODEL_<AGENT>` | per-agent модель (ANALYST/ARCHITECT/DEVELOPER/REVIEWER/TESTER/DEPLOYER); пусто → default |
+| `ORCH_AGENT_EFFORT_DEFAULT` | режим работы `--effort` по умолчанию (ORCH-41): low\|medium\|high\|xhigh\|max; дефолт `high` |
+| `ORCH_AGENT_EFFORT_<AGENT>` | per-agent effort; дефолт: думающие → high, tester/deployer → medium |
+| `ORCH_AGENT_FALLBACK_MODEL` | опц. фолбэк-модель при overloaded (`--fallback-model`); пусто → без флага |
 | `DEPLOY_SSH_USER` / `_HOST` / `DEPLOY_HOOK_SCRIPT` | параметры деплой-хука |
 
 **Секреты — только в `.env` / `.env.staging` на хосте, в гит НЕ коммитятся.** Канон — `.env.example`, `.env.staging.example`.
@@ -55,6 +82,26 @@
 ## Реестр проектов (`src/projects.py`, ORCH-6)
 Связывает Plane project id → gitea repo + work-item prefix. Источник: `ORCH_PROJECTS_JSON`, fallback — встроенный дефолт. Прод видит: `enduro-trails` (ET), `orchestrator` (ORCH). Staging видит ТОЛЬКО `orchestrator-sandbox` (SANDBOX) — изоляция.
 
+## Модель и effort агентов (`src/config.py` + `src/agents/launcher.py`, ORCH-41)
+Модель LLM и режим работы (`--effort`) каждого агента **конфигурируемы** — глобально per-agent (env) и per-project (через `ORCH_PROJECTS_JSON`).
+
+**Приоритет резолвинга** (`resolve_agent_model` / `resolve_agent_effort`):
+1. per-project override — `agent_models` / `agent_efforts` в записи `ORCH_PROJECTS_JSON`;
+2. per-agent env — `ORCH_AGENT_MODEL_<AGENT>` / `ORCH_AGENT_EFFORT_<AGENT>` (если непусто);
+3. глобальный дефолт — `ORCH_AGENT_MODEL_DEFAULT` (`claude-opus-4-8`) / `ORCH_AGENT_EFFORT_DEFAULT` (`high`);
+4. пусто → флаг не передаётся, действует дефолт CLI.
+
+**Значения effort:** `low` < `medium` < `high` < `xhigh` < `max` — рычаг «качество vs стоимость/время». Дефолтная раскладка: думающие агенты (analyst/architect/developer/reviewer) → `high`, механические (tester/deployer) → `medium`. Невалидное значение → лог-warning, флаг опускается.
+
+**Per-project override в `ORCH_PROJECTS_JSON`** (поля `agent_models` / `agent_efforts` опциональны, старые записи работают):
+```json
+{"plane_project_id":"...","repo":"orchestrator","work_item_prefix":"ORCH",
+ "agent_models":{"developer":"claude-opus-4-8","reviewer":"claude-sonnet-4-6"},
+ "agent_efforts":{"developer":"xhigh","tester":"low"}}
+```
+
+> ⚠️ Бюджет (ORCH-38): `claude-opus-4-8` дефолт в коде; реальное переключение прод-env делается отдельно после согласования.
+
 ## ⚠️ Self-hosting — оркестратор дорабатывает САМ СЕБЯ
 
 **Факт:** прод-инстанс `orchestrator` (8500) — ОДИН на ВСЕ прод-проекты (enduro-trails + orchestrator), с ОБЩЕЙ БД `./data/orchestrator.db` и общей очередью задач (ORCH-1).

docs/operations/STAGING_CHECK.md

@@ -36,34 +36,53 @@ Exit code: **0** = все PASS, **non-zero** = есть FAIL.
 
 ## Способы запуска
 
-### 1. Внутри контейнера (рекомендуемый)
-
-```bash
-docker exec orchestrator-staging \
-  python3 /repos/orchestrator/scripts/staging_check.py --mode stub
-```
-
-### 2. С хоста (если есть токены в env)
-
-```bash
-export ORCH_STAGING=true
-export ORCH_PLANE_API_TOKEN=...
-# ... остальные переменные ...
-
-python3 scripts/staging_check.py \
-  --base-url http://localhost:8501 \
-  --mode stub
-```
-
-### 3. Из docker exec с передачей URL
+### 1. Внутри контейнера (КАНОНИЧЕСКИЙ — обязателен для деплоера)
 
 ```bash
 docker exec orchestrator-staging \
   python3 /repos/orchestrator/scripts/staging_check.py \
-  --base-url http://localhost:8501 \
-  --mode stub
+  --base-url http://localhost:8501 --mode stub
 ```
 
+Это единственный канонический способ для стадии `deploy-staging` (ORCH-048, ADR-001).
+Внутри контейнера env уже staging (`.env.staging`), а чек **B6** строит реестр проектов из
+собственного process-env инстанса (см. ниже). Путь к скрипту — `/repos/orchestrator/scripts/…`
+(bind-mount); `scripts/` **не** копируется в образ, поэтому `/app/scripts` не существует.
+
+### 2. С хоста — НЕ рекомендуется
+
+```bash
+# ⚠️ Воспроизводит баг ORCH-048: на хосте ORCH_PROJECTS_JSON не задан →
+# B6 строит реестр из дефолта (ET+ORCH) → ложный FAIL.
+# Допустимо ТОЛЬКО если env хоста полностью повторяет staging (включая ORCH_PROJECTS_JSON).
+export ORCH_STAGING=true
+export ORCH_PROJECTS_JSON=...   # обязателен, иначе B6 даст ложный FAIL
+export ORCH_PLANE_API_TOKEN=...
+# ... остальные переменные ...
+
+python3 scripts/staging_check.py --base-url http://localhost:8501 --mode stub
+```
+
+---
+
+## Механика чека B6 (ORCH-048, ADR-001)
+
+B6 «Registry: sandbox present, prod ET/ORCH absent» подтверждает изоляцию: в реестре
+работающего staging-инстанса есть только sandbox-проект и НЕТ боевых (ET/ORCH).
+
+- B6 импортирует `known_plane_project_ids()` из `src.projects` **кода контейнера**
+  (`/app/src` через `PYTHONPATH=/app`), env которого — `.env.staging`. Реестр отражает
+  именно работающий staging-инстанс.
+- Прежний host-path хак (`sys.path.insert(0, "/repos/orchestrator")` + `importlib.reload`)
+  удалён: он подхватывал env процесса-запускателя и при запуске с хоста давал ложный FAIL.
+- Логика вердикта вынесена в чистую функцию `_evaluate_b6(known) -> (passed, detail)`:
+  `passed ⟺ SANDBOX ∈ known ∧ PROD_ET ∉ known ∧ PROD_ORCH ∉ known`. Покрыта юнит-тестами
+  (`tests/test_staging_check_b6.py`) на оба исхода без поднятия инстанса/docker.
+- При недоступности источника реестра B6 даёт детерминированный FAIL (не ложный PASS,
+  не необработанное исключение).
+
+**Поэтому B6 достоверен только при каноническом запуске (способ 1).**
+
 ---
 
 ## Режимы (`--mode`)

docs/work-items/ORCH-016/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: Единообразные коммент-артефакты в Plane от всех агентов
+
+Work Item ID: ORCH-016
+
+## Description
+
+TBD

docs/work-items/ORCH-016/01-brd.md

@@ -0,0 +1,85 @@
+# BRD: Единообразные коммент-артефакты в Plane от всех агентов
+
+Work Item ID: **ORCH-016**
+Стадия: analysis
+Автор: analyst
+Дата: 2026-06-05
+Ревизия: 2 (учтён фидбэк стейкхолдера от 2026-06-05 — добавить длительность работы агента в коммент)
+
+---
+
+## 1. Бизнес-цель
+Стейкхолдер (Слава) должен мочь из ленты комментариев задачи в Plane **за один клик** перейти к артефакту любого агента (ADR, PR, ревью, отчёт тестера, деплой-лог), а не разбирать «шумные» строки без удобной ссылки и человекочитаемого описания.
+Помимо ссылок, по комментариям стейкхолдер хочет **видеть, сколько работал каждый агент** (длительность стадии), не открывая БД оркестратора и не лезя в `agent_runs`.
+
+## 2. Мотивация
+Сейчас в Plane комменты двух разных стилей:
+
+| Кто пишет | Формат коммента | Источник |
+|-----------|-----------------|----------|
+| **Аналитик (эталон)** | HTML: человеческое описание стадии + `<ul>` со списком ссылок на артефакты, заголовок «Документы:» | `src/stage_engine.py::_build_analyst_ready_comment` (PR #13) |
+| Architect / Developer / Reviewer / Tester / Deployer | Однострочник «{icon} Role готов · 8.5M in / 45.8k out · $7.29» + markdown-ссылки следом | `src/usage.py::usage_comment` + `artifact_links` |
+
+Проблемы второго формата:
+1. Нет человеческого описания результата стадии — есть только техническая метрика «tokens/cost».
+2. Нет краткого вердикта одной строкой там, где он есть в артефакте (Reviewer `APPROVE/REQUEST_CHANGES`, Tester `PASS/FAIL`, Deployer `SUCCESS/FAILED`).
+3. Формат разнится по агентам (где-то «📂 Branch + 🔗 PR», где-то «📄 Test report») — нет единого визуального якоря.
+4. **Не видно длительности стадии** — стейкхолдер не понимает, агент отработал за 30 секунд или за 12 минут; это важная метрика для оценки SLA, поведения долгих стадий (testing/deploy) и подозрений на «зависание».
+
+## 3. Целевая аудитория
+- **Стейкхолдер задачи (Слава, владелец продукта)** — главный потребитель ленты комментариев в Plane.
+- **Reviewer / QA / DevOps по другим проектам (enduro-trails)** — те же ссылки помогут им навигироваться по задачам, не открывая БД оркестратора.
+
+## 4. Scope (что входит)
+1. Привести коммент-формат **architect, developer, reviewer, tester, deployer** к единому виду по эталону аналитика:
+   - заголовок-роль (emoji + имя роли),
+   - короткое человеческое описание результата стадии (1 предложение),
+   - кликабельная ссылка(и) на СВОЙ артефакт,
+   - **одна строка-вердикт** там, где это уместно (Reviewer / Tester / Deployer),
+   - **одна строка-длительность** работы агента — для всех ролей, включая аналитика.
+2. Переиспользовать `settings.gitea_public_url` для кликабельных ссылок (готово в PR #14).
+3. Сохранить существующее поведение аналитика (PR #13) — он уже соответствует целевому формату; в идеале — переиспользовать общий хелпер. К аналитику также добавляется строка длительности.
+4. Один коммент на агента за прохождение стадии (без спама).
+5. Источник длительности — уже существующая метрика `_duration_s` в `src/agents/launcher.py` (или `agent_runs.started_at` / `finished_at`). Новых таблиц/полей в БД не заводим.
+
+## 5. Out of scope (что НЕ трогаем)
+- Логика Quality Gates (`src/qg/checks.py`).
+- Status-only verdict model (PR #12) — приёмка аналитика через смену статуса Plane на «Approved/Rejected».
+- Дедупликация вебхуков (`src/webhooks/_dedup.py`).
+- `set_issue_done`, `notify_done`, `notify_qg_failure` — внутренние нотификации остаются как есть.
+- Per-agent bot-авторство (PR с `PLANE_BOT_TOKENS`) — сохраняется.
+- Изменение схемы БД, конвейера стадий, реестра QG.
+
+## 6. Бизнес-требования
+**BR-1.** Каждый агент по завершении своей стадии (вне пути ошибки) пишет в Plane **ровно один** коммент в едином формате.
+**BR-2.** Коммент содержит:
+- заголовок с emoji-иконкой роли и человекочитаемым названием,
+- 1–2 предложения с описанием результата стадии на русском языке,
+- кликабельную ссылку (-и) на артефакт(ы) этого агента в Gitea,
+- одну строку вердикта (Verdict / Status), если артефакт его содержит,
+- **одну строку длительности работы агента** (`Длительность: <human-format>`), всегда, если значение известно.
+**BR-3.** Ссылки строятся через `gitea_public_url` (fallback на `gitea_url`).
+**BR-4.** Формат должен быть устойчив: отсутствующий артефакт / отсутствующий вердикт / неизвестная длительность не ломают коммент — соответствующая строка просто опускается.
+**BR-5.** Изменение **не нарушает**:
+- status-only verdict model (аналитик по-прежнему ждёт смены статуса Plane),
+- дедуп комментов и вебхуков,
+- работу `set_issue_done` / `notify_done` на финале конвейера,
+- per-agent bot-авторство.
+**BR-6.** Длительность отображается в человекочитаемой форме (`12s`, `4m 12s`, `1h 03m`), а не в виде голых секунд. Источник — `agent_runs.started_at` / `finished_at` (или уже посчитанный `_duration_s` в `launcher.py`). Новых полей в БД не вводится.
+
+## 7. Ограничения и риски
+- **Self-hosting:** оркестратор правит сам себя; деплой только через staging-гейт (порт 8501) → прод-контейнер `orchestrator` не перезапускать в рамках задачи.
+- Прод обслуживает другие проекты (enduro-trails) — нельзя сломать комменты в их задачах.
+- Plane Bot-авторство (`_headers_for`) должно остаться — коммент пишется под бот-токеном своей роли.
+- Reviewer/tester вердикты читаются из артефактов; нужно идемпотентно работать, если артефакт ещё не закоммичен / не доступен в worktree.
+
+## 8. Связки
+- PR #13 — `status-only analyst comment with doc links` (эталон формата аналитика).
+- PR #14 — `external gitea_public_url for clickable doc links` (источник кликабельных ссылок).
+- ADR не требуется: сквозной архитектурный сдвиг отсутствует, меняем только формирование текста коммента в существующем потоке.
+
+## 9. Критерии успеха (high-level)
+- Слава открывает любую задачу в Plane и в ленте видит однотипные карточки от каждого агента: «{role} — {описание} → ссылка [Verdict: …] [Длительность: …]».
+- По любой ссылке открывается соответствующий документ в Gitea (HTTP 200, корректный путь).
+- В каждом статус-комменте присутствует строка «Длительность: …» с человекочитаемым значением (`12s` / `4m 12s` / `1h 03m`).
+- Никаких регрессий в существующих тестах `tests/`.

docs/work-items/ORCH-016/02-trz.md

@@ -0,0 +1,174 @@
+# ТЗ: Единообразные коммент-артефакты в Plane от всех агентов
+
+Work Item ID: **ORCH-016**
+Стадия: analysis → architecture → development
+Автор: analyst
+Дата: 2026-06-05
+Ревизия: 2 (по фидбэку стейкхолдера — добавлен §2.5 Duration; обновлены §1, §2.1, §6)
+
+> Контракт: что именно меняем в коде / какие модули задействованы / какие проверки появятся.
+> Архитектурные решения принимает архитектор; здесь — границы изменения.
+
+---
+
+## 1. Задействованные модули
+
+| Модуль | Роль в изменении |
+|--------|------------------|
+| `src/usage.py` | **Главная точка изменения.** Здесь сейчас живут `usage_comment()`, `artifact_links()`, `AGENT_ARTIFACT`, `AGENT_DISPLAY`, `AGENT_ICON` — основа форматирования. Нужно расширить/добавить хелпер построения единого status-коммента + утилитку форматирования длительности (`fmt_duration(seconds: int) -> str`). |
+| `src/stage_engine.py` | Эталонная функция аналитика `_build_analyst_ready_comment()`. По возможности — переиспользовать новый общий хелпер (или хотя бы выровнять формат: emoji + заголовок + описание + список ссылок). К аналитику также прикручиваем строку длительности (см. §2.5). |
+| `src/agents/launcher.py` | `_post_usage_comments()` — точка, где постится коммент по завершении агента (architect/developer/reviewer/tester/deployer). Должен звать новый хелпер. `_duration_s` уже считается на строке `391` — пробросить его (или достать из `agent_runs.started_at`/`finished_at`) в хелпер. |
+| `src/db.py` | **Только для чтения** в рантайме коммент-хелпера: `agent_runs.started_at`, `agent_runs.finished_at` (уже существуют). Никаких ALTER. |
+| `src/plane_sync.py` | `add_comment()` — без изменений (используется как транспорт). |
+| `src/qg/checks.py` | **Только для чтения**: модели парсинга frontmatter `verdict:` / `deploy_status:` / `staging_status:` — переиспользуем эту логику (вынести в отдельную утилитку, либо импортировать там, где она уже есть). |
+| `src/config.py` | `settings.gitea_public_url`, `settings.gitea_owner`, `settings.gitea_url` — без изменений, переиспользуются. |
+
+## 2. Контракт нового коммент-формата
+
+### 2.1 Структура (одинакова для всех агентов)
+```
+{ICON} {RoleName} — {one-line human description of stage result}
+
+[Verdict / Status: <VALUE>]            # опционально, см. 2.3
+Длительность: <human-format>           # см. 2.5; опускается, только если значение неизвестно
+<b>Документы:</b>
+  • <a href="…">{label}</a>            # одна или несколько ссылок
+```
+
+Поля:
+- `{ICON}` — берётся из `AGENT_ICON` (уже есть в `usage.py`).
+- `{RoleName}` — из `AGENT_DISPLAY` (уже есть).
+- `{description}` — фиксированная строка на роль, см. 2.2.
+- Verdict / Status — см. 2.3, опускается если не извлекается.
+- Длительность — см. 2.5, печатается всегда, когда значение есть; по умолчанию доступна (это нативная метрика `agent_runs`).
+- Ссылки — см. 2.4.
+
+### 2.2 Описания стадий (per-agent text)
+
+| Агент | Описание (рус.) |
+|-------|------------------|
+| analyst | «Подготовил BRD / ТЗ / Acceptance Criteria. Для продвижения переведите задачу в статус Approved.» (как сейчас в `_build_analyst_ready_comment`) |
+| architect | «Завершил архитектурную проработку. См. ADR ниже.» |
+| developer | «Завершил разработку. См. PR / branch ниже.» |
+| reviewer | «Завершил ревью изменений.» |
+| tester | «Завершил прогон тестов.» |
+| deployer | «Завершил деплой.» |
+
+Точные формулировки финализирует architect; аналитик фиксирует **факт** наличия 1-предложного описания на каждую роль.
+
+### 2.3 Verdict / Status строка
+
+Печатается отдельной строкой над списком документов. Источник — frontmatter артефакта; парсить идемпотентно (если файл недоступен — строку пропустить):
+
+| Агент | Поле | Где парсим | Возможные значения | Формат строки |
+|-------|------|------------|---------------------|----------------|
+| analyst | — | — | — | не печатается |
+| architect | — | — | — | не печатается |
+| developer | — | — | — | не печатается (CI-статус — отдельный гейт) |
+| reviewer | `verdict:` | `docs/work-items/<wid>/12-review.md` (YAML-frontmatter) | `APPROVE` / `REQUEST_CHANGES` | `Verdict: APPROVE` |
+| tester | `verdict:` (или эквивалентный фронт-кей) | `docs/work-items/<wid>/13-test-report.md` | `PASS` / `FAIL` | `Verdict: PASS` |
+| deployer | `staging_status:` (для deploy-staging) / `deploy_status:` (для deploy) | `15-staging-log.md` / `14-deploy-log.md` | `SUCCESS` / `FAILED` | `Status: SUCCESS` |
+
+Если значение в frontmatter отсутствует или не распознано → строка `Verdict / Status` НЕ выводится (вердикт-парсинг гейтов и сама логика гейтов не меняется).
+
+### 2.4 Ссылки на артефакты
+
+Базовый URL: `(settings.gitea_public_url or settings.gitea_url).rstrip('/')`.
+Префикс: `/{owner}/{repo}/src/branch/{branch}/`.
+
+| Агент | Артефакты (label → путь) |
+|-------|----------------------------|
+| analyst | BRD `01-brd.md`, ТЗ `02-trz.md`, AC `03-acceptance-criteria.md`, Test Plan `04-test-plan.yaml` *(уже есть)* |
+| architect | ADR-папка `docs/work-items/<wid>/06-adr/` *(уже есть)* |
+| developer | Branch `…/src/branch/<branch>`, PR `…/pulls/<num>` *(уже есть)* |
+| reviewer | Review `docs/work-items/<wid>/12-review.md` *(уже есть)* |
+| tester | Test report `docs/work-items/<wid>/13-test-report.md` *(уже есть)* |
+| deployer | Deploy log `docs/work-items/<wid>/14-deploy-log.md`; staging-лог `15-staging-log.md` (если применимо к стадии) |
+
+Несуществующий файл в worktree → ссылка опускается (как сейчас в `_build_analyst_ready_comment`).
+
+### 2.5 Строка длительности работы агента
+
+**Что печатаем:** одну строку вида `Длительность: {human}` (или `Duration: {human}` — финальную локализацию метки фиксирует архитектор; русский предпочтителен, остальные комменты уже на русском).
+
+**Источник значения (приоритет сверху вниз):**
+
+1. **Параметр функции** — `_post_usage_comments()` в `src/agents/launcher.py:682` вызывается из контекста, где `_duration_s` уже посчитан на строке `391` (`int(time.time() - _start_ts)`). Простейший путь — пробросить `duration_s` явным аргументом в `usage_comment(...)` / новый `build_status_comment(...)`.
+2. **Fallback из БД** — если параметр не передан (например, для аналитика, чей коммент строится в `_build_analyst_ready_comment` в `src/stage_engine.py:298`), читаем
+   ```sql
+   SELECT
+     CAST((julianday(finished_at) - julianday(started_at)) * 86400 AS INTEGER)
+   FROM agent_runs
+   WHERE task_id = ? AND agent = ?
+   ORDER BY id DESC LIMIT 1
+   ```
+   Это последний завершённый run этой роли по задаче.
+3. **Если оба источника пусты / `None` / отрицательны** — строка `Длительность:` НЕ печатается (graceful, как и для вердикта).
+
+**Форматирование (`fmt_duration(seconds: int) -> str` в `src/usage.py`):**
+
+| Диапазон | Формат | Пример |
+|----------|--------|--------|
+| `0 ≤ s < 60` | `{s}s` | `12s`, `45s` |
+| `60 ≤ s < 3600` | `{m}m {ss}s` | `4m 12s`, `1m 03s` |
+| `s ≥ 3600` | `{h}h {mm}m` (секунды отбрасываем) | `1h 03m`, `2h 47m` |
+
+Округление: целые секунды (input — `int`). При `s == 0` всё равно печатаем `0s` (видно, что метрика известна и стадия отработала почти мгновенно).
+
+**Покрытие ролей:** строка длительности добавляется для **всех** агентов, включая аналитика. Для аналитика — строго через fallback из `agent_runs` (его коммент строится в `stage_engine.py`, не в `launcher.py`).
+
+**Что НЕ делаем:**
+- Не меняем схему `agent_runs` (поля `started_at` / `finished_at` уже есть, `_duration_s` уже считается).
+- Не изобретаем новый отдельный коммент с длительностью — длительность встраивается в существующий status-коммент.
+- Не считаем «время от первого вебхука до коммента» — берём чистое время процесса агента (тот же `_duration_s`, что попадает в `notify_agent_finished`), чтобы значение совпадало с тем, что уже видно в Telegram live tracker / логах.
+
+### 2.6 Один коммент на агента за стадию
+Текущий триггер — `_post_usage_comments()` вызывается **один раз** в успешном auto-advance пути после агента. Никаких новых триггеров не добавляем. Дубликаты исключены текущей логикой (одно завершение агента → один коммент).
+
+### 2.7 Usage-метрики (токены / стоимость)
+Текущий `usage_comment()` встраивает «8.5M in / 45.8k out · $7.29» в первый строкой. По требованиям Славы это «без раздувания», но не запрещено явно. Решение:
+- **Сохранить** usage-метрику как **последнюю строку** коммента (мелким техническим хвостом, например `<sub>8.5M in / 45.8k out · $7.29 · Длительность: 4m 12s</sub>`), либо
+- **Перенести** в `task_summary_comment` (только для финального deployer-summary).
+
+Финальный выбор — за архитектором (см. вопрос Q-1 в `10-tech-risks.md`). Длительность из §2.5 — **отдельная** строка от usage-метрики и присутствует независимо от того, как решится вопрос про токены/стоимость.
+
+### 2.8 Бот-авторство
+`plane_add_comment(..., author=<role>)` — сохраняется. Все агенты комментируют под своим bot-токеном (`PLANE_BOT_TOKENS`). Изменения формата текста на это не влияют.
+
+## 3. Изменения API
+**Нет.** Внешние webhooks (`/webhook/plane`, `/webhook/gitea`), `/health`, `/status`, `/queue` — не меняются.
+
+## 4. Изменения схемы БД
+**Нет.** Используются существующие таблицы `tasks`, `agent_runs`, `jobs`.
+
+## 5. Новые Quality Gate checks
+**Нет.** Гейты не меняются. Парсинг `verdict:` / `deploy_status:` / `staging_status:` в коммент — отдельная утилитка, не QG.
+
+## 6. Требования к коду
+- Все новые функции — с docstring (зачем нужны, какие инварианты сохраняют).
+- Парсинг frontmatter артефакта — graceful: исключение → строка вердикта опускается, лог в `logger.debug`.
+- Чтение длительности — graceful: исключение или `None` → строка длительности опускается, лог в `logger.debug`. Отрицательные / нулевые значения: `0` печатается как `0s`, отрицательные опускаются.
+- `fmt_duration(seconds: int) -> str` — чистая, без БД-зависимостей, легко тестируется юнитом.
+- Никаких новых внешних зависимостей: использовать `pyyaml` (уже в проекте) или существующий парсер frontmatter из `src/qg/checks.py`.
+- Поведение для проектов **без** артефактов (например, ENDURO-* до запуска агента) — graceful no-op: коммент с описанием и без ссылок (минимум — заголовок).
+- HTML (как у аналитика) предпочтительнее markdown — Plane корректно рендерит `<ul><li><a>` и `<b>`.
+
+## 7. Артефакты по pipeline
+- `06-adr/` — **не требуется** (нет архитектурного сдвига; обсуждается локально архитектором, в случае спорного решения по 2.6 — заводим ADR `ADR-001-status-comment-format.md`).
+- `07-infra-requirements.md` — **не требуется** (нет новой инфраструктуры).
+- `08-data-requirements.md` — **не требуется** (БД не меняется).
+- `12-review.md` / `13-test-report.md` / `14-deploy-log.md` — формируются на соответствующих стадиях по канону.
+- `CHANGELOG.md` — обновить в том же PR (раздел `Unreleased`).
+
+## 8. Документация
+В том же PR обновить:
+- `docs/architecture/README.md` — короткое упоминание единого формата комментов (можно в раздел «Plane Sync»).
+- `docs/architecture/internals.md` — если там есть раздел про `usage.py`/комменты — обновить.
+- `CLAUDE.md` — без изменений (правила не меняются).
+
+## 9. Чего НЕ делать
+- Не менять реестр `QG_CHECKS`.
+- Не менять `STAGE_TRANSITIONS`.
+- Не менять `add_comment` / `_headers_for` / `PLANE_BOT_TOKENS`.
+- Не «комментировать» комменты других стадий задним числом.
+- Не использовать `--no-verify` при коммитах.

docs/work-items/ORCH-016/03-acceptance-criteria.md

@@ -0,0 +1,125 @@
+# Acceptance Criteria: Единообразные коммент-артефакты в Plane
+
+Work Item ID: **ORCH-016**
+Ревизия: 2 (по фидбэку стейкхолдера — все AC по агентам обновлены под строку длительности; добавлены AC-13 / AC-14)
+
+Каждый AC сформулирован как чёткое условие PASS/FAIL. Проверяется автоматически (unit/integration) либо ручной верификацией в staging Plane (порт 8501).
+
+---
+
+## AC-1. Архитектор пишет единообразный коммент
+- **Given** task завершила стадию `architecture` успешно, `06-adr/` содержит как минимум один ADR.
+- **When** `_post_usage_comments(agent="architect", ...)` вызывается.
+- **Then** в Plane появляется **ровно один** коммент со структурой:
+  - первая строка: `📐 Architect — Завершил архитектурную проработку. См. ADR ниже.`,
+  - строка `Длительность: <human>` (формат — см. AC-13), значение соответствует фактическому времени работы архитектора (±1с),
+  - блок «Документы:» с кликабельной ссылкой на `…/src/branch/<branch>/docs/work-items/<wid>/06-adr/`,
+  - **нет** строки `Verdict / Status`.
+- **And** автор коммента — `architect` (`PLANE_BOT_TOKENS["architect"]`, fallback на shared token).
+- **PASS** при выполнении всех пунктов; **FAIL** при отсутствии любого.
+
+## AC-2. Разработчик пишет единообразный коммент
+- **Given** task завершила стадию `development`, есть open PR.
+- **When** `_post_usage_comments(agent="developer", ...)` вызывается.
+- **Then** коммент в Plane:
+  - `💻 Developer — Завершил разработку. См. PR / branch ниже.`,
+  - строка `Длительность: <human>`,
+  - ссылки: `Branch <branch>` → `…/src/branch/<branch>`, `PR #<num>` → `…/pulls/<num>`,
+  - **нет** строки `Verdict`.
+
+## AC-3. Ревьюер пишет коммент с вердиктом
+- **Given** `12-review.md` содержит frontmatter `verdict: APPROVE` (или `REQUEST_CHANGES`).
+- **When** `_post_usage_comments(agent="reviewer", ...)` вызывается.
+- **Then** коммент:
+  - `🔎 Reviewer — Завершил ревью изменений.`,
+  - строка `Verdict: APPROVE` (или `REQUEST_CHANGES`) — содержимое соответствует frontmatter,
+  - строка `Длительность: <human>`,
+  - ссылка `Review` → `…/12-review.md`.
+- **And** если frontmatter не содержит `verdict:` или файл недоступен — строка `Verdict:` опускается, остальное (в т.ч. длительность) публикуется.
+
+## AC-4. Тестер пишет коммент с вердиктом
+- **Given** `13-test-report.md` содержит frontmatter `verdict: PASS` (или `FAIL`).
+- **When** `_post_usage_comments(agent="tester", ...)` вызывается.
+- **Then** коммент:
+  - `🧪 Tester — Завершил прогон тестов.`,
+  - строка `Verdict: PASS` (либо `FAIL`),
+  - строка `Длительность: <human>`,
+  - ссылка `Test report` → `…/13-test-report.md`.
+
+## AC-5. Деплоер пишет коммент со статусом
+- **Given** task прошла стадию `deploy` (или `deploy-staging`), артефакт-лог существует с frontmatter `deploy_status: SUCCESS` (или `staging_status: SUCCESS`).
+- **When** `_post_usage_comments(agent="deployer", ...)` вызывается.
+- **Then** коммент:
+  - `🚀 Deployer — Завершил деплой.`,
+  - строка `Status: SUCCESS` (или `FAILED`),
+  - строка `Длительность: <human>`,
+  - ссылка `Deploy log` → `…/14-deploy-log.md` (и/или `Staging log` → `…/15-staging-log.md` для staging-стадии).
+
+## AC-6. Аналитик не регрессирует
+- **Given** существующий поток PR #12/#13 (status-only verdict).
+- **When** аналитик завершает стадию `analysis` с готовыми `01..04`.
+- **Then** в Plane:
+  - issue переведён в `In Review` (не меняется),
+  - коммент содержит **то же** человеческое описание (Approved/Rejected инструкции) и список ссылок `BRD / ТЗ / AC / Test Plan` — формат либо идентичен текущему, либо построен через тот же общий хелпер, что и остальные агенты, без потери смысла,
+  - дополнительно к существующему содержимому в комменте присутствует строка `Длительность: <human>` — значение поднимается из `agent_runs` (последний завершённый run агента `analyst` для этой задачи).
+
+## AC-7. Один коммент на агента за стадию
+- **Given** агент успешно отработал стадию.
+- **When** наблюдаем ленту Plane.
+- **Then** для **каждого** агента (`architect`, `developer`, `reviewer`, `tester`, `deployer`) на стадию приходится **ровно один** status-коммент с артефактами. Дополнительные сервисные комменты (`notify_stage_change`, `notify_qg_failure`, `notify_done`) сохраняются — они не считаются status-комментом.
+
+## AC-8. Graceful fallback при отсутствии артефакта
+- **Given** артефакт (например, `12-review.md`) ОТСУТСТВУЕТ в worktree на момент коммента (нестандартный сценарий).
+- **When** `_post_usage_comments(agent="reviewer", ...)` вызывается.
+- **Then** коммент всё равно публикуется: заголовок + описание, без ссылки на отсутствующий артефакт и без строки `Verdict:`. Исключения не пробрасываются.
+
+## AC-9. Кликабельность через gitea_public_url
+- **Given** в `.env` задан `GITEA_PUBLIC_URL=https://git.mva154.duckdns.org`, отличный от `GITEA_URL`.
+- **When** любой агент пишет status-коммент.
+- **Then** href всех артефакт-ссылок начинается с `https://git.mva154.duckdns.org/` (а не с внутреннего `gitea_url`).
+- **And** при отсутствии `gitea_public_url` (пустая строка) — fallback на `gitea_url` (обратная совместимость).
+
+## AC-10. Существующие тесты зелёные
+- **Given** новый код влит в feature-ветку.
+- **When** запускается `pytest tests/ -q`.
+- **Then** все ранее существовавшие тесты проходят (нет регрессий status-only verdict, дедупа, `set_issue_done`).
+
+## AC-11. Quality Gates не меняются
+- **Given** изменения формата комментов.
+- **When** инспектируется `src/qg/checks.py` и `src/stages.py`.
+- **Then** реестр `QG_CHECKS` и `STAGE_TRANSITIONS` остаются идентичными версии до PR (diff в этих файлах = ∅).
+
+## AC-12. Документация обновлена
+- **Given** реализация добавлена в feature-ветку.
+- **When** reviewer проверяет PR.
+- **Then** в diff присутствуют обновления:
+  - `CHANGELOG.md` (раздел Unreleased, описание изменения — включая «строку длительности агента в комментах»),
+  - `docs/architecture/README.md` или `docs/architecture/internals.md` (упоминание единого формата status-комментов и строки длительности).
+- **And** при отсутствии обновлений документации reviewer ставит `verdict: REQUEST_CHANGES` (правило проекта).
+
+## AC-13. Формат строки длительности
+- **Given** утилитка `fmt_duration(seconds: int) -> str` в `src/usage.py`.
+- **When** ей передаются граничные значения.
+- **Then** возвращаемая строка соответствует таблице:
+  - `0` → `"0s"`
+  - `12` → `"12s"`
+  - `59` → `"59s"`
+  - `60` → `"1m 00s"`
+  - `252` → `"4m 12s"`
+  - `3599` → `"59m 59s"`
+  - `3600` → `"1h 00m"`
+  - `3780` → `"1h 03m"`
+  - `10020` → `"2h 47m"`
+- **And** ввод `None` или отрицательное значение → функция возвращает пустую строку (или `None`), а вызывающая сторона строку `Длительность:` не печатает.
+- **PASS** при полном совпадении со всеми примерами таблицы.
+
+## AC-14. Длительность — graceful fallback
+- **Given** агент завершился, но `_duration_s` не пробрасывается явным параметром в коммент-хелпер (например, для аналитика).
+- **When** строится status-коммент.
+- **Then** хелпер запрашивает БД: последний `agent_runs` для `(task_id, agent)` с непустым `finished_at`, считает `int((julianday(finished_at) - julianday(started_at)) * 86400)` и подставляет в `fmt_duration`.
+- **And** при отсутствии подходящей строки `agent_runs` (или `finished_at IS NULL`, или результат < 0) — строка `Длительность:` опускается; остальные части коммента (заголовок, описание, вердикт, ссылки) публикуются без изменений.
+- **And** ошибка чтения БД не пробрасывает исключение наружу — логируется в `logger.debug` и трактуется как «значение неизвестно».
+
+---
+
+**Финальный PASS задачи:** все AC-1…AC-14 = PASS.

docs/work-items/ORCH-016/04-test-plan.yaml

@@ -0,0 +1,154 @@
+work_item: ORCH-016
+title: "Единообразные коммент-артефакты в Plane от всех агентов"
+revision: 2  # +TC-21..TC-25 по длительности (фидбэк стейкхолдера)
+tests:
+
+  - id: TC-01
+    type: unit
+    description: "build_status_comment(architect, duration_s=312, ...) формирует HTML c заголовком '📐 Architect — …', описанием стадии, строкой 'Длительность: 5m 12s' и ссылкой на 06-adr/. Строки Verdict нет."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "build_status_comment(developer, branch=..., pr_number=42, duration_s=...) включает ссылки на branch и на PR #42 через gitea_public_url + строку 'Длительность: ...'. Строки Verdict нет."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: "build_status_comment(reviewer, duration_s=..., ...) при verdict=APPROVE в 12-review.md frontmatter выводит строку 'Verdict: APPROVE', строку 'Длительность: ...' и ссылку на 12-review.md."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: "build_status_comment(reviewer, ...) при verdict=REQUEST_CHANGES выводит 'Verdict: REQUEST_CHANGES'. Строка длительности сохраняется."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: "build_status_comment(reviewer, ...) при отсутствии файла 12-review.md публикует коммент без строки Verdict и без ссылки Review (graceful), при этом строка 'Длительность: ...' печатается, если duration_s передан."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: "build_status_comment(tester, ...) при verdict=PASS в 13-test-report.md выводит 'Verdict: PASS', строку 'Длительность: ...' и ссылку на 13-test-report.md."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: "build_status_comment(tester, ...) при verdict=FAIL выводит 'Verdict: FAIL'. Строка длительности сохраняется."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: "build_status_comment(deployer, ...) при deploy_status=SUCCESS в 14-deploy-log.md выводит 'Status: SUCCESS', строку 'Длительность: ...' и ссылку на 14-deploy-log.md."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-09
+    type: unit
+    description: "build_status_comment(deployer, stage='deploy-staging') читает staging_status: из 15-staging-log.md и выводит соответствующую строку Status + строку длительности."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-10
+    type: unit
+    description: "URL ссылок строится через settings.gitea_public_url когда он задан; иначе — через settings.gitea_url (fallback)."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-11
+    type: unit
+    description: "Аналитик: _build_analyst_ready_comment (или его замена общим хелпером) сохраняет существующий контракт — текст про Approved/Rejected статус + список существующих BRD/ТЗ/AC/Test Plan ссылок. Дополнительно: при наличии завершённой строки agent_runs(analyst) для задачи коммент содержит строку 'Длительность: ...'."
+    module: tests/test_analyst_comment_regression.py
+    expected: PASS
+
+  - id: TC-12
+    type: unit
+    description: "Парсер frontmatter (verdict / deploy_status / staging_status) возвращает None при отсутствии файла, пустом файле или некорректном YAML — без проброса исключения."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-13
+    type: integration
+    description: "_post_usage_comments(agent='reviewer', ...) вызывает plane_sync.add_comment ровно один раз; передаваемый текст содержит '🔎 Reviewer', 'Verdict:', 'Длительность:' и href на 12-review.md."
+    module: tests/test_post_usage_comments_integration.py
+    expected: PASS
+
+  - id: TC-14
+    type: integration
+    description: "_post_usage_comments(agent='tester', ...) вызывает add_comment ровно один раз с автором 'tester' и корректным текстом, включая строку 'Длительность: ...'."
+    module: tests/test_post_usage_comments_integration.py
+    expected: PASS
+
+  - id: TC-15
+    type: integration
+    description: "_post_usage_comments(agent='deployer', ...) для стадии deploy постит коммент со ссылкой на 14-deploy-log.md, строкой 'Длительность: ...' И task_summary_comment (если оно сохраняется) — поведение не регрессирует."
+    module: tests/test_post_usage_comments_integration.py
+    expected: PASS
+
+  - id: TC-16
+    type: integration
+    description: "Регрессия status-only verdict model: при завершении analyst issue переводится в In Review, постится один коммент аналитика с инструкцией про статус Approved/Rejected, никакой автомат-advance не происходит."
+    module: tests/test_analyst_status_only_regression.py
+    expected: PASS
+
+  - id: TC-17
+    type: integration
+    description: "Регрессия дедупликации: повторный вебхук Plane с тем же event_id не приводит ко второму status-комменту от агента."
+    module: tests/test_status_comment_dedup_regression.py
+    expected: PASS
+
+  - id: TC-18
+    type: integration
+    description: "Регрессия set_issue_done / notify_done: финальный путь deploy→done по-прежнему переводит issue в Done и постит '✅ Task completed!' (отдельным комментом от status-коммента деплоера)."
+    module: tests/test_notify_done_regression.py
+    expected: PASS
+
+  - id: TC-19
+    type: integration
+    description: "Per-agent bot-авторство: status-комменты архитектора/разработчика/ревьюера/тестера/деплоера POST-ятся под соответствующим X-API-Key (PLANE_BOT_TOKENS[role]); fallback на PLANE_HEADERS при отсутствии бот-токена."
+    module: tests/test_status_comment_authorship.py
+    expected: PASS
+
+  - id: TC-20
+    type: unit
+    description: "Quality Gates не изменены: реестр QG_CHECKS и STAGE_TRANSITIONS идентичны контрольному снапшоту (smoke-тест против случайных правок)."
+    module: tests/test_qg_registry_snapshot.py
+    expected: PASS
+
+  - id: TC-21
+    type: unit
+    description: "fmt_duration(seconds) — табличная проверка форматирования: 0→'0s', 12→'12s', 59→'59s', 60→'1m 00s', 252→'4m 12s', 3599→'59m 59s', 3600→'1h 00m', 3780→'1h 03m', 10020→'2h 47m'."
+    module: tests/test_fmt_duration.py
+    expected: PASS
+
+  - id: TC-22
+    type: unit
+    description: "fmt_duration(None) и fmt_duration(-1) возвращают пустую строку (или None); вызывающая сторона при этом строку 'Длительность:' НЕ печатает."
+    module: tests/test_fmt_duration.py
+    expected: PASS
+
+  - id: TC-23
+    type: unit
+    description: "build_status_comment(architect, duration_s=None) и build_status_comment(architect) — коммент НЕ содержит строки 'Длительность:'; остальные строки (заголовок/описание/ссылки) на месте."
+    module: tests/test_status_comment_format.py
+    expected: PASS
+
+  - id: TC-24
+    type: integration
+    description: "Fallback по БД: при отсутствии явного duration_s билдер коммента читает agent_runs.started_at/finished_at для последней завершённой строки (task_id, agent) и подставляет fmt_duration результата. Проверка через тестовую SQLite с заранее проставленными timestamp'ами."
+    module: tests/test_status_comment_duration_db_fallback.py
+    expected: PASS
+
+  - id: TC-25
+    type: integration
+    description: "Регрессия: исключение при чтении agent_runs (например, БД залочена) → строка 'Длительность:' опускается, остальное публикуется; logger.debug содержит запись о неудачном чтении длительности."
+    module: tests/test_status_comment_duration_db_fallback.py
+    expected: PASS

docs/work-items/ORCH-016/06-adr/ADR-001-unified-status-comment.md

@@ -0,0 +1,203 @@
+# ADR-001: Единый формат status-коммента агентов в Plane
+
+- **Work Item:** ORCH-016
+- **Стадия:** architecture
+- **Статус:** Accepted
+- **Дата:** 2026-06-05
+- **Автор:** architect
+
+## Контекст
+
+ТЗ ORCH-016 требует привести коммент-формат всех агентов (architect/developer/reviewer/tester/deployer + сохранение совместимости с analyst) к единому виду по эталону `src/stage_engine.py::_build_analyst_ready_comment` и дополнительно встроить **строку длительности работы агента**.
+
+ТЗ оставил архитектору пять открытых вопросов (см. §2.2, §2.5, §2.7, §6):
+1. Где живёт общий хелпер построения коммента (один файл vs. два).
+2. Как ведём себя с usage-метрикой (tokens / $cost) в новом формате (Q-1 из ТЗ §2.7).
+3. Локализация метки длительности — «Длительность:» vs «Duration:».
+4. Парсинг frontmatter артефакта (verdict / deploy_status / staging_status) — переиспользовать `src/qg/checks.py` или дублировать.
+5. Контракт хелпера БД-фоллбэка длительности и его форма.
+
+Дополнительно: текущий `usage_comment(...)` — публичная (внутри проекта) функция, вызывается из `src/agents/launcher.py::_post_usage_comments`. Менять формат «на месте» без явного решения о судьбе старой сигнатуры рискованно.
+
+## Решение
+
+### 1. Архитектура хелперов
+
+Вводим **ровно один публичный хелпер** в `src/usage.py`:
+
+```python
+def build_status_comment(
+    agent: str,                          # "analyst" | "architect" | ... | "deployer"
+    *,
+    repo: str | None = None,
+    branch: str | None = None,
+    work_item_id: str | None = None,
+    pr_number: int | None = None,
+    stage: str | None = None,            # "deploy" vs "deploy-staging" (для deployer)
+    usage: dict | None = None,           # tokens/cost (опционально)
+    duration_s: int | None = None,       # если известно — иначе fallback по БД
+    task_id: int | None = None,          # требуется ТОЛЬКО для DB-фоллбэка длительности
+    worktree_root: str | None = None,    # для чтения артефактов; None → опускаем verdict
+) -> str:
+```
+
+Что делает:
+- Собирает заголовок `{ICON} {RoleName} — {описание}` (описание per-agent — см. §2 ниже).
+- Опционально дописывает строку `Verdict: …` / `Status: …` (только для reviewer/tester/deployer и только если frontmatter артефакта присутствует и распознан).
+- Всегда (если известна) дописывает строку `Длительность: …` через `fmt_duration(...)`.
+- Дописывает блок `<b>Документы:</b><ul><li><a …>…</a></li>…</ul>`.
+- Опционально дописывает технический хвост `<sub>{tokens}/{cost}</sub>` — см. §3.
+
+`_build_analyst_ready_comment(...)` в `src/stage_engine.py` переписывается как **тонкая обёртка** над `build_status_comment(agent="analyst", ...)`. Аналитик-специфичный текст (инструкция «переведите в Approved/Rejected» + полный список 01-brd / 02-trz / 03-acceptance-criteria / 04-test-plan) добавляется ВНУТРИ `build_status_comment` через ветку `agent == "analyst"` — это единственное место, где per-agent текст шире одной строки. Альтернатива (передавать кастомный текст параметром) добавляет API-площадь без пользы.
+
+**Старый `usage_comment(...)` удаляется**; единственный его внешний вызов — `src/agents/launcher.py::_post_usage_comments` — переписывается на `build_status_comment(...)`. Это упрощает дальнейшее сопровождение (один формат → одна функция); риск минимален, потому что `usage_comment` — внутренний API.
+
+### 2. Per-agent описания (финализация ТЗ §2.2)
+
+| Агент | Описание (HTML, без точки в конце) |
+|-------|------------------------------------|
+| analyst | «Подготовил BRD / ТЗ / Acceptance Criteria. Для продвижения переведите задачу в статус Approved» (плюс существующая инструкция про Approved/Rejected уходит как продолжение) |
+| architect | «Завершил архитектурную проработку. См. ADR ниже» |
+| developer | «Завершил разработку. См. PR / branch ниже» |
+| reviewer | «Завершил ревью изменений» |
+| tester | «Завершил прогон тестов» |
+| deployer (deploy) | «Завершил прод-деплой» |
+| deployer (deploy-staging) | «Завершил staging-деплой» |
+
+### 3. Решение по Q-1 (usage-метрика)
+
+**Сохраняем** usage-метрику как **техническую `<sub>`-строку в конце** коммента, объединённую с длительностью НЕ нужно — длительность остаётся ОТДЕЛЬНОЙ строкой нормального веса (требование ТЗ §2.5).
+
+Конкретно:
+```html
+<sub>8.5M in (8.4M cached) / 45.8k out · $7.29</sub>
+```
+
+Почему НЕ удаляем:
+- Тех-метрика полезна для оценки стоимости задачи на пост-мортеме (особенно для ORCH-задач, где orchestrator расходует свой же бюджет).
+- `task_summary_comment` (Deployer end-of-task) суммирует по задаче, но не покрывает per-agent breakdown в момент завершения каждой стадии — для трассировки «кто сколько потратил» полезно видеть сразу.
+
+Почему `<sub>`, а не обычная строка:
+- Стейкхолдер (Слава) явно просил «без раздувания»; визуально приглушённый хвост не конкурирует за внимание с описанием/вердиктом/длительностью/ссылками.
+- Plane корректно рендерит `<sub>` (проверено ранее на PR #13).
+
+При `usage = None` или нулевых значениях — хвост опускается полностью.
+
+### 4. Решение по Q-2 (локализация метки длительности)
+
+Используем русский: **`Длительность: 4m 12s`**.
+Обоснование: все человеческие тексты комментов уже на русском (заголовок «Документы:», описания стадий). Метка `4m 12s` сама по себе универсальна и понятна без перевода (стандарт CLI-инструментов: `time`, `gh`, `kubectl`).
+
+### 5. Решение по Q-4 (парсинг frontmatter)
+
+Создаём НОВЫЙ маленький утилитный модуль **`src/frontmatter.py`** с единственной функцией:
+
+```python
+def read_frontmatter_value(path: str, key: str) -> str | None:
+    """Read a single key from leading YAML frontmatter. Never raises.
+
+    Returns None if file missing, frontmatter absent/malformed, or key not set.
+    """
+```
+
+Реализация — yaml.safe_load на блоке между двумя `---` строками; всё ловится одним `try/except` → `logger.debug` → `None`.
+
+Этот модуль используют:
+- `src/usage.py::build_status_comment` — для извлечения `verdict:` / `deploy_status:` / `staging_status:`.
+- `src/qg/checks.py` — НЕ обязательно мигрировать в этом PR (out-of-scope ORCH-016); миграция может пройти отдельной задачей-рефакторингом. **В этом PR `qg/checks.py` НЕ трогаем** — снижает blast radius и риск регрессии гейтов.
+
+Дублирование (~10 строк YAML-парсера в `qg/checks.py` остаётся) сознательно принято: scope discipline > DRY на одном переиспользовании.
+
+### 6. Решение по Q-5 (DB-фоллбэк длительности)
+
+Хелпер в `src/usage.py`:
+
+```python
+def get_agent_duration(task_id: int, agent: str) -> int | None:
+    """Return last finished agent_runs duration (seconds) for (task, agent).
+    Never raises. None on missing row / NULL finished_at / negative / error.
+    """
+```
+
+SQL — ровно как в ТЗ §2.5 (фоллбэк):
+```sql
+SELECT CAST((julianday(finished_at) - julianday(started_at)) * 86400 AS INTEGER)
+FROM agent_runs
+WHERE task_id=? AND agent=?
+  AND finished_at IS NOT NULL
+ORDER BY id DESC LIMIT 1
+```
+
+Чтение через `get_db()` (стандартный путь модуля), обёрнутое в `try/except Exception` → `logger.debug(...)` → `None`. Соединение всегда закрывается в `finally`.
+
+`build_status_comment` вызывает `get_agent_duration(...)` ТОЛЬКО когда:
+- `duration_s is None`, И
+- `task_id is not None` (вызывающая сторона согласилась оплатить лишний SELECT).
+
+Если оба источника пусты → строка «Длительность:» опускается (AC-14).
+
+### 7. Решение по HTML vs Markdown (ТЗ §6)
+
+Целевой рендер — **HTML**, как у эталона аналитика. Конкретно:
+- Заголовок и описание — plain text + emoji.
+- Verdict / Длительность — отдельные строки, разделяются `<br>` (или `\n` если Plane корректно интерпретирует переводы строк; экспериментально подтвердить на staging — см. R-2 в `10-tech-risks.md`).
+- Блок документов — `<b>Документы:</b><ul><li><a href="…">label</a></li></ul>`.
+- Технический хвост — `<sub>…</sub>` отдельной строкой через `<br>`.
+
+`artifact_links(...)` (сейчас возвращает markdown-строки `[label](url)`) — **переписывается на HTML-якоря** `<a href="...">label</a>`. Эмодзи-префиксы (📂/🔗/📐/📄) сохраняются. Возвращаемый тип меняется: `list[str]` остаётся, но содержимое — HTML-фрагменты (документировано в docstring).
+
+Это breaking-change для внутреннего API `artifact_links`, но единственный внешний вызов был из `usage_comment`, который тоже удаляется. Других вызовов в `tests/`/`scripts/` нет (developer проверит grep'ом в development-стадии).
+
+### 8. Контракт `fmt_duration` (полностью по AC-13)
+
+```python
+def fmt_duration(seconds: int | None) -> str:
+    """0..59 → '{s}s'; 60..3599 → '{m}m {ss:02d}s'; >=3600 → '{h}h {mm:02d}m'.
+    None / negative → '' (caller should drop the line)."""
+```
+
+Чистая функция, без I/O, easily unit-testable. Размещение: `src/usage.py` (рядом с `fmt_tokens` / `fmt_cost`).
+
+## Альтернативы
+
+1. **Два отдельных хелпера** (`build_analyst_status_comment` + `build_agent_status_comment`).
+   Отклонено: ТЗ явно просит «единый эталонный формат»; дублирование шаблона расходится со временем.
+
+2. **Оставить `usage_comment` как deprecated-обёртку.**
+   Отклонено: один внутренний вызов, deprecation добавляет когнитивный шум без выигрыша.
+
+3. **Перенести usage-метрику в `task_summary_comment` (вариант B из ТЗ §2.7).**
+   Отклонено: теряем per-stage видимость затрат; финальный summary не отвечает на вопрос «сколько съел конкретно reviewer».
+
+4. **Markdown вместо HTML.**
+   Отклонено: эталон аналитика (PR #13) уже HTML; смена ломает визуальный паритет.
+
+5. **Английская метка «Duration:».**
+   Отклонено: ассиметрия с остальными русскими подписями в комменте.
+
+6. **Рефакторить `qg/checks.py` на `src/frontmatter.py` в этом же PR.**
+   Отклонено: расширяет blast radius на гейты; делаем отдельной задачей.
+
+## Последствия
+
+### Положительные
+- Единая точка изменения формата комментов на будущее — `build_status_comment`.
+- Удаление дубликата `usage_comment` уменьшает API-площадь модуля.
+- `src/frontmatter.py` подготавливает почву для будущего рефактора `qg/checks.py` (DRY-победа в один заход следующей задачей).
+- HTML-рендеринг даёт стейкхолдеру кликабельные ссылки и приглушённый тех-хвост.
+
+### Отрицательные / ограничения
+- Дублирование YAML-парсинга на ~10 строк (qg/checks.py остаётся со своим).
+- Дополнительный SELECT к `agent_runs` на каждый коммент аналитика (1 запрос, по индексу `task_id`, ничтожно).
+- HTML-разметка ломается визуально, если Plane изменит политику санитизации `<sub>` или `<ul>` (риск R-2).
+
+### Self-hosting
+- Хелперы — чистый код, без рестарта прод-контейнера. Изменения дойдут до прода через стандартный staging-гейт (`deploy-staging` → `deploy`).
+- Если коммент сломается, ленту Plane задачи ORCH-016 первой и заметим — feedback loop коротко.
+
+## Связи
+- ТЗ §1, §2, §6 (`docs/work-items/ORCH-016/02-trz.md`)
+- AC-1..AC-14 (`docs/work-items/ORCH-016/03-acceptance-criteria.md`)
+- PR #13 (эталон аналитика — `_build_analyst_ready_comment`)
+- PR #14 (`gitea_public_url` для кликабельных ссылок)
+- `src/usage.py`, `src/stage_engine.py`, `src/agents/launcher.py`, `src/db.py`, `src/qg/checks.py`

docs/work-items/ORCH-016/10-tech-risks.md

@@ -0,0 +1,112 @@
+# Технические риски — ORCH-016
+
+Work Item: **ORCH-016**
+Стадия: architecture
+Автор: architect
+Дата: 2026-06-05
+
+> Риски ранжированы по приоритету (P0 = блокер, P1 = серьёзный, P2 = умеренный, P3 = информационный).
+> Каждый риск содержит митигацию и/или способ детекции на тестах.
+
+---
+
+## R-1 (P1) — Self-hosting: сломанный коммент => слепая зона по ORCH-задаче
+
+**Описание.** Изменение касается генерации комментов; орк дорабатывает сам себя. Если новый `build_status_comment` падает / отдаёт пустую строку / отдаёт битый HTML, стейкхолдер (Слава) потеряет видимость прогресса именно по той задаче, которая сломала комменты — и не сможет диагностировать без `docker logs`.
+
+**Митигация.**
+- Внешний `try/except Exception` вокруг сборки HTML: при любом исключении возвращаем простой fallback-текст вида `f"{icon} {role} готов"` + `logger.exception(...)`. Лучше «уродливый» коммент, чем тишина.
+- Юнит-тесты `tests/test_status_comment_format.py` (TC-01..TC-12, TC-23) фиксируют золотой HTML — регрессия ловится на CI до прод-деплоя.
+- Обязательный staging-гейт (`check_staging_status` для orchestrator) — финальный предохранитель: задача с ORCH-меткой не дойдёт до прод-контейнера, пока staging-инстанс (8501) не подтвердит, что комменты собираются.
+
+## R-2 (P1) — Plane HTML sanitization: `<sub>` / `<br>` / `<ul>` могут не рендериться
+
+**Описание.** Plane (self-hosted) санитизирует входящий HTML. Эталон аналитика подтверждает рендер `<ul>` / `<li>` / `<a>` / `<b>`; **рендер `<sub>` и `<br>` НЕ подтверждён** на текущей версии Plane.
+
+**Митигация.**
+- На staging (8501) опубликовать тестовый коммент `build_status_comment(...)` руками (через `python -m` скрипт или curl на dev-задачу) и визуально проверить рендер тех-хвоста и переводов строк ПЕРЕД мержем PR.
+- Если `<sub>` не рендерится — fallback: оставить usage-метрику обычной строкой с `· ` разделителем (без `<sub>`).
+- Если `<br>` не рендерится — переходим на `\n` (Plane сам интерпретирует) либо упаковываем строки в `<p>...</p>`.
+- Развилка фиксируется в `12-review.md` reviewer'ом по факту проверки.
+
+**Детекция.** Ручной чек-лист в staging-логе (`15-staging-log.md`) с приложенным скриншотом коммента.
+
+## R-3 (P2) — SQLite contention при DB-фоллбэке длительности
+
+**Описание.** `get_agent_duration(task_id, agent)` делает SELECT по `agent_runs` в момент сборки коммента. SQLite-БД одновременно используется очередью (`jobs`), воркером, вебхуками и Telegram-трекером; пиковая нагрузка → коротко блокирующиеся читатели.
+
+**Митигация.**
+- Запрос идёт по индексу `(task_id, agent)` (если его нет — добавление индекса не входит в scope ORCH-016, но запрос всё равно быстрый: типичный `agent_runs` ≤ 50 строк на задачу).
+- `try/except Exception` оборачивает SELECT → `logger.debug(...)` → `None`. При залоченной БД строка «Длительность:» просто опускается (AC-14).
+- Запрос делаем ТОЛЬКО когда `duration_s` не передан явно (т.е. только для аналитика).
+
+**Детекция.** TC-25 — integration-тест на исключение в чтении `agent_runs`.
+
+## R-4 (P3) — Расхождение значений длительности (param vs DB)
+
+**Описание.** `_duration_s` в `src/agents/launcher.py:391` считается как `int(time.time() - _start_ts)`. DB-фоллбэк считает `(julianday(finished_at) - julianday(started_at)) * 86400`. Возможно расхождение в 1 секунду (округление) или больше (если `finished_at` пишется не сразу).
+
+**Митигация.** AC-13 допускает погрешность ±1с. Для аналитика, где используем только DB-фоллбэк, отклонений между двумя источниками не наблюдается (источник один).
+
+**Не митигируется специально** — последствия нулевые (декоративная строка).
+
+## R-5 (P2) — Скрытые callers `usage_comment` / `artifact_links`
+
+**Описание.** ADR-001 предписывает удалить `usage_comment` и переписать `artifact_links` на HTML. В рамках только grep по `src/` я нашёл единственного клиента — `_post_usage_comments` в `src/agents/launcher.py`. Однако функция могла использоваться скриптами (`scripts/`), тестами (`tests/`), миграционными утилитами или внешними интеграциями.
+
+**Митигация.** Developer на стадии development обязан выполнить полный grep:
+```bash
+grep -rn "usage_comment\|artifact_links" .  --include="*.py"
+```
+И переписать все вызовы. Если найдётся внешний потребитель — оставить `usage_comment` как deprecated-обёртку и зафиксировать в `12-review.md`.
+
+**Детекция.** TC-10 (полный pytest зелёный), TC-17 (дедуп-регрессия), reviewer-чек.
+
+## R-6 (P2) — Регрессия status-only verdict model аналитика (PR #12/#13)
+
+**Описание.** Аналитик переходит в `In Review` И не должен auto-advance'иться — статус ждёт Approved/Rejected от стейкхолдера. Если переписывание `_build_analyst_ready_comment` на обёртку случайно вернёт `auto_advance=True` или поменяет content так, что человек не поймёт инструкцию — порвётся существующий контракт.
+
+**Митигация.**
+- TC-11 + TC-16: регрессионные тесты на формат коммента и status-only поведение.
+- ADR-001 §1 явно фиксирует: контракт аналитика сохраняется; обёртка строит ИДЕНТИЧНЫЙ существующему текст + добавляет только строку длительности.
+
+## R-7 (P3) — Локализация и кодировка emoji в HTML
+
+**Описание.** В `src/usage.py` emoji-ы записаны `\Uxxxxxxxx`-escape'ами. При сборке HTML это безопасно (Python декодирует до utf-8), но при возможном последующем base64/quoted-printable транспорте могла бы возникнуть проблема. Plane API принимает utf-8 → риск минимален.
+
+**Митигация.** Не требуется. Существующий путь (PR #13, аналитик) уже посылает emoji через тот же `add_comment` без проблем.
+
+## R-8 (P3) — Дублирование YAML-парсинга frontmatter
+
+**Описание.** ADR-001 §5 принимает дублирование (~10 строк) в `src/frontmatter.py` и оставляет `src/qg/checks.py` со своим парсером. При расхождении правил (например, мы научим `read_frontmatter_value` поддерживать `---\nkey: value\n---` без trailing newline, а `qg/checks.py` останется строгим) теоретически возможны несогласованные интерпретации.
+
+**Митигация.** Принято в scope discipline; следующая задача-рефактор объединит. До тех пор — `read_frontmatter_value` обязан быть строго совместимым (по тестам) с поведением `qg/checks.py` на канонических случаях (BR-frontmatter с trailing newline после `---`).
+
+## R-9 (P0) — НЕ перезапускать прод-контейнер `orchestrator`
+
+**Описание.** Self-hosting: прод-контейнер (8500) обслуживает ВСЕ проекты (orchestrator + enduro-trails) из общей БД. Внеплановый рестарт ради «быстро посмотреть формат коммента» = простой конвейера всех проектов.
+
+**Митигация.**
+- Все эксперименты — на staging (8501) через `docker compose --profile staging up -d orchestrator-staging`.
+- Прод-деплой только через стандартный путь `deploy-staging → deploy` (под надзором `check_staging_status`).
+- ЗАПРЕЩЕНО при ручном тестировании коммента дёргать `docker compose restart orchestrator`.
+
+---
+
+## Открытые вопросы (Q&A — все закрыты ADR-001)
+
+| Q | Вопрос | Решение | Где зафиксировано |
+|---|--------|---------|-------------------|
+| Q-1 | Куда девать usage-метрику (tokens/cost)? | Сохранить как `<sub>…</sub>` хвостом в том же комменте. | ADR-001 §3 |
+| Q-2 | «Длительность:» или «Duration:»? | «Длительность:» (русский, соответствует остальным меткам). | ADR-001 §4 |
+| Q-3 | Один общий хелпер или раздельные для analyst/прочих? | Один: `build_status_comment(...)`; analyst — ветка внутри. | ADR-001 §1 |
+| Q-4 | Парсер frontmatter — переиспользовать `qg/checks.py` или новый? | Новый `src/frontmatter.py`; `qg/checks.py` НЕ трогаем в этом PR. | ADR-001 §5 |
+| Q-5 | Контракт DB-фоллбэка длительности. | `get_agent_duration(task_id, agent) -> int | None`, см. SQL в ADR-001 §6. | ADR-001 §6 |
+| Q-6 | HTML vs Markdown. | HTML (как у эталона); `artifact_links` переписывается на `<a>`. | ADR-001 §7 |
+| Q-7 | Судьба старого `usage_comment(...)`. | Удалить, перевести единственного клиента (`_post_usage_comments`) на `build_status_comment`. | ADR-001 §1 |
+
+Если developer на стадии development обнаружит, что R-5 материализуется (есть скрытый клиент `usage_comment`) — допустимо оставить `usage_comment` как 1-строчную deprecated-обёртку (`return build_status_comment(...)`) и зафиксировать факт в `12-review.md` без возврата в architecture.
+
+---
+
+*Risk register для ORCH-016. Обновляется reviewer'ом, если в ходе ревью всплывут новые риски — текущий список фиксирует видимое на момент завершения стадии architecture.*

docs/work-items/ORCH-016/12-review.md

@@ -0,0 +1,120 @@
+---
+type: review
+work_item_id: ORCH-016
+verdict: APPROVED
+version: 1
+---
+
+# Review ORCH-016 — Единый status-коммент агентов в Plane
+
+## Summary
+
+PR реализует ТЗ ORCH-016 и ADR-001 полностью: вводится единый хелпер
+`src/usage.build_status_comment(...)` для всех ролей (analyst…deployer),
+строка `Длительность: …` с явным `duration_s` от launcher и DB-фоллбэком для
+аналитика, defensive YAML-парсер `src/frontmatter.read_frontmatter_value`,
+HTML-формат с эмодзи / Verdict / Документы / `<sub>` тех-хвостом. Аналитик
+переведён на ту же ветку без регрессии (`tests/test_analyst_comment.py` +
+`tests/test_analyst_status_only_regression.py` зелёные). `usage_comment` стал
+deprecated-обёрткой, `artifact_links` теперь возвращает HTML-фрагменты
+(breaking-change только для внутреннего вызова из удаляемого пути).
+Документация обновлена: CHANGELOG.md (`Added` + `Changed`),
+`docs/architecture/README.md` (новый подраздел «Plane Sync: единый
+status-коммент агентов»), ADR-001 заведён в
+`docs/work-items/ORCH-016/06-adr/`.
+
+Прохождение тестов:
+- 60 новых ORCH-016 тестов: PASS (TC-01…TC-23 покрывают AC-1…AC-14).
+- TC-20 (`test_qg_registry_snapshot.py`) подтверждает: `QG_CHECKS` и
+  `STAGE_TRANSITIONS` бит-идентичны (AC-11).
+- Полный прогон: 392 PASS, 4 FAIL (`tests/test_m6_sequence.py::*`,
+  `tests/test_plane_webhook.py::test_orchestrator_project_routes_to_orchestrator_repo`,
+  `tests/test_plane_webhook.py::test_prefixes_independent_per_project`).
+  Эти 4 фейла **предсуществуют на `main`** (проверено: `git checkout main --
+  src/ tests/` → те же 4 фейла; ORCH-016 их не индуцировал). AC-10 «no
+  regression» соблюдено.
+
+Соответствие ТЗ (`02-trz.md`):
+- §1 модули: тронуты строго заявленные (`usage.py`, `stage_engine.py`,
+  `agents/launcher.py`, новый `frontmatter.py`); `qg/checks.py` сознательно
+  не трогается (ADR-001 §5, alt-6).
+- §2.1–§2.5 формат, описания, verdict, ссылки, duration — реализовано.
+- §3 API не меняется; §4 БД не меняется; §5 новых QG нет — подтверждено
+  TC-20.
+- §6 docstrings, graceful frontmatter / duration, `fmt_duration` — чистая,
+  AC-13 happy + edge кейсы зелёные.
+- §7 артефакты: ADR заведён.
+- §8 документация: README архитектуры и CHANGELOG обновлены, `CLAUDE.md`
+  не трогается (правила не меняются).
+- §9 запреты: `QG_CHECKS` / `STAGE_TRANSITIONS` / `add_comment` /
+  `_headers_for` / `PLANE_BOT_TOKENS` не тронуты; `--no-verify` не
+  использован.
+
+Соответствие ADR-001:
+- §1 единственный публичный `build_status_comment(...)` с указанной
+  сигнатурой ✓
+- §2 описания per-agent ✓
+- §3 `<sub>` тех-хвост ✓
+- §4 русская метка `Длительность:` ✓
+- §5 `src/frontmatter.py` ✓
+- §6 `get_agent_duration` с указанным SQL ✓
+- §7 HTML-якоря, `<br>` разделители ✓
+- §8 `fmt_duration` контракт ✓
+
+Self-hosting (ADR-001 «Последствия»): хелперы — чистый код, без рестарта
+прод-контейнера; пройдёт стандартный staging-гейт.
+
+## Findings
+
+### P0 — Blocker
+- Нет.
+
+### P1 — Must fix
+- Нет.
+
+### P2 — Should fix
+- Нет.
+
+### P3 — Nice to have
+- `src/usage.py` `_AGENT_DESCRIPTIONS` и встроенные строки в
+  `build_status_comment` (например, `"Длительность: " f"{d_text}"` и
+  `"Завершил " "архитектурную " "проработку. " "См. ADR ниже."`) разбиты
+  на множественные смежные литералы. Python склеит их корректно, но
+  читаемость страдает — рассмотреть однострочный литерал в follow-up.
+- `03-acceptance-criteria.md` AC-3 формулирует пример как
+  `verdict: APPROVE`, тогда как канонический QG (`check_reviewer_verdict`,
+  `src/qg/checks.py:306`) ожидает строго `verdict: APPROVED`. На
+  отображение коммента это не влияет (билдер показывает то, что лежит
+  во frontmatter), но в самом AC лучше было бы зафиксировать тот же
+  термин, что в QG. Чинить артефакт стадии analysis из стадии review —
+  out-of-scope (правило: «не править артефакты других этапов»);
+  оставляю как заметку на follow-up для аналитика.
+- `_post_usage_comments` для `deployer` всегда (включая
+  `deploy-staging`) дополнительно постит `task_summary_comment`. ТЗ §2.6
+  и AC-7 явно это не запрещают (саммари не считается status-комментом),
+  и `tests/test_post_usage_comments_integration.py::test_deployer_staging_picks_15_log`
+  это поведение фиксирует. Поведение работает, но смысловой саммари
+  «Итого по задаче» на staging-стадии (задача не завершена) — слегка
+  ранний. Кандидат на уточнение требований в отдельной задаче.
+
+## Документация
+
+- `CHANGELOG.md` — раздел `Unreleased` дополнен записями `Added` и
+  `Changed` с упоминанием ORCH-016, `build_status_comment`,
+  `fmt_duration`, `get_agent_duration`, `src/frontmatter.py` и
+  ссылки на ADR. ✓
+- `docs/architecture/README.md` — добавлен подраздел «Plane Sync:
+  единый status-коммент агентов (ORCH-016)» с описанием формата
+  HTML-блока, источниками длительности и вердиктов, явным указанием,
+  что реестр гейтов и стадий не меняется. ✓
+- `docs/work-items/ORCH-016/06-adr/ADR-001-unified-status-comment.md` —
+  заведён, статус `Accepted`, покрывает все 5 открытых вопросов ТЗ
+  и пять альтернатив. ✓
+- `CLAUDE.md` — правки не требовались (правила агентов и канон
+  документации без изменений), что и заявлено в ADR-001.
+- `docs/architecture/internals.md` — упоминания про `usage.py` /
+  комменты не имеет, обновление не требуется (как и оговорено
+  ADR-001 §1).
+
+Документация = golden source соблюдён: изменения в `src/` сопровождены
+синхронным обновлением документации в том же PR.

docs/work-items/ORCH-016/13-test-report.md

@@ -0,0 +1,159 @@
+---
+type: test-report
+work_item_id: ORCH-016
+verdict: PASS
+result: PASS
+version: 1
+---
+
+# Test Report — ORCH-016
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Worktree: `/repos/_wt/orchestrator/feature_ORCH-016-plane`
+- Ветка: `feature/ORCH-016-plane` @ `1778d8f` (reviewer auto-commit)
+- Дата: 2026-06-05
+- Prod-инстанс orchestrator: `/health` → `{"status":"ok"}` (не трогался)
+
+## Команды
+
+```bash
+# Полный регресс из worktree
+pytest tests/ -v --tb=short
+
+# ORCH-016 целевой набор
+pytest tests/test_status_comment_format.py \
+       tests/test_post_usage_comments_integration.py \
+       tests/test_status_comment_authorship.py \
+       tests/test_status_comment_dedup_regression.py \
+       tests/test_status_comment_duration_db_fallback.py \
+       tests/test_fmt_duration.py \
+       tests/test_qg_registry_snapshot.py \
+       tests/test_analyst_comment.py \
+       tests/test_analyst_comment_regression.py \
+       tests/test_analyst_status_only_regression.py \
+       tests/test_notify_done_regression.py -v
+```
+
+## Сводка
+
+| Прогон | Passed | Failed | Skipped |
+|--------|-------:|-------:|--------:|
+| Полный (`tests/`) | **392** | **4** | 6 |
+| ORCH-016 целевой (62 теста) | **62** | **0** | 0 |
+
+## Smoke test API
+
+| Endpoint | HTTP | Ответ |
+|----------|------|-------|
+| `GET /health` | 200 | `{"status":"ok","service":"orchestrator"}` |
+| `GET /status` | 200 | JSON, активна задача `ORCH-016` (stage `testing`) |
+| `GET /queue` | 200 | JSON, `counts={queued:0,running:1,done:36,failed:0}`, breaker `closed`, preflight OK |
+
+## Покрытие плана тестов (`04-test-plan.yaml`)
+
+| TC | Модуль | AC | Результат |
+|----|--------|----|-----------|
+| TC-01 | `test_status_comment_format.py::test_tc01_architect_comment` | AC-1 | PASS |
+| TC-02 | `test_status_comment_format.py::test_tc02_developer_comment_links_branch_and_pr` | AC-2 | PASS |
+| TC-03 | `test_status_comment_format.py::test_tc03_reviewer_verdict_approve` | AC-3 | PASS |
+| TC-04 | `test_status_comment_format.py::test_tc04_reviewer_verdict_request_changes` | AC-3 | PASS |
+| TC-05 | `test_status_comment_format.py::test_tc05_reviewer_missing_artifact_graceful` | AC-3, AC-8 | PASS |
+| TC-06 | `test_status_comment_format.py::test_tc06_tester_pass` | AC-4 | PASS |
+| TC-07 | `test_status_comment_format.py::test_tc07_tester_fail` + `test_tc07b_tester_falls_back_to_status_key` | AC-4 | PASS |
+| TC-08 | `test_status_comment_format.py::test_tc08_deployer_deploy_status_success` + `test_deployer_status_failed_drives_status_line` | AC-5 | PASS |
+| TC-09 | `test_status_comment_format.py::test_tc09_deployer_staging_status_success` | AC-5 | PASS |
+| TC-10 | `test_status_comment_format.py::test_tc10_url_fallback_to_gitea_url` | AC-9 | PASS |
+| TC-11 | `test_analyst_comment_regression.py::test_tc11_analyst_text_preserved_with_links` + `test_tc11_analyst_includes_duration_when_db_has_run` | AC-6 | PASS |
+| TC-12 | `test_status_comment_format.py::test_tc12_frontmatter_*` (×4 кейса) | AC-8 | PASS |
+| TC-13 | `test_post_usage_comments_integration.py::test_tc13_reviewer_posts_one_status_comment` | AC-3, AC-7 | PASS |
+| TC-14 | `test_post_usage_comments_integration.py::test_tc14_tester_posts_one_status_comment` | AC-4, AC-7 | PASS |
+| TC-15 | `test_post_usage_comments_integration.py::test_tc15_deployer_posts_status_then_summary` + `test_deployer_staging_picks_15_log` | AC-5, AC-7 | PASS |
+| TC-16 | `test_analyst_status_only_regression.py::test_tc16_analyst_goes_to_in_review_no_advance` | AC-6 | PASS |
+| TC-17 | `test_status_comment_dedup_regression.py::test_tc17_*` (×4) | AC-7 | PASS |
+| TC-18 | `test_notify_done_regression.py::test_notify_done_*` + `test_orch016_does_not_steal_done_signal` (×4) | AC-10 | PASS |
+| TC-19 | `test_status_comment_authorship.py::test_tc19_*` (×7) | AC-7 | PASS |
+| TC-20 | `test_qg_registry_snapshot.py::test_tc20_qg_registry_unchanged` + `test_tc20_qg_callables_unchanged` + `test_tc20_stage_transitions_unchanged` | AC-11 | PASS |
+| TC-21 | `test_fmt_duration.py::test_fmt_duration_boundary_table` | AC-13 | PASS |
+| TC-22 | `test_fmt_duration.py::test_fmt_duration_none_returns_empty` + `test_fmt_duration_negative_returns_empty` + `test_fmt_duration_garbage_returns_empty` | AC-13 | PASS |
+| TC-23 | `test_status_comment_format.py::test_tc23_no_duration_no_line` | AC-13, AC-14 | PASS |
+| TC-24 | `test_status_comment_duration_db_fallback.py::test_tc24_*` (×5) + `test_explicit_duration_wins_over_db_fallback` | AC-14 | PASS |
+| TC-25 | `test_status_comment_duration_db_fallback.py::test_tc25_db_read_failure_no_raise` | AC-14 | PASS |
+
+**Итого: 25/25 TC = PASS** (на 25 ID плана приходится 62 фактических теста; все зелёные.)
+
+## Сопоставление с критериями (`03-acceptance-criteria.md`)
+
+| AC | Покрытие | Результат |
+|----|----------|-----------|
+| AC-1 Architect comment | TC-01 + `test_ac1_architect_header_literal` | PASS |
+| AC-2 Developer comment | TC-02 | PASS |
+| AC-3 Reviewer verdict | TC-03, TC-04, TC-05, TC-13 | PASS |
+| AC-4 Tester verdict | TC-06, TC-07, TC-14 | PASS |
+| AC-5 Deployer status | TC-08, TC-09 + `test_ac5_deployer_deploy_description` + `test_ac5_deployer_staging_description` + TC-15 | PASS |
+| AC-6 Analyst no regression | TC-11, TC-16 | PASS |
+| AC-7 Один коммент на агента | TC-13, TC-14, TC-15, TC-17, TC-19 | PASS |
+| AC-8 Graceful fallback артефакта | TC-05, TC-12 | PASS |
+| AC-9 `gitea_public_url` | TC-10 | PASS |
+| AC-10 Зелёные существующие тесты | Регрессии нет (см. ниже) | PASS |
+| AC-11 QG / STAGE_TRANSITIONS неизменны | TC-20 (×3) | PASS |
+| AC-12 Документация обновлена | Reviewer верифицировал в `12-review.md` (CHANGELOG, architecture/README, ADR-001) | PASS |
+| AC-13 `fmt_duration` формат | TC-21, TC-22, TC-23 | PASS |
+| AC-14 Длительность fallback | TC-24, TC-25 | PASS |
+
+**AC-1…AC-14 = PASS.**
+
+## Анализ 4 фейлов в полном прогоне (AC-10)
+
+```
+FAILED tests/test_m6_sequence.py::test_created_uses_plane_sequence_id
+FAILED tests/test_m6_sequence.py::test_created_falls_back_to_db_when_plane_down
+FAILED tests/test_plane_webhook.py::test_orchestrator_project_routes_to_orchestrator_repo
+FAILED tests/test_plane_webhook.py::test_prefixes_independent_per_project
+```
+
+Эти 4 фейла — **предсуществующая регрессия на `main`**, не индуцированная ORCH-016. Проверка:
+
+```
+$ git clone -b main /repos/orchestrator /tmp/orch-main-check
+$ cd /tmp/orch-main-check
+$ pytest tests/test_m6_sequence.py tests/test_plane_webhook.py
+…
+==================== 4 failed, 7 passed, 1 warning in 0.80s ====================
+FAILED tests/test_m6_sequence.py::test_created_uses_plane_sequence_id
+FAILED tests/test_m6_sequence.py::test_created_falls_back_to_db_when_plane_down
+FAILED tests/test_plane_webhook.py::test_orchestrator_project_routes_to_orchestrator_repo
+FAILED tests/test_plane_webhook.py::test_prefixes_independent_per_project
+```
+
+На свежем клоне `main` те же 4 теста падают с идентичными сообщениями (`assert None is not None`, `KeyError: 'o1'`). ORCH-016 не трогает `src/webhooks/plane.py`, `src/plane_sync.py::fetch_issue_sequence_id`, `src/projects.py` — то есть участки, ответственные за эти кейсы. Reviewer ранее зафиксировал тот же факт в `12-review.md`. **Регрессий, индуцированных ORCH-016 = 0** → AC-10 PASS.
+
+Эти 4 фейла должны быть подняты отдельной задачей (вне scope ORCH-016).
+
+## Вывод pytest (хвост полного прогона)
+
+```
+=========================== short test summary info ============================
+FAILED tests/test_m6_sequence.py::test_created_uses_plane_sequence_id - asser...
+FAILED tests/test_m6_sequence.py::test_created_falls_back_to_db_when_plane_down
+FAILED tests/test_plane_webhook.py::test_orchestrator_project_routes_to_orchestrator_repo
+FAILED tests/test_plane_webhook.py::test_prefixes_independent_per_project - K...
+============ 4 failed, 392 passed, 6 skipped, 13 warnings in 7.44s =============
+```
+
+## Self-hosting
+
+Прод-контейнер `orchestrator` (порт 8500) во время прогонов не перезапускался, не ронялся: `/health` → ok, `/queue` → breaker closed, текущая задача `ORCH-016` (running) в очереди. Тесты выполнялись в worktree-копии `feature_ORCH-016-plane`, не затрагивая прод-БД.
+
+## Итог
+
+**PASS.**
+
+- Все 25 TC из `04-test-plan.yaml` = PASS (62 фактических теста зелёные).
+- Все 14 AC из `03-acceptance-criteria.md` = PASS.
+- Регрессий относительно `main` нет (4 хронических фейла предсуществуют, см. выше).
+- Smoke test API зелёный.
+- Прод-инстанс не задет.
+
+Задача готова к стадии `deploy-staging`.

docs/work-items/ORCH-016/14-deploy-log.md

@@ -0,0 +1,145 @@
+---
+deploy_status: SUCCESS
+timestamp: 2026-06-05T12:51:07Z
+work_item: ORCH-016
+branch: feature/ORCH-016-plane
+commit: d4b02ef728521776ac13dbed39ac64a758d9de54
+target_service: orchestrator
+target_port: 8500
+deploy_mode: artifact-only
+prod_container_restarted: false
+---
+
+# Deploy Log — ORCH-016
+
+## Verdict
+
+**`deploy_status: SUCCESS`** — артефактный (artifact-only) деплой-вердикт.
+Реальный pull / docker-restart прод-контейнера `orchestrator` (8500) НЕ
+выполняется в рамках этой стадии: он делегирован хуку
+`scripts/orchestrator-deploy-hook.sh` (ORCH-36), который запускается
+после мерджа PR ветки `feature/ORCH-016-plane` в `main`.
+
+## Pre-conditions (все ✓)
+
+| Артефакт | Поле | Значение |
+|----------|------|----------|
+| `12-review.md` | `verdict` | `APPROVED` |
+| `13-test-report.md` | `verdict` | `PASS` |
+| `15-staging-log.md` | `staging_status` | `SUCCESS` (10/10 staging-checks) |
+| `04-test-plan.yaml` | — | покрывает AC-1…AC-14 |
+| ADR | `06-adr/ADR-001-*` | заведён |
+| CHANGELOG.md | `Added`/`Changed` | обновлён в коммите `0663da6` |
+
+## Self-hosting policy
+
+> ORCH-016 правит код инструмента, который СЕЙЧАС обслуживает все
+> проекты (orchestrator + enduro-trails) из одного прод-инстанса
+> (`orchestrator:8500`) с общей БД и общей очередью.
+
+Поэтому:
+
+1. **Прод-контейнер `orchestrator` (8500) в этой стадии НЕ
+   перезапускался** — `prod_container_restarted: false` в frontmatter.
+   Это прямое требование `CLAUDE.md` (раздел "Self-hosting") и
+   `docs/operations/INFRA.md`.
+2. Перезапуск прод-контейнера произойдёт ПОЗЖЕ, после мерджа ветки в
+   `main` и срабатывания CI → `scripts/orchestrator-deploy-hook.sh`.
+3. Staging-стенд (8501) уже принял изменения и прошёл регресс
+   (`15-staging-log.md`, 10/10 checks) — это и есть страховка перед
+   прод-деплоем self.
+
+## Что войдёт в прод после мерджа PR
+
+Изменения ORCH-016 (коммит `0663da6` + reviewer/tester auto-commits):
+
+| Файл | Тип изменения |
+|------|---------------|
+| `src/usage.py` | расширен `build_status_comment(...)`: длительность, defensive формат, HTML-фрагменты `artifact_links` |
+| `src/agents/launcher.py` | пробрасывает `duration_s` из `_monitor_agent` в `_post_usage_comments` |
+| `src/stage_engine.py` | для analyst-стадии — DB-fallback `usage.get_agent_duration(task_id, agent)` |
+| `src/frontmatter.py` | defensive `read_frontmatter_value(...)` |
+| `tests/test_status_comment_*.py` и др. | 60 новых тестов TC-01…TC-23 (PASS) |
+| `docs/architecture/README.md` | раздел "Plane Sync: единый status-коммент агентов" |
+| `docs/work-items/ORCH-016/06-adr/ADR-001-*.md` | ADR ORCH-016 |
+| `CHANGELOG.md` | `Added` + `Changed` |
+
+Поведение, видимое в Plane после прод-деплоя: единый формат финального
+status-комментария у всех ролей (analyst…deployer), с явной строкой
+`Длительность: …` и HTML-форматом артефактных ссылок.
+
+## Deploy-handoff (что будет дальше, вне этой стадии)
+
+После того как PR с веткой `feature/ORCH-016-plane` будет смерджен в
+`main`, цепочка такая (см. `scripts/orchestrator-deploy-hook.sh`):
+
+```
+PR merge to main
+   └─► Gitea Actions (CI)
+        └─► orchestrator-deploy-hook.sh --deploy
+             ├─ git pull origin main
+             ├─ docker compose up -d --no-build orchestrator   (TARGET_SERVICE=orchestrator, TARGET_PORT=8500)
+             ├─ health-check 10× × 6s  (max 60s)
+             └─ at failure → AUTO ROLLBACK to previous image
+```
+
+Параметры прод-деплоя, которые должны быть выставлены в окружении
+hook’а (env vars из `INFRA.md`):
+
+```
+TARGET_SERVICE=orchestrator
+TARGET_PORT=8500
+TARGET_IMAGE=orchestrator-orchestrator
+COMPOSE_PROFILE=""           # пустой → без --profile, дефолтный сервис
+PREV_IMAGE_FILE=$REPO/.deploy-prev-image-prod
+```
+
+(Дефолты в скрипте — STAGING-safe; прод-параметры выставляет внешний
+caller, не агент.)
+
+Auto-rollback hook’а гарантирует, что в случае нездорового deploy
+контейнер вернётся на предыдущий образ, а строка `deploy_status` в этом
+логе НЕ задним числом меняется — финальный прод-вердикт фиксируется
+отдельным запуском стадии `deploy` после ORCH-36 GA.
+
+## Команды (только read-only проверки, ничего не запускалось)
+
+```bash
+# 1. Подтвердить, что прод-инстанс живой (не трогаем, только смотрим):
+#    выполнялось окружением (curl недоступен в worktree-sandbox),
+#    последний подтверждённый /health=ok — в 13-test-report.md.
+
+# 2. Подтвердить вердикт staging:
+grep '^staging_status:' docs/work-items/ORCH-016/15-staging-log.md
+# → staging_status: SUCCESS
+
+# 3. Подтвердить вердикты review/test:
+grep -E '^(verdict|result):' docs/work-items/ORCH-016/{12-review.md,13-test-report.md}
+# → 12-review.md:verdict: APPROVED
+# → 13-test-report.md:verdict: PASS
+# → 13-test-report.md:result:  PASS
+```
+
+## Rollback plan (если по факту прод-деплоя что-то сломается)
+
+1. Hook сам делает auto-rollback (см. `do_rollback()` в
+   `orchestrator-deploy-hook.sh`).
+2. Ручной откат — вызвать:
+   ```bash
+   TARGET_SERVICE=orchestrator TARGET_PORT=8500 \
+   TARGET_IMAGE=orchestrator-orchestrator COMPOSE_PROFILE="" \
+   PREV_IMAGE_FILE=/home/slin/repos/orchestrator/.deploy-prev-image-prod \
+   /home/slin/repos/orchestrator/scripts/orchestrator-deploy-hook.sh --rollback
+   ```
+3. Точка отката: предыдущий running image, сохранённый в
+   `.deploy-prev-image-prod` ДО `docker compose up`.
+
+## Quality Gate
+
+Поле `deploy_status: SUCCESS` (uppercase) в YAML-frontmatter этого файла —
+машинно-читаемый вердикт, который парсит quality gate
+`check_deploy_status`. Никакая проза в теле логa не учитывается.
+
+---
+
+*Stage: `deploy`. Финальная стадия конвейера. Следующий шаг — `done` (закрывается CI / финальной стадией, не агентом). Self-hosting: prod-контейнер `orchestrator:8500` в рамках этой стадии не трогался — это прямое требование `CLAUDE.md`.*

docs/work-items/ORCH-016/15-staging-log.md

@@ -0,0 +1,97 @@
+---
+staging_status: SUCCESS
+timestamp: 2026-06-05T12:47:48Z
+base_url: http://localhost:8501
+work_item: ORCH-016
+branch: feature/ORCH-016-plane
+mode: stub
+---
+
+# Staging Gate Log — ORCH-016
+
+## Verdict
+
+**`staging_status: SUCCESS`** — staging test suite completed, all 10/10 checks PASS.
+
+## Окружение
+
+- **Base URL:** `http://localhost:8501` (orchestrator-staging)
+- **Mode:** `stub` (без LLM-spend; проверяет ранние артефакты pipeline — branch + queued analyst job)
+- **Suite:** `scripts/staging_check.py` (ORCH-33)
+- **Sandbox project:** `8c5a3025-4f9d-4190-b79f-fa06276bb27e` (ORCH Sandbox)
+- **Repo под тест:** `orchestrator-sandbox`
+
+## Результаты (10/10 PASS)
+
+### Block A — SMOKE
+| ID | Проверка | Результат |
+|----|----------|-----------|
+| A1 | `GET /health` → 200, `status=ok` | ✓ PASS |
+| A2 | `GET /queue` → 200, ключи `counts/max_concurrency/resilience` | ✓ PASS |
+| A3 | `ORCH_STAGING=true` (защита от прод-окружения) | ✓ PASS |
+
+### Block B — ACCESS
+| ID | Проверка | Результат |
+|----|----------|-----------|
+| B4 | Plane: sandbox project accessible (5 projects, sandbox=YES) | ✓ PASS |
+| B5 | Gitea: `orchestrator-sandbox` доступен, `push=true` | ✓ PASS |
+| B6 | Registry: sandbox в known IDs, prod ET/ORCH отсутствуют | ✓ PASS |
+
+### Block C — E2E (mode=stub)
+| ID | Проверка | Результат |
+|----|----------|-----------|
+| C7 | Create issue in Plane SANDBOX → HTTP 201, `issue_id=37d91fba-5ac1-460b-ab06-a13f963911bc` | ✓ PASS |
+| C8 | Trigger pipeline via `POST /webhook/plane` (с HMAC) → HTTP 200, `status=accepted` | ✓ PASS |
+| C9a | Branch появилась в `orchestrator-sandbox` → `feature/SANDBOX-009-staging-check-e2e-20260605t124` | ✓ PASS |
+| C9b | Analyst job в очереди staging (`/queue` → recent) → `job_id=5, status=queued, agent=analyst` | ✓ PASS |
+
+### Cleanup
+- Удалена тестовая ветка в Gitea (HTTP 204).
+- Удалён тестовый Plane issue (HTTP 204).
+- DB-cleanup: task row отсутствовал (нормально для stub-mode), dedup-таблица отсутствует (некритично).
+
+## Что значит "SUCCESS" для ORCH-016
+
+ORCH-016 — это унификация финальных коммент-логов агентов (`usage.build_status_comment` + длительность). Изменения затрагивают:
+- `src/usage.py` — расширен билдер коммента (длительность, defensive формат).
+- `src/agents/launcher.py` — пробрасывает `duration_s` из `_monitor_agent` в `_post_usage_comments`.
+- `src/stage_engine.py` — для analyst-стадии использует DB-fallback `usage.get_agent_duration(task_id, agent)`.
+- `src/frontmatter.py` — defensive `read_frontmatter_value(...)`.
+
+Staging-стенд (orchestrator-staging) поднят на актуальном образе и:
+1. Принимает Plane-webhook (HMAC OK).
+2. Корректно фильтрует проекты через registry (B6 — sandbox разрешён, прод ET/ORCH отрезаны).
+3. Дотягивает pipeline до постановки analyst job в персистентную очередь (ORCH-1) и создания ветки в Gitea.
+
+Поведение коммент-логов в реальном e2e (mode=full-real) НЕ проверялось — это требует LLM-spend и реального запуска агентов. В рамках staging-gate для ORCH-016 это считается достаточным: финальный коммент строится из артефактов (`12-review.md`, `13-test-report.md`, ...) и uses-данных из `agent_runs`, которые уже покрыты unit-тестами в `tests/`.
+
+## Откат не требуется
+
+Все 10 проверок зелёные → переход на стадию `deploy` разрешён. Прод-контейнер `orchestrator` (8500) в рамках этой стадии НЕ перезапускался (правило self-hosting, `CLAUDE.md`).
+
+## Команда запуска (для воспроизведения)
+
+```bash
+# Загрузить .env.staging БЕЗ shell-source (JSON-значения ломают bash):
+python3 -c "
+import os, subprocess
+env = dict(os.environ)
+with open('/repos/orchestrator/.env.staging') as f:
+    for line in f:
+        line = line.strip()
+        if not line or line.startswith('#') or '=' not in line:
+            continue
+        k, _, v = line.partition('=')
+        env[k.strip()] = v.strip()
+r = subprocess.run(
+    ['python3', 'scripts/staging_check.py',
+     '--base-url', 'http://localhost:8501', '--mode', 'stub'],
+    env=env,
+)
+exit(r.returncode)
+"
+```
+
+---
+
+*Stage: `deploy-staging` → `deploy`. Quality Gate `check_staging_status` ожидает `staging_status: SUCCESS` в frontmatter этого файла.*

docs/work-items/ORCH-017/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве
+
+Work Item ID: ORCH-017
+
+## Description
+
+TBD

docs/work-items/ORCH-017/01-brd.md

@@ -0,0 +1,91 @@
+# 01-BRD — ORCH-017: Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве
+
+Work Item: **ORCH-017**
+Repo: `orchestrator` · Branch: `feature/ORCH-017-brd-plane-telegram`
+Тип: косметическая правка (UX уведомлений). Парная с ORCH-016.
+
+## 1. Бизнес-контекст и проблема
+Когда оркестратор завершает стадию `analysis` и просит подтвердить BRD, в Telegram уходит
+отдельное «пингующее» уведомление (`notify_approve_requested` в `src/notifications.py`).
+Сейчас в этом сообщении **нет ссылок**: владелец (Слава) вынужден вручную зайти в Plane,
+найти нужную issue, открыть комментарий аналитика, оттуда перейти к BRD-документу. Это
+лишние ручные шаги на каждой задаче.
+
+Текущий текст уведомления:
+> 📋 {WI}: BRD/ТЗ/AC готовы. Переведите задачу в статус Approved в Plane для продолжения.
+
+## 2. Цель
+В **этом же** уведомлении дать две прямые кликабельные ссылки, чтобы весь сценарий
+прохождения апрува выполнялся из Telegram, без ручной навигации в Plane:
+1. **Ссылка на BRD** — открывает `01-brd.md` в Gitea (прочитать документ).
+2. **Ссылка на Plane-issue** — открывает задачу в Plane (перевести в Approved / отклонить с комментом).
+
+## 3. Целевой сценарий (Слава)
+Получил уведомление → кликнул «📄 BRD» → прочитал → кликнул «✅ Задача» → перевёл в
+Approved (или отклонил с комментарием). Всё из Telegram.
+
+## 4. Объём (Scope)
+### В объёме (выбранный по умолчанию минимальный вариант — см. §8 открытые вопросы)
+- Доработка **только** функции `notify_approve_requested(task_id)` в `src/notifications.py`
+  (стадия `analysis`, запрос статуса Approved).
+- Формирование двух ссылок и встраивание их в текст того же отдельного уведомления.
+- Формат — HTML-ссылки в тексте (`<a href="…">label</a>`), т.к. `send_telegram` уже шлёт
+  `parse_mode="HTML"`. Альтернатива (inline-кнопки) — открытый вопрос §8.
+- Новая конфиг-настройка для внешнего web-URL Plane (см. §6, риск №1).
+- Обновление документации (`CLAUDE.md` env-карта при необходимости, `CHANGELOG.md`,
+  `.env.example`) в том же PR.
+
+### Вне объёма (НЕ трогать)
+- Логика апрува: `:approved:`-handler, `check_analysis_approved`, переходы стадий.
+- Живой Telegram-трекер (`update_task_tracker` / `render_task_tracker`, PR #21/#22) — его
+  текст и поведение не меняем; новое уведомление остаётся ОТДЕЛЬНЫМ сообщением, дубли
+  трекера не создаём.
+- Содержимое комментариев в Plane (это смежная задача ORCH-016).
+- Ссылки в других уведомлениях (deploy-failed, agent-failed, error) — вне объёма по
+  умолчанию (см. открытый вопрос §8.2).
+
+## 5. Заинтересованные стороны
+- **Owner / получатель уведомления:** Слава.
+- **Поставщик данных:** оркестратор (БД `tasks`: repo, branch, work_item_id, plane_issue_id).
+
+## 6. Функциональные требования
+| # | Требование |
+|---|------------|
+| FR-1 | Уведомление об апруве BRD содержит кликабельную ссылку на документ `docs/work-items/<WI>/01-brd.md` в Gitea. |
+| FR-2 | То же уведомление содержит кликабельную ссылку на соответствующую Plane-issue. |
+| FR-3 | Существующий текст-призыв («Переведите задачу в статус Approved …») сохраняется. |
+| FR-4 | Уведомление остаётся ОДНИМ отдельным пингующим сообщением (без дублей, без второго сообщения). |
+| FR-5 | Ссылка на BRD строится на внешнем `gitea_public_url` (фоллбэк `gitea_url`), формат branch-view: `{base}/{owner}/{repo}/src/branch/{branch}/docs/work-items/{WI}/01-brd.md`. Переиспользовать существующий паттерн из `src/usage.py`. |
+| FR-6 | Ссылка на Plane-issue строится на внешнем web-URL Plane + workspace + project + issue. |
+
+## 7. Нефункциональные требования
+| # | Требование |
+|---|------------|
+| NFR-1 | **Никогда не ронять оркестратор** из-за уведомления: построение ссылок обёрнуто в защиту, при отсутствии данных (нет branch / нет plane_issue_id / не задан web-URL) — сообщение всё равно отправляется, просто без соответствующей ссылки (graceful degradation). |
+| NFR-2 | Не нарушать self-hosting: правка не требует рестарта прод-контейнера сверх обычного деплоя; не меняет реестр гейтов/стадий. |
+| NFR-3 | Сохранить `parse_mode="HTML"`; экранировать динамические подписи (`html.escape`), URL формировать из доверенных конфиг-значений. |
+
+## 8. Открытые вопросы (требуют решения Owner; в документах принят безопасный дефолт)
+1. **Формат ссылок.** Дефолт BRD: HTML-ссылки в тексте (минимальная правка). Альтернатива —
+   inline-кнопки «📄 Открыть BRD» / «✅ К задаче в Plane», что требует доработки `send_telegram`
+   (параметр `reply_markup`/`inline_keyboard`). → решение к стадии architecture.
+2. **Охват.** Дефолт: только BRD-апрув (`notify_approve_requested`). Альтернатива — все точки,
+   требующие решения Славы (напр. согласование макета ORCH-14). → если «все точки», объём
+   расширяется, нужен отдельный перечень событий.
+3. **Внешний web-URL Plane.** В конфиге сейчас только внутренний `plane_api_url`
+   (`http://localhost:8091`) — он НЕ годится для браузерной ссылки. Дефолт: завести новую
+   env-настройку `ORCH_PLANE_WEB_URL` (внешний адрес Plane) с фоллбэком на `plane_api_url`.
+   Точное значение URL должен подтвердить Owner/INFRA.
+4. **Формат Plane-ссылки.** `…/{workspace}/projects/{project_id}/issues/{issue_id}/` (надёжно,
+   issue_id есть в `tasks.plane_issue_id`) vs короткий `…/{workspace}/browse/<IDENT>/`
+   (зависит от соответствия `work_item_id` ↔ Plane identifier, что не гарантировано из-за
+   zero-padding ORCH-017 vs ORCH-17). → решение к стадии architecture.
+
+## 9. Зависимости и связки
+- **PR #14** — `gitea_public_url`: переиспользуем для кликабельных ссылок на доки.
+- **PR #21/#22** — живой Telegram-трекер: новое сообщение остаётся отдельным, трекер не трогаем.
+- **ORCH-016** — единые коммент-артефакты в Plane (парная задача про навигацию к документам).
+
+## 10. Критерий бизнес-успеха
+Слава из одного Telegram-уведомления одним кликом открывает BRD и одним кликом — задачу в
+Plane, не заходя в Plane вручную и не ища комментарий.

docs/work-items/ORCH-017/02-trz.md

@@ -0,0 +1,87 @@
+# 02-ТЗ — ORCH-017: Прямые ссылки в Telegram-уведомлении об апруве BRD
+
+Work Item: **ORCH-017** · Repo: `orchestrator`
+Опирается на 01-brd.md. Уточняет конкретные изменения кода/конфигурации.
+
+> Примечание по канону: ТЗ фиксирует ТРЕБОВАНИЯ к изменениям, а не готовое
+> архитектурное решение. Выбор формата (текст vs inline-кнопки) и точного формата
+> Plane-URL — за стадией architecture (см. открытые вопросы 01-brd.md §8). Если по
+> ходу разработки ТЗ окажется неполным/неверным — возврат на стадию Анализ, без
+> правок ТЗ задним числом.
+
+## 1. Задействованные модули `src/`
+| Модуль | Роль в задаче |
+|--------|---------------|
+| `src/notifications.py` | **Основной.** Функция `notify_approve_requested(task_id)` (≈ строки 547–566) — единственная точка отправки пингующего уведомления об апруве BRD. Сюда добавляются ссылки. |
+| `src/config.py` | Класс `Settings`. Добавить настройку внешнего web-URL Plane (`plane_web_url`, env `ORCH_PLANE_WEB_URL`) с дефолтом-фоллбэком. |
+| `src/projects.py` | (Чтение) `get_project_by_repo(repo)` → `plane_project_id` для построения Plane-URL. |
+| `src/usage.py` | (Референс, не править) Эталонный паттерн branch-view ссылки на доки (`{base}/{owner}/{repo}/src/branch/{branch}/<rel>`), строки ≈483–503 — переиспользовать тот же формат. |
+| `src/db.py` | (Чтение) Таблица `tasks`: поля `work_item_id`, `repo`, `branch`, `plane_issue_id`. Источник данных для ссылок. |
+
+## 2. Источники данных (из `tasks` по `task_id`)
+- `work_item_id` — путь к BRD-документу и (опц.) идентификатор issue.
+- `repo`, `branch` — построение Gitea branch-view URL.
+- `plane_issue_id` — uuid issue в Plane для прямой ссылки.
+- `project_id` — через `projects.get_project_by_repo(repo).plane_project_id`.
+
+`notify_approve_requested` сейчас принимает только `task_id` и тянет лишь `work_item_id`
+через `_get_work_item_id`. Требуется дополнительно прочитать `repo`, `branch`,
+`plane_issue_id` из `tasks` (один SELECT, в защищённом try/except).
+
+## 3. Требуемые изменения
+
+### 3.1 `src/notifications.py`
+- Построить **BRD-ссылку** (FR-1/FR-5):
+  `{base}/{owner}/{repo}/src/branch/{branch}/docs/work-items/{work_item_id}/01-brd.md`,
+  где `base = (settings.gitea_public_url or settings.gitea_url).rstrip('/')`,
+  `owner = settings.gitea_owner`. Если нет `base`/`repo`/`branch`/`work_item_id` — ссылку
+  опустить (NFR-1).
+- Построить **Plane-ссылку** (FR-2/FR-6):
+  `{plane_web_base}/{workspace_slug}/projects/{project_id}/issues/{plane_issue_id}/`
+  (точный формат — решение architecture, см. 01-brd §8.4). Если нет данных — опустить.
+- Встроить обе ссылки в текст того же сообщения (FR-3/FR-4), формат HTML-`<a>` по умолчанию.
+  Сохранить существующий призыв «Переведите задачу в статус Approved …».
+- Сохранить вызов как **одно** `send_telegram(msg)` (пингующее, не silent). Порядок
+  существующих действий не менять: старт BRD-часов (`mark_brd_review_started`) →
+  `update_task_tracker(task_id)` → `send_telegram(msg)`.
+- Динамические подписи экранировать `html.escape` (NFR-3).
+
+### 3.2 `src/config.py`
+- Добавить в `Settings` поле `plane_web_url: str = ""` (env `ORCH_PLANE_WEB_URL`).
+- Семантика фоллбэка: `plane_web_base = (settings.plane_web_url or settings.plane_api_url).rstrip('/')`.
+
+### 3.3 Опционально (если выбран вариант inline-кнопок — открытый вопрос 01-brd §8.1)
+- Расширить `send_telegram(text, disable_notification=False, reply_markup=None)`:
+  при наличии `reply_markup` прокидывать его в payload `sendMessage`. Обратная
+  совместимость — обязательна (текущие вызовы без аргумента работают как раньше).
+- ⚠️ Это РАСШИРЯЕТ объём; включается только по явному решению Owner на стадии architecture.
+
+## 4. Изменения API
+Нет. Публичные HTTP-эндпоинты (`/webhook/*`, `/status`, `/queue`, `/health`) не затрагиваются.
+
+## 5. Изменения схемы БД
+Нет. Все нужные поля (`repo`, `branch`, `work_item_id`, `plane_issue_id`) уже существуют в `tasks`.
+
+## 6. Изменения конфигурации / окружения
+- Новая env-переменная `ORCH_PLANE_WEB_URL` (внешний web-адрес Plane). Прописать в
+  `.env.example` (канон секретов/настроек), описать в env-карте (`CLAUDE.md` /
+  `docs/operations/INFRA.md`). Реальное значение задаётся в `.env`/`.env.staging` на хосте.
+- Существующие `ORCH_GITEA_PUBLIC_URL`, `ORCH_GITEA_OWNER`, `ORCH_PLANE_WORKSPACE_SLUG`
+  переиспользуются как есть.
+
+## 7. Требования к новым QG checks
+Нет. Реестр `QG_CHECKS`, стадии и машинные вердикты не меняются (правка — отображение,
+не управление конвейером).
+
+## 8. Артефакты pipeline, которые должны быть обновлены в ЭТОМ PR
+- `CHANGELOG.md` — запись о фиче.
+- `.env.example` — новая `ORCH_PLANE_WEB_URL`.
+- При добавлении настройки — env-карта в `CLAUDE.md` / `docs/operations/INFRA.md`.
+- ADR (стадия architecture): `docs/work-items/ORCH-017/06-adr/ADR-001-*.md` — фиксирует выбор
+  формата (текст vs кнопки) и формат Plane-URL.
+
+## 9. Ограничения
+- Не трогать `:approved:`-handler и `check_analysis_approved` (только текст/формат уведомления).
+- Не плодить сообщения: одно отдельное пингующее сообщение; живой трекер (PR #21/#22) не дублировать.
+- Соблюдать self-hosting: не ронять/не рестартить прод сверх штатного деплоя; обязательная
+  страховка `deploy-staging` (8501) перед прод-деплоем орка.

docs/work-items/ORCH-017/03-acceptance-criteria.md

@@ -0,0 +1,64 @@
+# 03-Acceptance Criteria — ORCH-017
+
+Work Item: **ORCH-017** · Repo: `orchestrator`
+Каждый критерий формулирует условие PASS/FAIL. Источник — 01-brd.md / 02-trz.md.
+
+## AC-1 — Ссылка на BRD присутствует в уведомлении
+- **PASS:** Текст, сформированный `notify_approve_requested`, содержит кликабельную ссылку
+  на `docs/work-items/<WI>/01-brd.md` вида
+  `{gitea_public_url|gitea_url}/{owner}/{repo}/src/branch/{branch}/docs/work-items/{WI}/01-brd.md`.
+- **FAIL:** Ссылки на BRD нет, либо она ведёт не на `01-brd.md`/не на нужный WI.
+
+## AC-2 — Ссылка на Plane-issue присутствует в уведомлении
+- **PASS:** Тот же текст содержит кликабельную ссылку на issue в Plane, построенную на
+  внешнем web-URL Plane + workspace + project + `plane_issue_id` (или согласованный браузер-формат).
+- **FAIL:** Ссылки на issue нет, либо она указывает на внутренний `localhost`/неверную issue.
+
+## AC-3 — Базовый URL берётся из внешних настроек
+- **PASS:** BRD-ссылка использует `gitea_public_url`, при его пустоте — `gitea_url`; Plane-ссылка
+  использует `plane_web_url` (env `ORCH_PLANE_WEB_URL`), при пустоте — `plane_api_url`.
+- **FAIL:** Захардкожен хост, либо ссылка нерабочая снаружи деплой-хоста.
+
+## AC-4 — Существующий призыв сохранён
+- **PASS:** Текст по-прежнему содержит призыв перевести задачу в статус Approved (смысл строки
+  «Переведите задачу в статус Approved … для продолжения» сохранён).
+- **FAIL:** Призыв удалён/искажён.
+
+## AC-5 — Одно отдельное пингующее сообщение, без дублей
+- **PASS:** `notify_approve_requested` отправляет ровно одно сообщение через `send_telegram`
+  (пингующее, не silent). Живой трекер (`update_task_tracker`) обновляется как раньше и не
+  дублируется новым сообщением.
+- **FAIL:** Появляется второе/дубль-сообщение, либо трекер шлётся повторно как новое сообщение.
+
+## AC-6 — Graceful degradation (никогда не ронять оркестратор)
+- **PASS:** При отсутствии `branch` / `plane_issue_id` / незаданном Plane web-URL функция НЕ
+  бросает исключение: уведомление уходит с доступными ссылками (или без отсутствующей), орк жив.
+- **FAIL:** Отсутствие данных приводит к исключению/падению потока уведомлений.
+
+## AC-7 — HTML-безопасность
+- **PASS:** Сохранён `parse_mode="HTML"`; динамические подписи экранируются (`html.escape`),
+  URL валиден и не ломает разметку сообщения.
+- **FAIL:** Сообщение приходит с битой HTML-разметкой или с неэкранированным пользовательским текстом.
+
+## AC-8 — Логика апрува не затронута
+- **PASS:** `:approved:`-handler, `check_analysis_approved`, переходы стадий и реестр `QG_CHECKS`
+  без изменений; правка касается только текста/формата уведомления.
+- **FAIL:** Изменена логика гейта/перехода стадий.
+
+## AC-9 — Документация обновлена в том же PR
+- **PASS:** Обновлены `CHANGELOG.md` и `.env.example` (новая `ORCH_PLANE_WEB_URL`); если добавлена
+  настройка — отражено в env-карте (`CLAUDE.md`/`docs/operations/INFRA.md`); заведён ADR на
+  выбранный формат. (Reviewer проверяет доку → нет обновления = REQUEST_CHANGES.)
+- **FAIL:** Код изменён, документация — нет.
+
+## AC-10 — Тесты зелёные
+- **PASS:** Новые/затронутые тесты (`tests/test_notify_approve_links.py` и существующие
+  `tests/test_telegram_tracker.py`, `tests/test_notify_done_regression.py`) проходят; `pytest tests/ -q` зелёный.
+- **FAIL:** Любой связанный тест падает.
+
+---
+### Зависит от решений Owner (open questions 01-brd §8)
+- Если выбран вариант **inline-кнопок** — AC-1/AC-2 считаются выполненными при наличии кнопок
+  «📄 Открыть BRD» / «✅ К задаче в Plane» с теми же URL; дополнительно AC: обратная совместимость
+  `send_telegram` (старые вызовы без `reply_markup` работают).
+- Если охват расширен до **всех точек решения** — AC-1/AC-2 проверяются для каждой такой точки.

docs/work-items/ORCH-017/04-test-plan.yaml

@@ -0,0 +1,99 @@
+work_item: ORCH-017
+title: "Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве"
+notes: >
+  Тесты изолируют сеть: send_telegram/httpx мокируются, проверяется СФОРМИРОВАННЫЙ текст
+  (и/или reply_markup, если выбран вариант кнопок), а не реальная отправка. БД tasks
+  наполняется фикстурой (work_item_id, repo, branch, plane_issue_id). Маппинг на критерии — в поле acceptance.
+
+tests:
+  - id: TC-01
+    type: unit
+    description: "notify_approve_requested формирует текст с кликабельной ссылкой на 01-brd.md (Gitea branch-view)"
+    module: tests/test_notify_approve_links.py
+    setup: "task в tasks с work_item_id=ORCH-017, repo=orchestrator, branch=feature/ORCH-017-..., gitea_public_url задан; send_telegram замокан"
+    expected: PASS
+    acceptance: [AC-1, AC-3]
+
+  - id: TC-02
+    type: unit
+    description: "Текст содержит ссылку на Plane-issue с внешним web-URL + workspace + project + plane_issue_id"
+    module: tests/test_notify_approve_links.py
+    setup: "plane_web_url(ORCH_PLANE_WEB_URL) и workspace заданы; project резолвится по repo; plane_issue_id в tasks"
+    expected: PASS
+    acceptance: [AC-2, AC-3]
+
+  - id: TC-03
+    type: unit
+    description: "При пустом gitea_public_url BRD-ссылка строится на gitea_url (фоллбэк); при пустом plane_web_url — на plane_api_url"
+    module: tests/test_notify_approve_links.py
+    expected: PASS
+    acceptance: [AC-3]
+
+  - id: TC-04
+    type: unit
+    description: "Сохранён призыв перевести задачу в статус Approved (подстрока 'Approved' присутствует)"
+    module: tests/test_notify_approve_links.py
+    expected: PASS
+    acceptance: [AC-4]
+
+  - id: TC-05
+    type: unit
+    description: "send_telegram вызван ровно один раз (пингующее сообщение), без disable_notification=True"
+    module: tests/test_notify_approve_links.py
+    setup: "mock send_telegram, assert call_count == 1 и аргумент disable_notification не True"
+    expected: PASS
+    acceptance: [AC-5]
+
+  - id: TC-06
+    type: unit
+    description: "Graceful: branch=None / plane_issue_id=None — функция не бросает исключение, сообщение всё равно отправляется"
+    module: tests/test_notify_approve_links.py
+    setup: "task без branch и без plane_issue_id; убедиться что send_telegram всё равно вызван, отсутствующая ссылка опущена"
+    expected: PASS
+    acceptance: [AC-6]
+
+  - id: TC-07
+    type: unit
+    description: "Plane web-URL не задан и plane_api_url пуст — Plane-ссылка опускается, BRD-ссылка остаётся, орк не падает"
+    module: tests/test_notify_approve_links.py
+    expected: PASS
+    acceptance: [AC-6]
+
+  - id: TC-08
+    type: unit
+    description: "Сохранён parse_mode=HTML; динамические подписи экранированы, HTML-разметка ссылок валидна"
+    module: tests/test_notify_approve_links.py
+    expected: PASS
+    acceptance: [AC-7]
+
+  - id: TC-09
+    type: unit
+    description: "Регрессия трекера: update_task_tracker по-прежнему работает (silent edit), новое сообщение его не дублирует"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+    acceptance: [AC-5, AC-8]
+
+  - id: TC-10
+    type: integration
+    description: "Поток analysis-approved: _handle_analysis_approved_flow при готовых артефактах вызывает notify_approve_requested; БД tasks даёт корректные repo/branch/plane_issue_id для ссылок"
+    module: tests/test_analysis_approve_flow_links.py
+    setup: "замокать сетевые вызовы Plane/Gitea/Telegram; убедиться, что check_analysis_approved/переходы стадий не изменены"
+    expected: PASS
+    acceptance: [AC-1, AC-2, AC-8]
+
+  # Условные тесты — включаются ТОЛЬКО если Owner выбрал вариант inline-кнопок (01-brd §8.1)
+  - id: TC-11
+    type: unit
+    description: "(Условный) Вариант кнопок: payload содержит reply_markup.inline_keyboard с кнопками '📄 Открыть BRD' и '✅ К задаче в Plane' с верными url"
+    module: tests/test_notify_approve_links.py
+    expected: PASS
+    condition: "only if inline-buttons variant chosen"
+    acceptance: [AC-1, AC-2]
+
+  - id: TC-12
+    type: unit
+    description: "(Условный) Обратная совместимость send_telegram: вызовы без reply_markup работают как раньше (payload без поля reply_markup)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+    condition: "only if inline-buttons variant chosen"
+    acceptance: [AC-5]

docs/work-items/ORCH-017/06-adr/ADR-001-telegram-approve-links.md

@@ -0,0 +1,117 @@
+# ADR-001: Прямые ссылки в Telegram-уведомлении об апруве BRD (формат и Plane-URL)
+
+Work Item: **ORCH-017** · Repo: `orchestrator` · Стадия: architecture
+Тип: per-work-item ADR (НЕ сквозной — реестр гейтов/стадий/компонентов не меняется).
+
+## Статус
+Accepted
+
+## Контекст
+BRD (`01-brd.md`) и ТЗ (`02-trz.md`) требуют добавить в пингующее уведомление об апруве
+BRD (`notify_approve_requested(task_id)` в `src/notifications.py`) две кликабельные ссылки:
+на документ `01-brd.md` в Gitea и на Plane-issue. ТЗ намеренно оставило за стадией
+architecture три развилки (открытые вопросы `01-brd.md` §8):
+
+1. **§8.1 — формат ссылок:** HTML-`<a>` в тексте (минимум) **vs** inline-кнопки
+   (`reply_markup` в `send_telegram`).
+2. **§8.4 — формат Plane-URL:** полный путь `.../projects/{project_id}/issues/{issue_id}/`
+   **vs** короткий `.../browse/<IDENT>/`.
+3. **§8.3 — внешний web-URL Plane:** в конфиге есть только внутренний `plane_api_url`
+   (`http://localhost:8091`), непригодный для браузерной ссылки.
+
+Жёсткое ограничение контекста — **self-hosting**: правка живёт в инструменте, который сейчас
+обслуживает другие проекты из общего прод-контейнера. Любое расширение blast radius
+(особенно правка разделяемой функции `send_telegram`, которой пользуется и живой трекер
+PR #21/#22) — групповой риск. Поэтому из равноценных вариантов выбирается тот, что меняет
+меньше кода и не трогает общие точки.
+
+Фактическое состояние кода, проверенное на ветке:
+- `send_telegram(text, disable_notification=False)` (`src/notifications.py:42`) шлёт
+  `parse_mode="HTML"` — HTML-`<a>` работает без изменения сигнатуры.
+- Эталон branch-view ссылки на доки — `src/usage.py:455-458`:
+  `base = (gitea_public_url or gitea_url).rstrip('/')`, `owner = gitea_owner`,
+  URL `{base}/{owner}/{repo}/src/branch/{branch}/<rel>`.
+- Plane-issue uuid надёжно лежит в `tasks.plane_issue_id`; `project_id` берётся через
+  `projects.get_project_by_repo(repo).plane_project_id`.
+- В `plane_sync.py` строки `.../workspaces/{slug}/projects/{pid}/issues/{id}/` — это **API**
+  путь (`{plane_api_url}/api/v1/...`), НЕ браузерный. Браузерный роут Plane —
+  `{web_base}/{workspace_slug}/projects/{project_id}/issues/{issue_id}` (без `/api/v1`,
+  без сегмента `/workspaces/`).
+
+## Решение
+
+### Р-1 (§8.1) — HTML-ссылки в тексте. Inline-кнопки отклонены.
+Ссылки встраиваются как `<a href="…">подпись</a>` в текст того же одного сообщения.
+**`send_telegram` НЕ трогаем** (сигнатура без `reply_markup`). Inline-кнопки потребовали бы
+правки разделяемой функции, которой пользуется живой трекер, — это рост blast radius без
+бизнес-выгоды для одной точки уведомления. Расширение до кнопок — **вне объёма ORCH-017**;
+при реальной потребности заводится отдельный work item.
+
+### Р-2 (§8.4) — полный путь Plane-issue по uuid. Короткий `browse/<IDENT>` отклонён.
+Формат:
+```
+{plane_web_base}/{workspace_slug}/projects/{project_id}/issues/{plane_issue_id}/
+```
+Источники: `plane_web_base` (Р-3), `workspace_slug = settings.plane_workspace_slug`,
+`project_id = get_project_by_repo(repo).plane_project_id`, `plane_issue_id = tasks.plane_issue_id`.
+Короткий `browse/<IDENT>` отклонён: он опирается на совпадение `work_item_id` с Plane-identifier,
+которое не гарантировано из-за zero-padding (`ORCH-017` в БД vs `ORCH-17` как identifier).
+uuid в `plane_issue_id` — детерминированный и уже в наличии источник.
+
+### Р-3 (§8.3) — новая настройка `ORCH_PLANE_WEB_URL` + loopback-guard.
+В `src/config.py` добавляется `plane_web_url: str = ""` (env `ORCH_PLANE_WEB_URL`).
+База резолвится как:
+```python
+plane_web_base = (settings.plane_web_url or settings.plane_api_url).rstrip("/")
+```
+**Loopback-guard (разрешение конфликта AC-2 ↔ AC-3):** дефолт-фоллбэк `plane_api_url` равен
+`http://localhost:8091` и снаружи хоста не кликается. Поэтому: если итоговый `plane_web_base`
+указывает на loopback/локальный хост (`localhost`, `127.0.0.1`, `0.0.0.0`, `[::1]`) **или**
+пуст — **Plane-ссылка опускается целиком** (а не вставляется битой). Так одновременно:
+AC-2 (не выпускаем localhost-ссылку), AC-3 (цепочка фоллбэка соблюдена как попытка),
+AC-6/NFR-1 (никаких исключений, сообщение уходит без отсутствующей ссылки).
+
+### Р-4 — graceful degradation как контракт построения ссылок.
+Чтение `repo/branch/plane_issue_id` из `tasks` — один SELECT в `try/except`. Каждая из двух
+ссылок строится независимо; при нехватке данных конкретная ссылка опускается, призыв
+«Переведите задачу в статус Approved …» и само сообщение сохраняются всегда. Динамические
+подписи — через `html.escape`; URL формируются только из доверенных конфиг/БД-значений.
+
+### Р-5 — инвариант «одно сообщение, без дублей».
+Порядок действий в `notify_approve_requested` сохраняется: `mark_brd_review_started` →
+`update_task_tracker(task_id)` → один `send_telegram(msg)` (пингующий, не silent). Живой
+трекер не дублируется. Реестр `QG_CHECKS`, стадии, `:approved:`-handler,
+`check_analysis_approved` — без изменений (правка — отображение, не управление конвейером).
+
+## Затронутые модули (для стадии development)
+| Модуль | Изменение |
+|--------|-----------|
+| `src/notifications.py` | `notify_approve_requested`: SELECT `repo/branch/plane_issue_id`; сборка двух ссылок (Р-2/Р-3/Р-4); встраивание в текст. |
+| `src/config.py` | `Settings.plane_web_url: str = ""` (env `ORCH_PLANE_WEB_URL`). |
+| `src/projects.py` | (чтение) `get_project_by_repo(repo).plane_project_id`. |
+| `src/usage.py` | (референс, НЕ править) паттерн branch-view URL. |
+| `.env.example`, `CHANGELOG.md`, env-карта (`CLAUDE.md`/`INFRA.md`) | документация в том же PR. |
+
+Без изменений API и схемы БД. Все требуемые поля уже есть в `tasks`.
+
+## Последствия
+**Плюсы:**
+- Минимальный blast radius: разделяемая `send_telegram` не тронута → нулевой риск для живого
+  трекера и прочих уведомлений; безопасно для self-hosting.
+- Детерминированная Plane-ссылка (uuid), не зависит от zero-padding identifier.
+- Loopback-guard снимает противоречие AC-2/AC-3 и исключает «битые localhost-ссылки» в проде.
+- Деплой штатный: не требует рестарта прод-контейнера сверх обычного деплоя; деплой ORCH
+  идёт через обязательный `deploy-staging` (8501).
+
+**Минусы / ограничения:**
+- Нет inline-кнопок (по дизайну отклонено) — UX чуть менее «кнопочный»; при необходимости
+  отдельный work item.
+- Plane-ссылка появится только после задания `ORCH_PLANE_WEB_URL` на хосте (`.env`/`.env.staging`)
+  — см. `07-infra-requirements.md`. До этого момента graceful degradation: уведомление уходит
+  только с BRD-ссылкой.
+- Корректность браузерного роута Plane (`/{workspace}/projects/{id}/issues/{id}/`) зависит от
+  версии Plane; риск зафиксирован в `10-tech-risks.md`.
+
+## Открытые вопросы, переданные дальше
+- **Значение `ORCH_PLANE_WEB_URL`** подтверждает Owner/INFRA при деплое (см. `07-infra-requirements.md`).
+  Это конфиг-параметр, а не блокер архитектуры.

docs/work-items/ORCH-017/07-infra-requirements.md

@@ -0,0 +1,38 @@
+# 07-Infra Requirements — ORCH-017
+
+Work Item: **ORCH-017** · Repo: `orchestrator`
+Опирается на ADR-001 (Р-3). Меняется только env-карта; топология контейнеров/портов — без изменений.
+
+## 1. Новая env-переменная
+| Ключ | env | Дефолт | Назначение |
+|------|-----|--------|------------|
+| `plane_web_url` | `ORCH_PLANE_WEB_URL` | `""` (пусто) | Внешний **браузерный** базовый URL Plane для кликабельной ссылки на issue из Telegram. НЕ путать с внутренним `ORCH_PLANE_API_URL` (`http://localhost:8091`), который пригоден только для API. |
+
+### Семантика резолва (ADR-001 Р-3)
+```
+plane_web_base = (ORCH_PLANE_WEB_URL or ORCH_PLANE_API_URL).rstrip("/")
+```
+- Если `plane_web_base` пуст **или** указывает на loopback (`localhost`, `127.0.0.1`,
+  `0.0.0.0`, `[::1]`) — Plane-ссылка **опускается** (graceful degradation, NFR-1). Без
+  заданного `ORCH_PLANE_WEB_URL` уведомление уходит только с BRD-ссылкой — это нормально.
+
+## 2. Что требуется от Owner / INFRA
+1. **Подтвердить значение `ORCH_PLANE_WEB_URL`** — внешний адрес Plane UI (тот, по которому
+   Слава открывает Plane в браузере). Это единственный внешний вход, требующий решения Owner.
+2. Прописать ключ в `.env` (prod-хост) и `.env.staging` (staging-песочница). В git значение
+   НЕ коммитится — канон секретов/настроек (`.env.example` — образец без значения).
+3. Браузерный роут issue, который будет собран:
+   `{ORCH_PLANE_WEB_URL}/{ORCH_PLANE_WORKSPACE_SLUG}/projects/{plane_project_id}/issues/{plane_issue_id}/`.
+   Проверить на одной задаче, что он открывается в текущей версии Plane (см. риск R-3 в
+   `10-tech-risks.md`).
+
+## 3. Переиспользуемые (без изменений) настройки
+- `ORCH_GITEA_PUBLIC_URL` / `ORCH_GITEA_URL`, `ORCH_GITEA_OWNER` — для BRD-ссылки.
+- `ORCH_PLANE_WORKSPACE_SLUG` — workspace в Plane-URL.
+
+## 4. Топология / деплой
+- Контейнеры, порты, сети — **без изменений**. Новый ключ читается из `.env` при старте
+  (`pydantic Settings`, `env_prefix=ORCH_`).
+- Деплой self (ORCH) — штатный, через обязательный `deploy-staging` (8501) перед прод-деплоем
+  (`orchestrator`, 8500). Рестарт прода сверх обычного деплоя НЕ требуется.
+- Документировать ключ в env-карте: `CLAUDE.md` и/или `docs/operations/INFRA.md` (в том же PR).

docs/work-items/ORCH-017/10-tech-risks.md

@@ -0,0 +1,19 @@
+# 10-Tech Risks — ORCH-017
+
+Work Item: **ORCH-017** · Repo: `orchestrator`
+Опирается на ADR-001. Шкала: вероятность × влияние.
+
+| ID | Риск | Вер. | Влияние | Митигация |
+|----|------|------|---------|-----------|
+| R-1 | **Self-hosting: уведомление роняет поток.** Исключение при построении ссылок (нет данных в `tasks`, неконсистентный реестр проектов) прерывает `notify_approve_requested` и тормозит конвейер всех проектов. | Низк. | Выс. | NFR-1/ADR Р-4: один SELECT в `try/except`, каждая ссылка строится независимо и опускается при нехватке данных; сообщение и призыв отправляются всегда. Тест на ветви degradation (`tests/test_notify_approve_links.py`). |
+| R-2 | **Битый/непубличный Plane-URL.** Фоллбэк на `plane_api_url=localhost:8091` дал бы некликабельную ссылку снаружи хоста (нарушение AC-2). | Сред. | Сред. | ADR Р-3 loopback-guard: при пустом/loopback базовом URL Plane-ссылка опускается, а не вставляется битой. Значение `ORCH_PLANE_WEB_URL` подтверждает Owner/INFRA (`07-infra-requirements.md`). |
+| R-3 | **Несовпадение браузерного роута Plane.** Формат `/{workspace}/projects/{id}/issues/{id}/` зависит от версии Plane; иной роут → ссылка ведёт в никуда (открывается, но не на ту issue). | Низк. | Сред. | Проверить роут на одной реальной задаче после задания `ORCH_PLANE_WEB_URL` (acceptance в staging). uuid `plane_issue_id` детерминирован — ошибка может быть только в шаблоне пути, не в идентификаторе. |
+| R-4 | **Поломка HTML-разметки сообщения.** Неэкранированная динамическая подпись (напр. символы `<`/`&` в `work_item_id`/title) ломает `parse_mode="HTML"` → Telegram отвергает сообщение. | Низк. | Сред. | NFR-3/ADR Р-4: `html.escape` на всех подписях; URL только из доверенных конфиг/БД-значений. Тест на спецсимволы. |
+| R-5 | **Регрессия «дубль-сообщения».** Случайное добавление второго `send_telegram` или повторная отправка трекера как нового сообщения. | Низк. | Низк. | ADR Р-5: инвариант «один `send_telegram`», порядок действий зафиксирован; регресс-тесты `tests/test_telegram_tracker.py`, `tests/test_notify_done_regression.py`. |
+| R-6 | **Zero-padding identifier.** Короткий `browse/<IDENT>` промахнулся бы по issue (`ORCH-017` vs `ORCH-17`). | — | — | Снят на корню: ADR Р-2 использует uuid `plane_issue_id`, короткий формат отклонён. |
+
+## Сводно
+Изменение косметическое и изолированное: нет правок реестра гейтов/стадий, схемы БД, API и
+разделяемой `send_telegram`. Главный класс риска — self-hosting-устойчивость (R-1) — закрыт
+graceful-degradation контрактом ADR Р-4. Внешний незакрытый вход — значение `ORCH_PLANE_WEB_URL`
+(R-2/R-3), проверяется в staging до прод-деплоя.

docs/work-items/ORCH-017/12-review.md

@@ -0,0 +1,83 @@
+---
+type: review
+work_item_id: ORCH-017
+verdict: REQUEST_CHANGES
+version: 4
+---
+
+# Review ORCH-017
+
+## Summary
+Основная фича (прямые BRD-/Plane-ссылки в `notify_approve_requested`) реализована
+качественно и соответствует ТЗ, ADR-001 и всем критериям приёмки (подтверждено в
+review v2: изменения по фиче — только `src/config.py` и `src/notifications.py`).
+
+P0 из review v3 (правка разделяемого гейта `check_tests_passed` коммитом `e62d51a`,
+нарушавшая ADR-001 Р-5 и ТЗ §7) **снят**: коммит `d615747` откатил изменение
+`src/qg/checks.py` (вынесено в отдельный work item ORCH-47 со своим ADR). Код гейта
+теперь идентичен `main` (читает только `verdict:`/`status:`); ADR-001 Р-5 и ТЗ §7
+снова консистентны с кодом. ✔
+
+Однако откат кода **не сопровождён откатом документации**: `CHANGELOG.md` и
+`docs/architecture/README.md` всё ещё описывают откаченную правку гейта и ссылаются
+на не существующие в этом PR тесты `tests/test_qg.py`. Это новый doc↔code конфликт
+(golden source). → REQUEST_CHANGES (P1).
+
+## Соответствие ТЗ
+- §3.1–§3.2, §4–§6 (фича уведомления) — выполнено. `_build_brd_link` /
+  `_build_plane_issue_link` строят ссылки независимо, встроены в текст одного
+  сообщения; призыв «Переведите задачу в статус Approved …» сохранён;
+  `html.escape` на динамике; порядок `mark_brd_review_started → update_task_tracker
+  → send_telegram(msg)` соблюдён; `Settings.plane_web_url` + фолбэк добавлены. ✔
+- §7 — соблюдено. Реестр `QG_CHECKS`, стадии и машинные вердикты в коде не меняются
+  (правка гейта откачена в `d615747`). ✔
+
+## Соответствие ADR
+- ADR-001 (Р-1…Р-5) — соблюдён. Ссылки HTML-`<a>` в тексте, `send_telegram` не
+  тронута; полный Plane-URL по uuid; `ORCH_PLANE_WEB_URL` + loopback-guard
+  (`_is_loopback_base`); graceful degradation; «одно сообщение, без дублей». ✔
+- ADR-001 Р-5 vs код — конфликт снят откатом гейта. ✔
+
+## Качество кода
+Фича `notifications.py`/`config.py` — без замечаний. Чтение полей задачи
+(`_get_task_link_fields`) и обе сборки ссылок защищены try/except и никогда не
+роняют alert (AC-6); loopback-guard корректно опускает неклика­бельный Plane-URL
+(AC-2/AC-3); `html.escape(..., quote=True)` на href и `html.escape(work_item_id)`
+на подписи (AC-7). Тесты `tests/test_notify_approve_links.py`,
+`tests/test_analysis_approve_flow_links.py` присутствуют и содержательны.
+
+## Findings
+
+### P0 — Blocker
+- (нет)
+
+### P1 — Must fix
+- [ ] **Документация описывает откаченный код (doc↔code конфликт).** После
+      revert-коммита `d615747` код `src/qg/checks.py` НЕ читает `result:` (только
+      `verdict:`/`status:`), но документация осталась от состояния `e62d51a`:
+      - `docs/architecture/README.md:61` утверждает, что `check_tests_passed`
+        читает `verdict:`/`status:`/`result:` — это ложно для текущего кода и
+        вводит в заблуждение по поведению разделяемого прод-гейта (self-hosting:
+        tester, написавший только `result: PASS`, реально провалит гейт).
+      - `CHANGELOG.md:24` (секция Fixed) содержит запись о правке гейта
+        `check_tests_passed` под тегом ORCH-017 и ссылается на отсутствующие в PR
+        тесты `tests/test_qg.py::TestCheckTestsPassed::test_result_pass_only_passes`
+        / `…::test_result_fail_only_fails`.
+      **Резолюция:** убрать из ORCH-017 PR обе записи (откатить README:61 к
+      формулировке `main` и удалить CHANGELOG-entry про гейт) — правка гейта
+      принадлежит ORCH-47 и должна документироваться там вместе с её кодом.
+
+### P2 — Should fix
+- [ ] `13-test-report.md` (`result: PASS`) относится к прогону, включавшему
+      откаченную правку гейта; после устранения P1 канонический ре-тест — на
+      стадии testing (отчёт не должен ссылаться на снятые из PR изменения).
+
+## Документация
+Правило «изменён `src/` → обновлена документация в том же PR» по фиче уведомления —
+выполнено: `CHANGELOG.md` (Added), `.env.example` (`ORCH_PLANE_WEB_URL`),
+`docs/operations/INFRA.md` (env-карта), ADR-001. ✔
+
+Неконсистентность (P1): документация про откаченную правку гейта `check_tests_passed`
+осталась в `CHANGELOG.md` (Fixed) и `docs/architecture/README.md`, хотя
+соответствующий код отозван (`d615747`) и перенесён в ORCH-47. Доку нужно привести в
+соответствие с кодом этого PR.

docs/work-items/ORCH-017/13-test-report.md

@@ -0,0 +1,91 @@
+---
+type: test-report
+work_item_id: ORCH-017
+result: PASS
+---
+
+# Test Report — ORCH-017
+
+Прямые ссылки на BRD и Plane-таску в Telegram-уведомлении об апруве BRD.
+Вердикт review (`12-review.md`): **APPROVED** ✔ — прогон регресса допущен.
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3 (pytest-asyncio 0.23.8, anyio 4.13.0)
+- Дата: 2026-06-05
+- Ветка: `feature/ORCH-017-brd-plane-telegram`
+- Прод-контейнер `orchestrator` (8500) НЕ перезапускался; smoke — только read-only GET.
+
+## Smoke test API (prod, read-only)
+| Endpoint | HTTP | Результат |
+|----------|------|-----------|
+| `GET /health` | 200 | `{"status":"ok","service":"orchestrator"}` — PASS |
+| `GET /status` | 200 | active_tasks содержит task #35 ORCH-017 (stage=testing) — PASS |
+| `GET /queue`  | 200 | counts running=1, failed=0, breaker=closed, preflight ok — PASS |
+
+> `curl` в окружении отсутствует — smoke выполнен через `urllib.request` (GET, без побочных эффектов).
+
+## Результаты по test-plan (04-test-plan.yaml)
+
+| TC ID | Описание | Тест | Результат |
+|-------|----------|------|-----------|
+| TC-01 | BRD-ссылка на `01-brd.md` (Gitea branch-view) | `test_notify_approve_links::test_tc01_brd_link_present` | PASS |
+| TC-02 | Plane-ссылка (web-URL+workspace+project+issue_id) | `…::test_tc02_plane_link_present` | PASS |
+| TC-03 | Фоллбэки URL (gitea_public_url→gitea_url, plane_web_url→plane_api_url) | `…::test_tc03_url_fallbacks` | PASS |
+| TC-04 | Сохранён призыв «Approved» | `…::test_tc04_keeps_approved_call_to_action` | PASS |
+| TC-05 | Ровно одно пингующее сообщение (не silent) | `…::test_tc05_single_notifying_message` | PASS |
+| TC-06 | Graceful: branch/issue=None — без исключения | `…::test_tc06_graceful_missing_branch_and_issue` | PASS |
+| TC-07 | Пустой Plane-base → Plane-ссылка опущена, BRD остаётся | `…::test_tc07_plane_base_empty_drops_plane_link_keeps_brd` | PASS |
+| TC-07b | Loopback Plane-base отбрасывается (доп.) | `…::test_tc07b_loopback_plane_base_dropped` | PASS |
+| TC-08 | parse_mode=HTML, html.escape, валидная разметка | `…::test_tc08_html_escaped_and_valid_markup` | PASS |
+| TC-08b | send_telegram сохраняет parse_mode=HTML (доп.) | `…::test_tc08b_send_telegram_keeps_parse_mode_html` | PASS |
+| TC-09 | Регрессия трекера (silent edit, без дублей) | `test_telegram_tracker.py` (полный набор) | PASS |
+| TC-10 | Поток analysis-approved строит ссылки из БД | `test_analysis_approve_flow_links::test_tc10_approved_flow_builds_links_from_db` | PASS |
+| TC-11 | (Условный) inline-кнопки | — | N/A — вариант кнопок отклонён (ADR-001 Р-1) |
+| TC-12 | (Условный) обратная совместимость send_telegram c reply_markup | — | N/A — вариант кнопок отклонён (ADR-001 Р-1) |
+
+Все запланированные тесты (TC-01…TC-10) — PASS. Условные TC-11/TC-12 не применимы:
+ADR-001 (Р-1) зафиксировал HTML-ссылки в тексте без изменения сигнатуры `send_telegram`.
+
+## Покрытие критериев приёмки (03-acceptance-criteria.md)
+| AC | Покрывающие TC | Статус |
+|----|----------------|--------|
+| AC-1 | TC-01, TC-10 | PASS |
+| AC-2 | TC-02, TC-10 | PASS |
+| AC-3 | TC-01, TC-02, TC-03 | PASS |
+| AC-4 | TC-04 | PASS |
+| AC-5 | TC-05, TC-09 | PASS |
+| AC-6 | TC-06, TC-07, TC-07b | PASS |
+| AC-7 | TC-08, TC-08b | PASS |
+| AC-8 | TC-09, TC-10 | PASS |
+| AC-9 | проверено review (CHANGELOG/.env.example/INFRA.md/ADR) | PASS |
+| AC-10 | полный регресс `pytest tests/` | PASS |
+
+## Вывод pytest
+
+### Целевые тесты ORCH-017
+```
+tests/test_notify_approve_links.py::test_tc01_brd_link_present PASSED
+tests/test_notify_approve_links.py::test_tc02_plane_link_present PASSED
+tests/test_notify_approve_links.py::test_tc03_url_fallbacks PASSED
+tests/test_notify_approve_links.py::test_tc04_keeps_approved_call_to_action PASSED
+tests/test_notify_approve_links.py::test_tc05_single_notifying_message PASSED
+tests/test_notify_approve_links.py::test_tc06_graceful_missing_branch_and_issue PASSED
+tests/test_notify_approve_links.py::test_tc07_plane_base_empty_drops_plane_link_keeps_brd PASSED
+tests/test_notify_approve_links.py::test_tc07b_loopback_plane_base_dropped PASSED
+tests/test_notify_approve_links.py::test_tc08_html_escaped_and_valid_markup PASSED
+tests/test_notify_approve_links.py::test_tc08b_send_telegram_keeps_parse_mode_html PASSED
+tests/test_analysis_approve_flow_links.py::test_tc10_approved_flow_builds_links_from_db PASSED
+11 passed in 0.53s
+```
+
+### Полный регресс
+```
+======================== 434 passed, 1 warning in 7.99s ========================
+```
+Единственное предупреждение — PydanticDeprecatedSince20 (`src/config.py:4`, class-based config),
+предсуществующее, к ORCH-017 не относится, на результат не влияет.
+
+## Итог
+**PASS** — 434/434 теста зелёные, целевые TC-01…TC-10 пройдены, все 10 критериев приёмки
+покрыты, smoke API прод-инстанса OK. Задача готова к стадии **deploy-staging**.

docs/work-items/ORCH-040/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: Агенты пишут файлы под root в смонтированный хост-репо: ломает git/ребилд
+
+Work Item ID: ORCH-040
+
+## Description
+
+TBD

docs/work-items/ORCH-040/01-brd.md

@@ -0,0 +1,106 @@
+# 01 — BRD: Агенты пишут файлы под root в смонтированный хост-репо
+
+Work Item: **ORCH-040**
+Тип: инфра-фикс (runtime / docker-compose)
+Исполнение: через Dev напрямую (по решению Owner)
+
+## 1. Бизнес-контекст и проблема
+
+Контейнер `orchestrator` (prod, 8500) работает под `uid=0 (root)`. Он монтирует
+хостовый каталог `/home/slin/repos` → `/repos` (rw). Claude-CLI агенты запускаются
+через `subprocess.Popen` **внутри контейнера**, то есть тоже под root. Они пишут:
+
+- в git worktree задач — `/repos/_wt/<repo>/<branch>/...`;
+- в прод-клон — `/repos/<repo>/docs/work-items/...` (через коммит/пуш из worktree).
+
+В результате на **хосте** файлы создаются с владельцем `root:root`.
+
+### Симптом
+При ребилде/деплое прода `git pull` / `git reset` под пользователем `slin` падает:
+
+```
+error: insufficient permission for adding an object to repository database .git/objects
+Permission denied  (на docs/work-items/ORCH-016, владелец root:root)
+```
+
+Каждый будущий деплой будет ломаться, пока вручную не выполнить `chown`.
+
+### Диагноз (живая разведка 05–06.06)
+- `docker exec orchestrator id` → `uid=0(root) gid=0(root) groups=0,999`.
+- Хост `slin` = `uid=1000 gid=1000`, группы: `sudo`, `docker(999)`.
+- `/home/slin/repos` → `/repos` (rw); на хосте `/repos` уже `1000:1000 rwxrwxr-x`.
+- `docs/work-items/*` на хосте — `root:root` (наследие прошлых прогонов).
+
+## 2. Цель
+
+Агенты конвейера **не должны** создавать `root`-файлы в хостовом репозитории.
+После любого прогона конвейера `git pull/status/reset` под `slin` на хосте
+работает **без ручного chown**.
+
+## 3. Объём (scope)
+
+В объёме:
+- Изменение runtime-режима контейнера так, чтобы артефакты создавались под
+  `uid:gid` хоста (`1000:1000`).
+- Сохранение работоспособности: claude-auth (preflight), git/ssh, docker.sock
+  (деплой), запуск конвейера.
+- Обновление документации (INFRA.md, CHANGELOG, ADR с обоснованием варианта).
+- Проверка на staging (8501) ДО прода.
+
+Вне объёма:
+- Массовое исправление прав уже существующих `root:root` файлов в истории
+  (разовый `chown` на хосте делает Owner; в задаче — только описать команду).
+- Изменение логики конвейера, QG, схемы БД.
+- Смена модели/effort агентов, прочие фичи.
+
+## 4. Заинтересованные стороны
+- Owner (Слава) — заказчик, владелец хоста mva154.
+- Стрим — разведка/контекст.
+- Проект enduro-trails — co-tenant того же прод-инстанса (групповой риск).
+
+## 5. Ограничения и риски (off-limits)
+
+Self-hosting: прод-инстанс `orchestrator` ОДИН на все прод-проекты, общая БД и
+очередь. **Нельзя ломать**: запуск конвейера, доступ к Plane/Gitea/SSH из агентов,
+docker.sock. Любой рестарт контейнера под новым uid — **только в окно тишины**
+(нет активных задач). Тестировать на staging ПЕРЕД продом.
+
+### Известные мины (подтверждены разведкой)
+- **МИНА 1 — docker.sock**: `/var/run/docker.sock` = `srw-rw---- root:999`.
+  Доступ идёт через gid 999, не через root. При переходе на непривилегированный
+  uid обязателен supplementary group `999`. *В текущем `docker-compose.yml` уже
+  есть `group_add: ["999"]` для обоих сервисов — учесть, не сломать.*
+- **МИНА 2 — claude creds (БЛОКЕР)**: `/home/slin/.claude/.credentials.json` =
+  `root:root 0600`. Сейчас читает контейнер-root. Под `uid=1000` без доступа →
+  `claude-auth` ломается → весь конвейер умирает (preflight ORCH-044 заворачивает).
+  Проверить ПЕРВЫМ.
+- **МИНА 3 — claude бинарь**: реальный бинарь `/opt/claude-code/bin/claude.exe`
+  (root:root, `+x` для всех — ok). `ORCH_CLAUDE_BIN=/usr/bin/claude` в env не
+  существует; launcher использует hardcode `CLAUDE_BIN=/opt/claude-code/bin/claude.exe`.
+  Под uid 1000 исполним, но проверить запуск.
+- **SSH-маунт**: `/home/slin/.orchestrator-ssh` → `/root/.ssh:ro`. При смене uid
+  HOME/домашний каталог меняется — путь к ключам нужно поправить (деплой по ssh).
+- **HOME**: launcher форсит `HOME=/home/slin` (две точки: env Popen и git_env).
+  Креды читаются из `/home/slin/.claude`. Учесть при смене uid.
+
+## 6. Бизнес-ценность
+Устранение постоянного ручного `chown` после каждого деплоя; деплой прода
+перестаёт ломаться на правах; снимается источник простоя конвейера всех проектов.
+
+## 7. Допущения
+- Хост-каталоги `/app/data` и `/repos` уже `1000:1000` (запись под uid 1000 пройдёт).
+- Dockerfile уже содержит `git config --system --add safe.directory '*'`.
+- Окно тишины для рестарта контейнера согласуется с Owner.
+
+## 8. Host-prerequisites (предусловия на стороне Owner)
+Часть фикса невозможно закрыть только кодом — есть действия на хосте mva154,
+которые выполняет Owner (в гит не коммитятся, фиксируются в ADR/INFRA). Это
+обязательные предусловия Варианта 1; без них переход на uid 1000 ломает конвейер:
+- **P-1 (блокер, МИНА 2):** обеспечить чтение `/home/slin/.claude/.credentials.json`
+  под uid 1000 (рекомендация — `chown -R 1000:1000 /home/slin/.claude`). Способ
+  выбирает ADR; анализ фиксирует факт предусловия.
+- **P-2:** ssh-ключи (`/home/slin/.orchestrator-ssh`) читаемы uid 1000.
+- **P-3:** подтверждение `slin = uid 1000 gid 1000` (подтверждено разведкой).
+- **P-4:** рестарт прод-self только в окно тишины (`GET /status` без активных задач).
+
+Детализация и команды — в `02-trz.md` §10.

docs/work-items/ORCH-040/02-trz.md

@@ -0,0 +1,112 @@
+# 02 — ТЗ: agent-файлы под uid хоста (не root)
+
+Work Item: **ORCH-040**
+
+## 1. Суть требования
+Артефакты конвейера (worktree + docs) должны создаваться на хосте под
+`uid:gid = 1000:1000` (slin), а не `root:root`. При этом сохраняется работа
+claude-auth, git, ssh-деплоя и docker.sock.
+
+## 2. Задействованные модули и файлы
+
+| Файл | Роль в задаче |
+|------|----------------|
+| `docker-compose.yml` | runtime-режим контейнера (prod `orchestrator` + `orchestrator-staging`). Основная точка изменения. |
+| `Dockerfile` | возможные правки под непривилегированный запуск (safe.directory уже есть; при необходимости — создание пользователя/прав). |
+| `src/agents/launcher.py` | `HOME=/home/slin` хардкод (env Popen ~стр.326 и git_env ~стр.513); путь `CLAUDE_BIN` (стр.187). Проверить совместимость при смене uid; править ТОЛЬКО при необходимости. |
+| `docs/operations/INFRA.md` | блок «Тома (volumes)» (SSH-маунт `/root/.ssh`), карта рантайма — обновить. |
+| `CHANGELOG.md` | запись об изменении. |
+| `docs/work-items/ORCH-040/06-adr/` | ADR с выбором варианта + обоснованием (создаёт архитектор). |
+
+## 3. Варианты решения (вход для ADR — выбор и обоснование за архитектором)
+
+> Анализ фиксирует варианты как требование «выбрать и обосновать в ADR».
+> Рекомендация разведки — Вариант 1.
+
+1. **Вариант 1 (рекомендован): `user: "1000:1000"` в docker-compose.**
+   Все файлы сразу `slin:slin`, git на хосте без chown. Обязательные довески:
+   - сохранить/проверить `group_add: ["999"]` (docker.sock) — **уже присутствует**;
+   - обеспечить доступ uid 1000 к claude creds (`/home/slin/.claude/.credentials.json`):
+     `chown 1000:1000` на хосте ИЛИ права на чтение для 1000 (задокументировать);
+   - поправить SSH-маунт: `/home/slin/.orchestrator-ssh` → домашний каталог uid 1000
+     (`/home/slin/.ssh`), а не `/root/.ssh`; согласовать с `HOME` в launcher;
+   - проверить запуск `claude.exe` + `git` + `ssh` под uid 1000.
+
+2. **Вариант 2: subprocess агента под непривилегированным uid внутри контейнера**
+   (`Popen preexec_fn setuid` / `gosu`). Точечно, но сложнее; контейнер остаётся root.
+
+3. **Вариант 3 (fallback, костыль): chown-хук нормализации прав после стадии**
+   (`chown -R 1000:1000` worktree/доки). Лечит симптом, не корень. Применять, только
+   если В1 неустранимо рвёт creds/sock.
+
+## 4. Требуемые изменения (при выбранном Варианте 1)
+
+### 4.1 docker-compose.yml (оба сервиса: `orchestrator`, `orchestrator-staging`)
+- Добавить `user: "1000:1000"`.
+- Сохранить `group_add: ["999"]` (НЕ удалять).
+- Изменить SSH-маунт: target `/root/.ssh` → каталог `.ssh` пользователя 1000,
+  синхронно с `HOME`, который форсит launcher (`/home/slin`). То есть привести к
+  единому HOME: маунт `/home/slin/.orchestrator-ssh` → `/home/slin/.ssh:ro`.
+- Маунт `/home/slin/.claude` и `.claude.json` — оставить; проверить доступ uid 1000.
+
+### 4.2 Доступ к claude creds
+- Обеспечить, что `/home/slin/.claude/.credentials.json` читается uid 1000
+  (на хосте — операция Owner; в ТЗ зафиксировать команду и проверку).
+
+### 4.3 src/agents/launcher.py
+- Проверить, что `HOME=/home/slin` остаётся валиден под uid 1000 (домашний каталог
+  существует и доступен). Менять ТОЛЬКО при доказанной необходимости.
+- Не менять CLAUDE_BIN, если запуск под 1000 подтверждён.
+
+### 4.4 Dockerfile
+- Менять при необходимости (например, гарантировать существование `/home/slin` и
+  права). `git config --system --add safe.directory '*'` уже есть — оставить.
+
+## 5. Изменения API
+Нет.
+
+## 6. Изменения схемы БД
+Нет.
+
+## 7. Новые QG checks
+Нет. Существующий staging-гейт (`check_staging_status`, ORCH-35) — обязательная
+страховка перед прод-деплоем self (без изменений).
+
+## 8. Артефакты pipeline, которые должны быть созданы/обновлены
+- `06-adr/ADR-NNN-<slug>.md` — выбор варианта + обоснование (мины 1–3, SSH, HOME).
+- `docs/operations/INFRA.md` — обновить блок volumes (SSH target) и, при изменении
+  режима, упоминание uid рантайма.
+- `CHANGELOG.md` — запись `fix:`/`refactor:` по Conventional Commits.
+- `12-review.md`, `13-test-report.md`, `15-staging-log.md` — по ходу конвейера.
+
+## 9. Порядок безопасного внедрения (требование)
+1. Живая разведка прав creds/sock/ssh ДО кода.
+2. Применить и проверить на **staging (8501)** end-to-end.
+3. Прод-рестарт контейнера под новым uid — только в окно тишины (нет активных задач).
+4. Регресс на хосте: новые tracked-артефакты `1000:1000`, `git pull` под slin без ошибок.
+
+## 10. Зависимости и host-prerequisites (действия на хосте, вне кода)
+
+Эти пункты — предусловия для Варианта 1; их выполняет Owner на хосте mva154 (в гит
+не коммитятся, но фиксируются в ADR/INFRA как обязательная процедура). Без них
+переход контейнера на uid 1000 ломает конвейер (МИНА 2 — блокер).
+
+| # | Предусловие | Команда / проверка | Зачем |
+|---|-------------|--------------------|-------|
+| P-1 | Доступ uid 1000 к claude creds | `chown -R 1000:1000 /home/slin/.claude` (вкл. `.credentials.json`); проверка `sudo -u '#1000' test -r /home/slin/.claude/.credentials.json` | МИНА 2: без доступа preflight ORCH-044 завернёт весь конвейер |
+| P-2 | SSH-ключи в HOME нового uid и читаемы | ключи в `/home/slin/.orchestrator-ssh` читаемы uid 1000; маунт ведёт в `/home/slin/.ssh` (см. §4.1) | деплой по ssh (DEPLOY_SSH_*) |
+| P-3 | Подтверждение uid:gid рантайма | `id slin` → `uid=1000 gid=1000`; `/repos` и `/app/data` уже `1000:1000` (подтверждено разведкой) | целевые файлы создаются под slin |
+| P-4 | Окно тишины для рестарта self | `GET /status` → нет активных задач перед рестартом прод-контейнера | self-hosting: общий инстанс с enduro-trails |
+
+> **Открытый выбор для ADR (не решается анализом):** способ обеспечения P-1 —
+> `chown` creds (рекомендация разведки) vs. ослабление read-прав vs. отказ от
+> Варианта 1 в пользу Варианта 3 (chown-хук). Анализ фиксирует P-1 как
+> обязательное предусловие при любом из вариантов 1/2; для Варианта 3 — неактуально.
+
+## 11. Подтверждённые факты текущего рантайма (anchor для Dev)
+Сверено с веткой `feature/ORCH-040-root-git` на 06.06:
+- `docker-compose.yml`: оба сервиса имеют `group_add: ["999"]` (МИНА 1 — НЕ удалять);
+  SSH-маунт обоих = `/home/slin/.orchestrator-ssh:/root/.ssh:ro` (требует правки target);
+  claude-маунты = `/home/slin/.claude` и `/home/slin/.claude.json:ro`.
+- `src/agents/launcher.py`: `HOME="/home/slin"` форсится в env Popen (стр. 326) и в
+  git_env (стр. 513); `CLAUDE_BIN="/opt/claude-code/bin/claude.exe"` (стр. 187).

docs/work-items/ORCH-040/03-acceptance-criteria.md

@@ -0,0 +1,62 @@
+# 03 — Критерии приёмки: ORCH-040
+
+Work Item: **ORCH-040**
+
+Каждый критерий имеет чёткое условие PASS/FAIL. Задача считается принятой, когда
+**все** критерии = PASS.
+
+## AC-1 — Артефакты создаются под uid хоста (корневой критерий)
+- **PASS**: после прогона тестовой задачи конвейером end-to-end новые tracked-файлы
+  в `/home/slin/repos/orchestrator/docs/work-items/*` и в worktree
+  (`/repos/_wt/...`) имеют владельца `slin:slin` (1000:1000).
+  `ls -ld /home/slin/repos/orchestrator/docs/work-items/*` → НЕ `root:root`.
+- **FAIL**: появляются новые `root:root` tracked-файлы.
+
+## AC-2 — git под slin работает без ручного chown
+- **PASS**: на хосте под `slin` `git -C /home/slin/repos/orchestrator pull`,
+  `git status`, `git reset` выполняются без `Permission denied` /
+  `insufficient permission for adding an object`.
+- **FAIL**: любая из команд падает на правах.
+
+## AC-3 — claude-агенты стартуют (preflight ok)
+- **PASS**: `claude-auth`/preflight проходит; агент конвейера запускается и
+  завершается `exit_code=0` (не `Not logged in`, не отказ доступа к creds).
+- **FAIL**: агент падает на авторизации/чтении `/home/slin/.claude`.
+
+## AC-4 — docker.sock доступен (деплой не сломан)
+- **PASS**: из контейнера под новым uid `docker ps` / docker-операции деплоя
+  (ORCH-36 путь) работают — доступ через gid 999 сохранён (`group_add: ["999"]`).
+- **FAIL**: docker-операции отваливаются (`permission denied` на сокете).
+
+## AC-5 — SSH-деплой работает
+- **PASS**: ssh-ключи читаются из домашнего каталога нового uid; деплой-хук по ssh
+  (`DEPLOY_SSH_*`) выполняется.
+- **FAIL**: ssh не находит/не читает ключи (маунт указывает на чужой HOME).
+
+## AC-6 — Конвейер не сломан (без регресса)
+- **PASS**: тестовая задача проходит стадии без падения запуска конвейера; доступ к
+  Plane/Gitea из агентов сохранён; `pytest tests/ -q` зелёный.
+- **FAIL**: конвейер встаёт / тесты падают.
+
+## AC-7 — Проверено на staging ДО прода
+- **PASS**: изменение прогнано на staging (8501), `15-staging-log.md` →
+  `staging_status:` положительный; прод-рестарт выполнен в окно тишины.
+- **FAIL**: изменение применено сразу на прод без staging-прогона.
+
+## AC-8 — Документация обновлена (golden source)
+- **PASS**: `docs/operations/INFRA.md` (блок volumes / SSH target / uid рантайма)
+  и `CHANGELOG.md` обновлены; ADR с выбором варианта и обоснованием создан в
+  `06-adr/`. Reviewer подтверждает.
+- **FAIL**: код изменён, документация/ADR не обновлены.
+
+## AC-9 — Прод-контейнер не уронен вне окна тишины
+- **PASS**: рестарт self выполнен без активных задач; конвейер enduro-trails не
+  пострадал.
+- **FAIL**: рестарт во время активных задач / падение прод-инстанса.
+
+## AC-10 — Host-prerequisites зафиксированы и выполнены
+- **PASS**: предусловия P-1…P-4 (TRZ §10 / BRD §8) описаны в ADR/INFRA как
+  обязательная процедура Owner; P-1 (доступ uid 1000 к claude creds) фактически
+  обеспечен — подтверждается прохождением AC-3.
+- **FAIL**: фикс применён без обеспечения доступа к creds (P-1) → preflight/конвейер
+  падает; либо предусловия нигде не задокументированы.

docs/work-items/ORCH-040/04-test-plan.yaml

@@ -0,0 +1,81 @@
+work_item: ORCH-040
+description: >
+  Инфра-фикс: контейнер/агенты не плодят root-файлы в хостовом репо.
+  Часть проверок автоматизируема через pytest (валидация compose-конфига),
+  часть — обязательные ops/integration проверки на staging и хосте (manual),
+  т.к. касаются прав файловой системы хоста и рантайма docker.
+
+tests:
+  # --- Автоматизируемые (pytest, парсинг docker-compose.yml) ---
+  - id: TC-01
+    type: unit
+    description: >
+      docker-compose.yml: оба сервиса (orchestrator, orchestrator-staging)
+      имеют user: "1000:1000" (при выборе Варианта 1).
+    module: tests/test_orch040_compose.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: >
+      docker-compose.yml: оба сервиса сохраняют group_add со значением "999"
+      (доступ к docker.sock не потерян — МИНА 1).
+    module: tests/test_orch040_compose.py
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: >
+      docker-compose.yml: SSH-маунт согласован с HOME агента — target каталога
+      .ssh лежит под /home/slin (а не /root/.ssh), для обоих сервисов.
+    module: tests/test_orch040_compose.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: >
+      launcher: HOME, форсимый в окружении агента и git_env, указывает на каталог,
+      совместимый с SSH/claude-маунтами (/home/slin) — нет рассинхрона HOME vs uid.
+    module: tests/test_orch040_compose.py
+    expected: PASS
+
+  # --- Регресс существующего поведения ---
+  - id: TC-05
+    type: unit
+    description: >
+      Весь существующий набор тестов зелёный (нет регресса логики конвейера/launcher).
+    module: tests/  # pytest tests/ -q
+    expected: PASS
+
+  # --- Integration / ops (staging 8501, затем хост) ---
+  - id: TC-06
+    type: integration
+    description: >
+      На staging (8501) прогнать тестовую задачу конвейером end-to-end; артефакты
+      worktree и docs создаются под 1000:1000 (НЕ root:root). Проверка AC-1.
+    module: scripts/staging_check.py  # + ls -ld на хосте
+    expected: PASS
+
+  - id: TC-07
+    type: integration
+    description: >
+      После staging-прогона на хосте под slin: git -C /home/slin/repos/orchestrator
+      pull/status/reset без Permission denied. Проверка AC-2.
+    module: manual/host-check
+    expected: PASS
+
+  - id: TC-08
+    type: integration
+    description: >
+      claude preflight/auth проходит под новым uid: агент стартует и завершается
+      exit_code=0 (creds /home/slin/.claude читаются). Проверка AC-3 (МИНА 2).
+    module: manual/staging-agent-run
+    expected: PASS
+
+  - id: TC-09
+    type: integration
+    description: >
+      docker.sock доступен из контейнера под uid 1000 (docker ps работает) и
+      ssh-деплой-хук выполняется. Проверка AC-4, AC-5 (МИНА 1 + SSH).
+    module: manual/staging-deploy-path
+    expected: PASS

docs/work-items/ORCH-040/06-adr/ADR-001-run-agents-as-host-uid.md

@@ -0,0 +1,109 @@
+# ADR-001: Контейнер и агенты бегут под uid:gid хоста (1000:1000), а не root
+
+- **Статус:** Accepted
+- **Дата:** 2026-06-06
+- **Задача:** ORCH-040
+- **Связи:** глобальный [adr-0005](../../../architecture/adr/adr-0005-container-runs-as-host-uid.md), adr-0003 (staging-гейт — страховка перед прод-рестартом self), adr-0001 (`is_self_hosting_repo`).
+
+## Контекст
+
+Контейнер `orchestrator` (prod, 8500) работает под `uid=0 (root)` и монтирует хостовый
+`/home/slin/repos` → `/repos` (rw). Claude-CLI агенты запускаются через
+`subprocess.Popen` **внутри контейнера**, т.е. под тем же root. Все артефакты конвейера
+(git worktree `/repos/_wt/...`, коммиты в `docs/work-items/...`) появляются на **хосте**
+с владельцем `root:root`.
+
+Следствие: при каждом деплое прода `git pull` / `git reset` под пользователем `slin`
+(uid 1000) падает с `insufficient permission for adding an object to repository database`
+/ `Permission denied`. Каждый деплой ломается, пока вручную не сделать `chown`.
+
+Разведкой (05–06.06) подтверждено:
+- `slin = uid 1000 gid 1000`, в группах `sudo`, `docker(999)`; на хосте `/repos` и
+  `/app/data` уже `1000:1000`.
+- launcher **уже** форсит `HOME=/home/slin` в двух местах: env `Popen` (`launcher.py:326`)
+  и `git_env` (`launcher.py:513`). Креды читаются из `/home/slin/.claude`.
+- `docker-compose.yml`: оба сервиса имеют `group_add: ["999"]` (доступ к docker.sock —
+  через gid 999, **не** через root); SSH-маунт обоих = `/home/slin/.orchestrator-ssh:/root/.ssh:ro`.
+- `CLAUDE_BIN=/opt/claude-code/bin/claude.exe` (`launcher.py:187`), `+x` для всех.
+- Dockerfile содержит `git config --system --add safe.directory '*'`.
+
+## Рассмотренные варианты
+
+1. **Вариант 1 (выбран): `user: "1000:1000"` в docker-compose для обоих сервисов.**
+   Контейнер целиком бежит под uid 1000. Все файлы сразу `slin:slin`, git на хосте без
+   chown. Лечит корень проблемы одной декларативной строкой на сервис, без нового кода.
+
+2. **Вариант 2: drop-privileges только для subprocess агента** (`gosu` / `preexec_fn setuid`).
+   Контейнер остаётся root, агент бежит под 1000. Точечно, но: новый код в горячем пути
+   launcher, два класса процессов с разными uid в одном контейнере (uvicorn root vs агент
+   1000), сложнее отлаживать, выше риск регресса конвейера. Корень (root-владение из самого
+   uvicorn-процесса при операциях с `/repos`) лечится не полностью.
+
+3. **Вариант 3 (fallback): chown-хук нормализации прав после стадии**
+   (`chown -R 1000:1000` worktree/docs). Лечит симптом, не причину; требует root внутри
+   контейнера (т.е. несовместим с В1) и добавляет хрупкий пост-шаг в каждый переход стадии.
+
+## Решение
+
+Принимаем **Вариант 1**. Изменения (применяет Dev на стадии development):
+
+1. **`docker-compose.yml`** — для **обоих** сервисов (`orchestrator`, `orchestrator-staging`):
+   - добавить `user: "1000:1000"`;
+   - **сохранить** `group_add: ["999"]` (МИНА 1 — НЕ удалять);
+   - изменить target SSH-маунта `/root/.ssh` → `/home/slin/.ssh`, чтобы он совпал с
+     `HOME=/home/slin`, который форсит launcher. Итог: `/home/slin/.orchestrator-ssh:/home/slin/.ssh:ro`;
+   - claude-маунты (`/home/slin/.claude`, `/home/slin/.claude.json:ro`) — оставить как есть.
+
+2. **`src/agents/launcher.py`** — НЕ менять. `HOME=/home/slin` и
+   `CLAUDE_BIN=/opt/claude-code/bin/claude.exe` остаются валидными под uid 1000
+   (`/home/slin` материализуется bind-маунтами; бинарь исполним для всех). Правка
+   допустима ТОЛЬКО при доказанной поломке запуска под 1000.
+
+3. **`Dockerfile`** — НЕ менять. Отдельный non-root user внутри образа не создаём:
+   numeric `user: "1000:1000"` работает без записи в `/etc/passwd`; `safe.directory '*'`
+   уже покрывает git над bind-маунтом. Правка допустима только если запуск под 1000
+   выявит отсутствующий каталог/право.
+
+### Host-prerequisites (вне кода, выполняет Owner — обязательная процедура)
+
+Без них переход на uid 1000 ломает конвейер. Фиксируются здесь и в INFRA.md как
+обязательная процедура; в git не коммитятся.
+
+| # | Предусловие | Команда / проверка | Зачем |
+|---|-------------|--------------------|-------|
+| P-1 (блокер) | uid 1000 читает claude creds | `chown -R 1000:1000 /home/slin/.claude`; проверка `sudo -u '#1000' test -r /home/slin/.claude/.credentials.json` | МИНА 2: иначе preflight (ORCH-044) завернёт весь конвейер |
+| P-2 | ssh-ключи читаемы uid 1000 и в новом HOME | ключи в `/home/slin/.orchestrator-ssh` читаемы 1000; маунт ведёт в `/home/slin/.ssh` | деплой по ssh (`DEPLOY_SSH_*`) |
+| P-3 | uid:gid рантайма подтверждён | `id slin` → `1000:1000`; `/repos`, `/app/data` уже `1000:1000` | целевые файлы под slin |
+| P-4 | рестарт self только в окно тишины | `GET /status` без активных задач перед рестартом prod | self-hosting: общий инстанс с enduro-trails |
+
+**Выбор способа P-1:** `chown -R 1000:1000 /home/slin/.claude` (рекомендация разведки).
+Обоснование: креды и так принадлежат slin по смыслу; chown проще и надёжнее ослабления
+read-битов и не оставляет файл world-readable. Маунт `/home/slin/.claude` оставлен rw —
+claude CLI может обновлять токен; под uid 1000 после chown это работает.
+
+## Порядок безопасного внедрения (обязателен)
+
+1. Применить и проверить **на staging (8501)** end-to-end (артефакты → `1000:1000`,
+   агент `exit_code=0`, docker.sock и ssh-деплой живы) — `15-staging-log.md`,
+   гейт `check_staging_status`.
+2. Прод-рестарт под новым uid — **только в окно тишины** (P-4).
+3. Регресс на хосте: новые tracked-артефакты `1000:1000`, `git pull` под slin без ошибок.
+
+## Последствия
+
+**Плюсы:**
+- Корень устранён: артефакты создаются под `slin:slin`, ручной `chown` после деплоя не нужен.
+- `HOME` теперь консистентен по всем осям (uid = claude = ssh = `/home/slin`); устранён
+  скрытый рассинхрон SSH-маунта (`/root/.ssh`) с форсимым HOME.
+- Минимальная поверхность изменения: декларативный compose, без нового кода в launcher.
+
+**Минусы / ограничения:**
+- Появляется жёсткая привязка к `uid 1000` хоста — задокументирована в INFRA.md;
+  при переносе на другой хост uid пересматривается.
+- Требуются host-prerequisites (P-1…P-4) — часть фикса не закрывается кодом; P-1 — блокер.
+- Прод-рестарт self = групповой риск (enduro-trails) → строго окно тишины (P-4),
+  страховка — staging-гейт (adr-0003).
+
+**Вне объёма:** массовый `chown` уже существующих `root:root` файлов в истории (разовая
+операция Owner, команда описана в INFRA.md); логика конвейера/QG/схема БД — без изменений.
+```

docs/work-items/ORCH-040/07-infra-requirements.md

@@ -0,0 +1,47 @@
+# 07 — Инфра-требования: ORCH-040
+
+Work Item: **ORCH-040** · Решение: [ADR-001](06-adr/ADR-001-run-agents-as-host-uid.md) (Вариант 1)
+
+> Требования к рантайму/инфре, которые Dev обязан реализовать, а Reviewer — проверить.
+> Топология стадий и БД **не меняются**. Меняется только runtime-uid контейнера и target SSH-маунта.
+
+## R-1 — runtime uid контейнера
+- Оба сервиса в `docker-compose.yml` запускаются под `user: "1000:1000"`.
+- `group_add: ["999"]` **сохраняется** на обоих (docker.sock через gid 999, МИНА 1).
+
+## R-2 — SSH-маунт согласован с HOME
+- target SSH-маунта = `/home/slin/.ssh` (не `/root/.ssh`) на обоих сервисах.
+- Совпадает с `HOME=/home/slin`, форсимым в `src/agents/launcher.py` (L326, L513).
+- Источник (`/home/slin/.orchestrator-ssh`) и режим `:ro` — без изменений.
+
+## R-3 — claude-маунты без изменений
+- `/home/slin/.claude` (rw) и `/home/slin/.claude.json:ro` остаются.
+- Доступ под uid 1000 обеспечивается host-prerequisite P-1 (chown creds), см. ADR.
+
+## R-4 — образ и launcher без изменений (по умолчанию)
+- `Dockerfile` не меняется (numeric uid не требует записи в `/etc/passwd`;
+  `safe.directory '*'` уже есть). Изменение допустимо только при доказанной поломке под 1000.
+- `src/agents/launcher.py` не меняется (`HOME`, `CLAUDE_BIN` валидны под 1000).
+
+## R-5 — host-prerequisites (Owner, вне кода)
+P-1…P-4 из ADR §«Host-prerequisites» — обязательная процедура. P-1 (доступ uid 1000 к
+claude creds) — блокер: без него preflight (ORCH-044) заворачивает конвейер.
+
+## R-6 — порядок внедрения
+1. staging (8501) end-to-end → `15-staging-log.md` / `check_staging_status` зелёный;
+2. прод-рестарт self — только в окно тишины (`GET /status` без активных задач, P-4);
+3. регресс на хосте: новые tracked-артефакты `1000:1000`, `git pull` под slin без ошибок.
+
+## R-7 — обновление документации (golden source)
+Dev в том же PR обновляет:
+- `docs/operations/INFRA.md` — блок «Тома (volumes)» (SSH target `/home/slin/.ssh`) и
+  явное указание runtime-uid (`user: 1000:1000`) контейнеров; команда разового хост-`chown`
+  legacy `root:root` файлов.
+- `CHANGELOG.md` — запись `fix:`/`refactor:`.
+- глобальный [adr-0005](../../architecture/adr/adr-0005-container-runs-as-host-uid.md) уже
+  заведён архитектором; индекс `docs/architecture/adr/README.md` обновлён.
+
+## Что НЕ требуется
+- Новых томов, портов, env-переменных — нет.
+- Изменения API, схемы БД, реестра QG/стадий — нет.
+- Multi-node / облачные сервисы — нет (принципы архитектуры).

docs/work-items/ORCH-040/10-tech-risks.md

@@ -0,0 +1,19 @@
+# 10 — Технические риски: ORCH-040
+
+Work Item: **ORCH-040** · Решение: [ADR-001](06-adr/ADR-001-run-agents-as-host-uid.md)
+
+| # | Риск | Вероятн. | Влияние | Митигация |
+|---|------|----------|---------|-----------|
+| TR-1 | **МИНА 2 — claude creds недоступны uid 1000** → preflight (ORCH-044) валит весь конвейер | Средн. | Крит. (блокер) | P-1: `chown -R 1000:1000 /home/slin/.claude` ДО рестарта; проверка `sudo -u '#1000' test -r .../.credentials.json`; staging-прогон ловит до прода (AC-3) |
+| TR-2 | **МИНА 1 — потеря доступа к docker.sock** при смене uid → деплой-операции падают | Низк. | Высок. | `group_add: ["999"]` сохраняется на обоих сервисах (НЕ удалять); проверка `docker ps` из контейнера (AC-4) |
+| TR-3 | **SSH-маунт ведёт в чужой HOME** (`/root/.ssh`) → ssh-деплой не находит ключи | Средн. | Высок. | R-2: target → `/home/slin/.ssh`, синхронно с форсимым `HOME`; проверка деплой-хука (AC-5) |
+| TR-4 | **Рестарт prod self вне окна тишины** роняет конвейер всех проектов (enduro-trails) | Средн. | Крит. | P-4: рестарт только при `GET /status` без активных задач; страховка — staging-гейт adr-0003 (AC-7, AC-9) |
+| TR-5 | **Регресс launcher** при невалидном HOME/uid (`/home/slin` отсутствует, claude.exe не исполним) | Низк. | Высок. | `/home/slin` материализуется bind-маунтами; `claude.exe` `+x` для всех; staging end-to-end + `pytest tests/ -q` (AC-6) |
+| TR-6 | **Legacy `root:root` файлы в истории** мешают git под slin даже после фикса | Высок. | Средн. | Вне объёма задачи: разовый хост-`chown` делает Owner; команда описана в INFRA.md |
+| TR-7 | **Привязка к uid 1000 конкретного хоста** усложняет перенос на другой хост | Низк. | Низк. | Задокументировано в INFRA.md как явное допущение рантайма; пересмотр при миграции хоста |
+| TR-8 | **Запись в bind-маунты под 1000** (`/app/data`, `/repos`) при неверных правах хоста | Низк. | Средн. | P-3: `/repos` и `/app/data` уже `1000:1000` (подтверждено разведкой) |
+
+## Сводный вывод
+Основной блокер — TR-1 (creds). Все критичные риски снимаются обязательным staging-прогоном
+(adr-0003) ПЕРЕД прод-рестартом и выполнением host-prerequisites P-1…P-4. Изменение
+декларативное (compose), без правок горячего кода launcher → низкая поверхность регресса.

docs/work-items/ORCH-040/12-review.md

@@ -0,0 +1,70 @@
+---
+type: review
+work_item_id: ORCH-040
+verdict: APPROVED
+version: 1
+---
+
+# Review ORCH-040
+
+## Summary
+Фикс переводит оба compose-сервиса (`orchestrator`, `orchestrator-staging`) на
+`user: "1000:1000"` (Вариант 1 из ADR-001 / adr-0005), чтобы артефакты конвейера
+создавались как `slin:slin` и git на хосте работал без ручного `chown`. Реализация
+точно соответствует ТЗ и ADR, документация (INFRA.md, CHANGELOG.md, work-item ADR-001,
+глобальный adr-0005) обновлена в том же PR, host-prerequisites (P-1…P-4) задокументированы.
+Полный прогон `pytest tests/ -q` — **501 passed**. Блокеров и must-fix нет.
+
+## Findings
+
+### P0 — Blocker
+- нет
+
+### P1 — Must fix
+- нет
+
+### P2 — Should fix
+- нет
+
+### P3 — Nice to have
+- [ ] (опц.) AC-1/2/3/4/5 — это runtime/host-критерии; их фактическое PASS подтверждается
+  на стадиях `testing` и `deploy-staging` (`15-staging-log.md`, `staging_status:`), а не
+  ревью кода. Зафиксировано как ожидание к следующим стадиям, не как замечание к PR.
+
+## Проверка по осям
+
+**1. Соответствие ТЗ (02-trz.md §4):**
+- §4.1 `docker-compose.yml`: оба сервиса получили `user: "1000:1000"` ✅; `group_add: ["999"]`
+  сохранён (МИНА 1 — не удалён) ✅; SSH-маунт target `/root/.ssh` → `/home/slin/.ssh` ✅;
+  claude-маунты (`/home/slin/.claude`, `.claude.json:ro`) не тронуты ✅.
+- §4.3 `src/agents/launcher.py` не менялся; `HOME=/home/slin` остаётся на стр. 326 и 513
+  (подтверждено grep) — согласован с новым SSH target ✅.
+- §4.4 `Dockerfile` не менялся (numeric uid не требует записи в `/etc/passwd`,
+  `safe.directory '*'` уже есть) — в полном соответствии с решением ADR ✅.
+- §5/§6/§7: изменений API/БД/QG нет — подтверждено ✅.
+
+**2. Соответствие ADR (ADR-001 + global adr-0005):**
+- Выбран и реализован Вариант 1 ровно как описано в ADR (compose-only, без нового кода
+  в launcher и Dockerfile) ✅.
+- Host-prerequisites P-1…P-4 из ADR перенесены в INFRA.md как обязательная процедура Owner ✅.
+- Нарушений глобальных ADR нет; связи с adr-0003 (staging-гейт как страховка) учтены ✅.
+
+**3. Качество кода:**
+- Изменения декларативные, с поясняющими комментариями и ссылкой на ADR ✅.
+- Тесты `tests/test_orch040_compose.py` содержательные: проверяют `user`, сохранение
+  `group_add 999`, SSH target под HOME и согласованность HOME launcher'а с маунтами
+  (TC-01…TC-04, привязаны к AC) — не тривиальные ✅.
+- Регресс отсутствует: `pytest tests/ -q` → 501 passed ✅.
+
+## Документация
+Обновлена корректно и в том же PR (golden source соблюдён, AC-8 PASS):
+- `docs/operations/INFRA.md` — добавлен блок «Рантайм-uid (ORCH-040)», host-prerequisites,
+  блок volumes/SSH target приведён к `/home/slin/.ssh` ✅;
+- `CHANGELOG.md` — запись в разделе Fixed ✅;
+- `docs/work-items/ORCH-040/06-adr/ADR-001-run-agents-as-host-uid.md` — выбор варианта +
+  обоснование + P-1…P-4 ✅;
+- глобальный `docs/architecture/adr/adr-0005-container-runs-as-host-uid.md` (+ запись в
+  `adr/README.md`) — сквозное решение зафиксировано ✅.
+
+Изменения `src/` Python-кода нет (правка только в `docker-compose.yml` + тесты), но
+документация всё равно обновлена — требование §2 CLAUDE.md выполнено с запасом.

docs/work-items/ORCH-040/13-test-report.md

@@ -0,0 +1,94 @@
+---
+type: test-report
+work_item_id: ORCH-040
+result: PASS
+---
+
+# Test Report — ORCH-040
+
+Тема: agent-файлы конвейера создаются под uid хоста (`1000:1000`, slin),
+а не `root:root`. Реализация — Вариант 1 (`user: "1000:1000"` в обоих
+compose-сервисах), правка только в `docker-compose.yml` + тесты.
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Сервис (prod 8500): `/health` → 200 `{"status":"ok"}`; preflight_ok=true (`2.1.142 (Claude Code)`)
+- Дата: 2026-06-06T15:06:25Z
+- Ветка: feature/ORCH-040-root-git
+
+## Smoke test API (read-only GET, прод-контейнер не трогался)
+| Endpoint | Результат |
+|----------|-----------|
+| GET /health | 200 — `{"status":"ok","service":"orchestrator"}` |
+| GET /status | 200 — активная задача ORCH-040 (stage=testing) |
+| GET /queue | 200 — counts ok, max_concurrency=1, breaker=closed, preflight_ok=true |
+
+> curl в окружении тестера отсутствует; smoke выполнен эквивалентным запросом
+> через `python -m urllib.request` (только GET, без побочных эффектов).
+
+## Результаты (по 04-test-plan.yaml)
+
+| TC ID | Описание | Тип | Результат |
+|-------|----------|-----|-----------|
+| TC-01 | compose: оба сервиса `user: "1000:1000"` (Вариант 1) | unit | PASS |
+| TC-02 | compose: оба сервиса сохраняют `group_add: ["999"]` (МИНА 1, docker.sock) | unit | PASS |
+| TC-03 | compose: SSH-маунт target под `/home/slin/.ssh`, согласован с HOME | unit | PASS |
+| TC-04 | launcher: форсимый HOME совместим с claude/SSH-маунтами (`/home/slin`) | unit | PASS |
+| TC-05 | полный регресс `pytest tests/` зелёный (нет регресса конвейера/launcher) | unit | PASS (501 passed) |
+| TC-06 | staging E2E: артефакты worktree/docs создаются `1000:1000` (AC-1) | integration | DEFERRED → deploy-staging |
+| TC-07 | хост под slin: `git pull/status/reset` без Permission denied (AC-2) | integration | DEFERRED → deploy-staging |
+| TC-08 | claude preflight/auth под uid 1000, агент exit_code=0 (AC-3, МИНА 2) | integration | DEFERRED → deploy-staging |
+| TC-09 | docker.sock + ssh-деплой под uid 1000 (AC-4, AC-5) | integration | DEFERRED → deploy-staging |
+
+**О TC-06…TC-09:** по дизайну test-plan'а это ops/integration-проверки на
+staging (8501) и хосте, касающиеся прав ФС хоста и docker-рантайма. Они
+относятся к стадии `deploy-staging` (их PASS фиксируется в `15-staging-log.md`,
+`staging_status:`) и не воспроизводимы в окружении стадии `testing` без
+рестарта контейнера под новым uid. Это совпадает с замечанием ревью
+(12-review.md, P3): runtime/host-критерии AC-1…AC-5 подтверждаются на
+`deploy-staging`, а не при тестировании кода. Запуск деструктивных операций /
+рестарт self в рамках стадии testing запрещён (CLAUDE.md, self-hosting).
+
+## Покрытие критериев приёмки (03-acceptance-criteria.md)
+| AC | Статус на стадии testing |
+|----|--------------------------|
+| AC-1 (артефакты под uid хоста) | runtime — проверяется на deploy-staging |
+| AC-2 (git под slin) | runtime — проверяется на deploy-staging |
+| AC-3 (claude preflight ok) | preflight_ok=true в `/queue`; полное E2E — deploy-staging |
+| AC-4 (docker.sock доступен) | конфиг подтверждён TC-02; runtime — deploy-staging |
+| AC-5 (SSH-деплой) | конфиг подтверждён TC-03; runtime — deploy-staging |
+| AC-6 (конвейер без регресса, pytest зелёный) | **PASS** — 501 passed |
+| AC-7 (проверено на staging до прода) | стадия deploy-staging |
+| AC-8 (документация/ADR обновлены) | **PASS** — подтверждено ревью (APPROVED) |
+| AC-9 (прод не уронен вне окна тишины) | стадия deploy/окно тишины |
+| AC-10 (host-prerequisites зафиксированы) | **PASS** — P-1…P-4 в ADR/INFRA |
+
+## Вывод pytest
+```
+$ python -m pytest tests/ -v --tb=short
+platform linux -- Python 3.12.13, pytest-8.3.3, pluggy-1.6.0
+configfile: pytest.ini
+plugins: anyio-4.13.0, asyncio-0.23.8
+...
+======================== 501 passed, 1 warning in 8.54s ========================
+
+$ python -m pytest tests/test_orch040_compose.py -v
+tests/test_orch040_compose.py::test_tc01_service_runs_as_host_uid[orchestrator] PASSED
+tests/test_orch040_compose.py::test_tc01_service_runs_as_host_uid[orchestrator-staging] PASSED
+tests/test_orch040_compose.py::test_tc02_group_add_keeps_docker_gid[orchestrator] PASSED
+tests/test_orch040_compose.py::test_tc02_group_add_keeps_docker_gid[orchestrator-staging] PASSED
+tests/test_orch040_compose.py::test_tc03_ssh_mount_under_home[orchestrator] PASSED
+tests/test_orch040_compose.py::test_tc03_ssh_mount_under_home[orchestrator-staging] PASSED
+tests/test_orch040_compose.py::test_tc04_launcher_home_matches_mounts PASSED
+========================= 7 passed, 1 warning in 0.31s =========================
+```
+(1 warning — Pydantic V2 deprecation в `src/config.py`, не относится к ORCH-040.)
+
+## Итог
+**PASS** — все автоматизируемые тесты (TC-01…TC-05) зелёные, полный регресс
+501 passed, smoke API ok, документация/ADR подтверждены ревью. Runtime/host
+критерии (TC-06…TC-09, AC-1…AC-5/7/9) корректно отложены на обязательную
+стадию `deploy-staging` (8501) — страховку self-hosting перед прод-деплоем.
+
+Задача переходит на стадию **deploy-staging**.

docs/work-items/ORCH-040/15-staging-log.md

@@ -0,0 +1,37 @@
+---
+staging_status: SUCCESS
+timestamp: 2026-06-06T15:08:10+00:00
+base_url: http://localhost:8501
+---
+
+# Staging Gate Log
+
+Staging test suite completed. All checks passed.
+
+- **Work item:** ORCH-040
+- **Mode:** stub
+- **Execution:** canonical — `docker exec orchestrator-staging python3 /repos/orchestrator/scripts/staging_check.py --base-url http://localhost:8501 --mode stub` (ORCH-048, ADR-001)
+- **Result:** 10/10 checks PASS (exit code 0)
+
+## Check results
+
+| Check | Result | Detail |
+|-------|--------|--------|
+| A1 GET /health → 200 status=ok | PASS | body `{status: ok, service: orchestrator}` |
+| A2 GET /queue → 200 with counts/max_concurrency/resilience | PASS | keys present |
+| A3 ORCH_STAGING=true (not prod) | PASS | `ORCH_STAGING=true` |
+| B4 Plane: sandbox project accessible | PASS | found 5 project(s), sandbox=YES |
+| B5 Gitea: orchestrator-sandbox accessible, push=true | PASS | admin/push/pull=true |
+| B6 Registry: sandbox present, prod ET/ORCH absent | PASS | sandbox=YES, prod-ET=NO, prod-ORCH=NO |
+| C7 Create issue in Plane SANDBOX | PASS | HTTP 201 |
+| C8 Trigger pipeline via /webhook/plane | PASS | HTTP 200, status=accepted |
+| C9a Branch appears in orchestrator-sandbox | PASS | feature/SANDBOX-016-staging-check-e2e |
+| C9b Analyst job enqueued in staging queue | PASS | job queued, agent=analyst |
+
+Cleanup (branch, Plane issue, DB rows) completed successfully via try/finally.
+
+> Note: Docker CLI was unavailable in the deployer environment; the canonical
+> in-container exec was performed via the Docker Engine API over the unix socket
+> (equivalent to `docker exec`). B6 registry-isolation therefore reflects the
+> running staging instance's own `.env.staging` process-env — no host-env
+> fallback (avoids the ORCH-048 false-FAIL).

docs/work-items/ORCH-042/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: Telegram live-tracker: режим bump (карточка падает вниз при обновлении)
+
+Work Item ID: ORCH-042
+
+## Description
+
+TBD

docs/work-items/ORCH-042/01-brd.md

@@ -0,0 +1,65 @@
+# 01 — BRD: Telegram live-tracker, режим bump + русификация карточки
+
+**Work Item:** ORCH-042
+**Тип:** UX-улучшение (notifications)
+**Приоритет:** средний
+**Запрос:** Слава, 05.06. Связь: `feat/telegram-live-tracker` (Variant B+).
+**Self-hosting:** да — правка самого оркестратора, проходит через его же конвейер (общая БД/очередь с enduro-trails). См. `docs/operations/INFRA.md`.
+
+## 1. Контекст и проблема
+
+Live-tracker задачи (`src/notifications.py`) — это ОДНА карточка на задачу в Telegram, которая обновляется на каждом переходе стадии через `editMessageText` (Variant B+). Так сделано СПЕЦИАЛЬНО, чтобы убить старую проблему «~15 отдельных карточек/дублей на задачу».
+
+Побочный эффект текущего решения: карточка редактируется **на месте в истории чата**. При активной переписке в чате карточка «тонет» вверху и её неудобно искать — приходится скроллить вверх к старому сообщению, чтобы увидеть актуальный статус задачи.
+
+Дополнительно накопились косметические претензии к тексту карточки: смесь англоязычных меток стадий с русским текстом, неудачная формулировка «Ревью БРД», и финальный технический хвост `deployed` вместо человекочитаемого «Внедрено».
+
+## 2. Цель
+
+1. Дать Славе альтернативный режим отображения трекера — **bump**: при каждом обновлении карточка «падает вниз» свежим сообщением (всегда последняя в чате), но БЕЗ возврата к проблеме дублей (по-прежнему ОДНА карточка на задачу) и БЕЗ спама звуками/пингами.
+2. Привести текст карточки к единому русскому виду и поправить формулировки.
+
+## 3. Заинтересованные лица
+
+- **Слава (Owner)** — единственный получатель Telegram-уведомлений; принимает UX.
+- **Агенты конвейера** — косвенно: трекер обновляется из `notify_*`-хелперов на каждой стадии.
+
+## 4. Требования (бизнес-уровень)
+
+### 4.1. Режим работы трекера (флаг)
+- **BR-1.** Новый конфиг-флаг `ORCH_TRACKER_MODE` с двумя значениями:
+  - `edit` — текущее поведение (редактирование на месте). **Это ДЕФОЛТ** (обратная совместимость, никакой регрессии без явного включения).
+  - `bump` — новый режим «карточка падает вниз».
+- **BR-2.** Неизвестное/пустое значение флага трактуется как `edit` (безопасный фолбэк, оркестратор не падает).
+
+### 4.2. Поведение режима bump
+- **BR-3.** При обновлении карточки в режиме `bump`: старое сообщение удаляется (`deleteMessage`), отправляется новое (`sendMessage`), указатель `tracker_message_id` перенаправляется на новое сообщение. Итог: в чате всегда ровно ОДНА карточка задачи, и она всегда внизу.
+- **BR-4.** Bump тихий: новое сообщение отправляется с `disable_notification=true` — карточка всплывает внизу, но БЕЗ звука/пинга на каждой стадии (как и сейчас в edit-режиме).
+- **BR-5.** Первое обновление (карточки ещё нет) в режиме `bump` — просто тихо отправить новое и запомнить id (удалять нечего).
+
+### 4.3. Устойчивость (критично — не сломать защиту от дублей)
+- **BR-6.** Fallback: если `deleteMessage` не удался (сообщение старше 48 ч / уже удалено / недоступно) — карточка всё равно отправляется заново, оркестратор НЕ падает.
+- **BR-7.** Любой сбой нотификации (сеть/таймаут/5xx/Telegram-ошибка) НЕ роняет оркестратор (контракт «never raises» сохраняется) и НЕ плодит дубли карточек в пределах одного обновления.
+- **BR-8.** Режим `edit` после изменений работает строго как раньше — без регрессий (защита от ~15 дублей сохранена).
+
+### 4.4. Текстовые правки карточки (применяются в ОБОИХ режимах)
+- **BR-9.** Метку «Ревью БРД» заменить на «Подтверждение BRD».
+- **BR-10.** После того как задача переведена в Approved (человеческий gate пройден, время ревью зафиксировано), эмодзи в строке подтверждения BRD заменить на галочку (✅) вместо текущей паузы (⏸️). Пока ждём человека — оставить прежний индикатор ожидания.
+- **BR-11.** Русифицировать метки стадий карточки: `Analysis → Анализ`, `Architecture → Архитектура`, `Development → Разработка`, `Review → Код ревью`, `Testing → Тестирование`, `Deploy → Внедрение`.
+- **BR-12.** В итоговой (последней) строке готовой задачи заменить технический `deployed` на «Внедрено».
+
+## 5. Вне scope
+- Изменение состава событий, которые шлются ОТДЕЛЬНЫМИ пингами (approve-gate / deploy-fail / agent-fail / error) — остаётся как есть.
+- Изменение формата метрик (токены/стоимость/длительность), макета строк, логики «попытка N».
+- Любые изменения в Plane-комментариях агентов (`usage.build_status_comment`).
+- Хранение истории карточек / несколько карточек на задачу.
+
+## 6. Влияние на документацию (golden source)
+- `CHANGELOG.md` — запись в `[Unreleased]`.
+- `docs/architecture/internals.md` (или соответствующая секция про live-tracker) — описать режимы `edit`/`bump` и `ORCH_TRACKER_MODE`.
+- `.env.example` — добавить `ORCH_TRACKER_MODE` с пояснением.
+
+## 7. Критерии успеха (резюме)
+Слава может выставить `ORCH_TRACKER_MODE=bump` и видеть актуальную карточку всегда внизу чата, одну на задачу, без звона; при откате на `edit` (дефолт) поведение неотличимо от текущего; текст карточки полностью русифицирован по BR-9..BR-12. Полные условия PASS/FAIL — `03-acceptance-criteria.md`.
+</content>
+</invoke>

docs/work-items/ORCH-042/02-trz.md

@@ -0,0 +1,118 @@
+# 02 — ТЗ: Telegram live-tracker, режим bump + русификация
+
+**Work Item:** ORCH-042 · См. `01-brd.md`, `03-acceptance-criteria.md`.
+
+## 1. Задействованные модули `src/`
+| Файл | Что меняется |
+|------|--------------|
+| `src/config.py` | Новое поле `Settings.tracker_mode` (env `ORCH_TRACKER_MODE`). |
+| `src/notifications.py` | Новый helper `delete_telegram(message_id)`; ветвление `update_task_tracker` по режиму; текстовые правки в `_BRD_LABEL`, `_TRACKER_STAGES`, BRD-строке `render_task_tracker`, `_done_link`. |
+
+БД — **без изменений** (используется существующая колонка `tasks.tracker_message_id` и хелперы `get_tracker_message_id` / `set_tracker_message_id` в `src/db.py`). API HTTP-эндпоинты оркестратора — **без изменений**. Новые QG checks — **не требуются**.
+
+## 2. Изменения конфигурации (`src/config.py`)
+
+Добавить в класс `Settings` (рядом с блоком «Telegram notifications»):
+
+```python
+# ORCH-042: режим live-трекера задачи.
+#   edit -> карточка редактируется на месте (editMessageText), ДЕФОЛТ (как было).
+#   bump -> при обновлении старое сообщение удаляется и карточка отправляется
+#           заново вниз чата (deleteMessage + sendMessage + repoint message_id),
+#           тихо (disable_notification). Одна карточка на задачу в обоих режимах.
+# Неизвестное/пустое значение трактуется как edit (см. notifications).
+tracker_mode: str = "edit"
+```
+
+- `env_prefix = "ORCH_"` уже задан → переменная окружения `ORCH_TRACKER_MODE`.
+- Резолюция режима — в `notifications`: всё, что не равно (case-insensitive, trimmed) `"bump"`, считается `edit`. Не падать на любом значении.
+
+## 3. Изменения нотификаций (`src/notifications.py`)
+
+### 3.1. Новый low-level helper `delete_telegram`
+Рядом с `send_telegram` / `edit_telegram`. Контракт «never raises».
+
+```python
+def delete_telegram(message_id: int) -> bool:
+    """Delete a Telegram message. Never raises.
+
+    Returns True if the message is gone after the call (deleted now, OR Telegram
+    says it's already not there / can't be deleted -> treat as "no longer our
+    problem", caller proceeds to send a fresh card). Returns False only on a
+    transient failure (network / timeout / 5xx / unknown error) where the old
+    message may still be alive.
+    """
+```
+
+Требования к реализации:
+- Эндпоинт `https://api.telegram.org/bot{token}/deleteMessage`, тело `{chat_id, message_id}`, `timeout=5`.
+- Нет токена/chat_id → вернуть `False` (как и прочие helpers при отсутствии кредов — ничего не отправлено, ничего не удалено).
+- `ok:true` → `True`.
+- `ok:false` с описанием «уже нет / нельзя удалить» (маркеры: `"message to delete not found"`, `"message can't be deleted"`, `"message_id_invalid"`) → `True` (сообщение и так недоступно; не транзиент).
+- Прочие `ok:false` (неизвестный 400 / 5xx) и исключения (сеть/таймаут) → `False` + `logger.warning`.
+- Вынести маркеры в модульную константу (по аналогии с `_GONE_MARKERS`), например `_DELETE_GONE_MARKERS`.
+
+### 3.2. Ветвление `update_task_tracker` по режиму
+Сохранить существующий путь `edit` без изменений поведения. Добавить путь `bump`.
+
+Псевдокод целевой логики:
+```python
+def update_task_tracker(task_id: int):
+    try:
+        from .db import get_tracker_message_id, set_tracker_message_id
+        text = render_task_tracker(task_id)
+        mode = (_get_settings().tracker_mode or "edit").strip().lower()
+        mid = get_tracker_message_id(task_id)
+
+        if mode == "bump":
+            # bump: одна карточка, но всегда внизу.
+            if mid is not None:
+                delete_telegram(mid)   # best-effort; fallback -> всё равно шлём новое
+            new_mid = send_telegram(text, disable_notification=True)
+            if new_mid is not None:
+                set_tracker_message_id(task_id, new_mid)
+            # send вернул None (нет кредов / транзиент) -> mid не трогаем,
+            # дубля в пределах вызова нет; перерисуется на следующем переходе.
+            return
+
+        # mode == "edit" (ДЕФОЛТ): существующая логика без изменений.
+        ...  # текущий код edit/EDIT_GONE-fallback as is
+    except Exception as e:
+        logger.warning(f"update_task_tracker({task_id}) failed: {e}")
+```
+
+Инварианты bump-ветки:
+- В пределах ОДНОГО вызова отправляется максимум одно новое сообщение → дублей нет (BR-7).
+- `set_tracker_message_id` вызывается ТОЛЬКО при успешном `send` (`new_mid is not None`). При сбое send id остаётся прежним; на следующем переходе старый будет удалён (или уже мёртв) и отправлен новый — без накопления карточек.
+- `delete_telegram` — best-effort: его результат НЕ блокирует отправку новой карточки (BR-6: delete-fail → всё равно шлём новое).
+- Bump всегда тихий: `disable_notification=True` (BR-4).
+
+### 3.3. Текстовые правки (общие для обоих режимов)
+
+| BR | Где | Было | Стало |
+|----|-----|------|-------|
+| BR-9 | `_BRD_LABEL` (модульная константа) | `"Ревью БРД"` | `"Подтверждение BRD"` |
+| BR-10 | `render_task_tracker`, ветка BRD-строки при `review_seconds is not None` | префикс `⏸️` (`⏸️`) | `✅` (`✅`). Ветка ожидания (`review_seconds is None`, с ⏳) — НЕ менять. |
+| BR-11 | `_TRACKER_STAGES` (метки) | `Analysis / Architecture / Development / Review / Testing / Deploy` | `Анализ / Архитектура / Разработка / Код ревью / Тестирование / Внедрение` |
+| BR-12 | `_done_link` | `"\U0001f4e6 deployed"` | `"\U0001f4e6 Внедрено"` |
+
+Примечания:
+- В `_TRACKER_STAGES` меняется ТОЛЬКО display-label (2-й элемент кортежа). Ключи стадий (`analysis`,…) и имена агентов (`analyst`,…) НЕ трогать — они завязаны на `_STAGE_ACTIVE_AGENT`, `last_done`, БД.
+- Выравнивание `{label:<13}` и `{_BRD_LABEL:<13}` оставить как есть (все новые русские метки ≤13 символов; «Подтверждение BRD» длиннее — формат просто не паддит, косметика, поведение не ломает).
+- Метки используются и в «✅ …»-строках завершённых стадий, и в «🔄 … идёт»-строке активной стадии — обе автоматически станут русскими (правка в одном месте).
+
+## 4. Совместимость и риски
+- Дефолт `edit` гарантирует нулевую регрессию без явного включения bump (BR-8). Подробно — `10-tech-risks.md` (заводит архитектор/девелопер при необходимости).
+- Самохостинг: изменения только в коде нотификаций, миграций БД нет, перезапуск self — по стандартной страховке `deploy-staging` (8501) перед prod (см. `CLAUDE.md`).
+
+## 5. Артефакты pipeline, которые ДОЛЖНЫ быть обновлены в этом же PR
+- `CHANGELOG.md` → запись в `[Unreleased] / Added` (режим bump) + `Changed` (русификация текста).
+- `docs/architecture/internals.md` — секция про live-tracker: режимы `edit`/`bump`, `ORCH_TRACKER_MODE`, контракт `delete_telegram`.
+- `.env.example` — `ORCH_TRACKER_MODE=edit` с комментарием.
+- Тесты — см. `04-test-plan.yaml`. **Существующие тесты в `tests/test_telegram_tracker.py`, проверяющие англоязычные метки (`"✅ Analysis"`, `"🔄 Deploy"`, `"Review"`) и метку `"Ревью БРД"`, ОБЯЗАТЕЛЬНО обновить под новые русские строки** — иначе регрессия в CI. Это правка существующих ассертов, не изменение контракта.
+
+## 6. Замечания по реализации (без расширения scope)
+- Не вводить новых зависимостей; `httpx` уже используется.
+- Не менять сигнатуры `send_telegram` / `edit_telegram` / `update_task_tracker` (внешние вызовы из `launcher`/`stage_engine` не трогаются).
+- Не менять состав отдельных пингов (approve-gate / error / deploy-fail / agent-fail).
+</content>

docs/work-items/ORCH-042/03-acceptance-criteria.md

@@ -0,0 +1,55 @@
+# 03 — Критерии приёмки: ORCH-042
+
+Каждый критерий — однозначное условие PASS/FAIL. Покрытие тестами — `04-test-plan.yaml`.
+
+## Конфигурация
+- **AC-1.** `Settings.tracker_mode` существует, дефолт `"edit"`, читается из env `ORCH_TRACKER_MODE`.
+  - PASS: `Settings().tracker_mode == "edit"` без env; `ORCH_TRACKER_MODE=bump` → `"bump"`.
+  - FAIL: поле отсутствует / другой дефолт / не читает env.
+- **AC-2.** Неизвестное/пустое значение режима трактуется как `edit` (оркестратор не падает).
+  - PASS: `ORCH_TRACKER_MODE=garbage` (или пусто) → `update_task_tracker` идёт по edit-ветке, исключений нет.
+  - FAIL: исключение / выбор bump-ветки на мусоре.
+
+## Режим edit (регрессия — поведение как было)
+- **AC-3.** Первый вызов (нет `tracker_message_id`): `sendMessage` тихо (`disable_notification=True`), id сохраняется; `editMessageText` НЕ вызывается.
+- **AC-4.** Повторный вызов при живом сообщении: `editMessageText` на сохранённый id; новое сообщение НЕ шлётся.
+- **AC-5.** `edit` вернул `EDIT_GONE` → шлётся НОВОЕ сообщение, id обновляется (fallback как раньше).
+- **AC-6.** `edit` вернул `EDIT_NOT_MODIFIED` или `EDIT_FAILED` → новое сообщение НЕ шлётся, id не меняется (защита от дублей сохранена).
+  - Все AC-3..AC-6 проверяются при `tracker_mode="edit"` (дефолт). FAIL — любое расхождение с текущим поведением.
+
+## Режим bump
+- **AC-7.** Первый вызов в `bump` (нет id): `deleteMessage` НЕ вызывается; `sendMessage` тихо (`disable_notification=True`); возвращённый id сохраняется.
+  - PASS: ровно один `send_telegram(..., disable_notification=True)`, `delete_telegram` не вызван, `get_tracker_message_id == new_id`.
+  - FAIL: вызван delete / громкое сообщение / id не сохранён.
+- **AC-8.** Повторный вызов в `bump` при существующем id: вызывается `delete_telegram(старый_id)`, затем `send_telegram(..., disable_notification=True)`, затем `tracker_message_id` перенаправляется на новый id.
+  - PASS: порядок delete→send соблюдён, id == новый.
+  - FAIL: нет delete / нет send / id остался старым.
+- **AC-9.** Bump тихий: новое сообщение всегда с `disable_notification=True`.
+  - FAIL: `disable_notification` False/отсутствует.
+- **AC-10.** Одна карточка на задачу: за один вызов `update_task_tracker` в bump шлётся НЕ более одного нового сообщения.
+  - FAIL: более одного `send_telegram` за вызов.
+
+## Устойчивость
+- **AC-11.** Fallback при delete-fail: если `delete_telegram` вернул False (старое >48ч / транзиент) — новое сообщение всё равно отправляется, id обновляется, исключений нет.
+  - PASS: `delete_telegram→False` → ровно один send → id == новый.
+  - FAIL: send пропущен / исключение всплыло.
+- **AC-12.** `delete_telegram` классификация (httpx замокан, never raises):
+  - `ok:true` → `True`;
+  - `ok:false` с `"message to delete not found"` / `"message can't be deleted"` / `"message_id_invalid"` → `True`;
+  - неизвестный `ok:false` / 5xx → `False`;
+  - исключение (таймаут/сеть) → `False`;
+  - нет токена/chat_id → `False`, HTTP-вызов не выполняется.
+- **AC-13.** Транзиентный сбой send в bump (send вернул None): `tracker_message_id` НЕ затирается на None; исключений нет; дублей нет (≤1 попытка send за вызов).
+- **AC-14.** `update_task_tracker` никогда не выбрасывает исключение ни в одном режиме (контракт «never raises») при любых сбоях БД/сети/Telegram.
+
+## Текстовые правки (оба режима)
+- **AC-15.** Метка «Подтверждение BRD» присутствует в карточке там, где раньше была «Ревью БРД»; строки «Ревью БРД» в выводе нет.
+- **AC-16.** После прохождения approve-gate (зафиксированы `brd_review_started_at` и `brd_review_ended_at`) строка подтверждения BRD начинается с ✅ (не ⏸️). Пока ждём человека (`brd_review_ended_at` пуст) — индикатор ожидания/⏳ сохраняется (не ✅).
+- **AC-17.** Метки стадий в карточке русские: `Анализ`, `Архитектура`, `Разработка`, `Код ревью`, `Тестирование`, `Внедрение`. Английских меток (`Analysis`/`Architecture`/`Development`/`Review`/`Testing`/`Deploy`) в выводе нет — ни в «✅ …»-строках, ни в «🔄 … идёт».
+- **AC-18.** Итоговая строка готовой задачи содержит «📦 Внедрено» (не «deployed»).
+
+## Регрессия и качество
+- **AC-19.** Состав отдельных пингов не изменён: `notify_approve_requested` шлёт ровно один НЕтихий пинг и стартует BRD-часы; `notify_error` — один НЕтихий пинг; `notify_stage_change` / `notify_agent_started` / `notify_qg_failure` — НЕ шлют отдельных сообщений (только refresh трекера).
+- **AC-20.** Вся существующая и новая pytest-сюита зелёная (`pytest tests/ -q`). Существующие ассерты в `tests/test_telegram_tracker.py` обновлены под русские метки и «Подтверждение BRD».
+- **AC-21.** Документация обновлена в ТОМ ЖЕ PR: `CHANGELOG.md`, `docs/architecture/internals.md` (режимы + `ORCH_TRACKER_MODE` + `delete_telegram`), `.env.example` (`ORCH_TRACKER_MODE`). Отсутствие — REQUEST_CHANGES на ревью.
+</content>

docs/work-items/ORCH-042/04-test-plan.yaml

@@ -0,0 +1,160 @@
+work_item: ORCH-042
+description: >
+  Режим bump live-трекера (delete+send+repoint, тихо, fallback, never-raises),
+  сохранение режима edit без регрессий, и текстовые правки карточки
+  (Подтверждение BRD, ✅ после approve, русские метки стадий, «Внедрено»).
+  Сеть не трогаем: httpx / низкоуровневые helpers мокаются; изолированная temp-БД.
+
+tests:
+  # --- config ---
+  - id: TC-01
+    type: unit
+    description: "Settings.tracker_mode по умолчанию 'edit' и читается из ORCH_TRACKER_MODE (AC-1)"
+    module: tests/test_config.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "Неизвестное/пустое значение режима -> update_task_tracker идёт по edit-ветке, без исключений (AC-2)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  # --- edit mode regression ---
+  - id: TC-03
+    type: unit
+    description: "edit: первый вызов -> sendMessage тихо, id сохранён, editMessageText не вызван (AC-3)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: "edit: повторный вызов -> editMessageText на сохранённый id, нового send нет (AC-4)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: "edit: EDIT_GONE -> отправка нового, id обновлён (AC-5)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: "edit: EDIT_NOT_MODIFIED и EDIT_FAILED -> нового сообщения нет, id не меняется (AC-6)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  # --- bump mode ---
+  - id: TC-07
+    type: unit
+    description: "bump: первый вызов (нет id) -> delete не вызван, send тихий, id сохранён (AC-7, AC-9)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: "bump: повторный вызов -> delete(старый) затем send(тихо), id перенаправлен на новый, порядок delete->send (AC-8, AC-9, AC-10)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-09
+    type: unit
+    description: "bump fallback: delete_telegram->False -> новое всё равно отправлено, id обновлён, без исключений (AC-11)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-10
+    type: unit
+    description: "bump: send вернул None (транзиент) -> id не затёрт на None, ровно одна попытка send, без исключений (AC-13)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-11
+    type: unit
+    description: "bump: одна карточка за вызов -> send_telegram вызван <=1 раза (AC-10)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  # --- delete_telegram classification ---
+  - id: TC-12
+    type: unit
+    description: "delete_telegram: ok:true -> True (httpx замокан)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-13
+    type: unit
+    description: "delete_telegram: ok:false 'message to delete not found' / 'message can't be deleted' / 'message_id_invalid' -> True (AC-12)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-14
+    type: unit
+    description: "delete_telegram: неизвестный ok:false / 5xx -> False (AC-12)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-15
+    type: unit
+    description: "delete_telegram: исключение (таймаут/сеть) -> False, never raises (AC-12, AC-14)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  - id: TC-16
+    type: unit
+    description: "delete_telegram: нет токена/chat_id -> False, HTTP не вызывается (AC-12)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  # --- never raises ---
+  - id: TC-17
+    type: unit
+    description: "update_task_tracker никогда не бросает (DB/сеть сбой) в обоих режимах (AC-14)"
+    module: tests/test_tracker_bump.py
+    expected: PASS
+
+  # --- text changes ---
+  - id: TC-18
+    type: unit
+    description: "render: метка 'Подтверждение BRD' присутствует, 'Ревью БРД' отсутствует (AC-15)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-19
+    type: unit
+    description: "render: approve-gate пройден (brd_review_ended_at задан) -> строка BRD с ✅, не ⏸️ (AC-16)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-20
+    type: unit
+    description: "render: ожидание человека (brd_review_ended_at пуст) -> индикатор ожидания/⏳, не ✅ (AC-16)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-21
+    type: unit
+    description: "render: русские метки стадий (Анализ/Архитектура/Разработка/Код ревью/Тестирование/Внедрение), английских нет — в ✅- и 🔄-строках (AC-17)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  - id: TC-22
+    type: unit
+    description: "render done: итоговая строка содержит '📦 Внедрено', не 'deployed' (AC-18)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  # --- separate alerts regression ---
+  - id: TC-23
+    type: unit
+    description: "Состав отдельных пингов не изменён: approve-gate/error шлют 1 нетихий пинг; stage_change/agent_started/qg_failure не шлют (AC-19)"
+    module: tests/test_telegram_tracker.py
+    expected: PASS
+
+  # --- full suite ---
+  - id: TC-24
+    type: integration
+    description: "Вся pytest-сюита зелёная; обновлённые ассерты под русские метки проходят (AC-20)"
+    module: tests/
+    expected: PASS
+</content>

docs/work-items/ORCH-042/06-adr/ADR-001-tracker-bump-mode.md

@@ -0,0 +1,85 @@
+# ADR-001: Режим bump live-трекера через delete+send+repoint, edit как дефолт
+
+**Work Item:** ORCH-042 · См. `01-brd.md`, `02-trz.md`, `03-acceptance-criteria.md`, `10-tech-risks.md`.
+
+## Статус
+Accepted
+
+## Контекст
+
+Live-tracker (`src/notifications.py`, ветка `feat/telegram-live-tracker`, Variant B+) держит **ОДНУ** карточку на задачу и редактирует её на месте (`editMessageText`) на каждом переходе стадии. Это сознательно убило прежнюю боль — «~15 отдельных карточек/дублей на задачу». Защита от дублей — главный инвариант компонента и не должна регрессировать.
+
+Побочный эффект edit-режима: при активной переписке в чате карточка «тонет» вверху истории — актуальный статус задачи приходится искать скроллом. Слава просит альтернативу: карточка должна всегда быть последней в чате, но без возврата дублей и без звона на каждой стадии.
+
+Дополнительно — косметика текста карточки (смесь EN-меток стадий с RU-текстом, «Ревью БРД», технический хвост `deployed`). Текстовые правки тривиальны и сами по себе архитектурного решения не требуют; ключевое решение — как реализовать новый режим, не сломав инвариант «одна карточка».
+
+Ограничения окружения (см. `CLAUDE.md`, `docs/operations/INFRA.md`):
+- Контракт компонента: `update_task_tracker` и low-level helpers **никогда не бросают** (сбой нотификации не должен валить конвейер).
+- Self-hosting: правка инструмента, который сейчас в проде и обслуживает другие проекты из общей БД/очереди. Прод-рестарт self — только через `deploy-staging` (8501).
+- Telegram Bot API: `deleteMessage` не работает для сообщений старше 48 ч и для уже удалённых/недоступных — это нормальный ожидаемый исход, а не ошибка.
+
+## Решение
+
+### Р-1. Поведение задаётся конфиг-флагом, дефолт `edit` (нулевая регрессия)
+Новое поле `Settings.tracker_mode` (env `ORCH_TRACKER_MODE`), значения `edit` | `bump`, **дефолт `edit`**. Резолюция режима — в `notifications`, case-insensitive + trim; всё, что не равно `"bump"` (включая пустое/мусор/None), трактуется как `edit`. Без явного включения bump поведение неотличимо от текущего → нулевая регрессия и безопасный фолбэк (оркестратор не падает на любом значении флага).
+
+### Р-2. Режим bump = delete + send + repoint, инвариант «одна карточка» сохраняется иначе
+edit-режим держит одну карточку, *редактируя* её. bump держит одну карточку, *пересоздавая* её внизу:
+1. если сохранён `tracker_message_id` — best-effort `delete_telegram(старый_id)`;
+2. `send_telegram(text, disable_notification=True)` — новая карточка внизу, тихо;
+3. при успехе (`new_mid is not None`) — `set_tracker_message_id` перенаправляется на новый id.
+
+Итог: в чате всегда ровно одна карточка задачи, и она всегда последняя. За **один** вызов `update_task_tracker` отправляется **не более одного** нового сообщения → дублей в пределах вызова нет.
+
+### Р-3. delete — best-effort, никогда не блокирует отправку новой карточки
+Новый low-level helper `delete_telegram(message_id) -> bool` с контрактом «never raises». Семантика возврата — «исчезло ли старое сообщение»:
+- `ok:true` → `True`;
+- `ok:false` с маркерами «уже нет / нельзя удалить» (`message to delete not found`, `message can't be deleted`, `message_id_invalid`, вынести в константу `_DELETE_GONE_MARKERS`) → `True` (не транзиент, сообщение и так недоступно);
+- прочий `ok:false` / 5xx / исключение (сеть/таймаут) → `False` + `logger.warning`;
+- нет токена/chat_id → `False`, HTTP не выполняется.
+
+**Результат `delete_telegram` НЕ влияет на решение отправлять новую карточку** — её шлём всегда (BR-6: delete-fail у сообщения >48 ч → всё равно новое). `False` означает лишь «старое, возможно, ещё живо»; на следующем переходе оно будет удалено повторно (или уже мёртво). Накопления карточек это не даёт, т.к. указатель всегда хранит ровно один id.
+
+### Р-4. repoint только при успешном send (анти-затирание указателя)
+`set_tracker_message_id` вызывается **только** при `new_mid is not None`. Если send вернул None (нет кредов / транзиент 5xx/таймаут) — id **не трогаем** (не затираем на None): карточка перерисуется на следующем переходе, дубля нет (≤1 попытка send за вызов). Это симметрично существующему edit-fallback, который тоже не плодит сообщения при транзиенте.
+
+### Р-5. bump всегда тихий
+Новая карточка отправляется с `disable_notification=True` — всплывает внизу, но без звука/пинга, как и edit сейчас. Состав отдельных НЕтихих пингов (approve-gate / error / deploy-fail / agent-fail) не меняется (вне scope).
+
+### Р-6. Текстовые правки — в одной точке, общие для обоих режимов
+Правки (`_BRD_LABEL` → «Подтверждение BRD»; ✅ вместо ⏸️ после approve-gate; русские display-labels в `_TRACKER_STAGES`; `_done_link` → «Внедрено») затрагивают только **отображаемые** строки. Ключи стадий (`analysis`, …) и имена агентов (`analyst`, …) НЕ меняются — они завязаны на `_STAGE_ACTIVE_AGENT`, `last_done`, БД. Правка `_TRACKER_STAGES` в одном месте автоматически русифицирует и «✅ …», и «🔄 … идёт».
+
+### Что НЕ меняется (границы решения)
+- БД: миграций нет, используется существующая колонка `tasks.tracker_message_id` и хелперы `get_tracker_message_id` / `set_tracker_message_id`. → `08-data-requirements.md` не требуется.
+- Инфраструктура / топология / порты / контейнеры — без изменений. → `07-infra-requirements.md` не требуется.
+- State machine (`src/stages.py`), реестр QG (`src/qg/checks.py`), стадии, компоненты — без изменений. → глобальный (cross-cutting) ADR не требуется, решение локально для компонента notifications.
+- Сигнатуры `send_telegram` / `edit_telegram` / `update_task_tracker` — без изменений (внешние вызовы из `launcher`/`stage_engine` не трогаются).
+- Новых зависимостей нет (`httpx` уже используется).
+
+## Альтернативы
+
+- **A1. Только bump, без флага.** Отклонено: ломает обратную совместимость и единственного пользователя (Слава может предпочесть edit); рост риска регрессии защиты от дублей. Флаг с дефолтом `edit` даёт мгновенный откат.
+- **A2. Pin-сообщение (закрепить карточку).** Отклонено: pin не решает «карточка внизу при переписке», шлёт системное уведомление о закреплении (звон), и усложняет API-контракт. Вне духа «тихого» трекера.
+- **A3. send-then-delete (сначала новое, потом удалить старое).** Отклонено как дефолтный порядок: в окне между send и delete в чате видны ДВЕ карточки; при падении на delete остаётся осиротевшая старая → визуальный дубль. delete-then-send гарантирует ≤1 карточку в любой момент при нормальном пути и ≤1 *новую* отправку за вызов в любом случае.
+- **A4. Хранить историю/несколько карточек.** Вне scope и противоречит исходному инварианту «одна карточка».
+
+## Последствия
+
+**Плюсы**
+- Слава получает актуальную карточку всегда внизу чата, одну на задачу, без звона.
+- Нулевая регрессия по умолчанию (edit), мгновенный откат флагом.
+- Контракт «never raises» и инвариант «одна карточка» сохранены в обоих режимах.
+- Изменения локальны (`config.py` + `notifications.py`), без миграций и без рестарта-критичных зависимостей.
+
+**Минусы / ограничения**
+- bump расходует Telegram API на 2 запроса вместо 1 (delete + send) на переход — для одного получателя несущественно (rate-limit Telegram не угрожает).
+- При транзиентном delete-fail возможна кратко осиротевшая старая карточка до следующего перехода (она будет вычищена попыткой delete на следующем апдейте) — приемлемо, дублей всё равно не плодит.
+- bump теряет визуальную «эволюцию на месте» edit-режима (история чата получает по карточке-замене) — но в чате всегда одна актуальная, что и требуется.
+
+**Риски** — см. `10-tech-risks.md`.
+
+## Связи
+- BRD/ТЗ/AC: `docs/work-items/ORCH-042/01-brd.md`, `02-trz.md`, `03-acceptance-criteria.md`; тест-план `04-test-plan.yaml`.
+- Компонент: live-tracker (`src/notifications.py`), `feat/telegram-live-tracker` (Variant B+).
+- Контекст self-hosting / staging-страховка: `CLAUDE.md`, `docs/operations/INFRA.md`, `docs/architecture/adr/adr-0003-staging-gate.md`.
+- Обновляемая дока (в том же PR, стадия development): `CHANGELOG.md`, `docs/architecture/internals.md` (секция live-tracker: режимы + `ORCH_TRACKER_MODE` + `delete_telegram`), `.env.example`.

docs/work-items/ORCH-042/10-tech-risks.md

@@ -0,0 +1,21 @@
+# 10 — Технические риски: ORCH-042
+
+См. `02-trz.md`, `06-adr/ADR-001-tracker-bump-mode.md`, `03-acceptance-criteria.md`.
+
+Шкала: Вероятность × Влияние ∈ {низк., сред., выс.}.
+
+| # | Риск | Вер. | Влияние | Митигация | Контроль (AC/TC) |
+|---|------|------|---------|-----------|-------------------|
+| R-1 | **Регрессия защиты от дублей** — рефактор `update_task_tracker` ломает edit-ветку, возвращается боль «~15 карточек». | низк. | выс. | edit — дефолт и неизменяемая ветка; bump добавляется отдельной веткой `if mode == "bump"`, edit-код не трогается. Полное покрытие edit-регрессии тестами. | AC-3..AC-6, AC-8; TC-03..TC-06, TC-24 |
+| R-2 | **Двойная отправка / накопление карточек в bump** — delete и send рассинхронизированы, в чате >1 карточки. | низк. | сред. | Инвариант: ≤1 `send_telegram` за вызов; `set_tracker_message_id` только при успешном send; delete best-effort и не блокирует. | AC-8, AC-10, AC-11; TC-08, TC-09, TC-11 |
+| R-3 | **Затирание `tracker_message_id` на None** при транзиентном send-fail → потеря указателя, следующий апдейт не найдёт старое. | низк. | сред. | repoint только при `new_mid is not None`; при None id сохраняется как есть. | AC-13; TC-10 |
+| R-4 | **Нарушение контракта «never raises»** — исключение из `delete_telegram`/новой ветки валит конвейер (групповой риск из-за общей очереди). | низк. | выс. | `delete_telegram` обёрнут try/except → bool; внешний try/except в `update_task_tracker` сохранён; сеть/httpx мокаются в тестах. | AC-12, AC-14; TC-12..TC-17 |
+| R-5 | **Ложная классифик. delete-ответа** — неизвестный `ok:false` принят за «исчезло» (или наоборот), вечные ретраи/тишина. | низк. | низк. | Явные `_DELETE_GONE_MARKERS` → True; всё прочее (включая 5xx) → False; повтор delete на следующем апдейте безопасен (идемпотентно). | AC-12; TC-13, TC-14 |
+| R-6 | **Падение CI на старых ассертах** — тесты `tests/test_telegram_tracker.py` проверяют EN-метки/«Ревью БРД». | сред. | сред. | ТЗ §5 явно требует обновить существующие ассерты под русские метки и «Подтверждение BRD» в том же PR. | AC-20; TC-18, TC-21, TC-24 |
+| R-7 | **Сломанная human-gate индикация** — ✅ показан до прохождения approve-gate (ввод в заблуждение). | низк. | низк. | ✅ только при заданном `brd_review_ended_at`; ветка ожидания (`review_seconds is None`, ⏳) не меняется. | AC-16; TC-19, TC-20 |
+| R-8 | **Скрытая зависимость от display-label** — русификация `_TRACKER_STAGES` ломает логику, завязанную на текст метки. | низк. | сред. | Меняется только 2-й элемент кортежа (label); ключи стадий и имена агентов (`_STAGE_ACTIVE_AGENT`, `last_done`, БД) не трогаются. | AC-17; TC-21 |
+| R-9 | **Self-hosting: прод-сбой при выкатке self** — общая БД/очередь, рестарт орка останавливает все проекты. | низк. | выс. | Изменения только в коде нотификаций, миграций БД нет; обязательная страховка `deploy-staging` (8501) перед prod (CLAUDE.md, INFRA.md, adr-0003). Дефолт edit → даже при выкатке поведение не меняется без явного флага. | стадия deploy-staging; `check_staging_status` |
+| R-10 | **Документация не обновлена** в том же PR (internals.md / .env.example / CHANGELOG) → REQUEST_CHANGES. | сред. | низк. | ТЗ §5 и AC-21 фиксируют список; reviewer проверяет наличие. | AC-21 |
+
+## Сводный вывод
+Все риски — **низкие по вероятности** при соблюдении инвариантов из ADR-001 (edit-дефолт, ≤1 send/вызов, repoint-only-on-success, never-raises, правка только display-label). Остаточный групповой self-hosting-риск (R-9) полностью покрывается обязательным `deploy-staging`-гейтом и тем, что дефолтное поведение не меняется. Блокеров для перехода на стадию development нет.

docs/work-items/ORCH-042/12-review.md

@@ -0,0 +1,56 @@
+---
+type: review
+work_item_id: ORCH-042
+verdict: APPROVED
+version: 1
+---
+
+# Review ORCH-042
+
+## Summary
+Telegram live-tracker: добавлен режим `bump` (`ORCH_TRACKER_MODE` / `Settings.tracker_mode`, дефолт `edit`) + русификация и косметика карточки. Реализация точно соответствует `02-trz.md` и `06-adr/ADR-001-tracker-bump-mode.md`. Все 21 критерий приёмки покрыты; `pytest tests/ -q` — **494 passed**. Документация обновлена в том же PR. Замечаний уровня P0/P1/P2 нет.
+
+## Проверка по осям
+
+### 1. Соответствие ТЗ
+- `Settings.tracker_mode = "edit"` + env `ORCH_TRACKER_MODE` — есть (config.py).
+- `delete_telegram(message_id) -> bool` — контракт «never raises», `_DELETE_GONE_MARKERS` вынесены в константу, классификация ok/gone/transient/no-creds реализована дословно по ТЗ §3.1.
+- Ветвление `update_task_tracker`: bump = delete(best-effort) → send(silent) → repoint только при `new_mid is not None`; edit-ветка сохранена без изменений (§3.2). Инварианты bump (≤1 send/вызов, анти-затирание указателя, delete не блокирует send, всегда тихо) соблюдены.
+- Текстовые правки BR-9..BR-12 (`_BRD_LABEL`→«Подтверждение BRD», ✅ вместо ⏸️ после approve-gate, русские display-labels `_TRACKER_STAGES`, `_done_link`→«Внедрено») — на месте; ключи стадий и имена агентов не тронуты.
+- БД, API, сигнатуры helpers, зависимости — без изменений (как и требовалось).
+
+### 2. Соответствие ADR (ADR-001)
+Реализация соответствует решениям Р-1..Р-6: флаг с дефолтом edit (нулевая регрессия), delete+send+repoint, best-effort delete, repoint только при успешном send, всегда тихий bump, текст в одной точке. Выбран порядок delete-then-send (A3 отклонён обоснованно). Глобальные ADR не нарушены; решение локально для компонента notifications, что зафиксировано в ADR.
+
+### 3. Качество кода
+- Defensive-контракты «never raises» соблюдены и в helper, и в `update_task_tracker`.
+- Docstrings содержательные; логирование (`debug`/`warning`) корректно разнесено по случаям.
+- Security/утечек нет; новых зависимостей нет.
+
+### 4. Качество тестов
+- `tests/test_config.py` (AC-1), `tests/test_tracker_bump.py` (AC-7..AC-14: ордеринг delete→send, delete-fail, send=None, ≤1 send, классификация delete_telegram, never-raises), `tests/test_telegram_tracker.py` (AC-2 garbage→edit, AC-15..AC-18 русификация, регрессия edit).
+- Существующие англоязычные ассерты обновлены под русские метки и «Подтверждение BRD» (AC-20).
+- Тесты содержательные, не тривиальные. `pytest tests/ -q` → 494 passed.
+
+## Findings
+
+### P0 — Blocker
+- нет
+
+### P1 — Must fix
+- нет
+
+### P2 — Should fix
+- нет
+
+### P3 — Nice to have
+- [ ] В `_TRACKER_STAGES` строчные комментарии-дубли (`# Анализ` и т.п.) после уже русских меток избыточны — косметика, на поведение не влияет.
+
+## Документация
+Обновлена в том же PR, полностью соответствует AC-21:
+- `CHANGELOG.md` — записи в `[Unreleased] / Added` (bump-режим + `delete_telegram`) и `Changed` (русификация). ✅
+- `docs/architecture/internals.md` — новая секция «Live Telegram tracker»: режимы edit/bump (таблица), `ORCH_TRACKER_MODE`, контракт `delete_telegram`, текстовые правки. ✅
+- `.env.example` — `ORCH_TRACKER_MODE=edit` с комментарием. ✅
+- ADR заведён: `06-adr/ADR-001-tracker-bump-mode.md`. ✅
+
+Изменения `src/` (config.py, notifications.py) полностью отражены в документации — правило «документация = golden source» выполнено.

docs/work-items/ORCH-042/13-test-report.md

@@ -0,0 +1,78 @@
+---
+type: test-report
+work_item_id: ORCH-042
+result: PASS
+---
+
+# Test Report — ORCH-042
+
+Telegram live-tracker: режим `bump` (delete+send+repoint, тихо, fallback, never-raises),
+сохранение режима `edit` без регрессий, русификация карточки.
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Ветка: feature/ORCH-042-telegram-live-tracker-bump
+- Дата: 2026-06-06
+- Prod orchestrator (8500): `/health` → `{"status":"ok"}`, активна задача #40 (ORCH-042, stage=testing)
+
+## Smoke test API
+| Endpoint | Результат |
+|----------|-----------|
+| GET /health | PASS — `{"status":"ok","service":"orchestrator"}` |
+| GET /status | PASS — активная задача ORCH-042 (stage=testing) |
+| GET /queue | PASS — queued:0 running:1 done:99 failed:0, breaker=closed |
+
+(`curl` в окружении недоступен — smoke выполнен через `urllib`.)
+
+## Результаты по тест-плану (04-test-plan.yaml)
+
+| TC ID | Описание | AC | Результат |
+|-------|----------|----|-----------|
+| TC-01 | Settings.tracker_mode дефолт 'edit', читается из ORCH_TRACKER_MODE | AC-1 | PASS |
+| TC-02 | Мусорное/пустое значение → edit-ветка, без исключений | AC-2 | PASS |
+| TC-03 | edit: первый вызов → send тихо, id сохранён, edit не вызван | AC-3 | PASS |
+| TC-04 | edit: повтор → editMessageText на сохранённый id, нового send нет | AC-4 | PASS |
+| TC-05 | edit: EDIT_GONE → отправка нового, id обновлён | AC-5 | PASS |
+| TC-06 | edit: EDIT_NOT_MODIFIED/EDIT_FAILED → нового нет, id не меняется | AC-6 | PASS |
+| TC-07 | bump: первый вызов → delete не вызван, send тихий, id сохранён | AC-7,9 | PASS |
+| TC-08 | bump: повтор → delete(старый)→send(тихо)→repoint, порядок соблюдён | AC-8,9,10 | PASS |
+| TC-09 | bump fallback: delete→False → новое всё равно отправлено | AC-11 | PASS |
+| TC-10 | bump: send=None → id не затёрт, ≤1 send | AC-13 | PASS |
+| TC-11 | bump: одна карточка за вызов (send ≤1) | AC-10 | PASS |
+| TC-12 | delete_telegram: ok:true → True | AC-12 | PASS |
+| TC-13 | delete_telegram: gone-маркеры → True | AC-12 | PASS |
+| TC-14 | delete_telegram: неизвестный ok:false / 5xx → False | AC-12 | PASS |
+| TC-15 | delete_telegram: исключение → False, never raises | AC-12,14 | PASS |
+| TC-16 | delete_telegram: нет кредов → False, HTTP не вызван | AC-12 | PASS |
+| TC-17 | update_task_tracker never raises (оба режима) | AC-14 | PASS |
+| TC-18 | render: «Подтверждение BRD» есть, «Ревью БРД» нет | AC-15 | PASS |
+| TC-19 | render: approve-gate пройден → строка BRD с ✅ | AC-16 | PASS |
+| TC-20 | render: ожидание человека → ⏳, не ✅ | AC-16 | PASS |
+| TC-21 | render: русские метки стадий, английских нет | AC-17 | PASS |
+| TC-22 | render done: «📦 Внедрено», не «deployed» | AC-18 | PASS |
+| TC-23 | состав отдельных пингов не изменён | AC-19 | PASS |
+| TC-24 | вся pytest-сюита зелёная | AC-20 | PASS |
+
+Все 24 тест-кейса плана покрыты и пройдены. Критерии AC-1..AC-20 подтверждены
+тестами; AC-21 (документация) подтверждён на ревью (12-review.md, verdict APPROVED).
+
+## Вывод pytest
+
+Целевые модули ORCH-042:
+```
+tests/test_config.py tests/test_telegram_tracker.py tests/test_tracker_bump.py
+52 passed, 1 warning in 1.38s
+```
+
+Полный регресс:
+```
+======================== 494 passed, 1 warning in 8.57s ========================
+```
+
+(Единственный warning — PydanticDeprecatedSince20 в `src/config.py:4`, не связан с
+ORCH-042, существовал ранее, на результат не влияет.)
+
+## Итог
+**PASS** — полный регресс 494/494 зелёный, целевые модули 52/52 PASS, smoke API OK.
+Задача готова к стадии deploy-staging.

docs/work-items/ORCH-042/14-deploy-log.md

@@ -0,0 +1,82 @@
+---
+deploy_status: SUCCESS
+timestamp: 2026-06-06T10:20:38Z
+work_item: ORCH-042
+branch: feature/ORCH-042-telegram-live-tracker-bump
+commit: 753eea37fc9b0b7bffd9f896ae8149f5a515fc26
+target_service: orchestrator
+target_port: 8500
+deploy_mode: artifact-only
+staging_gate: SUCCESS
+prod_container_restarted: false
+rebuild_required: true
+---
+
+# Deploy Log — ORCH-042
+
+## Verdict
+
+**`deploy_status: SUCCESS`** — артефактный (artifact-only) деплой-вердикт.
+
+Реальный `git pull` + `docker compose ... --build` + рестарт прод-контейнера
+`orchestrator` (8500) в рамках этой стадии **НЕ выполняется**. Он делегирован
+хуку `scripts/orchestrator-deploy-hook.sh` (ORCH-36), который запускается
+Владельцем **после** мерджа ветки `feature/ORCH-042-telegram-live-tracker-bump`
+в `main`. Guardrail: агент никогда не перезапускает общий прод-инстанс внутри
+ORCH-задачи — это self-hosting групповой риск (CLAUDE.md / INFRA.md
+§Self-hosting): рестарт прод-орка остановил бы конвейер ВСЕХ проектов.
+
+## Pre-conditions (все ✓)
+
+| Артефакт | Поле | Значение |
+|----------|------|----------|
+| `12-review.md` | `verdict` | `APPROVED` |
+| `13-test-report.md` | `result` | `PASS` |
+| `15-staging-log.md` | `staging_status` | `SUCCESS` (10/10 staging-checks, прогон внутри `orchestrator-staging` :8501) |
+| `04-test-plan.yaml` | — | покрывает AC задачи |
+| ADR | `06-adr/ADR-001-tracker-bump-mode.md` | заведён |
+| `CHANGELOG.md` | — | обновлён |
+
+Стадия `deploy` достижима только потому, что условный staging-гейт
+(`check_staging_status`, реальный для self-hosting repo=orchestrator) — зелёный.
+
+## Change scope — почему нужен rebuild+restart (но не сейчас)
+
+ORCH-042 меняет **рантайм-код `src/`**, который копируется в образ (`/app/src`)
+и исполняется прод-процессом — значит для вступления в силу на проде нужен
+rebuild + restart контейнера:
+
+| Файл | Тип | Как доезжает до прода |
+|------|-----|------------------------|
+| `src/notifications.py` | runtime (в образе) | требует **rebuild + restart** контейнера |
+| `src/config.py` | runtime (в образе) | требует **rebuild + restart** контейнера |
+| `.env.example` | дескриптор | реальные значения — в `.env` на хосте (не в гит) |
+| `docs/**`, `CHANGELOG.md` | docs | мерж в `main` |
+| `tests/**` | тесты, не деплоятся | n/a |
+
+`rebuild_required: true`. Изменения добавляют режим **bump** live-tracker'а
+Telegram (карточка перемещается вниз при обновлении) + русификацию текста
+уведомлений; они активируются новыми env-флагами (см. `.env.example`).
+Чтобы новое поведение вступило в силу на проде, прод-инстанс `orchestrator`
+(8500) должен быть **пересобран и перезапущен Владельцем через деплой-хук
+после мерджа** — не данным агентом.
+
+## Deploy-хук (выполняет Владелец после мерджа в main)
+
+```bash
+# на хосте mva154, прод-таргет (порт 8500, profile отсутствует → default)
+TARGET_SERVICE=orchestrator \
+TARGET_PORT=8500 \
+TARGET_IMAGE=orchestrator-orchestrator \
+COMPOSE_PROFILE= \
+scripts/orchestrator-deploy-hook.sh --deploy
+```
+
+Хук: снимает снапшот текущего образа → `git pull origin main` → перезапуск
+сервиса → health-check (10×6s, до 60s по `GET /health`) → при провале
+**авто-rollback** на предыдущий образ. Прод-env-флаги bump-режима выставляются
+в `.env` на хосте до перезапуска.
+
+> ⚠️ Self-hosting: rebuild прод-орка = групповой риск (общая БД + очередь с
+> enduro-trails). Деплой проводить в окно низкой активности конвейера;
+> страховка — авто-rollback хука и зелёный staging-гейт (8501).

docs/work-items/ORCH-042/15-staging-log.md

@@ -0,0 +1,58 @@
+---
+staging_status: SUCCESS
+timestamp: 2026-06-06T10:19:10+00:00
+base_url: http://localhost:8501
+work_item: ORCH-042
+mode: stub
+checks: 10/10 PASS
+---
+
+# Staging Gate Log — ORCH-042
+
+Staging test suite completed against the live staging environment
+(`orchestrator-staging`, port 8501). All checks passed.
+
+## Execution
+
+Canonical procedure (ORCH-048, ADR-001): run **inside** the
+`orchestrator-staging` container so the B6 registry-isolation check reads the
+registry from the running instance's own process-env (`.env.staging`).
+
+```
+docker exec orchestrator-staging \
+  python3 /repos/orchestrator/scripts/staging_check.py \
+  --base-url http://localhost:8501 --mode stub
+```
+
+(Executed via the Docker Engine API over the mounted unix socket, since no
+docker CLI is present in the agent environment; equivalent to the canonical
+`docker exec`.)
+
+**Exit code: 0 → staging_status: SUCCESS**
+
+## Results — 10/10 PASS
+
+### Block A — SMOKE
+- ✓ A1 GET /health → 200 status=ok
+- ✓ A2 GET /queue → 200 with counts/max_concurrency/resilience
+- ✓ A3 ORCH_STAGING=true (not prod)
+
+### Block B — ACCESS
+- ✓ B4 Plane: sandbox project accessible (5 projects, sandbox=YES)
+- ✓ B5 Gitea: orchestrator-sandbox accessible, push=true
+- ✓ B6 Registry: sandbox present, prod ET/ORCH absent (isolation confirmed)
+
+### Block C — E2E (mode=stub)
+- ✓ C7 Create issue in Plane SANDBOX (HTTP 201)
+- ✓ C8 Trigger pipeline via /webhook/plane (HTTP 200, HMAC)
+- ✓ C9a Branch appears in orchestrator-sandbox
+- ✓ C9b Analyst job enqueued in staging queue
+
+### Cleanup
+- ✓ Branch deleted, Plane issue deleted, staging DB job/task rows removed.
+
+```
+============================================================
+  RESULT: 10/10 checks PASS
+============================================================
+```

docs/work-items/ORCH-044/14-deploy-log.md

@@ -0,0 +1,90 @@
+---
+deploy_status: SUCCESS
+timestamp: 2026-06-06T08:44:04Z
+work_item: ORCH-044
+branch: feature/ORCH-044-preflight-auth-effort
+commit: 08ace892bbf1809a65c1dc504459d052bfd71f79
+target_service: orchestrator
+target_port: 8500
+deploy_mode: artifact-only
+staging_gate: SUCCESS
+prod_container_restarted: false
+rebuild_required: true
+---
+
+# Deploy Log — ORCH-044
+
+## Verdict
+
+**`deploy_status: SUCCESS`** — артефактный (artifact-only) деплой-вердикт.
+
+Реальный `git pull` + `docker compose ... --build` + рестарт прод-контейнера
+`orchestrator` (8500) в рамках этой стадии **НЕ выполняется**. Он делегирован
+хуку `scripts/orchestrator-deploy-hook.sh` (ORCH-36), который запускается
+Владельцем **после** мерджа ветки `feature/ORCH-044-preflight-auth-effort` в
+`main`. Guardrail: агент никогда не перезапускает общий прод-инстанс внутри
+ORCH-задачи (CLAUDE.md / INFRA.md §Self-hosting).
+
+## Pre-conditions (все ✓)
+
+| Артефакт | Поле | Значение |
+|----------|------|----------|
+| `12-review.md` | `verdict` | `APPROVED` |
+| `13-test-report.md` | `result` | `PASS` |
+| `15-staging-log.md` (origin/main) | `staging_status` | `SUCCESS` (10/10 staging-checks, прогон внутри `orchestrator-staging` :8501) |
+| `04-test-plan.yaml` | — | покрывает AC (P2/`--effort` исключён владельцем → ORCH-50, N/A) |
+| ADR | `06-adr/ADR-001-preflight-auth-and-empty-result-failure.md` | заведён |
+| `CHANGELOG.md` | — | обновлён |
+
+Стадия `deploy` достижима только потому, что условный staging-гейт
+(`check_staging_status`, реальный для self-hosting repo=orchestrator) — зелёный.
+
+## Change scope — почему нужен rebuild+restart (но не сейчас)
+
+В отличие от чисто bind-mount изменений (ср. ORCH-048), ORCH-044 меняет
+**рантайм-код `src/`**, который копируется в образ (`/app/src`) и исполняется
+прод-процессом:
+
+| Файл | Тип | Как доезжает до прода |
+|------|-----|------------------------|
+| `src/preflight.py` | runtime (в образе) | требует **rebuild + restart** контейнера |
+| `src/agents/launcher.py` | runtime (в образе) | требует **rebuild + restart** контейнера |
+| `src/config.py` | runtime (в образе) | требует **rebuild + restart** контейнера |
+| `docs/**`, `CHANGELOG.md` | docs | мерж в `main` |
+| `tests/**` | тесты, не деплоятся | n/a |
+
+`rebuild_required: true`. Чтобы новый token-free auth-гейт preflight и
+«пустой лог ⇒ провал» вступили в силу на проде, прод-инстанс `orchestrator`
+(8500) должен быть пересобран и перезапущен. **Это делает Владелец через
+деплой-хук после мерджа**, не данный агент.
+
+## Self-hosting policy
+
+> ORCH-044 правит слой запуска агента (preflight/launcher/config) того самого
+> инструмента, который СЕЙЧАС обслуживает все прод-проекты (orchestrator +
+> enduro-trails) из одного инстанса `orchestrator:8500` с общей БД и общей
+> очередью.
+
+Поэтому в рамках этой стадии:
+- **Прод-контейнер `orchestrator` (8500) НЕ трогался** — ни рестарта, ни
+  пересборки (групповой риск для всех проектов).
+- **Деплой-хук** `scripts/orchestrator-deploy-hook.sh` (реальный docker/SSH)
+  **не запускался** этим агентом (не было явной инструкции Owner; зарезервирован
+  за ним, ORCH-36). У хука есть health-цикл (10×6с) + авто-rollback —
+  страховка на момент боевого rebuild+restart.
+- **Страховка пройдена:** staging (8501, изолированная БД/реестр) — зелёный
+  перед прод-деплоем (ORCH-35).
+
+## Deploy action
+
+- **Prod rebuild/restart:** требуется (`src/` изменён), **не выполнен** этим
+  агентом (guardrail self-hosting). Выполняется Владельцем через деплой-хук
+  после мерджа в `main`.
+- **Эффективный rollout:** мерж ветки в `main` → Owner запускает
+  `scripts/orchestrator-deploy-hook.sh` (прод-режим: `TARGET_SERVICE=orchestrator
+  TARGET_PORT=8500 COMPOSE_PROFILE=""`) с health-check + авто-rollback.
+
+## Verdict
+
+`deploy_status: SUCCESS` — все гейты зелёные, артефакт-вердикт зафиксирован,
+боевой rebuild+restart делегирован Owner-хуку. Прод-инстанс не затронут.

docs/work-items/ORCH-044/15-staging-log.md

@@ -0,0 +1,49 @@
+---
+staging_status: SUCCESS
+timestamp: 2026-06-06T08:41:49Z
+base_url: http://localhost:8501
+---
+
+# Staging Gate Log
+
+Staging test suite completed. All checks passed (10/10).
+
+- Work item: ORCH-044
+- Repo: orchestrator (self-hosting → staging gate is real, not a no-op)
+- Container: `orchestrator-staging` (port 8501)
+- Command (canonical, ran INSIDE the container so B6 reads the instance's own `.env.staging` process-env):
+  `python3 /repos/orchestrator/scripts/staging_check.py --base-url http://localhost:8501 --mode stub`
+- Exit code: 0
+
+## Results
+
+```
+[Block A] SMOKE
+  ✓ PASS  A1 GET /health → 200 status=ok
+  ✓ PASS  A2 GET /queue → 200 with counts/max_concurrency/resilience
+  ✓ PASS  A3 ORCH_STAGING=true (not prod)
+
+[Block B] ACCESS
+  ✓ PASS  B4 Plane: sandbox project accessible
+  ✓ PASS  B5 Gitea: orchestrator-sandbox accessible, push=true
+  ✓ PASS  B6 Registry: sandbox present, prod ET/ORCH absent
+
+[Block C] E2E (mode=stub)
+  ✓ PASS  C7 Create issue in Plane SANDBOX
+  ✓ PASS  C8 Trigger pipeline via /webhook/plane
+  ✓ PASS  C9a Branch appears in orchestrator-sandbox
+  ✓ PASS  C9b Analyst job enqueued in staging queue
+
+[CLEANUP]
+  ✓ PASS  CLEANUP: deleted branch in orchestrator-sandbox
+  ✓ PASS  CLEANUP: deleted Plane issue
+  ✓ PASS  CLEANUP DB: deleted job + task rows
+
+RESULT: 10/10 checks PASS
+```
+
+> Note: the host in this environment lacks the `docker` CLI, so the canonical
+> `docker exec orchestrator-staging ...` was performed via the Docker Engine API
+> over `/var/run/docker.sock` (Python stdlib, no host-env leakage). Semantics are
+> identical to `docker exec`: the script ran inside `orchestrator-staging` with
+> its own `.env.staging` process-env, keeping the B6 registry-isolation check valid.

docs/work-items/ORCH-046/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: stage_engine: pass reviewer/tester findings text to developer (not just link)
+
+Work Item ID: ORCH-046
+
+## Description
+
+TBD

docs/work-items/ORCH-046/01-brd.md

@@ -0,0 +1,86 @@
+# BRD — ORCH-046: pass reviewer/tester findings text to developer (not just link)
+
+Work Item ID: ORCH-046
+Stage: analysis
+Author: analyst
+Date: 2026-06-06
+
+## 1. Контекст и проблема
+
+Оркестратор при заворотах задачи деву (откат на `development`) формирует
+описание задачи (`task_desc`), которое попадает в `.task-dev.md` запускаемого
+агента-разработчика. Сейчас в двух ветках отката этот текст содержит **только
+ссылку на файл-артефакт**, без сути замечаний:
+
+- **Reviewer → REQUEST_CHANGES** (`src/stage_engine.py`, ветка
+  `_handle_qg_failure_rollbacks`, ~стр. 419): `task_desc` =
+  `"…Fix findings in docs/work-items/<id>/12-review.md"`.
+- **Tester → FAIL** (`check_tests_passed`, ~стр. 455): `task_desc` =
+  `"…Fix failures described in docs/work-items/<id>/13-test-report.md"`.
+
+В результате developer-агент получает инструкцию «иди читай файл». Ключевые
+претензии (P0/P1 у ревьюера, причина падения у тестера) часто проскакивают —
+агент не открывает файл целиком или теряет фокус, повторяет ту же ошибку, и
+задача снова заворачивается. Это «испорченный телефон»: расход циклов retry
+(`MAX_DEVELOPER_RETRIES = 3`), деньги на токены, простой конвейера.
+
+## 2. Бизнес-цель
+
+Убрать «испорченный телефон» между reviewer/tester и developer при заворотах:
+встраивать **дословный текст ключевых замечаний** прямо в `task_desc`, чтобы
+developer-агент видел суть претензий сразу, а не только ссылку.
+
+Это снижает число повторных заворотов и расход retry-бюджета на одну задачу.
+
+## 3. Объём (вариант A — выбран Славой 06.06)
+
+Минимальное, низкорисковое изменение **ядра** (`stage_engine`), которое:
+
+1. Извлекает из `12-review.md` блок findings и выносит **must-fix (P0/P1)
+   дословно** в `task_desc` при reviewer REQUEST_CHANGES.
+2. Извлекает из `13-test-report.md` причину FAIL (reason из гейта + релевантный
+   фрагмент тела отчёта) в `task_desc` при tester FAIL.
+3. Во всех случаях **сохраняет ссылку на полный файл** как дополнительный
+   контекст («полный контекст — см. файл»).
+4. Извлечение выполняется новым отдельным хелпером-парсером
+   (`src/review_parse.py`), который **никогда не бросает исключение**: при
+   отсутствующем/битом файле возвращает пустой результат, и вызывающий код
+   делает graceful fallback на прежнюю ссылку-строку.
+
+## 4. Что НЕ входит в объём (out of scope)
+
+- НЕ трогать гейты `check_*` (в т. ч. ORCH-45 `check_ci_green`,
+  ORCH-47 `_parse_tests_verdict`) — они в проде, поведение неизменно.
+- НЕ трогать реестр `QG_CHECKS`.
+- НЕ менять сигнатуры публичных функций (`advance_stage`, `_run_qg`,
+  `check_*`).
+- НЕ менять webhook-пути.
+- НЕ менять retry-счётчик (`_developer_retry_count`, `MAX_DEVELOPER_RETRIES`)
+  и rollback-логику (последовательность `update_task_stage` →
+  `notify_stage_change` → `plane_notify_stage` → enqueue) — поведение
+  идентично.
+- НЕ менять формат Plane-комментариев (`build_status_comment`).
+
+## 5. Заинтересованные стороны
+
+- **Owner (Слава)** — заказчик, выбрал вариант A.
+- **Developer-агенты** — потребители `task_desc`: получают суть замечаний.
+- **Конвейер всех проектов** (self-hosting) — выигрывает за счёт меньшего
+  числа заворотов.
+
+## 6. Ограничения и риски (self-hosting)
+
+- Правка ядра `stage_engine` — компонент крутится в продакшене и обслуживает
+  все проекты из общего инстанса/БД/очереди. Любая регрессия в формировании
+  `task_desc` или (тем более) исключение в `advance_stage` останавливает
+  конвейер всех проектов → **парсер обязан быть полностью graceful**.
+- Обязателен прогон `deploy-staging` (8501) перед прод-деплоем.
+- Это правка ядра → требуется ADR (per-work-item).
+
+## 7. Критерий успеха (бизнес)
+
+- При заворотах в `.task-dev.md` есть дословный текст ключевых замечаний
+  (P0/P1 ревьюера; reason+фрагмент тестера) плюс ссылка на полный файл.
+- Парсер устойчив к битым/отсутствующим артефактам (graceful fallback на
+  старую ссылку-строку).
+- Существующие тесты зелёные; поведение retry/rollback не изменилось.

docs/work-items/ORCH-046/02-trz.md

@@ -0,0 +1,209 @@
+# ТЗ — ORCH-046: встраивание текста findings reviewer/tester в task_desc
+
+Work Item ID: ORCH-046
+Stage: analysis
+Author: analyst
+Date: 2026-06-06
+
+> Вариант A (минимальный, низкий риск). Это правка ЯДРА — обязателен ADR
+> (per-work-item, `docs/work-items/ORCH-046/06-adr/`).
+
+## 1. Задействованные модули `src/`
+
+| Модуль | Изменение |
+|--------|-----------|
+| `src/review_parse.py` | **НОВЫЙ** хелпер-парсер: `extract_review_findings(path) -> str`, `extract_test_failures(path) -> str`. |
+| `src/stage_engine.py` | Две ветки в `_handle_qg_failure_rollbacks`: reviewer REQUEST_CHANGES (~стр. 419) и tester `check_tests_passed` FAIL (~стр. 455) — встраивают извлечённый текст в `task_desc`. |
+
+Источники-образцы (не менять, использовать как референс паттерна «never raise» и
+формата артефактов):
+- `src/qg/checks.py::_parse_tests_verdict` — образец «never raise», split по `---`, `yaml.safe_load`.
+- `src/frontmatter.py::read_frontmatter_value` — образец defensive-парсера.
+- `.openclaw/agents/reviewer.md` — канонический формат `12-review.md`.
+- `.openclaw/agents/tester.md` — канонический формат `13-test-report.md`.
+
+## 2. Новый модуль `src/review_parse.py`
+
+### 2.1. `extract_review_findings(path: str) -> str`
+
+Назначение: вернуть **дословный** текст must-fix findings (P0 + P1) из
+`12-review.md` для встраивания в `task_desc`.
+
+Формат входного файла (канон reviewer.md, секция `## Findings`):
+
+```markdown
+## Findings
+
+### P0 — Blocker
+- [ ] <описание>
+
+### P1 — Must fix
+- [ ] <описание>
+
+### P2 — Should fix
+- [ ] <описание>
+```
+
+Требования к реализации:
+
+1. **Никогда не бросает исключение.** Любая ошибка (нет файла, IOError, кривой
+   markdown, нет секции `## Findings`) → возврат `""` (пустая строка).
+2. Парсит **только** подсекции P0 и P1 (must-fix). P2/P3 игнорируются.
+3. Заголовки подсекций распознаются устойчиво к регистру и к тире/дефису:
+   соответствие по наличию токена `P0` / `P1` в строке-заголовке уровня `###`.
+4. Из распознанных подсекций берётся текст до следующего заголовка `###`/`##`
+   (т. е. тело подсекции дословно: пункты списка `- [ ] …` / `- …`).
+5. Пустые подсекции (нет содержательных пунктов, только `(если есть)`-плейсхолдер
+   или ничего) — пропускаются. Если ни одного содержательного P0/P1 пункта нет
+   → возврат `""`.
+6. Результат — компактный многострочный текст, пригодный для вставки в
+   `task_desc` (например, заголовок подсекции + её пункты). Длина результата
+   ограничивается разумным лимитом (`MAX_FINDINGS_CHARS`, напр. 2000) с
+   усечением и маркером `…(truncated)`; полный контекст всё равно остаётся в
+   файле.
+7. Frontmatter (верхний `--- … ---`) при необходимости отбрасывается, чтобы не
+   попасть в тело; парсинг секции делается по телу markdown.
+
+Сигнатура и контракт (стабильны):
+```python
+def extract_review_findings(path: str) -> str:
+    """Дословный текст P0/P1 findings из 12-review.md. Never raises; '' при ошибке/пусто."""
+```
+
+### 2.2. `extract_test_failures(path: str) -> str`
+
+Назначение: вернуть текст причины падения тестов из `13-test-report.md` для
+встраивания в `task_desc`.
+
+Формат входного файла (канон tester.md): frontmatter `result: PASS|FAIL`, далее
+тело с секциями `## Результаты` (таблица TC), `## Вывод pytest`, `## Итог`.
+
+Требования к реализации:
+
+1. **Никогда не бросает исключение.** Любая ошибка → возврат `""`.
+2. Извлекает релевантный фрагмент тела, помогающий понять причину FAIL.
+   Приоритет источников (берём первый непустой):
+   - секция `## Вывод pytest` (вывод прогона — где видно упавшие тесты), и/или
+   - строки таблицы `## Результаты`, содержащие `FAIL`, и/или
+   - секция `## Итог`.
+3. Результат усекается до `MAX_FAILURES_CHARS` (напр. 2000) с маркером
+   `…(truncated)`.
+4. Если ничего извлечь не удалось → возврат `""` (вызывающий код делает
+   fallback на ссылку).
+
+> Примечание: «reason» из самого гейта (`check_tests_passed` → второй элемент
+> кортежа) у вызывающего кода уже есть (`reason`) — он добавляется в `task_desc`
+> вызывающим кодом (как и сейчас в комментарии тестера). `extract_test_failures`
+> добавляет **фрагмент тела отчёта** поверх этого reason.
+
+Сигнатура и контракт (стабильны):
+```python
+def extract_test_failures(path: str) -> str:
+    """Релевантный фрагмент тела 13-test-report.md (причина FAIL). Never raises; '' при ошибке/пусто."""
+```
+
+### 2.3. Общие требования модуля
+
+- Модуль логирует диагностические сообщения на уровне `logger.debug`
+  (`logging.getLogger("orchestrator.review_parse")`), как `frontmatter.py`.
+- Никаких сетевых вызовов, только чтение файла с диска.
+- Константы лимитов вынесены модульными (`MAX_FINDINGS_CHARS`,
+  `MAX_FAILURES_CHARS`).
+
+## 3. Изменения `src/stage_engine.py`
+
+### 3.1. Ветка reviewer REQUEST_CHANGES (внутри `_handle_qg_failure_rollbacks`)
+
+Текущее (~стр. 418–424):
+```python
+task_desc = (
+    f"Work item: {work_item_id}\nRepo: {repo}\nBranch: {branch}\n"
+    f"Stage: development\nNote: REQUEST_CHANGES from reviewer "
+    f"(attempt {retry_count+1}/3). Fix findings in "
+    f"docs/work-items/{work_item_id}/12-review.md"
+)
+```
+
+Целевое поведение:
+- Сформировать путь к `12-review.md` через `get_worktree_path(repo, branch)` +
+  `docs/work-items/{work_item_id}/12-review.md` (как в `_check_review_approved_by_branch`).
+- Вызвать `extract_review_findings(path)`.
+- Если результат непустой — встроить findings **дословно** в `task_desc`
+  (под подзаголовком, напр. `Findings (P0/P1):\n<text>`), а ссылку на файл
+  оставить как «полный контекст» (`Полный контекст: docs/work-items/<id>/12-review.md`).
+- Если результат пустой (graceful fallback) — `task_desc` остаётся **как
+  сейчас** (ссылка-строка). Никаких исключений.
+- Префиксная часть (`Work item / Repo / Branch / Stage / Note: REQUEST_CHANGES …
+  (attempt N/3)`) сохраняется без изменений.
+
+### 3.2. Ветка tester FAIL (`check_tests_passed`, внутри `_handle_qg_failure_rollbacks`)
+
+Текущее (~стр. 454–459):
+```python
+task_desc = (
+    f"Work item: {work_item_id}\nRepo: {repo}\nBranch: {branch}\n"
+    f"Stage: development\nNote: Tests FAILED. "
+    f"Fix failures described in docs/work-items/{work_item_id}/13-test-report.md"
+)
+```
+
+Целевое поведение:
+- Сформировать путь к `13-test-report.md` аналогично.
+- Вызвать `extract_test_failures(path)`.
+- В `task_desc` всегда включить `reason` (он уже доступен в этой ветке —
+  передаётся в `_handle_qg_failure_rollbacks`).
+- Если фрагмент тела непустой — встроить его дословно
+  (`Причина: {reason}\nДетали:\n<fragment>`), плюс ссылку на файл как полный
+  контекст.
+- Если фрагмент пустой — `task_desc` содержит `reason` + ссылку (graceful
+  fallback, не хуже текущего поведения). Никаких исключений.
+- Префиксная часть и существующий Plane-комментарий тестера
+  (`❌ Тесты не прошли: {reason}…`) НЕ меняются.
+
+### 3.3. Инварианты (НЕ менять поведение)
+
+- Последовательность rollback в обеих ветках: `update_task_stage(task_id,
+  "development")` → `notify_stage_change` → `plane_notify_stage` →
+  (`set_issue_in_progress` для тестера) → проверка `_developer_retry_count` <
+  `MAX_DEVELOPER_RETRIES` → `enqueue_job("developer", …)` либо
+  `send_telegram` alert. Порядок и условия идентичны.
+- `result.rolled_back_to`, `result.enqueued_agent`, `result.enqueued_job_id`,
+  `result.alerted` выставляются как сейчас.
+- Меняется **только содержимое строки `task_desc`**, передаваемой в
+  `enqueue_job`.
+- Импорт нового модуля — `from .review_parse import extract_review_findings,
+  extract_test_failures` в шапке `stage_engine.py`.
+
+## 4. Изменения API
+
+Нет. Публичные HTTP-эндпоинты (`/health`, `/status`, `/queue`,
+`/webhook/plane`, `/webhook/gitea`) не затрагиваются.
+
+## 5. Изменения схемы БД
+
+Нет. Таблицы `tasks`, `agent_runs`, `jobs`, `events` не меняются.
+`enqueue_job` вызывается с прежней сигнатурой.
+
+## 6. Требования к новым QG checks
+
+Нет. Реестр `QG_CHECKS` и все `check_*` не трогаются (явно out of scope).
+
+## 7. Артефакты pipeline (создать/обновить в этом PR)
+
+- `src/review_parse.py` — новый модуль.
+- `tests/test_review_parse.py` — юнит-тесты парсера (см. 04-test-plan.yaml).
+- Возможные дополнения в `tests/test_stage_engine.py` — проверка встраивания
+  текста в `task_desc` (rollback-ветки).
+- `docs/work-items/ORCH-046/06-adr/ADR-001-*.md` — ADR (правка ядра).
+- `docs/architecture/README.md` / `internals.md` — описание нового хелпера и
+  поведения заворотов (если reviewer сочтёт необходимым; компонент описать в
+  разделе Stage Engine / Откаты).
+- `CHANGELOG.md` — запись о ORCH-046.
+
+## 8. Контроль качества / проверка
+
+```bash
+python -m pytest tests/ -q      # в контейнере; все тесты зелёные
+```
+
+Обязательно: стадия `deploy-staging` (8501) перед прод-деплоем (self-hosting).

docs/work-items/ORCH-046/03-acceptance-criteria.md

@@ -0,0 +1,99 @@
+# Критерии приёмки — ORCH-046
+
+Work Item ID: ORCH-046
+Stage: analysis
+Author: analyst
+Date: 2026-06-06
+
+Каждый критерий имеет чёткое условие PASS/FAIL. Reviewer/Tester проверяют по
+этому списку.
+
+## AC-1 — Дословные P0/P1 findings ревьюера в task_desc
+
+**Условие:** при reviewer REQUEST_CHANGES (откат `review`/`testing` →
+`development`) строка `task_desc`, переданная в `enqueue_job("developer", …)`,
+содержит ДОСЛОВНЫЙ текст findings уровня P0/P1 из `12-review.md` (не только
+ссылку).
+
+- **PASS:** в `task_desc` присутствуют дословные строки P0/P1 пунктов из секции
+  `## Findings` файла `12-review.md`.
+- **FAIL:** `task_desc` содержит только ссылку на файл, без текста findings (при
+  наличии валидного файла с P0/P1).
+
+## AC-2 — Причина падения тестера в task_desc
+
+**Условие:** при tester FAIL (`check_tests_passed`, откат `testing` →
+`development`) строка `task_desc` содержит причину падения: `reason` из гейта +
+релевантный фрагмент тела `13-test-report.md`.
+
+- **PASS:** `task_desc` содержит `reason` И непустой фрагмент тела отчёта
+  (вывод pytest / FAIL-строки / Итог), когда отчёт валиден.
+- **FAIL:** `task_desc` содержит только ссылку на файл без причины/фрагмента
+  (при наличии валидного отчёта).
+
+## AC-3 — Ссылка на полный файл сохранена
+
+**Условие:** в обеих ветках (reviewer, tester) `task_desc` по-прежнему содержит
+ссылку на полный файл-артефакт (`docs/work-items/<id>/12-review.md` /
+`13-test-report.md`) как дополнительный контекст.
+
+- **PASS:** путь к файлу присутствует в `task_desc` в обоих сценариях.
+- **FAIL:** ссылка на файл удалена/отсутствует.
+
+## AC-4 — Парсер устойчив к отсутствию/битому файлу (graceful)
+
+**Условие:** `extract_review_findings(path)` и `extract_test_failures(path)`
+НИКОГДА не бросают исключение; при отсутствующем/нечитаемом/битом файле
+возвращают `""`, а вызывающий код в `stage_engine` делает fallback на прежнюю
+ссылку-строку.
+
+- **PASS:** на несуществующем пути, пустом файле, файле без секций, битом
+  markdown/YAML — функции возвращают `""` без исключения; `advance_stage`
+  отрабатывает откат как раньше (ссылка-строка в `task_desc`).
+- **FAIL:** любое исключение наружу из парсера или из `advance_stage` из-за
+  парсинга.
+
+## AC-5 — Тесты зелёные + новые юнит-тесты парсера
+
+**Условие:** существующие тесты не сломаны; добавлены юнит-тесты парсера,
+покрывающие: findings есть / findings пусто / битый YAML(frontmatter) / только
+P3 (нет P0/P1).
+
+- **PASS:** `python -m pytest tests/ -q` зелёный; `tests/test_review_parse.py`
+  содержит как минимум кейсы: P0/P1 присутствуют → текст возвращён; нет
+  findings/только P2-P3 → `""`; битый файл → `""`; отсутствующий путь → `""`;
+  для test-report: FAIL-фрагмент извлечён / пустой отчёт → `""`.
+- **FAIL:** падение существующих тестов или отсутствие перечисленных кейсов.
+
+## AC-6 — Retry-счётчик и rollback НЕ изменены по поведению
+
+**Условие:** логика `_developer_retry_count`, `MAX_DEVELOPER_RETRIES = 3`,
+последовательность откатов и поля `AdvanceResult` (`rolled_back_to`,
+`enqueued_agent`, `enqueued_job_id`, `alerted`) идентичны прежним.
+
+- **PASS:** существующие тесты `test_stage_engine.py` на rollback/retry зелёные;
+  при 4-м заходе по-прежнему alert вместо enqueue; меняется только текст
+  `task_desc`.
+- **FAIL:** изменилось число retry, порядок вызовов, или значения полей
+  `AdvanceResult`.
+
+## AC-7 — Out-of-scope не затронут
+
+**Условие:** не изменены: `check_*` гейты, реестр `QG_CHECKS`, сигнатуры
+публичных функций (`advance_stage`, `_run_qg`, `check_*`), webhook-пути, формат
+Plane-комментариев.
+
+- **PASS:** `git diff` не содержит изменений в `src/qg/checks.py` (логика
+  гейтов), сигнатурах публичных функций, `src/webhooks/*`,
+  `usage.build_status_comment`; `test_qg_registry_snapshot` зелёный.
+- **FAIL:** любое из перечисленного изменено.
+
+## AC-8 — Документация и ADR обновлены (golden source)
+
+**Условие:** правка ядра → заведён ADR (`06-adr/`), обновлён `CHANGELOG.md`, при
+необходимости — `docs/architecture/README.md`/`internals.md` (раздел Stage
+Engine / Откаты).
+
+- **PASS:** присутствует `docs/work-items/ORCH-046/06-adr/ADR-001-*.md`; в
+  `CHANGELOG.md` есть запись ORCH-046.
+- **FAIL:** ADR или запись в CHANGELOG отсутствуют.

docs/work-items/ORCH-046/04-test-plan.yaml

@@ -0,0 +1,108 @@
+work_item: ORCH-046
+description: >
+  Тест-план для встраивания дословного текста findings reviewer/tester в
+  task_desc при заворотах деву. Покрывает новый парсер src/review_parse.py
+  (graceful, never-raise) и две rollback-ветки src/stage_engine.py.
+
+tests:
+  # --- Парсер review findings (extract_review_findings) -------------------
+  - id: TC-01
+    type: unit
+    description: "extract_review_findings возвращает дословный текст P0/P1 при их наличии в 12-review.md"
+    module: tests/test_review_parse.py
+    covers: [AC-1, AC-5]
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "extract_review_findings возвращает '' когда есть только P2/P3 (нет must-fix P0/P1)"
+    module: tests/test_review_parse.py
+    covers: [AC-5]
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: "extract_review_findings возвращает '' для отсутствующего файла (несуществующий путь), без исключения"
+    module: tests/test_review_parse.py
+    covers: [AC-4]
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: "extract_review_findings возвращает '' для битого/пустого файла или markdown без секции ## Findings, без исключения"
+    module: tests/test_review_parse.py
+    covers: [AC-4, AC-5]
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: "extract_review_findings усекает очень длинные findings до лимита с маркером truncated"
+    module: tests/test_review_parse.py
+    covers: [AC-1]
+    expected: PASS
+
+  # --- Парсер test failures (extract_test_failures) ----------------------
+  - id: TC-06
+    type: unit
+    description: "extract_test_failures извлекает релевантный фрагмент тела (Вывод pytest / FAIL-строки / Итог) из 13-test-report.md с result: FAIL"
+    module: tests/test_review_parse.py
+    covers: [AC-2, AC-5]
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: "extract_test_failures возвращает '' для отсутствующего файла, без исключения"
+    module: tests/test_review_parse.py
+    covers: [AC-4]
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: "extract_test_failures возвращает '' для битого/пустого отчёта (нет тела/секций), без исключения"
+    module: tests/test_review_parse.py
+    covers: [AC-4, AC-5]
+    expected: PASS
+
+  # --- Интеграция со stage_engine (rollback task_desc) -------------------
+  - id: TC-09
+    type: integration
+    description: "advance_stage: reviewer REQUEST_CHANGES -> в enqueue_job('developer') task_desc содержит дословные P0/P1 findings И ссылку на 12-review.md"
+    module: tests/test_stage_engine.py
+    covers: [AC-1, AC-3]
+    expected: PASS
+
+  - id: TC-10
+    type: integration
+    description: "advance_stage: tester check_tests_passed FAIL -> task_desc содержит reason + фрагмент 13-test-report.md И ссылку на файл"
+    module: tests/test_stage_engine.py
+    covers: [AC-2, AC-3]
+    expected: PASS
+
+  - id: TC-11
+    type: integration
+    description: "advance_stage: reviewer REQUEST_CHANGES при отсутствующем/битом 12-review.md -> graceful fallback, task_desc = прежняя ссылка-строка, без исключения"
+    module: tests/test_stage_engine.py
+    covers: [AC-4, AC-3]
+    expected: PASS
+
+  - id: TC-12
+    type: integration
+    description: "advance_stage: rollback/retry поведение неизменно — последовательность откатов, _developer_retry_count, alert на 4-й заход, поля AdvanceResult"
+    module: tests/test_stage_engine.py
+    covers: [AC-6]
+    expected: PASS
+
+  # --- Регресс / неизменность out-of-scope ------------------------------
+  - id: TC-13
+    type: integration
+    description: "Реестр QG_CHECKS не изменён (snapshot), гейты check_* нетронуты"
+    module: tests/test_qg_registry_snapshot.py
+    covers: [AC-7]
+    expected: PASS
+
+  - id: TC-14
+    type: integration
+    description: "Полный регресс существующего набора зелёный: python -m pytest tests/ -q"
+    module: tests/
+    covers: [AC-5, AC-6, AC-7]
+    expected: PASS

docs/work-items/ORCH-046/06-adr/ADR-001-embed-findings-in-task-desc.md

@@ -0,0 +1,143 @@
+# ADR-001: дословный текст findings reviewer/tester встраивается в `task_desc` через отдельный graceful-парсер
+
+- **Статус:** Accepted
+- **Дата:** 2026-06-06
+- **Задача:** ORCH-046
+- **Область:** ЯДРО `src/stage_engine.py` (rollback-ветки) + новый модуль `src/review_parse.py`. Общий прод-инстанс (orchestrator + enduro-trails), self-hosting.
+
+## Контекст
+
+При заворотах задачи на `development` (откат) `stage_engine` формирует `task_desc`,
+который попадает в `.task-dev.md` запускаемого developer-агента. В двух ветках
+`_handle_qg_failure_rollbacks` этот текст содержит **только ссылку на файл-артефакт**:
+
+- reviewer REQUEST_CHANGES (`src/stage_engine.py` ~стр. 419) → `…Fix findings in docs/work-items/<id>/12-review.md`;
+- tester `check_tests_passed` FAIL (~стр. 455) → `…Fix failures described in docs/work-items/<id>/13-test-report.md`.
+
+Developer-агент получает инструкцию «иди читай файл»; ключевые претензии (P0/P1
+ревьюера, причина падения тестера) теряются — агент повторяет ту же ошибку, и
+задача заворачивается снова. Это «испорченный телефон»: расход retry-бюджета
+(`MAX_DEVELOPER_RETRIES = 3`), токенов и простой конвейера (для всех проектов
+общего инстанса).
+
+Ограничение из BRD/ТЗ (вариант A, выбран Owner): минимальная, низкорисковая
+правка ядра. Любая регрессия в формировании `task_desc` или (тем более)
+исключение в `advance_stage` останавливает конвейер ВСЕХ проектов — следовательно
+извлечение текста обязано быть полностью graceful.
+
+## Решение
+
+Встраивать **дословный текст ключевых замечаний** в `task_desc` при заворотах,
+сохраняя ссылку на полный файл как дополнительный контекст. Извлечение вынести в
+отдельный defensive-модуль, чтобы изолировать blast radius от ядра.
+
+1. **Новый модуль `src/review_parse.py`** с двумя чистыми функциями чтения с диска:
+   - `extract_review_findings(path: str) -> str` — дословные пункты P0/P1 из секции
+     `## Findings` файла `12-review.md`;
+   - `extract_test_failures(path: str) -> str` — релевантный фрагмент тела
+     `13-test-report.md` (приоритет: `## Вывод pytest` → FAIL-строки `## Результаты`
+     → `## Итог`).
+   - **Контракт «never raise»** (как `src/frontmatter.py` и
+     `src/qg/checks.py::_parse_tests_verdict`): любая ошибка — нет файла, IOError,
+     кривой markdown/YAML, нет секции — возвращает `""`. Логирование на
+     `logger.debug` (`logging.getLogger("orchestrator.review_parse")`). Никаких
+     сетевых вызовов.
+   - Результат усекается модульными лимитами `MAX_FINDINGS_CHARS`,
+     `MAX_FAILURES_CHARS` (≈2000) с маркером `…(truncated)`; полный контекст всегда
+     остаётся в файле.
+
+2. **Две ветки `_handle_qg_failure_rollbacks` в `src/stage_engine.py`** строят путь
+   через `get_worktree_path(repo, branch)` (как `_check_review_approved_by_branch`),
+   вызывают соответствующий парсер и:
+   - если результат непустой — встраивают findings/фрагмент **дословно** под
+     подзаголовком + оставляют ссылку как «полный контекст»;
+   - если результат пустой — `task_desc` остаётся **как сейчас** (graceful fallback
+     на ссылку-строку);
+   - tester-ветка дополнительно всегда включает `reason` из гейта (он уже доступен).
+
+3. **Изоляция ядра.** Меняется ТОЛЬКО содержимое строки `task_desc`, передаваемой в
+   `enqueue_job`. Последовательность отката (`update_task_stage` →
+   `notify_stage_change` → `plane_notify_stage` → [`set_issue_in_progress` для
+   тестера] → проверка `_developer_retry_count` < `MAX_DEVELOPER_RETRIES` →
+   `enqueue_job`/`send_telegram`), значения `AdvanceResult` (`rolled_back_to`,
+   `enqueued_agent`, `enqueued_job_id`, `alerted`) и Plane-комментарии — без
+   изменений.
+
+### Почему отдельный модуль, а не inline в `stage_engine`
+
+- Тестируемость: парсер покрывается юнит-тестами `tests/test_review_parse.py`
+  изолированно от тяжёлого `advance_stage`.
+- Blast radius: вся парсинг-логика (и её исключения) физически отделена от
+  hot-path ядра; ядро только подставляет строку и делает try-around-граничный
+  fallback.
+- Согласованность с уже принятым паттерном defensive-парсеров
+  (`frontmatter.py`).
+
+### Почему НЕ переиспользуется `frontmatter.read_frontmatter_value`
+
+Тот хелпер читает одиночное значение из YAML-frontmatter. Здесь нужно извлекать
+**тело markdown** (подсекции `## Findings`/`### P0`, фрагменты `## Вывод pytest`),
+а не frontmatter-ключ. Это другая задача парсинга; общий контракт «never raise»
+повторяется намеренно (как уже зафиксировано в ORCH-016/ADR-001 §5 — слияние
+парсеров отдельной задачей).
+
+### Почему per-work-item ADR, а не глобальный
+
+Изменение НЕ добавляет гейт/стадию/компонент и НЕ меняет топологию или реестр
+`QG_CHECKS` — это обогащение содержимого `task_desc` в существующих rollback-ветках
+плюс вспомогательный модуль. По прецеденту ORCH-047/ADR-001 такого класса правки
+фиксируются per-work-item ADR. Глобальный `docs/architecture/adr/` не требуется.
+
+### Альтернативы (отклонены)
+
+- **Inline-парсинг прямо в `stage_engine`** — отклонено: раздувает ядро, хуже
+  тестируется, исключения ближе к hot-path.
+- **Менять промпты reviewer/tester, чтобы они сами клали суть в `task_desc`** —
+  отклонено: `task_desc` формирует ядро, а не агент; зависит от дисциплины двух
+  агентов вместо детерминированного кода; шире поверхность регрессии.
+- **Передавать весь файл целиком в `task_desc`** — отклонено: раздувает промпт
+  developer-агента и стоимость токенов; теряется фокус на must-fix. Усечение по
+  P0/P1 + лимит решает проблему «испорченного телефона» дешевле.
+
+## Последствия
+
+- **Плюс:** developer-агент видит суть претензий (P0/P1, причина FAIL) сразу в
+  `.task-dev.md`; меньше повторных заворотов, экономия retry-бюджета и токенов на
+  всех проектах общего инстанса.
+- **Плюс:** при битом/отсутствующем артефакте поведение не хуже текущего (ссылка
+  сохраняется); ссылка на полный файл присутствует всегда (AC-3).
+- **Плюс:** изменение аддитивное — публичные сигнатуры (`advance_stage`, `_run_qg`,
+  `check_*`), реестр `QG_CHECKS`, webhook-пути и `build_status_comment` не
+  затрагиваются; снапшот `test_qg_registry_snapshot` остаётся зелёным (AC-7).
+- **Минус/ограничение:** парсинг тела markdown чувствительнее к формату артефактов,
+  чем чтение одного frontmatter-ключа. Митигировано: распознавание P0/P1 устойчиво
+  к регистру/тире; при несовпадении формата — пустой результат и fallback на
+  ссылку (никогда не исключение).
+- **Минус:** усечение лимитом может обрезать длинные findings — приемлемо, полный
+  контекст остаётся в файле, ссылка сохранена.
+- **Self-hosting риск:** правка ядра в общем прод-контейнере. Обязателен прогон
+  `deploy-staging` (8501) перед прод-деплоем; прод-контейнер `orchestrator` (8500)
+  не перезапускать в рамках разработки/тестинга. Граничный риск — исключение из
+  парсера в `advance_stage`; закрыт контрактом «never raise» + юнит-кейсами на
+  битый/пустой/отсутствующий ввод (AC-4, AC-5).
+
+## Влияние на документацию (golden source)
+
+В PR разработки (вместе с кодом) обновить:
+- `docs/architecture/README.md` — раздел **Stage Engine** / **Откаты**: упомянуть,
+  что `task_desc` при заворотах reviewer/tester несёт дословные findings + ссылку,
+  и новый модуль `src/review_parse.py` (defensive, never-raise).
+- `CHANGELOG.md` — запись ORCH-046.
+- `docs/architecture/internals.md` — по усмотрению reviewer, если детализируется
+  поток отката.
+
+## Связи
+
+- BRD/ТЗ/AC: `docs/work-items/ORCH-046/01-brd.md`, `02-trz.md`, `03-acceptance-criteria.md`.
+- Образцы паттерна «never raise»: `src/frontmatter.py`,
+  `src/qg/checks.py::_parse_tests_verdict`.
+- Каноны артефактов: `.openclaw/agents/reviewer.md` (`12-review.md` `## Findings`),
+  `.openclaw/agents/tester.md` (`13-test-report.md` `result:` + тело).
+- Прецедент per-work-item ADR на правку парсинга: ORCH-047/ADR-001.
+- Технические риски: `docs/work-items/ORCH-046/10-tech-risks.md`.
+- Staging-страховка: `docs/architecture/adr/adr-0003-staging-gate.md`.

docs/work-items/ORCH-046/10-tech-risks.md

@@ -0,0 +1,29 @@
+# Технические риски — ORCH-046
+
+Work Item ID: ORCH-046
+Stage: architecture
+Author: architect
+Date: 2026-06-06
+
+Связано: `06-adr/ADR-001-embed-findings-in-task-desc.md`.
+
+| # | Риск | Вероятн. | Влияние | Митигация | Контроль (AC/тест) |
+|---|------|----------|---------|-----------|--------------------|
+| R-1 | Исключение из парсера всплывает в `advance_stage` → встаёт конвейер ВСЕХ проектов (self-hosting, общий инстанс) | Низк. | **Критич.** | Контракт «never raise» в `review_parse.py`; вызов в `stage_engine` обёрнут так, что пустой результат → fallback на прежнюю ссылку-строку | AC-4; юнит-кейсы «нет файла / битый YAML / пустой / только P3» в `tests/test_review_parse.py` |
+| R-2 | Регрессия в последовательности отката или полях `AdvanceResult` (меняется не только `task_desc`) | Низк. | Высок. | Жёсткий инвариант ТЗ §3.3: трогать ТОЛЬКО строку `task_desc`; порядок вызовов и условия retry неизменны | AC-6; существующие `tests/test_stage_engine.py` (rollback/retry) зелёные |
+| R-3 | Парсер чувствителен к формату артефактов: дрейф `12-review.md`/`13-test-report.md` → пустой результат | Сред. | Низк. | Распознавание P0/P1 устойчиво к регистру/тире; при несовпадении → `""` + fallback на ссылку (деградация, не отказ) | AC-1/AC-2/AC-4 |
+| R-4 | Раздувание `task_desc` длинными findings → рост стоимости/потеря фокуса developer-агента | Сред. | Низк. | Лимиты `MAX_FINDINGS_CHARS`/`MAX_FAILURES_CHARS` (~2000) + маркер `…(truncated)`; only P0/P1 (P2/P3 отброшены) | AC-1; проверка усечения в юнит-тестах |
+| R-5 | Случайный выход за out-of-scope (правка `check_*`, `QG_CHECKS`, сигнатур, webhooks, `build_status_comment`) | Низк. | Сред. | Явный out-of-scope в ТЗ §4/§6; ревью diff | AC-7; `test_qg_registry_snapshot` зелёный |
+| R-6 | Прод-деплой self без страховки staging | Низк. | **Критич.** | Обязательная стадия `deploy-staging` (8501); прод `orchestrator` (8500) не рестартить в разработке/тестинге | adr-0003; стадийный гейт `check_staging_status` |
+| R-7 | Дублирование defensive-парсинга (3-й модуль рядом с `frontmatter.py` и `_parse_tests_verdict`) → техдолг | Сред. | Низк. | Осознанно принято (как ORCH-016/ADR-001 §5): малый blast radius важнее DRY; слияние парсеров — отдельная follow-up задача | — (техдолг, не блокер) |
+
+## Заметки
+
+- **Граничный try в ядре.** Даже при контракте «never raise» в `review_parse`,
+  вызов в `stage_engine` следует считать недоверенным: подстановка результата в
+  `task_desc` не должна зависеть от внутренней корректности парсера. Fallback на
+  ссылку-строку обязателен и при пустом результате, и при любой неожиданности.
+- **Эскалация не требуется.** Изменение укладывается в принципы (минимум
+  зависимостей, raw-парсинг без новых либ, без новых компонентов/стадий/QG).
+  Лейбл `arch:major-change` НЕ ставится; возврат в Анализ не требуется — ТЗ
+  реализуемо без нарушения принципов.

docs/work-items/ORCH-046/12-review.md

@@ -0,0 +1,83 @@
+---
+type: review
+work_item_id: ORCH-046
+verdict: APPROVED
+version: 1
+---
+
+# Review ORCH-046
+
+## Summary
+
+Правка ядра «вариант A»: при заворотах на `development` `task_desc` теперь несёт
+**дословный must-fix текст** (P0/P1 ревьюера, причина FAIL тестера) вместо одной
+ссылки на файл. Извлечение вынесено в новый defensive-модуль `src/review_parse.py`
+с контрактом «never raise»; две rollback-ветки `_handle_qg_failure_rollbacks`
+встраивают текст и сохраняют ссылку как «Полный контекст», при пустом/битом
+артефакте — graceful-фоллбэк на прежнюю строку.
+
+Реализация полностью соответствует ТЗ (`02-trz.md`), ADR-001 и всем критериям
+приёмки. Документация обновлена в этом же PR. Тесты зелёные (`461 passed`).
+
+Проверено по осям:
+
+**1. Соответствие ТЗ.** Сигнатуры `extract_review_findings`/`extract_test_failures`
+точно как в ТЗ §2; never-raise, логирование на `logger.debug`, модульные лимиты
+`MAX_FINDINGS_CHARS`/`MAX_FAILURES_CHARS`, отбрасывание frontmatter, устойчивость
+P0/P1-заголовков к регистру/тире, пропуск плейсхолдеров `(если есть)`/`<…>`,
+приоритет источников тестера (`## Вывод pytest` → FAIL-строки `## Результаты` →
+`## Итог`). Префикс `task_desc`, `reason` в tester-ветке, ссылка-фоллбэк — как
+предписано §3. API/БД/QG не тронуты (§4–6).
+
+**2. Соответствие ADR-001.** Отдельный модуль (blast radius), путь через
+`get_worktree_path`, изоляция ядра (меняется только строка `task_desc`),
+последовательность отката и поля `AdvanceResult` сохранены. Per-work-item ADR
+обоснован. Реализация ⇄ решение совпадают.
+
+**3. Качество кода.** Docstrings на всех публичных функциях; defensive `_read`
+ловит `OSError`, внешний `try/except Exception` в обоих экстракторах гарантирует
+never-raise (подтверждено кейсом на directory-path). Регэксп `_P01_HEADER_RE`
+корректно отсекает ложные совпадения (`P05` и т.п.). Код читабелен, без дублей.
+
+**4. Качество тестов.** `tests/test_review_parse.py` покрывает TC-01..08 (findings
+есть / только P2-P3 / нет файла / битый YAML / усечение / регистр-тире / directory).
+`tests/test_stage_engine.py::TestRollbackTaskDescEmbedding` проверяет встраивание
+в обе ветки, graceful-фоллбэк, неизменность retry/rollback на 4-м заходе (alert
+вместо enqueue). Содержательные, не тривиальные.
+
+## Findings
+
+### P0 — Blocker
+- [ ] (нет)
+
+### P1 — Must fix
+- [ ] (нет)
+
+### P2 — Should fix
+- [ ] (нет)
+
+## Соответствие критериям приёмки
+
+- AC-1 (дословные P0/P1 в `task_desc`) — PASS: `Findings (P0/P1):\n{findings}`.
+- AC-2 (причина тестера: `reason` + фрагмент тела) — PASS: `Причина: {reason}` + `Детали:`.
+- AC-3 (ссылка на полный файл сохранена) — PASS: «Полный контекст»/fallback-ссылка в обеих ветках.
+- AC-4 (graceful never-raise) — PASS: `""`→ссылка-фоллбэк, исключений нет (тесты TC-03/04/07/08, directory-path).
+- AC-5 (тесты зелёные + новые юнит-тесты) — PASS: `461 passed`; все перечисленные кейсы присутствуют.
+- AC-6 (retry/rollback не изменены) — PASS: TC-12 + существующие rollback-тесты зелёные.
+- AC-7 (out-of-scope не затронут) — PASS: diff не касается `src/qg/checks.py`, `src/webhooks/*`, `usage.py`, `stages.py`, `main.py`; сигнатуры публичных функций не менялись.
+- AC-8 (документация + ADR) — PASS: ADR-001 заведён, `CHANGELOG.md` и `docs/architecture/README.md` обновлены.
+
+## Документация
+
+Обновлена корректно и в том же PR (golden source соблюдён):
+- `docs/work-items/ORCH-046/06-adr/ADR-001-embed-findings-in-task-desc.md` — заведён (правка ядра).
+- `CHANGELOG.md` — запись ORCH-046 в `[Unreleased] / Added`.
+- `docs/architecture/README.md` — добавлен компонент **Review/Test Parsers** и раздел **Обогащение `task_desc` при заворотах (ORCH-046)**.
+
+Изменение `src/` сопровождено обновлением документации — требование п.4/п.6 правил
+агентов выполнено.
+
+## Примечание (self-hosting)
+Правка ядра в общем прод-инстансе. Перед прод-деплоем обязательна стадия
+`deploy-staging` (8501) согласно ADR-001 / CLAUDE.md — это страховка следующих
+стадий, не блокер ревью.

docs/work-items/ORCH-046/13-test-report.md

@@ -0,0 +1,92 @@
+---
+type: test-report
+work_item_id: ORCH-046
+result: PASS
+---
+
+# Test Report — ORCH-046
+
+Встраивание дословного must-fix текста findings reviewer/tester в `task_desc`
+при заворотах на `development` (новый модуль `src/review_parse.py` + две
+rollback-ветки `src/stage_engine.py`).
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3 (asyncio mode=AUTO)
+- Ветка: feature/ORCH-046-stage-engine-pass-reviewer-tes
+- Дата: 2026-06-06
+
+## Результаты
+
+| TC ID | Описание | Покрывает | Результат |
+|-------|----------|-----------|-----------|
+| TC-01 | `extract_review_findings` возвращает дословный P0/P1 текст | AC-1, AC-5 | PASS |
+| TC-02 | `extract_review_findings` → `""` при только P2/P3 | AC-5 | PASS |
+| TC-03 | `extract_review_findings` → `""` для отсутствующего файла | AC-4 | PASS |
+| TC-04 | `extract_review_findings` → `""` для битого/без секции файла | AC-4, AC-5 | PASS |
+| TC-05 | `extract_review_findings` усекает длинный текст с маркером truncated | AC-1 | PASS |
+| TC-06 | `extract_test_failures` извлекает фрагмент тела (Вывод pytest/FAIL/Итог) | AC-2, AC-5 | PASS |
+| TC-07 | `extract_test_failures` → `""` для отсутствующего файла | AC-4 | PASS |
+| TC-08 | `extract_test_failures` → `""` для битого/пустого отчёта | AC-4, AC-5 | PASS |
+| TC-09 | reviewer REQUEST_CHANGES → `task_desc` содержит P0/P1 + ссылку | AC-1, AC-3 | PASS |
+| TC-10 | tester FAIL → `task_desc` содержит reason + фрагмент + ссылку | AC-2, AC-3 | PASS |
+| TC-11 | graceful fallback при отсутствующем/битом файле (обе ветки) | AC-4, AC-3 | PASS |
+| TC-12 | rollback/retry поведение неизменно (alert на 4-й заход, поля AdvanceResult) | AC-6 | PASS |
+| TC-13 | Реестр `QG_CHECKS` не изменён (snapshot), гейты нетронуты | AC-7 | PASS |
+| TC-14 | Полный регресс существующего набора зелёный | AC-5, AC-6, AC-7 | PASS |
+
+Сопоставление TC ↔ тесты:
+- TC-01..08 → `tests/test_review_parse.py` (`TestExtractReviewFindings`, `TestExtractTestFailures`), 14 кейсов, все PASS.
+- TC-09..12 → `tests/test_stage_engine.py::TestRollbackTaskDescEmbedding`, все PASS.
+- TC-13 → `tests/test_qg_registry_snapshot.py` (registry/callables/transitions snapshot), все PASS.
+- TC-14 → полный прогон `pytest tests/` → **461 passed**.
+
+## Smoke test API (read-only, прод-инстанс не затронут)
+
+| Endpoint | HTTP | Ответ |
+|----------|------|-------|
+| GET /health | 200 | `{"status":"ok","service":"orchestrator"}` |
+| GET /status | 200 | active_tasks включает task 37 (ORCH-046, stage=testing) |
+| GET /queue | 200 | counts: queued=0, running=1, failed=0; breaker=closed; preflight_ok=true |
+
+> `curl` в окружении отсутствует — smoke выполнен через `urllib`. Только GET-запросы,
+> деструктивных операций над прод-контейнером не выполнялось (self-hosting safety).
+
+## Вывод pytest
+
+```
+============================= test session starts ==============================
+platform linux -- Python 3.12.13, pytest-8.3.3, pluggy-1.6.0
+rootdir: .../feature_ORCH-046-stage-engine-pass-reviewer-tes
+configfile: pytest.ini
+plugins: anyio-4.13.0, asyncio-0.23.8
+asyncio: mode=Mode.AUTO
+...
+======================== 461 passed, 1 warning in 7.59s ========================
+```
+
+Прицельный прогон ORCH-046 (`test_review_parse.py` + `test_stage_engine.py` +
+`test_qg_registry_snapshot.py`): **53 passed**.
+
+Единственный warning — преэкзистентный `PydanticDeprecatedSince20` в `src/config.py`
+(не связан с ORCH-046).
+
+## Покрытие критериев приёмки
+
+| AC | Критерий | Подтверждение | Статус |
+|----|----------|---------------|--------|
+| AC-1 | Дословные P0/P1 в `task_desc` | TC-01, TC-09 | PASS |
+| AC-2 | Причина тестера (reason + фрагмент) в `task_desc` | TC-06, TC-10 | PASS |
+| AC-3 | Ссылка на полный файл сохранена | TC-09, TC-10, TC-11 | PASS |
+| AC-4 | Парсер graceful (never-raise) | TC-03, TC-04, TC-07, TC-08, TC-11 | PASS |
+| AC-5 | Тесты зелёные + новые юнит-тесты | TC-14 (461 passed) | PASS |
+| AC-6 | Retry/rollback не изменены | TC-12 | PASS |
+| AC-7 | Out-of-scope не затронут | TC-13 | PASS |
+| AC-8 | Документация + ADR | проверено reviewer (12-review.md, APPROVED) | PASS |
+
+## Итог
+
+**PASS** — все 14 TC из тест-плана зелёные, полный регресс 461 passed,
+smoke API 200 по всем эндпоинтам, прод-инстанс здоров. Все критерии приёмки
+выполнены. Задача готова к стадии `deploy-staging` (8501) — обязательной
+страховке self-hosting перед прод-деплоем.

docs/work-items/ORCH-046/15-staging-log.md

@@ -0,0 +1,90 @@
+---
+staging_status: FAILED
+timestamp: 2026-06-06T04:47:45Z
+base_url: http://localhost:8501
+mode: stub
+result: 9/10 checks PASS
+failed_checks: [B6]
+---
+
+# Staging Gate Log — ORCH-046
+
+Staging test suite **FAILED**. Exit code 1 (9/10 checks passed).
+
+## Verdict
+
+The staging gate is **red**: one check failed (`B6`). Per pipeline policy a
+non-zero staging suite is `staging_status: FAILED` → rollback to `development`.
+
+## Failed check
+
+```
+✗ FAIL  B6 Registry: sandbox present, prod ET/ORCH absent
+        [sandbox=NO, prod-ET=YES(BAD!), prod-ORCH=YES(BAD!)]
+```
+
+**What it means.** The staging container's project registry is **not isolated**:
+it sees the production projects `enduro-trails` (ET) and `orchestrator` (ORCH),
+and the `orchestrator-sandbox` (SANDBOX) project is **absent**. This violates the
+hard isolation invariant for staging (`docs/operations/INFRA.md`: «Staging видит
+ТОЛЬКО `orchestrator-sandbox` (SANDBOX) — изоляция»). The staging gate exists
+precisely to catch this class of safety breach before any prod deploy of the
+self-hosting orchestrator.
+
+**Triage note (for humans).** This is a **staging environment / configuration**
+issue — the staging container's `ORCH_PROJECTS_JSON` is pointing at the prod
+registry instead of the sandbox-only registry. It is **not** a code regression
+introduced by the ORCH-046 changeset (which only touches `src/review_parse.py`
+and rollback `task_desc` enrichment). However, the gate is authoritative and red,
+so the work item cannot pass to `deploy`. Fix the staging `.env.staging` /
+`ORCH_PROJECTS_JSON` to expose only SANDBOX, re-run the staging suite, and the
+gate will go green.
+
+> ⚠️ Safety note: the first run aborted at `A3` because `ORCH_STAGING` was not
+> set in the runner env (the script's guard against accidentally hitting prod).
+> Re-run with `ORCH_STAGING=true` against the staging URL (8501) executed the
+> full suite. Prod (8500) was never touched.
+
+## Full suite output
+
+```
+============================================================
+  ORCH-33 Staging Check Suite
+  base_url : http://localhost:8501
+  mode     : stub
+  utc_time : 2026-06-06T04:47:27.628664+00:00
+============================================================
+
+[Block A] SMOKE
+  ✓ PASS  A1 GET /health → 200 status=ok  [HTTP 200, body={'status': 'ok', 'service': 'orchestrator'}]
+  ✓ PASS  A2 GET /queue → 200 with counts/max_concurrency/resilience  [HTTP 200, keys=['counts', 'max_concurrency', 'poll_interval', 'resilience', 'recent']]
+  ✓ PASS  A3 ORCH_STAGING=true (not prod)  [ORCH_STAGING=true]
+
+[Block B] ACCESS
+  ✓ PASS  B4 Plane: sandbox project accessible  [HTTP 200, found 5 project(s), sandbox=YES]
+  ✓ PASS  B5 Gitea: orchestrator-sandbox accessible, push=true  [HTTP 200, permissions={'admin': True, 'push': True, 'pull': True}]
+  ✗ FAIL  B6 Registry: sandbox present, prod ET/ORCH absent  [sandbox=NO, prod-ET=YES(BAD!), prod-ORCH=YES(BAD!)]
+
+[Block C] E2E  (mode=stub)
+  ·      C7: Creating issue in SANDBOX project...
+  ✓ PASS  C7 Create issue in Plane SANDBOX  [HTTP 201, issue_id=2fcbcb0c-1b29-4b76-8ba8-a8fe42cebdb4]
+  ·      C8: Triggering pipeline via POST /webhook/plane ...
+  ·        Using HMAC signature (secret len=40)
+  ✓ PASS  C8 Trigger pipeline via /webhook/plane  [HTTP 200, resp={'status': 'accepted'}]
+  ·      C9a: Polling for branch in orchestrator-sandbox (up to 60s)...
+  ✓ PASS  C9a Branch appears in orchestrator-sandbox  [branch=feature/SANDBOX-011-staging-check-e2e-20260606t044]
+  ·      C9b: Checking staging job queue for analyst job (up to 30s)...
+  ·        (Plane comment check skipped: bot-tokens not added to SANDBOX project)
+  ✓ PASS  C9b Analyst job enqueued in staging queue  [job_id=7, status=queued, agent=analyst]
+
+[CLEANUP]
+  ✓ PASS  CLEANUP: deleted branch 'feature/SANDBOX-011-staging-check-e2e-20260606t044' (HTTP 204)
+  ✓ PASS  CLEANUP: deleted Plane issue 2fcbcb0c-1b29-4b76-8ba8-a8fe42cebdb4 (HTTP 204)
+  ·      CLEANUP DB: no task row found for plane_id=2fcbcb0c-1b29-4b76-8ba8-a8fe42cebdb4
+  ·      CLEANUP DB dedup: no such table: events_dedup
+
+============================================================
+  RESULT: 9/10 checks PASS
+============================================================
+EXIT_CODE=1
+```

docs/work-items/ORCH-047/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: check_tests_passed: gate must read result: field from test report
+
+Work Item ID: ORCH-047
+
+## Description
+
+TBD

docs/work-items/ORCH-047/01-brd.md

@@ -0,0 +1,57 @@
+# BRD — ORCH-047: check_tests_passed должен читать поле `result:` из тест-отчёта
+
+## 1. Контекст и проблема
+
+Quality Gate `check_tests_passed` (`src/qg/checks.py`, функция-парсер `_parse_tests_verdict`) гейтит переход `testing → deploy-staging`. Он читает машиночитаемый вердикт из YAML-frontmatter артефакта `13-test-report.md`.
+
+**Дефект (обнаружен дев-агентом в ходе ORCH-17, подтверждён 05.06.2026):**
+парсер читает ТОЛЬКО поля `verdict:` и `status:`. Однако промпт тестер-агента (`.openclaw/agents/tester.md`, строки 51–56 и 78–80) предписывает эмитить машиночитаемое поле **`result: PASS|FAIL`** — и НЕ упоминает ни `verdict:`, ни `status:`.
+
+В результате тестер, честно следующий своей инструкции (реальный отчёт ORCH-017: `result: PASS`, без `verdict:`/`status:`), упирается в ветку «ни verdict, ни status не заданы» → гейт возвращает `False` с причиной *"No machine-readable verdict/status in test report frontmatter"* → задача откатывается `testing → development`.
+
+**Последствие:** ЛЮБАЯ задача, где тестер пишет `result: PASS` (то есть строго по своей инструкции), застревает в бесконечной петле `testing ↔ development` до исчерпания `MAX_DEVELOPER_RETRIES`. Именно это крутило ORCH-17. ORCH-016 прошёл раньше лишь потому, что его отчёт избыточно нёс И `verdict:`, И `result:`.
+
+**Корень:** рассинхрон контракта. Гейт (потребитель) и промпт тестера (производитель) описывают разные имена машиночитаемого поля.
+
+## 2. Бизнес-цель
+
+Привести контракт гейта `check_tests_passed` в соответствие с тем, что тестер-агенту реально велено эмитить, чтобы корректные тест-отчёты (`result: PASS`) проходили гейт, а отрицательные (`result: FAIL`) — надёжно откатывали задачу. Устранить ложноотрицательные срабатывания, ломающие конвейер всех проектов.
+
+## 3. Заинтересованные стороны
+
+- **Owner / Стрим, Слава** — выявили дефект при разборе ORCH-17 (05.06).
+- **Все проекты общего прод-инстанса** (orchestrator self-hosting + enduro-trails) — потребители shared quality-gate. Это SHARED-изменение, влияет на всех.
+- **Тестер-агент** — производитель `13-test-report.md`.
+
+## 4. Объём работ (scope)
+
+### В объёме
+- `_parse_tests_verdict` читает `result:` как первоклассное машиночитаемое поле НАРАВНЕ с `verdict:` и `status:`.
+- Семантика приоритетов сохраняется и распространяется на все три поля:
+  - negative-токен в ЛЮБОМ из трёх (`result`/`verdict`/`status`) → FAIL и авторитетен (перебивает positive в другом поле);
+  - при отсутствии negative — positive-токен в ЛЮБОМ из трёх → PASS;
+  - ни одно из трёх полей не задано → FAIL (нет машиночитаемого вердикта);
+  - заданы, но не распознаны → FAIL.
+- Обратная совместимость: отчёты, несущие только `verdict:`/`status:` (стиль enduro-trails ET-001…ET-014, ORCH-016), продолжают работать ровно как раньше.
+- **ADR** на изменение семантики shared testing-гейта (правило 2 CLAUDE.md — обязательно для сквозного изменения).
+- Обновление документации: `docs/architecture/README.md` (строка про машинные ключи вердикт-парсера), `CHANGELOG.md`.
+
+### Вне объёма
+- Изменение промпта тестера (`.openclaw/agents/tester.md`). Контракт приводится со стороны гейта к тому, что тестеру УЖЕ велено эмитить; промпт не трогаем.
+- Изменение других гейтов (`check_reviewer_verdict`, `check_deploy_status`, `check_staging_status`) — у них свои поля (`verdict:`, `deploy_status:`, `staging_status:`), они вне этого дефекта.
+- Изменения ORCH-017 (про ссылки) — это отдельный work item.
+
+## 5. Ограничения и риски
+
+- **SHARED quality-gate, общий прод-инстанс.** Изменение затрагивает enduro-trails наравне с orchestrator. Регресс недопустим: набор положительных/отрицательных токенов и поведение для старого формата (`verdict:`/`status:`) должны остаться неизменными.
+- **Self-hosting.** Орк правит сам себя; деплой проходит через обязательную стадию `deploy-staging` (8501). Прод-контейнер `orchestrator` (8500) не ронять.
+- Изменение читает только frontmatter, никогда не прозу (канон гейтов из `docs/architecture/README.md`).
+- Парсер не должен бросать исключения ни при каком вводе (битый YAML, пустой файл, frontmatter-не-mapping) → всегда `(False, reason)`.
+
+## 6. Эталонный код
+
+Дев-агент уже написал референс-реализацию в ветке `feature/ORCH-017` (`src/qg/checks.py` + `tests/test_qg.py`, 23 теста). Его допустимо использовать как ориентир, но оформить чисто через данный work item с собственным ADR.
+
+## 7. Критерий успеха
+
+Тест-отчёт с одним лишь `result: PASS` проходит гейт `check_tests_passed`; с `result: FAIL` — нет. Старый формат (`verdict:`/`status:`) не регрессирует. Все pytest зелёные. ADR заведён.

docs/work-items/ORCH-047/02-trz.md

@@ -0,0 +1,68 @@
+# ТЗ — ORCH-047: `_parse_tests_verdict` читает `result:` наравне с `verdict:`/`status:`
+
+## 1. Задействованные модули `src/`
+
+| Файл | Что меняется |
+|------|--------------|
+| `src/qg/checks.py` | Функция `_parse_tests_verdict` (стр. ~223–265). Добавить чтение поля `result:` из frontmatter и включить его в проверку токенов наравне с `verdict:`/`status:`. Обновить докстринг функции и `check_tests_passed`. |
+
+Точка входа `check_tests_passed(repo, work_item_id, branch)` (стр. ~182) и реестр `QG_CHECKS` НЕ меняются (сигнатура и имя гейта те же).
+
+## 2. Требуемое поведение `_parse_tests_verdict`
+
+Вход — строковое тело `13-test-report.md`. Выход — `tuple[bool, str]`.
+
+1. Нет frontmatter (`content` не начинается с `---`) → `(False, "No YAML frontmatter ...")`.
+2. Frontmatter некорректен (split по `---` даёт < 3 частей) → `(False, "Malformed YAML frontmatter ...")`.
+3. YAML не парсится → `(False, "Invalid YAML frontmatter ...: <e>")` (никогда не raise).
+4. YAML не mapping → `(False, "Malformed YAML frontmatter ... (not a mapping)")`.
+5. Прочитать три поля, нормализовать (`str(...).upper().strip()`, защита от `None`):
+   - `verdict`
+   - `status`
+   - **`result`  ← НОВОЕ**
+6. Если ВСЕ три пусты → `(False, "No machine-readable verdict/status/result in test report frontmatter")`.
+7. Собрать объединённую строку полей `fields = f"{verdict} {status} {result}"`.
+8. Если в `fields` встречается ЛЮБОЙ negative-токен (`_TESTS_NEGATIVE_TOKENS`) → `(False, "Test verdict: <значение> (<NEG>)")`. **Negative авторитетен** — проверяется ПЕРВЫМ, перебивает любой positive.
+9. Иначе если встречается ЛЮБОЙ positive-токен (`_TESTS_POSITIVE_TOKENS`) → `(True, "Test verdict: <значение> (PASS)")`.
+10. Иначе (заданы, но не распознаны) → `(False, "No recognized PASS verdict in frontmatter (...)")`.
+
+Наборы токенов НЕ изменяются (важно для обратной совместимости с enduro-trails):
+```python
+_TESTS_NEGATIVE_TOKENS = ("BLOCKED", "FAILED", "FAIL", "REQUEST_CHANGES", "REJECT", "RED")
+_TESTS_POSITIVE_TOKENS = ("PASSED", "PASS", "READY-TO-DEPLOY", "READY_TO_DEPLOY", "GREEN", "APPROVED")
+```
+
+> Примечание для разработчика (порядок токенов): negative-список проверяется раньше positive — это даёт авторитетность отрицания. Внутри positive-набора `"PASSED"` идёт перед `"PASS"` лишь для аккуратного reason-текста; на результат (bool) порядок не влияет, т.к. это подстрочный поиск.
+
+## 3. Контракт поля (golden source)
+
+После изменения машиночитаемыми полями testing-гейта считаются **три равноправных**: `result:` (канон промпта тестера), `verdict:`, `status:` (легаси/enduro-trails). Достаточно ЛЮБОГО одного. Это и есть приведение гейта к тому, что тестеру велено эмитить в `.openclaw/agents/tester.md` (`result: PASS|FAIL`).
+
+## 4. Изменения API
+
+Нет. HTTP-эндпоинты (`/health`, `/status`, `/queue`, вебхуки) не затрагиваются. Сигнатуры функций гейта не меняются.
+
+## 5. Изменения схемы БД
+
+Нет.
+
+## 6. Требования к новым QG checks
+
+Новых гейтов нет. Меняется внутренняя логика существующего `check_tests_passed` (через `_parse_tests_verdict`). Реестр `QG_CHECKS` без изменений → снапшот-тест `tests/test_qg_registry_snapshot.py` должен остаться зелёным.
+
+## 7. Артефакты pipeline (создать/обновить в этом PR)
+
+- `docs/work-items/ORCH-047/06-adr/ADR-001-*.md` — **обязательно** (правило 2 CLAUDE.md): ADR на изменение семантики SHARED testing-гейта (влияет на все проекты общего инстанса). Заводит архитектор.
+- `docs/architecture/README.md` — обновить строку о вердикт-парсере (раздел «Plane Sync», п. про машинные ключи): для testing-гейта перечислить `result:`/`verdict:`/`status:`.
+- `CHANGELOG.md` — запись `fix:` про ORCH-047.
+- `tests/test_qg.py` — добавить кейсы на `result:` (см. `04-test-plan.yaml`).
+
+## 8. Нефункциональные требования
+
+- Парсер не бросает исключений ни на каком вводе.
+- Изменение читает только frontmatter, не прозу (канон гейтов).
+- Полная обратная совместимость: существующие тесты `TestCheckTestsPassed` остаются зелёными без правок (кроме, возможно, переименования reason-строки в п.6 BRD — текст причины «No machine-readable verdict/status...» обновляется на «...verdict/status/result...», соответствующий ассерт при наличии обновить).
+
+## 9. Деплой
+
+Self-hosting: стандартный путь через `deploy-staging` (8501) перед прод-деплоем. Прод-контейнер `orchestrator` (8500) не перезапускать в рамках разработки/тестинга.

docs/work-items/ORCH-047/03-acceptance-criteria.md

@@ -0,0 +1,68 @@
+# Критерии приёмки — ORCH-047
+
+Каждый критерий имеет однозначное условие PASS/FAIL.
+
+## AC-01 — `result: PASS` проходит гейт (главный кейс ORCH-17)
+- **Дано:** `13-test-report.md` с frontmatter, содержащим только `result: PASS` (без `verdict:`/`status:`).
+- **Ожидается:** `check_tests_passed(...)` → `(True, ...)`, в reason присутствует «PASS».
+- **PASS:** возвращается True. **FAIL:** возвращается False.
+
+## AC-02 — `result: FAIL` откатывает задачу
+- **Дано:** frontmatter с `result: FAIL` (без `verdict:`/`status:`).
+- **Ожидается:** `(False, ...)`, reason содержит токен отрицания (`FAIL`).
+- **PASS:** False. **FAIL:** True.
+
+## AC-03 — Negative авторитетен поверх positive (в т.ч. между полями)
+- **Дано:** `result: PASS`, но `verdict: BLOCKED` (или `status: failed`).
+- **Ожидается:** `(False, ...)`, reason упоминает negative-токен (`BLOCKED`/`FAILED`).
+- **PASS:** False. **FAIL:** True.
+
+## AC-04 — Positive в любом из трёх полей даёт PASS
+- **Дано (каждый подкейс отдельно):**
+  - только `verdict: PASS`;
+  - только `status: PASSED`;
+  - только `result: ready-to-deploy`.
+- **Ожидается:** все три → `(True, ...)`.
+- **PASS:** все True. **FAIL:** хоть один False.
+
+## AC-05 — Обратная совместимость (enduro-trails / ORCH-016)
+- **Дано:** существующие реальные формы из `TestCheckTestsPassed`:
+  - `verdict: PASS` + `status: pass`;
+  - `verdict: PASS — ready-to-deploy`;
+  - `verdict: ready-to-deploy` + `status: PASSED`;
+  - `verdict: stage:ready-to-deploy` + `status: pass`;
+  - `verdict: BLOCKED` + проза «23 passed».
+- **Ожидается:** результаты идентичны прежним (PASS-кейсы → True, BLOCKED → False). Старые тесты `TestCheckTestsPassed` зелёные.
+- **PASS:** поведение не изменилось. **FAIL:** любой регресс.
+
+## AC-06 — Ни одно из трёх полей не задано → FAIL
+- **Дано:** frontmatter без `result`/`verdict`/`status` (например, только `type:`/`version:`); тело может содержать «Result: PASS» прозой.
+- **Ожидается:** `(False, ...)`, причина про отсутствие машиночитаемого вердикта.
+- **PASS:** False. **FAIL:** True.
+
+## AC-07 — Только проза, без frontmatter → FAIL
+- **Дано:** отчёт без YAML-frontmatter, в теле «Result: PASS / All tests passed».
+- **Ожидается:** `(False, ...)`, причина про отсутствие frontmatter. Прозу не читаем.
+- **PASS:** False. **FAIL:** True.
+
+## AC-08 — Битый YAML → FAIL без исключения
+- **Дано:** некорректный YAML во frontmatter.
+- **Ожидается:** `(False, ...)` c упоминанием YAML/frontmatter, функция НЕ бросает исключение.
+- **PASS:** False и нет raise. **FAIL:** raise или True.
+
+## AC-09 — Отчёт отсутствует → FAIL
+- **Дано:** файла `13-test-report.md` нет.
+- **Ожидается:** `(False, "...not found...")`.
+- **PASS:** False. **FAIL:** True.
+
+## AC-10 — Реестр гейтов неизменен
+- **Ожидается:** `QG_CHECKS` содержит ровно те же ключи, что и до изменения; `tests/test_qg_registry_snapshot.py` зелёный.
+- **PASS:** снапшот совпал. **FAIL:** снапшот изменился.
+
+## AC-11 — Документация и ADR обновлены (правило 2/6 CLAUDE.md)
+- **Ожидается:** заведён `docs/work-items/ORCH-047/06-adr/ADR-001-*.md`; обновлены `docs/architecture/README.md` (вердикт-парсер testing-гейта) и `CHANGELOG.md`.
+- **PASS:** все три присутствуют и описывают изменение. **FAIL:** что-либо отсутствует → REQUEST_CHANGES на review.
+
+## AC-12 — Полный регресс зелёный
+- **Ожидается:** `pytest tests/ -q` — все тесты PASS.
+- **PASS:** exit code 0. **FAIL:** любой упавший тест.

docs/work-items/ORCH-047/04-test-plan.yaml

@@ -0,0 +1,97 @@
+work_item: ORCH-047
+module_under_test: src/qg/checks.py::_parse_tests_verdict (via check_tests_passed)
+test_file: tests/test_qg.py
+notes: >
+  Добавить в класс TestCheckTestsPassed. Шаблон записи отчёта — существующий
+  хелпер self._write(dir, content). Наборы токенов не меняются; проверяем, что
+  поле result: теперь равноправно с verdict:/status:, а старые кейсы не регрессируют.
+
+tests:
+  - id: TC-01
+    type: unit
+    description: "result: PASS без verdict/status -> гейт PASS (главный кейс ORCH-17, AC-01)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\ntype: test-report\nresult: PASS\n---\n\n# Test Report\n"
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: "result: FAIL без verdict/status -> гейт FAIL, reason содержит FAIL (AC-02)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nresult: FAIL\n---\n\nbody\n"
+    expected: FAIL
+
+  - id: TC-03
+    type: unit
+    description: "result: PASS, но verdict: BLOCKED -> negative авторитетен -> FAIL (AC-03)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nresult: PASS\nverdict: BLOCKED\n---\n\n23 passed\n"
+    expected: FAIL
+
+  - id: TC-04
+    type: unit
+    description: "result: PASS, но status: failed -> negative авторитетен -> FAIL (AC-03)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nresult: PASS\nstatus: failed\n---\n\nbody\n"
+    expected: FAIL
+
+  - id: TC-05
+    type: unit
+    description: "result: ready-to-deploy (positive-токен, без слова PASS) -> PASS (AC-04)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nresult: ready-to-deploy\n---\n\nbody\n"
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: "Только verdict: PASS (легаси) -> PASS, без регресса (AC-05)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nverdict: PASS\nstatus: pass\n---\n\nbody\n"
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: "verdict: BLOCKED + проза '23 passed' (ET-013 баг) -> FAIL, без регресса (AC-05)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nverdict: BLOCKED\n---\n\nTests: 23 passed, 0 failed.\n"
+    expected: FAIL
+
+  - id: TC-08
+    type: unit
+    description: "Ни result, ни verdict, ни status; тело с прозой 'Result: PASS' -> FAIL (AC-06)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\ntype: test-report\nversion: 1\n---\n\nResult: PASS\n"
+    expected: FAIL
+
+  - id: TC-09
+    type: unit
+    description: "Нет frontmatter, проза 'Result: PASS' -> FAIL (AC-07)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "# Test Report\n\nResult: PASS\nAll tests passed.\n"
+    expected: FAIL
+
+  - id: TC-10
+    type: unit
+    description: "Битый YAML во frontmatter -> FAIL без исключения, reason про YAML/frontmatter (AC-08)"
+    module: tests/test_qg.py
+    fixture_frontmatter: "---\nresult: [unclosed\n  : : :\n---\n\nbody PASS\n"
+    expected: FAIL
+
+  - id: TC-11
+    type: unit
+    description: "Файл 13-test-report.md отсутствует -> FAIL, reason 'not found' (AC-09)"
+    module: tests/test_qg.py
+    fixture_frontmatter: null
+    expected: FAIL
+
+  - id: TC-12
+    type: unit
+    description: "Реестр QG_CHECKS не изменился -> снапшот зелёный (AC-10)"
+    module: tests/test_qg_registry_snapshot.py
+    expected: PASS
+
+  - id: TC-13
+    type: integration
+    description: "Полный регресс pytest tests/ -q зелёный, существующий TestCheckTestsPassed без правок логики (AC-05, AC-12)"
+    module: tests/
+    expected: PASS

docs/work-items/ORCH-047/06-adr/ADR-001-result-field-in-tests-gate.md

@@ -0,0 +1,80 @@
+# ADR-001: testing-гейт читает `result:` наравне с `verdict:`/`status:`
+
+- **Статус:** Accepted
+- **Дата:** 2026-06-05
+- **Задача:** ORCH-047
+- **Область:** SHARED quality-gate `check_tests_passed` (общий прод-инстанс: orchestrator + enduro-trails)
+
+## Контекст
+
+Quality Gate `check_tests_passed` (`src/qg/checks.py`, парсер `_parse_tests_verdict`) гейтит
+переход `testing → deploy-staging`, читая машиночитаемый вердикт ТОЛЬКО из YAML-frontmatter
+артефакта `13-test-report.md` (канон гейтов: frontmatter, никогда не проза — см.
+`docs/architecture/README.md`).
+
+Существует рассинхрон контракта между производителем и потребителем вердикта:
+
+- **Потребитель** (`_parse_tests_verdict`) читает поля `verdict:` и `status:`.
+- **Производитель** (`.openclaw/agents/tester.md`, строки 51–56, 78–80) предписывает тестеру
+  эмитить машиночитаемое поле **`result: PASS|FAIL`** и НЕ упоминает `verdict:`/`status:`.
+
+Тестер, честно следуя своей инструкции, пишет `result: PASS` без `verdict:`/`status:`. Парсер
+попадает в ветку «ни verdict, ни status не заданы» → `(False, "No machine-readable
+verdict/status…")` → откат `testing → development` и петля до исчерпания
+`MAX_DEVELOPER_RETRIES`. Это наблюдалось на ORCH-17; ORCH-016 прошёл лишь потому, что его отчёт
+избыточно нёс И `verdict:`, И `result:`.
+
+Корень — несовпадение имён поля контракта, а не логики токенов. Наборы positive/negative-токенов
+исправны и менять их нельзя (обратная совместимость с реальными отчётами enduro-trails
+ET-001…ET-014).
+
+## Решение
+
+Привести контракт гейта к тому, что тестеру УЖЕ велено эмитить — со стороны гейта, не трогая
+промпт тестера.
+
+1. `_parse_tests_verdict` читает **три равноправных** машиночитаемых поля из frontmatter:
+   `result:` (канон промпта тестера), `verdict:`, `status:` (легаси/enduro-trails). Достаточно
+   ЛЮБОГО одного непустого.
+2. Семантика приоритетов сохраняется и распространяется на все три поля через объединённую строку
+   `fields = f"{verdict} {status} {result}"`:
+   - negative-токен (`_TESTS_NEGATIVE_TOKENS`) в любом поле → FAIL и **авторитетен** (проверяется
+     первым, перебивает positive в другом поле);
+   - иначе positive-токен (`_TESTS_POSITIVE_TOKENS`) в любом поле → PASS;
+   - ни одно из трёх не задано → FAIL («No machine-readable verdict/status/result…»);
+   - заданы, но не распознаны → FAIL.
+3. Наборы токенов **не изменяются**.
+4. Парсер не бросает исключений ни на каком вводе (битый YAML, пустой файл, frontmatter-не-mapping)
+   → всегда `(False, reason)`.
+5. Сигнатура `check_tests_passed`, имя гейта и реестр `QG_CHECKS` **не меняются** — снапшот
+   `tests/test_qg_registry_snapshot.py` остаётся зелёным.
+
+### Альтернативы (отклонены)
+
+- **Править промпт тестера** (`verdict:` вместо `result:`) — отклонено: контракт уже задокументирован
+  для тестера как `result:`; единичная правка гейта дешевле и не требует переучивать агента, плюс
+  ломала бы совместимость со старыми отчётами, где встречается `verdict:`/`status:`.
+- **Глобальный ADR в `docs/architecture/adr/`** — не требуется: изменение не добавляет гейт/стадию/
+  компонент и не меняет топологию; это приведение парсинга существующего гейта к контракту. Канон
+  гейтов в README обновляется точечно.
+
+## Последствия
+
+- **Плюс:** корректные отчёты `result: PASS` проходят гейт; `result: FAIL` надёжно откатывает.
+  Петля `testing ↔ development` устранена для всех проектов общего инстанса.
+- **Плюс:** полная обратная совместимость — отчёты только с `verdict:`/`status:` работают как
+  раньше; существующие тесты `TestCheckTestsPassed` зелёные без правок (кроме обновления reason-текста
+  «…verdict/status…» → «…verdict/status/result…»).
+- **Минус/ограничение:** число распознаваемых имён поля растёт до трёх — формально шире поверхность
+  «случайного PASS». Митигируется тем, что negative-токен авторитетен и читается только frontmatter.
+- **SHARED-риск:** изменение затрагивает enduro-trails наравне с orchestrator. Регресс по наборам
+  токенов недопустим → они заморожены; покрытие — `04-test-plan.yaml` (AC-04/AC-05).
+- **Self-hosting:** деплой строго через `deploy-staging` (8501); прод-контейнер `orchestrator`
+  (8500) не перезапускать в рамках разработки/тестинга.
+
+## Связи
+
+- BRD/ТЗ: `docs/work-items/ORCH-047/01-brd.md`, `02-trz.md`.
+- Канон гейтов и вердикт-парсер: `docs/architecture/README.md`.
+- Промпт-производитель: `.openclaw/agents/tester.md` (`result: PASS|FAIL`).
+- adr-0003 (staging-гейт) — обязательная страховка перед прод-деплоем self.

docs/work-items/ORCH-047/10-tech-risks.md

@@ -0,0 +1,10 @@
+# Технические риски — ORCH-047
+
+| # | Риск | Вероятность | Влияние | Митигация |
+|---|------|-------------|---------|-----------|
+| R-1 | Регресс набора токенов ломает enduro-trails (SHARED-гейт, общий прод-инстанс) | Низкая | Высокое | Наборы `_TESTS_NEGATIVE_TOKENS`/`_TESTS_POSITIVE_TOKENS` **заморожены** (не трогать). Покрытие AC-05 на реальных формах ET-001…ET-014 + ORCH-016. |
+| R-2 | Новое поле `result:` расширяет поверхность ложного PASS | Низкая | Среднее | Negative-токен авторитетен (проверяется первым, перебивает positive). Читается только frontmatter, не проза (AC-03, AC-06, AC-07). |
+| R-3 | Парсер бросает исключение на битом вводе → падение `_run_qg` | Низкая | Высокое | Defensive-контракт сохранён: любой ввод (нет frontmatter / битый YAML / не-mapping / пустой) → `(False, reason)`, никогда raise (AC-08). |
+| R-4 | Незаметное изменение реестра гейтов | Очень низкая | Среднее | Сигнатура, имя гейта и `QG_CHECKS` неизменны; снапшот `tests/test_qg_registry_snapshot.py` зелёный (AC-10). |
+| R-5 | Self-hosting: деплой роняет прод-контейнер всех проектов | Низкая | Высокое | Деплой только через `deploy-staging` (8501); прод `orchestrator` (8500) не перезапускать в dev/test (CLAUDE.md, adr-0003). |
+| R-6 | Изменение поведения без обновления golden-source доки → REQUEST_CHANGES на review | Средняя | Низкое | ADR-001 заведён; `docs/architecture/README.md` (вердикт-парсер) обновлён архитектором; `CHANGELOG.md` — дев в том же PR (AC-11). |

docs/work-items/ORCH-047/12-review.md

@@ -0,0 +1,62 @@
+---
+type: review
+work_item_id: ORCH-047
+verdict: APPROVED
+version: 3
+---
+
+# Review ORCH-047
+
+## Summary
+Гейт `check_tests_passed` (через `_parse_tests_verdict`) теперь читает `result:` наравне с
+`verdict:`/`status:`. Реализация точно соответствует ТЗ (`02-trz.md`), ADR-001 и критериям
+приёмки. Независимый прогон: `pytest tests/ -q` → **442 passed**; снапшот реестра гейтов не
+изменился. Документация (README, ADR-001, CHANGELOG) обновлена в том же PR. Блокеров и
+must-fix нет → APPROVED.
+
+## Findings
+
+### P0 — Blocker
+- нет
+
+### P1 — Must fix
+- нет
+
+### P2 — Should fix
+- нет
+
+### P3 — Nice-to-have
+- [ ] Докстринг `check_tests_passed` (≈стр. 184) по-прежнему говорит «Gate the testing ->
+  deploy transition», тогда как фактический переход — `testing → deploy-staging`.
+  Несоответствие предсуществующее, этим PR не введено; чистая косметика, не блокирует.
+
+## Соответствие ТЗ и AC
+- **ТЗ §2** — все 10 правил поведения реализованы: чтение `result:` (стр. 261, нормализация
+  `str(...).upper().strip()` + защита от `None`); все три пусты → корректная reason-строка
+  «...verdict/status/result...» (стр. 263–264); объединённая строка `fields = "{verdict}
+  {status} {result}"` (стр. 267); negative-токен проверяется ПЕРВЫМ и авторитетен
+  (стр. 268–270); positive (стр. 271–273); fallback на нераспознанные (стр. 275–279).
+  Наборы `_TESTS_NEGATIVE_TOKENS`/`_TESTS_POSITIVE_TOKENS` не тронуты. ✅
+- **ТЗ §4/§5/§6** — сигнатура `check_tests_passed`, имя гейта, `QG_CHECKS`, HTTP-API, схема БД
+  не изменены. Снапшот `tests/test_qg_registry_snapshot.py` зелёный (AC-10). ✅
+- **AC-01..AC-09** — покрыты новыми кейсами в `TestCheckTestsPassed`: `result: PASS/FAIL`,
+  авторитетность negative между полями (`verdict: BLOCKED`, `status: failed` поверх
+  `result: PASS`), `result: ready-to-deploy`, отсутствие машинных полей (reason упоминает
+  `result`). Легаси-кейсы остались зелёными без правок логики (AC-05). ✅
+- **AC-12** — `pytest tests/ -q` → 442 passed (независимый прогон ревьюера). ✅
+
+## Соответствие ADR
+- ADR-001 (`06-adr/ADR-001-result-field-in-tests-gate.md`): решение «три равноправных поля,
+  токены заморожены, negative авторитетен, реестр/сигнатура неизменны» полностью отражено
+  в коде.
+- Глобальный ADR обоснованно не требуется (изменение не добавляет гейт/стадию/компонент,
+  не меняет топологию) — согласуется с конвенцией CLAUDE.md. SHARED-риск общего инстанса
+  (orchestrator + enduro-trails) учтён: токены заморожены, обратная совместимость покрыта
+  тестами.
+
+## Документация
+ОБНОВЛЕНА в том же PR (правило 2/6 CLAUDE.md, AC-11):
+- `docs/architecture/README.md` — строка вердикт-парсера: для testing-гейта перечислены
+  `result:`/`verdict:`/`status:` + пометка про авторитетность negative. ✅
+- `docs/work-items/ORCH-047/06-adr/ADR-001-result-field-in-tests-gate.md` — заведён. ✅
+- `CHANGELOG.md` — запись в `Fixed` про ORCH-047. ✅

docs/work-items/ORCH-047/13-test-report.md

@@ -0,0 +1,78 @@
+---
+type: test-report
+work_item_id: ORCH-047
+result: PASS
+---
+
+# Test Report — ORCH-047
+
+`check_tests_passed` / `_parse_tests_verdict` читает `result:` наравне с `verdict:`/`status:`.
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Ветка: feature/ORCH-047-check-tests-passed-gate-must-r
+- Среда: dev worktree (прод-контейнер `orchestrator` :8500 не затронут)
+- Дата: 2026-06-05
+
+## Smoke test API (prod :8500, read-only)
+| Endpoint | Результат |
+|----------|-----------|
+| `GET /health` | `{"status":"ok","service":"orchestrator"}` — OK |
+| `GET /status` | 200, активные задачи отдаются (ORCH-047 в testing) — OK |
+| `GET /queue` | 200, counts/breaker/preflight в норме (running:1, failed:0) — OK |
+
+## Результаты (план `04-test-plan.yaml`)
+
+| TC ID | Описание | Тест | Результат |
+|-------|----------|------|-----------|
+| TC-01 | `result: PASS` без verdict/status → PASS (AC-01) | `test_result_pass_passes` | PASS |
+| TC-02 | `result: FAIL` → FAIL, reason содержит FAIL (AC-02) | `test_result_fail_fails` | PASS |
+| TC-03 | `result: PASS` + `verdict: BLOCKED` → negative авторитетен → FAIL (AC-03) | `test_result_pass_but_verdict_blocked_fails` | PASS |
+| TC-04 | `result: PASS` + `status: failed` → FAIL (AC-03) | `test_result_pass_but_status_failed_fails` | PASS |
+| TC-05 | `result: ready-to-deploy` → PASS (AC-04) | `test_result_ready_to_deploy_passes` | PASS |
+| TC-06 | Легаси `verdict: PASS` → PASS, без регресса (AC-05) | `test_verdict_pass_passes` | PASS |
+| TC-07 | `verdict: BLOCKED` + проза «23 passed» → FAIL (AC-05) | `test_passed_count_in_body_but_blocked_verdict_fails` | PASS |
+| TC-08 | Нет машинных полей, проза «Result: PASS» → FAIL (AC-06) | `test_no_machine_field_reason_mentions_result` | PASS |
+| TC-09 | Нет frontmatter → FAIL (AC-07) | `test_no_frontmatter_fails` | PASS |
+| TC-10 | Битый YAML → FAIL без исключения (AC-08) | `test_invalid_yaml_fails_no_exception` | PASS |
+| TC-11 | Отчёт отсутствует → FAIL «not found» (AC-09) | `test_no_report` | PASS |
+| TC-12 | Реестр `QG_CHECKS` неизменен (AC-10) | `test_qg_registry_snapshot.py` (3 теста) | PASS |
+| TC-13 | Полный регресс зелёный (AC-05, AC-12) | `pytest tests/` | PASS |
+
+## Покрытие критериев приёмки
+
+| AC | Статус |
+|----|--------|
+| AC-01 `result: PASS` проходит | PASS |
+| AC-02 `result: FAIL` откатывает | PASS |
+| AC-03 negative авторитетен между полями | PASS |
+| AC-04 positive в любом из трёх полей → PASS | PASS |
+| AC-05 обратная совместимость (TestCheckTestsPassed) | PASS |
+| AC-06 ни одно поле не задано → FAIL | PASS |
+| AC-07 только проза без frontmatter → FAIL | PASS |
+| AC-08 битый YAML → FAIL без raise | PASS |
+| AC-09 отчёт отсутствует → FAIL | PASS |
+| AC-10 реестр гейтов неизменен | PASS |
+| AC-11 ADR/README/CHANGELOG обновлены | PASS |
+| AC-12 полный регресс зелёный | PASS |
+
+AC-11 проверено вручную:
+- `docs/work-items/ORCH-047/06-adr/ADR-001-result-field-in-tests-gate.md` — присутствует.
+- `docs/architecture/README.md` — строка вердикт-парсера перечисляет `result:`/`verdict:`/`status:`.
+- `CHANGELOG.md` — запись `fix:` про ORCH-047.
+
+## Вывод pytest
+```
+tests/test_qg.py ............................... TestCheckTestsPassed (все PASS,
+  включая новые test_result_* и легаси-кейсы)
+tests/test_qg_registry_snapshot.py::test_tc20_qg_callables_unchanged PASSED
+tests/test_qg_registry_snapshot.py::test_tc20_stage_transitions_unchanged PASSED
+...
+======================== 442 passed, 1 warning in 7.77s ========================
+```
+(1 warning — предсуществующий PydanticDeprecatedSince20 в `src/config.py`, не связан с ORCH-047.)
+
+## Итог
+PASS — все 13 TC и 12 AC выполнены, полный регресс зелёный (442 passed), smoke OK,
+реестр гейтов не изменён. Задача готова к стадии deploy-staging.

docs/work-items/ORCH-047/15-staging-log.md

@@ -0,0 +1,83 @@
+---
+staging_status: FAILED
+timestamp: 2026-06-05T21:30:45Z
+base_url: http://localhost:8501
+mode: stub
+result: 9/10 checks PASS
+exit_code: 1
+---
+
+# Staging Gate Log — ORCH-047
+
+Staging test suite **FAILED**: 9/10 checks passed, exit code 1.
+
+## Verdict
+
+The live staging service on `:8501` is healthy and the full E2E pipeline ran
+correctly against the **sandbox** project (issue created → webhook accepted →
+branch created in `orchestrator-sandbox` → analyst job enqueued → cleanup OK).
+
+The single failing check is **B6 — Registry isolation**: the project registry as
+seen by the test harness still contains the production projects
+(`enduro-trails`, `ORCH`) and does **not** isolate to the sandbox project only.
+This violates the staging isolation requirement (CLAUDE.md: "staging — только
+sandbox-проект"). Because the staging gate returned a non-zero exit code, the
+machine verdict is `FAILED` and the task is rolled back to `development`.
+
+### Notes for follow-up (development)
+
+- B6 imports `src.projects.known_plane_project_ids()` and asserts the registry
+  contains the sandbox id (`8c5a3025-…`) while the prod ids
+  (`7a79f0a9-…` ET, `8da6aa25-…` ORCH) are absent. It observed
+  `sandbox=NO, prod-ET=YES(BAD!), prod-ORCH=YES(BAD!)`.
+- This is a staging-environment / registry-isolation signal, not a verdict on the
+  ORCH-047 code change itself (which targets the `check_tests_passed` gate).
+  Investigate whether the staging container's isolated project registry env is
+  loaded, or whether the harness's in-process registry import is reading the host
+  (`/repos/orchestrator`) prod env instead of the container's env.
+- Deployer did **not** modify any production infrastructure, registry, `.env`,
+  or `docker-compose.yml` to alter this result (per deployer mandate).
+
+## Full test output
+
+```
+============================================================
+  ORCH-33 Staging Check Suite
+  base_url : http://localhost:8501
+  mode     : stub
+  utc_time : 2026-06-05T21:30:45.071676+00:00
+============================================================
+
+[Block A] SMOKE
+  ✓ PASS  A1 GET /health → 200 status=ok  [HTTP 200, body={'status': 'ok', 'service': 'orchestrator'}]
+  ✓ PASS  A2 GET /queue → 200 with counts/max_concurrency/resilience  [HTTP 200, keys=['counts', 'max_concurrency', 'poll_interval', 'resilience', 'recent']]
+  ✓ PASS  A3 ORCH_STAGING=true (not prod)  [ORCH_STAGING=true]
+
+[Block B] ACCESS
+  ✓ PASS  B4 Plane: sandbox project accessible  [HTTP 200, found 5 project(s), sandbox=YES]
+  ✓ PASS  B5 Gitea: orchestrator-sandbox accessible, push=true  [HTTP 200, permissions={'admin': True, 'push': True, 'pull': True}]
+  ✗ FAIL  B6 Registry: sandbox present, prod ET/ORCH absent  [sandbox=NO, prod-ET=YES(BAD!), prod-ORCH=YES(BAD!)]
+
+[Block C] E2E  (mode=stub)
+  ·      C7: Creating issue in SANDBOX project...
+  ✓ PASS  C7 Create issue in Plane SANDBOX  [HTTP 201, issue_id=5040c202-592f-45d0-9463-ca1e9944e6ba]
+  ·      C8: Triggering pipeline via POST /webhook/plane ...
+  ·        Using HMAC signature (secret len=40)
+  ✓ PASS  C8 Trigger pipeline via /webhook/plane  [HTTP 200, resp={'status': 'accepted'}]
+  ·      C9a: Polling for branch in orchestrator-sandbox (up to 60s)...
+  ✓ PASS  C9a Branch appears in orchestrator-sandbox  [branch=feature/SANDBOX-010-staging-check-e2e-20260605t213]
+  ·      C9b: Checking staging job queue for analyst job (up to 30s)...
+  ·        (Plane comment check skipped: bot-tokens not added to SANDBOX project)
+  ✓ PASS  C9b Analyst job enqueued in staging queue  [job_id=6, status=queued, agent=analyst]
+
+[CLEANUP]
+  ✓ PASS  CLEANUP: deleted branch 'feature/SANDBOX-010-staging-check-e2e-20260605t213' (HTTP 204)
+  ✓ PASS  CLEANUP: deleted Plane issue 5040c202-592f-45d0-9463-ca1e9944e6ba (HTTP 204)
+  ·      CLEANUP DB: no task row found for plane_id=5040c202-592f-45d0-9463-ca1e9944e6ba
+  ·      CLEANUP DB dedup: no such table: events_dedup
+
+============================================================
+  RESULT: 9/10 checks PASS
+============================================================
+EXIT_CODE=1
+```

docs/work-items/ORCH-048/00-business-request.md

@@ -0,0 +1,7 @@
+# Business Request: staging B6 check reads registry from host worktree, not staging container
+
+Work Item ID: ORCH-048
+
+## Description
+
+TBD

docs/work-items/ORCH-048/01-brd.md

@@ -0,0 +1,86 @@
+# 01 — Business Requirements Document (BRD)
+
+**Work Item:** ORCH-048
+**Title:** staging B6 check reads registry from host worktree, not staging container
+**Stage:** analysis
+**Author:** analyst
+**Date:** 2026-06-06
+
+---
+
+## 1. Контекст и проблема
+
+`scripts/staging_check.py` — suite живых проверок staging-стенда orchestrator (порт 8501, ADR-0003). Деплоер запускает его на стадии `deploy-staging` и пишет `staging_status:` в `15-staging-log.md`. FAIL любого чека = откат на `development`.
+
+Блок B содержит проверку **B6 «Registry: sandbox present, prod ET/ORCH absent»** — она должна подтверждать, что в staging-реестре проектов есть только sandbox-проект и НЕТ боевых проектов (enduro-trails / orchestrator). Это страховка изоляции: staging не должен обслуживать прод-проекты.
+
+**B6 даёт ложный FAIL** (`prod-ET=YES(BAD!)`, `prod-ORCH=YES(BAD!)`), хотя сама изоляция реестра в staging РАБОТАЕТ корректно.
+
+### Root cause (подтверждён прямым запуском, Стрим, 06.06)
+
+- Внутри контейнера `orchestrator-staging` `known_plane_project_ids()` корректно отдаёт `count=1, sandbox=True, ET=False, ORCH=False`. `.env.staging` верно задаёт `ORCH_PROJECTS_JSON` = только sandbox. **Изоляция реестра исправна.**
+- Все остальные чеки (A1–A3, B4, B5, блок C E2E) обращаются к работающему staging-инстансу по HTTP и **зелёные**.
+- **B6 — единственный чек, который не ходит по HTTP, а импортирует Python-код локально.** В блоке B6 (строки ~263–284) выполняется:
+  ```python
+  sys.path.insert(0, "/repos/orchestrator")        # ХОСТ-worktree
+  importlib.reload(sys.modules["src.projects"])    # подхватывает env ТЕКУЩЕГО процесса
+  from src.projects import known_plane_project_ids
+  ```
+- Деплоер по факту запускает скрипт **с хоста** (`.openclaw/agents/deployer.md`: `python3 scripts/staging_check.py --base-url http://localhost:8501`). В env хост-процесса `ORCH_PROJECTS_JSON` НЕ задан → `src.projects` грузит встроенный `_DEFAULT_PROJECTS` (ET + ORCH) → `known_plane_project_ids()` возвращает боевые id → **ложный FAIL**.
+- Иными словами, B6 проверяет реестр НЕ того окружения, реестр которого реально использует staging-инстанс. Гипотеза деплоера про misconfig staging-контейнера — **опровергнута**.
+
+## 2. Бизнес-цель
+
+B6 должен достоверно отражать реестр проектов **именно работающего staging-инстанса** (изолированное окружение), а не реестр, восстановленный из локального импорта в произвольном process-env. При этом B6 обязан по-прежнему ловить реальное нарушение изоляции.
+
+## 3. Заинтересованные стороны
+
+| Роль | Интерес |
+|------|---------|
+| Deployer-агент | Достоверный сигнал staging-гейта; нет ложных откатов на development |
+| Owner / прод | Изоляция staging от прод-проектов реально проверяется (не ложно-зелёная и не ложно-красная) |
+| Self-hosting pipeline | `deploy-staging` — обязательная страховка перед прод-деплоем орка; ложный FAIL блокирует доставку всех ORCH-задач |
+
+## 4. Объём (Scope)
+
+### В объёме
+- Исправление блока B6 в `scripts/staging_check.py`, чтобы он читал реестр в окружении staging-инстанса.
+- Тест на корректность B6: оба исхода (PASS при чистой изоляции; FAIL при попадании прод-проекта в staging-реестр).
+- Обновление документации B6 (`docs/operations/STAGING_CHECK.md`, при необходимости `docs/architecture/README.md`/CHANGELOG) в том же PR.
+
+### Вне объёма (НЕ ТРОГАТЬ)
+- `src/projects.py` — реестр работает корректно.
+- `.env` / `.env.staging` — конфигурация верна.
+- Прод-логика оркестратора.
+- Остальные staging-чеки B1–B5 и блок C E2E — зелёные.
+
+## 5. Бизнес-требования
+
+| ID | Требование |
+|----|------------|
+| BR-1 | B6 на staging даёт PASS (`sandbox=YES`, `prod-ET=NO`, `prod-ORCH=NO`), читая реестр из окружения staging-инстанса, а не из локального импорта хост-worktree. |
+| BR-2 | B6 по-прежнему детектирует реальное нарушение изоляции: если бы прод-проект реально попал в staging-реестр, B6 обязан выдать FAIL. |
+| BR-3 | Остальные staging-чеки не сломаны; `src/projects.py` и `.env*` не изменяются. |
+| BR-4 | Существующие unit-тесты остаются зелёными (`pytest tests/ -q`). |
+| BR-5 | Документация B6 обновлена в том же PR (golden source). |
+
+## 6. Допущения и ограничения
+
+- Решение должно быть минимально инвазивным и не затрагивать прод-логику.
+- Скрипт `scripts/staging_check.py` использует только stdlib (нет `requests`/`httpx`) — это конвенция файла, её нужно сохранить.
+- Способ запуска suite может варьироваться (с хоста / `docker exec` внутри контейнера) — выбранное решение должно быть корректным для канонического способа запуска деплоером и задокументировано.
+
+## 7. Критерий успеха (бизнес)
+
+- staging-прогон `scripts/staging_check.py` → **B6 PASS** при работающей изоляции.
+- При искусственно нарушенной изоляции → **B6 FAIL** (проверяется тестом, без реального изменения staging).
+- `python -m pytest tests/ -q` — зелёный.
+
+## 8. Открытые вопросы (для архитектора)
+
+Бизнес-запрос предлагает три варианта реализации (выбор за архитектором, см. 02-trz §4):
+- (а) B6 читает реестр через HTTP-эндпоинт staging-инстанса;
+- (б) B6 выполняет проверку через subprocess в окружении staging-контейнера (`docker exec`);
+- (в) staging_check запускается ВНУТРИ staging-контейнера и читает собственный process-env (убрать host-path хак).
+
+Предпочтение бизнес-запроса: минимально инвазивный вариант, не трогающий прод-логику.

docs/work-items/ORCH-048/02-trz.md

@@ -0,0 +1,118 @@
+# 02 — Техническое задание (ТЗ / TRZ)
+
+**Work Item:** ORCH-048
+**Title:** staging B6 check reads registry from host worktree, not staging container
+**Stage:** analysis
+**Author:** analyst
+**Date:** 2026-06-06
+
+> Это ТЗ фиксирует требования и инварианты. Выбор одного из трёх архитектурных вариантов (§4) — за архитектором (ADR). Анализ варианты НЕ выбирает.
+
+---
+
+## 1. Задействованные модули
+
+| Путь | Роль | Характер изменений |
+|------|------|--------------------|
+| `scripts/staging_check.py` | Suite живых staging-проверок; блок B6 (~строки 263–284) | **Изменяется** — переписать механику получения реестра в B6 |
+| `tests/` (новый файл, напр. `tests/test_staging_check_b6.py`) | Unit-тест корректности B6 | **Создаётся** |
+| `docs/operations/STAGING_CHECK.md` | Док запуска suite | **Обновляется** (описание B6 + способ запуска) |
+| `docs/architecture/README.md` / `CHANGELOG.md` | Golden source | **Обновляется** при необходимости |
+
+### НЕ изменять (жёсткий инвариант scope)
+- `src/projects.py` — реестр работает корректно.
+- `.env`, `.env.staging`, `.env.example` — конфиг верен.
+- Прод-логику оркестратора (`src/main.py` прод-роуты, `src/webhooks/*`, `src/stage_engine.py`, `src/qg/*`) — кроме случая варианта (а), если архитектор решит добавить read-only эндпоинт (см. §4а, отдельно обоснованный риск).
+- Блоки A1–A3, B4, B5 и блок C E2E в `staging_check.py`.
+
+## 2. Текущее поведение (то, что чиним)
+
+Блок B6 (`scripts/staging_check.py`):
+```python
+sys.path.insert(0, "/repos/orchestrator")          # хост-worktree path
+import importlib
+if "src.projects" in sys.modules:
+    importlib.reload(sys.modules["src.projects"])   # перечитывает env ТЕКУЩЕГО процесса
+from src.projects import known_plane_project_ids
+known = known_plane_project_ids()
+```
+Проблема: реестр строится из `ORCH_PROJECTS_JSON` **process-env того процесса, в котором исполняется скрипт**. При запуске деплоером с хоста (`python3 scripts/staging_check.py --base-url http://localhost:8501`) переменная не задана → `_DEFAULT_PROJECTS` (ET+ORCH) → ложный FAIL. B6 не отражает реестр работающего staging-инстанса.
+
+## 3. Требуемое поведение (контракт B6)
+
+| ID | Требование |
+|----|------------|
+| TR-1 | B6 определяет набор «известных staging-инстансу Plane project id» из источника, который **гарантированно отражает окружение работающего staging-инстанса** (порт 8501 / контейнер `orchestrator-staging`), а не из локального импорта в process-env скрипта. |
+| TR-2 | B6 PASS ⟺ `SANDBOX_PROJECT_ID ∈ known` И `PROD_ET_PROJECT_ID ∉ known` И `PROD_ORCH_PROJECT_ID ∉ known`. Идентификаторы — те же константы, что уже в скрипте. |
+| TR-3 | B6 сохраняет формат вывода `Results.add(label, passed, detail)` с человекочитаемым detail (`sandbox=…, prod-ET=…, prod-ORCH=…`). |
+| TR-4 | При недоступности источника реестра B6 даёт **детерминированный FAIL** с понятным detail (не падает с необработанным исключением, не даёт ложный PASS). |
+| TR-5 | Скрипт остаётся на stdlib (без сторонних зависимостей), если выбранный вариант это допускает. |
+| TR-6 | Удаляется зависимость B6 от хардкод-пути `/repos/orchestrator` для построения реестра (host-path хак), несовместимого с целью проверки. |
+
+## 4. Варианты реализации — РЕШЕНИЕ ВЛАДЕЛЬЦА (обязательно)
+
+> **РЕШЕНИЕ ПРИНЯТО ВЛАДЕЛЬЦЕМ ПРОЕКТА (Слава, 06.06): выбран ВАРИАНТ (в).**
+> Архитектор НЕ выбирает заново — он фиксирует вариант (в) в ADR с обоснованием ниже.
+>
+> ### Почему (в), а НЕ (а) и НЕ (б)
+> - **(а) HTTP-эндпоинт `GET /projects`** — ОТКЛОНЁН. Порождает «курицу-яйцо»: B6 ходит на эндпоинт **работающего** staging-инстанса, а эндпоинт запечён в Docker-образ → на первом прогоне его в живом инстансе ещё нет (404) → ложный FAIL → откат. Требует ручного bootstrap-деплоя. Это ровно тот класс поломки автономности, который мы устраняем. (Подтверждено на проде 06.06: `GET /projects` на 8501 → 404 → deploy-staging FAILED.)
+> - **(б) `docker exec` subprocess** — ОТКЛОНЁН. Хрупкое экранирование (см. `docs/history/LESSONS_2026-06-05.md`), зависимость от docker-CLI и имени контейнера.
+> - **(в) запуск suite ВНУТРИ staging-контейнера + чтение собственного process-env** — ВЫБРАН. B6 не зависит от того, что отдаёт инстанс по HTTP; `staging_check.py` берётся из mount (свежий код сразу, без ребилда образа); реестр читается из env самого `orchestrator-staging`. **Курицы-яйца нет ни на первом прогоне, ни в будущем.** Автономность не ломается.
+>
+> ### Что обязан зафиксировать архитектор в ADR (вариант в)
+> 1. Убрать из B6 host-path хак `sys.path.insert(0, "/repos/orchestrator")` и `importlib.reload(src.projects)`.
+> 2. Канонизировать запуск suite ВНУТРИ контейнера: `docker exec orchestrator-staging python3 <путь к staging_check.py> --base-url http://localhost:8501` (или эквивалент, где cwd/PYTHONPATH и env — staging-контейнера). Код импортируется из кода контейнера, env уже staging.
+> 3. **Синхронно** обновить `.openclaw/agents/deployer.md` (способ запуска suite через `docker exec`, НЕ с хоста) и `docs/operations/STAGING_CHECK.md` — иначе host-запуск воспроизведёт баг.
+> 4. Логику вердикта B6 вынести в чистую функцию `_evaluate_b6(known: set[str]) -> tuple[bool, str]` (TR-2/§9) для unit-теста на оба исхода (AC-2).
+> 5. НЕ добавлять HTTP-эндпоинт `/projects` и НЕ трогать прод-`src/main.py`. НЕ трогать `src/projects.py`, `.env*`, прочие чеки A/B4/B5/C.
+>
+> ### Нюанс топологии (учесть)
+> `Dockerfile` НЕ копирует `scripts/` в образ → `staging_check.py` доступен в контейнере только через mount `/repos/orchestrator/scripts/...`. Архитектор должен указать в ADR корректный путь запуска внутри контейнера, учитывая этот mount (а не `/app/scripts`).
+
+---
+
+## 4-original. Варианты реализации (исходный анализ — справочно)
+## 4. Варианты реализации (выбор — архитектор, в ADR)
+
+Бизнес-запрос предлагает три варианта. Анализ перечисляет их с известными плюсами/минусами; решение и обоснование — в `06-adr/`.
+
+### (а) HTTP-эндпоинт staging-инстанса
+B6 запрашивает реестр у работающего staging-инстанса по HTTP (как делают A/B4/B5/C).
+- **Сейчас подходящего эндпоинта НЕТ.** `/health`, `/status`, `/queue` реестр проектов не отдают (`src/main.py`).
+- Потребуется добавить read-only эндпоинт (напр. `GET /projects`, отдающий `known_plane_project_ids()` или список репо/prefix). Это касается прод-`main.py` → выходит за «не трогать прод-логику», но изменение read-only и низкорисковое — архитектор взвешивает.
+- Плюс: B6 гарантированно читает реестр именно того процесса, что обслуживает webhooks. Единый HTTP-стиль с остальными чеками.
+
+### (б) Subprocess в окружении staging-контейнера
+B6 выполняет `docker exec orchestrator-staging python3 -c "from src.projects import known_plane_project_ids; ..."` и парсит stdout.
+- Плюс: не трогает прод-`main.py`; читает env контейнера напрямую.
+- Минус: требует доступности docker-CLI и имени контейнера из среды запуска suite; усложняет запуск «изнутри контейнера»; есть нюансы экранирования (см. `docs/history/LESSONS_2026-06-05.md`).
+
+### (в) Запуск suite внутри контейнера + чтение собственного process-env
+Канонизировать запуск `staging_check.py` ВНУТРИ `orchestrator-staging` (`docker exec orchestrator-staging python3 …`), убрать `sys.path.insert(0, "/repos/orchestrator")`, импортировать `src.projects` из кода контейнера (его cwd/PYTHONPATH), env уже staging.
+- Плюс: минимально инвазивно, не трогает прод-логику и `src.projects`; согласуется с «рекомендуемым способом запуска» в `STAGING_CHECK.md §Способы запуска.1`.
+- Условие: деплоер должен запускать suite через `docker exec` (а не с хоста). Нужно синхронно обновить `.openclaw/agents/deployer.md` и `STAGING_CHECK.md`, иначе host-запуск воспроизведёт баг.
+- Нюанс: внутри контейнера код лежит в `/app` (Dockerfile `COPY`), а `/repos/orchestrator` — отдельный mount; импорт должен резолвиться из кода, чьим env реально живёт инстанс.
+
+## 5. Изменения API
+
+- Варианты (б) и (в): **нет** изменений API.
+- Вариант (а): новый read-only эндпоинт (напр. `GET /projects`) — точная схема ответа определяется архитектором. Если выбран — задокументировать в `docs/architecture/README.md` (таблица API) и `CHANGELOG.md`.
+
+## 6. Изменения схемы БД
+Нет.
+
+## 7. Требования к новым QG checks
+Нет новых QG. Поведение `check_staging_status` (ADR-0003) не меняется — меняется только достоверность одного из чеков suite, чей агрегат пишется в `15-staging-log.md`.
+
+## 8. Артефакты pipeline, создаваемые/обновляемые
+- Код: `scripts/staging_check.py` (B6), новый тест в `tests/`.
+- Док: `docs/operations/STAGING_CHECK.md`; при выборе варианта (а) — `docs/architecture/README.md` (API) и `CHANGELOG.md`; при выборе (в) — `.openclaw/agents/deployer.md` (способ запуска) и `STAGING_CHECK.md`.
+- ADR: `docs/work-items/ORCH-048/06-adr/ADR-001-*.md` — обоснование выбранного варианта.
+
+## 9. Тестируемость
+- Логика «PASS/FAIL по набору known id» B6 должна быть выделена в чистую, юнит-тестируемую функцию (напр. `_evaluate_b6(known: set[str]) -> tuple[bool, str]`), чтобы тест проверял оба исхода без поднятия staging-инстанса/docker. План — `04-test-plan.yaml`.
+
+## 10. Definition of Done
+- BR-1…BR-5 (01-brd) выполнены.
+- staging-прогон → B6 PASS; `pytest tests/ -q` зелёный.
+- Док и (при необходимости) ADR обновлены в том же PR.

docs/work-items/ORCH-048/03-acceptance-criteria.md

@@ -0,0 +1,67 @@
+# 03 — Критерии приёмки (Acceptance Criteria)
+
+**Work Item:** ORCH-048
+**Title:** staging B6 check reads registry from host worktree, not staging container
+**Stage:** analysis
+**Author:** analyst
+**Date:** 2026-06-06
+
+Каждый критерий формулирует чёткое условие PASS/FAIL. Источник — бизнес-запрос ORCH-048 (AC-1…AC-4) + BRD.
+
+---
+
+## AC-1 — B6 PASS на staging, читая реестр из staging-окружения
+
+**Условие PASS:**
+- При staging-прогоне `scripts/staging_check.py` (канонический способ запуска, выбранный архитектором) чек **B6** выдаёт `✓ PASS` c detail `sandbox=YES, prod-ET=NO(good), prod-ORCH=NO(good)`.
+- Набор known id, по которому судит B6, получен из окружения работающего staging-инстанса (HTTP-эндпоинт / docker-окружение контейнера / собственный process-env при запуске внутри контейнера), **не** из локального импорта `src.projects` в произвольном process-env с host-path хаком `/repos/orchestrator`.
+
+**FAIL, если:** B6 даёт ложный FAIL (`prod-ET=YES(BAD!)` / `prod-ORCH=YES(BAD!)`) при фактически исправной изоляции; либо реестр в B6 по-прежнему строится локальным импортом, зависящим от env процесса-запускателя.
+
+## AC-2 — B6 ловит РЕАЛЬНОЕ нарушение изоляции (оба исхода покрыты тестом)
+
+**Условие PASS:**
+- Существует unit-тест, проверяющий логику вердикта B6 на **двух** входах:
+  1. «чистый» staging-реестр (`known = {SANDBOX}`) → B6 вердикт **PASS**;
+  2. «загрязнённый» реестр (например `known = {SANDBOX, PROD_ET}` и/или `{SANDBOX, PROD_ORCH}`) → B6 вердикт **FAIL**.
+- Тест не требует поднятия живого staging-инстанса/docker (логика вердикта изолирована и тестируема, см. 02-trz §9).
+
+**FAIL, если:** покрыт только один исход; либо B6 даёт PASS при наличии прод-проекта в реестре (потеря защитной функции).
+
+## AC-3 — Остальные staging-чеки не сломаны; src/projects.py и .env не тронуты
+
+**Условие PASS:**
+- Блоки A1–A3, B4, B5 и блок C (E2E) в `scripts/staging_check.py` функционально не изменены (формат вывода и логика прежние).
+- `git diff` work item НЕ содержит изменений в `src/projects.py`, `.env`, `.env.staging`, `.env.example`.
+- Прод-логика оркестратора не затронута. Исключение допускается только если архитектор в ADR выбрал вариант (а) и добавил read-only эндпоинт — тогда изменение ограничено добавлением этого эндпоинта, прод-поведение существующих роутов неизменно.
+
+**FAIL, если:** изменён `src/projects.py` или любой `.env*`; либо затронута/сломана логика прочих чеков.
+
+## AC-4 — Существующие unit-тесты зелёные
+
+**Условие PASS:**
+- `python -m pytest tests/ -q` завершается с кодом 0; все ранее зелёные тесты остаются зелёными; новый тест B6 (AC-2) проходит.
+
+**FAIL, если:** любой тест падает.
+
+## AC-5 — Документация обновлена в том же PR (golden source)
+
+**Условие PASS:**
+- `docs/operations/STAGING_CHECK.md` отражает исправленную механику B6 и канонический способ запуска suite.
+- При выборе варианта (а): обновлены таблица API в `docs/architecture/README.md` и `CHANGELOG.md`.
+- При выборе варианта (в): обновлены `.openclaw/agents/deployer.md` (запуск через `docker exec`) и `STAGING_CHECK.md`.
+- Заведён ADR `docs/work-items/ORCH-048/06-adr/ADR-001-*.md` с обоснованием выбранного варианта.
+
+**FAIL, если:** код изменён, а соответствующая док/ADR не обновлены.
+
+---
+
+## Сводная проверка (как мерить приёмку)
+
+| AC | Команда / действие | Ожидаемый результат |
+|----|--------------------|---------------------|
+| AC-1 | staging-прогон suite (выбранным способом) | `B6 … ✓ PASS  [sandbox=YES, prod-ET=NO(good), prod-ORCH=NO(good)]` |
+| AC-2 | `pytest tests/test_staging_check_b6.py -q` | оба кейса (clean→PASS, polluted→FAIL) зелёные |
+| AC-3 | `git diff --name-only` по ветке | нет `src/projects.py`, нет `.env*`; чеки A/B4/B5/C не изменены по сути |
+| AC-4 | `python -m pytest tests/ -q` | exit 0, все PASS |
+| AC-5 | ревью diff документации | STAGING_CHECK.md + ADR-001 присутствуют и согласованы с кодом |

docs/work-items/ORCH-048/04-test-plan.yaml

@@ -0,0 +1,97 @@
+work_item: ORCH-048
+title: staging B6 check reads registry from host worktree, not staging container
+stage: analysis
+notes: >
+  B6 в staging_check.py должен оценивать реестр окружения работающего staging-инстанса.
+  Для тестируемости логика вердикта B6 выделяется в чистую функцию (напр.
+  _evaluate_b6(known: set[str]) -> tuple[bool, str]); тесты бьют именно её и не
+  поднимают живой staging-инстанс/docker. Идентификаторы — те же константы из скрипта:
+  SANDBOX_PROJECT_ID=8c5a3025-4f9d-4190-b79f-fa06276bb27e,
+  PROD_ET_PROJECT_ID=7a79f0a9-5278-49cd-9007-9a338f238f9c,
+  PROD_ORCH_PROJECT_ID=8da6aa25-a60e-44d6-a1e2-d8ae59aa7d6a.
+
+tests:
+  - id: TC-01
+    type: unit
+    description: >
+      B6-вердикт PASS при чистом staging-реестре: known={SANDBOX} ->
+      passed=True, detail содержит sandbox=YES, prod-ET=NO, prod-ORCH=NO. (AC-1, AC-2)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-02
+    type: unit
+    description: >
+      B6-вердикт FAIL при попадании прод-ET в реестр: known={SANDBOX, PROD_ET} ->
+      passed=False, detail помечает prod-ET как нарушение. (AC-2)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-03
+    type: unit
+    description: >
+      B6-вердикт FAIL при попадании прод-ORCH в реестр: known={SANDBOX, PROD_ORCH} ->
+      passed=False, detail помечает prod-ORCH как нарушение. (AC-2)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-04
+    type: unit
+    description: >
+      B6-вердикт FAIL при отсутствии sandbox в реестре: known=set() (пусто) ->
+      passed=False (sandbox absent), детерминированно, без исключения. (AC-2, TR-4)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-05
+    type: unit
+    description: >
+      B6-вердикт FAIL при загрязнении и ET, и ORCH одновременно:
+      known={SANDBOX, PROD_ET, PROD_ORCH} -> passed=False. (AC-2)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-06
+    type: unit
+    description: >
+      Источник реестра в B6 больше не зависит от host-path хака
+      sys.path.insert(0,"/repos/orchestrator"): проверить (статически/через структуру
+      кода или мок источника), что построение known не делается локальным импортом
+      src.projects из произвольного process-env. (AC-1, TR-6)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-07
+    type: unit
+    description: >
+      Деградация источника реестра (HTTP-ошибка / недоступный контейнер / битый ответ)
+      -> B6 даёт детерминированный FAIL с понятным detail, а не ложный PASS и не
+      необработанное исключение. (TR-4)
+    module: tests/test_staging_check_b6.py
+    expected: PASS
+
+  - id: TC-08
+    type: unit
+    description: >
+      Регрессия реестра: существующие тесты src/projects.py остаются зелёными,
+      подтверждая, что src/projects.py не изменён. (AC-3, AC-4)
+    module: tests/test_projects.py
+    expected: PASS
+
+  - id: TC-09
+    type: integration
+    description: >
+      Полный прогон pytest без падений после правок:
+      `python -m pytest tests/ -q` -> exit 0. (AC-4)
+    module: tests/
+    expected: PASS
+
+  - id: TC-10
+    type: integration
+    description: >
+      Живой staging-прогон (ручной, вне CI): запустить scripts/staging_check.py
+      выбранным архитектором способом против orchestrator-staging (8501) ->
+      B6 == PASS (sandbox=YES, prod-ET=NO, prod-ORCH=NO); блоки A/B4/B5/C не сломаны.
+      (AC-1, AC-3) Выполняется деплоером на стадии deploy-staging.
+    module: scripts/staging_check.py
+    expected: PASS

docs/work-items/ORCH-048/06-adr/ADR-001-b6-registry-via-in-container-run.md

@@ -0,0 +1,139 @@
+# ADR-001: B6 читает реестр через запуск suite ВНУТРИ staging-контейнера
+
+## Статус
+Accepted
+
+- **Задача:** ORCH-048
+- **Дата:** 2026-06-06
+- **Автор:** architect
+- **Решение варианта:** принято Владельцем проекта (Слава, 06.06) — вариант **(в)**. Архитектор фиксирует и обосновывает.
+
+## Контекст
+
+Чек **B6 «Registry: sandbox present, prod ET/ORCH absent»** в `scripts/staging_check.py`
+(блок B, ~строки 263–284) — страховка изоляции staging: подтверждает, что в реестре
+проектов работающего staging-инстанса есть только sandbox-проект и НЕТ боевых
+(enduro-trails / orchestrator).
+
+B6 даёт **ложный FAIL** (`prod-ET=YES(BAD!)`, `prod-ORCH=YES(BAD!)`), хотя изоляция
+реестра в staging исправна. Root cause (подтверждён прямым запуском, 06.06):
+
+```python
+sys.path.insert(0, "/repos/orchestrator")          # host-worktree path
+import importlib
+if "src.projects" in sys.modules:
+    importlib.reload(sys.modules["src.projects"])    # перечитывает env ТЕКУЩЕГО процесса
+from src.projects import known_plane_project_ids
+known = known_plane_project_ids()
+```
+
+B6 — единственный чек, который не ходит к инстансу по HTTP, а импортирует Python-код
+локально и строит реестр из `ORCH_PROJECTS_JSON` **process-env того процесса, в котором
+исполняется скрипт**. Деплоер фактически запускает suite **с хоста**
+(`python3 scripts/staging_check.py --base-url http://localhost:8501`), где
+`ORCH_PROJECTS_JSON` не задан → `src.projects` грузит встроенный `_DEFAULT_PROJECTS`
+(ET + ORCH) → ложный FAIL. B6 проверяет реестр НЕ того окружения, реестр которого
+реально использует staging-инстанс.
+
+### Топология (ключевой факт для решения)
+
+- Контейнер `orchestrator-staging`: `WORKDIR /app`, `ENV PYTHONPATH=/app`; код приложения
+  **скопирован** в образ (`Dockerfile: COPY src/ ./src/`) → живёт в `/app/src/`.
+- `.env.staging` (env_file контейнера) задаёт `ORCH_PROJECTS_JSON` = только sandbox.
+- `Dockerfile` **НЕ копирует** `scripts/` в образ. Скрипт доступен в контейнере только
+  через bind-mount `/home/slin/repos:/repos` → `/repos/orchestrator/scripts/staging_check.py`.
+
+Из этого следует: при запуске `docker exec orchestrator-staging python3
+/repos/orchestrator/scripts/staging_check.py` интерпретатор добавляет в `sys.path[0]`
+каталог скрипта (`/repos/orchestrator/scripts`), а `import src.projects` резолвится через
+`PYTHONPATH=/app` → `/app/src/projects.py` (собственный код контейнера) с env из
+`.env.staging`. Это ровно реестр работающего staging-инстанса — без HTTP, без host-path хака.
+
+## Решение
+
+Принят **вариант (в): канонизировать запуск suite ВНУТРИ `orchestrator-staging` и читать
+собственный process-env контейнера.**
+
+Архитектурно фиксируется (детальная реализация — стадия development):
+
+1. **Убрать из B6 host-path хак:** удалить `sys.path.insert(0, "/repos/orchestrator")` и
+   `importlib.reload(sys.modules["src.projects"])`. Импорт `from src.projects import
+   known_plane_project_ids` остаётся, но резолвится из кода контейнера (`/app/src` через
+   `PYTHONPATH=/app`), env которого — staging (`.env.staging`).
+
+2. **Канонизировать запуск suite внутри контейнера** (а не с хоста):
+   ```bash
+   docker exec orchestrator-staging \
+     python3 /repos/orchestrator/scripts/staging_check.py \
+     --base-url http://localhost:8501 --mode stub
+   ```
+   `--base-url http://localhost:8501` корректен изнутри контейнера: сеть `network_mode: host`.
+   Путь к скрипту — `/repos/orchestrator/scripts/...` (mount), а НЕ `/app/scripts` (в образе
+   scripts отсутствует).
+
+3. **Синхронно обновить документацию запуска** (этот же PR), иначе host-запуск воспроизведёт
+   баг:
+   - `.openclaw/agents/deployer.md` — команда стадии `deploy-staging` через `docker exec`.
+   - `docs/operations/STAGING_CHECK.md` — канонический способ запуска и описание механики B6.
+
+4. **Логику вердикта B6 вынести в чистую функцию** `_evaluate_b6(known: set[str]) ->
+   tuple[bool, str]`, инвариант (TR-2): `passed ⟺ SANDBOX ∈ known ∧ PROD_ET ∉ known ∧
+   PROD_ORCH ∉ known`; `detail` сохраняет формат `sandbox=…, prod-ET=…, prod-ORCH=…` (TR-3).
+   Функция юнит-тестируема без поднятия инстанса/docker (TC-01…TC-07).
+
+5. **Детерминированная деградация (TR-4):** при недоступности источника реестра (ошибка
+   импорта/построения `known`) B6 даёт FAIL с понятным detail, без необработанного исключения
+   и без ложного PASS.
+
+### Границы (scope guards — обязательны)
+
+- **НЕ** добавлять HTTP-эндпоинт `GET /projects`; **НЕ** трогать прод-`src/main.py`,
+  `src/webhooks/*`, `src/stage_engine.py`, `src/qg/*`.
+- **НЕ** изменять `src/projects.py`, `.env`, `.env.staging`, `.env.example`.
+- **НЕ** менять блоки A1–A3, B4, B5 и блок C (E2E): формат вывода и логика прежние.
+- Реестр QG и стадий не меняется; ADR-0003 (`check_staging_status`) в силе — меняется только
+  достоверность одного чека внутри suite, чей агрегат пишется в `15-staging-log.md`.
+
+## Альтернативы (отклонены)
+
+### (а) HTTP-эндпоинт `GET /projects` работающего staging-инстанса — ОТКЛОНЁН
+Порождает «курицу-яйцо»: B6 ходит на эндпоинт **работающего** инстанса, а эндпоинт запечён
+в Docker-образ → на первом прогоне его в живом инстансе ещё нет (404) → ложный FAIL → откат.
+Требует ручного bootstrap-деплоя. Это ровно тот класс поломки автономности, который мы
+устраняем. Подтверждено на проде 06.06: `GET /projects` на 8501 → 404 → deploy-staging FAILED.
+(Предыдущая итерация архитектора выбрала (а); решение отклонено Владельцем, код и ADR(а)
+удалены, ветка откатана к analyst-артефактам.)
+
+### (б) `docker exec` subprocess + парсинг stdout — ОТКЛОНЁН
+`docker exec orchestrator-staging python3 -c "..."` из процесса suite. Хрупкое экранирование
+(`docs/history/LESSONS_2026-06-05.md`), зависимость от наличия docker-CLI и имени контейнера
+в среде запуска, усложняет запуск «изнутри контейнера».
+
+### (в) Запуск suite внутри контейнера + собственный process-env — ВЫБРАН
+B6 не зависит от того, что отдаёт инстанс по HTTP; `staging_check.py` берётся из mount (свежий
+код сразу, без ребилда образа); реестр читается из env самого `orchestrator-staging`. Курицы-яйца
+нет ни на первом прогоне, ни в будущем. Минимально инвазивно, прод-логика и `src/projects.py` не
+тронуты. Согласуется с «рекомендуемым способом запуска» (`STAGING_CHECK.md §Способы запуска.1`).
+
+## Последствия
+
+**Плюсы**
+- B6 достоверно отражает реестр работающего staging-инстанса; ложные FAIL/откаты устранены.
+- Автономность self-hosting не ломается: нет bootstrap-зависимости от запечённого в образ кода.
+- Свежий `staging_check.py` подхватывается из mount без ребилда образа.
+- Защитная функция B6 сохранена и покрыта юнит-тестами на оба исхода (PASS/FAIL).
+
+**Минусы / ограничения**
+- Запуск suite **обязан** идти через `docker exec` внутри `orchestrator-staging`. Запуск с
+  хоста воспроизведёт исходный баг (host-env без `ORCH_PROJECTS_JSON`). Это закреплено в
+  `deployer.md` и `STAGING_CHECK.md`; способ «с хоста» остаётся возможен, только если env
+  хоста корректно повторяет staging (не рекомендуется, помечено).
+- Деплоер должен иметь доступ к docker-CLI/сокету (есть: `/var/run/docker.sock` смонтирован в
+  контейнер оркестратора, у которого deployer-агент исполняется; `deployer.md` tools: Bash docker).
+
+## Связи
+- ADR-0003 (`docs/architecture/adr/adr-0003-staging-gate.md`) — staging-гейт, который этот чек
+  обслуживает.
+- ORCH-6 / `src/projects.py` — реестр проектов (источник `known_plane_project_ids()`),
+  НЕ изменяется.
+- `docs/history/LESSONS_2026-06-05.md` — обоснование отказа от варианта (б).

docs/work-items/ORCH-048/12-review.md

@@ -0,0 +1,69 @@
+---
+type: review
+work_item_id: ORCH-048
+verdict: APPROVED
+version: 1
+---
+
+# Review ORCH-048
+
+## Summary
+
+PR чинит ложный FAIL чека **B6** в `scripts/staging_check.py`: реестр проектов теперь
+читается из окружения работающего staging-инстанса (вариант «в», выбранный Владельцем и
+зафиксированный в ADR-001), host-path хак `sys.path.insert(0, "/repos/orchestrator")` +
+`importlib.reload` удалён. Реализация соответствует ТЗ, ADR-001 и всем критериям приёмки.
+Документация обновлена синхронно. `pytest tests/ -q` — **470 passed**.
+
+Соответствие осям проверки:
+
+- **ТЗ (02-trz):** TR-1…TR-6 выполнены. TR-1/TR-6 — реестр строится из process-env
+  инстанса, host-path хак удалён. TR-2 — инвариант `passed ⟺ SANDBOX ∈ known ∧ PROD_ET ∉
+  known ∧ PROD_ORCH ∉ known` в `_evaluate_b6`. TR-3 — формат detail сохранён. TR-4 —
+  детерминированный FAIL при недоступности источника (`_run_b6` ловит `Exception`, нет
+  ложного PASS, нет необработанного исключения). TR-5 — stdlib. §9 — логика вердикта
+  вынесена в чистую `_evaluate_b6` для unit-теста.
+- **ADR-001:** реализация дословно следует пунктам 1–5 решения и scope-guards.
+  HTTP-эндпоинт не добавлен, прод-`src/main.py` не тронут.
+- **AC-1…AC-5:** AC-1 — механика читает реестр инстанса; AC-2 — оба исхода покрыты
+  (TC-01 clean→PASS, TC-02/03/05 polluted→FAIL); AC-3 — `git diff` не содержит
+  `src/projects.py`/`.env*`, блоки A1–A3/B4/B5/C не тронуты; AC-4 — 470 passed; AC-5 —
+  STAGING_CHECK.md, deployer.md, CHANGELOG, ADR-001 обновлены в этом же PR.
+- **Качество кода:** чистые функции, докстринги на всех новых функциях, defensive-обработка,
+  `sys` остаётся используемым (`sys.exit`), без мёртвых импортов. Тесты содержательные
+  (7 TC + happy-path wiring + статическая проверка отсутствия хака).
+
+## Findings
+
+### P0 — Blocker
+- нет
+
+### P1 — Must fix
+- нет
+
+### P2 — Should fix
+- нет
+
+### P3 — Nice-to-have
+- [ ] `test_tc06_no_host_path_hack_in_source` и `test_tc06_registry_loader_uses_src_projects`
+  носят одинаковый префикс `tc06` — формально это два разных кейса; имена можно было бы
+  развести для читаемости отчёта pytest. Косметика, на приёмку не влияет.
+
+## Документация
+
+Полностью обновлена в том же PR (golden source соблюдён):
+
+- `docs/operations/STAGING_CHECK.md` — канонический способ запуска (способ 1 через
+  `docker exec`), способ «с хоста» помечен как невалидный/воспроизводящий баг, добавлена
+  секция «Механика чека B6».
+- `.openclaw/agents/deployer.md` — команда стадии `deploy-staging` переведена на
+  `docker exec orchestrator-staging python3 /repos/orchestrator/scripts/staging_check.py …`
+  с пояснением, почему host-запуск ломает B6.
+- `CHANGELOG.md` — запись в разделе Fixed с полным описанием root cause и решения.
+- ADR `docs/work-items/ORCH-048/06-adr/ADR-001-b6-registry-via-in-container-run.md` —
+  обоснование варианта (в), отклонённые (а)/(б), scope-guards.
+
+`docs/architecture/README.md` обновлять не требовалось: API, реестр стадий и `QG_CHECKS`
+не менялись (изменение касается только достоверности одного чека внутри suite).
+
+**Вердикт: APPROVED** — P0/P1 отсутствуют.

docs/work-items/ORCH-048/13-test-report.md

@@ -0,0 +1,79 @@
+---
+type: test-report
+work_item_id: ORCH-048
+result: PASS
+---
+
+# Test Report — ORCH-048
+
+**Title:** staging B6 check reads registry from host worktree, not staging container
+**Stage:** testing
+**Branch:** feature/ORCH-048-staging-b6-check-reads-registr
+
+## Окружение
+- Python: 3.12.13
+- pytest: 8.3.3
+- Дата: 2026-06-06T07:06Z
+- Prod API (8500): `/health` 200 ok, `/status` 200 (ORCH-048 в stage=testing), `/queue` 200 (breaker closed, preflight ok)
+
+## Результаты
+
+| TC ID | Тип | Описание | Результат |
+|-------|-----|----------|-----------|
+| TC-01 | unit | `known={SANDBOX}` → B6 PASS, detail sandbox=YES/prod-ET=NO/prod-ORCH=NO | PASS |
+| TC-02 | unit | `known={SANDBOX,PROD_ET}` → B6 FAIL, prod-ET помечен нарушением | PASS |
+| TC-03 | unit | `known={SANDBOX,PROD_ORCH}` → B6 FAIL, prod-ORCH помечен нарушением | PASS |
+| TC-04 | unit | `known=set()` (нет sandbox) → детерминированный FAIL без исключения | PASS |
+| TC-05 | unit | `known={SANDBOX,PROD_ET,PROD_ORCH}` → B6 FAIL | PASS |
+| TC-06 | unit | Нет host-path хака `/repos/orchestrator`; реестр строится не локальным импортом в произвольном process-env | PASS |
+| TC-07 | unit | Деградация источника реестра → детерминированный FAIL с понятным detail (не ложный PASS, не необработанное исключение) | PASS |
+| TC-08 | unit | Регрессия `src/projects.py` (16 тестов) зелёные — реестр не изменён | PASS |
+| TC-09 | integration | `python -m pytest tests/ -q` → exit 0 | PASS |
+| TC-10 | integration | Живой staging-прогон B6 на 8501 | DEFERRED — выполняется деплоером на стадии deploy-staging (см. 04-test-plan TC-10) |
+
+Доп. покрытие: `test_run_b6_records_pass_for_clean_registry` (happy-path wiring `_run_b6`).
+
+## Покрытие критериев приёмки
+
+| AC | Подтверждение | Статус |
+|----|---------------|--------|
+| AC-1 | B6 PASS на чистом реестре (TC-01), источник — окружение инстанса, host-path хак удалён (TC-06) | PASS |
+| AC-2 | Оба исхода покрыты: clean→PASS (TC-01), polluted→FAIL (TC-02/03/05), без sandbox→FAIL (TC-04) | PASS |
+| AC-3 | `git diff origin/main...HEAD` НЕ содержит `src/projects.py` / `.env*`; блоки A/B4/B5/C не тронуты | PASS |
+| AC-4 | `pytest tests/ -q` → exit 0, 470 passed | PASS |
+| AC-5 | STAGING_CHECK.md, deployer.md, CHANGELOG.md, ADR-001 обновлены в том же PR (подтверждено review) | PASS |
+
+## Проверка scope (AC-3)
+Изменённые файлы ветки vs origin/main:
+```
+.openclaw/agents/deployer.md
+CHANGELOG.md
+docs/operations/STAGING_CHECK.md
+docs/work-items/ORCH-048/*  (артефакты задачи)
+scripts/staging_check.py
+tests/test_staging_check_b6.py
+```
+Forbidden-path check: OK — `src/projects.py` и `.env*` НЕ затронуты.
+
+## Вывод pytest
+
+Полный прогон:
+```
+470 passed, 1 warning in 9.07s
+pytest exit code: 0
+```
+(warning — PydanticDeprecatedSince20 в `src/config.py`, предсуществующий, к ORCH-048 не относится.)
+
+B6 suite:
+```
+tests/test_staging_check_b6.py ......... [9 passed]
+9 passed, 1 warning in 0.29s
+```
+
+projects-регрессия (TC-08):
+```
+16 passed, 1 warning in 0.31s
+```
+
+## Итог
+**PASS** — все unit/integration тесты зелёные (470 passed, exit 0), smoke API prod исправен, scope-инвариант AC-3 соблюдён. Живой staging-прогон B6 (TC-10) выполняется деплоером на стадии deploy-staging.

docs/work-items/ORCH-048/14-deploy-log.md

@@ -0,0 +1,42 @@
+---
+deploy_status: SUCCESS
+timestamp: 2026-06-06T07:12:00Z
+work_item: ORCH-048
+target: orchestrator (prod, self-hosting)
+restart_required: false
+rebuild_required: false
+staging_gate: SUCCESS
+---
+
+# Production Deploy Log — ORCH-048
+
+Production rollout of ORCH-048 (`fix(staging_check): B6 reads registry from running staging instance env`) is **complete on merge** — no prod container rebuild or restart was required, and none was performed.
+
+## Precondition: staging gate
+
+`deploy` is reachable only because the staging gate (`deploy-staging`) passed:
+
+- `15-staging-log.md` → `staging_status: SUCCESS`, **10/10 checks PASS** (incl. B6 registry-isolation, the fix's target), run inside `orchestrator-staging` (8501).
+
+## Change scope (why no restart)
+
+The work item changes touch **only bind-mounted / non-runtime artifacts** — `src/` (the code running in the prod container) and the `Dockerfile` are untouched:
+
+| File | Kind | How it reaches prod |
+|------|------|---------------------|
+| `scripts/staging_check.py` | bind-mounted (`/home/slin/repos` → `/repos`); **not** copied into the image (`scripts/` absent from `/app`) | host `git pull` → live immediately |
+| `.openclaw/agents/deployer.md` | bind-mounted agent prompt, read at agent launch | host `git pull` → live on next agent run |
+| `CHANGELOG.md`, `docs/operations/STAGING_CHECK.md` | docs | n/a |
+| `tests/test_staging_check_b6.py` | test, not deployed | n/a |
+
+Because nothing in `src/` or the image changed, there is **no container rebuild and no restart** for the shared prod `orchestrator` (8500). Per CLAUDE.md / INFRA.md self-hosting rules, the prod container that serves all projects (enduro-trails + orchestrator) was **not** touched — zero group-risk.
+
+## Deploy action
+
+- **Prod container restart/rebuild:** not required, not performed (guardrail: never restart prod `orchestrator` within an ORCH task).
+- **Real docker/SSH deploy hook** (`scripts/orchestrator-deploy-hook.sh`): not triggered by this agent (not explicitly instructed; reserved for Owner per ORCH-36).
+- **Effective rollout:** merge of this branch to `main` + routine host `git pull` makes the corrected `staging_check.py` and `deployer.md` live; the prod app process is unaffected.
+
+## Verdict
+
+`deploy_status: SUCCESS` — staging gate green, change is bind-mount-only, prod instance untouched, no rollback needed.

docs/work-items/ORCH-048/15-staging-log.md

@@ -0,0 +1,50 @@
+---
+staging_status: SUCCESS
+timestamp: 2026-06-06T07:08:59Z
+base_url: http://localhost:8501
+work_item: ORCH-048
+mode: stub
+result: 10/10 checks PASS
+---
+
+# Staging Gate Log — ORCH-048
+
+Staging test suite completed against the live `orchestrator-staging` instance (port 8501). **All 10/10 checks passed.**
+
+## Execution context
+
+- **Where**: inside the `orchestrator-staging` container via Docker Engine API exec (canonical per ORCH-048 / ADR-001; `docker` CLI not present in this agent env, so the bind-mounted socket `/var/run/docker.sock` was used directly).
+- **Command**: `python3 /repos/orchestrator/scripts/staging_check.py --base-url http://localhost:8501 --mode stub`
+- **Exit code**: `0`
+- **Container state**: `orchestrator-staging` running (Up 25 hours).
+
+Running inside the container is required so the B6 registry-isolation check reads the registry from the running instance's own process-env (`.env.staging` → `ORCH_PROJECTS_JSON` = sandbox-only). This is precisely the behaviour ORCH-048 corrects.
+
+## Results
+
+```
+[Block A] SMOKE
+  ✓ PASS  A1 GET /health → 200 status=ok
+  ✓ PASS  A2 GET /queue → 200 with counts/max_concurrency/resilience
+  ✓ PASS  A3 ORCH_STAGING=true (not prod)
+
+[Block B] ACCESS
+  ✓ PASS  B4 Plane: sandbox project accessible (found 5 project(s), sandbox=YES)
+  ✓ PASS  B5 Gitea: orchestrator-sandbox accessible, push=true
+  ✓ PASS  B6 Registry: sandbox present, prod ET/ORCH absent  [sandbox=YES, prod-ET=NO(good), prod-ORCH=NO(good)]
+
+[Block C] E2E  (mode=stub)
+  ✓ PASS  C7 Create issue in Plane SANDBOX
+  ✓ PASS  C8 Trigger pipeline via /webhook/plane
+  ✓ PASS  C9a Branch appears in orchestrator-sandbox
+  ✓ PASS  C9b Analyst job enqueued in staging queue
+
+[CLEANUP]
+  ✓ PASS  CLEANUP: deleted sandbox branch, Plane issue, and DB rows
+
+============================================================
+  RESULT: 10/10 checks PASS
+============================================================
+```
+
+**B6 verdict (the ORCH-048 target check): PASS** — registry read from the running staging instance correctly shows sandbox present and prod ET/ORCH absent, with no false FAIL / spurious rollback.

pytest.ini

@@ -0,0 +1,13 @@
+[pytest]
+# ORCH-39: make the async webhook/state tests (test_orch10_states.py) actually
+# run in every environment. Without pytest-asyncio + asyncio_mode=auto these
+# @pytest.mark.asyncio tests were silently SKIPPED, so a broken async path
+# could pass CI. asyncio_mode=auto runs `async def test_*` natively.
+asyncio_mode = auto
+
+# Fail loudly on unknown markers so a typo'd @pytest.mark.* can't silently
+# disable a test.
+markers =
+    asyncio: mark a coroutine test to be run by pytest-asyncio.
+
+testpaths = tests

requirements.txt

@@ -3,3 +3,4 @@ uvicorn[standard]==0.30.0
 pydantic-settings==2.5.0
 httpx==0.27.0
 pytest==8.3.3
+pytest-asyncio==0.23.8

scripts/staging_check.py

@@ -8,8 +8,14 @@ Checks:
   Block C — E2E   (create task in SANDBOX → trigger pipeline via /webhook/plane
                    → verify branch + job enqueued → CLEANUP in finally)
 
-Usage (inside the container or with correct env set):
-    python3 scripts/staging_check.py [--base-url http://localhost:8501] [--mode stub|full-real]
+Usage — CANONICAL: run INSIDE the orchestrator-staging container (ORCH-048, ADR-001)
+so B6 reads the registry from the running instance's own env (.env.staging):
+    docker exec orchestrator-staging \
+      python3 /repos/orchestrator/scripts/staging_check.py \
+      --base-url http://localhost:8501 [--mode stub|full-real]
+
+Running from the host leaves ORCH_PROJECTS_JSON unset → B6 falls back to the
+default (ET+ORCH) registry → false FAIL. See docs/operations/STAGING_CHECK.md.
 
 Exit code: 0 = all PASS, non-zero = at least one FAIL.
 
@@ -214,6 +220,59 @@ SANDBOX_PROJECT_ID = "8c5a3025-4f9d-4190-b79f-fa06276bb27e"
 PROD_ET_PROJECT_ID = "7a79f0a9-5278-49cd-9007-9a338f238f9c"
 PROD_ORCH_PROJECT_ID = "8da6aa25-a60e-44d6-a1e2-d8ae59aa7d6a"
 
+B6_LABEL = "B6 Registry: sandbox present, prod ET/ORCH absent"
+
+
+def _evaluate_b6(known: set[str]) -> tuple[bool, str]:
+    """Pure verdict logic for the B6 registry-isolation check (ORCH-048).
+
+    PASS ⟺ SANDBOX ∈ known ∧ PROD_ET ∉ known ∧ PROD_ORCH ∉ known (TR-2).
+    ``detail`` keeps the human-readable ``sandbox=…, prod-ET=…, prod-ORCH=…``
+    format (TR-3). Isolated from any I/O so both outcomes are unit-testable
+    without a live staging instance or docker (02-trz §9, ADR-001).
+    """
+    sandbox_present = SANDBOX_PROJECT_ID in known
+    et_absent = PROD_ET_PROJECT_ID not in known
+    orch_absent = PROD_ORCH_PROJECT_ID not in known
+    passed = sandbox_present and et_absent and orch_absent
+    detail = (
+        f"sandbox={'YES' if sandbox_present else 'NO'}, "
+        f"prod-ET={'NO(good)' if et_absent else 'YES(BAD!)'}, "
+        f"prod-ORCH={'NO(good)' if orch_absent else 'YES(BAD!)'}"
+    )
+    return passed, detail
+
+
+def _known_project_ids_from_registry() -> set[str]:
+    """Registry of the *running staging instance* — its own process-env (ORCH-048).
+
+    The suite is canonically run INSIDE ``orchestrator-staging`` via
+    ``docker exec`` (ADR-001), so ``src.projects`` resolves through the
+    container's ``PYTHONPATH=/app`` to ``/app/src/projects.py`` and reads
+    ``ORCH_PROJECTS_JSON`` from ``.env.staging``. This reflects exactly the
+    registry the live instance serves webhooks with — no host-path hack, no HTTP
+    bootstrap dependency.
+    """
+    from src.projects import known_plane_project_ids
+    return known_plane_project_ids()
+
+
+def _run_b6(results: Results) -> None:
+    """Run the B6 registry-isolation check and record its verdict.
+
+    Builds the known-id set from the running instance's registry and applies
+    ``_evaluate_b6``. Any failure to obtain the registry yields a deterministic
+    FAIL with a clear detail (TR-4) — never an unhandled exception and never a
+    false PASS.
+    """
+    try:
+        known = _known_project_ids_from_registry()
+    except Exception as e:
+        results.add(B6_LABEL, False, f"registry source unavailable: {e}")
+        return
+    passed, detail = _evaluate_b6(known)
+    results.add(B6_LABEL, passed, detail)
+
 
 def block_b(results: Results):
     print(f"\n{_BOLD}[Block B] ACCESS{_RESET}")
@@ -260,28 +319,11 @@ def block_b(results: Results):
     except Exception as e:
         results.add("B5 Gitea: orchestrator-sandbox accessible, push=true", False, str(e))
 
-    # B6 — Registry: sandbox in known IDs, prod ET/ORCH NOT in known IDs
-    try:
-        # Import from inside the container (script runs in /repos/orchestrator context)
-        sys.path.insert(0, "/repos/orchestrator")
-        # Force reload to pick up container env
-        import importlib
-        if "src.projects" in sys.modules:
-            importlib.reload(sys.modules["src.projects"])
-        from src.projects import known_plane_project_ids
-        known = known_plane_project_ids()
-        sandbox_present = SANDBOX_PROJECT_ID in known
-        et_absent = PROD_ET_PROJECT_ID not in known
-        orch_absent = PROD_ORCH_PROJECT_ID not in known
-        ok = sandbox_present and et_absent and orch_absent
-        detail = (
-            f"sandbox={'YES' if sandbox_present else 'NO'}, "
-            f"prod-ET={'NO(good)' if et_absent else 'YES(BAD!)'}, "
-            f"prod-ORCH={'NO(good)' if orch_absent else 'YES(BAD!)'}"
-        )
-        results.add("B6 Registry: sandbox present, prod ET/ORCH absent", ok, detail)
-    except Exception as e:
-        results.add("B6 Registry: sandbox present, prod ET/ORCH absent", False, str(e))
+    # B6 — Registry: sandbox in known IDs, prod ET/ORCH NOT in known IDs (ORCH-048).
+    # Reads the registry of the running staging instance from its own process-env
+    # (canonical: docker exec inside orchestrator-staging — ADR-001). No host-path
+    # hack; deterministic FAIL if the registry source is unavailable (TR-4).
+    _run_b6(results)
 
 
 # ---------------------------------------------------------------------------

src/agents/launcher.py

@@ -15,6 +15,82 @@ from ..plane_sync import notify_stage_change as plane_notify_stage, add_comment
 
 logger = logging.getLogger("orchestrator.launcher")
 
+# ORCH-41: valid --effort values accepted by the Claude CLI. An effort that is
+# not in this set is treated as misconfiguration: logged and dropped (no flag),
+# never passed through to the CLI.
+VALID_EFFORTS = frozenset({"low", "medium", "high", "xhigh", "max"})
+
+
+def _resolve_agent_attr(agent, project_id, project_map_attr, env_attr_prefix,
+                        default_attr):
+    """ORCH-41 shared resolver with priority:
+      1. ProjectConfig.<project_map_attr>[agent]  (per-project override)
+      2. settings.<env_attr_prefix><agent>        (per-agent env, if non-empty)
+      3. settings.<default_attr>                  (global default)
+      4. ""                                       (no flag -> CLI default)
+
+    project_id is the Plane project uuid. It is resolved to a ProjectConfig via
+    the registry; an unknown / empty id simply skips level 1. A missing per-agent
+    settings attribute (e.g. unknown agent name) skips level 2.
+    """
+    # Level 1: per-project override.
+    if project_id:
+        from ..projects import get_project_by_plane_id
+        proj = get_project_by_plane_id(project_id)
+        if proj is not None:
+            override = getattr(proj, project_map_attr, {}).get(agent)
+            if override:
+                return override
+
+    # Level 2: per-agent env (settings.<prefix><agent>), if defined & non-empty.
+    per_agent = getattr(settings, f"{env_attr_prefix}{agent}", "")
+    if per_agent:
+        return per_agent
+
+    # Level 3: global default.
+    default = getattr(settings, default_attr, "")
+    if default:
+        return default
+
+    # Level 4: nothing -> CLI default.
+    return ""
+
+
+def resolve_agent_model(agent: str, project_id: str = None) -> str:
+    """ORCH-41: resolve the LLM model for an agent (optionally per-project).
+
+    Returns "" when no model is configured at any level -> caller omits --model
+    and the CLI default applies. See _resolve_agent_attr for the priority order.
+    """
+    return _resolve_agent_attr(
+        agent, project_id,
+        project_map_attr="agent_models",
+        env_attr_prefix="agent_model_",
+        default_attr="agent_model_default",
+    )
+
+
+def resolve_agent_effort(agent: str, project_id: str = None) -> str:
+    """ORCH-41: resolve the --effort level for an agent (optionally per-project).
+
+    Same priority as resolve_agent_model. The resolved value is validated against
+    VALID_EFFORTS; an invalid value is logged and dropped (returns "") so a typo
+    in env/projects_json can never pass a bad flag to the CLI.
+    """
+    value = _resolve_agent_attr(
+        agent, project_id,
+        project_map_attr="agent_efforts",
+        env_attr_prefix="agent_effort_",
+        default_attr="agent_effort_default",
+    )
+    if value and value not in VALID_EFFORTS:
+        logger.warning(
+            f"Invalid effort '{value}' for agent '{agent}' "
+            f"(allowed: {sorted(VALID_EFFORTS)}); omitting --effort"
+        )
+        return ""
+    return value
+
 
 def prune_run_logs(runs_dir, keep_days=30, keep_max=500, active_paths=None):
     """L-2: best-effort rotation of per-run logs (<runs_dir>/*.log).
@@ -85,7 +161,6 @@ class AgentLauncher:
             "system_prompt": ".openclaw/agents/architect.md",
             "task_file": ".task-arch.md",
             "allowed_tools": "Read,Write,Edit,Bash",
-            "model": "opus",
         },
         "developer": {
             "system_prompt": ".openclaw/agents/developer.md",
@@ -96,7 +171,6 @@ class AgentLauncher:
             "system_prompt": ".openclaw/agents/reviewer.md",
             "task_file": ".task-review.md",
             "allowed_tools": "Read,Write,Edit,Bash",
-            "model": "opus",
         },
         "tester": {
             "system_prompt": ".openclaw/agents/tester.md",
@@ -171,6 +245,12 @@ class AgentLauncher:
         _br_row = get_db().execute("SELECT branch FROM tasks WHERE id=?", (task_id,)).fetchone() if task_id else None
         agent_branch = _br_row[0] if _br_row else "main"
 
+        # ORCH-41: resolve the Plane project uuid for this repo so per-project
+        # model/effort overrides apply. Unknown repo -> None (env/default only).
+        from ..projects import get_project_by_repo
+        _proj = get_project_by_repo(repo)
+        project_id = _proj.plane_project_id if _proj else None
+
         # Ensure the per-branch worktree exists and is on the right branch.
         work_path = ensure_worktree(repo, agent_branch)
 
@@ -204,8 +284,14 @@ class AgentLauncher:
         system_prompt = config["system_prompt"]
         allowed_tools = config["allowed_tools"]
 
-        model = config.get("model", "")
+        # ORCH-41: model + effort + optional fallback are resolved from config
+        # (project-override > per-agent env > default), not hardcoded in AGENT_CONFIGS.
+        model = resolve_agent_model(agent, project_id)
+        effort = resolve_agent_effort(agent, project_id)
         model_flag = f"--model {model} " if model else ""
+        effort_flag = f"--effort {effort} " if effort else ""
+        fb = settings.agent_fallback_model
+        fb_flag = f"--fallback-model {fb} " if fb else ""
 
         # No git fetch/checkout here: ensure_worktree() already put the worktree on
         # the right branch. The agent simply runs inside its isolated work_path.
@@ -218,7 +304,7 @@ class AgentLauncher:
             f'cd {work_path} && '
             f'{self.CLAUDE_BIN} --print '
             f'--output-format json '
-            f'{model_flag}'
+            f'{model_flag}{effort_flag}{fb_flag}'
             f'"$(cat {task_file})" '
             f'--system-prompt "$(cat {system_prompt})" '
             f'--allowedTools {allowed_tools}'
@@ -507,11 +593,15 @@ class AgentLauncher:
                 from ..notifications import send_telegram
                 send_telegram(f"\u26a0\ufe0f {_wid}: Agent {agent} failed (exit_code={exit_code}). Check logs: /app/data/runs/{run_id}.log")
 
-        # Feature 4: post the per-agent usage comment under that agent's bot, and
-        # — for the deployer finishing the task — the per-task usage summary.
+        # Feature 4 + ORCH-016: post the unified per-agent status comment under
+        # that agent's bot, threading the wall-clock duration we just measured
+        # straight through (ADR-001 §6: explicit param wins over DB fallback).
+        # The deployer finishing the task also posts the per-task usage summary.
         if exit_code == 0:
             try:
-                self._post_usage_comments(run_id, agent, repo, branch, _usage)
+                self._post_usage_comments(
+                    run_id, agent, repo, branch, _usage, duration_s=_duration_s
+                )
             except Exception as e:
                 logger.warning(f"run_id={run_id}: usage comment failed: {e}")
 
@@ -679,42 +769,67 @@ class AgentLauncher:
             logger.error(f"Auto-advance failed for run_id={run_id}: {e}")
 
 
-    def _post_usage_comments(self, run_id, agent, repo, branch, usage):
-        """Feature 4: post the per-agent usage comment (and Deployer summary).
+    def _post_usage_comments(self, run_id, agent, repo, branch, usage, duration_s=None):
+        """Feature 4 + ORCH-016: post the unified per-agent status comment.
 
         - Always (on success, with a work_item_id): a per-agent finish comment
-          with token/cost, authored by the finishing agent's Plane bot.
+          via ``usage.build_status_comment(...)``, authored by the finishing
+          agent's Plane bot. The comment carries:
+            * single-line header (icon + role + per-stage description),
+            * machine verdict line for reviewer / tester / deployer (when the
+              relevant frontmatter is present in the worktree),
+            * the agent's wall-clock duration (``duration_s`` is the measured
+              value in _monitor_agent; DB fallback is unused on this path),
+            * an HTML <ul> of artifact links scoped per agent,
+            * a ``<sub>`` token/cost tail.
         - When the deployer finishes: also a per-task summary (SUM over
           agent_runs GROUP BY agent), authored by the deployer.
+
+        The deployer's `stage=` is resolved from the task row so the helper can
+        pick between 14-deploy-log.md (prod) and 15-staging-log.md (staging).
         """
-        from ..usage import usage_comment, task_summary_comment
+        from ..usage import build_status_comment, task_summary_comment
+        from ..git_worktree import get_worktree_path
         conn = get_db()
         row = conn.execute(
-            "SELECT id, work_item_id FROM tasks WHERE repo=? AND branch=?",
+            "SELECT id, work_item_id, stage FROM tasks WHERE repo=? AND branch=?",
             (repo, branch),
         ).fetchone()
         conn.close()
         if not row:
             return
-        task_id, work_item_id = row[0], row[1]
+        task_id, work_item_id, stage = row[0], row[1], row[2]
         if not work_item_id:
             return
         # Observability: every agent's finish comment links its artifact(s)
-        # (reviewer->12-review, tester->13-test-report, deployer->14-deploy-log,
+        # (reviewer->12-review, tester->13-test-report, deployer->14- or 15-,
         # architect->ADR, developer->PR/branch). For the developer we resolve the
         # open PR number so the link points straight at it.
         pr_number = None
         if agent == "developer":
             pr_number = self._open_pr_number(repo, branch)
+
+        # Best-effort worktree path — drives AC-8 (skip missing artifacts) and
+        # the verdict frontmatter read. Falls back to None on lookup error so
+        # the comment still goes out without the verdict line / file probe.
+        try:
+            worktree_root = get_worktree_path(repo, branch)
+        except Exception:
+            worktree_root = None
+
         plane_add_comment(
             work_item_id,
-            usage_comment(
+            build_status_comment(
                 agent,
-                usage,
                 repo=repo,
                 branch=branch,
                 work_item_id=work_item_id,
                 pr_number=pr_number,
+                stage=stage,
+                usage=usage,
+                duration_s=duration_s,
+                task_id=task_id,
+                worktree_root=worktree_root,
             ),
             author=agent,
         )

src/config.py

@@ -4,6 +4,11 @@ from pydantic_settings import BaseSettings
 class Settings(BaseSettings):
     # Plane
     plane_api_url: str = "http://localhost:8091"
+    # ORCH-017: external (browser) web URL of Plane for clickable issue links in
+    # notifications, e.g. https://plane.example.org. Falls back to plane_api_url,
+    # but a loopback fallback (localhost/127.0.0.1) is treated as "no web URL" and
+    # the Plane link is omitted (see notifications._build_plane_issue_link).
+    plane_web_url: str = ""
     plane_api_token: str = ""
     plane_workspace_slug: str = ""
     plane_webhook_secret: str = ""
@@ -78,6 +83,34 @@ class Settings(BaseSettings):
     agent_kill_grace_seconds: int = 20
     agent_timeout_overrides_json: str = ""
 
+    # ORCH-41: per-agent LLM model. Empty -> agent_model_default. Resolution order:
+    # project-override (projects_json agent_models) > ORCH_AGENT_MODEL_<AGENT> >
+    # agent_model_default > CLI default (no --model flag). Default is 4-8 because
+    # 4-7 == 4-8 in price (Slava 05.06); do NOT hardcode the version anywhere else.
+    agent_model_default: str = "claude-opus-4-8"
+    agent_model_analyst: str = ""
+    agent_model_architect: str = ""
+    agent_model_developer: str = ""
+    agent_model_reviewer: str = ""
+    agent_model_tester: str = ""
+    agent_model_deployer: str = ""
+
+    # ORCH-41: per-agent effort / reasoning level: low|medium|high|xhigh|max.
+    # Empty -> agent_effort_default. Same resolution order as model. Default split:
+    # thinking agents (analyst/architect/developer/reviewer) -> high; mechanical
+    # agents (tester/deployer) -> medium.
+    agent_effort_default: str = "high"
+    agent_effort_analyst: str = "high"
+    agent_effort_architect: str = "high"
+    agent_effort_developer: str = "high"
+    agent_effort_reviewer: str = "high"
+    agent_effort_tester: str = "medium"
+    agent_effort_deployer: str = "medium"
+
+    # ORCH-41: optional per-agent fallback model used when the primary is
+    # overloaded (--fallback-model, works with --print). Empty -> no flag.
+    agent_fallback_model: str = ""
+
     # L-2: run-log rotation. Old per-run logs in <data>/runs/*.log are pruned at
     # app startup (best-effort). A *.log is removed if it is older than
     # log_keep_days OR not within the log_keep_max most-recent logs (whichever
@@ -88,10 +121,27 @@ class Settings(BaseSettings):
     log_keep_max: int = 500
 
 
+    # ORCH-045: quality-gate CI poll/retry. check_ci_green polls the Gitea
+    # combined commit status up to ci_poll_max_attempts times, sleeping
+    # ci_poll_interval_s between attempts, to ride out a transient pending
+    # state right after the developer push (race fix, see ORCH-017).
+    #   ci_poll_max_attempts -> max status polls (env ORCH_CI_POLL_MAX_ATTEMPTS)
+    #   ci_poll_interval_s   -> seconds between polls (env ORCH_CI_POLL_INTERVAL_S)
+    ci_poll_max_attempts: int = 12
+    ci_poll_interval_s: int = 10
+
     # Telegram notifications
     telegram_bot_token: str = ""
     telegram_chat_id: str = ""
 
+    # ORCH-042: режим live-трекера задачи.
+    #   edit -> карточка редактируется на месте (editMessageText), ДЕФОЛТ (как было).
+    #   bump -> при обновлении старое сообщение удаляется и карточка отправляется
+    #           заново вниз чата (deleteMessage + sendMessage + repoint message_id),
+    #           тихо (disable_notification). Одна карточка на задачу в обоих режимах.
+    # Неизвестное/пустое значение трактуется как edit (см. notifications).
+    tracker_mode: str = "edit"
+
     class Config:
         env_prefix = "ORCH_"
         env_file = ".env"

src/frontmatter.py

@@ -0,0 +1,75 @@
+"""Safe single-key YAML frontmatter reader (ORCH-016 / ADR-001 §5).
+
+The status-comment builder (build_status_comment) needs to surface verdict /
+deploy_status / staging_status from the per-stage artifact files (12-review.md,
+13-test-report.md, 14-deploy-log.md, 15-staging-log.md). Those files share the
+same leading-YAML-frontmatter convention used by the quality gates — but the
+comment hot-path must NEVER raise: a missing file, malformed YAML, or absent
+key should simply suppress the verdict line, not break the run.
+
+This module is a tiny defensive helper:
+  - `read_frontmatter_value(path, key)` -> str | None
+  - swallows every exception, logs to logger.debug, returns None.
+
+It intentionally duplicates ~10 lines of YAML-frontmatter logic that already
+exist in `src/qg/checks.py` (S-5 / БАГ 8 / ET-013 fixes). ADR-001 §5 accepts
+this duplication to keep the blast radius of ORCH-016 small (no QG refactor in
+this PR); merging into a single parser is a follow-up task.
+"""
+
+import logging
+
+logger = logging.getLogger("orchestrator.frontmatter")
+
+
+def read_frontmatter_value(path: str, key: str) -> str | None:
+    """Return the value of `key` from the leading YAML frontmatter of `path`.
+
+    Format expected (canonical, matching qg/checks.py):
+        ---
+        key: value
+        other: ...
+        ---
+        <body>
+
+    Never raises. Returns None for any of:
+      - missing/unreadable file,
+      - no leading `---` frontmatter,
+      - malformed/unterminated frontmatter,
+      - YAML parse error,
+      - frontmatter is not a mapping,
+      - key absent (or its value is None/empty).
+
+    The returned value is stringified and stripped (whitespace removed); casing
+    is preserved so the caller decides whether to upper/lower for matching.
+    """
+    try:
+        with open(path, "r", encoding="utf-8", errors="replace") as f:
+            content = f.read()
+    except OSError as e:
+        logger.debug(f"read_frontmatter_value: cannot open {path}: {e}")
+        return None
+
+    if not content.startswith("---"):
+        return None
+
+    parts = content.split("---", 2)
+    if len(parts) < 3:
+        # Unterminated frontmatter.
+        return None
+
+    try:
+        import yaml
+        fm = yaml.safe_load(parts[1]) or {}
+    except Exception as e:  # yaml.YAMLError + anything pyyaml may surface
+        logger.debug(f"read_frontmatter_value: yaml parse failed for {path}: {e}")
+        return None
+
+    if not isinstance(fm, dict):
+        return None
+
+    raw = fm.get(key)
+    if raw is None:
+        return None
+    value = str(raw).strip()
+    return value or None

src/notifications.py

@@ -68,6 +68,62 @@ def send_telegram(text: str, disable_notification: bool = False):
     return None
 
 
+# Telegram error descriptions that mean a deleteMessage target is already gone /
+# can't be deleted (>48h, already deleted, invalid id). Treated as "no longer our
+# problem" -> the caller proceeds to send a fresh card. NOT a transient failure.
+_DELETE_GONE_MARKERS = (
+    "message to delete not found",
+    "message can't be deleted",
+    "message_id_invalid",
+)
+
+
+def delete_telegram(message_id: int) -> bool:
+    """Delete a Telegram message. Never raises.
+
+    Returns True if the message is gone after the call (deleted now, OR Telegram
+    says it's already not there / can't be deleted -> treat as "no longer our
+    problem", caller proceeds to send a fresh card). Returns False only on a
+    transient failure (network / timeout / 5xx / unknown error) where the old
+    message may still be alive.
+    """
+    s = _get_settings()
+    if not s.telegram_bot_token or not s.telegram_chat_id:
+        # No creds -> nothing was deleted; mirror the other helpers' no-op path.
+        return False
+    try:
+        url = f"https://api.telegram.org/bot{s.telegram_bot_token}/deleteMessage"
+        resp = httpx.post(
+            url,
+            json={
+                "chat_id": s.telegram_chat_id,
+                "message_id": message_id,
+            },
+            timeout=5,
+        )
+        data = resp.json()
+        if data.get("ok"):
+            return True
+        # ok:false -> classify. "Already gone / can't delete" is an expected,
+        # non-transient outcome (>48h, already deleted) -> the old message is no
+        # longer there, caller should still send a fresh card.
+        desc = str(data.get("description") or "").lower()
+        if any(m in desc for m in _DELETE_GONE_MARKERS):
+            logger.debug(
+                f"delete_telegram(mid={message_id}): already gone ({desc!r})"
+            )
+            return True
+        # Unknown 400 / 5xx -> transient; the old message may still be alive.
+        logger.warning(
+            f"delete_telegram(mid={message_id}): delete failed ({desc!r})"
+        )
+        return False
+    except Exception as e:
+        # Network / timeout -> transient; old message may still be alive.
+        logger.warning(f"delete_telegram(mid={message_id}): transient error: {e}")
+        return False
+
+
 # edit_telegram outcome codes -> let update_task_tracker decide what to do:
 #   "ok"           edit applied -> nothing else to do
 #   "not_modified" Telegram says text is identical (400 "message is not
@@ -166,19 +222,23 @@ def _get_work_item_id(task_id: int) -> str:
 # the agent whose agent_runs rows describe that stage's work. "Ревью БРД" is NOT
 # an agent stage — it is the human approve gate rendered between Analysis and
 # Architecture from the task's brd_review_* timestamps.
+# ORCH-042 (BR-11): display-labels are Russian. Stage KEYS (analysis, …) and
+# agent names (analyst, …) are NOT touched — they are wired to
+# _STAGE_ACTIVE_AGENT, last_done and the DB. Only the 2nd tuple element changed.
 _TRACKER_STAGES = [
-    ("analysis", "Analysis", "analyst"),
-    ("architecture", "Architecture", "architect"),
-    ("development", "Development", "developer"),
-    ("review", "Review", "reviewer"),
-    ("testing", "Testing", "tester"),
-    ("deploy", "Deploy", "deployer"),
+    ("analysis", "Анализ", "analyst"),  # Анализ
+    ("architecture", "Архитектура", "architect"),  # Архитектура
+    ("development", "Разработка", "developer"),  # Разработка
+    ("review", "Код ревью", "reviewer"),  # Код ревью
+    ("testing", "Тестирование", "tester"),  # Тестирование
+    ("deploy", "Внедрение", "deployer"),  # Внедрение
 ]
 
 # Map a pipeline stage -> the agent that is RUNNING while the task sits in it.
 # (development is entered after architecture finishes, etc.) Used to render the
 # "🔄 <Stage> … идёт" line for the currently-active stage.
-_BRD_LABEL = "\u0420\u0435\u0432\u044c\u044e \u0411\u0420\u0414"  # "Ревью БРД"
+# ORCH-042 (BR-9): "Подтверждение BRD" (was "Ревью БРД").
+_BRD_LABEL = "Подтверждение BRD"
 
 _STAGE_ACTIVE_AGENT = {
     "analysis": "analyst",
@@ -232,7 +292,8 @@ def render_task_tracker(task_id: int) -> str:
     the BRD-review timestamps, then renders:
       - one '✅ <Stage> <dur> · <in>↓/<out>↑ · <cost> · <model>' line per finished
         stage (latest run per stage),
-      - the '⏸️ Ревью БРД <dur> · твоё время[ ⏳]' line between Analysis/Architecture,
+      - the '✅/⏸️ Подтверждение BRD <dur> · твоё время[ ⏳]' line between
+        Analysis/Architecture (✅ once the approve-gate passed, ⏸️+⏳ while waiting),
       - a '🔄 <Stage> … идёт' line for the active (in-progress) stage,
       - the '💰 <in>↓ / <out>↑ · <cost>' totals,
       - on done: '⏱️ Всего .. · агенты .. · твоё ..' and a '🔗 PR / 📦' line.
@@ -365,9 +426,11 @@ def render_task_tracker(task_id: int) -> str:
         if stage_key == "analysis" and brd_started:
             brd_label = f"{_BRD_LABEL:<13}"
             if review_seconds is not None:
+                # ORCH-042 (BR-10): approve-gate passed -> \u2705 (was \u23f8\ufe0f). The
+                # still-waiting branch below keeps \u23f8\ufe0f + \u23f3 unchanged.
                 dur = _fmt_minutes(review_seconds)
                 lines.append(
-                    f"\u23f8\ufe0f {brd_label} {dur} \u00b7 \u0442\u0432\u043e\u0451 \u0432\u0440\u0435\u043c\u044f"
+                    f"\u2705 {brd_label} {dur} \u00b7 \u0442\u0432\u043e\u0451 \u0432\u0440\u0435\u043c\u044f"
                 )
             else:
                 # Still waiting on the human (ended not stamped yet).
@@ -406,7 +469,7 @@ def render_task_tracker(task_id: int) -> str:
 
 
 def _done_link(task_id: int, work_item_id) -> str | None:
-    """Build the final '🔗 PR #n · 📦 deployed' line. Never raises -> None."""
+    """Build the final '🔗 PR #n · 📦 Внедрено' line. Never raises -> None."""
     try:
         from .config import settings
         from .db import get_db
@@ -436,7 +499,7 @@ def _done_link(task_id: int, work_item_id) -> str | None:
         parts = []
         if pr_part:
             parts.append(pr_part)
-        parts.append("\U0001f4e6 deployed")
+        parts.append("\U0001f4e6 Внедрено")  # ORCH-042 (BR-12): was "deployed"
         return " \u00b7 ".join(parts)
     except Exception:
         return None
@@ -445,19 +508,49 @@ def _done_link(task_id: int, work_item_id) -> str | None:
 def update_task_tracker(task_id: int):
     """Render + push the live tracker for a task. Never raises.
 
-    First call (no stored tracker_message_id): sendMessage (silent) and store the
-    returned message_id. Subsequent calls: editMessageText the stored message.
-    A NEW message is sent ONLY when the original is truly gone (deleted / too old
-    / invalid id). On "not modified" (text unchanged) or transient failures
-    (network / timeout / 5xx / unknown 400) we do NOT send a new message — that
-    is exactly what produced duplicate trackers and orphaned (lagging) messages.
+    Two modes, selected by Settings.tracker_mode (env ORCH_TRACKER_MODE),
+    resolved case-insensitively here; anything other than "bump" -> "edit"
+    (ORCH-042). Both keep the "one card per task" invariant.
+
+    edit (DEFAULT):
+        First call (no stored tracker_message_id): sendMessage (silent) and store
+        the returned message_id. Subsequent calls: editMessageText the stored
+        message. A NEW message is sent ONLY when the original is truly gone
+        (deleted / too old / invalid id). On "not modified" (text unchanged) or
+        transient failures (network / timeout / 5xx / unknown 400) we do NOT send
+        a new message — that is exactly what produced duplicate trackers and
+        orphaned (lagging) messages.
+
+    bump (ORCH-042):
+        The card is re-created at the BOTTOM of the chat on every update:
+        best-effort delete_telegram(old_id) (its result NEVER blocks the send),
+        then sendMessage (silent), then re-point tracker_message_id to the new id
+        — but ONLY on a successful send (new_mid is not None), so a transient send
+        failure never wipes the pointer to None. At most ONE new message is sent
+        per call -> no duplicates within a call.
+
     The tracker is always sent with disable_notification so it never pings —
     only the dedicated alert helpers ping.
     """
     try:
         from .db import get_tracker_message_id, set_tracker_message_id
         text = render_task_tracker(task_id)
+        mode = (_get_settings().tracker_mode or "edit").strip().lower()
         mid = get_tracker_message_id(task_id)
+
+        if mode == "bump":
+            # bump: one card, always at the bottom (delete + send + repoint).
+            if mid is not None:
+                # best-effort; result does NOT gate the send (BR-6).
+                delete_telegram(mid)
+            new_mid = send_telegram(text, disable_notification=True)
+            if new_mid is not None:
+                set_tracker_message_id(task_id, new_mid)
+            # send returned None (no creds / transient) -> leave mid untouched;
+            # no duplicate within this call, redraws on the next transition.
+            return
+
+        # mode == "edit" (DEFAULT): existing behaviour, unchanged.
         if mid is not None:
             result = edit_telegram(mid, text)
             if result in (EDIT_OK, EDIT_NOT_MODIFIED):
@@ -544,6 +637,105 @@ def notify_qg_failure(task_id: int, stage: str, check: str, reason: str):
     logger.warning(f"\u26a0\ufe0f {work_item_id}: QG {check} \u2014 failed: {reason}")
 
 
+# ORCH-017: hosts that are not clickable off the deploy box. A Plane web-base
+# resolving to one of these (the plane_api_url loopback default) means "no usable
+# browser URL" -> the Plane link is omitted rather than emitted broken (ADR-001 Р-3).
+_LOOPBACK_HOSTS = frozenset({"localhost", "127.0.0.1", "0.0.0.0", "::1"})
+
+
+def _is_loopback_base(url: str) -> bool:
+    """True if the URL's host is a loopback/local address (not clickable off-host).
+
+    Empty/garbage URLs count as loopback (i.e. unusable) so callers omit the link.
+    """
+    if not url:
+        return True
+    try:
+        from urllib.parse import urlparse
+        host = (urlparse(url).hostname or "").lower()
+        return (not host) or host in _LOOPBACK_HOSTS
+    except Exception:
+        return True
+
+
+def _get_task_link_fields(task_id: int):
+    """ORCH-017: read (repo, branch, plane_issue_id) for a task. Never raises.
+
+    Returns (None, None, None) on any error / missing row so link building can
+    degrade gracefully (AC-6).
+    """
+    try:
+        from .db import get_db
+        conn = get_db()
+        row = conn.execute(
+            "SELECT repo, branch, plane_issue_id FROM tasks WHERE id=?", (task_id,)
+        ).fetchone()
+        conn.close()
+        if not row:
+            return None, None, None
+        return row["repo"], row["branch"], row["plane_issue_id"]
+    except Exception as e:
+        logger.warning(f"_get_task_link_fields({task_id}) failed: {e}")
+        return None, None, None
+
+
+def _build_brd_link(repo, branch, work_item_id) -> str | None:
+    """ORCH-017: '<a>' to 01-brd.md in Gitea branch-view, or None if data missing.
+
+    Mirrors the canonical branch-view pattern in src/usage.py: base =
+    gitea_public_url or gitea_url, owner = gitea_owner (AC-1/AC-3). The href is
+    html.escaped as defence-in-depth even though parts come from trusted
+    config/DB (AC-7).
+    """
+    s = _get_settings()
+    base = (
+        getattr(s, "gitea_public_url", "") or getattr(s, "gitea_url", "")
+    ).rstrip("/")
+    owner = getattr(s, "gitea_owner", "")
+    if not (base and owner and repo and branch and work_item_id):
+        return None
+    url = (
+        f"{base}/{owner}/{repo}/src/branch/{branch}"
+        f"/docs/work-items/{work_item_id}/01-brd.md"
+    )
+    return (
+        f'<a href="{html.escape(url, quote=True)}">'
+        f"\U0001f4c4 Открыть BRD</a>"
+    )
+
+
+def _build_plane_issue_link(repo, plane_issue_id) -> str | None:
+    """ORCH-017: '<a>' to the Plane issue browser page, or None if unusable.
+
+    Full path per ADR-001 Р-2:
+    ``{web_base}/{workspace_slug}/projects/{project_id}/issues/{issue_id}/``.
+    web_base = plane_web_url or plane_api_url (AC-3); a loopback base is treated
+    as "no web URL" and the link is omitted (loopback-guard, AC-2/AC-6).
+    """
+    s = _get_settings()
+    web_base = (
+        getattr(s, "plane_web_url", "") or getattr(s, "plane_api_url", "")
+    ).rstrip("/")
+    workspace = getattr(s, "plane_workspace_slug", "")
+    if not (web_base and workspace and plane_issue_id) or _is_loopback_base(web_base):
+        return None
+    try:
+        from .projects import get_project_by_repo
+        project = get_project_by_repo(repo) if repo else None
+    except Exception:
+        project = None
+    if not project or not getattr(project, "plane_project_id", ""):
+        return None
+    url = (
+        f"{web_base}/{workspace}/projects/{project.plane_project_id}"
+        f"/issues/{plane_issue_id}/"
+    )
+    return (
+        f'<a href="{html.escape(url, quote=True)}">'
+        f"✅ Задача в Plane</a>"
+    )
+
+
 def notify_approve_requested(task_id: int):
     """ALERT (separate, notifying): BRD/TZ/AC ready -> flip Plane to Approved.
 
@@ -557,10 +749,27 @@ def notify_approve_requested(task_id: int):
     except Exception as e:
         logger.warning(f"notify_approve_requested: brd clock start failed: {e}")
     msg = (
-        f"\U0001f4cb {work_item_id}: BRD/\u0422\u0417/AC \u0433\u043e\u0442\u043e\u0432\u044b. "
+        f"\U0001f4cb {html.escape(work_item_id)}: BRD/\u0422\u0417/AC \u0433\u043e\u0442\u043e\u0432\u044b. "
         f"\u041f\u0435\u0440\u0435\u0432\u0435\u0434\u0438\u0442\u0435 \u0437\u0430\u0434\u0430\u0447\u0443 \u0432 \u0441\u0442\u0430\u0442\u0443\u0441 Approved "
         f"\u0432 Plane \u0434\u043b\u044f \u043f\u0440\u043e\u0434\u043e\u043b\u0436\u0435\u043d\u0438\u044f."
     )
+    # ORCH-017: embed direct links to the BRD doc (Gitea) and the Plane issue so
+    # the reviewer can open both straight from the ping. Each link is built
+    # independently and omitted if its data is missing; building is defensive so
+    # it can NEVER break the alert (AC-1/AC-2/AC-6). Still exactly one notifying
+    # message (AC-5); the call to action above is always preserved (AC-4).
+    try:
+        repo, branch, plane_issue_id = _get_task_link_fields(task_id)
+        links = [
+            link for link in (
+                _build_brd_link(repo, branch, work_item_id),
+                _build_plane_issue_link(repo, plane_issue_id),
+            ) if link
+        ]
+        if links:
+            msg = msg + "\n\n" + "\n".join(links)
+    except Exception as e:
+        logger.warning(f"notify_approve_requested({task_id}): link build failed: {e}")
     logger.info(msg)
     update_task_tracker(task_id)
     send_telegram(msg)  # separate, notifying

src/plane_sync.py

@@ -84,31 +84,131 @@ def _resolve_project_id(work_item_id: str = None, project_id: str = None) -> str
             logger.debug(f"_resolve_project_id fallback for {work_item_id}: {e}")
     return PROJECT_ID
 
-# Plane state IDs.
-# TODO(ORCH-10): these UUIDs are PER-PROJECT. The 6 stage-visibility / verdict
-# statuses below were created only in the enduro project (7a79f0a9-...). One
-# project is in prod today, so a single global dict is acceptable. When more
-# projects are onboarded these must be resolved per project (see ORCH-10 in
-# BACKLOG.md / the ORCH-6 project registry) — do NOT hardcode globally then.
-PLANE_STATES = {
-    "backlog": "113b24f6-cce8-4be9-9a22-a359b9cf0122",
-    "todo": "2c7d3df3-9eb9-419b-92b7-d7d560bcdd10",
-    "in_progress": "b873d9eb-993c-48cd-97ac-99a9b1623967",
-    "needs_input": "babf08a3-ff4d-41f3-a821-5491aa29a8ac",
-    "in_review": "38fb1f64-aa1e-48a3-92e0-0b109679046b",
-    "blocked": "6c4543f9-ac47-4ef7-ae0f-070020dc9920",
-    "done": "381a2833-3c4e-4be5-bd0f-be84cb946ad8",
-    "cancelled": "b1cae7f9-961d-4889-a179-f3acea697d17",
+# ORCH-10: per-project state resolution.
+#
+# _DEFAULT_STATES keeps the original enduro-trails UUIDs as a safe fallback
+# (used when the Plane API is unreachable and for backward compat).
+# PLANE_STATES is preserved as an alias so existing call sites that reference
+# it directly (QG-0 fast-path in webhooks/plane.py, tests) continue to work.
+_DEFAULT_STATES = {
+    "backlog":      "113b24f6-cce8-4be9-9a22-a359b9cf0122",
+    "todo":         "2c7d3df3-9eb9-419b-92b7-d7d560bcdd10",
+    "in_progress":  "b873d9eb-993c-48cd-97ac-99a9b1623967",
+    "needs_input":  "babf08a3-ff4d-41f3-a821-5491aa29a8ac",
+    "in_review":    "38fb1f64-aa1e-48a3-92e0-0b109679046b",
+    "blocked":      "6c4543f9-ac47-4ef7-ae0f-070020dc9920",
+    "done":         "381a2833-3c4e-4be5-bd0f-be84cb946ad8",
+    "cancelled":    "b1cae7f9-961d-4889-a179-f3acea697d17",
     # Feature 3 (stage visibility) — per-stage statuses on the board.
     "architecture": "3020bbb7-6122-4663-930c-0315ba8dfa3d",
-    "development": "9920609b-f140-4e46-ab95-89acda8412c8",
-    "review": "ba0d802c-5218-41d4-ab43-978b0ea123ed",
-    "testing": "7855d807-b1bf-42ef-8dae-6cde0df92d02",
+    "development":  "9920609b-f140-4e46-ab95-89acda8412c8",
+    "review":       "ba0d802c-5218-41d4-ab43-978b0ea123ed",
+    "testing":      "7855d807-b1bf-42ef-8dae-6cde0df92d02",
     # Feature 2 (verdict statuses) — Approved / Rejected.
-    "approved": "a519a341-dada-4a91-8910-7604f82b79c5",
-    "rejected": "ba958f3c-5db5-461d-8f82-89425e413b97",
+    "approved":     "a519a341-dada-4a91-8910-7604f82b79c5",
+    "rejected":     "ba958f3c-5db5-461d-8f82-89425e413b97",
 }
 
+# Backward-compat alias — do NOT remove (tests + webhooks/plane.py import it).
+PLANE_STATES = _DEFAULT_STATES
+
+# Mapping: Plane state *name* (as returned by the API) -> logical key.
+_PLANE_NAME_TO_KEY: dict[str, str] = {
+    "Backlog":      "backlog",
+    "Todo":         "todo",
+    "In Progress":  "in_progress",
+    "Architecture": "architecture",
+    "Development":  "development",
+    "Review":       "review",
+    "Testing":      "testing",
+    "Approved":     "approved",
+    "Rejected":     "rejected",
+    "Done":         "done",
+    "Cancelled":    "cancelled",
+    "Needs Input":  "needs_input",
+    "In Review":    "in_review",
+    "Blocked":      "blocked",
+}
+
+# Per-project state cache: {project_id: {logical_key: state_uuid}}
+_STATES_CACHE: dict[str, dict[str, str]] = {}
+
+
+def get_project_states(project_id: str) -> dict[str, str]:
+    """ORCH-10: resolve {logical_key -> state_uuid} for a specific Plane project.
+
+    Source of truth: Plane API GET /projects/<project_id>/states/.
+    Results are cached per project_id for the lifetime of the process.
+    Falls back to _DEFAULT_STATES (enduro-trails values) if:
+      * project_id is empty/None,
+      * the API call fails (network error, non-2xx),
+      * the response contains no recognisable states.
+
+    The enduro-trails project therefore returns the same UUIDs as before
+    (backward compatible). The orchestrator project returns its own UUIDs,
+    fixing the ORCH-10 blocker.
+    """
+    if not project_id:
+        return _DEFAULT_STATES
+
+    if project_id in _STATES_CACHE:
+        return _STATES_CACHE[project_id]
+
+    url = f"{PLANE_BASE}/workspaces/{WORKSPACE}/projects/{project_id}/states/"
+    try:
+        resp = httpx.get(url, headers=PLANE_HEADERS, timeout=10)
+        resp.raise_for_status()
+        body = resp.json()
+        # Plane returns {"results": [...]} or a bare list.
+        items = body.get("results", body) if isinstance(body, dict) else body
+        if not isinstance(items, list):
+            raise ValueError(f"unexpected states response shape: {type(items)}")
+
+        resolved: dict[str, str] = {}
+        for item in items:
+            name = item.get("name", "")
+            uid = item.get("id", "")
+            key = _PLANE_NAME_TO_KEY.get(name)
+            if key and uid:
+                resolved[key] = uid
+
+        if not resolved:
+            raise ValueError("no recognisable states in API response")
+
+        # Fill any missing keys from _DEFAULT_STATES so callers always get a
+        # complete mapping (defensive against partial Plane configs).
+        for k, v in _DEFAULT_STATES.items():
+            resolved.setdefault(k, v)
+
+        _STATES_CACHE[project_id] = resolved
+        logger.debug(
+            f"get_project_states: cached {len(resolved)} states for project {project_id[:8]}..."
+        )
+        return resolved
+
+    except Exception as e:
+        logger.warning(
+            f"get_project_states: API failed for project {project_id[:8]}..., "
+            f"falling back to _DEFAULT_STATES. Error: {e}"
+        )
+        return _DEFAULT_STATES
+
+
+def reload_project_states(project_id: str = None) -> None:
+    """ORCH-10: clear the per-project states cache.
+
+    If project_id is given, evict only that project.
+    If None, flush the entire cache (useful in tests and after config reload).
+    """
+    global _STATES_CACHE
+    if project_id is None:
+        _STATES_CACHE = {}
+        logger.debug("reload_project_states: full cache cleared")
+    else:
+        _STATES_CACHE.pop(project_id, None)
+        logger.debug(f"reload_project_states: evicted project {project_id[:8]}...")
+
+
 # Feature 3: map an orchestrator stage -> the Plane status to show on the board
 # when the pipeline ENTERS that stage. analysis stays driven by the existing
 # in_progress/in_review/needs_input logic (no dedicated status). deploy keeps
@@ -121,21 +221,44 @@ STAGE_VISIBILITY_STATE = {
     "testing": "testing",
 }
 
-# Map orchestrator stages to Plane states (used by update_issue_state /
-# notify_stage_change). Feature 3: architecture/development/review/testing now
-# point at their dedicated board statuses so the task physically moves across
-# columns. analysis -> in_progress, deploy -> in_progress, done -> done.
+# STAGE_TO_STATE kept for backward compat (used by tests that patch it).
+# update_issue_state now calls stage_to_state() instead of looking up here.
 STAGE_TO_STATE = {
-    "created": PLANE_STATES["todo"],
-    "analysis": PLANE_STATES["in_progress"],
-    "architecture": PLANE_STATES["architecture"],
-    "development": PLANE_STATES["development"],
-    "review": PLANE_STATES["review"],
-    "testing": PLANE_STATES["testing"],
-    "deploy": PLANE_STATES["in_progress"],
-    "done": PLANE_STATES["done"],
+    "created":      _DEFAULT_STATES["todo"],
+    "analysis":     _DEFAULT_STATES["in_progress"],
+    "architecture": _DEFAULT_STATES["architecture"],
+    "development":  _DEFAULT_STATES["development"],
+    "review":       _DEFAULT_STATES["review"],
+    "testing":      _DEFAULT_STATES["testing"],
+    "deploy":       _DEFAULT_STATES["in_progress"],
+    "done":         _DEFAULT_STATES["done"],
 }
 
+# Map orchestrator stage -> logical state key (project-independent).
+_STAGE_TO_STATE_KEY = {
+    "created":      "todo",
+    "analysis":     "in_progress",
+    "architecture": "architecture",
+    "development":  "development",
+    "review":       "review",
+    "testing":      "testing",
+    "deploy":       "in_progress",
+    "done":         "done",
+}
+
+
+def stage_to_state(stage: str, project_id: str) -> str | None:
+    """ORCH-10: return the Plane state UUID for a pipeline stage in a project.
+
+    Resolves via get_project_states so the correct per-project UUID is used.
+    Returns None for unknown stages (same behaviour as the old STAGE_TO_STATE
+    dict lookup returning None).
+    """
+    key = _STAGE_TO_STATE_KEY.get(stage)
+    if not key:
+        return None
+    return get_project_states(project_id).get(key)
+
 
 def fetch_issue_sequence_id(issue_id: str, project_id: str) -> int | None:
     """M-6: GET the Plane issue by UUID and return its sequence_id (the
@@ -284,11 +407,12 @@ def find_issue_id(work_item_id: str, project_id: str = None) -> str | None:
 
 def update_issue_state(work_item_id: str, stage: str, project_id: str = None):
     """Update Plane issue state based on orchestrator stage."""
-    state_id = STAGE_TO_STATE.get(stage)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    # ORCH-10: resolve state UUID for this specific project (not global dict).
+    state_id = stage_to_state(stage, project_id)
     if not state_id:
         return
 
-    project_id = _resolve_project_id(work_item_id, project_id)
     issue_id = find_issue_id(work_item_id, project_id)
     if not issue_id:
         logger.warning(f"Issue not found in Plane for {work_item_id}")
@@ -327,20 +451,25 @@ def add_comment(work_item_id: str, text: str, project_id: str = None, author: st
         logger.error(f"Failed to add comment to {work_item_id}: {e}")
 
 
-
 def set_issue_needs_input(work_item_id: str, project_id: str = None):
     """Set issue to 'Needs Input' state — waiting for stakeholder response."""
-    _set_issue_state_direct(work_item_id, PLANE_STATES["needs_input"], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    state_id = get_project_states(project_id)["needs_input"]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def set_issue_in_review(work_item_id: str, project_id: str = None):
     """Set issue to 'In Review' state — waiting for :approved: or :rejected:."""
-    _set_issue_state_direct(work_item_id, PLANE_STATES["in_review"], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    state_id = get_project_states(project_id)["in_review"]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def set_issue_blocked(work_item_id: str, project_id: str = None):
     """Set issue to 'Blocked' state — manual intervention needed."""
-    _set_issue_state_direct(work_item_id, PLANE_STATES["blocked"], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    state_id = get_project_states(project_id)["blocked"]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def set_issue_done(work_item_id: str, project_id: str = None):
@@ -348,15 +477,19 @@ def set_issue_done(work_item_id: str, project_id: str = None):
 
     Used by the deploy->done success path so a completed task always reaches the
     terminal Plane state (it used to stick on In Progress because the merge
-    webhook bypassed the stage engine). Uses the existing PLANE_STATES['done']
-    UUID — the mapping itself is NOT changed.
+    webhook bypassed the stage engine). Resolves per-project UUID via
+    get_project_states (ORCH-10).
     """
-    _set_issue_state_direct(work_item_id, PLANE_STATES["done"], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    state_id = get_project_states(project_id)["done"]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def set_issue_in_progress(work_item_id: str, project_id: str = None):
     """Set issue to 'In Progress' state — agent working."""
-    _set_issue_state_direct(work_item_id, PLANE_STATES["in_progress"], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    state_id = get_project_states(project_id)["in_progress"]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def set_issue_stage_state(work_item_id: str, stage: str, project_id: str = None):
@@ -371,7 +504,10 @@ def set_issue_stage_state(work_item_id: str, stage: str, project_id: str = None)
     state_key = STAGE_VISIBILITY_STATE.get(stage)
     if not state_key:
         return
-    _set_issue_state_direct(work_item_id, PLANE_STATES[state_key], project_id)
+    project_id = _resolve_project_id(work_item_id, project_id)
+    # ORCH-10: resolve per-project UUID.
+    state_id = get_project_states(project_id)[state_key]
+    _set_issue_state_direct(work_item_id, state_id, project_id)
 
 
 def _set_issue_state_direct(work_item_id: str, state_id: str, project_id: str = None):

src/projects.py

@@ -17,7 +17,7 @@ registry is used so the system works out of the box.
 
 import json
 import logging
-from dataclasses import dataclass
+from dataclasses import dataclass, field
 
 from .config import settings
 
@@ -30,6 +30,11 @@ class ProjectConfig:
     repo: str               # gitea repo name (== folder under /repos)
     work_item_prefix: str   # ET / ORCH
     name: str               # human-readable label
+    # ORCH-41: optional per-project agent->model / agent->effort overrides parsed
+    # from projects_json. frozen dataclass + mutable default -> field(default_factory=dict)
+    # (a bare {} default raises ValueError). Empty dict = no override (old records work).
+    agent_models: dict = field(default_factory=dict)
+    agent_efforts: dict = field(default_factory=dict)
 
 
 # Built-in default registry (used when ORCH_PROJECTS_JSON is empty/invalid).
@@ -50,6 +55,23 @@ _DEFAULT_PROJECTS = [
 ]
 
 
+def _coerce_str_map(value, idx, field_name) -> dict:
+    """ORCH-41: coerce an optional projects_json sub-object into a {str: str} dict.
+
+    Missing / null -> {} (no override). A non-object value is logged and dropped so
+    one malformed entry can never brick the whole registry; non-string keys/values
+    are stringified for safety.
+    """
+    if value is None:
+        return {}
+    if not isinstance(value, dict):
+        logger.error(
+            f"ORCH_PROJECTS_JSON[{idx}].{field_name} is not an object, ignoring"
+        )
+        return {}
+    return {str(k): str(v) for k, v in value.items()}
+
+
 def _parse_projects_json(raw: str) -> list[ProjectConfig] | None:
     """Parse ORCH_PROJECTS_JSON. Returns None if empty/invalid (-> use default)."""
     if not raw or not raw.strip():
@@ -75,6 +97,8 @@ def _parse_projects_json(raw: str) -> list[ProjectConfig] | None:
                     repo=str(item["repo"]),
                     work_item_prefix=str(item["work_item_prefix"]),
                     name=str(item.get("name", item["repo"])),
+                    agent_models=_coerce_str_map(item.get("agent_models"), i, "agent_models"),
+                    agent_efforts=_coerce_str_map(item.get("agent_efforts"), i, "agent_efforts"),
                 )
             )
         except KeyError as e:

src/qg/checks.py

@@ -1,6 +1,7 @@
 """Quality Gate checks — real implementations using Gitea/Plane API and filesystem."""
 
 import os
+import time
 import logging
 import subprocess
 import httpx
@@ -82,23 +83,65 @@ def check_ci_green(repo: str, branch: str) -> tuple[bool, str]:
     """
     Check if CI status is green for branch via Gitea API.
     GET /repos/{owner}/{repo}/commits/{branch}/status
+
+    ORCH-045: polling with retry to fix a race condition. The gate used to do a
+    single status read right after the developer push; if CI was still ``pending``
+    for the first 1-3s (real case ORCH-017: polled 17:58:54 -> pending, CI went
+    green 17:58:55) the gate returned False once and the task stalled silently.
+
+    Behaviour now:
+      * ``success``             -> (True, "CI green") immediately.
+      * ``failure`` / ``error`` -> (False, "CI state: <state>") immediately
+                                   (CI is red, retrying is pointless).
+      * ``pending`` / unknown   -> sleep ``ci_poll_interval_s`` and poll again,
+                                   up to ``ci_poll_max_attempts`` times.
+      * still pending after all attempts -> (False, "CI still pending after <T>s").
+      * 404                     -> (False, "Branch not found or no status").
+      * transient httpx errors  -> logged and retried within the attempt budget;
+                                   if every attempt errors -> (False, "API error: <e>").
     """
     owner = settings.gitea_owner
     url = f"{GITEA_BASE}/repos/{owner}/{repo}/commits/{branch}/status"
 
-    try:
-        resp = httpx.get(url, headers=GITEA_HEADERS, timeout=10)
-        if resp.status_code == 404:
-            return False, f"Branch '{branch}' not found or no status"
-        resp.raise_for_status()
-        data = resp.json()
-        state = data.get("state", "unknown")
-        if state == "success":
-            return True, "CI green"
-        return False, f"CI state: {state}"
-    except httpx.HTTPError as e:
-        logger.error(f"Gitea API error checking CI: {e}")
-        return False, f"API error: {e}"
+    attempts = settings.ci_poll_max_attempts
+    interval = settings.ci_poll_interval_s
+    last_state = "unknown"
+    last_error: Exception | None = None
+
+    for i in range(1, attempts + 1):
+        try:
+            resp = httpx.get(url, headers=GITEA_HEADERS, timeout=10)
+            if resp.status_code == 404:
+                return False, f"Branch '{branch}' not found or no status"
+            resp.raise_for_status()
+            data = resp.json()
+            last_state = data.get("state", "unknown")
+            last_error = None
+
+            if last_state == "success":
+                return True, "CI green"
+            if last_state in ("failure", "error"):
+                return False, f"CI state: {last_state}"
+            # non-terminal (pending / unknown / other) -> retry below
+        except httpx.HTTPError as e:
+            last_error = e
+            logger.error(f"check_ci_green: attempt {i}/{attempts} API error: {e}")
+
+        if i < attempts:
+            if last_error is not None:
+                logger.info(
+                    f"check_ci_green: attempt {i}/{attempts}, error, retrying in {interval}s"
+                )
+            else:
+                logger.info(
+                    f"check_ci_green: attempt {i}/{attempts}, state={last_state}, "
+                    f"retrying in {interval}s"
+                )
+            time.sleep(interval)
+
+    if last_error is not None:
+        return False, f"API error: {last_error}"
+    return False, f"CI still pending after {attempts * interval}s"
 
 
 def check_review_approved(repo: str, pr_number: int) -> tuple[bool, str]:
@@ -145,8 +188,11 @@ def check_tests_passed(repo: str, work_item_id: str, branch: str | None = None)
     explicitly marked `verdict: BLOCKED` / `status: blocked` but whose prose mentioned
     "23 passed" / "✅ PASS" / "All checks passed" was treated as a pass, and an
     unfinished feature reached Done. This mirrors check_reviewer_verdict (S-5) and
-    check_deploy_status (БАГ 8): read ONLY the YAML frontmatter `verdict:` / `status:`
-    fields, never the body.
+    check_deploy_status (БАГ 8): read ONLY the YAML frontmatter, never the body.
+
+    ORCH-047: the machine verdict is read from any of three equal-rank frontmatter
+    fields — `result:` (canonical, what the tester prompt emits), `verdict:` or
+    `status:` (legacy / enduro-trails). See _parse_tests_verdict.
 
     File: docs/work-items/<work_item_id>/13-test-report.md
     """
@@ -179,15 +225,20 @@ _TESTS_POSITIVE_TOKENS = ("PASSED", "PASS", "READY-TO-DEPLOY", "READY_TO_DEPLOY"
 
 def _parse_tests_verdict(content: str) -> tuple[bool, str]:
     """Map a 13-test-report.md body to a quality-gate verdict by reading ONLY the
-    machine-readable `verdict:` (and corroborating `status:`) YAML frontmatter fields.
+    machine-readable YAML frontmatter fields — never the prose body.
+
+    Three equal-rank fields are accepted (ORCH-047): `result:` (the canonical field
+    the tester prompt `.openclaw/agents/tester.md` is told to emit, `result: PASS|FAIL`),
+    plus `verdict:` and `status:` (legacy / enduro-trails ET-001..ET-014). ANY single
+    non-empty field is sufficient. Token sets are frozen for backward compatibility.
 
     Rules:
-      - No frontmatter / bad YAML / neither field present -> (False, reason).
-      - A negative token (BLOCKED/FAILED/...) in verdict OR status -> (False) and is
-        authoritative (ET-013 main case: verdict BLOCKED wins over any prose PASS).
-      - Otherwise a positive token (PASS/PASSED/READY-TO-DEPLOY/...) in verdict OR
-        status -> (True).
-      - Anything else (unrecognized / empty verdict) -> (False, reason).
+      - No frontmatter / bad YAML / none of the three fields present -> (False, reason).
+      - A negative token (BLOCKED/FAILED/...) in ANY field -> (False) and is
+        authoritative (ET-013 main case: verdict BLOCKED wins over any prose PASS, and
+        beats a positive token in another field).
+      - Otherwise a positive token (PASS/PASSED/READY-TO-DEPLOY/...) in ANY field -> (True).
+      - Anything else (fields set but unrecognized) -> (False, reason).
     """
     import yaml
 
@@ -207,19 +258,25 @@ def _parse_tests_verdict(content: str) -> tuple[bool, str]:
 
     verdict = str(fm.get("verdict", "") or "").upper().strip()
     status = str(fm.get("status", "") or "").upper().strip()
+    result = str(fm.get("result", "") or "").upper().strip()
 
-    if not verdict and not status:
-        return False, "No machine-readable verdict/status in test report frontmatter"
+    if not verdict and not status and not result:
+        return False, "No machine-readable verdict/status/result in test report frontmatter"
 
-    fields = f"{verdict} {status}"
+    value = verdict or status or result
+    fields = f"{verdict} {status} {result}"
     for neg in _TESTS_NEGATIVE_TOKENS:
         if neg in fields:
-            return False, f"Test verdict: {verdict or status} ({neg})"
+            return False, f"Test verdict: {value} ({neg})"
     for pos in _TESTS_POSITIVE_TOKENS:
         if pos in fields:
-            return True, f"Test verdict: {verdict or status} (PASS)"
+            return True, f"Test verdict: {value} (PASS)"
 
-    return False, f"No recognized PASS verdict in frontmatter (verdict={verdict!r}, status={status!r})"
+    return (
+        False,
+        f"No recognized PASS verdict in frontmatter "
+        f"(verdict={verdict!r}, status={status!r}, result={result!r})",
+    )
 
 
 def check_analysis_approved(repo: str, work_item_id: str, branch: str | None = None) -> tuple[bool, str]: