#!/usr/bin/env python3 """[CRITICAL] governance/rules/06_no_direct_api_trading.yaml 강제 게이트. 이 검증기는 순수 stdlib(re, pathlib)만 사용한다 — Synology CI(ARMv7, Python 3.8, requests/pytest 미설치)에서도 항상 실행 가능해야 하는 하드 블로킹 게이트이기 때문이다. 문서·테스트만으로는 막을 수 없다는 사용자 지시(2026-06-21)에 따라 정적 소스 스캔으로 주문 제출/정정/취소 경로·TR_ID가 코드베이스 어디에도 존재하지 않음을 매 커밋마다 강제한다. FAIL 시 CI 전체를 막는다(strict, warn_only 아님) — 다른 데이터 품질 게이트와 다르게 이 게이트는 완화 대상이 아니다. """ from __future__ import annotations import re import sys from pathlib import Path ROOT = Path(__file__).resolve().parents[1] # 이 문자열들이 "데이터"로 등장해도 되는 파일(블록리스트 정의/테스트/이 검증기 자신). # 그 외 모든 .py 파일에서 발견되면 FAIL. ALLOWLISTED_FILES = { "src/quant_engine/kis_api_client_v1.py", "tests/unit/test_kis_api_client_v1.py", "tools/validate_no_direct_api_trading_v1.py", } FORBIDDEN_ORDER_PATH_SUBSTRINGS = ( "/trading/order-cash", "/trading/order-rvsecncl", "/trading/order-credit", "/trading/order-resv", "/trading/inquire-balance", # governance/rules/07 — 계좌 보유종목 조회 금지 ) FORBIDDEN_ORDER_TR_IDS = ( "TTTC0802U", "TTTC0801U", "VTTC0802U", "VTTC0801U", "TTTC8434R", "VTTC8434R", # governance/rules/07 — 주식잔고조회 금지 ) BANNED_FUNCTION_NAME_SUBSTRINGS = ( "place_order", "submit_order", "cancel_order", "revise_order", "send_order", "order_cash", "order_credit", "order_rvsecncl", "inquire_balance", "account_balance", # governance/rules/07 — 계좌 보유종목 조회 금지 ) def _scan_python_files() -> list[str]: violations: list[str] = [] for dir_name in ("src", "tools"): for path in (ROOT / dir_name).rglob("*.py"): rel = path.relative_to(ROOT).as_posix() if rel in ALLOWLISTED_FILES: continue text = path.read_text(encoding="utf-8", errors="ignore") for forbidden in FORBIDDEN_ORDER_PATH_SUBSTRINGS: if forbidden in text: violations.append(f"{rel}: 주문 엔드포인트 경로 발견 — {forbidden!r}") for tr_id in FORBIDDEN_ORDER_TR_IDS: if tr_id in text: violations.append(f"{rel}: 주문 TR_ID 발견 — {tr_id!r}") for match in re.finditer(r"def\s+(\w+)\s*\(", text): name = match.group(1).lower() for banned in BANNED_FUNCTION_NAME_SUBSTRINGS: if banned in name: violations.append(f"{rel}: 주문 제출/정정/취소로 의심되는 함수명 — def {match.group(1)}(") return violations def _check_kis_client_guard_intact() -> list[str]: """kis_api_client_v1.py가 실제로 존재하면, 가드 코드가 그대로 있는지 + _send_request가 HTTP 호출 전에 _assert_read_only를 부르는지 순서를 확인한다.""" client_path = ROOT / "src" / "quant_engine" / "kis_api_client_v1.py" if not client_path.exists(): return [] # 클라이언트가 아직 없으면 이 검사는 스킵(다른 검사로 충분) text = client_path.read_text(encoding="utf-8") violations: list[str] = [] required_markers = ("_assert_read_only", "OrderEndpointBlockedError", "FORBIDDEN_PATH_SUBSTRINGS", "FORBIDDEN_TR_ID_PREFIXES") for marker in required_markers: if marker not in text: violations.append(f"kis_api_client_v1.py: 필수 가드 구성요소 누락 — {marker!r}") send_request_match = re.search(r"def _send_request\(.*?\)\s*(?:->[^:]*)?:(.*?)(?=\ndef |\Z)", text, re.S) if send_request_match: body = send_request_match.group(1) guard_pos = body.find("_assert_read_only(") http_pos = min( (pos for pos in (body.find("requests.get("), body.find("requests.post(")) if pos != -1), default=-1, ) if guard_pos == -1: violations.append("kis_api_client_v1.py: _send_request가 _assert_read_only를 호출하지 않음") elif http_pos != -1 and guard_pos > http_pos: violations.append("kis_api_client_v1.py: _assert_read_only 호출이 HTTP 전송보다 늦음(순서 위반)") else: violations.append("kis_api_client_v1.py: _send_request 함수를 찾을 수 없음") return violations def main() -> int: violations = _scan_python_files() + _check_kis_client_guard_intact() if violations: print("NO_DIRECT_API_TRADING_GATE: FAIL") for v in violations: print(f" - {v}") return 1 print("NO_DIRECT_API_TRADING_GATE: PASS") return 0 if __name__ == "__main__": raise SystemExit(main())