Files
QuantEngineByItz/tools/validate_no_direct_api_trading_v1.py
T
kjh2064 4cb206a269 KIS Open API 조회전용 연동 + 직접매매 절대금지 안전게이트
매수/매도 주문 및 계좌 잔고조회를 API로 직접 실행하지 않는다는 원칙을
코드 레벨에서 강제하는 안전게이트(governance/rules/06, 07)와 함께,
시세/호가/공매도거래비중 등 조회전용 KIS Open API 연동 및 SQLite
수집 파이프라인을 추가한다.

- kis_api_client_v1: 모든 요청이 _assert_read_only를 통과해야 하며
  /trading/ 경로·주문 TR_ID는 RuntimeError로 즉시 차단
- kis_data_collection_v1: KIS 우선 + Naver 폴백, 네트워크 실패는
  개별 ticker 단위로 흡수(배치 전체 중단 없음)
- data_collection_store_v1 / storage_backend_v1: SQLite 캐노니컬
  저장소, PostgreSQL 전환 대비 백엔드 추상화
- Gitea 영업일 스케줄(2시간 간격) + CI 강제 게이트
  (validate_no_direct_api_trading_v1, validate_kis_api_credentials_v1)
2026-06-21 20:04:44 +09:00

113 lines
4.9 KiB
Python

#!/usr/bin/env python3
"""[CRITICAL] governance/rules/06_no_direct_api_trading.yaml 강제 게이트.
이 검증기는 순수 stdlib(re, pathlib)만 사용한다 — Synology CI(ARMv7, Python 3.8,
requests/pytest 미설치)에서도 항상 실행 가능해야 하는 하드 블로킹 게이트이기 때문이다.
문서·테스트만으로는 막을 수 없다는 사용자 지시(2026-06-21)에 따라 정적 소스 스캔으로
주문 제출/정정/취소 경로·TR_ID가 코드베이스 어디에도 존재하지 않음을 매 커밋마다 강제한다.
FAIL 시 CI 전체를 막는다(strict, warn_only 아님) — 다른 데이터 품질 게이트와 다르게
이 게이트는 완화 대상이 아니다.
"""
from __future__ import annotations
import re
import sys
from pathlib import Path
ROOT = Path(__file__).resolve().parents[1]
# 이 문자열들이 "데이터"로 등장해도 되는 파일(블록리스트 정의/테스트/이 검증기 자신).
# 그 외 모든 .py 파일에서 발견되면 FAIL.
ALLOWLISTED_FILES = {
"src/quant_engine/kis_api_client_v1.py",
"tests/unit/test_kis_api_client_v1.py",
"tools/validate_no_direct_api_trading_v1.py",
}
FORBIDDEN_ORDER_PATH_SUBSTRINGS = (
"/trading/order-cash",
"/trading/order-rvsecncl",
"/trading/order-credit",
"/trading/order-resv",
"/trading/inquire-balance", # governance/rules/07 — 계좌 보유종목 조회 금지
)
FORBIDDEN_ORDER_TR_IDS = (
"TTTC0802U", "TTTC0801U", "VTTC0802U", "VTTC0801U",
"TTTC8434R", "VTTC8434R", # governance/rules/07 — 주식잔고조회 금지
)
BANNED_FUNCTION_NAME_SUBSTRINGS = (
"place_order", "submit_order", "cancel_order", "revise_order", "send_order",
"order_cash", "order_credit", "order_rvsecncl",
"inquire_balance", "account_balance", # governance/rules/07 — 계좌 보유종목 조회 금지
)
def _scan_python_files() -> list[str]:
violations: list[str] = []
for dir_name in ("src", "tools"):
for path in (ROOT / dir_name).rglob("*.py"):
rel = path.relative_to(ROOT).as_posix()
if rel in ALLOWLISTED_FILES:
continue
text = path.read_text(encoding="utf-8", errors="ignore")
for forbidden in FORBIDDEN_ORDER_PATH_SUBSTRINGS:
if forbidden in text:
violations.append(f"{rel}: 주문 엔드포인트 경로 발견 — {forbidden!r}")
for tr_id in FORBIDDEN_ORDER_TR_IDS:
if tr_id in text:
violations.append(f"{rel}: 주문 TR_ID 발견 — {tr_id!r}")
for match in re.finditer(r"def\s+(\w+)\s*\(", text):
name = match.group(1).lower()
for banned in BANNED_FUNCTION_NAME_SUBSTRINGS:
if banned in name:
violations.append(f"{rel}: 주문 제출/정정/취소로 의심되는 함수명 — def {match.group(1)}(")
return violations
def _check_kis_client_guard_intact() -> list[str]:
"""kis_api_client_v1.py가 실제로 존재하면, 가드 코드가 그대로 있는지 + _send_request가
HTTP 호출 전에 _assert_read_only를 부르는지 순서를 확인한다."""
client_path = ROOT / "src" / "quant_engine" / "kis_api_client_v1.py"
if not client_path.exists():
return [] # 클라이언트가 아직 없으면 이 검사는 스킵(다른 검사로 충분)
text = client_path.read_text(encoding="utf-8")
violations: list[str] = []
required_markers = ("_assert_read_only", "OrderEndpointBlockedError", "FORBIDDEN_PATH_SUBSTRINGS", "FORBIDDEN_TR_ID_PREFIXES")
for marker in required_markers:
if marker not in text:
violations.append(f"kis_api_client_v1.py: 필수 가드 구성요소 누락 — {marker!r}")
send_request_match = re.search(r"def _send_request\(.*?\)\s*(?:->[^:]*)?:(.*?)(?=\ndef |\Z)", text, re.S)
if send_request_match:
body = send_request_match.group(1)
guard_pos = body.find("_assert_read_only(")
http_pos = min(
(pos for pos in (body.find("requests.get("), body.find("requests.post(")) if pos != -1),
default=-1,
)
if guard_pos == -1:
violations.append("kis_api_client_v1.py: _send_request가 _assert_read_only를 호출하지 않음")
elif http_pos != -1 and guard_pos > http_pos:
violations.append("kis_api_client_v1.py: _assert_read_only 호출이 HTTP 전송보다 늦음(순서 위반)")
else:
violations.append("kis_api_client_v1.py: _send_request 함수를 찾을 수 없음")
return violations
def main() -> int:
violations = _scan_python_files() + _check_kis_client_guard_intact()
if violations:
print("NO_DIRECT_API_TRADING_GATE: FAIL")
for v in violations:
print(f" - {v}")
return 1
print("NO_DIRECT_API_TRADING_GATE: PASS")
return 0
if __name__ == "__main__":
raise SystemExit(main())