fix(env): backup GC に dbenv- prefix で安全弁 + export 既定名を microsecond 精度に

PR #22 round3 codex 指摘対応:

1. [major] _import_atomic.py: backup ディレクトリ名に `dbenv-` prefix を付与し、
   --backup-dir 親に無関係なタイムスタンプ形式ディレクトリがあっても GC で
   rmtree しないようにした。旧フォーマット (prefix なし) は後方互換で GC 対象。

2. [minor] io_export.py: 既定出力名を秒精度から microsecond 精度に変更し、
   同一秒の複数 export による無言上書きを防止。加えて既定名使用時に同名
   ファイルが既に存在する場合は ExportError で失敗させる。

テスト追加:
- test_gc_backups_ignores_bare_timestamp_dirs_from_other_tools
- test_default_dest_includes_microsecond
- test_export_default_dest_rejects_existing_file

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

Author: takemi-ohama

lib/devbase/env/_import_atomic.py

@@ -29,14 +29,18 @@
 
 logger = get_logger(__name__)
 
-# _make_backup_dir が生成するタイムスタンプ形式のみを GC 対象にする。
-# 以下のいずれかにマッチするディレクトリのみ削除する:
-#   YYYYMMDD-HHMMSS                    (旧フォーマット, 後方互換)
-#   YYYYMMDD-HHMMSS-NNNNNN             (microsecond 付き)
-#   YYYYMMDD-HHMMSS-NNNNNN-NN          (同一マイクロ秒内の連番付き)
-# これ以外のディレクトリは devbase が作ったものではないので削除しない
-# (--backup-dir 親に無関係なディレクトリがあっても安全)。
-_BACKUP_DIR_NAME_RE = re.compile(r'^\d{8}-\d{6}(?:-\d{6}(?:-\d+)?)?$')
+# make_backup_dir が生成するディレクトリ名形式のみを GC 対象にする。
+# prefix ``dbenv-`` を付けることで、--backup-dir 親に無関係なタイムスタンプ
+# ディレクトリ (他ツールの backup 等) が存在しても誤って rmtree しない。
+#   dbenv-YYYYMMDD-HHMMSS-NNNNNN             (microsecond 付き)
+#   dbenv-YYYYMMDD-HHMMSS-NNNNNN-NN          (同一マイクロ秒内の連番付き)
+# (旧フォーマット ``YYYYMMDD-HHMMSS`` は prefix 無しだが後方互換のため残す)
+_BACKUP_DIR_PREFIX = 'dbenv-'
+_BACKUP_DIR_NAME_RE = re.compile(
+    r'^dbenv-\d{8}-\d{6}-\d{6}(?:-\d+)?$'   # 新フォーマット (prefix 付き)
+    r'|'
+    r'^\d{8}-\d{6}(?:-\d{6}(?:-\d+)?)?$'     # 旧フォーマット (後方互換)
+)
 
 
 class AtomicError(DevbaseError):
@@ -55,7 +59,7 @@ def make_backup_dir(devbase_root: Path, backup_dir: Optional[str]) -> Path:
             else devbase_root / 'backups' / 'env-import')
     base.mkdir(parents=True, exist_ok=True)
 
-    stem = datetime.now().strftime('%Y%m%d-%H%M%S-%f')  # microsecond まで
+    stem = _BACKUP_DIR_PREFIX + datetime.now().strftime('%Y%m%d-%H%M%S-%f')
     primary = base / stem
     if not primary.exists():
         primary.mkdir(parents=True)
@@ -184,9 +188,9 @@ def cleanup_tmps(tmps) -> None:
 def gc_backups(backup_dir: Path, keep_last: int) -> None:
     """``backup_dir`` の親ディレクトリで古い backup を ``keep_last`` 個まで残して GC する。
 
-    devbase 生成のタイムスタンプ形式 (``YYYYMMDD-HHMMSS[-NNNNNN[-NN]]``) に
-    マッチするディレクトリのみが GC 対象。``--backup-dir`` 親に無関係な
-    ファイル / ディレクトリがあっても、それらは触らない。
+    ``dbenv-`` prefix 付きの devbase 生成ディレクトリ、または旧フォーマットの
+    タイムスタンプ形式 (``YYYYMMDD-HHMMSS[-NNNNNN[-NN]]``) にマッチする
+    ディレクトリのみが GC 対象。``--backup-dir`` 親に無関係なディレクトリは触らない。
     """
     if keep_last <= 0:
         return

lib/devbase/env/io_export.py

@@ -45,7 +45,8 @@ class ExportOptions:
 
 
 def _default_dest(force_unencrypted: bool) -> str:
-    ts = datetime.now().strftime('%Y%m%d-%H%M%S')
+    # microsecond まで含めて衝突を回避する (PR #22 codex round 3 指摘)
+    ts = datetime.now().strftime('%Y%m%d-%H%M%S-%f')
     suffix = '.dbenv.tar.gz' if force_unencrypted else '.dbenv'
     return f'./devbase-env-{ts}{suffix}'
 
@@ -162,6 +163,14 @@ def export(devbase_root: Path, opts: ExportOptions) -> int:
         logger.debug("暗号化後サイズ: %d bytes", len(payload))
 
     dest = opts.dest or _default_dest(opts.force_unencrypted)
+    # 既定名 (opts.dest 未指定) かつローカルパスの場合、既存ファイルの上書きを拒否する
+    # (microsecond 精度でも理論上は衝突しうるため防御的にチェック)
+    if opts.dest is None and not _storage.is_s3(dest) and not _storage.is_stdio(dest):
+        if Path(dest).exists():
+            raise ExportError(
+                f"既定出力先 {dest} が既に存在します。"
+                "出力先を明示的に指定するか、既存ファイルを移動してください"
+            )
     # S3 など backend 固有のオプションを渡したい場合は s3_options を組み立てる。
     # それ以外 (local/stdio) では未使用なので無害。
     s3_options = (_storage.S3Options.from_env(

tests/cli/test_env_export.py

@@ -10,7 +10,8 @@
 
 from devbase.env import bundle, cipher
 from devbase.env.io_export import (
-    ExportOptions, ExportError, _read_passphrase, _validate_options, export,
+    ExportOptions, ExportError, _default_dest, _read_passphrase,
+    _validate_options, export,
 )
 
 
@@ -292,3 +293,32 @@ def test_validate_rejects_force_unencrypted_with_passphrase_stdin():
             force_unencrypted=True,
             passphrase_stdin=True,
         ))
+
+
+# --- default dest 衝突回避 (PR #22 codex round 3 指摘) ---
+
+
+def test_default_dest_includes_microsecond():
+    """既定出力名が microsecond 精度を含むこと"""
+    name = _default_dest(force_unencrypted=False)
+    # ./devbase-env-YYYYMMDD-HHMMSS-ffffff.dbenv
+    import re
+    assert re.match(r'^\./devbase-env-\d{8}-\d{6}-\d{6}\.dbenv$', name), name
+
+
+def test_export_default_dest_rejects_existing_file(
+        fake_root, age_keys, tmp_path, monkeypatch):
+    """既定出力先に同名ファイルが既に存在する場合は ExportError を上げる"""
+    pub_file, _ = age_keys
+    # _default_dest を固定して衝突を再現する
+    fixed_name = "./devbase-env-20240101-120000-000000.dbenv"
+    monkeypatch.setattr("devbase.env.io_export._default_dest", lambda fu: fixed_name)
+    # 既存ファイルを作成
+    existing = tmp_path / "devbase-env-20240101-120000-000000.dbenv"
+    existing.write_bytes(b"old data")
+    monkeypatch.chdir(tmp_path)
+
+    with pytest.raises(ExportError, match="既に存在します"):
+        export(fake_root, ExportOptions(
+            recipients=[f"@{pub_file}"],
+        ))

tests/cli/test_env_import.py

@@ -345,8 +345,9 @@ def test_import_keep_last_gc_removes_old_backups(fake_root, dest_root, age_keys,
 
     remaining = sorted(p.name for p in backup_root.iterdir())
     assert len(remaining) == 3
-    # 最新 3 個に絞られる: 既存の 20260101-000003, 000004, 加えて新規 backup
-    assert remaining[-1].startswith('20')
+    # 最新 3 個に絞られる: 既存の旧フォーマット 2 個 + dbenv- prefix 付き新規 backup
+    # 新規 backup は dbenv- prefix 付き (ソート順で末尾)
+    assert remaining[-1].startswith('dbenv-')
 
 
 def test_import_include_project_filter(fake_root, dest_root, age_keys, tmp_path):
@@ -476,7 +477,7 @@ def test_gc_backups_only_removes_timestamp_dirs(fake_root, dest_root, age_keys,
     # 関係ないファイル
     unrelated_file = custom_backup_root / "readme.txt"
     unrelated_file.write_text("must not be deleted")
-    # devbase 命名の古い backup を keep_last 超に置く
+    # devbase 命名 (旧フォーマット) の古い backup を keep_last 超に置く
     for i in range(5):
         (custom_backup_root / f"20240101-00000{i}").mkdir()
 
@@ -497,6 +498,37 @@ def test_gc_backups_only_removes_timestamp_dirs(fake_root, dest_root, age_keys,
     assert len(timestamp_dirs) == 3
 
 
+def test_gc_backups_ignores_bare_timestamp_dirs_from_other_tools(
+        fake_root, dest_root, age_keys, tmp_path):
+    """--backup-dir 親にタイムスタンプ形式だが prefix 無しの無関係ディレクトリがあっても
+    旧フォーマット (後方互換) 以外は GC 対象にならない。新たに作られる backup は
+    dbenv- prefix 付きになる"""
+    _, id_file = age_keys
+    bundle_path = _export_bundle(fake_root, age_keys, tmp_path)
+
+    custom_backup_root = tmp_path / "shared-backups"
+    custom_backup_root.mkdir()
+    # 他ツールが作ったタイムスタンプ風ディレクトリ (prefix 無し・microsecond 付き形式に
+    # 一致しないパターン: 例えば "backup-20240101-120000" は regex に引っかからない)
+    other_tool_dir = custom_backup_root / "backup-20240101-120000"
+    other_tool_dir.mkdir()
+    (other_tool_dir / "data.db").write_text("important")
+
+    rc = import_bundle(dest_root, ImportOptions(
+        source=str(bundle_path), identities=[str(id_file)],
+        backup_dir=str(custom_backup_root), keep_last=1))
+    assert rc == 0
+
+    # 他ツールのディレクトリは無傷
+    assert other_tool_dir.exists()
+    assert (other_tool_dir / "data.db").read_text() == "important"
+
+    # 新しい backup は dbenv- prefix 付き
+    new_backups = [p for p in custom_backup_root.iterdir()
+                   if p.is_dir() and p.name.startswith("dbenv-")]
+    assert len(new_backups) == 1
+
+
 def test_import_passphrase_env_roundtrip(fake_root, dest_root, tmp_path, monkeypatch):
     dest = tmp_path / "out.dbenv"
     monkeypatch.setenv("DEVBASE_TEST_PASS", "s3cr3t")