fix(env): PR #13 round1 codex/gemini 指摘対応

- _import_merge: 未対応 arcname を黙って捨てず MergeError で停止
  (filter_members の logger.debug+continue → raise MergeError)
- _import_merge: merge 経路で値が変更されていないキーは raw 行を温存し、
  PATH=$HOME/bin のような未クオート値が PATH="\$HOME/bin" に勝手に
  エスケープされて source 時の意味が変わるのを防ぐ
- cipher: age-keygen 出力の先頭コメント (# created / # public key) を
  考慮し、行単位でコメント / 空行を除いて AGE-SECRET-KEY-1 行を検出
- 上記 3 件に対する回帰テストを追加

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

Author: takemi-ohama

lib/devbase/env/_import_merge.py

@@ -19,7 +19,7 @@
 from devbase.errors import DevbaseError
 from devbase.log import get_logger
 
-from devbase.env.store import EnvEntry, EnvFile
+from devbase.env.store import EnvFile
 
 logger = get_logger(__name__)
 
@@ -85,9 +85,13 @@ def filter_members(
             continue
         m = _PROJECT_ENV_RE.match(arcname)
         if not m:
-            # 他の形式は manifest 検証で拒否されているはずだが念のため。
-            logger.debug("未対応の arcname を無視します: %s", arcname)
-            continue
+            # manifest 検証 (bundle._validate_manifest) は path のパターンを制限していないため、
+            # 未対応 arcname がここに来た場合は黙って捨てると "manifest と適用結果が食い違う"
+            # 整合性問題になる。明示的にエラーで止める (PR #13 codex 指摘)。
+            raise MergeError(
+                f"バンドルに未対応の arcname が含まれています: {arcname} "
+                "(対応形式: env/global.env / env/sources.yml / env/projects/<name>/.env)"
+            )
         name = m.group(1)
         if name in excluded:
             continue
@@ -104,24 +108,35 @@ def _merge_into_existing_bytes(existing_bytes: bytes,
     既存に無いキーは末尾に sorted 順で append。``merged`` から除外されたキーは
     出力からも除外する (現状の merge ロジック上発生しないが、安全側で対応)。
 
+    値が変更されていないキーは ``raw`` 行をそのまま温存して出力する。これにより
+    例えば ``PATH=$HOME/bin`` のような未クオート値が ``PATH="\\$HOME/bin"`` に
+    勝手にエスケープされて source 時の意味が変わるのを防ぐ (PR #13 codex 指摘)。
+    値が変わったキーと新規キーのみ ``EnvFile._format_kv_line`` でフォーマットする。
+
     ``EnvFile.dump_bytes`` で再シリアライズするとコメント・空行が失われるため、
     ``EnvFile.parse_entries`` ベースで再構成している (PR #15 gemini 指摘)。
     """
     seen: set[str] = set()
-    out_entries: List[EnvEntry] = []
+    out_lines: List[str] = []
     for e in EnvFile.parse_entries(existing_bytes):
         if e.kind != 'kv' or e.key is None:
-            out_entries.append(e)
+            out_lines.append(e.raw + '\n')
             continue
         if e.key in merged:
-            out_entries.append(EnvEntry(
-                kind='kv', raw=e.raw, key=e.key, value=merged[e.key]
-            ))
             seen.add(e.key)
+            new_value = merged[e.key]
+            if e.value == new_value:
+                # 値が変わっていないキーは元の raw 行を温存する (escape 形式や
+                # クオート有無を保持して source 時の意味が変わらないように)
+                out_lines.append(e.raw + '\n')
+            else:
+                out_lines.append(
+                    EnvFile._format_kv_line(e.key, new_value)
+                )
         # merged から除外されているキーは entries からも落とす
     for key in sorted(k for k in merged if k not in seen):
-        out_entries.append(EnvEntry(kind='kv', raw='', key=key, value=merged[key]))
-    return EnvFile.dump_entries_bytes(out_entries)
+        out_lines.append(EnvFile._format_kv_line(key, merged[key]))
+    return ''.join(out_lines).encode('utf-8')
 
 
 def _plan_replace(target: Path, arcname: str, incoming: Dict[str, str],

lib/devbase/env/cipher.py

@@ -105,15 +105,30 @@ def _resolve_identity(path_spec: str):
                 f"OpenSSH 秘密鍵の解釈に失敗しました ({path}): {e}"
             ) from e
 
-    if raw.strip().startswith(b'AGE-SECRET-KEY-1'):
-        try:
-            text = raw.decode('utf-8').strip()
-        except UnicodeDecodeError as e:
-            raise CipherError(f"age 秘密鍵が UTF-8 でデコードできません ({path}): {e}") from e
-        try:
-            return pyrage.x25519.Identity.from_str(text)
-        except Exception as e:
-            raise CipherError(f"age 秘密鍵の解釈に失敗しました ({path}): {e}") from e
+    # age-keygen が生成する秘密鍵ファイルは先頭に `# created: ...` などの
+    # コメント行を含むため、`raw.strip().startswith(b'AGE-SECRET-KEY-1')` では
+    # 検出できない。`_resolve_recipient` と同様に行単位で走査して、コメント /
+    # 空行を除いた最初の有効行が AGE-SECRET-KEY-1 で始まるかで判定する
+    # (PR #13 gemini 指摘)。
+    try:
+        text = raw.decode('utf-8')
+    except UnicodeDecodeError:
+        text = None
+    if text is not None:
+        for line in text.splitlines():
+            stripped = line.strip()
+            if not stripped or stripped.startswith('#'):
+                continue
+            if stripped.startswith('AGE-SECRET-KEY-1'):
+                try:
+                    # pyrage.x25519.Identity.from_str は単独の AGE-SECRET-KEY-1
+                    # 行のみを受け付けるため、ファイル全体ではなく該当行を渡す。
+                    return pyrage.x25519.Identity.from_str(stripped)
+                except Exception as e:
+                    raise CipherError(
+                        f"age 秘密鍵の解釈に失敗しました ({path}): {e}"
+                    ) from e
+            break  # 最初の有効行が AGE-SECRET-KEY-1 でなければ age 鍵ではない
 
     # ヘッダから判別できなかった場合のフォールバック。OpenSSH 互換の他形式
     # (rsa 以外の PEM など) を pyrage に任せて受け付ける。

tests/cli/test_env_import.py

@@ -943,3 +943,66 @@ def test_env_import_comment_only_existing_replace_reports_op_replace(
     assert len(snapshots) >= 1
     backed = (snapshots[0] / ".env").read_text()
     assert "# user-managed header (no kv yet)" in backed
+
+
+def test_env_import_merge_preserves_raw_unchanged_unquoted_dollar(
+        dest_root, age_keys, tmp_path):
+    """merge 経路で値が変更されていないキーは ``raw`` 行をそのまま温存し、
+    ``PATH=$HOME/bin`` のような未クオート値が ``PATH="\\$HOME/bin"`` に
+    勝手にエスケープされないこと (PR #13 codex 指摘)。
+
+    シェル ``source`` 時に ``$HOME`` の変数展開が効くか効かないかは
+    クオートの有無で意味が変わるため、merge 対象でない既存値は元の形式を
+    保たなければならない。
+    """
+    _, id_file = age_keys
+    pub_file, _ = age_keys
+
+    src_root = tmp_path / "raw-preserve-src"
+    src_root.mkdir()
+    # incoming 側には別キーだけ (PATH は触らない)
+    (src_root / ".env").write_text("INCOMING=v\n")
+    bundle_path = tmp_path / "raw-preserve.dbenv"
+    rc = export(src_root, ExportOptions(
+        dest=str(bundle_path), recipients=[f"@{pub_file}"]))
+    assert rc == 0
+
+    # 既存 dest .env に未クオートの $ を含む値を仕込む (シェルで展開される形)
+    (dest_root / ".env").write_text(
+        "PATH=$HOME/bin:/usr/local/bin\n"
+        "PLAIN=keep_me\n"
+    )
+    os.chmod(dest_root / ".env", 0o600)
+
+    rc = import_bundle(dest_root, ImportOptions(
+        source=str(bundle_path), identities=[str(id_file)],
+        merge='prefer-incoming'))
+    assert rc == 0
+
+    out = (dest_root / ".env").read_text()
+    # raw 行が温存されているので、$HOME はそのまま (\\$ にエスケープされていない)
+    assert "PATH=$HOME/bin:/usr/local/bin" in out, out
+    # 同じく PLAIN もそのまま
+    assert "PLAIN=keep_me" in out, out
+    # 新規追加された incoming キーは appended
+    assert "INCOMING=v" in out, out
+
+
+def test_env_import_filter_members_rejects_unknown_arcname():
+    """``filter_members`` が manifest 範囲外の未対応 arcname を黙って捨てず、
+    ``MergeError`` で明示的に止めること (PR #13 codex 指摘)。
+    """
+    from devbase.env._import_merge import MergeError, filter_members
+
+    members = {
+        'env/global.env': b'GLOBAL=1\n',
+        'env/secrets.yml': b'secret: x\n',  # 未対応 path
+    }
+    with pytest.raises(MergeError, match="未対応の arcname"):
+        filter_members(
+            members,
+            include_global=True,
+            include_metadata=True,
+            include_projects=None,
+            exclude_projects=(),
+        )

tests/env/test_cipher.py

@@ -176,3 +176,23 @@ def test_default_identity_paths_includes_ed25519():
     assert "id_ed25519" in names
     assert "id_rsa" in names
     assert names.index("id_ed25519") < names.index("id_rsa")
+
+
+def test_resolve_identity_accepts_age_keygen_output_with_comments(
+        tmp_path, x25519_keypair):
+    """``age-keygen`` が生成する秘密鍵ファイル (先頭に ``# created`` / ``# public key``
+    のコメント行) を age 鍵として正しく検出して復号できること (PR #13 gemini 指摘)。
+    """
+    pub, priv_str = x25519_keypair
+
+    # age-keygen の出力フォーマットを再現
+    keygen_output = (
+        f"# created: 2024-01-01T00:00:00Z\n"
+        f"# public key: {pub}\n"
+        f"{priv_str}\n"
+    )
+    id_path = tmp_path / "age-keygen.key"
+    id_path.write_text(keygen_output)
+
+    blob = cipher.encrypt(b"payload", recipients=[pub])
+    assert cipher.decrypt(blob, identities=[str(id_path)]) == b"payload"