fix(env): PR #13 round3 codex 指摘対応

takemi-ohama · takemi-ohama · commit cf002090ee48 · 2026-05-24T02:33:31.000+09:00
- _import_merge.py の project 名正規表現を厳格化し、`./..`/隠しディレクトリを
  弾く (path traversal: `env/projects/./.env` が `$DEVBASE_ROOT/projects/.env`
  に解決される問題への対策)。
- 上記の回帰テストを `tests/cli/test_env_import.py` に追加。
- zsh/bash 補完に `--unsafe-allow-unencrypted-bucket` (env export) を追加し
  CLI 定義と同期。
diff --git a/etc/_devbase b/etc/_devbase
@@ -162,7 +162,8 @@ _devbase() {
                         '*--recipient[age / OpenSSH public key (repeatable)]:key:' \
                         '--passphrase-env[Read passphrase from env var]:var:' \
                         '--passphrase-stdin[Read passphrase from stdin]' \
-                        '--force-unencrypted[Write as plaintext tar.gz]'
+                        '--force-unencrypted[Write as plaintext tar.gz]' \
+                        '--unsafe-allow-unencrypted-bucket[Allow uploading unencrypted tar.gz to S3 (off by default)]'
                     ;;
                 import)
                     _arguments \
diff --git a/etc/devbase-completion.bash b/etc/devbase-completion.bash
@@ -83,7 +83,7 @@ _devbase_completions() {
                         ;;
                     export)
                         if [[ "$cur" == -* ]]; then
-                            COMPREPLY=($(compgen -W "--include-project --exclude-project --no-global --no-metadata --recipient --passphrase-env --passphrase-stdin --force-unencrypted" -- "$cur"))
+                            COMPREPLY=($(compgen -W "--include-project --exclude-project --no-global --no-metadata --recipient --passphrase-env --passphrase-stdin --force-unencrypted --unsafe-allow-unencrypted-bucket" -- "$cur"))
                         fi
                         ;;
                     import)
diff --git a/lib/devbase/env/_import_merge.py b/lib/devbase/env/_import_merge.py
@@ -23,7 +23,15 @@
 
 logger = get_logger(__name__)
 
-_PROJECT_ENV_RE = re.compile(r'^env/projects/([^/]+)/\.env$')
+# project 名は通常のディレクトリ名のみ許容する。
+#   - 先頭文字: 英数字 / `_`  (`.` を許可すると `env/projects/./.env` が
+#     `$DEVBASE_ROOT/projects/.env` に正規化され、グローバル .env を上書きする
+#     path traversal 系の問題になる — PR #13 codex round 3 指摘)
+#   - 2文字目以降: 英数字 / `_` / `-` / `.`
+#   - `.` / `..` のような特殊セグメント、空文字、`/` を含む値は弾く
+# bundle._validate_manifest や tar 展開側 (`..` のみ拒否) では塞ぎきれないため、
+# arcname を path に解決する側で project 名を制限する。
+_PROJECT_ENV_RE = re.compile(r'^env/projects/([A-Za-z0-9_][A-Za-z0-9_.\-]*)/\.env$')
 
 # import_bundle が許容する --merge モード一覧。CLI の choices と一致させる。
 MERGE_MODES: Tuple[str, ...] = ('keep-existing', 'prefer-incoming')
diff --git a/tests/cli/test_env_import.py b/tests/cli/test_env_import.py
@@ -1006,3 +1006,51 @@ def test_env_import_filter_members_rejects_unknown_arcname():
             include_projects=None,
             exclude_projects=(),
         )
+
+
+@pytest.mark.parametrize(
+    "bad_arcname",
+    [
+        'env/projects/./.env',     # `.` で global .env 領域に抜ける
+        'env/projects/../.env',    # `..` での親ディレクトリ脱出
+        'env/projects/.hidden/.env',  # 隠しディレクトリ名
+        'env/projects/ /.env',     # 空白だけのプロジェクト名
+    ],
+)
+def test_env_import_rejects_unsafe_project_names(bad_arcname):
+    """``_PROJECT_ENV_RE`` が ``.`` / ``..`` / ``.hidden`` 等の特殊セグメントを
+    project 名として受け入れず、未対応 arcname として ``MergeError`` で止めること
+    (PR #13 codex round 3 指摘の path traversal 対策)。
+
+    特に ``env/projects/./.env`` は正規表現 ``[^/]+`` だと match してしまい、
+    ``target_for`` で ``$DEVBASE_ROOT/projects/.env`` に正規化されてグローバル
+    ``.env`` を上書きする経路が成立する。ここで明示的に拒否する。
+    """
+    from devbase.env._import_merge import MergeError, filter_members, target_for
+
+    # filter_members 経路: 未対応 arcname として MergeError
+    members = {bad_arcname: b'PWNED=1\n'}
+    with pytest.raises(MergeError, match="未対応の arcname"):
+        filter_members(
+            members,
+            include_global=True,
+            include_metadata=True,
+            include_projects=None,
+            exclude_projects=(),
+        )
+
+    # target_for 経路: 直接呼ばれても MergeError
+    with pytest.raises(MergeError, match="未対応のバンドルエントリ"):
+        target_for(bad_arcname, Path('/tmp/fake-root'))
+
+
+def test_env_import_accepts_normal_project_names():
+    """正常な project 名 (英数字 / `_` / `-` / `.` を含む) は受け入れること。
+    上記の安全性チェックで実用ケースを壊していないことの回帰テスト。
+    """
+    from devbase.env._import_merge import target_for
+
+    root = Path('/tmp/fake-root')
+    for name in ['alpha', 'beta_1', 'my-app', 'svc.v2', 'a']:
+        arc = f'env/projects/{name}/.env'
+        assert target_for(arc, root) == root / 'projects' / name / '.env'
