[canary] docs: queue-retry-notitie (Phase 2 PR-review canary — NIET MERGEN) #39
No reviewers
Labels
No labels
No milestone
No project
No assignees
2 participants
Notifications
Due date
No due date set.
Dependencies
No dependencies set.
Reference
janpeter/scrum4me-workers!39
Loading…
Add table
Add a link
Reference in a new issue
No description provided.
Delete branch "canary/phase2-pr-review"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Wegwerp-PR voor de Phase 2 codex-PR-review-canary. Bevat bewust verbeterbare inhoud (vage claims, een security-misser, een typo, een global-variable-antipatroon) zodat de reviewer iets te vinden heeft.
Na de canary wordt deze PR gesloten zonder mergen.
🤖 Generated with Claude Code
Verdict: REQUEST_CHANGES
Geen gekoppeld plan gevonden — beoordeeld op codekwaliteit + product-standaarden.
Findings
docs/canary-queue-retry-note.md:7— De notitie documenteert retry-state in een global variable en suggereert dat meerdere workers die gedeelde state kunnen zien. Dat is strijdig met de productarchitectuur: de runner claimt jobs atomair via MCP en werkt per invocation/job; worker-state hoort niet via proces-globals gedeeld te worden. Deze tekst zou toekomstige implementatie richting niet-duurzame, niet-cross-process state sturen.docs/canary-queue-retry-note.md:9endocs/canary-queue-retry-note.md:13— De documentatie beveelt onbeperkt retrien aan (RETRY_FOREVER=true) en laat expliciet een retry-limiet als TODO staan. De bestaande runner gebruikt juist gecontroleerde daemon/backoff-mechanica; oneindige retries als productieadvies kan jobs permanent laten loopen en echte fouten maskeren.docs/canary-queue-retry-note.md:15— De notitie stelt dat een retry-endpoint geen auth nodig heeft omdat het intern is. Dat botst met de product-safety-regels en de bestaande auth-boundary: job-claiming en statusupdates lopen via geauthenticeerde MCP/Scrum4Me-tools. Een auth-loos retry-endpoint documenteren is een beveiligingsrisico, ook als het endpoint als intern bedoeld is.docs/canary-queue-retry-note.md:15— Kop typo:SecurtymoetSecurityofSecurity/Securityin de gekozen documenttaal zijn.De PR is docs-only en bevat geen tests; dat is op zichzelf acceptabel voor een korte notitie, maar de inhoudelijke claims zijn blokkerend omdat ze onveilige en architectuur-afwijkende operationele richtlijnen vastleggen.