feat(audit): P82 GF-1-Pager + P87 Konfidenz-Score pro Finding

P82 — gf_one_pager.py: kompakte 5-Bullet-Kurzfassung ganz oben in der Mail. Score (gross + Farbe), Delta-zu-Vorlauf, Top-Findings nach HIGH/MEDIUM sortiert mit zustaendiger Rolle (DSB / Marketing / IT / Legal / Web-Team) und Klassifizierungsbits aus dem Wizard. Sachlicher Ton — keine 4%-Drohung, '4-8 Wochen' als realistischer Zeitrahmen. Eingehaengt vor Critical-Findings-Block in Mail-Composition und Replay-Pipeline. P87 — finding_confidence.py: 13 Regex-Regeln liefern (confidence_pct, reason) pro Finding-Label. Direkt im DOM beobachtbar = 95-98%, Library-Mismatch = 82%, Textmuster-Match auf Pflichtangaben = 75-88%. Im 1-Pager als kleines '(NN% Konfidenz)'-Tag mit Reason-Tooltip hinter jedem Finding gerendert. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-21 16:20:19 +02:00
parent 50fc0ecc59
commit 08671adfdf
4 changed files with 411 additions and 1 deletions
@@ -1049,6 +1049,7 @@ async def _run_compliance_check(check_id: str, req: ComplianceCheckRequest):
        # P102: Cookie-Klassifikations-Pruefung (deklariert vs Library)
        library_mismatch_html = ""
        mismatches: list[dict] = []
        try:
            from compliance.services.cookie_library_mismatch import (
                detect_mismatches, build_mismatch_block_html,
@@ -1080,8 +1081,25 @@ async def _run_compliance_check(check_id: str, req: ComplianceCheckRequest):
        except Exception as e:
            logger.warning("P102 mismatch detection failed: %s", e)
        # P82: GF-1-Pager ganz oben in der Mail — 5-Bullet-Zusammenfassung
        # damit die GF nicht 124k Char lesen muss.
        gf_one_pager_html = ""
        try:
            from compliance.services.gf_one_pager import build_gf_one_pager_html
            gf_one_pager_html = build_gf_one_pager_html(
                site_name=site_name_for_exec,
                scorecard=scorecard,
                previous_scorecard=prev_scorecard,
                banner_result=banner_result,
                library_mismatch_findings=mismatches,
                scan_context=req.scan_context,
            )
        except Exception as e:
            logger.warning("P82 GF-1-pager skipped: %s", e)
        full_html = (
-            critical_html + scope_disclaimer_html + exec_summary_html
+            gf_one_pager_html
            + critical_html + scope_disclaimer_html + exec_summary_html
            + cookie_arch_html + summary_html + scanned_html + profile_html
            + scorecard_html + redundancy_html
            + providers_html + banner_deep_html + library_mismatch_html
@@ -85,6 +85,21 @@ def replay_from_snapshot(
    section_sizes: dict[str, int] = {}
    parts: list[str] = []
    # P82: GF-1-Pager zuerst (5-Bullet-Summary)
    try:
        from compliance.services.gf_one_pager import build_gf_one_pager_html
        gf_html = build_gf_one_pager_html(
            site_name=site_label or "",
            scorecard=None,  # Snapshot enthaelt keine MC-Scorecard
            banner_result=banner_result,
            library_mismatch_findings=None,  # wird unten gefuellt
            scan_context=snap.get("scan_context"),
        )
        parts.append(gf_html)
        section_sizes["gf_one_pager"] = len(gf_html)
    except Exception as e:
        logger.warning("Replay: GF-1-pager failed: %s", e)
    try:
        from compliance.api.agent_doc_check_critical import build_critical_findings_html
        critical_html = build_critical_findings_html(banner_result, None, results) or ""
@@ -0,0 +1,86 @@
 """
 P87 — Konfidenz-Score pro Finding.
 Nicht jedes HIGH-Finding ist gleich sicher. "Kein Reject-Button im Banner"
 ist faktisch direkt beobachtbar (Confidence ~98%). "DSE enthaelt keinen
 DSB-Kontakt" ist ein Textmuster-Match und kann False-Positive sein
 (Confidence ~70%). "Cookie X als essential deklariert, Library sagt
 marketing" haengt von Library-Qualitaet ab (Confidence ~80%).
 Liefert pro Finding-Label ein (confidence_pct, reason) Paar. Wird im
 Mail-Render als kleine graue Klammer hinter dem Severity-Pill angezeigt:
 "HOCH (95% Konfidenz: Direkt im DOM beobachtet)".
 Keine ML — nur regelbasiert. Eine zentrale Stelle damit alle Render-
 Stellen einheitlich klassifizieren.
 """
 from __future__ import annotations
 import re
 # (regex, confidence_pct, reason)
 # Reihenfolge wichtig: spezifischere Patterns zuerst.
 _RULES: list[tuple[re.Pattern, int, str]] = [
    # 1) Direkt im DOM / im Cookie-Jar beobachtet — sehr hohe Sicherheit
    (re.compile(r"reject[- ]?button.*(fehlt|nicht.*vorhanden)", re.I), 98,
     "Direkt im Banner-DOM ueberprueft"),
    (re.compile(r"(anpassen|einstellungen|customize).*button.*fehlt", re.I), 95,
     "Initial-Banner-DOM ueberprueft"),
    (re.compile(r"cookie.*vor.*einwilligung.*gesetzt", re.I), 96,
     "Cookie-Jar vor Akzeptieren beobachtet"),
    (re.compile(r"(tracking|marketing).*ohne.*einwilligung", re.I), 92,
     "Network-Calls vor Akzeptieren beobachtet"),
    # 2) Library-Mismatches — abhaengig von Library-Qualitaet
    (re.compile(r"deklariert als.*library.*sagt", re.I), 82,
     "Vergleich mit ~2.300-Cookie-Library + Open-Cookie-DB"),
    (re.compile(r"library.*marketing", re.I), 82,
     "Cookie-Library-Klassifikation"),
    # 3) Pflichtangaben-Checks (Impressum/AGB/DSE) — Textmuster, MEDIUM-Sicherheit
    (re.compile(r"impressum.*(fehlt|unvollstaendig)", re.I), 88,
     "Pattern-Match auf Impressums-Pflichtfelder (§ 5 TMG)"),
    (re.compile(r"dsb.*(fehlt|nicht.*genannt)", re.I), 75,
     "Textmuster-Suche; DSB kann ueber Impressum referenziert sein"),
    (re.compile(r"drittland.*(fehlt|nicht.*genannt|ohne.*hinweis)", re.I), 80,
     "Pattern-Match auf typische Drittland-Klauseln"),
    (re.compile(r"widerruf.*(fehlt|unvollstaendig)", re.I), 85,
     "Pattern-Match auf Widerrufsbelehrungs-Pflichtfelder"),
    # 4) Anti-Auditing-Detection — heuristisch
    (re.compile(r"anti[- ]?audit", re.I), 70,
     "Skript-Domain-Heuristik; manuelle Pruefung empfohlen"),
    # 5) Generische Konsistenz-Findings (DSE vs. Banner vs. Cookie-Liste)
    (re.compile(r"banner.*nennt.*\d+.*cmp.*\d+", re.I), 90,
     "Quantitativer Vergleich zwischen Banner-Text und CMP-Payload"),
    # 6) Klassifikations- / Kontext-Findings (Wizard-getrieben)
    (re.compile(r"(branchen|scope).*passt.*nicht", re.I), 88,
     "Wizard-Klassifikation + MC-scope_doc_type"),
 ]
 _DEFAULT_CONFIDENCE = 78
 _DEFAULT_REASON = (
    "Standard-Regelpruefung; Bestaetigung mit DSB / interner Doku empfohlen"
 )
 def score_finding(label: str) -> tuple[int, str]:
    """Returns (confidence_pct, reason) for a finding label."""
    if not label:
        return _DEFAULT_CONFIDENCE, _DEFAULT_REASON
    for pat, conf, reason in _RULES:
        if pat.search(label):
            return conf, reason
    return _DEFAULT_CONFIDENCE, _DEFAULT_REASON
 def confidence_pill_html(label: str) -> str:
    """Returns an inline HTML snippet '(NN% Konfidenz: ...)' or empty."""
    conf, reason = score_finding(label)
    return (
        f' <span style="color:#94a3b8;font-size:10px" title="{reason}">'
        f'({conf}% Konfidenz)</span>'
    )
@@ -0,0 +1,291 @@
 """
 P82 — GF-1-Pager (Geschaeftsfuehrer-Kurzfassung).
 Eine kompakte 5-7-Bullet-Zusammenfassung ganz oben in der Mail. GF liest
 sonst die 124k-Char-Komplettpruefung nicht. Ton sachlich, keine Panik
 (Memory: feedback_breakpilot_tonalitaet).
 Bildet ab:
 - Compliance-Score + Vergleichswert (wenn Vorlauf vorhanden)
 - Top-3 priorisierte Themen (HIGH oder kritisches MEDIUM)
 - Aufwand-Schaetzung (4-8 Wochen) + Wer-macht-was (DSB / IT / Marketing)
 - Realer Risiko-Hinweis (ohne 4%-Weltumsatz-Drohung)
 Wird VOR Critical-Findings und Exec-Summary gerendert.
 """
 from __future__ import annotations
 import logging
 from typing import Any
 logger = logging.getLogger(__name__)
 _AREA_LABEL = {
    "banner": "Cookie-Banner",
    "cookie": "Cookie-Richtlinie",
    "dse": "Datenschutzerklaerung",
    "impressum": "Impressum",
    "agb": "AGB",
    "library_mismatch": "Cookie-Klassifikation",
    "vendor": "Vendor-Liste / VVT",
    "consent": "Einwilligung",
    "rights": "Betroffenenrechte",
 }
 def _normalize_finding(item: dict) -> dict:
    sev = str(item.get("severity") or item.get("level") or "").upper()
    if sev not in ("HIGH", "MEDIUM", "LOW"):
        sev = "MEDIUM"
    label = (item.get("label") or item.get("title")
             or item.get("check") or item.get("name") or "").strip()
    if not label:
        return {}
    area = (item.get("area") or item.get("doc_type") or item.get("category") or "").lower()
    return {
        "severity": sev,
        "label": label[:200],
        "area": _AREA_LABEL.get(area, area.replace("_", " ").title() or "Allgemein"),
        "owner": item.get("owner") or _guess_owner(label, area),
    }
 def _guess_owner(label: str, area: str) -> str:
    """Heuristik: wer ist der wahrscheinliche Ansprechpartner."""
    lab = label.lower()
    if any(w in lab for w in ("banner", "cookie", "consent",
                              "einwilligung", "tracking")):
        return "DSB + Marketing/CMP-Admin"
    if any(w in lab for w in ("vendor", "avv", "auftragsverarbeitung",
                              "drittland", "schrems")):
        return "DSB + Einkauf/Legal"
    if any(w in lab for w in ("impressum", "agb", "widerruf", "kontakt")):
        return "Legal + Web-Team"
    if any(w in lab for w in ("dsfa", "dsr", "loeschfrist", "art. 15",
                              "auskunft", "betroffenenrecht")):
        return "DSB"
    if any(w in lab for w in ("tom", "verschluesselung", "backup",
                              "incident", "logging")):
        return "IT-Security + DSB"
    if area in ("banner", "cookie"):
        return "DSB + Marketing"
    return "DSB"
 def _collect_top_findings(
    banner_result: dict | None,
    scorecard: dict | None,
    library_mismatch_findings: list[dict] | None,
    limit: int = 5,
 ) -> list[dict]:
    out: list[dict] = []
    # 1) Banner deep-check findings (HIGH zuerst)
    if banner_result:
        for ph in (banner_result.get("phases") or {}).values():
            if not isinstance(ph, dict):
                continue
            for f in (ph.get("findings") or []):
                if not isinstance(f, dict):
                    continue
                n = _normalize_finding({**f, "area": "banner"})
                if n:
                    out.append(n)
    # 2) Library-Mismatch HIGH (Marketing-Cookies als essential deklariert)
    for mm in (library_mismatch_findings or []):
        if isinstance(mm, dict) and mm.get("severity") == "HIGH":
            out.append({
                "severity": "HIGH",
                "label": f'Cookie "{mm.get("cookie","?")}" als '
                         f'{mm.get("declared_category","?")} deklariert, '
                         f'tatsaechlicher Zweck typischerweise '
                         f'{mm.get("library_category","?")}',
                "area": _AREA_LABEL["library_mismatch"],
                "owner": "DSB + Marketing/CMP-Admin",
            })
    # 3) Scorecard FAILs (MC-Audit)
    if scorecard:
        for entry in (scorecard.get("failed") or scorecard.get("items") or []):
            if not isinstance(entry, dict):
                continue
            n = _normalize_finding(entry)
            if n and n["severity"] == "HIGH":
                out.append(n)
    # Sort: HIGH first, then MEDIUM, stable order. Dedup by label.
    seen: set[str] = set()
    order = {"HIGH": 0, "MEDIUM": 1, "LOW": 2}
    out.sort(key=lambda f: order.get(f["severity"], 3))
    dedup: list[dict] = []
    for f in out:
        key = f["label"].lower()[:80]
        if key in seen:
            continue
        seen.add(key)
        dedup.append(f)
        if len(dedup) >= limit:
            break
    return dedup
 def _score_color(score: float | int | None) -> str:
    if score is None:
        return "#64748b"
    try:
        s = float(score)
    except (TypeError, ValueError):
        return "#64748b"
    if s >= 80:
        return "#16a34a"
    if s >= 60:
        return "#ca8a04"
    return "#dc2626"
 def _delta_html(curr: float | None, prev: float | None) -> str:
    if curr is None or prev is None:
        return ""
    try:
        d = float(curr) - float(prev)
    except (TypeError, ValueError):
        return ""
    if abs(d) < 0.5:
        return (
            ' <span style="color:#64748b;font-size:11px">'
            '(unveraendert ggue. letztem Lauf)</span>'
        )
    arrow = "↑" if d > 0 else "↓"
    color = "#16a34a" if d > 0 else "#dc2626"
    return (
        f' <span style="color:{color};font-size:11px">'
        f'{arrow} {abs(d):.1f} Punkte ggue. letztem Lauf</span>'
    )
 def build_gf_one_pager_html(
    site_name: str,
    scorecard: dict | None = None,
    previous_scorecard: dict | None = None,
    banner_result: dict | None = None,
    library_mismatch_findings: list[dict] | None = None,
    scan_context: dict | None = None,
 ) -> str:
    """5-7-Bullet-Zusammenfassung. Leere Top-Findings: nur Status-Bullet."""
    score = None
    if scorecard:
        score = scorecard.get("compliance_score") or scorecard.get("score")
    prev_score = None
    if previous_scorecard:
        prev_score = (previous_scorecard.get("compliance_score")
                      or previous_scorecard.get("score"))
    top = _collect_top_findings(
        banner_result=banner_result,
        scorecard=scorecard,
        library_mismatch_findings=library_mismatch_findings,
        limit=5,
    )
    n_high = sum(1 for f in top if f["severity"] == "HIGH")
    n_med = sum(1 for f in top if f["severity"] == "MEDIUM")
    if score is not None:
        score_str = f'{float(score):.0f}/100'
    else:
        score_str = "—"
    score_color = _score_color(score)
    ctx_line = ""
    if scan_context:
        bits: list[str] = []
        if scan_context.get("industry"):
            bits.append(scan_context["industry"])
        if scan_context.get("business_model"):
            bits.append(scan_context["business_model"].upper())
        if scan_context.get("employee_count"):
            bits.append(f'{scan_context["employee_count"]} MA')
        if bits:
            ctx_line = (
                '<div style="font-size:11px;color:#64748b;margin-bottom:6px">'
                f'Klassifizierung: {" · ".join(bits)}'
                '</div>'
            )
    bullets: list[str] = []
    sev_pill = {
        "HIGH":   '<span style="background:#fee2e2;color:#991b1b;'
                  'padding:1px 6px;border-radius:8px;font-size:10px;'
                  'font-weight:600">HOCH</span>',
        "MEDIUM": '<span style="background:#fef3c7;color:#92400e;'
                  'padding:1px 6px;border-radius:8px;font-size:10px;'
                  'font-weight:600">MITTEL</span>',
        "LOW":    '<span style="background:#dbeafe;color:#1e40af;'
                  'padding:1px 6px;border-radius:8px;font-size:10px;'
                  'font-weight:600">NIEDRIG</span>',
    }
    try:
        from compliance.services.finding_confidence import confidence_pill_html
    except Exception:
        def confidence_pill_html(_label: str) -> str:
            return ""
    for f in top:
        bullets.append(
            f'<li style="margin-bottom:4px;font-size:12px;line-height:1.45">'
            f'{sev_pill.get(f["severity"], "")} <strong>{f["area"]}:</strong> '
            f'{f["label"]}'
            f'{confidence_pill_html(f["label"])} '
            f'<span style="color:#64748b">— typisch zustaendig: '
            f'{f["owner"]}</span></li>'
        )
    if not bullets:
        bullets.append(
            '<li style="margin-bottom:4px;font-size:12px;color:#475569">'
            'Keine kritischen Themen erkannt — der Audit-Lauf hat fuer '
            'die geprueften Dokumente keine HIGH-Findings produziert. '
            'Details im weiteren Verlauf der Mail.</li>'
        )
    return (
        '<div style="font-family:-apple-system,BlinkMacSystemFont,sans-serif;'
        'max-width:760px;margin:0 auto 16px;padding:18px 20px;'
        'background:#f8fafc;border:1px solid #cbd5e1;border-radius:8px">'
        '<div style="font-size:11px;color:#475569;text-transform:uppercase;'
        'letter-spacing:1.4px;margin-bottom:4px;font-weight:600">'
        f'Kurzfassung fuer die Geschaeftsfuehrung — {site_name or "—"}'
        '</div>'
        + ctx_line +
        '<div style="display:flex;align-items:baseline;gap:14px;'
        'margin:8px 0 14px;flex-wrap:wrap">'
        f'<div style="font-size:28px;font-weight:700;color:{score_color}">'
        f'{score_str}</div>'
        '<div style="font-size:11px;color:#64748b">'
        f'Compliance-Score{_delta_html(score, prev_score)}</div>'
        f'<div style="margin-left:auto;font-size:11px;color:#475569">'
        f'<strong>{n_high}</strong> hoch · '
        f'<strong>{n_med}</strong> mittel'
        '</div></div>'
        '<div style="font-size:11px;color:#475569;margin-bottom:6px;'
        'font-weight:600;text-transform:uppercase;letter-spacing:1px">'
        'Was kurzfristig angegangen werden sollte'
        '</div>'
        '<ul style="margin:0 0 12px 18px;padding:0">'
        + "".join(bullets) +
        '</ul>'
        '<div style="font-size:11px;color:#475569;line-height:1.5;'
        'padding:8px 10px;background:#fff;border:1px solid #e2e8f0;'
        'border-radius:4px">'
        '<strong>Realistische Einordnung:</strong> Wir analysieren das '
        'Aussenbild Ihrer Website automatisiert — einzelne Findings koennen '
        'durch interne Dokumentation bereits abgedeckt sein. Empfohlenes '
        'Vorgehen: priorisierte Punkte mit DSB / Marketing / IT in einem '
        'Termin durchsprechen (4-8 Wochen sind ein realistischer Zeitrahmen '
        'fuer die Umsetzung). Eine pauschale Bussgeld-Erwartung leiten wir '
        'aus diesem Audit nicht ab.'
        '</div>'
        '</div>'
    )