Fix/ci reports fail param (#24)

Co-authored-by: moilanik <niko.moilanen@tietoevry.com>
Reviewed-on: #24

.gitea/scripts/bats-coverage.sh

@@ -1,37 +1,29 @@
 #!/usr/bin/env bash
 set -euo pipefail
 
-WORKSPACE_VOLUME="${1:-}"
+REPORT_DIR="${1:-}"
-REPORT_DIR="${2:-}"
+COVERAGE_DIR="${REPORT_DIR}/coverage"
 
-[ -n "$WORKSPACE_VOLUME" ] || { echo "ERROR: workspace volume name required" >&2; exit 1; }
 [ -n "$REPORT_DIR" ] || { echo "ERROR: report directory required" >&2; exit 1; }
 
-HAS_COVERAGE=false
+if [ -d coverage ]; then
-COVERAGE_SRC=""
+  mkdir -p "$COVERAGE_DIR"
-if docker run --rm -v "$WORKSPACE_VOLUME":/data alpine sh -c '[ -d /data/coverage ] && ls -A /data/coverage | grep -q .' 2>/dev/null; then
+  cp -a coverage/. "$COVERAGE_DIR/"
-  COVERAGE_SRC="/data/coverage"
 fi
 
-if [ -n "$COVERAGE_SRC" ]; then
+if [ -d "$COVERAGE_DIR" ] && [ ! -f "$COVERAGE_DIR/index.html" ]; then
-  mkdir -p "$REPORT_DIR/coverage"
+  SHA8="${GITHUB_SHA:0:8}"
-  docker run --rm -v "$WORKSPACE_VOLUME":/data alpine tar c -C "$COVERAGE_SRC" . | tar x -C "$REPORT_DIR/coverage"
+  {
-  HAS_COVERAGE=true
+    echo '<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+    echo "<title>Coverage report ${SHA8}</title>"
+    echo '<style>body{font-family:sans-serif;margin:2em}h1{color:#1e293b}ul{list-style:none;padding:0}li{margin:.5em 0}a{color:#2563eb}</style>'
+    echo "</head><body><h1>Coverage report <code>${SHA8}</code></h1><ul>"
+    while IFS= read -r -d '' f; do
+      base=$(basename "$f")
+      name="${base%.*}"
+      name="${name//-/ }"
+      echo "<li><a href=\"${base}\">${name^}</a></li>"
+    done < <(find "$COVERAGE_DIR" -maxdepth 1 -type f \( -name '*.html' -o -name '*.txt' \) ! -name index.html -print0 2>/dev/null || true)
+    echo '</ul></body></html>'
+  } > "$COVERAGE_DIR/index.html"
 fi
-
-cat > "$REPORT_DIR/index.html" << EOF
-<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">
-<title>Bats report ${GITHUB_SHA:0:8}</title>
-<style>body{font-family:sans-serif;margin:2em;max-width:960px}
-h1{color:#1e293b}a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}
-</style></head><body>
-<h1>Bats report <code>${GITHUB_SHA:0:8}</code></h1>
-<ul>
-<li><a href="test-report.html">Test results</a></li>
-EOF
-
-if [ "$HAS_COVERAGE" = true ]; then
-  echo '<li><a href="coverage/index.html">Coverage report</a></li>' >> "$REPORT_DIR/index.html"
-fi
-
-echo '</ul></body></html>' >> "$REPORT_DIR/index.html"

.gitea/workflows/ci-container-build-push.yml

@@ -12,31 +12,32 @@ on:
         required: true
         type: string
       tag:
-        required: true
+        required: false
         type: string
+        default: 'latest'
     secrets:
       DOCKER_USERNAME:
         required: false
       DOCKER_PASSWORD:
         required: true
 
-env:
-  DOCKER_REGISTRY: ${{ fromJson(inputs.env_json).DOCKER_REGISTRY || '' }}
-  IMAGE_NAME: ${{ inputs.image_name }}
-  TAG: ${{ inputs.tag }}
-  DOCKERFILE: ${{ inputs.dockerfile_path }}
-
 jobs:
   build-push:
     runs-on: ubuntu-latest
     steps:
       - uses: actions/checkout@v4
 
-      - name: Build and push CI container
+      - name: Build and push container
         env:
+          DOCKER_REGISTRY: ${{ fromJson(inputs.env_json).DOCKER_REGISTRY || '' }}
           DOCKER_USERNAME: ${{ secrets.DOCKER_USERNAME || github.actor }}
           DOCKER_PASSWORD: ${{ secrets.DOCKER_PASSWORD }}
         run: |
+          REGISTRY="${DOCKER_REGISTRY:?DOCKER_REGISTRY not set in conf}"
+          DOCKERFILE="${{ inputs.dockerfile_path }}"
+          IMAGE_NAME="${{ inputs.image_name }}"
+          TAG="${{ inputs.tag }}"
+
           NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
           docker build \
             --label "git.commit=${{ github.sha }}" \
@@ -45,7 +46,6 @@ jobs:
             -f "${DOCKERFILE}" \
             -t "${IMAGE_NAME}:${TAG}" .
 
-          REGISTRY="${DOCKER_REGISTRY:?DOCKER_REGISTRY not set in env.conf}"
           REGISTRY_HOST="${REGISTRY%%/*}"
 
           FULL_IMAGE="${REGISTRY}/${IMAGE_NAME}:${TAG}"

.gitea/workflows/example-bats-tests.yml

@@ -6,8 +6,9 @@ on:
         required: true
         type: string
       bats-image:
-        required: true
+        required: false
         type: string
+        default: gitea.app.keskikuja.site/niko/ci-bats:git
     secrets:
       GITEA_TOKEN:
         required: true
@@ -23,6 +24,8 @@ env:
 jobs:
   bats:
     runs-on: ubuntu-latest
+    container:
+      image: ${{ inputs.bats-image }}
     steps:
       - uses: actions/checkout@v4
       - uses: actions/checkout@v4
@@ -31,34 +34,18 @@ jobs:
           path: .ci
 
       - name: Run bats tests
-        id: bats-tests
-        shell: bash
         run: |
-          docker volume create bats-workspace
+          mkdir -p reports/bats
-          tar c . | docker run --rm -i -v bats-workspace:/data alpine tar x -C /data
+          bashcov -- bats tests/ > reports/bats/results.txt 2>&1
-          mkdir -p "reports/${GITHUB_SHA:0:8}/bats"
-          set +e
-          docker run --rm \
-            -v bats-workspace:/data \
-            --entrypoint bash ${{ inputs.bats-image }} \
-            -c 'cd /data && bashcov -- bats tests/' \
-            > "reports/${GITHUB_SHA:0:8}/bats/results.txt" 2>&1
-          BATS_EXIT=$?
-          bash .ci/.gitea/scripts/bats-coverage.sh bats-workspace "reports/${GITHUB_SHA:0:8}/bats"
-          docker volume rm bats-workspace > /dev/null 2>&1
-          bash .ci/.gitea/scripts/bats-report.sh "reports/${GITHUB_SHA:0:8}/bats"
-          echo "BATS_EXIT=${BATS_EXIT}" >> "${GITHUB_ENV}"
-          exit ${BATS_EXIT}
 
-      - name: Publish bats reports
+      - name: Post-process coverage
         if: always()
-        run: bash .ci/scripts/publish-git-pages.sh bats
+        run: bash .ci/.gitea/scripts/bats-coverage.sh reports/bats
 
-      - name: Report status
+      - name: Post-process test report
         if: always()
-        run: |
+        run: bash .ci/.gitea/scripts/bats-report.sh reports/bats
-          if [ "${BATS_EXIT}" = "0" ]; then
+
-            bash .ci/scripts/report-status.sh success "Link to Bats reports" unit-tests bats
+      - name: Report
-          else
+        if: always()
-            bash .ci/scripts/report-status.sh failure "Link to Bats reports" unit-tests bats
+        run: bash .ci/scripts/ci-report.sh "Bats test report" unit-tests bats
-          fi

.gitea/workflows/example-build-ci-bats.yml

@@ -1,21 +1,41 @@
-name: Build CI Bats Container (Manual)
+name: CI Container Build Bats
-on: workflow_dispatch
+on:
+  workflow_dispatch:
+    inputs:
+      config_path:
+        required: true
+        type: string
+        default: '.gitea/workflows/example-gitea-env.conf'
+        description: 'Polku .gitea-env.conf-tiedostoon'
+      dockerfile_path:
+        required: true
+        type: string
+        default: 'Dockerfile.ci-bats'
+        description: 'Polku Dockerfileen'
+      image_name:
+        required: true
+        type: string
+        default: 'ci-bats'
+        description: 'Kontin nimi ilman registry-polkua'
+      tag:
+        required: true
+        type: string
+        default: 'latest'
+        description: 'Image-tägi'
 
 jobs:
   load-config:
-    name: Load config
     uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@main
     secrets: inherit
     with:
-      config_path: .gitea/workflows/example-gitea-env.conf
+      config_path: ${{ inputs.config_path }}
 
   build-push:
-    name: Build & Push
     needs: [load-config]
     uses: niko/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@main
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      dockerfile_path: Dockerfile.ci-bats
+      dockerfile_path: ${{ inputs.dockerfile_path }}
-      image_name: ci-bats
+      image_name: ${{ inputs.image_name }}
-      tag: latest
+      tag: ${{ inputs.tag }}

.gitea/workflows/example-build-ci-cucumber.yml

@@ -1,21 +1,41 @@
-name: Build CI Cucumber Container (Manual)
+name: CI Container Build Cucumber
-on: workflow_dispatch
+on:
+  workflow_dispatch:
+    inputs:
+      config_path:
+        required: true
+        type: string
+        default: '.gitea/workflows/example-gitea-env.conf'
+        description: 'Polku .gitea-env.conf-tiedostoon'
+      dockerfile_path:
+        required: true
+        type: string
+        default: 'Dockerfile.ci-cucumber'
+        description: 'Polku Dockerfileen'
+      image_name:
+        required: true
+        type: string
+        default: 'ci-cucumber'
+        description: 'Kontin nimi ilman registry-polkua'
+      tag:
+        required: true
+        type: string
+        default: 'latest'
+        description: 'Image-tägi'
 
 jobs:
   load-config:
-    name: Load config
     uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@main
     secrets: inherit
     with:
-      config_path: .gitea/workflows/example-gitea-env.conf
+      config_path: ${{ inputs.config_path }}
 
   build-push:
-    name: Build & Push
     needs: [load-config]
     uses: niko/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@main
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      dockerfile_path: Dockerfile.ci-cucumber
+      dockerfile_path: ${{ inputs.dockerfile_path }}
-      image_name: ci-cucumber
+      image_name: ${{ inputs.image_name }}
-      tag: latest
+      tag: ${{ inputs.tag }}

.gitea/workflows/example-cucumber-tests.yml

@@ -6,8 +6,9 @@ on:
         required: true
         type: string
       cucumber-node-image:
-        required: true
+        required: false
         type: string
+        default: gitea.app.keskikuja.site/niko/ci-cucumber:latest
     secrets:
       GITEA_TOKEN:
         required: true
@@ -33,36 +34,14 @@ jobs:
           path: .ci
 
       - name: Run cucumber tests
-        id: cucumber-tests
         shell: bash
         run: |
-          mkdir -p "reports/${GITHUB_SHA:0:8}/cucumber"
+          mkdir -p reports/cucumber
-          set +e
           npx cucumber-js \
-            --format json:"reports/${GITHUB_SHA:0:8}/cucumber/report.json" \
+            --format json:reports/cucumber/results.json \
-            --format html:"reports/${GITHUB_SHA:0:8}/cucumber/index.html" 2>&1
+            --format html:reports/cucumber/test-report.html 2>&1
-          CUCUMBER_EXIT=$?
-          echo "CUCUMBER_EXIT=${CUCUMBER_EXIT}" >> "${GITHUB_ENV}"
-          exit ${CUCUMBER_EXIT}
 
-      - name: Publish cucumber reports
+      - name: Report
-        if: always()
-        run: bash .ci/scripts/publish-git-pages.sh cucumber
-
-      - name: Report status
         if: always()
         shell: bash
-        run: |
+        run: bash .ci/scripts/ci-report.sh "Cucumber test report" acc-tests cucumber
-          if [ "${CUCUMBER_EXIT}" = "0" ]; then
-            if [ -f "reports/${GITHUB_SHA:0:8}/cucumber/index.html" ]; then
-              bash .ci/scripts/report-status.sh success "Link to Cucumber reports" acc-tests cucumber
-            else
-              bash .ci/scripts/report-status.sh success "Link to Cucumber reports" acc-tests
-            fi
-          else
-            if [ -f "reports/${GITHUB_SHA:0:8}/cucumber/index.html" ]; then
-              bash .ci/scripts/report-status.sh failure "Link to Cucumber reports" acc-tests cucumber
-            else
-              bash .ci/scripts/report-status.sh failure "Link to Cucumber reports" acc-tests
-            fi
-          fi

.gitea/workflows/example-feature.yml

@@ -20,7 +20,6 @@ jobs:
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      bats-image: gitea.app.keskikuja.site/niko/ci-bats:latest
 
   cucumber:
     name: Cucumber tests
@@ -29,7 +28,6 @@ jobs:
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      cucumber-node-image: gitea.app.keskikuja.site/niko/ci-cucumber:latest
 
   report-summary:
     name: Report Summary

.gitea/workflows/example-main.yml

@@ -29,7 +29,6 @@ jobs:
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      bats-image: gitea.app.keskikuja.site/niko/ci-bats:latest
 
   cucumber:
     name: Cucumber tests
@@ -39,7 +38,6 @@ jobs:
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
-      cucumber-node-image: gitea.app.keskikuja.site/niko/ci-cucumber:latest
 
   build-push:
     name: Build & Push Docker

.gitignore

@@ -7,3 +7,4 @@ tmp/
 coverage/
 .DS_Store
 reports/
+.vscode/

Dockerfile.ci-bats

@@ -1,3 +1,3 @@
-FROM bats/bats:latest
+FROM bats/bats:1.11.0
-RUN apk add --no-cache lsof python3 jq curl ruby && \
+RUN apk add --no-cache lsof python3 jq curl ruby nodejs git && \
     gem install bashcov -v 3.3.0

README.md

@@ -123,8 +123,8 @@ Hae token Giteasta:
 
 ```bash
 GITEA_URL="https://<gitea-server-url>"
-GITEA_ACTIONS_TOKEN="<registration-token>"
 GITEA_ACTIONS_NAMESPACE="gitea-actions"
+GITEA_ACTIONS_TOKEN="<registration-token>"
 ```
 
 ### 3. Tee secret vain init install yhteydessä
@@ -158,6 +158,7 @@ helm upgrade --install act-runner gitea/actions \
   --set giteaRootURL="$GITEA_URL" \
   --set existingSecret=act-runner-token \
   --set existingSecretKey=token \
+  --set statefulset.replicas=3 \
   --set statefulset.runner.tag=1.0.8 \
   --set statefulset.dind.tag=29.5.2-dind \
   --set-string 'statefulset.runner.config=log:

docs/ai-context.md

@@ -26,22 +26,25 @@ kuuluu `git-pages/docs/`-alle, ei juuren `docs/`-kansioon.
 | `.gitea/workflows/config-provider.yml` | Provider: lataa + validoi config-tiedoston, tuottaa `env_json` |
 | `.gitea/workflows/check-version.yml` | Provider: tarkistaa onko commitille jo artifact, laskee version |
 | `.gitea/workflows/docker-build-push.yml` | Provider: buildaa + puskea Docker-imagen, tagittaa commitin |
+| `.gitea/workflows/ci-container-build-push.yml` | Provider: buildaa + puskea CI-työkalukontin |
 | `.gitea/workflows/example-*` | **Consumer-esimerkki**: tämän repon oma CI (dogfood) |
 | `scripts/` | Provider-skriptit: `report-status.sh`, `publish-git-pages.sh`, `ci-validate.sh` |
 | `.gitea/scripts/` | **Consumer-skriptit**: `bats-coverage.sh`, `bats-report.sh` |
 | `docs/` | Arkkitehtuuri, ADRt (0004–0008) |
 | `skills/consumer-pipelines/` | Consumer-pipeline-standardit — AI:n pakottavat säännöt consumer-CI:lle |
+| `skills/ci-container-build/` | CI-kontin build-workflow'n template — `ci-container-build-push.yml` |
 | `docs/adr/` | Architecture Decision Records |
 | `git-pages/` | Raporttien hostaus (Helm-chartti) |
 | `tests/` | Bats-testit skripteille |
 
-### Provider workflowt (4 kpl)
+### Provider workflowt (5 kpl)
 
 | Workflow | Input | Output | Kuvaus |
 |---|---|---|---|
 | `config-provider.yml` | `config_path` | `env_json`, `config_path` | Validoi ja jäsentää `.conf` → JSON. Sama kutsu hoitaa validoinnin. |
 | `check-version.yml` | `env_json` | `artifact_exists`, `version` | Tarkistaa git-tagit ja `package.json`:n, laskee seuraavan version. Vain main-haarassa. |
 | `docker-build-push.yml` | `env_json`, `version` | — | Buildaa Docker-imagen, puskea rekisteriin, tagittaa commitin. |
+| `ci-container-build-push.yml` | `env_json`, `dockerfile_path`, `image_name`, `tag` | — | Buildaa CI-työkalukontin, puskea rekisteriin. Ei versiointia eikä git-tägäystä. |
 | `report-summary.yml` | `env_json`, `suites` | — | Generoi `GITHUB_STEP_SUMMARY`-taulukon raporttilinkeillä (Gitea 1.27+) |
 
 ### Example-tiedostot (consumer-referenssi)

scripts/ci-report.sh

@@ -0,0 +1,87 @@
+#!/usr/bin/env bash
+set -euo pipefail
+
+DESCRIPTION="${1:-}"
+CONTEXT="${2:-}"
+SUITE="${3:-}"
+STATUS="${4:-success}"
+
+[ -n "$DESCRIPTION" ] || { echo "ERROR: description argument required" >&2; exit 1; }
+[ -n "$CONTEXT" ] || { echo "ERROR: context argument required" >&2; exit 1; }
+[ -n "$SUITE" ] || { echo "ERROR: suite argument required" >&2; exit 1; }
+
+REPORT_DIR="reports/${SUITE}"
+
+if [ ! -d "$REPORT_DIR" ]; then
+  echo "ERROR: $REPORT_DIR not found" >&2
+  bash .ci/scripts/report-status.sh failure "$DESCRIPTION" "$CONTEXT"
+  exit 1
+fi
+
+FILES=()
+while IFS= read -r -d '' f; do
+  FILES+=("$(basename "$f")")
+done < <(find "$REPORT_DIR" -maxdepth 1 -type f ! -name index.html -print0 2>/dev/null || true)
+
+SUBDIRS=()
+while IFS= read -r -d '' d; do
+  name="${d#$REPORT_DIR/}"
+  [ -f "$d/index.html" ] && SUBDIRS+=("$name")
+done < <(find "$REPORT_DIR" -maxdepth 1 -type d ! -name . -print0 2>/dev/null || true)
+
+TOTAL=$(( ${#FILES[@]} + ${#SUBDIRS[@]} ))
+
+if [ "$TOTAL" -eq 0 ]; then
+  echo "ERROR: no reportable items in $REPORT_DIR" >&2
+  bash .ci/scripts/report-status.sh failure "$DESCRIPTION" "$CONTEXT"
+  exit 1
+fi
+
+SHA8="${GITHUB_SHA:0:8}"
+
+humanize() {
+  local name="$1"
+  name="${name%.*}"
+  name="${name//-/ }"
+  name="${name//_/ }"
+  echo "${name^}"
+}
+
+generate_index() {
+  local html
+  html='<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+  html+="<title>$DESCRIPTION</title>"
+  html+='<style>body{font-family:sans-serif;margin:2em;max-width:960px}h1{color:#1e293b}ul{list-style:none;padding:0}li{margin:.5em 0;padding:.5em;background:#f8fafc;border-radius:6px}a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}</style>'
+  html+="</head><body><h1>$DESCRIPTION</h1><ul>"
+  for f in "${FILES[@]}"; do
+    html+="<li><a href=\"$f\">$(humanize "$f")</a></li>"
+  done
+  for d in "${SUBDIRS[@]}"; do
+    html+="<li><a href=\"$d/index.html\">${d^}</a></li>"
+  done
+  html+='</ul></body></html>'
+  printf '%s' "$html" > "$REPORT_DIR/index.html"
+}
+
+STAGED="reports/${SHA8}/${SUITE}"
+mkdir -p "$STAGED"
+
+if [ "$TOTAL" -eq 1 ]; then
+  cp -a "$REPORT_DIR/." "$STAGED/"
+  bash .ci/scripts/publish-git-pages.sh "$SUITE"
+
+  if [ ${#FILES[@]} -eq 1 ]; then
+    ENTRY="${FILES[0]}"
+  else
+    ENTRY="${SUBDIRS[0]}/index.html"
+  fi
+  URL="${GIT_PAGES_URL}/${GITHUB_REPOSITORY}/reports/${SHA8}/${SUITE}/${ENTRY}"
+  bash .ci/scripts/report-status.sh "$STATUS" "$DESCRIPTION" "$CONTEXT" "" "$URL"
+else
+  generate_index
+  cp -a "$REPORT_DIR/." "$STAGED/"
+  bash .ci/scripts/publish-git-pages.sh "$SUITE"
+  bash .ci/scripts/report-status.sh "$STATUS" "$DESCRIPTION" "$CONTEXT" "$SUITE"
+fi
+
+rm -rf "$STAGED"

scripts/publish-git-pages.sh

@@ -33,7 +33,42 @@ else
 fi
 mkdir -p "$TARGET"
 cp -a "$REPORT_DIR/." "$TARGET/"
-cat > "$WORK/${OWNER}/${REPO}/reports/${SHA8}/.meta" <<EOF
+if [ ! -f "$TARGET/index.html" ]; then
+  items=()
+  while IFS= read -r -d '' f; do
+    items+=("$(basename "$f")")
+  done < <(find "$TARGET" -maxdepth 1 -type f ! -name index.html -print0 2>/dev/null || true)
+  while IFS= read -r -d '' d; do
+    name=$(basename "$d")
+    [ -f "$d/index.html" ] && items+=("$name")
+  done < <(find "$TARGET" -maxdepth 1 -type d ! -name . -print0 2>/dev/null || true)
+
+  if [ ${#items[@]} -gt 1 ]; then
+    {
+      echo '<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+      echo "<title>Test report ${SHA8}</title>"
+      echo '<style>body{font-family:sans-serif;margin:2em;max-width:960px}'
+      echo 'h1{color:#1e293b}ul{list-style:none;padding:0}'
+      echo 'li{margin:.5em 0;padding:.5em;background:#f8fafc;border-radius:6px}'
+      echo 'a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}'
+      echo '</style></head><body>'
+      echo "<h1>Test report <code>${SHA8}</code></h1><ul>"
+      for item in "${items[@]}"; do
+        label="${item%.*}"
+        label="${label//-/ }"
+        label="${label//_/ }"
+        if [ -f "$TARGET/$item" ]; then
+          echo "<li><a href=\"$item\">${label^}</a></li>"
+        else
+          echo "<li><a href=\"$item/index.html\">${label^}</a></li>"
+        fi
+      done
+      echo '</ul></body></html>'
+    } > "$TARGET/index.html"
+  fi
+fi
+
+cat > "$TARGET/.meta" <<EOF
 {"branch":"${GITHUB_REF_NAME:-}","sha":"${GITHUB_SHA}","published_at":"$(date -u +%Y-%m-%dT%H:%M:%SZ)"}
 EOF
 find "$WORK/$OWNER" \( -type f -o -type l \) -print | sed "s|^${WORK}/||" | tar -cf "$TAR" -C "$WORK" -T -

skills/ci-container-build/SKILL.md

@@ -0,0 +1,149 @@
+---
+name: ci-container-build
+description: |
+  Creating or modifying CI container build workflows. Activates when consumer
+  needs to build a custom CI container image (multi-tool image for tests,
+  linting, validation) that is pushed to a container registry for use in
+  other pipeline jobs.
+activation-gate: |
+  User mentions CI container, custom CI image, ci-container-build, Dockerfile
+  for CI tools, multi-tool container, or needs to build/push a container that
+  other CI jobs will use as their runtime environment.
+category: ci
+impact: high
+---
+
+# CI Container Build — Template
+
+Template jolla consumer luo oman CI-kontin build-workflown.
+Kontti sisältää useamman työkalun yhdistelmän (esim. helm + kubeconform + xsltproc),
+jota muut jobit käyttävät ajonaikaisena ympäristönä.
+
+## Rakenne
+
+Vain `workflow_dispatch` — **ei automaattista buildausta koskaan**. Kontti buildataan
+manuaalisesti Gitea Actions UI:sta. Tiedoston ilmestyessä main-haaraan workflow näkyy
+välittömästi Actions-tabissa ajettavana.
+
+Build-prosessi lataa ensin `config-provider.yml`:llä `DOCKER_REGISTRY`:n
+conf-tiedostosta, sitten buildaa ja puskaa kontin.
+
+Kun kontti on pushattu registryyn, se on muiden pipeline-jobien käytettävissä
+`latest`-tägillä — rebuild = käyttöönotto. Mitään versioviittauksia ei tarvitse
+päivittää.
+
+## Nimeäminen
+
+CI-kontin build-workflow noudattaa samaa nimeämiskonventiota kuin muutkin
+tiedostot `.gitea/workflows/`-kansiossa:
+
+```
+<komponentti>.ci-feature.yml                  ← feature-haaran reititin
+<komponentti>.ci-main.yml                     ← main-haaran reititin
+<komponentti>.<testityyppi>.yml               ← yksittäinen testi tai operaatio
+<komponentti>.ci-container-build-<kontti>.yml ← CI-kontin build-workflow
+<komponentti>.gitea-env.conf                  ← komponenttikohtainen konfiguraatio
+```
+
+Single repossa `<komponentti>` jätetään pois — tiedostot ovat suoraan `ci-feature.yml`,
+`ci-main.yml`, `<testityyppi>.yml`, `ci-container-build-<kontti>.yml`.
+
+Monorepossa prefiksi pitää komponentin tiedostot yhdessä: `ls <komponentti>.*` löytää kaikki
+kerralla. **Olemassaolevia prefiksejä ei saa poistaa.**
+
+Esimerkkejä:
+```
+.gitea/workflows/chart.ci-container-build-helm.yml
+.gitea/workflows/api.ci-container-build-node.yml
+.gitea/workflows/ci-container-build-bats.yml    ← single repo
+```
+
+## Template
+
+> **Korvaa kaikki `__SUURAAKKOSET__`-placeholderit projektin todellisilla arvoilla.**
+> Ainoastaan `${{ ... }}`-syntaksilla merkityt Gitea Actions -muuttujat ovat ajonaikaisia
+> eikä niitä korvata.
+
+Luo `.gitea/workflows/__KOMPONENTTI__.ci-container-build-__KONTTI__.yml`
+(single repo: `ci-container-build-__KONTTI__.yml`):
+
+```yaml
+name: CI Container Build & Push
+on:
+  workflow_dispatch:
+    inputs:
+      config_path:
+        required: true
+        type: string
+        description: 'Polku .gitea-env.conf-tiedostoon (esim. .gitea/workflows/chart.gitea-env.conf)'
+      dockerfile_path:
+        required: true
+        type: string
+        description: 'Polku Dockerfileen (esim. ci-helm.Dockerfile)'
+      image_name:
+        required: true
+        type: string
+        description: 'Kontin nimi ilman registry-polkua (esim. ci-helm)'
+      tag:
+        required: true
+        type: string
+        default: 'latest'
+        description: 'Image-tägi'
+
+jobs:
+  load-config:
+    uses: __OWNER__/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+    with:
+      config_path: ${{ inputs.config_path }}
+
+  build-push:
+    needs: [load-config]
+    uses: __OWNER__/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      dockerfile_path: ${{ inputs.dockerfile_path }}
+      image_name: ${{ inputs.image_name }}
+      tag: ${{ inputs.tag }}
+```
+
+### Käyttö
+
+**Gitea Actions UI:sta** (heti kun tiedosto on main-haarassa):
+
+```
+Gitea → Actions → CI Container Build & Push → Run workflow
+
+config_path:      .gitea/workflows/__KOMPONENTTI__.gitea-env.conf
+dockerfile_path:  ci-__TYÖKALU__.Dockerfile
+image_name:       ci-__TYÖKALU__
+tag:              latest
+```
+
+### Dockerfile
+
+Dockerfile yhdistää tarvitut työkalut yhteen konttiin. Molemmat tavat kelpaavat:
+
+```dockerfile
+# Tapa A: COPY --from toisesta imagesta
+FROM __BASE_IMAGE__:__VERSION__
+COPY --from=__SOURCE_IMAGE__:__VERSION__ /path/to/binary /usr/local/bin/
+RUN apk add --no-cache __PAKETIT__    # Ei koskaan git:iä — kloonaus kuuluu pipelinelle
+
+# Tapa B: curl-lataus (normaali Dockerfilessa)
+FROM __BASE_IMAGE__:__VERSION__
+RUN apk add --no-cache curl __PAKETIT__ && \
+    curl -fsSL __URL__/__BINARY__.tar.gz | tar xz -C /usr/local/bin && \
+    apk del curl
+```
+
+`COPY --from` on kevyempi (ei curl-asennusta). `curl` on selkeämpi kun binääri
+tulee suoraan GitHub Releasesista tai vastaavasta.
+
+## Mitä EI kannata tehdä
+
+- Älä lisää `workflow_call`-triggariä — CI-konttia ei koskaan buildata automaattisesti
+- Älä poista `<komponentti>.`-prefiksiä olemassaolevista tiedostoista — ne kuuluvat monorepo-nimeämiskonventioon
+- Älä sisällytä CI-konttiin mitään sovelluskoodia — vain työkalut
+- Älä koskaan asenna `git`:iä CI-konttiin — repon kloonaus ja checkout ovat Gitea Actionsin natiiveja operaatioita, eivät kontin vastuulla. Git paisuttaa konttia turhaan ja luo harhan että kontti hallitsee repoa

skills/consumer-pipelines/SKILL.md

@@ -46,14 +46,14 @@ jobs:
 
   <test-1>:
     needs: [load-config]
-    uses: ./.gitea/workflows/<component>.<test-1>.yml@main
+    uses: ./.gitea/workflows/<component>.<test-1>.yml
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
 
   <test-2>:
     needs: [load-config]
-    uses: ./.gitea/workflows/<component>.<test-2>.yml@main
+    uses: ./.gitea/workflows/<component>.<test-2>.yml
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
@@ -79,16 +79,14 @@ Ei monoliittista `ci-tests.yml`. Jokainen testityyppi tai operaatio on oma `work
 
 ## 3. Exit-koodin käsittely
 
-Jokainen testi kaappaa komentonsa exit-koodin eksplisiittisesti:
+`set -e` on oletuksena käytössä Gitea Actions -stepeissä — ensimmäinen feilaava komento pysäyttää stepin
+ja exit-koodi välittyy natiivisti. Ylimääräistä `EXIT=$?` + `echo >> GITHUB_ENV` -käärettä ei tarvita.
 
 ```yaml
 - name: Run tests
   shell: bash
   run: |
     <testikomento> > results.txt 2>&1
-    EXIT=$?
-    echo "EXIT=${EXIT}" >> "${GITHUB_ENV}"
-    exit ${EXIT}
 ```
 
 **Miksi ei pipeä (`| tee`):**
@@ -101,92 +99,316 @@ Jokainen testi kaappaa komentonsa exit-koodin eksplisiittisesti:
 <komento> > results.txt 2>&1
 ```
 
-Ilman `EXIT=$?` + `exit ${EXIT}` komento voi feilata mutta job menee läpi vihreänä — `container:`-modessa
+`set -e` ei pelasta pipe-tilanteessa — `|` syö exit-koodin kuten ennenkin. Redirectillä exit-koodi
-shellin käyttäytyminen vaihtelee.
+välittyy luonnollisesti.
+
+**Yksi asia per step:** Älä koskaan niputa useaa komentoa samaan `run:`-blockiin — oli kyse
+sitten post-processista tai testi- / tarkistusvaiheista. `bash -e` pysäyttää koko stepin
+ensimmäisellä failaavalla komennolla, ja loput jäävät ajamatta.
+
+```yaml
+# VÄÄRIN — helm template fail → kubeconform jää ajamatta, report jää tekemättä
+- name: Run tests
+  run: |
+    helm template ... > /tmp/manifests.yaml
+    kubeconform ... > results.txt 2>&1
+
+# OIKEIN — erilliset stepit
+- name: Helm template
+  run: helm template platform-helm/ -f values.yaml > /tmp/manifests.yaml 2>&1
+
+- name: Kubeconform
+  if: success()
+  run: |
+    mkdir -p reports/kubeconform
+    kubeconform ... > reports/kubeconform/results.txt 2>&1
+
+- name: Report
+  if: always()
+  run: bash .ci/scripts/ci-report.sh "Helm kubeconform" helm-test kubeconform ${{ job.status }}
+```
+
+Sama pätee post-process-steppeihin. Älä koskaan niputa useaa post-process-komentoa
+samaan `run:`-blockiin. Käytä erillisiä steppejä `if: always()`:lla, jotta jokainen
+vaihe ajetaan itsenäisesti:
+
+```yaml
+# VÄÄRIN — jos coverage epäonnistuu, report jää generoimatta
+- name: Post-process reports
+  run: |
+    bash .ci/.gitea/scripts/bats-coverage.sh reports/bats
+    bash .ci/.gitea/scripts/bats-report.sh reports/bats
+
+# OIKEIN — erilliset stepit if: always()
+- name: Post-process coverage
+  if: always()
+  run: bash .ci/.gitea/scripts/bats-coverage.sh reports/bats
+
+- name: Post-process test report
+  if: always()
+  run: bash .ci/.gitea/scripts/bats-report.sh reports/bats
+```
 
 ## 4. Konttipolitiikka
 
 1. **Julkiset registry-kontit kiinteällä versiolla** — `alpine/helm:3.19.0`, `node:22`, `maven:3.9-eclipse-temurin-21`.
    Toistettavuus ja turvallisuus eivät saa riippua ulkoisesta `latest`:sta
-2. **Projektin omat CI-kontit `latest`-tägillä** — buildattu `ci-container-build-push.yml`:llä.
+2. **Projektin omat CI-kontit `latest`-tägillä** — buildattu `ci-container-build-<kontti>.yml`:llä.
    Kontin build-pipeline päivittää `latest`:n automaattisesti. Rebuild = käyttöönotto
    kaikissa pipelineissa ilman versioviittauksien päivittelyä.
    `latest` on näille paras käytäntö, ei kompromissi
 3. **Ei koskaan `curl`-latauksia CI-ajon sisällä** — työkalujen asennus CI-stepeissä hidastaa,
    epäluotettavaa, ja vaikeuttaa toistettavuutta
+4. **Konttikuva hallitaan workflow'ssa, ei kutsujassa** — jos workflow vaatii tietyn
+   konttikuvan, se määritellään oletuksena (`default:`) workflow'n inputissa.
+   Kutsujan ei tarvitse tietää eikä välittää image-nimeä ellei halua ylikirjoittaa.
 
-Pre-buildattu kontti rakennetaan minimaalisella Dockerfilella, joka kopioi tarvitut binäärit
+CI-kontin build-workflow'n template: [skills/ci-container-build/SKILL.md](../ci-container-build/SKILL.md) — sisältää
-perusimagesta ja asentaa vain välttämättömät paketit.
+valmiin `ci-container-build-<kontti>.yml`-pohjan jossa `workflow_dispatch`-tuki manuaaliajoon.
+
+### 4.1 CI-kontin ajaminen jobissa
+
+Ainoa sallittu tapa on `container:`-direktiivi. `docker run` komennolla kontin
+käynnistäminen stepin sisällä on anti-pattern.
+
+**Miksi:** `docker run` erilliskonttina aiheuttaa:
+- Tiedostojen jako vaatii erillisen volyyminhallinnan (`docker volume create`)
+- Coverage-data jää volyymiin, ei filesystemille → post-process-skriptit eivät löydä sitä
+- Ylimääräisiä siirtoja (`tar`, `docker cp`), jotka voivat epäonnistua hiljaa
+- Vaikeampi debugata (data on kontissa, ei CWD:ssä)
+
+`container:`-direktiivillä kaikki ajetaan samassa kontissa — tiedostot ovat suoraan
+filesystemillä, post-process-skriptit näkevät ne ilman erillistä siirtoa.
+
+```yaml
+jobs:
+  <työkalu>:
+    runs-on: ubuntu-latest
+    container:
+      image: ${{ inputs.<image-name> }}
+    steps:
+      - uses: actions/checkout@v4
+      - uses: actions/checkout@v4
+        with:
+          repository: <owner>/gitea-ci-library
+          path: .ci
+
+      - name: Run <työkalu>
+        shell: bash
+        run: |
+          mkdir -p "reports/<suite>"
+          <komento> > "reports/<suite>/results.txt" 2>&1
+
+      - name: Post-process reports
+        if: always()
+        run: |
+          <mahdollinen_raporttien_jälkikäsittely>
+
+      - name: Report
+        if: always()
+        run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
+```
+
+**Huomio `actions/checkout@v4`:stä:** `container:`-direktiivillä kaikki stepit
+ajetaan kontin *sisällä* — myös `actions/checkout@v4`. Se on JavaScript-action
+joka vaatii sekä `nodejs` että `git`. Ilman kumpaa tahansa checkout feilaa
+`exit 127`.
+
+```dockerfile
+# Varmista että kontissa on nodejs + git
+RUN apk add --no-cache nodejs git
+```
+
+**Tarkista siis aina** että CI-kontin Dockerfilessä on sekä `nodejs` että `git`
+asennettuna. Sama pätee mihin tahansa konttiin jota käytetään `container:`-direktiivillä.
+
+**Usean runnerin cache-ongelma:** Jos eri kerroilla käynnistyy eri runnereita,
+niillä voi olla eri versio `latest`-imagen digesteistä. Tämä on `latest`-tagin
+tunnettu ongelma. Ratkaisuja:
+- Rebuildaa kontti ja aja `docker pull <image>` manuaalisesti kaikilla
+  runnereilla
+- Käytä versioitua tagia (`v2`, `v3`, ...) ja päivitä workflow'n default
+  buildauksen jälkeen
+
+Jos testi tuottaa raportteja suoraan ilman jälkikäsittelyä, Post-process-steppiä ei tarvita.
+Jos jälkikäsittely on tarpeen (coverage-siirto, HTML-generointi raa'asta outputista),
+se tehdään omassa stepissä `if: always()` — katso tarkemmin [Raporttitasot](#5-raporttitasot).
+
+**Mallit:**
+- `example-cucumber-tests.yml` — ei post-processia
+- `example-bats-tests.yml` — post-process coverage + report
 
 ## 5. Raporttitasot
 
-Testi tuottaa raportin `reports/${GITHUB_SHA:0:8}/<suite>/`-hakemistoon. `publish-git-pages.sh` julkaisee sen,
+Testi tuottaa raportin `reports/<suite>/`-hakemistoon. Yksi `ci-report.sh`-kutsu hoitaa sekä
-`report-status.sh` linkittää commit-statusin siihen. Molemmat `if: always()`.
+julkaisun että commit-statuksen — erillistä Publish + Report Status -kaksivaiheisuutta ei tarvita.
 
-### Taso 1: Pelkkä teksti
+### Taso 1: Ei jälkikäsittelyä
 
-Kun testi tuottaa vain stdout/stderr — tallennetaan `results.txt`:
+Kun testi tuottaa raportit suoraan (kuten `pytest --html` tai `cucumber-js --format html`):
 
 ```yaml
 - name: Run tests
   shell: bash
   run: |
-    mkdir -p "reports/${GITHUB_SHA:0:8}/<suite>"
+    mkdir -p "reports/<suite>"
-    <testikomento> > "reports/${GITHUB_SHA:0:8}/<suite>/results.txt" 2>&1
+    <testikomento>
-    EXIT=$?
-    echo "EXIT=${EXIT}" >> "${GITHUB_ENV}"
-    exit ${EXIT}
 
-- name: Publish reports
+- name: Report
   if: always()
-  shell: bash
+  run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
-  run: bash .ci/scripts/publish-git-pages.sh <suite>
+```
 
-- name: Report status
+### Taso 2: Jälkikäsittely tarvitaan
-  if: always()
+
+Kun testi tuottaa raakadataa (stdout, coverage-tiedostot) joka pitää muuntaa tai siirtää
+`reports/<suite>/`-hakemistoon, käytetään Post-process-steppejä. **Jokainen operaatio
+omassa stepissään** — älä koskaan niputa useaa post-process-komentoa samaan `run:`-blockiin:
+
+```yaml
+- name: Run tests
   shell: bash
   run: |
-    if [ "${EXIT}" = "0" ]; then
+    mkdir -p "reports/<suite>"
-      bash .ci/scripts/report-status.sh success "<kuvaus>" <context> <suite>
+    <testikomento> > "reports/<suite>/results.txt" 2>&1
-    else
+
-      bash .ci/scripts/report-status.sh failure "<kuvaus>" <context> <suite>
+- name: Post-process coverage
-    fi
+  if: always()
+  run: <siirrä coverage-data reports/<suite>/coverage/-hakemistoon>
+
+- name: Post-process test report
+  if: always()
+  run: <HTML-generointi raa'asta outputista>
+
+- name: Report
+  if: always()
+  run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
 ```
 
-### Taso 2: HTML-raportti
+**Huomio subdir-sisällöstä:** Jos testi tuottaa dataa alihakemistoon (esim.
+coverage `./coverage/`-kansioon), se pitää erikseen SIIRTÄÄ
+`reports/<suite>/<subdir>/`-hakemistoon ennen `ci-report.sh`:n ajoa.
+Ilman siirtoa sisältö ei näy index-sivulla, vaikka työkalu tuottaisi sen oikein.
+Subdir vaatii lisäksi `index.html`:n, jotta `ci-report.sh` löytää sen.
 
-Kun testi tuottaa strukturoitua dataa (JUnit XML, coverage, tms.) — generoidaan HTML ja `index.html`:
+**Miksi:** Gitea Actions käyttää `bash -e`-oletusta. Jos yksi post-process-komento
+epäonnistuu (esim. `set -euo pipefail`-skripti), koko stepi pysähtyy eivätkä seuraavat
+komennot käynnisty — raportti jää julkaisematta. Erilliset stepit `if: always()` takaavat
+että jokainen post-process-vaihe ajetaan itsenäisesti.
+
+### Monta raportoitavaa tiedostoa
+
+Kun `reports/<suite>/`-hakemistossa on useita tiedostoja tai alihakemistoja,
+`ci-report.sh` generoi automaattisesti `reports/<suite>/index.html` jos hakemistossa
+on enemmän kuin yksi raportoitava item.
 
 ```
-reports/<sha8>/<suite>/
+reports/<suite>/
-├── index.html          ← generoitu: linkit alla oleviin
+├── results.txt               ← testin stdout (skannataan FILES)
-├── results.txt         ← testin stdout
+├── test-report.html          ← generoitu HTML (skannataan FILES)
-├── junit.xml           ← testin JUnit XML -output
+└── <mikä tahansa>/           ← alihakemisto (skannataan SUBDIRS)
-└── junit.html          ← generoitu HTML (xsltproc, tms.)
+    └── index.html            ← VAIN jos tämä on olemassa
 ```
 
-`index.html` linkittää kaikkiin raporttitiedostoihin. Selain avaa sen ja navigoi sieltä
+**Subdir-sääntö:** Alihakemisto näkyy indexissä VAIN jos se sisältää `index.html`:n.
-yksittäisiin raportteihin.
+Pelkkä tyhjä subdir ilman `index.html`:ää ei näy — tämä on yleisin syy miksi
+jokin raportin osa (kuten coverage) puuttuu indexistä.
 
-## 6. Nimeäminen
+## 6. Raportin julkaisukelpoisuus
+
+`ci-report.sh` päättää onko raportti julkaisukelpoinen skannaamalla
+`reports/<suite>/`-hakemistoa.
+
+### Mitä skannataan
+
+| Mitä | Sääntö |
+|---|---|
+| **Tiedostot (FILES)** | Kaikki `reports/<suite>/`-juuressa olevat tiedostot paitsi `index.html` |
+| **Alihakemistot (SUBDIRS)** | Vain ne, joissa on `index.html` |
+
+### Julkaisukelpoisuus
+
+| Tila | Seuraus |
+|---|---|
+| `FILES + SUBDIRS = 0` | **Failure** — `ci-report.sh` palauttaa virheen, raporttia ei julkaista |
+| `FILES + SUBDIRS = 1` | Suora linkki itemiin — ei generoi index-sivua |
+| `FILES + SUBDIRS > 1` | Generoi `reports/<suite>/index.html`-sivun, linkit kaikkiin itemeihin |
+
+### Esimerkki: coverage-näkymä
+
+```
+reports/<suite>/coverage/index.html   ← on olemassa
+```
+
+Coverage-dataa ei siirretä automaattisesti. Testin tai post-process-stepin pitää
+siirtää coverage `reports/<suite>/coverage/`-hakemistoon ja varmistaa että
+`index.html` on mukana. Sama periaate pätee mihin tahansa subdir-sisältöön.
+
+## 7. Debug-ohje: raportti ei näy
+
+### 1. Aja lokaalisti samalla komennolla kuin CI
+
+Näet mitä tiedostoja syntyy, mihin ne tulevat ja mikä on työkalun exit-koodi.
+
+```bash
+# Esimerkki
+mkdir -p reports/bats
+bashcov -- bats tests/ > reports/bats/results.txt 2>&1
+echo "exit: $?"
+ls -la reports/bats/
+```
+
+### 2. Lisää `echo "DEBUG: ..." >&2` ennen ja jälkeen kriittisen operaation
+
+Debuggaus stderriin (`>&2`) näkyy CI-logissa eikä häiritse skriptin normaalia outputia.
+
+```bash
+echo "DEBUG: coverage exists? $([ -d coverage ] && echo YES || echo NO)" >&2
+echo "DEBUG: target/index.html exists? $([ -f reports/suite/coverage/index.html ] && echo YES || echo NO)" >&2
+```
+
+### 3. Tarkista kutsuparametrit
+
+Yleisin virhe: skripti odottaa `$1` = X, mutta kutsuja antaa `$1` = Y ja `$2` = X.
+Skripti lukee väärän parametrin ja etsii dataa väärästä paikasta.
+
+### 4. Tarkista tiedostopolut
+
+1. Onko lähdetiedosto olemassa ennen kopiointia?
+2. Onko kohde olemassa kopioinnin jälkeen?
+3. Onko `index.html` subdirissä (vaaditaan `ci-report.sh`:lle)?
+
+Jos vastaus johonkin on "ei" — tiedät mikä pitää korjata.
+
+### 5. Poista debug-echot kun ongelma on korjattu
+
+Debug-rivit eivät kuulu tuotantoon.
+
+### 6. Älä kokeile — debuggaa
+
+Kokeilu = arvaus. Debuggaus = lisää echo, aja, lue logi, eristä ongelma.
+Vasta sitten korjaa. Tämä on nopeampi tie oikeaan ratkaisuun.
+
+## 8. Nimeäminen
 
 Tiedostonimet `.gitea/workflows/`-kansiossa noudattavat yhtenäistä rakennetta, jotta
 tiedostot löytyvät nopeasti ja niiden rooli on selvillä:
 
 ```
-<komponentti>.ci-feature.yml     ← feature-haaran reititin
+<komponentti>.ci-feature.yml                  ← feature-haaran reititin
-<komponentti>.ci-main.yml        ← main-haaran reititin
+<komponentti>.ci-main.yml                     ← main-haaran reititin
-<komponentti>.<testityyppi>.yml  ← yksittäinen testi tai operaatio
+<komponentti>.<testityyppi>.yml               ← yksittäinen testi tai operaatio
-<komponentti>.gitea-env.conf     ← komponenttikohtainen konfiguraatio
+<komponentti>.ci-container-build-<kontti>.yml ← CI-kontin build-workflow
+<komponentti>.gitea-env.conf                  ← komponenttikohtainen konfiguraatio
 ```
 
 Single repossa `<komponentti>` jätetään pois — tiedostot ovat suoraan `ci-feature.yml`,
-`ci-main.yml`, `<testityyppi>.yml`.
+`ci-main.yml`, `<testityyppi>.yml`, `ci-container-build-<kontti>.yml`.
 
 Monorepossa prefiksi pitää komponentin tiedostot yhdessä: `ls <komponentti>.*` löytää kaikki
 kerralla.
 
-## 7. Artifact-kuri
+## 9. Artifact-kuri
 
 Gitea Actionsin `upload-artifact` jättää pysyvän tiedoston. Artifakteja ei käytetä
 workflow_call:ien väliseen datan siirtoon ellei se ole teknisesti välttämätöntä.
@@ -309,7 +531,7 @@ jobs:
   <testit>:
     needs: [load-config, check-version]
     if: needs.check-version.outputs.artifact_exists != 'true'
-    uses: ./.gitea/workflows/<komponentti>.<testi>.yml@main
+    uses: ./.gitea/workflows/<komponentti>.<testi>.yml
     secrets: inherit
     with:
       env_json: ${{ needs.load-config.outputs.env_json }}
@@ -382,8 +604,9 @@ Gitean Settings → Branches → Add Rule:
 
 | Skripti | Käyttötarkoitus |
 |---|---|
-| `report-status.sh` | POSTaa commit-statuksen linkillä |
+| `ci-report.sh` | Yhdistetty raportointi: julkaisee git-pagesiin ja asettaa commit-statuksen. Korvaa erilliset `publish-git-pages.sh` + `report-status.sh` -kutsut. Käyttö: `bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}` |
-| `publish-git-pages.sh` | Julkaisee raporttihakemiston git-pagesiin |
+| `report-status.sh` | POSTaa commit-statuksen linkillä (kutsutaan `ci-report.sh`:n sisältä) |
+| `publish-git-pages.sh` | Julkaisee raporttihakemiston git-pagesiin (kutsutaan `ci-report.sh`:n sisältä) |
 | `ci-validate.sh` | Validoi `.conf`-tiedoston (kutsutaan `config-provider.yml`:stä) |
 
 ---
@@ -405,13 +628,26 @@ Ei kahta eri komentoa samassa workflow'ssa.
 Kaikki provider-viittaukset käyttävät `@v1`-tagia. `@main` on vain providerin oman repon
 sisäiseen dogfood-käyttöön. Breaking changet kielletty — `v1`-rajapinta on pysyvä.
 
+### Paikalliset `uses:` eivät käytä refiä
+
+Gitea act runner v1.0.8 muodostaa paikallisista `uses: ./.gitea/workflows/*.yml@main`-viittauksista
+epävalidin git-refin `main@<sha>`, joka aiheuttaa virheen `Revision invalid : reference must
+be defined once at the beginning`.
+
+Paikallisista `uses:`-direktiiveistä EI koskaan käytetä `@main`- tai muuta ref-päätettä:
+- `uses: ./.gitea/workflows/chart.helm-lint.yml`  ← oikein
+- `uses: ./.gitea/workflows/chart.helm-lint.yml@main` ← väärin
+
+Ilman refiä runner käyttää workflow'ta triggeröivästä commitista. Ulkoisten repojen
+viittauksissa (`niko/...@v1`) pääte pysyy. Nämä resolvoidaan eri reittiä ja toimivat oikein.
+
 ### Exit-koodi on ainoa onnistumisen mittari (ADR 0008)
 
 Ei pipeä (`|`) komennon perässä — se syö exit-koodin. Käytä redirectiä (`> file 2>&1`).
 
 ### Commit-status vain raporttilinkille (ADR 0007)
 
-`report-status.sh`-skriptiä käytetään VAIN kun on raportti linkitettäväksi.
+`ci-report.sh`-skriptiä käytetään VAIN kun on raportti linkitettäväksi.
 Tool-jobit (build, deploy) luottavat Gitean natiiviin job-statukseen.
 
 ### Providerin checkout ei kuulu consumerille

tests/features/step_definitions/common.steps.js

@@ -6,7 +6,7 @@ const PROJECT_ROOT = path.resolve(__dirname, '..', '..', '..');
 const MOCK_SCRIPT = path.join(PROJECT_ROOT, 'tests', 'helpers', 'mock-api.sh');
 
 Before({ tags: '@mock' }, function () {
-  const out = execSync(`bash -c 'source "${MOCK_SCRIPT}" && mock_start && sleep 0.3 && curl -s -o /dev/null -w "%{http_code}" --max-time 3 http://localhost:18080/api/v1/repos/health/check'`, {
+  const out = execSync(`bash -c 'source "${MOCK_SCRIPT}" && mock_start && sleep 1 && curl -s -o /dev/null -w "%{http_code}" --max-time 3 http://localhost:18080/api/v1/repos/health/check'`, {
     cwd: PROJECT_ROOT,
     encoding: 'utf-8',
     stdio: ['pipe', 'pipe', 'pipe'],

tests/helpers/mock-api.sh

@@ -24,6 +24,14 @@ _wait_port_free() {
   done
 }
 
+_wait_port_ready() {
+  local i=0
+  while ! lsof -ti ":$MOCK_PORT" >/dev/null 2>&1 && [ $i -lt 5 ]; do
+    sleep 0.2
+    i=$((i + 1))
+  done
+}
+
 mock_set_sequence() {
   MOCK_SEQUENCE_FILE=$(mktemp)
   echo "$1" | jq -c '.' > "$MOCK_SEQUENCE_FILE"
@@ -55,7 +63,7 @@ mock_start() {
   nohup python3 "$(dirname "${BASH_SOURCE[0]}")/mock-server.py" "$MOCK_PORT" "$MOCK_CONFIG_FILE" "$MOCK_REQUEST_FILE" \
     </dev/null >/dev/null 2>&1 &
   MOCK_PID=$!
-  sleep 0.5
+  _wait_port_ready
 }
 
 mock_stop() {