docker ja helm build context root monorepo ja in folder build (#35 )

Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #35
Fix/ci kontin no internet vaatimus (#34 )
2026-06-21 06:08:22 +03:00 · 2026-06-20 14:36:42 +03:00 · 2026-06-20 10:54:23 +03:00 · 2026-06-19 14:13:14 +03:00 · 2026-06-19 13:13:06 +03:00 · 2026-06-19 10:32:40 +03:00
38 changed files with 1970 additions and 483 deletions
@@ -0,0 +1,20 @@
+.git/
+.gitignore
+node_modules/
+reports/
+coverage/
+.ai/
+.cursor/
+.vscode/
+tmp/
+.DS_Store
+*.md
+docs/
+guides/
+.simplecov
+cucumber.js
+package-lock.json
+package.json
+CURRENT_PROVIDER_VERSION
+README.md
+AGENTS.md
@@ -1,37 +1,29 @@
 #!/usr/bin/env bash
 set -euo pipefail

-WORKSPACE_VOLUME="${1:-}"
-REPORT_DIR="${2:-}"
+REPORT_DIR="${1:-}"
+COVERAGE_DIR="${REPORT_DIR}/coverage"

-[ -n "$WORKSPACE_VOLUME" ] || { echo "ERROR: workspace volume name required" >&2; exit 1; }
 [ -n "$REPORT_DIR" ] || { echo "ERROR: report directory required" >&2; exit 1; }

-HAS_COVERAGE=false
-COVERAGE_SRC=""
-if docker run --rm -v "$WORKSPACE_VOLUME":/data alpine sh -c '[ -d /data/coverage ] && ls -A /data/coverage | grep -q .' 2>/dev/null; then
-  COVERAGE_SRC="/data/coverage"
+if [ -d coverage ]; then
+  mkdir -p "$COVERAGE_DIR"
+  cp -a coverage/. "$COVERAGE_DIR/"
 fi

-if [ -n "$COVERAGE_SRC" ]; then
-  mkdir -p "$REPORT_DIR/coverage"
-  docker run --rm -v "$WORKSPACE_VOLUME":/data alpine tar c -C "$COVERAGE_SRC" . | tar x -C "$REPORT_DIR/coverage"
-  HAS_COVERAGE=true
+if [ -d "$COVERAGE_DIR" ] && [ ! -f "$COVERAGE_DIR/index.html" ]; then
+  SHA8="${GITHUB_SHA:0:8}"
+  {
+    echo '<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+    echo "<title>Coverage report ${SHA8}</title>"
+    echo '<style>body{font-family:sans-serif;margin:2em}h1{color:#1e293b}ul{list-style:none;padding:0}li{margin:.5em 0}a{color:#2563eb}</style>'
+    echo "</head><body><h1>Coverage report <code>${SHA8}</code></h1><ul>"
+    while IFS= read -r -d '' f; do
+      base=$(basename "$f")
+      name="${base%.*}"
+      name="${name//-/ }"
+      echo "<li><a href=\"${base}\">${name^}</a></li>"
+    done < <(find "$COVERAGE_DIR" -maxdepth 1 -type f \( -name '*.html' -o -name '*.txt' \) ! -name index.html -print0 2>/dev/null || true)
+    echo '</ul></body></html>'
+  } > "$COVERAGE_DIR/index.html"
 fi
-
-cat > "$REPORT_DIR/index.html" << EOF
-<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">
-<title>Bats report ${GITHUB_SHA:0:8}</title>
-<style>body{font-family:sans-serif;margin:2em;max-width:960px}
-h1{color:#1e293b}a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}
-</style></head><body>
-<h1>Bats report <code>${GITHUB_SHA:0:8}</code></h1>
-<ul>
-<li><a href="test-report.html">Test results</a></li>
-EOF
-
-if [ "$HAS_COVERAGE" = true ]; then
-  echo '<li><a href="coverage/index.html">Coverage report</a></li>' >> "$REPORT_DIR/index.html"
-fi
-
-echo '</ul></body></html>' >> "$REPORT_DIR/index.html"
@@ -27,54 +27,17 @@ jobs:
      version: ${{ steps.set-outputs.outputs.version }}
    steps:
      - uses: actions/checkout@v4
+      - uses: actions/checkout@v4
+        with:
+          repository: niko/gitea-ci-library
+          path: .ci

      - name: Check existing artifact and calculate version
-        run: |
-          if [ -n "${VERSION_FILE}" ]; then
-            if echo "${VERSION_FILE}" | grep -q '\.json$'; then
-              RAW_VERSION=$(jq -r '.version' "${VERSION_FILE}")
-            else
-              RAW_VERSION=$(cat "${VERSION_FILE}" | tr -d '[:space:]')
-            fi
-          elif [ -f VERSION ]; then
-            RAW_VERSION=$(cat VERSION | tr -d '[:space:]')
-          elif [ -f package.json ]; then
-            RAW_VERSION=$(jq -r '.version' package.json)
-          elif [ -f pom.xml ]; then
-            RAW_VERSION=$(grep -oP '<version>\K[^<]+' pom.xml | head -1)
-          else
-            echo "ERROR: No VERSION file, package.json, or pom.xml found" >&2
-            exit 1
-          fi
-          BASE_VERSION=$(echo "$RAW_VERSION" | cut -d'.' -f1-2)
-          echo "gitea-ci-library - Tunnistettu Major.Minor versio: $BASE_VERSION"
-
-          TAGS_JSON=$(curl -s -f -H "Authorization: token $GITEA_TOKEN" \
-            "${{ gitea.server_url }}/api/v1/repos/${{ gitea.repository }}/tags")
-
-          TAG=$(echo "$TAGS_JSON" | jq -r --arg prefix "${GIT_TAG_PREFIX}" '
-            if type == "array" then
-              .[] | select(.commit.sha == "${{ github.sha }}" and (.name | startswith($prefix))) | .name
-            else empty end' | head -1)
-
-          mkdir -p /tmp/build-ctx
-
-          if [ -n "$TAG" ]; then
-            echo "ARTIFACT_EXISTS=true" > /tmp/build-ctx/build.env
-            echo "NEXT_VERSION=$TAG" >> /tmp/build-ctx/build.env
-            echo "gitea-ci-library - Artefakti löytyi jo tagilla: $TAG."
-          else
-            echo "ARTIFACT_EXISTS=false" > /tmp/build-ctx/build.env
-
-            HIGHEST_PATCH=$(echo "$TAGS_JSON" | jq -r --arg prefix "${GIT_TAG_PREFIX}" --arg bv "${GIT_TAG_PREFIX}${BASE_VERSION}." '
-              if type == "array" then .[] | .name | select(startswith($bv)) | sub($bv; "") | tonumber else empty end' | sort -rn | head -1)
-
-            if [ -z "$HIGHEST_PATCH" ]; then NEXT_PATCH=0; else NEXT_PATCH=$((HIGHEST_PATCH + 1)); fi
-            FULL_VERSION="${BASE_VERSION}.${NEXT_PATCH}"
-
-            echo "NEXT_VERSION=$FULL_VERSION" >> /tmp/build-ctx/build.env
-            echo "gitea-ci-library - Uusi vapaa versio: $FULL_VERSION"
-          fi
+        env:
+          SERVER_URL: ${{ gitea.server_url }}
+          REPO: ${{ github.repository }}
+          SHA: ${{ github.sha }}
+        run: bash .ci/scripts/check-version.sh

      - name: Set job outputs
        id: set-outputs
@@ -33,20 +33,22 @@ jobs:
          DOCKER_USERNAME: ${{ secrets.DOCKER_USERNAME || github.actor }}
          DOCKER_PASSWORD: ${{ secrets.DOCKER_PASSWORD }}
        run: |
-          REGISTRY="${DOCKER_REGISTRY:?DOCKER_REGISTRY not set in conf}"
+          if [ -z "${DOCKER_REGISTRY}" ]; then echo "ERROR: DOCKER_REGISTRY not set in conf"; exit 1; fi
+          REGISTRY="${DOCKER_REGISTRY}"
+          REGISTRY_HOST="${REGISTRY%%/*}"
          DOCKERFILE="${{ inputs.dockerfile_path }}"
          IMAGE_NAME="${{ inputs.image_name }}"
          TAG="${{ inputs.tag }}"

          NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
+          CONTEXT_DIR=$(dirname "${DOCKERFILE}")
          docker build \
            --label "git.commit=${{ github.sha }}" \
            --label "git.commitBy=${{ github.actor }}" \
            --label "build.date=${NOW}" \
            -f "${DOCKERFILE}" \
-            -t "${IMAGE_NAME}:${TAG}" .
-
-          REGISTRY_HOST="${REGISTRY%%/*}"
+            -t "${IMAGE_NAME}:${TAG}" \
+            "${CONTEXT_DIR}"

          FULL_IMAGE="${REGISTRY}/${IMAGE_NAME}:${TAG}"
          echo "Pushing ${FULL_IMAGE} ..."
@@ -45,29 +45,33 @@ jobs:
          DOCKER_USERNAME: ${{ secrets.DOCKER_USERNAME || github.actor }}
          DOCKER_PASSWORD: ${{ secrets.DOCKER_PASSWORD }}
        run: |
+          if [ -z "${DOCKER_REGISTRY}" ]; then echo "ERROR: DOCKER_REGISTRY not set in env.conf"; exit 1; fi
+          if [ -z "${DOCKER_IMAGE_NAME}" ]; then echo "ERROR: DOCKER_IMAGE_NAME not set in env.conf"; exit 1; fi
+          REGISTRY="${DOCKER_REGISTRY}"
+          IMAGE="${DOCKER_IMAGE_NAME}"
+          REGISTRY_HOST="${REGISTRY%%/*}"
+
          NOW=$(date -u +%Y-%m-%dT%H:%M:%SZ)
+          CONTEXT_DIR=$(dirname "${DOCKERFILE}")
          docker build \
            --label "git.commit=${{ github.sha }}" \
            --label "git.commitBy=${{ github.actor }}" \
            --label "build.date=${NOW}" \
            -f "${DOCKERFILE}" \
-            -t "${DOCKER_IMAGE_NAME}:${VERSION}" \
-            -t "${DOCKER_IMAGE_NAME}:latest" .
-
-          REGISTRY="${DOCKER_REGISTRY:?DOCKER_REGISTRY not set in env.conf}"
-          IMAGE="${DOCKER_IMAGE_NAME:?DOCKER_IMAGE_NAME not set in env.conf}"
-          REGISTRY_HOST="${REGISTRY%%/*}"
+            -t "${IMAGE}:${VERSION}" \
+            -t "${IMAGE}:latest" \
+            "${CONTEXT_DIR}"

          FULL_IMAGE="${REGISTRY}/${IMAGE}:${VERSION}"
          echo "Pushing ${FULL_IMAGE} ..."

-          docker tag "${DOCKER_IMAGE_NAME}:${VERSION}" "$FULL_IMAGE"
+          docker tag "${IMAGE}:${VERSION}" "$FULL_IMAGE"
          echo "$DOCKER_PASSWORD" | docker login "$REGISTRY_HOST" -u "$DOCKER_USERNAME" --password-stdin
          docker push "$FULL_IMAGE"

          FULL_LATEST="${REGISTRY}/${IMAGE}:latest"
          echo "Pushing ${FULL_LATEST} ..."
-          docker tag "${DOCKER_IMAGE_NAME}:latest" "$FULL_LATEST"
+          docker tag "${IMAGE}:latest" "$FULL_LATEST"
          docker push "$FULL_LATEST"

          docker logout "$REGISTRY_HOST"
@@ -6,8 +6,9 @@ on:
        required: true
        type: string
      bats-image:
-        required: true
+        required: false
        type: string
+        default: gitea.app.keskikuja.site/niko/ci-bats:git
    secrets:
      GITEA_TOKEN:
        required: true
@@ -23,6 +24,8 @@ env:
 jobs:
  bats:
    runs-on: ubuntu-latest
+    container:
+      image: ${{ inputs.bats-image }}
    steps:
      - uses: actions/checkout@v4
      - uses: actions/checkout@v4
@@ -31,34 +34,18 @@ jobs:
          path: .ci

      - name: Run bats tests
-        id: bats-tests
-        shell: bash
        run: |
-          docker volume create bats-workspace
-          tar c . | docker run --rm -i -v bats-workspace:/data alpine tar x -C /data
-          mkdir -p "reports/${GITHUB_SHA:0:8}/bats"
-          set +e
-          docker run --rm \
-            -v bats-workspace:/data \
-            --entrypoint bash ${{ inputs.bats-image }} \
-            -c 'cd /data && bashcov -- bats tests/' \
-            > "reports/${GITHUB_SHA:0:8}/bats/results.txt" 2>&1
-          BATS_EXIT=$?
-          bash .ci/.gitea/scripts/bats-coverage.sh bats-workspace "reports/${GITHUB_SHA:0:8}/bats"
-          docker volume rm bats-workspace > /dev/null 2>&1
-          bash .ci/.gitea/scripts/bats-report.sh "reports/${GITHUB_SHA:0:8}/bats"
-          echo "BATS_EXIT=${BATS_EXIT}" >> "${GITHUB_ENV}"
-          exit ${BATS_EXIT}
+          mkdir -p reports/bats
+          bashcov -- bats tests/ > reports/bats/results.txt 2>&1

-      - name: Publish bats reports
+      - name: Post-process coverage
        if: always()
-        run: bash .ci/scripts/publish-git-pages.sh bats
+        run: bash .ci/.gitea/scripts/bats-coverage.sh reports/bats

-      - name: Report status
+      - name: Post-process test report
        if: always()
-        run: |
-          if [ "${BATS_EXIT}" = "0" ]; then
-            bash .ci/scripts/report-status.sh success "Link to Bats reports" unit-tests bats
-          else
-            bash .ci/scripts/report-status.sh failure "Link to Bats reports" unit-tests bats
-          fi
+        run: bash .ci/.gitea/scripts/bats-report.sh reports/bats
+
+      - name: Report
+        if: always()
+        run: bash .ci/scripts/ci-report.sh "Bats test report" unit-tests bats ${{ job.status }}
@@ -1,21 +1,41 @@
-name: Build CI Bats Container (Manual)
-on: workflow_dispatch
+name: CI Container Build Bats
+on:
+  workflow_dispatch:
+    inputs:
+      config_path:
+        required: true
+        type: string
+        default: '.gitea/workflows/example-gitea-env.conf'
+        description: 'Polku .gitea-env.conf-tiedostoon'
+      dockerfile_path:
+        required: true
+        type: string
+        default: 'Dockerfile.ci-bats'
+        description: 'Polku Dockerfileen'
+      image_name:
+        required: true
+        type: string
+        default: 'ci-bats'
+        description: 'Kontin nimi ilman registry-polkua'
+      tag:
+        required: true
+        type: string
+        default: 'latest'
+        description: 'Image-tägi'

 jobs:
  load-config:
-    name: Load config
    uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@main
    secrets: inherit
    with:
-      config_path: .gitea/workflows/example-gitea-env.conf
+      config_path: ${{ inputs.config_path }}

  build-push:
-    name: Build & Push
    needs: [load-config]
    uses: niko/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@main
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
-      dockerfile_path: Dockerfile.ci-bats
-      image_name: ci-bats
-      tag: latest
+      dockerfile_path: ${{ inputs.dockerfile_path }}
+      image_name: ${{ inputs.image_name }}
+      tag: ${{ inputs.tag }}
@@ -25,14 +25,14 @@ on:

 jobs:
  load-config:
-    uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@main
    secrets: inherit
    with:
      config_path: ${{ inputs.config_path }}

  build-push:
    needs: [load-config]
-    uses: niko/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@v1
+    uses: niko/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@main
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
@@ -6,8 +6,9 @@ on:
        required: true
        type: string
      cucumber-node-image:
-        required: true
+        required: false
        type: string
+        default: gitea.app.keskikuja.site/niko/ci-cucumber:with-python
    secrets:
      GITEA_TOKEN:
        required: true
@@ -33,36 +34,14 @@ jobs:
          path: .ci

      - name: Run cucumber tests
-        id: cucumber-tests
        shell: bash
        run: |
-          mkdir -p "reports/${GITHUB_SHA:0:8}/cucumber"
-          set +e
+          mkdir -p reports/cucumber
          npx cucumber-js \
-            --format json:"reports/${GITHUB_SHA:0:8}/cucumber/report.json" \
-            --format html:"reports/${GITHUB_SHA:0:8}/cucumber/index.html" 2>&1
-          CUCUMBER_EXIT=$?
-          echo "CUCUMBER_EXIT=${CUCUMBER_EXIT}" >> "${GITHUB_ENV}"
-          exit ${CUCUMBER_EXIT}
+            --format json:reports/cucumber/results.json \
+            --format html:reports/cucumber/test-report.html 2>&1

-      - name: Publish cucumber reports
-        if: always()
-        run: bash .ci/scripts/publish-git-pages.sh cucumber
-
-      - name: Report status
+      - name: Report
        if: always()
        shell: bash
-        run: |
-          if [ "${CUCUMBER_EXIT}" = "0" ]; then
-            if [ -f "reports/${GITHUB_SHA:0:8}/cucumber/index.html" ]; then
-              bash .ci/scripts/report-status.sh success "Link to Cucumber reports" acc-tests cucumber
-            else
-              bash .ci/scripts/report-status.sh success "Link to Cucumber reports" acc-tests
-            fi
-          else
-            if [ -f "reports/${GITHUB_SHA:0:8}/cucumber/index.html" ]; then
-              bash .ci/scripts/report-status.sh failure "Link to Cucumber reports" acc-tests cucumber
-            else
-              bash .ci/scripts/report-status.sh failure "Link to Cucumber reports" acc-tests
-            fi
-          fi
+        run: bash .ci/scripts/ci-report.sh "Cucumber test report" acc-tests cucumber ${{ job.status }}
@@ -20,7 +20,6 @@ jobs:
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
-      bats-image: gitea.app.keskikuja.site/niko/ci-bats:latest

  cucumber:
    name: Cucumber tests
@@ -29,7 +28,6 @@ jobs:
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
-      cucumber-node-image: gitea.app.keskikuja.site/niko/ci-cucumber:latest

  report-summary:
    name: Report Summary
@@ -29,7 +29,6 @@ jobs:
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
-      bats-image: gitea.app.keskikuja.site/niko/ci-bats:latest

  cucumber:
    name: Cucumber tests
@@ -39,7 +38,6 @@ jobs:
    secrets: inherit
    with:
      env_json: ${{ needs.load-config.outputs.env_json }}
-      cucumber-node-image: gitea.app.keskikuja.site/niko/ci-cucumber:latest

  build-push:
    name: Build & Push Docker
@@ -0,0 +1,46 @@
+name: CI Git-Pages Main
+on:
+  push:
+    branches:
+      - main
+    paths:
+      - git-pages/**
+      - .gitea/workflows/helm-build-push.yml
+      - .gitea/workflows/git-pages.*
+  workflow_dispatch:
+
+jobs:
+  load-config:
+    name: Load git-pages.gitea-env.conf to pipeline env
+    uses: niko/gitea-ci-library/.gitea/workflows/config-provider.yml@main
+    secrets: inherit
+    with:
+      config_path: .gitea/workflows/git-pages.gitea-env.conf
+
+  check-version:
+    name: Check existing artifact
+    needs: [load-config]
+    uses: niko/gitea-ci-library/.gitea/workflows/check-version.yml@main
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  helm-push:
+    name: Build & Push Helm chart
+    needs: [load-config, check-version]
+    if: needs.check-version.outputs.artifact_exists != 'true'
+    uses: niko/gitea-ci-library/.gitea/workflows/helm-build-push.yml@main
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      version: ${{ needs.check-version.outputs.version }}
+      chart_path: git-pages
+
+  report-summary:
+    name: Report Summary
+    needs: [load-config, helm-push]
+    if: always()
+    uses: niko/gitea-ci-library/.gitea/workflows/report-summary.yml@main
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      suites: ""
@@ -0,0 +1,5 @@
+GITEA_API_URL=https://gitea.app.keskikuja.site
+HELM_REGISTRY=gitea.app.keskikuja.site/niko
+HELM_UI_URL=https://gitea.app.keskikuja.site/niko/-/packages/container
+GIT_TAG_PREFIX=git-pages/
+VERSION_FILE=git-pages/Chart.yaml
@@ -0,0 +1,101 @@
+name: Helm Build & Push
+on:
+  workflow_call:
+    inputs:
+      env_json:
+        required: true
+        type: string
+      version:
+        required: true
+        type: string
+    secrets:
+      GITEA_TOKEN:
+        required: true
+      HELM_USER:
+        required: false
+      HELM_PASSWORD:
+        required: true
+
+env:
+  GITEA_API_URL: ${{ fromJson(inputs.env_json).GITEA_API_URL }}
+  GITEA_TOKEN: ${{ secrets.GITEA_TOKEN }}
+  HELM_REGISTRY: ${{ fromJson(inputs.env_json).HELM_REGISTRY || '' }}
+  HELM_UI_URL: ${{ fromJson(inputs.env_json).HELM_UI_URL || '' }}
+  GIT_TAG_PREFIX: ${{ fromJson(inputs.env_json).GIT_TAG_PREFIX || '' }}
+  CHART_FILE: ${{ fromJson(inputs.env_json).VERSION_FILE || 'Chart.yaml' }}
+  VERSION: ${{ inputs.version }}
+
+concurrency:
+  group: ${{ github.workflow }}-${{ github.ref }}
+  cancel-in-progress: true
+
+jobs:
+  build-push:
+    runs-on: ubuntu-latest
+    container:
+      image: alpine/helm:3.19.0
+    steps:
+      - name: Install Node.js for actions/checkout
+        # COMPROMISE: Requires internet access.
+        # Does NOT work in air-gapped environments.
+        # Replace with a custom image (e.g., extending alpine/helm + nodejs) if needed.
+        run: apk add --no-cache nodejs
+
+      - uses: actions/checkout@v4
+      - uses: actions/checkout@v4
+        with:
+          repository: niko/gitea-ci-library
+          path: .ci
+
+      - name: Package Helm chart
+        run: |
+          CHART_DIR=$(dirname "${CHART_FILE}")
+          helm dependency update "${CHART_DIR}"
+          helm package "${CHART_DIR}" \
+            --version "${VERSION}" \
+            --app-version "${VERSION}" \
+            --destination /tmp/helm-packages
+
+      - name: Push to OCI registry
+        env:
+          HELM_USER: ${{ secrets.HELM_USER || github.actor }}
+          HELM_PASSWORD: ${{ secrets.HELM_PASSWORD }}
+        run: |
+          REGISTRY="${HELM_REGISTRY:?HELM_REGISTRY not set in env.conf}"
+          echo "$HELM_PASSWORD" | helm registry login "${REGISTRY}" \
+            -u "$HELM_USER" \
+            --password-stdin
+          helm push /tmp/helm-packages/*.tgz "oci://${REGISTRY}"
+          helm registry logout "${REGISTRY}"
+
+      - name: Report status with UI link
+        if: success() && env.HELM_UI_URL != ''
+        run: |
+          CHART_NAME=$(grep '^name:' "${CHART_FILE}" | awk '{print $2}')
+          UI_URL="${HELM_UI_URL}/${CHART_NAME}/${VERSION}"
+          bash .ci/scripts/report-status.sh success "Helm chart ${VERSION}" ci-helm-build-push "" "$UI_URL"
+
+  tag-commit:
+    runs-on: ubuntu-latest
+    needs: [build-push]
+    steps:
+      - uses: actions/checkout@v4
+
+      - name: Create git tag
+        env:
+          GITEA_TOKEN: ${{ secrets.GITEA_TOKEN }}
+          SERVER_URL: ${{ gitea.server_url }}
+          RUN_NUMBER: ${{ github.run_number }}
+          SHA: ${{ github.sha }}
+        run: |
+          HTTP_CODE=$(curl -s -o /dev/null -w "%{http_code}" -X POST \
+            "$SERVER_URL/api/v1/repos/${{ github.repository }}/tags" \
+            -H "Authorization: token $GITEA_TOKEN" \
+            -H "Content-Type: application/json" \
+            -d "{\"tag_name\": \"${GIT_TAG_PREFIX}${VERSION}\", \"message\": \"Build #$RUN_NUMBER\", \"target\": \"$SHA\"}")
+
+          if [ "$HTTP_CODE" = "201" ] || [ "$HTTP_CODE" = "409" ]; then
+            exit 0
+          else
+            exit 1
+          fi
@@ -1,3 +1,3 @@
-FROM bats/bats:latest
-RUN apk add --no-cache lsof python3 jq curl ruby && \
+FROM bats/bats:1.11.0
+RUN apk add --no-cache lsof python3 jq curl ruby nodejs git && \
    gem install bashcov -v 3.3.0
@@ -1,6 +1,6 @@
 FROM node:22
 RUN apt-get update -qq && \
-    apt-get install -y -qq --no-install-recommends lsof jq && \
+    apt-get install -y -qq --no-install-recommends lsof jq python3 && \
    apt-get clean && \
    rm -rf /var/lib/apt/lists/* && \
    npm install -g @cucumber/cucumber
@@ -123,8 +123,8 @@ Hae token Giteasta:

 ```bash
 GITEA_URL="https://<gitea-server-url>"
-GITEA_ACTIONS_TOKEN="<registration-token>"
 GITEA_ACTIONS_NAMESPACE="gitea-actions"
+GITEA_ACTIONS_TOKEN="<registration-token>"
 ```

 ### 3. Tee secret vain init install yhteydessä
@@ -158,6 +158,7 @@ helm upgrade --install act-runner gitea/actions \
  --set giteaRootURL="$GITEA_URL" \
  --set existingSecret=act-runner-token \
  --set existingSecretKey=token \
+  --set statefulset.replicas=3 \
  --set statefulset.runner.tag=1.0.8 \
  --set statefulset.dind.tag=29.5.2-dind \
  --set-string 'statefulset.runner.config=log:
@@ -1,6 +1,6 @@
 # AI Context: Gitea Actions CI -kirjasto

-**Updated**: 2026-06-15 (siivottu, provider/consumer-erottelu valmis)
+**Updated**: 2026-06-19 (provider/consumer dual role, Project Skills -aktivointi)

 ## Project Overview
 Gitea Actions reusable workflow -kirjasto mikropalveluiden build-, testaus-,
@@ -11,8 +11,8 @@ käyttävät kirjastoa `uses:`-direktiivillä.
 ## Monorepo: kaksi erillistä kokonaisuutta

 ### 1. Juuri (`gitea-ci-library`)
-Provider-kirjasto: reusable workflowt, scriptit, ADRt, dokumentaatio.
-Consumer kutsuu provider-workflowta `uses:`-direktiivillä.
+Provider- ja consumer-kirjasto: reusable workflowt, scriptit, ADRt, dokumentaatio,
+ja consumer-esimerkit (dogfood). Consumer kutsuu provider-workflowta `uses:`-direktiivillä.

 ### 2. `git-pages/` — oma kokonaisuus
 Helm-chartti Codeberg git-pagesille. Täysin itsenäinen — oma dokumentaatio,
@@ -31,13 +31,13 @@ kuuluu `git-pages/docs/`-alle, ei juuren `docs/`-kansioon.
 | `scripts/` | Provider-skriptit: `report-status.sh`, `publish-git-pages.sh`, `ci-validate.sh` |
 | `.gitea/scripts/` | **Consumer-skriptit**: `bats-coverage.sh`, `bats-report.sh` |
 | `docs/` | Arkkitehtuuri, ADRt (0004–0008) |
-| `skills/consumer-pipelines/` | Consumer-pipeline-standardit — AI:n pakottavat säännöt consumer-CI:lle |
-| `skills/ci-container-build/` | CI-kontin build-workflow'n template — `ci-container-build-push.yml` |
+| `skills/consumer-pipelines/` | Consumer-pipeline-standardit (ks. Project Skills). Koskee vain consumer-puolta |
+| `skills/ci-container-build/` | CI-kontin build-workflow'n template (ks. Project Skills) |
 | `docs/adr/` | Architecture Decision Records |
 | `git-pages/` | Raporttien hostaus (Helm-chartti) |
 | `tests/` | Bats-testit skripteille |

-### Provider workflowt (5 kpl)
+### Provider workflowt (6 kpl)

 | Workflow | Input | Output | Kuvaus |
 |---|---|---|---|
@@ -46,6 +46,7 @@ kuuluu `git-pages/docs/`-alle, ei juuren `docs/`-kansioon.
 | `docker-build-push.yml` | `env_json`, `version` | — | Buildaa Docker-imagen, puskea rekisteriin, tagittaa commitin. |
 | `ci-container-build-push.yml` | `env_json`, `dockerfile_path`, `image_name`, `tag` | — | Buildaa CI-työkalukontin, puskea rekisteriin. Ei versiointia eikä git-tägäystä. |
 | `report-summary.yml` | `env_json`, `suites` | — | Generoi `GITHUB_STEP_SUMMARY`-taulukon raporttilinkeillä (Gitea 1.27+) |
+| `helm-build-push.yml` | `env_json`, `version` | — | Pakkaa + puskea Helm chartin OCI-registryyn, tagittaa commitin. **Tekninen velka:** asentaa node.js:n runtime-vaiheessa (`apk add --no-cache nodejs` ennen checkouttia) koska `alpine/helm`-kontissa ei ole nodea. Rikkoo Offline Container -periaatetta. Ratkaistaan myöhemmin: proper multi-tool CI-kontti (helm + nodejs + git) docker hubiin. Ei consumerin ongelma. |

 ### Example-tiedostot (consumer-referenssi)

@@ -57,9 +58,28 @@ kuuluu `git-pages/docs/`-alle, ei juuren `docs/`-kansioon.
 | `example-cucumber-tests.yml` | workflow_call | Hyväksymätestit Cucumberilla, raportit git-pagesiin, status linkillä |
 | `example-gitea-env.conf` | — | KEY=VALUE config tälle repolle |

+## Provider & Consumer Dual Role
+
+Tämä repo on **yhtä aikaa sekä provider että consumer**. Eri puolilla on eri säännöt:
+
+- **Provider-puoli**: `.gitea/workflows/*.yml` (pl. `example-*`), `scripts/` — reusable workflowt joita muut projektit kutsuvat. Saa käyttää `docker run` -komentoja (esim. `docker-build-push.yml`). Consumer-pipeline-standardit (`skills/consumer-pipelines/`) eivät koske provideria.
+- **Consumer-puoli**: `.gitea/workflows/example-*`, `.gitea/scripts/` — tämän repon oma CI (dogfood), toimii consumer-esimerkkinä. Käyttää `@main`-refiä provider-viittauksissa (sama repo). Noudattaa `skills/consumer-pipelines/`-sääntöjä.
+- **Ulkoiset consumerit** käyttävät `@v1`-tagia provider-viittauksissa.
+
+## Project Skills (skills/)
+
+Tämä projekti sisältää omia `.ai/skills/`-järjestelmästä riippumattomia skillejä `skills/`-kansiossa. Jokainen alihakemisto sisältää `SKILL.md`:n jossa on `activation-gate`-kenttä.
+
+**Sääntö:** Uuden tehtävän alussa skannaa `skills/*/SKILL.md` ja arvioi jokaisen `activation-gate` annettua tehtävää vasten. Jos gate matchaa, lataa skill aktiiviseksi ohjeeksi ennen toimenpiteitä.
+
+| Skill | Gate | Kuvaus |
+|---|---|---|
+| `skills/consumer-pipelines/` | Consumer-pipeline-muutokset | Consumer-pipeline-standardit: reitittimen puhtaus, exit-koodi, konttipolitiikka, raportointi, nimeäminen. Koskee vain consumer-puolta. |
+| `skills/ci-container-build/` | CI-kontin build | CI-kontin build-workflown template ja Dockerfile-ohjeet |
+
 ## Key Technical Decisions

- **Provider & Consumer -malli**: `example-*`-tiedostot ovat consumer-esimerkkejä, provider-workflowt reusableja. ADR 0005.
+- **Provider & Consumer -malli**: Tämä repo on sekä provider että consumer. Provider-workflowt reusableja muille, `example-*`-tiedostot tämän repon oma consumer-CI (dogfood). ADR 0005.
 - **Vain Gitea, vain reusable workflowt**: ei custom actioneita, ei multi-platform
 - **Commit-status API vain raporttilinkeille**: Tool-jobit luottavat natiiviin. Test-jobit käyttävät API:a koska se on ainoa tapa upottaa raporttilinkki. ADR 0004, 0007.
 - **Exit-koodi on ainoa onnistumisen mittari**: Ei pipeä, ei tiedostoheuristiikkaa. ADR 0008.
@@ -38,4 +38,4 @@ suoraan Gitea UI:ssa.
 | **Multi-Git-platform** | Vain Gitea — yksi alusta kunnolla (periaate 10) |
 | **Custom actionit** | Reusable workflow on kevyempi ja natiivimpi (periaate 2) |
 | **Ulkoinen orkestraattori** | Gitean `needs` + `if` hoitaa ohjauksen |
-| **Artifactory/Nexus** | Gitea Packages riittää MVP:ssä |
+| **Artifactory/Nexus** | Build & push toimii Docker-standardilla. UI-tason linkitys (`report-summary`) vaatii Nexus/Artifactory-spesifin URL-rakenteen — ei vielä toteutettu, toteutetaan tarvittaessa |
@@ -63,15 +63,77 @@ checkout → laske versio package.json + git-tageista → output

 **Trigger:** `workflow_call`

-**Inputs:** `env_json`, `version`
+**Inputs:**
+
+| Parametri | Pakollinen | Kuvaus |
+|-----------|------------|--------|
+| `env_json` | Kyllä | Konffi `gitea-env.conf`:stä |
+| `version` | Kyllä | Version string (check-version output) |
+
+**`env_json`-avaimet:**
+
+| Avain | Pakollinen | Kuvaus |
+|-------|------------|--------|
+| `DOCKER_REGISTRY` | Kyllä | Registry (esim. `gitea.app.keskikuja.site/niko`) |
+| `DOCKER_IMAGE_NAME` | Kyllä | Kuvan nimi ilman registry-polkua |
+| `DOCKER_UI_URL` | Ei | Registry UI -linkki raportointia varten |
+| `DOCKERFILE` | Ei | Dockerfile-polku, oletus `Dockerfile` |
+| `GITEA_API_URL` | Kyllä | Gitean API-URL |
+| `GIT_TAG_PREFIX` | Ei | Tag-prefix (esim. `docker/`) |

 **Secrets:** `GITEA_TOKEN`, `DOCKER_USERNAME`, `DOCKER_PASSWORD`

 **Steppi-kaavio:**
 ```
-build-push (build + push samassa jobissa, ei levyn kautta) → tag-commit
+build-push (build + push, labelit: commit+date) → tag-commit (git-tagin luonti)
 ```

+**Huomio:** Ei käytä `container:`-direktiiviä — ajaa suoraan runnerilla,
+joten `actions/checkout` toimii ilman node-asennuksia.
+
+---
+
+### `helm-build-push.yml` — Helm chart build & push
+
+**Trigger:** `workflow_call`
+
+**Inputs:**
+
+| Parametri | Pakollinen | Kuvaus |
+|-----------|------------|--------|
+| `env_json` | Kyllä | Konffi `gitea-env.conf`:stä |
+| `version` | Kyllä | Version string (check-version output) |
+| `chart_path` | Ei | Polku Chart.yaml-hakemistoon, oletus `.` |
+
+**`env_json`-avaimet:**
+
+| Avain | Pakollinen | Kuvaus |
+|-------|------------|--------|
+| `HELM_REGISTRY` | Kyllä | OCI-registry (esim. `gitea.app.keskikuja.site/niko`) |
+| `HELM_UI_URL` | Ei | Registry UI -linkki raportointia varten |
+| `GITEA_API_URL` | Kyllä | Gitean API-URL |
+| `GIT_TAG_PREFIX` | Ei | Tag-prefix (esim. `helm/`) |
+
+**Secrets:** `GITEA_TOKEN`, `HELM_USER`, `HELM_PASSWORD`
+
+**Steppi-kaavio:**
+```
+build-push (helm package → helm push OCI) → tag-commit (git-tagin luonti)
+```
+
+**Steppien kuvaus `build-push`-jobissa:**
+1. **Node.js-asennus** — `apk add --no-cache nodejs` (vaaditaan `actions/checkout`-actionia varten)
+2. **Checkout** — sovellusrepo ja gitea-ci-library `.ci/`-polkuun
+3. **Package** — `helm package` versiolla `$VERSION`
+4. **Push OCI** — `helm push` registryyn autentikoinnilla
+5. **Report status** — commit-status + UI-linkki
+
+**Kompromissi:** Kontti `alpine/helm` ei sisällä node.js:ää, mutta
+`actions/checkout@v4` on JavaScript-action ja vaatii sen. Siksi nodejs
+asennetaan lennossa ennen checkouttia. Tämä vaatii internet-yhteyden
+eikä toimi air gap -ympäristössä. Korvaa tarvittaessa custom-kontilla
+(jossa helm + nodejs, ks. `skills/ci-container-build/SKILL.md`).
+
 ---

 ## Consumer-esimerkki (`example-*`)
@@ -0,0 +1,113 @@
+# Helm Registry Setup (OCI)
+
+Pipeline paketoi Helm chartin OCI-artefaktiksi ja pushee sen OCI-rekisteriin.
+
+---
+
+## 1. Konfiguroi `gitea-env.conf`
+
+```
+# HELM_REGISTRY on muotoa:  registry.example.com/org
+#
+#   host+org:              registry.example.com/org
+#
+# Pipeline rakentaa OCI-refin:  oci://${HELM_REGISTRY}/<chart-name>:${VERSION}
+# (chart-name tulee Chart.yaml:n name-kentästä)
+
+HELM_REGISTRY=gitea.app.keskikuja.site/niko                     # PAKOLLINEN — tyhjä ei käy
+HELM_UI_URL=                                                    # valinnainen — tarkista Giteasta kontin oma UI-osoite, workflow liittää perään /chart-name/VERSION
+GIT_TAG_PREFIX=git-pages/                                        # valinnainen — monorepo-tägäys
+VERSION_FILE=git-pages/Chart.yaml                                # valinnainen — jos Chart.yaml ei rootissa
+```
+
+| Kenttä | Pakollinen | Kuvaus |
+|---|---|---|
+| `HELM_REGISTRY` | **kyllä** | Registry host + owner (esim. `gitea.app.site/niko`). **Tyhjä pysäyttää workflow'n.** |
+| `HELM_UI_URL` | ei | Base-URL OCI-paketin UI-sivulle (ilman chart-nimeä ja versiota). Osoite riippuu onko paketti linkitetty repoon vai ei — tarkista Giteasta. Workflow liittää perään `/chart-name/VERSION`. Jos tyhjä, commit-statusia ei erikseen aseteta. |
+| `GIT_TAG_PREFIX` | ei | Etuliite git-tägille. Pakollinen monorepossa, jotta tagit eivät sekoitu muihin komponentteihin. |
+| `VERSION_FILE` | ei | Polku version lähteeseen (Chart.yaml, package.json, VERSION). Oletus: juuren `Chart.yaml`. |
+
+**OCI-ref = `oci://${HELM_REGISTRY}/<chart-name>:${VERSION}`**
+Esim. `oci://gitea.app.keskikuja.site/niko/git-pages:1.2.3`
+
+Chartin nimi (`<chart-name>`) määräytyy `Chart.yaml`-tiedoston `name`-kentästä.
+
+---
+
+## 2. Luo PAT (Personal Access Token) Giteassa
+
+**Gitea → oma profiili (oikea yläkulma) → Settings → Applications → Manage Access Tokens → Generate New Token**
+
+Valitse scope:
+
+| Scope | Pääsy |
+|---|---|
+| `package` | **Read and Write** |
+
+> Tämä token toimii salasanana `helm registry login` -komennossa. Muut scopet (kuten `repository`) eivät riitä — konttirekisteri vaatii nimenomaan `package`-scopen.
+
+Tokenin arvo näytetään **vain kerran** luomisen yhteydessä. Kopioi se talteen.
+
+---
+
+## 3. Tallenna PAT repositoryn Secretsiin
+
+Nämä ovat kaksi eri paikkaa:
+- **Access Tokenit** (User Settings) = missä luot tokenin
+- **Repository Secrets** (Repository Settings) = minne talletat sen workflow'n käyttöön
+
+**Repository → Settings → Actions → Secrets → Add new secret**
+
+| Secret | Arvo |
+|---|---|
+| `HELM_PASSWORD` | Edellisessä vaiheessa luotu PAT |
+
+`HELM_USER`-secretiä **ei tarvita**. Workflow käyttää automaattisesti `${{ github.actor }}` (workflowin käynnistäjä).
+
+Jos registry vaatii eri käyttäjätunnuksen kuin `github.actor` (esim. Harbor, Artifactory), lisää myös:
+
+| Secret | Arvo |
+|---|---|
+| `HELM_USER` | Registryn käyttäjätunnus |
+
+---
+
+## 4. Tarkistuslista ennen ajoa
+
+- [ ] `HELM_REGISTRY` asetettu `gitea-env.conf`issa
+- [ ] (tarvittaessa) `HELM_UI_URL` asetettu — ilman tätä commit-statusia ei erikseen aseteta
+- [ ] PAT luotu Giteassa scopella `package` Read and Write
+- [ ] `HELM_PASSWORD`-secret tallennettu repositoryn Secretsiin (se PAT)
+- [ ] (tarvittaessa) `HELM_USER`-secret — oletus `github.actor`
+
+---
+
+## 5. Esimerkkejä eri polkurakenteista
+
+### 5a. Hosti + org — Gitea user-taso
+
+```
+HELM_REGISTRY=gitea.app.keskikuja.site/niko
+```
+
+- OCI-ref: `oci://gitea.app.keskikuja.site/niko/git-pages:1.2.3`
+- Paketti käyttäjän `niko` alla. Linkitys repoon tehdään Gitean UI:sta: paketin sivulta (Package → Settings) → linkitä repositoryyn.
+- `HELM_PASSWORD` = Gitea PAT scopella `package`
+
+### 5b. Hosti + org — Harbor
+
+```
+HELM_REGISTRY=harbor.example.com/projekti
+```
+
+- `HELM_USER` = Harbor-käyttäjä
+- `HELM_PASSWORD` = Harbor-token
+
+### 5c. Artifactory
+
+```
+HELM_REGISTRY=artifactory.example.com/helm-local
+```
+
+- `HELM_USER` = service account
+- `HELM_PASSWORD` = API-token
@@ -0,0 +1,60 @@
+#!/usr/bin/env bash
+set -e
+
+RAW_VERSION=""
+
+if [ -n "${VERSION_FILE-}" ] && [ -f "${VERSION_FILE-}" ]; then
+  RAW_VERSION=$(tr -d "$(printf '\xef\xbb\xbf')" < "${VERSION_FILE}" | sed -n 's/^version:[[:space:]]*\([^[:space:]]*\).*/\1/p')
+  if [ -z "${RAW_VERSION}" ]; then
+    if echo "${VERSION_FILE}" | grep -q -E '\.json$'; then
+      RAW_VERSION=$(jq -r '.version' "${VERSION_FILE}")
+    else
+      RAW_VERSION=$(cat "${VERSION_FILE}" | tr -d '[:space:]')
+    fi
+  fi
+fi
+
+if [ -z "${RAW_VERSION}" ]; then
+  if [ -f VERSION ]; then
+    RAW_VERSION=$(cat VERSION | tr -d '[:space:]')
+  elif [ -f package.json ]; then
+    RAW_VERSION=$(jq -r '.version' package.json)
+  elif [ -f pom.xml ]; then
+    RAW_VERSION=$(grep -oP '<version>\K[^<]+' pom.xml | head -1)
+  elif [ -f Chart.yaml ]; then
+    RAW_VERSION=$(tr -d "$(printf '\xef\xbb\xbf')" < Chart.yaml | sed -n 's/^version:[[:space:]]*\([^[:space:]]*\).*/\1/p')
+  else
+    echo "ERROR: No version source found (VERSION_FILE, VERSION, package.json, pom.xml, Chart.yaml)" >&2
+    exit 1
+  fi
+fi
+
+BASE_VERSION=$(echo "$RAW_VERSION" | cut -d'.' -f1-2)
+echo "gitea-ci-library - Tunnistettu Major.Minor versio: $BASE_VERSION"
+
+TAGS_JSON=$(curl -s -f -H "Authorization: token ${GITEA_TOKEN}" \
+  "${SERVER_URL}/api/v1/repos/${REPO}/tags")
+
+TAG=$(echo "$TAGS_JSON" | jq -r --arg prefix "${GIT_TAG_PREFIX-}" --arg sha "${SHA}" '
+  if type == "array" then
+    .[] | select(.commit.sha == $sha and (.name | startswith($prefix))) | .name
+  else empty end' | head -1)
+
+mkdir -p /tmp/build-ctx
+
+if [ -n "$TAG" ]; then
+  echo "ARTIFACT_EXISTS=true" > /tmp/build-ctx/build.env
+  echo "NEXT_VERSION=$TAG" >> /tmp/build-ctx/build.env
+  echo "gitea-ci-library - Artefakti löytyi jo tagilla: $TAG."
+else
+  echo "ARTIFACT_EXISTS=false" > /tmp/build-ctx/build.env
+
+  HIGHEST_PATCH=$(echo "$TAGS_JSON" | jq -r --arg prefix "${GIT_TAG_PREFIX-}" --arg bv "${GIT_TAG_PREFIX-}${BASE_VERSION}." '
+    if type == "array" then .[] | .name | select(startswith($bv)) | sub($bv; "") | tonumber else empty end' | sort -rn | head -1)
+
+  if [ -z "$HIGHEST_PATCH" ]; then NEXT_PATCH=0; else NEXT_PATCH=$((HIGHEST_PATCH + 1)); fi
+  FULL_VERSION="${BASE_VERSION}.${NEXT_PATCH}"
+
+  echo "NEXT_VERSION=$FULL_VERSION" >> /tmp/build-ctx/build.env
+  echo "gitea-ci-library - Uusi vapaa versio: $FULL_VERSION"
+fi
@@ -0,0 +1,110 @@
+#!/usr/bin/env sh
+set -eu
+
+DESCRIPTION="${1:-}"
+CONTEXT="${2:-}"
+SUITE="${3:-}"
+STATUS="${4:-success}"
+
+[ -n "$DESCRIPTION" ] || { echo "ERROR: description argument required" >&2; exit 1; }
+[ -n "$CONTEXT" ] || { echo "ERROR: context argument required" >&2; exit 1; }
+[ -n "$SUITE" ] || { echo "ERROR: suite argument required" >&2; exit 1; }
+
+REPORT_DIR="reports/${SUITE}"
+
+if [ ! -d "$REPORT_DIR" ]; then
+  echo "ERROR: $REPORT_DIR not found" >&2
+  sh .ci/scripts/report-status.sh failure "$DESCRIPTION" "$CONTEXT"
+  exit 1
+fi
+
+FILE_COUNT=0
+SUBDIR_COUNT=0
+ENTRIES=""
+
+for f in "$REPORT_DIR"/*; do
+  [ -f "$f" ] || continue
+  base=$(basename "$f")
+  [ "$base" = "index.html" ] && continue
+  FILE_COUNT=$((FILE_COUNT + 1))
+  ENTRIES="${ENTRIES}file:${base}
+"
+done
+
+for d in "$REPORT_DIR"/*/; do
+  [ -d "$d" ] || continue
+  base=$(basename "$d")
+  [ -f "$d/index.html" ] || continue
+  SUBDIR_COUNT=$((SUBDIR_COUNT + 1))
+  ENTRIES="${ENTRIES}dir:${base}
+"
+done
+
+TOTAL=$((FILE_COUNT + SUBDIR_COUNT))
+
+if [ "$TOTAL" -eq 0 ]; then
+  echo "ERROR: no reportable items in $REPORT_DIR" >&2
+  sh .ci/scripts/report-status.sh failure "$DESCRIPTION" "$CONTEXT"
+  exit 1
+fi
+
+SHA8=$(echo "${GITHUB_SHA:-xxxxxxxx}" | cut -c1-8)
+
+humanize() {
+  name="$1"
+  name=$(echo "$name" | sed -e 's/\.[^.]*$//' -e 's/[-_]/ /g')
+  first=$(echo "$name" | cut -c1 | tr '[:lower:]' '[:upper:]')
+  rest=$(echo "$name" | cut -c2-)
+  echo "${first}${rest}"
+}
+
+generate_index() {
+  {
+    echo '<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+    echo "<title>$DESCRIPTION</title>"
+    echo '<style>body{font-family:sans-serif;margin:2em;max-width:960px}h1{color:#1e293b}ul{list-style:none;padding:0}li{margin:.5em 0;padding:.5em;background:#f8fafc;border-radius:6px}a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}</style>'
+    echo "</head><body><h1>$DESCRIPTION</h1><ul>"
+
+    echo "$ENTRIES" | while IFS= read -r entry; do
+      [ -z "$entry" ] && continue
+      entry_type=$(echo "$entry" | cut -d: -f1)
+      entry_name=$(echo "$entry" | cut -d: -f2-)
+      if [ "$entry_type" = "file" ]; then
+        echo "<li><a href=\"$entry_name\">$(humanize "$entry_name")</a></li>"
+      else
+        cap=$(echo "$entry_name" | sed 's/\(.\).*/\1/' | tr '[:lower:]' '[:upper:]')$(echo "$entry_name" | sed 's/.//')
+        echo "<li><a href=\"$entry_name/index.html\">${cap}</a></li>"
+      fi
+    done
+
+    echo '</ul></body></html>'
+  } > "$REPORT_DIR/index.html"
+}
+
+STAGED="reports/${SHA8}/${SUITE}"
+mkdir -p "$STAGED"
+
+if [ "$TOTAL" -eq 1 ]; then
+  cp -a "$REPORT_DIR/." "$STAGED/"
+  sh .ci/scripts/publish-git-pages.sh "$SUITE"
+
+  first_entry=$(echo "$ENTRIES" | head -1)
+  first_type=$(echo "$first_entry" | cut -d: -f1)
+  first_name=$(echo "$first_entry" | cut -d: -f2-)
+
+  if [ "$first_type" = "file" ]; then
+    SINGLE_ENTRY="$first_name"
+  else
+    SINGLE_ENTRY="${first_name}/index.html"
+  fi
+
+  URL="${GIT_PAGES_URL}/${GITHUB_REPOSITORY}/reports/${SHA8}/${SUITE}/${SINGLE_ENTRY}"
+  sh .ci/scripts/report-status.sh "$STATUS" "$DESCRIPTION" "$CONTEXT" "" "$URL"
+else
+  generate_index
+  cp -a "$REPORT_DIR/." "$STAGED/"
+  sh .ci/scripts/publish-git-pages.sh "$SUITE"
+  sh .ci/scripts/report-status.sh "$STATUS" "$DESCRIPTION" "$CONTEXT" "$SUITE"
+fi
+
+rm -rf "$STAGED"
@@ -1,5 +1,5 @@
-#!/usr/bin/env bash
-set -euo pipefail
+#!/usr/bin/env sh
+set -eu

 SUITE_PATH="${1:-}"

@@ -12,7 +12,7 @@ SUITE_PATH="${1:-}"

 OWNER="${GITHUB_REPOSITORY%%/*}"
 REPO="${GITHUB_REPOSITORY##*/}"
-SHA8="${GITHUB_SHA:0:8}"
+SHA8=$(echo "$GITHUB_SHA" | cut -c1-8)
 PAGES_USER="${GIT_PAGES_PUBLISH_USER:-publish}"
 REPORT_DIR="reports/${SHA8}/${SUITE_PATH%/}"
 REPORT_BASE="${GIT_PAGES_URL}/${OWNER}/${REPO}/reports/${SHA8}"
@@ -33,13 +33,66 @@ else
 fi
 mkdir -p "$TARGET"
 cp -a "$REPORT_DIR/." "$TARGET/"
-cat > "$WORK/${OWNER}/${REPO}/reports/${SHA8}/.meta" <<EOF
+
+if [ ! -f "$TARGET/index.html" ]; then
+  ITEM_LIST=""
+  ITEM_COUNT=0
+
+  for f in "$TARGET"/*; do
+    [ -f "$f" ] || continue
+    base=$(basename "$f")
+    [ "$base" = "index.html" ] && continue
+    ITEM_LIST="${ITEM_LIST}file:${base}
+"
+    ITEM_COUNT=$((ITEM_COUNT + 1))
+  done
+
+  for d in "$TARGET"/*/; do
+    [ -d "$d" ] || continue
+    base=$(basename "$d")
+    [ -f "$d/index.html" ] || continue
+    ITEM_LIST="${ITEM_LIST}dir:${base}
+"
+    ITEM_COUNT=$((ITEM_COUNT + 1))
+  done
+
+  if [ "$ITEM_COUNT" -gt 1 ]; then
+    {
+      echo '<!DOCTYPE html><html lang="en"><head><meta charset="utf-8">'
+      echo "<title>Test report ${SHA8}</title>"
+      echo '<style>body{font-family:sans-serif;margin:2em;max-width:960px}'
+      echo 'h1{color:#1e293b}ul{list-style:none;padding:0}'
+      echo 'li{margin:.5em 0;padding:.5em;background:#f8fafc;border-radius:6px}'
+      echo 'a{color:#2563eb;text-decoration:none}a:hover{text-decoration:underline}'
+      echo '</style></head><body>'
+      echo "<h1>Test report <code>${SHA8}</code></h1><ul>"
+
+      echo "$ITEM_LIST" | while IFS= read -r item; do
+        [ -z "$item" ] && continue
+        item_type=$(echo "$item" | cut -d: -f1)
+        item_name=$(echo "$item" | cut -d: -f2-)
+        label=$(echo "$item_name" | sed -e 's/\.[^.]*$//' -e 's/[-_]/ /g')
+        first=$(echo "$label" | cut -c1 | tr '[:lower:]' '[:upper:]')
+        rest=$(echo "$label" | cut -c2-)
+        if [ "$item_type" = "file" ]; then
+          echo "<li><a href=\"$item_name\">${first}${rest}</a></li>"
+        else
+          echo "<li><a href=\"$item_name/index.html\">${first}${rest}</a></li>"
+        fi
+      done
+
+      echo '</ul></body></html>'
+    } > "$TARGET/index.html"
+  fi
+fi
+
+cat > "$TARGET/.meta" <<EOF
 {"branch":"${GITHUB_REF_NAME:-}","sha":"${GITHUB_SHA}","published_at":"$(date -u +%Y-%m-%dT%H:%M:%SZ)"}
 EOF
 find "$WORK/$OWNER" \( -type f -o -type l \) -print | sed "s|^${WORK}/||" | tar -cf "$TAR" -C "$WORK" -T -

 publish() {
-  local method="$1"
+  method="$1"
  curl -sS -X "$method" "$PUBLISH_SITE_URL" \
    -u "${PAGES_USER}:${GIT_PAGES_PUBLISH_TOKEN}" \
    -H "Content-Type: application/x-tar" \
@@ -1,11 +1,10 @@
-#!/usr/bin/env bash
-set -euo pipefail
-
-# https://docs.gitea.com/api/next/#tag/repository/operation/repoCreateStatus
+#!/usr/bin/env sh
+set -eu

 STATE="${1:-}"
 DESCRIPTION="${2:-}"
-KEY="${3:-commit-${GITHUB_SHA:0:8}}"
+SHA8=$(echo "${GITHUB_SHA:-}" | cut -c1-8)
+KEY="${3:-commit-${SHA8}}"
 SUITE="${4:-}"
 CUSTOM_URL="${5:-}"

@@ -18,7 +17,8 @@ if [ -n "$CUSTOM_URL" ]; then
  URL="$CUSTOM_URL"
 elif [ -n "$SUITE" ]; then
  SUITE="${SUITE%/}/"
-  URL="${GIT_PAGES_URL}/${GITHUB_REPOSITORY}/reports/${GITHUB_SHA:0:8}/${SUITE}"
+  SHA8_CUT=$(echo "$GITHUB_SHA" | cut -c1-8)
+  URL="${GIT_PAGES_URL}/${GITHUB_REPOSITORY}/reports/${SHA8_CUT}/${SUITE}"
 else
  URL="${GITEA_API_URL}/${GITHUB_REPOSITORY}/actions/runs/${GITHUB_RUN_ID}"
 fi
@@ -32,6 +32,31 @@ Kun kontti on pushattu registryyn, se on muiden pipeline-jobien käytettävissä
 `latest`-tägillä — rebuild = käyttöönotto. Mitään versioviittauksia ei tarvitse
 päivittää.

+## Offline-periaate (DoD)
+
+CI-kontin **Definition of Done**:
+
+> Kontti ei lataa mitään pipeline-vaiheessa (`workflow run` -stepit) eikä kontin
+> runtime-prosessissa (`container:` / `docker run`). Kaikki riippuvuudet
+> (kielikohtaiset paketit, työkalut, binäärit) on joko:
+> - Pre-cachattu kontin **build-vaiheessa** Dockerfilessä, TAI
+> - Kopioitu multi-stage buildilla toisesta imagesta (`COPY --from`)
+>
+> Ainoa sallittu lataushetki on `docker build`. Sen jälkeen kontti toimii
+> ilman verkkoyhteyttä.
+
+**Miksi:** Toistettavuus, air gap -yhteensopivuus, nopeus. Pipeline ei saa
+epäonnistua sen takia että ulkoinen registry on alhaalla tai että `go mod download`
+joutuu latamaan 100 modulia jokaisella testiajolla.
+
+**Kielikohtaiset pre-cachet:** Jos kontissa ajetaan kielikohtaista testiä
+(Go, Java, Node, Python, ...), kaikki kielikohtaiset riippuvuudet on
+pre-cachattava Dockerfilessä build-vaiheessa:
+- Go: `COPY go.mod go.sum ./` → `RUN go mod download`
+- Java/Maven: `COPY pom.xml ./` → `RUN mvn dependency:go-offline`
+- Node: `COPY package.json package-lock.json ./` → `RUN npm ci --omit=dev`
+- Python: `COPY requirements.txt ./` → `RUN pip wheel --wheel-dir=/wheels -r requirements.txt` → `COPY --from` käyttöön
+
 ## Nimeäminen

 CI-kontin build-workflow noudattaa samaa nimeämiskonventiota kuin muutkin
@@ -123,7 +148,8 @@ tag:              latest

 ### Dockerfile

-Dockerfile yhdistää tarvitut työkalut yhteen konttiin. Molemmat tavat kelpaavat:
+Dockerfile yhdistää tarvitut työkalut yhteen konttiin.
+**Kaikki riippuvuudet ladataan build-vaiheessa — kontti on täysin itseriittoinen.**

 ```dockerfile
 # Tapa A: COPY --from toisesta imagesta
@@ -131,18 +157,71 @@ FROM __BASE_IMAGE__:__VERSION__
 COPY --from=__SOURCE_IMAGE__:__VERSION__ /path/to/binary /usr/local/bin/
 RUN apk add --no-cache __PAKETIT__

-# Tapa B: curl-lataus (normaali Dockerfilessa)
+# Tapa B: Build-vaiheen curl-lataus
 FROM __BASE_IMAGE__:__VERSION__
 RUN apk add --no-cache curl __PAKETIT__ && \
    curl -fsSL __URL__/__BINARY__.tar.gz | tar xz -C /usr/local/bin && \
    apk del curl
+
+# Tapa C: Multi-stage + kielikohtainen pre-cache
+FROM __BASE_IMAGE__:__VERSION__ AS deps
+COPY go.mod go.sum ./
+RUN go mod download
+
+FROM deps AS build
+COPY . .
+RUN go test -c -o /tmp/test.bin ./...
+
+FROM __BASE_IMAGE__:__VERSION__
+COPY --from=deps /go/pkg/mod /go/pkg/mod
+COPY --from=build /tmp/test.bin /usr/local/bin/test
 ```

-`COPY --from` on kevyempi (ei curl-asennusta). `curl` on selkeämpi kun binääri
-tulee suoraan GitHub Releasesista tai vastaavasta.
+`COPY --from` on kevyempi (ei curl-asennusta). `curl` (Tapa B) on sallittu
+vain build-vaiheessa — `apk del curl` poistaa työkalun ennen runtimea.
+Tapa C pre-cacheaa kielikohtaiset riippuvuudet ja tuottaa täysin
+offline-runtime-kontin.
+
+## Testaus ennen julkaisua
+
+Konttia ei saa pushata registryyn ennen kuin se on validoitu.
+
+### 1. Aja testit kontin sisällä
+
+Testit on ajettava **kontin sisällä**, ei suoraan lokaalilla koneella.
+
+```bash
+# OIKEIN — kontin sisällä
+docker build -t ci-tyokalu:test .
+docker run --rm -v "$(pwd):/repo" -w /repo ci-tyokalu:test bash -c 'bats tests/'
+
+# VÄÄRIN — lokaalit binäärit vs kontti
+bats tests/                          # eri bash/työkalut kuin kontissa
+bashcov -- bats tests/               # eri ruby-versio kuin kontissa
+```
+
+Lokaali ympäristö (macOS, eri kirjastoversiot) poikkeaa aina kontista.
+Testi voi mennä läpi lokaalissa mutta failata CI:ssä, tai päinvastoin.
+
+### 2. Fragile-testien seulonta (10x ajo)
+
+Aja koko testipaketti **10 kertaa peräkkäin** kontin sisällä ennen pushausta:
+
+```bash
+for i in $(seq 1 10); do
+  echo "=== RUN $i ==="
+  docker run --rm -v "$(pwd):/repo" -w /repo ci-tyokalu:test \
+    bash -c 'bats tests/' || exit 1
+done
+```
+
+Jos yksikin ajo failaa, kontissa on fragile testi — korjaa ennen pushausta.
+Fragile testit syövät devaukseen käytettyä aikaa turhilla uusinta-ajoilla.

 ## Mitä EI kannata tehdä

 - Älä lisää `workflow_call`-triggariä — CI-konttia ei koskaan buildata automaattisesti
 - Älä poista `<komponentti>.`-prefiksiä olemassaolevista tiedostoista — ne kuuluvat monorepo-nimeämiskonventioon
 - Älä sisällytä CI-konttiin mitään sovelluskoodia — vain työkalut
+- Älä koskaan lataa mitään pipeline- tai runtime-vaiheessa — kaikki lataukset kuuluvat `docker build` -vaiheeseen (Offline-periaate)
+- Älä jätä kielikohtaisia riippuvuuksia pre-cachaamatta — `go mod download`, `npm install`, `mvn dependency:go-offline` jne. ajetaan Dockerfilessä, ei pipelinessä
@@ -0,0 +1,569 @@
+# Consumer Pipelines — Reference
+
+Mallipohjat, esimerkit ja konfiguraatiot. Katso säännöt `SKILL.md`:stä.
+
+## Pre-cache-esimerkit (Offline Container)
+
+Alla Dockerfile-esimerkit kielikohtaisista pre-cacheista. Kaikki ajetaan
+build-vaiheessa — kontti on täysin itseriittoinen eikä lataa mitään
+pipeline- tai runtime-vaiheessa.
+
+### Go
+
+```dockerfile
+FROM golang:1.24-alpine AS deps
+WORKDIR /build
+COPY go.mod go.sum ./
+RUN go mod download
+
+FROM deps AS test-build
+COPY . .
+RUN go test -c -o /tmp/test.bin ./...
+
+FROM alpine:3.21
+RUN apk add --no-cache git nodejs
+COPY --from=deps /go/pkg/mod /go/pkg/mod
+COPY --from=test-build /tmp/test.bin /usr/local/bin/test
+```
+
+### Node.js
+
+```dockerfile
+FROM node:22-alpine AS deps
+WORKDIR /build
+COPY package.json package-lock.json ./
+RUN npm ci --omit=dev
+
+FROM node:22-alpine
+RUN apk add --no-cache git
+COPY --from=deps /build/node_modules /app/node_modules
+COPY . /app
+WORKDIR /app
+```
+
+### Java / Maven
+
+```dockerfile
+FROM maven:3.9-eclipse-temurin-21 AS deps
+WORKDIR /build
+COPY pom.xml ./
+RUN mvn dependency:go-offline -B
+
+FROM maven:3.9-eclipse-temurin-21 AS build
+COPY --from=deps /root/.m2 /root/.m2
+COPY . .
+RUN mvn package -B -DskipTests
+
+FROM eclipse-temurin:21-jre
+RUN apt-get update && apt-get install -y --no-install-recommends git && rm -rf /var/lib/apt/lists/*
+COPY --from=build /build/target/*.jar /app/app.jar
+WORKDIR /app
+```
+
+### Python
+
+```dockerfile
+FROM python:3.12-alpine AS deps
+WORKDIR /build
+COPY requirements.txt ./
+RUN pip wheel --wheel-dir=/wheels -r requirements.txt
+
+FROM python:3.12-alpine
+RUN apk add --no-cache git
+COPY --from=deps /build/wheels /wheels
+COPY --from=deps /build/requirements.txt /
+RUN pip install --no-index --find-links=/wheels -r /requirements.txt && rm -rf /wheels
+COPY . /app
+WORKDIR /app
+```
+
+### Helm + Node.js (korvaa helm-build-push.yml:n runtime-apk)
+
+```dockerfile
+FROM alpine/helm:3.16.0 AS helm-bin
+FROM node:22-alpine
+RUN apk add --no-cache git
+COPY --from=helm-bin /usr/bin/helm /usr/local/bin/helm
+```
+
+Tämä kontti korvaa `helm-build-push.yml`:n `alpine/helm:3.19.0`-image-riippuvuuden
+ja poistaa tarpeen asentaa node.js runtime-vaiheessa.
+
+## Reititin — täydellinen esimerkki
+
+```yaml
+jobs:
+  load-config:
+    uses: <owner>/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+
+  <test-1>:
+    needs: [load-config]
+    uses: ./.gitea/workflows/<component>.<test-1>.yml
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  <test-2>:
+    needs: [load-config]
+    uses: ./.gitea/workflows/<component>.<test-2>.yml
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  report-summary:
+    needs: [load-config, <test-1>, <test-2>]
+    if: always()
+    uses: <owner>/gitea-ci-library/.gitea/workflows/report-summary.yml@v1
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      suites: <suite-1> <suite-2>
+```
+
+## CI-kontin build — parametroitu workflow
+
+CI-kontin build on `workflow_dispatch`-triggeröity job, joka näkyy Gitea Actionsissa kuten Jenkinsin
+parametroitu job — käyttäjä antaa inputit UI:sta ennen ajoa.
+
+```yaml
+name: CI Container Build <työkalu>
+on:
+  workflow_dispatch:
+    inputs:
+      config_path:
+        required: true
+        type: string
+        default: '.gitea/workflows/<komponentti>.gitea-env.conf'
+        description: 'Polku .gitea-env.conf-tiedostoon'
+      dockerfile_path:
+        required: true
+        type: string
+        default: '<komponentti>/Dockerfile.ci-<työkalu>'
+        description: 'Polku Dockerfileen'
+      image_name:
+        required: true
+        type: string
+        default: 'ci-<työkalu>'
+        description: 'Kontin nimi ilman registry-polkua'
+      tag:
+        required: true
+        type: string
+        default: 'latest'
+        description: 'Image-tägi'
+
+jobs:
+  load-config:
+    uses: <owner>/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+    with:
+      config_path: ${{ inputs.config_path }}
+
+  build-push:
+    needs: [load-config]
+    uses: <owner>/gitea-ci-library/.gitea/workflows/ci-container-build-push.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      dockerfile_path: ${{ inputs.dockerfile_path }}
+      image_name: ${{ inputs.image_name }}
+      tag: ${{ inputs.tag }}
+```
+
+### CI-kontin ajaminen testijobissa
+
+**Ainoa sallittu tapa** consumer-puolella on `container:`-direktiivi. `docker run` komennolla
+kontin käynnistäminen stepin sisällä on anti-pattern. `container:`-direktiivillä kaikki stepit
+ajetaan samassa kontissa — tiedostot ovat suoraan filesystemillä eikä erillistä
+volyyminhallintaa tarvita.
+
+```yaml
+jobs:
+  <työkalu>:
+    runs-on: ubuntu-latest
+    container:
+      image: ${{ inputs.<image-name> }}
+    steps:
+      - uses: actions/checkout@v4
+      - uses: actions/checkout@v4
+        with:
+          repository: <owner>/gitea-ci-library
+          path: .ci
+
+      - name: Run <työkalu>
+        shell: bash
+        run: |
+          mkdir -p "reports/<suite>"
+          <komento> > "reports/<suite>/results.txt" 2>&1
+
+      - name: Post-process reports
+        if: always()
+        run: |
+          <mahdollinen_raporttien_jälkikäsittely>
+
+      - name: Report
+        if: always()
+        run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
+```
+
+**Usean runnerin cache-ongelma:** Jos eri kerroilla käynnistyy eri runnereita,
+niillä voi olla eri versio `latest`-imagen digesteistä. Ratkaisuja:
+- Rebuildaa kontti ja aja `docker pull <image>` manuaalisesti kaikilla runnereilla
+- Käytä versioitua tagia (`v2`, `v3`, ...) ja päivitä workflow'n default buildauksen jälkeen
+
+**Mallit:**
+- `example-cucumber-tests.yml` — ei post-processia
+- `example-bats-tests.yml` — post-process coverage + report
+
+## Raporttitasot — tarkat YAML-mallit
+
+### Taso 1: Ei jälkikäsittelyä
+
+```yaml
+- name: Run tests
+  shell: bash
+  run: |
+    mkdir -p "reports/<suite>"
+    <testikomento>
+
+- name: Report
+  if: always()
+  run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
+```
+
+### Taso 2: Jälkikäsittely tarvitaan
+
+```yaml
+- name: Run tests
+  shell: bash
+  run: |
+    mkdir -p "reports/<suite>"
+    <testikomento> > "reports/<suite>/results.txt" 2>&1
+
+- name: Post-process coverage
+  if: always()
+  run: <siirrä coverage-data reports/<suite>/coverage/-hakemistoon>
+
+- name: Post-process test report
+  if: always()
+  run: <HTML-generointi raa'asta outputista>
+
+- name: Report
+  if: always()
+  run: bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}
+```
+
+### Väärin vs oikein — yksi asia per step
+
+```yaml
+# VÄÄRIN — helm template fail → kubeconform jää ajamatta, report jää tekemättä
+- name: Run tests
+  run: |
+    helm template ... > /tmp/manifests.yaml
+    kubeconform ... > results.txt 2>&1
+
+# OIKEIN — erilliset stepit
+- name: Helm template
+  run: helm template platform-helm/ -f values.yaml > /tmp/manifests.yaml 2>&1
+
+- name: Kubeconform
+  if: success()
+  run: |
+    mkdir -p reports/kubeconform
+    kubeconform ... > reports/kubeconform/results.txt 2>&1
+
+- name: Report
+  if: always()
+  run: bash .ci/scripts/ci-report.sh "Helm kubeconform" helm-test kubeconform ${{ job.status }}
+```
+
+### Väärin vs oikein — post-process
+
+```yaml
+# VÄÄRIN — jos coverage epäonnistuu, report jää generoimatta
+- name: Post-process reports
+  run: |
+    bash .ci/.gitea/scripts/bats-coverage.sh reports/bats
+    bash .ci/.gitea/scripts/bats-report.sh reports/bats
+
+# OIKEIN — erilliset stepit if: always()
+- name: Post-process coverage
+  if: always()
+  run: bash .ci/.gitea/scripts/bats-coverage.sh reports/bats
+
+- name: Post-process test report
+  if: always()
+  run: bash .ci/.gitea/scripts/bats-report.sh reports/bats
+```
+
+## Raportin julkaisukelpoisuus
+
+`ci-report.sh` päättää onko raportti julkaisukelpoinen skannaamalla `reports/<suite>/`-hakemistoa.
+
+### Mitä skannataan
+
+| Mitä | Sääntö |
+|---|---|
+| **Tiedostot (FILES)** | Kaikki `reports/<suite>/`-juuressa olevat tiedostot paitsi `index.html` |
+| **Alihakemistot (SUBDIRS)** | Vain ne, joissa on `index.html` |
+
+### Julkaisukelpoisuus
+
+| Tila | Seuraus |
+|---|---|
+| `FILES + SUBDIRS = 0` | **Failure** — `ci-report.sh` palauttaa virheen, raporttia ei julkaista |
+| `FILES + SUBDIRS = 1` | Suora linkki itemiin — ei generoi index-sivua |
+| `FILES + SUBDIRS > 1` | Generoi `reports/<suite>/index.html`-sivun, linkit kaikkiin itemeihin |
+
+### Hakemistorakenne
+
+```
+reports/<suite>/
+├── results.txt               ← testin stdout (skannataan FILES)
+├── test-report.html          ← generoitu HTML (skannataan FILES)
+└── <mikä tahansa>/           ← alihakemisto (skannataan SUBDIRS)
+    └── index.html            ← VAIN jos tämä on olemassa
+```
+
+### Esimerkki: coverage-näkymä
+
+```
+reports/<suite>/coverage/index.html   ← on olemassa
+```
+
+Coverage-dataa ei siirretä automaattisesti. Testin tai post-process-stepin pitää
+siirtää coverage `reports/<suite>/coverage/`-hakemistoon ja varmistaa että `index.html` on mukana.
+
+**Provider vastuulla:** `ci-report.sh` (provider-skripti) hoitaa sekä hakemistorakenteen
+skannauksen, `index.html`-generoinnin että julkaisun git-pagesiin. Consumer tuottaa
+vain raakatiedostot `reports/<suite>/`-hakemistoon — `ci-report.sh` päättää
+julkaisukelpoisuuden ja generoi tarvittavan navigaation.
+
+## Debug-ohje: raportti ei näy
+
+### 1. Aja lokaalisti samalla komennolla kuin CI
+
+```bash
+mkdir -p reports/bats
+bashcov -- bats tests/ > reports/bats/results.txt 2>&1
+echo "exit: $?"
+ls -la reports/bats/
+```
+
+### 2. Lisää `echo "DEBUG: ..." >&2` ennen ja jälkeen kriittisen operaation
+
+```bash
+echo "DEBUG: coverage exists? $([ -d coverage ] && echo YES || echo NO)" >&2
+echo "DEBUG: target/index.html exists? $([ -f reports/suite/coverage/index.html ] && echo YES || echo NO)" >&2
+```
+
+### 3. Tarkista kutsuparametrit
+
+Yleisin virhe: skripti odottaa `$1` = X, mutta kutsuja antaa `$1` = Y ja `$2` = X.
+
+### 4. Tarkista tiedostopolut
+
+1. Onko lähdetiedosto olemassa ennen kopiointia?
+2. Onko kohde olemassa kopioinnin jälkeen?
+3. Onko `index.html` subdirissä (vaaditaan `ci-report.sh`:lle)?
+
+### 5. Poista debug-echot kun ongelma on korjattu
+
+### 6. Älä kokeile — debuggaa
+
+Kokeilu = arvaus. Debuggaus = lisää echo, aja, lue logi, eristä ongelma. Vasta sitten korjaa.
+
+## Konfiguraatiotiedosto (.gitea-env.conf)
+
+Tiedosto on `key=value`-muotoinen (kuten `.env`). Kommentit ja tyhjät rivit sallittuja.
+
+### Single repo
+
+```ini
+# .gitea/workflows/gitea-env.conf
+GITEA_API_URL=https://gitea.example.com
+GIT_PAGES_URL=https://reports.example.com
+```
+
+### Docker-artifaktin buildaavat projektit
+
+```ini
+DOCKER_REGISTRY=gitea.example.com/myorg
+DOCKER_IMAGE_NAME=my-service
+DOCKER_UI_URL=https://gitea.example.com/myorg/-/packages/container
+#DOCKERFILE=Dockerfile.platform   # valinnainen, oletus Dockerfile
+```
+
+`DOCKER_UI_URL` ei sisällä image-nimeä — se on puhdas container-registryn osoite.
+Image-nimi lisätään automaattisesti URL:iin `docker-build-push.yml`:ssä.
+
+### Helm-artifaktin buildaavat projektit
+
+```ini
+HELM_REGISTRY=gitea.example.com/myorg
+GIT_TAG_PREFIX=git-pages/
+VERSION_FILE=git-pages/Chart.yaml
+```
+
+| Kenttä | Pakollinen | Kuvaus |
+|---|---|---|
+| `HELM_REGISTRY` | **kyllä** | Registry host + owner, esim. `gitea.example.com/myorg`. **Tyhjä pysäyttää workflow'n.** |
+| `GIT_TAG_PREFIX` | ei | Etuliite git-tägille. Pakollinen monorepossa. |
+| `VERSION_FILE` | ei | Polku version lähteeseen. Oletus: juuren `Chart.yaml`. |
+
+### Salaisuudet (Gitea Settings → Secrets)
+
+| Secret | Pakollinen |
+|---|---|
+| `GITEA_TOKEN` | Aina (Gitean sisäinen, automaattisesti saatavilla) |
+| `GIT_PAGES_PUBLISH_TOKEN` | Aina |
+| `DOCKER_USERNAME` | Vain jos buildaat kontteja |
+| `DOCKER_PASSWORD` | Vain jos buildaat kontteja |
+| `HELM_USER` | Vain jos pushaat Helm chartin OCI-rekisteriin (oletus `github.actor`) |
+| `HELM_PASSWORD` | Vain jos pushaat Helm chartin OCI-rekisteriin |
+
+## Monorepo
+
+Monorepossa yhdessä repossa asuu useampi julkaistava komponentti. Jokaiselle komponentille
+oma conf-tiedosto `.gitea/workflows/<komponentti>.gitea-env.conf`.
+
+### Suositus: komponentit omiin juurihakemistoihin
+
+On suositeltavaa sijoittaa jokaisen komponentin koko lähdekoodi omaan juuritason
+hakemistoonsa (`api/`, `frontend/`, `shared/`). Tämä helpottaa `paths:`-filtteröintiä,
+pitää komponentit selkeästi erillään, ja tekee repossa navigoinnista suoraviivaista.
+
+### Ongelmat ja ratkaisut
+
+| Ongelma | Ratkaisu |
+|---|---|
+| Monta komponenttia, yksi repo — mikä triggeröi? | `paths:`-filtteri: komponentin hakemisto + sen CI-workflow't ja conf-tiedosto |
+| Jokaisella komponentilla oma versio | `VERSION_FILE=<komponentti>/package.json` confissa |
+| Git-tägit sekaisin ellei nimiavaruutta | `GIT_TAG_PREFIX=<komponentti>/` confissa → tägi `<komponentti>/1.2.3` |
+| Eri julkaisutahdit | Riippumattomat CI-triggerit, omat versiopolut |
+
+### Komponenttikohtainen conf
+
+```ini
+# .gitea/workflows/<komponentti>.gitea-env.conf
+GITEA_API_URL=https://gitea.example.com
+GIT_PAGES_URL=https://reports.example.com
+DOCKER_REGISTRY=gitea.example.com/myorg
+DOCKER_IMAGE_NAME=<image-nimi>
+DOCKER_UI_URL=https://gitea.example.com/myorg/-/packages/container
+GIT_TAG_PREFIX=<komponentti>/
+# Jompikumpi — JSON (.version-kenttä) tai plain text:
+VERSION_FILE=<komponentti>/package.json
+#VERSION_FILE=<komponentti>/VERSION
+```
+
+### Monorepo reititin
+
+```yaml
+name: CI <Komponentti> Main
+on:
+  push:
+    branches:
+      - main
+    paths:
+      - <komponentti>/**
+      - .gitea/workflows/<komponentti>.*
+
+jobs:
+  load-config:
+    uses: <owner>/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+    with:
+      config_path: .gitea/workflows/<komponentti>.gitea-env.conf
+
+  check-version:
+    needs: [load-config]
+    uses: <owner>/gitea-ci-library/.gitea/workflows/check-version.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  <testit>:
+    needs: [load-config, check-version]
+    if: needs.check-version.outputs.artifact_exists != 'true'
+    uses: ./.gitea/workflows/<komponentti>.<testi>.yml
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  build-push:
+    needs: [load-config, check-version, <testit>]
+    if: needs.check-version.outputs.artifact_exists != 'true'
+    uses: <owner>/gitea-ci-library/.gitea/workflows/docker-build-push.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      version: ${{ needs.check-version.outputs.version }}
+
+  report-summary:
+    name: Report Summary
+    needs: [load-config, build-push]
+    if: always()
+    uses: <owner>/gitea-ci-library/.gitea/workflows/report-summary.yml@v1
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      suites: '<suite-1> <suite-2>'
+```
+
+### Version elinkaari per komponentti
+
+`GIT_TAG_PREFIX` takaa että eri komponenttien versiohistoria pysyy erillään.
+Git-tägi `<komponentti>/0.2.3` ei sekoitu toisen komponentin tägeihin.
+
+`check-version.yml` suodattaa ja laskee seuraavan patchin vain kyseisen
+komponentin etuliitteellä. Idempotenttius toimii komponenttikohtaisesti:
+jos commitilla on jo tägi, pipeline skipataan `if: artifact_exists != 'true'`.
+
+### Mitä EI kannata tehdä monorepossa
+
+- Älä aja kaikkia komponentteja samasta triggeristä — `paths:` pitää CI:t erillisinä
+- Älä käytä samaa versionhallintatiedostoa usealle komponentille
+- Älä anna monorepo-parametreja pipeline-overrideina — kaikki kuuluu conf-tiedostoon
+- Älä rajaa `paths:` pelkkään komponentin hakemistoon — CI ei triggeröidy workflow- tai conf-muutoksista
+
+## Versionhallinta
+
+`check-version.yml` lukee version automaattisesti prioriteettijärjestyksessä:
+
+| # | Lähde | Formaatti |
+|---|---|---|
+| 1 | `VERSION_FILE` confissa | Määritelty polku |
+| 2 | `VERSION`-tiedosto (root) | Plain text |
+| 3 | `package.json` (root) | `.version`-kenttä |
+| 4 | `pom.xml` (root) | `<version>`-elementti |
+
+`major.minor` otetaan tästä. Patch lasketaan automaattisesti git-tageista.
+Esim. `VERSION` = `0.2`, tagit = `0.2.0`, `0.2.1` → seuraava `0.2.2`.
+
+## Branch protection (PR-gate)
+
+Gitean Settings → Branches → Add Rule:
+
+- **Branch:** `main`
+- **Enable Require Status Checks:** päälle
+- **Status checks:** valitse testijobien nimet
+
+## Provider-rajapinnat — referenssi
+
+### Workflowt
+
+| Workflow | Käyttötarkoitus |
+|---|---|
+| `config-provider.yml` | Lataa + validoi `.conf`, tuottaa `env_json` |
+| `check-version.yml` | Tarkistaa onko commit buildattu, laskee version |
+| `docker-build-push.yml` | Buildaa + puskea Docker-imagen, tagittaa commitin |
+| `helm-build-push.yml` | Paketoi + puskea Helm chartin OCI-rekisteriin, tagittaa commitin |
+| `report-summary.yml` | `GITHUB_STEP_SUMMARY`-taulukko raporttilinkeillä (Gitea 1.27+) |
+
+### Skriptit (kutsutaan `.ci/scripts/`-polun kautta)
+
+| Skripti | Käyttötarkoitus |
+|---|---|
+| `ci-report.sh` | Yhdistetty raportointi: julkaisee git-pagesiin ja asettaa commit-statuksen. Korvaa erilliset `publish-git-pages.sh` + `report-status.sh` -kutsut. Käyttö: `bash .ci/scripts/ci-report.sh "<kuvaus>" <context> <suite> ${{ job.status }}` |
+| `report-status.sh` | POSTaa commit-statuksen linkillä (kutsutaan `ci-report.sh`:n sisältä) |
+| `publish-git-pages.sh` | Julkaisee raporttihakemiston git-pagesiin (kutsutaan `ci-report.sh`:n sisältä) |
+| `ci-validate.sh` | Validoi `.conf`-tiedoston (kutsutaan `config-provider.yml`:stä) |
@@ -19,6 +19,8 @@ impact: high
 Säännöt joilla consumer-projektit rakentavat CI-pipelinejä `gitea-ci-library`-kirjaston päälle.
 Nämä eivät ole provider-kirjaston sääntöjä — ne kuvaavat miten consumerin kuuluu käyttää kirjastoa oikein.

+Katso tarkat mallipohjat ja esimerkit `REFERENCE.md`:stä.
+
 ## 1. Reitittimen puhtaus

 Reitittimet (`ci-feature.yml`, `ci-main.yml`) eivät sisällä `run:`-steppejä. Ne koostuvat vain:
@@ -36,36 +38,7 @@ with:
 Jokainen job vastaa yhtä loogista testiä tai operaatiota. Reititin on orkestraattori — kaikki suorittava
 logiikka on omassa `workflow_call`-tiedostossaan.

-**Esimerkki:**
-
-```yaml
-jobs:
-  load-config:
-    uses: <owner>/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
-    secrets: inherit
-
-  <test-1>:
-    needs: [load-config]
-    uses: ./.gitea/workflows/<component>.<test-1>.yml@main
-    secrets: inherit
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-
-  <test-2>:
-    needs: [load-config]
-    uses: ./.gitea/workflows/<component>.<test-2>.yml@main
-    secrets: inherit
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-
-  report-summary:
-    needs: [load-config, <test-1>, <test-2>]
-    if: always()
-    uses: <owner>/gitea-ci-library/.gitea/workflows/report-summary.yml@v1
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-      suites: <suite-1> <suite-2>
-```
+Katso täydellinen esimerkki `REFERENCE.md`:stä.

 ## 2. Yksi asia per tiedosto

@@ -79,99 +52,182 @@ Ei monoliittista `ci-tests.yml`. Jokainen testityyppi tai operaatio on oma `work

 ## 3. Exit-koodin käsittely

-Jokainen testi kaappaa komentonsa exit-koodin eksplisiittisesti:
+`set -e` on oletuksena käytössä Gitea Actions -stepeissä — ensimmäinen feilaava komento pysäyttää stepin
+ja exit-koodi välittyy natiivisti. Ylimääräistä `EXIT=$?` + `echo >> GITHUB_ENV` -käärettä ei tarvita.

 ```yaml
 - name: Run tests
  shell: bash
  run: |
    <testikomento> > results.txt 2>&1
-    EXIT=$?
-    echo "EXIT=${EXIT}" >> "${GITHUB_ENV}"
-    exit ${EXIT}
 ```

-**Miksi ei pipeä (`| tee`):**
+**Miksi ei pipeä (`| tee`):** `|` syö exit-koodin. Käytä redirectiä `>`.

-```bash
-# VÄÄRIN — pipe syö exit-koodin
-<komento> | tee results.txt
-
-# OIKEIN — redirect tiedostoon
-<komento> > results.txt 2>&1
-```
-
-Ilman `EXIT=$?` + `exit ${EXIT}` komento voi feilata mutta job menee läpi vihreänä — `container:`-modessa
-shellin käyttäytyminen vaihtelee.
+**Yksi asia per step:** Älä koskaan niputa useaa komentoa samaan `run:`-blockiin. `bash -e` pysäyttää
+koko stepin ensimmäisellä failaavalla komennolla, ja loput jäävät ajamatta. Sama pätee post-process-steppeihin.

 ## 4. Konttipolitiikka

 1. **Julkiset registry-kontit kiinteällä versiolla** — `alpine/helm:3.19.0`, `node:22`, `maven:3.9-eclipse-temurin-21`.
-   Toistettavuus ja turvallisuus eivät saa riippua ulkoisesta `latest`:sta
+   Toistettavuus ja turvallisuus eivät saa riippua ulkoisesta `latest`:sta.
 2. **Projektin omat CI-kontit `latest`-tägillä** — buildattu `ci-container-build-<kontti>.yml`:llä.
   Kontin build-pipeline päivittää `latest`:n automaattisesti. Rebuild = käyttöönotto
   kaikissa pipelineissa ilman versioviittauksien päivittelyä.
-   `latest` on näille paras käytäntö, ei kompromissi
 3. **Ei koskaan `curl`-latauksia CI-ajon sisällä** — työkalujen asennus CI-stepeissä hidastaa,
-   epäluotettavaa, ja vaikeuttaa toistettavuutta
+   epäluotettavaa, ja vaikeuttaa toistettavuutta.
+4. **Konttikuva hallitaan workflow'ssa, ei kutsujassa** — jos workflow vaatii tietyn
+   konttikuvan, se määritellään oletuksena (`default:`) workflow'n inputissa.
+   Kutsujan ei tarvitse tietää eikä välittää image-nimeä ellei halua ylikirjoittaa.

-CI-kontin build-workflow'n template: [skills/ci-container-build/SKILL.md](../ci-container-build/SKILL.md) — sisältää
-valmiin `ci-container-build-<kontti>.yml`-pohjan jossa `workflow_dispatch`-tuki manuaaliajoon.
+CI-kontin build-workflow'n template: `skills/ci-container-build/SKILL.md`.
+
+### 4.1 Offline Container -vaatimus (DoD)
+
+CI-kontin (ja kaikkien pipeline-konttien) on oltava täysin itseriittoisia:
+
+> Kontti ei lataa mitään pipeline-vaiheessa (`workflow run` -stepit) eikä
+> kontin runtime-prosessissa (`container:` / `docker run`). Kaikki
+> riippuvuudet pre-cachataan `docker build` -vaiheessa.
+> Ainoa sallittu lataushetki on `docker build`.
+
+**Esimerkkejä rikkomuksista:**
+- `apk add`, `apt-get install`, `npm install`, `go mod download`, `pip install`
+  pipeline-stepissä
+- `curl <url> | tar xz` runtime-vaiheessa
+- Node.js-konttikuva ilman nodea (joudutaan asentamaan lennossa)
+
+### 4.2 Kielikohtainen pre-cache
+
+Kun kontissa testataan kielikohtaista koodia, kaikki riippuvuudet on
+pre-cachattava Dockerfilessä, ei pipeline-stepissä:
+
+| Kieli | Pre-cache Dockerfilessä |
+|---|---|
+| Go | `COPY go.mod go.sum ./` → `RUN go mod download` |
+| Java/Maven | `COPY pom.xml ./` → `RUN mvn dependency:go-offline` |
+| Node | `COPY package.json package-lock.json ./` → `RUN npm ci --omit=dev` |
+| Python | `COPY requirements.txt ./` → `RUN pip install -r requirements.txt` |
+
+Katso tarkat Dockerfile-esimerkit `REFERENCE.md`:stä.
+
+### 4.3 CI-kontin ajaminen jobissa
+
+Ainoa sallittu tapa on `container:`-direktiivi. `docker run` komennolla kontin
+käynnistäminen stepin sisällä on anti-pattern.
+
+Katso CI-kontin template `REFERENCE.md`:stä.
+
+**Huomio `actions/checkout@v4`:stä:** `container:`-direktiivillä kaikki stepit
+ajetaan kontin *sisällä* — myös `actions/checkout@v4`. Se on JavaScript-action
+joka vaatii sekä `nodejs` että `git`. Varmista että CI-kontin Dockerfilessä on
+molemmat — muuten checkout ei toimi ja pipeline failaa.
+
+### 4.4 Build-konteksti, `.dockerignore` ja `COPY`
+
+**Build-konteksti** on aina tiedoston (Dockerfile, Chart.yaml) oman hakemiston
+juuri (`dirname "${DOCKERFILE}"` / `dirname "${CHART_FILE}"`). Kaikki
+suhteelliset polut — ignore-tiedosto, `COPY`, `ADD` — ovat suhteessa tähän
+kontekstiin.
+
+| Tiedosto | Konteksti | Ignore-tiedosto | Käyttö |
+|---|---|---|---|
+| `Dockerfile` | `.` | `./.dockerignore` | `docker build` / `COPY src/ src/` |
+| `api/Dockerfile` | `api/` | `api/.dockerignore` | `docker build` / `COPY src/ src/` |
+| `Chart.yaml` (`VERSION_FILE`) | `.` | `./.helmignore` | `helm package` |
+| `api/Chart.yaml` (`VERSION_FILE`) | `api/` | `api/.helmignore` | `helm package` |
+
+Helm chartin polku luetaan confin `VERSION_FILE`-kentästä — sama rivi jota
+`check-version.yml` käyttää version lähteenä. Yksi conf-rivi ohjaa molempia:
+sekä versionlaskentaa että chartin sijaintia.
+
+**Mitä ignore-tiedosto sisältää:** Kaikki mikä EI ole konttiin tai chart-pakettiin
+tarkoitettua koodia tai resurssia, ON oltava ignore-tiedostossa:
+
+- Git- ja CI-historia (`.git/`, `.gitea/`, `.github/`)
+- Testikoodi, testidata, testiraportit (`tests/`, `reports/`, `coverage/`)
+- Dokumentaatio (`docs/`, `guides/`, `*.md`, `CHANGELOG`, `README`)
+- Editori- ja työkalukonfiguraatio (`.vscode/`, `.cursor/`, `.idea/`, `.DS_Store`)
+- Riippuvuudet jotka asennetaan Dockerfilessä (`node_modules/`)
+- Väliaikaistiedostot (`tmp/`, `*.log`)
+- Projektikohtaiset konfiguraatiot (`.env`, `*.conf`, `CURRENT_PROVIDER_VERSION`)
+
+**Miksi:** Build-kontekstin koko vaikuttaa suoraan `docker build` -nopeuteen.
+Raskas konteksti (etenkin `.git/` ja `node_modules/`) hidastaa buildia ja
+kuluttaa runnerin resursseja turhaan. Ylimääräiset tiedostot kontissa ovat
+**tietoturvariski** — tokenit, `.env` ja sensitiivinen data voivat päätyä
+kontin layeriin jos `.dockerignore` ei ole kattava.
+
+### 4.5 `COPY`-kuri — kopioi vain tarvittava
+
+`COPY . .` on kielletty. Jokainen `COPY` kopioi vain tarvittavat tiedostot
+tai hakemistot:
+
+```dockerfile
+# VÄÄRIN
+COPY . .
+
+# OIKEIN
+COPY package.json package-lock.json ./
+COPY src/ src/
+COPY public/ public/
+```
+
+**Miksi:**
+- Layer-cache: `COPY . .` rikkoo välimuistin — mikä tahansa muutos
+  tiedostossa tyhjentää koko layerin
+- Tietoturva: konttiin voi päätyä ylimääräisiä tiedostoja vaikka
+  `.dockerignore` olisi kattava (unohtunut ignore-rivi, uusi työkalu
+  joka luo tiedostoja build-kontekstiin)
+- Luettavuus: `COPY . .` ei kerro mitä kontti todella sisältää
+- Kontin koko: eksplisiittinen `COPY` pitää image-koon kurissa
+
+### 4.6 `.helmignore` — pidä chart-paketti siistinä
+
+`helm package` käyttää `.helmignore`-tiedostoa samalla periaatteella kuin
+`docker build` käyttää `.dockerignore`a:
+
+- Chart-hakemisto luetaan confin `VERSION_FILE`-kentästä (`dirname "${VERSION_FILE}"`)
+- ignore-tiedosto luetaan chart-hakemiston juuresta (sama konteksti kuin
+  `Chart.yaml`, ks. 4.4)
+- Kaikki turha (testit, docs, git, CI-konffit, kuvat) on poissuljettava
+- Jos `.helmignore` puuttuu, `helm package` paketoi mukaan kaikki
+  chart-hakemiston tiedostot — turhaa bulkkia registryyn
+
+**`.helmignore` on pakollinen** jokaiselle chartille. Minimisisältö:
+
+```
+.git/
+.gitignore
+tests/
+docs/
+*.md
+.DS_Store
+```

 ## 5. Raporttitasot

-Testi tuottaa raportin `reports/${GITHUB_SHA:0:8}/<suite>/`-hakemistoon. `publish-git-pages.sh` julkaisee sen,
-`report-status.sh` linkittää commit-statusin siihen. Molemmat `if: always()`.
+Testi tuottaa raportin `reports/<suite>/`-hakemistoon. Yksi `ci-report.sh`-kutsu hoitaa sekä
+julkaisun että commit-statuksen.

-### Taso 1: Pelkkä teksti
+### Taso 1: Ei jälkikäsittelyä

-Kun testi tuottaa vain stdout/stderr — tallennetaan `results.txt`:
+Kun testi tuottaa raportit suoraan (kuten `pytest --html` tai `cucumber-js --format html`):
+- testi kirjoittaa `reports/<suite>/`-hakemistoon
+- `ci-report.sh` julkaisee ja asettaa commit-statuksen

-```yaml
- name: Run tests
-  shell: bash
-  run: |
-    mkdir -p "reports/${GITHUB_SHA:0:8}/<suite>"
-    <testikomento> > "reports/${GITHUB_SHA:0:8}/<suite>/results.txt" 2>&1
-    EXIT=$?
-    echo "EXIT=${EXIT}" >> "${GITHUB_ENV}"
-    exit ${EXIT}
+### Taso 2: Jälkikäsittely tarvitaan

- name: Publish reports
-  if: always()
-  shell: bash
-  run: bash .ci/scripts/publish-git-pages.sh <suite>
+Kun testi tuottaa raakadataa (stdout, coverage-tiedostot) joka pitää muuntaa tai siirtää
+`reports/<suite>/`-hakemistoon. **Jokainen operaatio omassa stepissään** `if: always()`.

- name: Report status
-  if: always()
-  shell: bash
-  run: |
-    if [ "${EXIT}" = "0" ]; then
-      bash .ci/scripts/report-status.sh success "<kuvaus>" <context> <suite>
-    else
-      bash .ci/scripts/report-status.sh failure "<kuvaus>" <context> <suite>
-    fi
-```
+Tarkat YAML-mallit molemmista tasoista: `REFERENCE.md`.

-### Taso 2: HTML-raportti
-
-Kun testi tuottaa strukturoitua dataa (JUnit XML, coverage, tms.) — generoidaan HTML ja `index.html`:
-
-```
-reports/<sha8>/<suite>/
-├── index.html          ← generoitu: linkit alla oleviin
-├── results.txt         ← testin stdout
-├── junit.xml           ← testin JUnit XML -output
-└── junit.html          ← generoitu HTML (xsltproc, tms.)
-```
-
-`index.html` linkittää kaikkiin raporttitiedostoihin. Selain avaa sen ja navigoi sieltä
-yksittäisiin raportteihin.
+**Subdir-sääntö:** Alihakemisto näkyy indexissä VAIN jos se sisältää `index.html`:n.

 ## 6. Nimeäminen

-Tiedostonimet `.gitea/workflows/`-kansiossa noudattavat yhtenäistä rakennetta, jotta
-tiedostot löytyvät nopeasti ja niiden rooli on selvillä:
+Tiedostonimet `.gitea/workflows/`-kansiossa noudattavat yhtenäistä rakennetta:

 ```
 <komponentti>.ci-feature.yml                  ← feature-haaran reititin
@@ -181,215 +237,35 @@ tiedostot löytyvät nopeasti ja niiden rooli on selvillä:
 <komponentti>.gitea-env.conf                  ← komponenttikohtainen konfiguraatio
 ```

-Single repossa `<komponentti>` jätetään pois — tiedostot ovat suoraan `ci-feature.yml`,
-`ci-main.yml`, `<testityyppi>.yml`, `ci-container-build-<kontti>.yml`.
-
-Monorepossa prefiksi pitää komponentin tiedostot yhdessä: `ls <komponentti>.*` löytää kaikki
-kerralla.
+Single repossa `<komponentti>` jätetään pois.
+Monorepossa prefiksi pitää komponentin tiedostot yhdessä.

 ## 7. Artifact-kuri

 Gitea Actionsin `upload-artifact` jättää pysyvän tiedoston. Artifakteja ei käytetä
-workflow_call:ien väliseen datan siirtoon ellei se ole teknisesti välttämätöntä.
+`workflow_call`:ien väliseen datan siirtoon ellei se ole teknisesti välttämätöntä.

 **Ensisijainen ratkaisu:** jokainen testi tuottaa tarvitsemansa datan itse. Ei
 `upload-artifact` + `download-artifact` -riippuvuuksia.

-```yaml
-# OIKEIN — molemmat testit tuottavat oman datansa
- name: Prepare data
-  run: <komento> > /tmp/data
- name: Validate data
-  run: <validointikomento> /tmp/data
-```
+## 8. Report-Summary — pakollinen jokaisen pipelinen lopuksi

-**Miksi:**
- Testit pysyvät itsenäisinä — yhden testin fail ei estä muita
- Ei "artifact expired" -virheitä myöhemmin
- Ei pysyviä artifakteja siivoamatta
+Jokaisen reitittimen (oli se `ci-main.yml`, `ci-feature.yml` tai mikä tahansa) viimeinen job on `report-summary`.

---
+**Säännöt:**
+- `needs:` sisältää **kaikki edeltävät jobit** — summary odottaa että kaikki on valmis (onnistui tai ei)
+- `if: always()` — ajetaan aina, vaikka pipeline olisi keskeytetty tai joku jobi failannut
+- `suites:` on välilyönnein eroteltu lista suiten nimistä (esim. `bats cucumber`). Tyhjä merkkijono sallittu jos testisuiteja ei ole.
+- Provider (`report-summary.yml`) hoitaa summaryn logiikan — reititin vain kutsuu

-## Konfiguraatiotiedosto (.gitea-env.conf)
+**Miksi aina:**
+- Gitea 1.27+ näyttää `GITHUB_STEP_SUMMARY`:n Actions UI:ssa. Ilman summarya pipeline näyttää epätäydelliseltä.
+- Summaryyn voidaan myöhemmin lisätä muutakin kuin testilinkkejä (build-artefaktit, deploy-tiedot).
+- Yhtenäinen rakenne jokaisessa pipeline-parissa vähentää kysymyksiä.

-Tiedosto on `key=value`-muotoinen (kuten `.env`). Kommentit ja tyhjät rivit sallittuja.
+YAML-malli: `REFERENCE.md`.

-### Single repo
-
-```ini
-# .gitea/workflows/gitea-env.conf
-GITEA_API_URL=https://gitea.example.com
-GIT_PAGES_URL=https://reports.example.com
-```
-
-### Docker-artifaktin buildaavat projektit
-
-```ini
-DOCKER_REGISTRY=gitea.example.com/myorg
-DOCKER_IMAGE_NAME=my-service
-DOCKER_UI_URL=https://gitea.example.com/myorg/-/packages/container
-#DOCKERFILE=Dockerfile.platform   # valinnainen, oletus Dockerfile
-```
-
-`DOCKER_UI_URL` ei sisällä image-nimeä — se on puhdas container-registryn osoite.
-Image-nimi lisätään automaattisesti URL:iin `docker-build-push.yml`:ssä.
-
-### Salaisuudet (Gitea Settings → Secrets)
-
-| Secret | Pakollinen |
-|---|---|
-| `GITEA_TOKEN` | Aina (Gitean sisäinen, automaattisesti saatavilla) |
-| `GIT_PAGES_PUBLISH_TOKEN` | Aina |
-| `DOCKER_USERNAME` | Vain jos buildaat kontteja |
-| `DOCKER_PASSWORD` | Vain jos buildaat kontteja |
-
---
-
-## Monorepo
-
-Monorepossa yhdessä repossa asuu useampi julkaistava komponentti. Jokaiselle komponentille
-oma conf-tiedosto `.gitea/workflows/<komponentti>.gitea-env.conf`, jossa on kaikki
-komponenttikohtainen tieto.
-
-### Suositus: komponentit omiin juurihakemistoihin
-
-On suositeltavaa sijoittaa jokaisen komponentin koko lähdekoodi omaan juuritason
-hakemistoonsa (`api/`, `frontend/`, `shared/`). Tämä helpottaa `paths:`-filtteröintiä,
-pitää komponentit selkeästi erillään, ja tekee repossa navigoinnista suoraviivaista.
-Tämä on kuitenkin vain suositus — ei pakottava sääntö.
-
-### Ongelmat ja ratkaisut
-
-| Ongelma | Ratkaisu |
-|---|---|
-| Monta komponenttia, yksi repo — mikä triggeröi? | `paths:`-filtteri: `push: { paths: ['<komponentti>/**'] }` |
-| Jokaisella komponentilla oma versio | `VERSION_FILE=<komponentti>/package.json` confissa |
-| Git-tägit sekaisin ellei nimiavaruutta | `GIT_TAG_PREFIX=<komponentti>/` confissa → tägi `<komponentti>/1.2.3` |
-| Eri julkaisutahdit | Riippumattomat CI-triggerit, omat versiopolut |
-
-### Komponenttikohtainen conf
-
-```ini
-# .gitea/workflows/<komponentti>.gitea-env.conf
-GITEA_API_URL=https://gitea.example.com
-GIT_PAGES_URL=https://reports.example.com
-DOCKER_REGISTRY=gitea.example.com/myorg
-DOCKER_IMAGE_NAME=<image-nimi>
-DOCKER_UI_URL=https://gitea.example.com/myorg/-/packages/container
-GIT_TAG_PREFIX=<komponentti>/
-# Jompikumpi — JSON (.version-kenttä) tai plain text:
-VERSION_FILE=<komponentti>/package.json
-#VERSION_FILE=<komponentti>/VERSION
-```
-
-### Monorepo reititin
-
-```yaml
-name: CI <Komponentti> Main
-on:
-  push:
-    branches:
-      - main
-    paths:
-      - '<komponentti>/**'
-
-jobs:
-  load-config:
-    uses: <owner>/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
-    secrets: inherit
-    with:
-      config_path: .gitea/workflows/<komponentti>.gitea-env.conf
-
-  check-version:
-    needs: [load-config]
-    uses: <owner>/gitea-ci-library/.gitea/workflows/check-version.yml@v1
-    secrets: inherit
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-
-  <testit>:
-    needs: [load-config, check-version]
-    if: needs.check-version.outputs.artifact_exists != 'true'
-    uses: ./.gitea/workflows/<komponentti>.<testi>.yml@main
-    secrets: inherit
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-
-  build-push:
-    needs: [load-config, check-version, <testit>]
-    if: needs.check-version.outputs.artifact_exists != 'true'
-    uses: <owner>/gitea-ci-library/.gitea/workflows/docker-build-push.yml@v1
-    secrets: inherit
-    with:
-      env_json: ${{ needs.load-config.outputs.env_json }}
-      version: ${{ needs.check-version.outputs.version }}
-```
-
-### Version elinkaari per komponentti
-
-`GIT_TAG_PREFIX` takaa että eri komponenttien versiohistoria pysyy erillään.
-Git-tägi `<komponentti>/0.2.3` ei sekoitu toisen komponentin tägeihin.
-
-`check-version.yml` suodattaa ja laskee seuraavan patchin vain kyseisen
-komponentin etuliitteellä. Idempotenttius toimii komponenttikohtaisesti:
-jos commitilla on jo tägi, pipeline skipataan `if: artifact_exists != 'true'`.
-
-### Mitä EI kannata tehdä monorepossa
-
- Älä aja kaikkia komponentteja samasta triggeristä — `paths:` pitää CI:t erillisinä
- Älä käytä samaa versionhallintatiedostoa usealle komponentille
- Älä anna monorepo-parametreja pipeline-overrideina — kaikki kuuluu conf-tiedostoon
-
---
-
-## Versionhallinta
-
-`check-version.yml` lukee version automaattisesti prioriteettijärjestyksessä:
-
-| # | Lähde | Formaatti |
-|---|---|---|
-| 1 | `VERSION_FILE` confissa | Määritelty polku |
-| 2 | `VERSION`-tiedosto (root) | Plain text |
-| 3 | `package.json` (root) | `.version`-kenttä |
-| 4 | `pom.xml` (root) | `<version>`-elementti |
-
-`major.minor` otetaan tästä. Patch lasketaan automaattisesti git-tageista.
-Esim. `VERSION` = `0.2`, tagit = `0.2.0`, `0.2.1` → seuraava `0.2.2`.
-
---
-
-## Branch protection (PR-gate)
-
-Gitean Settings → Branches → Add Rule:
-
- **Branch:** `main`
- **Enable Require Status Checks:** päälle
- **Status checks:** valitse testijobien nimet
-
---
-
-## Provider-rajapinnat — referenssi
-
-### Workflowt
-
-| Workflow | Käyttötarkoitus |
-|---|---|
-| `config-provider.yml` | Lataa + validoi `.conf`, tuottaa `env_json` |
-| `check-version.yml` | Tarkistaa onko commit buildattu, laskee version |
-| `docker-build-push.yml` | Buildaa + puskea Docker-imagen, tagittaa commitin |
-| `report-summary.yml` | `GITHUB_STEP_SUMMARY`-taulukko raporttilinkeillä (Gitea 1.27+) |
-
-### Skriptit (kutsutaan `.ci/scripts/`-polun kautta)
-
-| Skripti | Käyttötarkoitus |
-|---|---|
-| `report-status.sh` | POSTaa commit-statuksen linkillä |
-| `publish-git-pages.sh` | Julkaisee raporttihakemiston git-pagesiin |
-| `ci-validate.sh` | Validoi `.conf`-tiedoston (kutsutaan `config-provider.yml`:stä) |
-
---
-
-## ADR-yhteenveto — consumerin kannalta oleelliset säännöt
+## 9. ADR-yhteenveto — consumerin kannalta oleelliset säännöt

 ### Reititin ei sisällä suorittavaa koodia (ADR 0010)

@@ -406,16 +282,234 @@ Ei kahta eri komentoa samassa workflow'ssa.
 Kaikki provider-viittaukset käyttävät `@v1`-tagia. `@main` on vain providerin oman repon
 sisäiseen dogfood-käyttöön. Breaking changet kielletty — `v1`-rajapinta on pysyvä.

+### Paikalliset `uses:` eivät käytä refiä
+
+Gitea act runner v1.0.8 muodostaa paikallisista `uses: ./.gitea/workflows/*.yml@main`-viittauksista
+epävalidin git-refin `main@<sha>`.
+
+Paikallisista `uses:`-direktiiveistä EI koskaan käytetä `@main`- tai muuta ref-päätettä:
+- `uses: ./.gitea/workflows/chart.helm-lint.yml`  ← oikein
+- `uses: ./.gitea/workflows/chart.helm-lint.yml@main` ← väärin
+
+Ilman refiä runner käyttää workflow'ta triggeröivästä commitista.
+
 ### Exit-koodi on ainoa onnistumisen mittari (ADR 0008)

 Ei pipeä (`|`) komennon perässä — se syö exit-koodin. Käytä redirectiä (`> file 2>&1`).

-### Commit-status vain raporttilinkille (ADR 0007)
-
-`report-status.sh`-skriptiä käytetään VAIN kun on raportti linkitettäväksi.
-Tool-jobit (build, deploy) luottavat Gitean natiiviin job-statukseen.
-
 ### Providerin checkout ei kuulu consumerille

 Providerin scriptit haetaan `actions/checkout`-stepillä `.ci/`-polkuun.
 Consumer ei kopioi eikä muokkaa providerin tiedostoja.
+
+## 10. Build & Push -providerit
+
+### `docker-build-push.yml` — Docker image build & push
+
+Buildaa ja pushee Docker-imagen OCI-registryyn. Ajaa suoraan runnerilla
+(ei `container:`-direktiiviä), joten `actions/checkout` toimii natiivisti.
+
+**`env_json`-avaimet (pakolliset):**
+
+```yaml
+DOCKER_REGISTRY: gitea.app.keskikuja.site/niko
+DOCKER_IMAGE_NAME: my-app
+```
+
+**Käyttö reitittimessä:**
+
+```yaml
+docker-build-push:
+  uses: OWNER/gitea-ci-library/.gitea/workflows/docker-build-push.yml@v1
+  needs: [check-version]
+  if: needs.check-version.outputs.artifact_exists == 'false'
+  secrets: inherit
+  with:
+    env_json: ${{ needs.load-config.outputs.env_json }}
+    version:  ${{ needs.check-version.outputs.version }}
+```
+
+Tarkka input/secret-lista: `docs/workflows.md`.
+
+### `helm-build-push.yml` — Helm chart build & push
+
+Pakkaa ja pushee Helm-chartin OCI-registryyn. Käyttää `alpine/helm`-konttia.
+
+**`env_json`-avaimet (pakolliset):**
+
+```yaml
+HELM_REGISTRY: gitea.app.keskikuja.site/niko
+VERSION_FILE: platform-helm/Chart.yaml  # chart-hakemisto + versionlähde
+```
+
+**Käyttö reitittimessä:**
+
+```yaml
+helm-build-push:
+  uses: OWNER/gitea-ci-library/.gitea/workflows/helm-build-push.yml@v1
+  needs: [check-version]
+  if: needs.check-version.outputs.artifact_exists == 'false'
+  secrets: inherit
+  with:
+    env_json: ${{ needs.load-config.outputs.env_json }}
+    version:  ${{ needs.check-version.outputs.version }}
+```
+
+Chart-hakemisto johdetaan `VERSION_FILE`-polusta: `dirname "${VERSION_FILE}"`.
+Jos `VERSION_FILE` on `Chart.yaml`, konteksti on juuri. Jos `platform-helm/Chart.yaml`,
+konteksti on `platform-helm/`.
+
+**Yksittäisten Helm-UI-linkkien raportointi:** `HELM_UI_URL` on
+tarkoitettu yleiselle registry UI:lle — provider muodostaa linkin
+`${HELM_UI_URL}/${CHART_NAME}/${VERSION}` automaattisesti.
+
+Tarkka input/secret-lista: `docs/workflows.md`.
+
+## 11. Multi-artifact monorepo -komponentti
+
+Yksi monorepo-komponentti voi tuottaa useita artefakteja (esim. Docker image
+ Helm chart). Kukin artefakti on **omassa reitittimessään** — ei yhtä
+monoliittista pipelinea. Tämä on tietoinen arkkitehtuurivalinta:
+
+- Reitittimet ovat itsenäisiä: eri `paths:`-triggerit, eri tagit, eri confit
+- Yksi commit voi triggeröidä molemmat rinnakkain
+- Yhden artefaktin build tai testi ei estä toista
+
+### Esimerkki: `platform-helm` joka tuottaa Docker-imagen ja Helm chartin
+
+```
+.gitea/workflows/
+├── platform-helm.ci-main.yml              # Docker build & push
+├── platform-helm.gitea-env.conf           # Docker-konffi
+├── platform-helm.helm-ci-main.yml         # Helm build & push
+├── platform-helm.helm-gitea-env.conf      # Helm-konffi
+├── platform-helm.helm-chart-lint.yml      # Chart-testi
+└── platform-helm.ci-container-build-helm.yml  # CI-kontin build
+```
+
+### `platform-helm.gitea-env.conf` (Docker)
+
+```ini
+DOCKER_REGISTRY=gitea.app.keskikuja.site/niko
+DOCKER_IMAGE_NAME=platform-helm
+GIT_TAG_PREFIX=platform-helm/
+```
+
+### `platform-helm.helm-gitea-env.conf` (Helm)
+
+```ini
+HELM_REGISTRY=gitea.app.keskikuja.site/niko
+VERSION_FILE=platform-helm/Chart.yaml
+GIT_TAG_PREFIX=chart/
+```
+
+### Reitittimet
+
+**`platform-helm.ci-main.yml`** — Docker-buildi, testit, oma tagi:
+
+```yaml
+name: platform-helm CI Main
+on:
+  push:
+    branches: [main]
+    paths:
+      - platform-helm/**
+      - .gitea/workflows/platform-helm.*
+
+jobs:
+  load-config:
+    uses: OWNER/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+    with:
+      config_path: .gitea/workflows/platform-helm.gitea-env.conf
+
+  check-version:
+    needs: [load-config]
+    uses: OWNER/gitea-ci-library/.gitea/workflows/check-version.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  test:
+    needs: [load-config, check-version]
+    uses: ./.gitea/workflows/platform-helm.sbom-lint.yml
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  build-push:
+    needs: [load-config, check-version, test]
+    if: needs.check-version.outputs.artifact_exists == 'false'
+    uses: OWNER/gitea-ci-library/.gitea/workflows/docker-build-push.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      version:  ${{ needs.check-version.outputs.version }}
+
+  report-summary:
+    needs: [load-config, test, build-push]
+    if: always()
+    uses: OWNER/gitea-ci-library/.gitea/workflows/report-summary.yml@v1
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      suites: ''
+```
+
+**`platform-helm.helm-ci-main.yml`** — Helm-buildi, chart-testi, oma tagi:
+
+```yaml
+name: platform-helm Helm CI Main
+on:
+  push:
+    branches: [main]
+    paths:
+      - platform-helm/**
+      - .gitea/workflows/platform-helm.helm*
+
+jobs:
+  load-config:
+    uses: OWNER/gitea-ci-library/.gitea/workflows/config-provider.yml@v1
+    secrets: inherit
+    with:
+      config_path: .gitea/workflows/platform-helm.helm-gitea-env.conf
+
+  check-version:
+    needs: [load-config]
+    uses: OWNER/gitea-ci-library/.gitea/workflows/check-version.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  chart-lint:
+    needs: [load-config, check-version]
+    uses: ./.gitea/workflows/platform-helm.helm-chart-lint.yml
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+
+  helm-build-push:
+    needs: [load-config, check-version, chart-lint]
+    if: needs.check-version.outputs.artifact_exists == 'false'
+    uses: OWNER/gitea-ci-library/.gitea/workflows/helm-build-push.yml@v1
+    secrets: inherit
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      version:  ${{ needs.check-version.outputs.version }}
+
+  report-summary:
+    needs: [load-config, chart-lint, helm-build-push]
+    if: always()
+    uses: OWNER/gitea-ci-library/.gitea/workflows/report-summary.yml@v1
+    with:
+      env_json: ${{ needs.load-config.outputs.env_json }}
+      suites: ''
+```
+
+### Säännöt
+
+- Jokaisella artefaktilla on oma reititin, oma conf, omat testit
+- Conf-tiedoston nimi erottaa artefaktit: `<komponentti>.gitea-env.conf` vs
+  `<komponentti>.helm-gitea-env.conf`
+- `<komponentti>.helm-`-prefiksi erottaa Helm-artefaktin tiedostot
+- `GIT_TAG_PREFIX` pitää tagit erillään: `platform-helm/1.2.3` vs `chart/1.2.3`
+- Molemmat reitittimet voivat triggeröityä samasta commitista
@@ -0,0 +1,182 @@
+#!/usr/bin/env bats
+
+source "$BATS_TEST_DIRNAME/helpers/mock-api.sh"
+
+setup() {
+  export GITEA_TOKEN=test-token
+  export GIT_TAG_PREFIX=""
+  export SERVER_URL="http://localhost:18080"
+  export REPO="niko/test"
+  export SHA="abc123"
+  rm -rf /tmp/build-ctx
+}
+
+teardown() {
+  mock_stop 2>/dev/null || true
+  rm -rf /tmp/build-ctx
+}
+
+@test "VERSION_FILE=Chart.yaml extracts version from YAML" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/Chart.yaml"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "VERSION_FILE=VERSION extracts version from plain text" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/VERSION"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "VERSION_FILE=package.json extracts version from JSON" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/package.json"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "VERSION_FILE=subdir/Chart.yaml extracts version from monorepo" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/subdir/Chart.yaml"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.4.0" ]
+}
+
+@test "no VERSION_FILE, root VERSION found" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  WORKDIR=$(mktemp -d)
+  cp "$BATS_TEST_DIRNAME/fixtures/check-version/VERSION" "$WORKDIR/VERSION"
+
+  SCRIPT="$PWD/scripts/check-version.sh"
+  run bash -c "cd '$WORKDIR' && exec bash '$SCRIPT'"
+
+  rm -rf "$WORKDIR"
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "no VERSION_FILE, root Chart.yaml found" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  WORKDIR=$(mktemp -d)
+  cp "$BATS_TEST_DIRNAME/fixtures/check-version/Chart.yaml" "$WORKDIR/Chart.yaml"
+
+  SCRIPT="$PWD/scripts/check-version.sh"
+  run bash -c "cd '$WORKDIR' && exec bash '$SCRIPT'"
+
+  rm -rf "$WORKDIR"
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "tag exists for commit sets ARTIFACT_EXISTS=true" {
+  mock_set_sequence '[{"code": 200, "body": [{"name": "0.3.0", "commit": {"sha": "abc123"}}]}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/VERSION"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "true" ]
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "tag with prefix filters correctly" {
+  mock_set_sequence '[{"code": 200, "body": [{"name": "git-pages/0.3.0", "commit": {"sha": "abc123"}}, {"name": "docker/0.3.0", "commit": {"sha": "abc123"}}]}]'
+  mock_start
+
+  export GIT_TAG_PREFIX="git-pages/"
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/VERSION"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "true" ]
+  [ "$NEXT_VERSION" = "git-pages/0.3.0" ]
+}
+
+@test "no tag, new version calculated" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/VERSION"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.3.0" ]
+}
+
+@test "highest patch calculated correctly" {
+  mock_set_sequence '[{"code": 200, "body": [{"name": "0.3.0", "commit": {"sha": "def456"}}, {"name": "0.3.1", "commit": {"sha": "def456"}}]}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/VERSION"
+  run bash scripts/check-version.sh
+
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  [ "$ARTIFACT_EXISTS" = "false" ]
+  [ "$NEXT_VERSION" = "0.3.2" ]
+}
+
+@test "VERSION_FILE=Chart-umbrella.yaml extracts only top-level version" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  export VERSION_FILE="$BATS_TEST_DIRNAME/fixtures/check-version/Chart-umbrella.yaml"
+  run bash scripts/check-version.sh
+
+  echo "STATUS=$status"
+  echo "OUTPUT=$output"
+  [ "$status" -eq 0 ]
+  source /tmp/build-ctx/build.env
+  echo "NEXT_VERSION=$NEXT_VERSION"
+  [ "$NEXT_VERSION" = "0.1.0" ]
+}
+
+@test "no version source exits with error" {
+  mock_set_sequence '[{"code": 200, "body": []}]'
+  mock_start
+
+  WORKDIR=$(mktemp -d)
+  SCRIPT="$PWD/scripts/check-version.sh"
+  run bash -c "cd '$WORKDIR' && exec bash '$SCRIPT'"
+
+  rm -rf "$WORKDIR"
+  [ "$status" -eq 1 ]
+  [[ "$output" == *"ERROR"* ]]
+}
@@ -0,0 +1,12 @@
+apiVersion: v2
+name: agent-platform
+description: Agent Platform umbrella chart
+type: application
+version: 0.1.0
+dependencies:
+  - name: vikunja
+    version: "0.1.0"
+    repository: oci://registry.example.com
+  - name: langfuse
+    version: "0.2.0"
+    repository: oci://registry.example.com
@@ -0,0 +1,6 @@
+apiVersion: v2
+name: test-chart
+description: Test chart for version extraction
+type: application
+version: 0.3.0
+appVersion: "1.0.0"
@@ -0,0 +1 @@
+0.3.0
@@ -0,0 +1 @@
+{"version": "0.3.0"}
@@ -0,0 +1 @@
+<project><version>0.3.0</version></project>
@@ -0,0 +1,6 @@
+apiVersion: v2
+name: subdir-chart
+description: Chart in subdirectory for monorepo testing
+type: application
+version: 0.4.0
+appVersion: "1.0.0"
@@ -12,8 +12,10 @@ MOCK_CONFIG_FILE=""
 _kill_port() {
  local pids
  pids=$(lsof -ti ":$MOCK_PORT" 2>/dev/null) || true
-  [ -n "$pids" ] && kill -9 $pids 2>/dev/null || true
+  if [ -n "$pids" ]; then
+    kill -9 $pids 2>/dev/null || true
    sleep 0.5
+  fi
 }

 _wait_port_free() {
@@ -26,7 +28,7 @@ _wait_port_free() {

 _wait_port_ready() {
  local i=0
-  while ! lsof -ti ":$MOCK_PORT" >/dev/null 2>&1 && [ $i -lt 5 ]; do
+  while ! lsof -ti ":$MOCK_PORT" >/dev/null 2>&1 && [ $i -lt 30 ]; do
    sleep 0.2
    i=$((i + 1))
  done
Author	SHA1	Message	Date
niko	4910565547	docker ja helm build context root monorepo ja in folder build (#35 ) CI Main / Check existing artifact (push) Successful in 24s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 25s Details CI Git-Pages Main / Load git-pages.gitea-env.conf to pipeline env (push) Successful in 25s Details CI Git-Pages Main / Check existing artifact (push) Successful in 23s Details acc-tests Cucumber test report Details ci-helm-build-push Helm chart 0.1.3 Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m34s Details CI Main / Cucumber tests (push) Successful in 1m33s Details CI Git-Pages Main / Build & Push Helm chart (push) Successful in 47s Details CI Git-Pages Main / Report Summary (push) Successful in 7s Details ci-docker-build-push Docker build & push 0.2.20 OK Details CI Main / Build & Push Docker (push) Successful in 51s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 14s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #35	2026-06-21 06:08:22 +03:00
niko	2bef079d03	Fix/ci kontin no internet vaatimus (#34 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 22s Details CI Main / Check existing artifact (push) Successful in 18s Details acc-tests Cucumber test report Details unit-tests Bats test report Details CI Main / Cucumber tests (push) Successful in 1m25s Details CI Main / Bats tests (push) Successful in 1m26s Details ci-docker-build-push Docker build & push 0.2.19 OK Details CI Main / Build & Push Docker (push) Successful in 47s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 16s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #34	2026-06-20 14:36:42 +03:00
niko	4f20f5ae2f	estetään image karkaaminen docker.io kun parametria ei ole asetettu (#33 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 28s Details CI Main / Check existing artifact (push) Successful in 21s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 57s Details unit-tests Bats test report Details CI Main / Bats tests (push) Failing after 2m13s Details CI Main / Build & Push Docker (push) Has been skipped Details CI Main / Move provider version tag (push) Has been skipped Details CI Main / Report Summary (push) Successful in 6s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #33	2026-06-20 10:54:23 +03:00
niko	bd93ef2f8f	monorepo ci filter ohje tarkennus (#32 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 26s Details CI Main / Check existing artifact (push) Successful in 23s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 54s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m52s Details ci-docker-build-push Docker build & push 0.2.18 OK Details CI Main / Build & Push Docker (push) Successful in 43s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 14s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #32	2026-06-19 14:13:14 +03:00
niko	f06cb112d8	Fix/umbrella chart support (#31 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 20s Details CI Main / Check existing artifact (push) Successful in 17s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 1m4s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m52s Details CI Main / Report Summary (push) Successful in 5s Details CI Main / Move provider version tag (push) Successful in 13s Details ci-docker-build-push Docker build & push 0.2.17 OK Details CI Main / Build & Push Docker (push) Successful in 41s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #31	2026-06-19 13:13:06 +03:00
niko	d57f56f196	dependency update ennen paketointia (#30 ) CI Git-Pages Main / Load git-pages.gitea-env.conf to pipeline env (push) Successful in 22s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 24s Details CI Git-Pages Main / Check existing artifact (push) Successful in 22s Details CI Main / Check existing artifact (push) Successful in 22s Details ci-helm-build-push Helm chart 0.1.2 Details CI Git-Pages Main / Build & Push Helm chart (push) Successful in 42s Details CI Git-Pages Main / Report Summary (push) Successful in 5s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 1m11s Details ci-docker-build-push Docker build & push 0.2.16 OK Details CI Main / Build & Push Docker (push) Successful in 31s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 12s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m55s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #30	2026-06-19 10:32:40 +03:00
niko	277c0f882d	Update .gitea/workflows/git-pages.ci-main.yml (#29 ) CI Git-Pages Main / Load git-pages.gitea-env.conf to pipeline env (push) Successful in 21s Details CI Git-Pages Main / Check existing artifact (push) Successful in 21s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 2m0s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 21s Details CI Main / Check existing artifact (push) Successful in 19s Details ci-helm-build-push Helm chart 0.1.1 Details CI Git-Pages Main / Build & Push Helm chart (push) Successful in 46s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 1m12s Details CI Git-Pages Main / Report Summary (push) Successful in 8s Details ci-docker-build-push Docker build & push 0.2.15 OK Details CI Main / Move provider version tag (push) Successful in 14s Details CI Main / Build & Push Docker (push) Successful in 42s Details CI Main / Report Summary (push) Successful in 6s Details poistettu dev haaran trigger Reviewed-on: #29	2026-06-19 10:14:32 +03:00
niko	cc7f4f0976	ohjeita helm build-push (#28 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 21s Details CI Main / Check existing artifact (push) Successful in 18s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 1m16s Details ci-docker-build-push Docker build & push 0.2.15 OK Details CI Main / Build & Push Docker (push) Successful in 54s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 2m4s Details CI Main / Report Summary (push) Successful in 5s Details CI Main / Move provider version tag (push) Successful in 15s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #28	2026-06-19 10:13:24 +03:00
niko	6621b3f336	Fix/helm build node (#27 ) CI Git-Pages Main / Check existing artifact (push) Successful in 20s Details CI Git-Pages Main / Load git-pages.gitea-env.conf to pipeline env (push) Successful in 22s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 23s Details CI Main / Check existing artifact (push) Successful in 21s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 52s Details CI Git-Pages Main / Report Summary (push) Successful in 4s Details ci-helm-build-push Helm chart 0.1.0 Details CI Git-Pages Main / Build & Push Helm chart (push) Successful in 43s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m51s Details ci-docker-build-push Docker build & push 0.2.14 OK Details CI Main / Build & Push Docker (push) Successful in 31s Details CI Main / Report Summary (push) Successful in 3s Details CI Main / Move provider version tag (push) Successful in 11s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #27	2026-06-19 08:48:56 +03:00
niko	c0012ba6fa	Feature/helm chart (#26 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 23s Details CI Git-Pages Main / Load git-pages.gitea-env.conf to pipeline env (push) Successful in 22s Details CI Main / Check existing artifact (push) Successful in 22s Details CI Git-Pages Main / Check existing artifact (push) Successful in 23s Details CI Git-Pages Main / Report Summary (push) Successful in 6s Details CI Main / Cucumber tests (push) Successful in 1m13s Details CI Main / Bats tests (push) Successful in 2m1s Details CI Feature / Load example-gitea-env.conf to pipeline env (push) Successful in 27s Details CI Git-Pages Main / Build & Push Helm chart (push) Failing after 21s Details ci-docker-build-push Docker build & push 0.2.13 OK Details CI Main / Build & Push Docker (push) Successful in 53s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 16s Details acc-tests Cucumber test report Details CI Feature / Cucumber tests (push) Successful in 1m17s Details unit-tests Bats test report Details CI Feature / Bats tests (push) Successful in 1m59s Details CI Feature / Report Summary (push) Successful in 5s Details riippuvuudet haetaan main haarasta, ei etene ennen kuin on main haarassa nämä muutokset --------- Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #26	2026-06-19 08:35:52 +03:00
niko	908aee9f8b	job status parametrin käyttö (#25 ) CI Main / Cucumber tests (push) Successful in 1m11s Details CI Main / Bats tests (push) Successful in 1m41s Details acc-tests Cucumber test report Details CI Feature / Cucumber tests (push) Successful in 58s Details unit-tests Bats test report Details CI Feature / Bats tests (push) Successful in 1m27s Details CI Feature / Report Summary (push) Successful in 4s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 25s Details CI Main / Check existing artifact (push) Successful in 14s Details ci-docker-build-push Docker build & push 0.2.12 OK Details CI Main / Build & Push Docker (push) Successful in 44s Details CI Main / Report Summary (push) Successful in 7s Details CI Main / Move provider version tag (push) Successful in 17s Details CI Feature / Load example-gitea-env.conf to pipeline env (push) Successful in 22s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #25	2026-06-19 02:56:37 +03:00
niko	ad4c2cd570	Fix/ci reports fail param (#24 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 23s Details CI Main / Check existing artifact (push) Successful in 14s Details CI Main / Cucumber tests (push) Successful in 1m11s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m25s Details ci-docker-build-push Docker build & push 0.2.11 OK Details CI Main / Report Summary (push) Successful in 7s Details CI Main / Move provider version tag (push) Successful in 14s Details acc-tests Cucumber test report Details CI Main / Build & Push Docker (push) Successful in 32s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #24	2026-06-18 16:19:45 +03:00
niko	1e10633e60	Fix/uusi consumer kontti taktiikka (#23 ) acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 49s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 17s Details CI Main / Check existing artifact (push) Successful in 12s Details CI Main / Build & Push Docker (push) Successful in 35s Details CI Main / Move provider version tag (push) Successful in 13s Details unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m19s Details ci-docker-build-push Docker build & push 0.2.10 OK Details CI Main / Report Summary (push) Successful in 6s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #23	2026-06-18 13:54:38 +03:00
niko	737b2fc3f2	Feature/yksinkertaistetaan raportointi logiikkaa (#22 ) unit-tests Bats test report Details CI Main / Bats tests (push) Successful in 1m21s Details ci-docker-build-push Docker build & push 0.2.9 OK Details CI Main / Build & Push Docker (push) Successful in 40s Details CI Main / Report Summary (push) Successful in 5s Details CI Main / Move provider version tag (push) Successful in 12s Details CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 18s Details CI Main / Check existing artifact (push) Successful in 12s Details acc-tests Cucumber test report Details CI Main / Cucumber tests (push) Successful in 2m3s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #22	2026-06-18 12:55:02 +03:00
niko	65d385f9b9	skill päivitetty (#21 ) CI Main / Load example-gitea-env.conf to pipeline env (push) Successful in 17s Details CI Main / Check existing artifact (push) Successful in 13s Details unit-tests Link to Bats reports Details CI Main / Bats tests (push) Successful in 1m35s Details acc-tests Link to Cucumber reports Details CI Main / Cucumber tests (push) Successful in 54s Details ci-docker-build-push Docker build & push 0.2.8 OK Details CI Main / Build & Push Docker (push) Successful in 40s Details CI Main / Report Summary (push) Successful in 6s Details CI Main / Move provider version tag (push) Successful in 13s Details Co-authored-by: moilanik <niko.moilanen@tietoevry.com> Reviewed-on: #21	2026-06-17 17:02:44 +03:00
				`@@ -0,0 +1 @@`
				`<project><version>0.3.0</version></project>`