# Vendoo 1.42.0 – Production Operations & Controlled Update Completion ## Ziel Version 1.42.0 vervollständigt den sicheren Coolify-Produktionsbetrieb. Ein HTTP-Erfolg des Deploy-Triggers gilt nicht mehr als erfolgreiches Deployment. Ein Auftrag durchläuft persistent gespeicherte Zustände und wird erst nach bestätigtem Deployment, erfolgreicher Readiness und passender Zielversion abgeschlossen. ## Neue Betriebsfunktionen - Produktionsstatus mit Version, Build-Revision, Provider, öffentlicher URL, Readiness, SQLite-Status, Speicherbelegung, letztem verifiziertem Backup, letztem Deployment und FLUX-Status. - Produktions-Selbstprüfung für HTTPS, Cookies, Trust Proxy, Host/Origin, Persistenz, Schreibrechte, SQLite, Backupziel, FLUX, Auto Deploy und Coolify-Secrets. - Persistente Deployment-State-Machine mit Ereignisverlauf. - Idempotency-Key und Sperre gegen parallele Aufträge. - Verifiziertes Vorab-Backup vor dem Coolify-Trigger. - Coolify-API-Statusabfrage oder kontrollierter Webhook-Modus mit exakter Bestätigung `CONFIRM`. - `/readyz`- und Zielversionsprüfung vor dem Status `succeeded`. - `rollback_required` bei Timeout oder Coolify-Fehler; neue Aufträge bleiben bis zur dokumentierten Prüfung gesperrt. - Einladungsübersicht, 48-Stunden-Ablauf, erneutes Senden und Widerruf; Standardrolle ist `viewer`. ## Additive Datenbankmigration Neu angelegt werden ausschließlich: - `deployment_runs` - `deployment_events` - `backup_verifications` - `production_checks` Bestehende Tabellen, Nutzer, Artikel, Uploads, Einstellungen, Secrets, Backups und Module werden nicht gelöscht oder zurückgesetzt. ## Neue administrative API-Verträge - `GET /api/admin/deployment` - `PUT /api/admin/deployment` - `POST /api/admin/deployment/test` - `POST /api/admin/deployment/updates/check` - `POST /api/admin/deployment/trigger` - `GET /api/admin/deployment/runs` - `GET /api/admin/deployment/runs/:id` - `POST /api/admin/deployment/runs/:id/refresh` - `POST /api/admin/deployment/runs/:id/confirm` - `GET|POST /api/admin/deployment/production-check` - `GET /api/admin/users/invitations` - `POST /api/admin/users/invitations/:id/resend` - `DELETE /api/admin/users/invitations/:id` Alle schreibenden Routen bleiben CSRF-geschützt, rollenbasiert und auditierbar. Secretwerte werden nicht zurückgegeben. ## Sicherheitsgrenzen Vendoo 1.42.0 besitzt weiterhin keinen Docker-Socket und führt im Produktivcontainer weder `git pull`, `npm install`, Docker-Kommandos noch eine Selbstüberschreibung aus. Coolify bleibt für Build, Containerwechsel und Rollback verantwortlich.