Files
vendoo/CHANGELOG.md
Masterluke77andGitHub 40071f718e Vendoo 1.43.0 – Production Update
Manifestbasierter Production-Updater 3.3, Modulnavigation, optionales Produktbild Studio, Listing-Studio-Aktionsleiste sowie plattformübergreifende Windows-/Linux-Release-Gates.
2026-07-10 13:16:21 +02:00

986 lines
62 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
## Vendoo Production Updater 3.3 Manifest Control Artifact Contract
- `release-manifest.json` wird nach dem Payload-Overlay ausdrücklich in die Git-Arbeitskopie kopiert.
- Die Steuerdatei wird bytegenau gegen das Release-Paket geprüft.
- Manifestprüfung in einer Git-Baseline toleriert zusätzliche unveränderte Baseline-Dateien, prüft aber alle manifestierten Dateien vollständig.
- `removedFiles` darf die Manifest-Steuerdatei nicht löschen.
- Der Windows-Lauf kann dadurch `verify-production-updater-3.3.mjs` innerhalb der geklonten Arbeitskopie ausführen.
- Prozessfehler zeigen in Status und Oberfläche zuerst die echte Fehlerausgabe; lange Standardausgaben verdrängen die Ursache nicht mehr.
## Vendoo Production Updater 3.1 Manifest-Based Release Application
- replaces destructive clone cleanup and exclusion-list copying with SHA-256 verified overlay manifest
- requires `db/schema.sql` and all release-critical source files before tests can start
- preserves baseline files unless deletion is explicitly declared in `removedFiles`
- verifies every payload file before and after copying
- rejects stale Updater-2.x sessions and uses a dedicated v3 release branch
## Vendoo Production Updater 2.10 Windows Installer-Shell Portability
- `verify:installer-shell` läuft über einen plattformneutralen Node-Wrapper.
- Unter Windows wird `sh.exe` aus Git for Windows über `where git`, `git --exec-path` und bekannte Installationspfade ermittelt.
- Keine globale `sh`-PATH-Annahme mehr.
- Git-Fortschritt auf stderr wird bei Exit-Code 0 als Ausgabe statt als Fehler protokolliert; npm-Warnungen erscheinen als Warnung.
- Zielversion der Anwendung bleibt Vendoo 1.43.0.
## Vendoo Production Updater 2.9 Systematic Windows SQLite Handle Audit
- Zentraler Cleanup für temporäre Vendoo-SQLite-Datenbanken.
- Einladungs-Verifier schließt `better-sqlite3` vor dem Entfernen des Temp-Ordners.
- Aktive Verifier werden transitiv auf offene `lib/db.mjs`-Handles geprüft.
- Windows-Cleanup-Regression läuft für Initialmodule und Einladungen jeweils dreifach isoliert.
## Vendoo Production Updater 2.8 Windows SQLite Cleanup
- `verify:initial-modules` schließt die temporäre `better-sqlite3`-Datenbank jetzt vor dem Entfernen des Testordners.
- Windows-`EBUSY` beim Löschen von `vendoo.db` behoben.
- Neuer dreifacher Cleanup-Regressionstest verhindert offene SQLite-Dateien und Temp-Reste.
# Vendoo 1.43.0 Production Updater 2.4
- GitHub-Browseranmeldung aus dem versteckten Worker entfernt.
- Sichtbares, klar beschriftetes Geräte-Anmeldefenster mit `--web --clipboard`.
- Stilles Loginstatus-Polling und automatische Fortsetzung nach erfolgreicher Anmeldung.
- Downloadfortschritt auf 10-%-Stufen gedrosselt; keine Logflut mehr.
- Neues Updater-2.4-Regressionsgate.
# Changelog
## Updater 2.1 Worker Host & Bootstrap Diagnostics
- überwachten Worker-Host eingeführt
- Status und Protokollpfad vor Worker-Start garantiert
- Standardausgabe und Standardfehler vollständig erfasst
- Lade-, Parser- und Initialisierungsfehler mit Datei und Zeile sichtbar
- Diagnoseordner direkt in der Oberfläche erreichbar
- Worker-Core beendet den Host nicht mehr eigenmächtig
## 1.43.0 Updater Revision 2.0 Production Updater Replacement
- Bisherige Winget-/Konsolen-Hotfix-Kette vollständig durch einen eigenständigen WPF-Production-Updater ersetzt.
- Neutrale dunkle Oberfläche mit zehn klaren Updatephasen, Fortschritt, Laufzeit, Heartbeat und Live-Protokoll.
- Fehlerzustände bleiben dauerhaft sichtbar; das Fenster schließt sich weder bei Fehlern noch bei einem unerwarteten Worker-Ende automatisch.
- Aktionen für Protokoll öffnen, Fehler kopieren, kontrollierten Abbruch und Wiederaufnahme.
- Verwaltete portable GitHub CLI mit offiziellem Release-Download und SHA-256-Prüfung statt Winget-Abhängigkeit.
- Feste Timeouts, Prozessbaum-Abbruch und Heartbeats für alle externen Werkzeuge.
- Persistente Sitzung für sichere Wiederaufnahme nach Abbruch oder Neustart.
- GitHub-, Test-, Merge-, Coolify- und Produktionsprüfung bleiben als getrennte Phasen nachvollziehbar.
## 1.43.0 Module-aware Navigation, Listing Studio UX & Updater Status UI
- Navigationseinträge verschwinden unmittelbar, wenn das zugehörige Modul deaktiviert wird.
- Neues authentifiziertes, minimales Modulstatus-API für die Oberfläche.
- Produktbild Studio als eigenständiges, standardmäßig deaktiviertes Modul.
- Seite „Neuer Artikel“ neu geordnet, lesbarer und konsequent am Theme-System ausgerichtet.
- „Artikel generieren“ und „Speichern“ bleiben in einer sticky Aktionsleiste dauerhaft erreichbar.
- Ein-Klick-Updater mit grafischer Fortschrittsanzeige, Prozentwert, Phase und Live-Protokoll.
## 1.42.0 Production Operations & Controlled Update Completion
- Persistente Deployment-State-Machine mit Ereignisverlauf und Wiederaufnahme nach Neustart.
- Idempotency-Key und Sperre gegen parallele Deployment-Aufträge.
- Vorab-Backup wird erstellt, verifiziert und mit dem Auftrag verknüpft.
- Coolify-Trigger, Remote-Status, Readiness und Zielversion werden getrennt bewertet.
- Webhook-Abschlüsse benötigen eine zusätzliche exakte Bestätigung `CONFIRM`.
- Fehler und Zeitüberschreitungen wechseln in `rollback_required` und blockieren neue Aufträge bis zur manuellen Prüfung.
- Neuer Produktionscheck und Produktionsstatus im Update Center.
- Additive Tabellen `deployment_runs`, `deployment_events`, `backup_verifications` und `production_checks`.
- Keine Löschung oder Rücksetzung bestehender Daten, Benutzer, Uploads, Secrets, Backups oder Module.
- Neuer `UPDATE_VENDOO.bat`-Assistent automatisiert Voraussetzungen, Volltest, Release-Branch, Pull Request, Merge und Coolify-Deployment.
- Coolify-Webhook wird nur einmalig als verschlüsseltes GitHub Actions Secret hinterlegt.
- Produktionsworkflow meldet Erfolg ausschließlich bei `/readyz` und exakt Version `1.42.0`.
## 1.41.2 Git Ignore Boundary & Module Tracking Hotfix
- Root-Runtimeordner in `.gitignore` sind jetzt mit `/` verankert.
- `app/modules/` und `app/modules/sessions/` werden nicht mehr durch `modules/` beziehungsweise `sessions/` ausgeblendet.
- Neues echtes Git-Regression-Gate prüft `git check-ignore`, `git add --all` und `git ls-files`.
- GitHub-Deploy-Assistent blockiert den Push, wenn produktive Moduldateien fehlen, ignoriert oder nicht getrackt sind.
- Keine Datenbankmigration und keine Änderung an Nutzdaten.
## 1.41.1 CI Source Root & Archive Exclusion Hotfix
- ESM-Import-/Exportprüfung auf den produktiven Source-Root begrenzt.
- Historische Ordner `Archiv/`, `archive/` und `archives/` aus Git-Staging, Release-Staging und Sicherheitsprüfung ausgeschlossen.
- Vier produktive Listings-/Inventory-Dateien als Pflichtdateien abgesichert.
- Neues Source-Root-Gate erkennt echte fehlende Module weiterhin, ignoriert aber archivierte Altstände.
- GitHub CI und Release Workflow führen das neue Gate verpflichtend aus.
## 1.41.0 Coolify Production Deployment & Controlled Web Updates
### Neu
- natives, geschütztes Modul `vendoo.deployments` für kontrollierte Produktionsdeployments.
- Coolify-Unterstützung per Deploy-Webhook oder minimal berechtigtem API-Token.
- Administratoroberfläche im Update Center für Provider, Repository, Branch, Kanal, Backup und Deploymentstatus.
- verschlüsselte Secrets `COOLIFY_API_TOKEN` und `COOLIFY_DEPLOY_WEBHOOK_URL`.
- Coolify-Produktionsvorlage `deploy/coolify.env.example` für `vendoo.flatlined.de`.
- GitHub-/Merge-/Release-Anleitung und Coolify-Klickstrecke.
- GitHub Release Workflow veröffentlicht GHCR-Tags `1.41.0`, `1.41`, `stable` und `latest` sowie SBOM und Provenienz.
- 17 registrierte Module: 15 nativ, 2 Legacy Bridges.
### Betrieb und Sicherheit
- FLUX Studio wird beim ersten Coolify-Start über `VENDOO_INITIAL_DISABLED_MODULES=vendoo.flux-studio` deaktiviert.
- persistente Administratorentscheidungen überschreiben den Initialwert bei späteren Starts.
- Deploymentauftrag nur mit Berechtigung `updates.manage` und exakter Bestätigung `DEPLOY`.
- vor einem Web-Deployment wird standardmäßig ein verifiziertes Backup erzeugt.
- Vendoo führt weder `git pull` noch Docker-Kommandos aus und erhält keinen Docker-Socket.
- Coolify-Endpunkte müssen im Produktionsmodus HTTPS verwenden.
- keine Datenbankmigration und kein Reset bestehender Daten.
## 1.40.2 Capability Graph Contract Hotfix
### Behoben
- `vendoo.module-manager` verlangte `settings.configuration`, obwohl `vendoo.settings` diese Capability nicht bereitstellte.
- Der Plattformstart brach deshalb mit `MODULE_CAPABILITY_MISSING` ab.
- `vendoo.settings` stellt nun den übergeordneten Konfigurationsvertrag zusätzlich zu `settings.application` und `settings.smtp` bereit.
### Qualitätssicherung
- neues Capability-Graph-Gate validiert den real aktivierten Gesamtgraph aller 16 Module.
- `ModuleRegistry.validateGraph()` stellt Startreihenfolge und Capability-Menge ohne Lifecycle-Start für Tests bereit.
- Architektur-, CI-, Release- und Deployment-Gates prüfen den realen Modulgraph statt ausschließlich künstlicher Testmodule.
- keine Datenbankmigration, kein Reset und keine Änderung an Nutzdaten.
## 1.40.1 FLUX Worker Lifecycle & ESM Export Contract Hotfix
### Behoben
- `server.mjs` konnte wegen des fehlenden Exports `stopFluxPromptJobLoop` nicht instanziiert werden.
- FLUX-Prompt-Job-Worker besitzt jetzt einen idempotenten Stop-Lifecycle mit `clearInterval()` und Zustandsreset.
### Qualitätssicherung
- neues generisches ESM-Export-Vertragsgate für lokale benannte Imports.
- separates FLUX-Loop-Hotfix-Gate in lokaler Prüfung, GitHub CI und Release-Workflow.
- keine Datenbankmigration, kein Reset und keine Änderung an Nutzdaten.
## 1.40.0 Native Publishing, AI, FLUX, Quality & Secure Module Manager
### Neu
- `vendoo.ai`, `vendoo.flux-studio`, `vendoo.quality`, `vendoo.publishing` und `vendoo.module-manager` als native Module.
- 16 registrierte Module: 14 nativ, 2 Legacy Bridges.
- administrative Modulmanager-Oberfläche für Aktivieren, Deaktivieren, Exportieren, Installieren und Entfernen.
- persistenter Modulstatus und separater Modulpaketspeicher.
- `.vmod`-Paketformat mit SHA-256-Integrität, sicherer Pfadprüfung und optionaler Ed25519-Signatur.
- deklarative Fremdmodule ohne ausführbaren Code; ausführbare Pakete bleiben bis zum isolierten Extension-Host in Quarantäne.
- Modulabhängigkeiten werden beim Aktivieren automatisch gestartet und beim Deaktivieren kontrolliert behandelt.
- Modulrouten werden bei deaktiviertem Besitzer mit `MODULE_DISABLED` gesperrt.
- Windows-, Docker-, NAS- und VPS-Backups enthalten Modulpakete und Aktivierungszustand.
- GitHub Draft Pull Request #13 für `release/1.40.0-module-manager`.
### Sicherheit
- geschützte Kernmodule können weder deaktiviert noch gelöscht werden.
- eingebaute Module können exportiert, aber nicht als Fremdmodule installiert werden.
- Fremdmodule werden nicht durch bloßes Kopieren aktiviert.
- der lokale Laufzeitordner `modules/` wird von Git- und Release-Staging ausgeschlossen.
- keine ungeprüfte Ausführung von Drittcode im Vendoo-Hauptprozess.
## 1.39.0 Listings, Inventory & Media Native Module Migration
### Neu
- `vendoo.listings`, `vendoo.inventory` und `vendoo.media` als native Plattformmodule.
- fünfzehn registrierte Module: neun nativ, sechs Legacy Bridges.
- öffentliche Artikel-, Papierkorb-, Lager- und Medienrouten aus `server.mjs` entfernt und über Modulverträge registriert.
- Repository-Injektion verhindert Datenbankzugriffe als Import-Seiteneffekt.
- eigenes `verify:catalog`-Gate mit Service-Regressionstests.
- GitHub Draft Pull Request #12 für `release/1.39.0-catalog-media`.
### Sicherheit und Datenintegrität
- Artikel-Payload-Allowlist blockiert unbekannte Felder, ungültige Preise, überlange Texte und Listen.
- Rich-HTML wird weiterhin serverseitig bereinigt.
- bestehende Bearbeitungssperren bleiben für Artikelupdates verbindlich.
- endgültiges Löschen ist ausschließlich für Artikel im Papierkorb möglich.
- Lager-Bulk-Aktionen sind auf 500 eindeutige positive IDs begrenzt.
- Medienpfade blockieren Traversal, Nullbytes und Zeilenumbrüche.
- Bilder, die von aktiven Artikeln referenziert werden, werden nicht gelöscht.
- unbekannte Medien- und Lagerfelder werden serverseitig abgewiesen.
### Kompatibilität
- keine destruktive Datenbankmigration und kein Reset.
- bestehende Artikel, Bilder, Uploads, Favoriten, Lagerorte und Publishing-Verknüpfungen bleiben erhalten.
- API-Pfade und bestehendes Frontend bleiben kompatibel.
- `lib/db.mjs` bleibt vorübergehend Kompatibilitätsschicht für AI, Publishing, Quality und Dashboard.
## 1.37.0 Security, Secrets & Observability Foundation
### Neu
- `vendoo.security` als natives Kernmodul.
- AES-256-GCM-verschlüsselter Secret-Speicher mit separatem Master-Key.
- Automatische Migration vorhandener Runtime- und SMTP-Secrets mit Sicherungskopie.
- Strikte Script-CSP ohne Inline-Skripte und Inline-Eventhandler.
- Request- und Correlation-IDs sowie strukturierte JSON-Telemetrie.
- Zentrale Input-Schema-Validierung für neue Kernel-Routen.
- Erweitertes Security-Dashboard für Secret-Provider, CSP und Requeststatus.
- SMTP-Zertifikatsprüfung standardmäßig aktiv.
- GitHub Draft Pull Request #10 für `release/1.37.0-security-foundation`.
### Kompatibilität
- Keine Datenbankablösung und keine destruktive Migration.
- Windows, Docker, NAS und VPS bleiben unterstützt.
- Theme Manager und vorhandene Daten bleiben erhalten.
## 1.36.0 Secure Theme Manager, Accessibility & Component Token Foundation
### Neu
- `vendoo.themes` als erstes natives Fachmodul auf dem Plattformkernel.
- Persönliche Theme-Präferenzen pro Benutzer mit Theme, UI-Dichte und reduzierter Bewegung.
- Sichere Theme-Profile für Administratoren mit Basis-Theme, Token-Overrides, Import, Export und Systemstandard.
- Live-Vorschau im Browser; Speichern erst nach expliziter Bestätigung.
- Serverseitige Validierung aller Theme-Werte und WCAG-orientierte Kontrastprüfung zentraler Text-/Oberflächenpaare.
- Light, Dark, System und High Contrast als integrierte Modi.
- 42 typisierte Design Tokens, darunter erste Komponenten-, Fokus- und Touch-Target-Tokens.
- Tokenisierte Buttons, Eingabefelder, Karten, Dialoge und Fokuszustände.
- Deny-by-default API-Verträge für Theme-Routen sowie getrennte Benutzer- und Administrator-Policies.
- Audit-Protokoll für persönliche Präferenzen, Theme-Profile und Systemstandard.
- Eigenes `verify:themes`-Gate in lokaler Prüfung, GitHub CI und Release-Workflow.
- GitHub Draft Pull Request #9 für `release/1.36.0-theme-manager`.
### Sicherheit und Kompatibilität
- Keine freie CSS-, JavaScript-, URL- oder Dateipfad-Eingabe.
- Unbekannte Tokens und Theme-IDs werden abgewiesen.
- Normale Benutzer dürfen ausschließlich ihre eigene Darstellung ändern.
- Systemstandard und benutzerdefinierte Profile erfordern administrative Berechtigung.
- Bestehende Daten, Benutzer, Artikel, Uploads, Backups und FLUX-Daten bleiben erhalten.
- Kein Reset, keine Framework-Migration und keine Datenbankablösung.
## 1.35.0 Modular Platform Kernel, Design-System Contracts & Security Architecture Foundation
### Neu
- Modularer Plattformkernel mit Lifecycle, Event Bus, Feature Flags, Modul- und Policy-Registry.
- Zwölf bestehende Fachbereiche als validierte `legacy-bridge`-Module mit expliziten Abhängigkeiten, Capabilities und Ownership.
- Deny-by-default Route Registry: neue Kernel-Routen benötigen Besitzer und explizite Policy.
- Administrativ geschützte Plattform-, Modul- und Theme-Vertragsendpunkte.
- Kernel-Healthcheck in `/readyz` und geordneter Kernel-Shutdown.
- Versionierte Design-Token-Quelle mit 33 Tokens für Light, Dark und High Contrast.
- Deterministischer Token-Generator und browserseitige Theme Runtime.
- Sichere Theme-Definitionen: nur freigegebene Farb- und Dimensionswerte, kein freies CSS/JS.
- Modul-JSON-Schema, Architekturgrenzen, Migrationsroadmap und Security-Architekturdokumentation.
- Neues `npm run verify:architecture` mit Zyklus-, Policy-, Event-, Theme- und Token-Regressionstests.
- GitHub Draft Pull Request #7 für `release/1.35.0-platform-kernel`.
### Kompatibilität
- Kein Reset, keine Framework-Migration, keine Datenbankablösung.
- Windows-Lokalbetrieb, Docker, NAS, VPS, Zero-Edit-Installer und Git-Sicherheitsgate bleiben erhalten.
- Bestehende CSS-Variablen bleiben über eine Token-Kompatibilitätsbrücke funktionsfähig.
- Bestehende Routen werden in 1.35.0 noch nicht massenhaft verschoben; die Migration erfolgt fachmodulweise.
## 1.34.3 Git-Staging Update-Archiv-Ausschluss Hotfix
### Behoben
- Der lokale Ordner `updates/` wird als Update-, Rollback- und Slice-Artefaktspeicher behandelt und nicht nach GitHub oder in Release-Staging-Verzeichnisse übernommen.
- Alte Sicherungskopien wie `updates/backups/.../setup.bat`, `setup.ps1` oder `scripts/install-local-flux.ps1` lösen das Git-Sicherheitsgate nicht mehr aus, weil sie bereits vor dem Scan ausgeschlossen werden.
- Die aktiven Installationsdateien im Projektroot und unter `scripts/` bleiben Teil des Quellimports.
- Das Git-Sicherheitsgate blockiert `updates/` weiterhin, falls ein fremder Kopierweg den Ordner dennoch in das Staging einschleust.
- `.gitignore` schützt den lokalen Updateverlauf zusätzlich vor versehentlichen Commits.
### Qualitätssicherung
- Regressionstest mit den drei konkret gemeldeten Pfaden aus `slice22_1_20260707-194953`.
- Release-Builder und GitHub-Deploy-Assistent verwenden weiterhin dieselbe Filterfunktion.
- Neuer Importbranch `release/1.34.3-initial-import` und Draft Pull Request #6.
## 1.34.2 Git-Sicherheitsdiagnose & gemeinsamer Staging-Builder
### Behoben
- Die Meldung `Git-Sicherheitsgate fehlgeschlagen (4)` wird nicht mehr ohne Detailzeilen ausgegeben. Der Windows-Assistent fängt stdout und stderr getrennt ab und zeigt jeden konkreten Treffer an.
- Der vollständige Fehlerbericht wird unter `logs/github-deploy-safety-report.txt` gespeichert und unter Windows automatisch im Editor geöffnet.
- Windows, Linux und macOS verwenden denselben Node-basierten Staging-Builder statt unterschiedlicher Robocopy-/rsync-Regeln.
- Lokale `.env.*`-Dateien, Operations-Daten, Uploads, Backups, Logs, Datenbanken, Schlüsseldateien und FLUX-/ComfyUI-Laufzeitdaten werden vor dem Sicherheitsgate automatisch aus dem temporären Git-Staging ausgeschlossen.
- `.env.example` und `.env.docker.example` bleiben als sichere Vorlagen enthalten.
- Der Staging-Builder leert nur den Arbeitsbaum des temporären Klons und erhält dessen `.git`-Verzeichnis vollständig.
### Qualitätssicherung
- Neuer plattformübergreifender Git-Staging-Regressionstest.
- Der Test belegt, dass lokale Secrets und Laufzeitdaten ausgeschlossen, öffentliche Vorlagen übernommen und `.git` nicht verändert werden.
- CI und Release-Workflow führen den Staging-Regressionstest zusätzlich zum Secret-Regressionstest aus.
- Neuer Importbranch `release/1.34.2-initial-import` und Draft Pull Request #5.
## 1.34.1 Git-Sicherheitsgate Windows Hotfix
### Behoben
- Windows-Pfade werden im Git-Sicherheitsgate mit `fileURLToPath(import.meta.url)` in echte Dateisystempfade umgewandelt.
- Der Sicherheitscheck scannt den vollständigen Import-Arbeitsbaum und nicht nur bereits von Git verfolgte Dateien.
- Noch unversionierte `.env.local`, `.env.production`, Token-Dateien und sonstige Secrets werden vor `git add` erkannt.
- Node.js ist für den sicheren Import verpflichtend; ein stilles Überspringen des erweiterten Scans ist nicht möglich.
## 1.34.0 GitHub CI/CD & Zero-Edit Installation Foundation
### Installation
- Grafischer Windows-Installationsassistent für lokalen Node.js-Betrieb und Docker Desktop.
- Geführte Linux-/NAS-/VPS-Konfiguration ohne manuelles Bearbeiten von `.env` oder Compose-Dateien.
- Automatische Erzeugung und sichere Ablage des Erst-Admin-Setup-Codes.
- VPS-Modus mit integriertem Caddy-Reverse-Proxy und automatischem HTTPS.
- Konfiguration kann später über den Assistenten geändert werden, ohne bestehende Daten zu löschen.
- Persistenter Runtime-Konfigurationsspeicher für Eingabemasken im gehärteten read-only Container.
- Simulierbares Shell-Installer-Gate für Docker-, NAS- und VPS-Modus; dabei wurde die Standardwert-Abfrage gegen Prompt-Vermischung gehärtet.
### GitHub und Releases
- Git-Sicherheitsgate gegen Secrets, Datenbanken, Uploads, Backups, Logs, Runtime- und Modellordner.
- GitHub Actions für CI, Docker-Build, Release-Pakete, SHA-256 und GHCR-Images.
- Windows- und Shell-GitHub-Deploy-Assistent für kontrollierten Erstimport auf einen Release-Branch.
- Privater Branch `release/1.34.0-initial-import` und Draft Pull Request #3 real vorbereitet.
- Release-Pakete werden aus einem bereinigten Staging-Verzeichnis erzeugt und nicht als Binärdateien in die Git-Historie aufgenommen.
### Sicherheit
- GitHub Actions besitzen jobbezogen minimale Berechtigungen.
- GHCR-Images erhalten eine Provenienz-Attestierung auf Basis des tatsächlich veröffentlichten Image-Digests.
- Container-Registry-Veröffentlichung erfolgt nur bei veröffentlichten GitHub Releases und passendem Versionstag.
- Produktions-Secrets bleiben in `.env` beziehungsweise GitHub Environments und niemals im Repository.
## 1.33.0 Multiplatform Deployment Wizard & Flux/Admin Fixes
- Installationsziel-Assistent für Windows lokal, Docker Desktop, NAS/Portainer und VPS/Linux
- neues `setup.sh` für Linux-, NAS- und VPS-Zielsysteme
- Installationsmodus wird für Start, Update, Reparatur, Status und Deinstallation gespeichert
- Docker-Host-Gateway für einen getrennten FLUX/ComfyUI-Dienst
- FLUX Studio startet ohne automatische Bildauswahl
- Reset-Button leert den Arbeitsbereich, ohne Verlauf, Bilder oder Jobs zu löschen
- Benutzerbearbeitung auf stabile Event-Listener und Cachelogik umgestellt
- Passwortvalidierung vor dem Update und sanitisierte Benutzerantwort
## 1.32.0 Docker, NAS & Production Deployment Foundation
- produktionsgeeignetes, mehrstufiges Dockerfile mit Lockfile-Installation
- Compose mit getrennten persistenten Volumes, non-root, read-only und Healthcheck
- zentrale, konfigurierbare DB-/Upload-/Backup-/Operations-/Log-Pfade bei voller Windows-Kompatibilität
- `/readyz` mit SQLite- und Schreibpfadprüfung
- geordneter SIGTERM-/SIGINT-Shutdown mit WAL-Checkpoint
- geschütztes Erst-Admin-Setup über `VENDOO_SETUP_TOKEN`; übrige API bleibt bis zum Setup gesperrt
- konfigurierbare Proxy- und Cookie-Regeln
- produktive Allowlist für Browser-Extension-Origins
- Uploads nur angemeldet abrufbar und strengere Dateitypprüfung
- NAS-, Portainer-, Backup-, Restore-, Update- und Rollback-Dokumentation
- FLUX/ComfyUI bleibt getrennt und ist im Hauptcontainer standardmäßig deaktiviert
## 1.31.0 Mehrbenutzer- und Server-Sicherheitsgrundlage
- Fünf feste Rollen mit serverseitig erzwungenen Berechtigungen: Administrator, Manager, Editor, Publisher und Leser.
- Sichere Sitzungen mit absoluter und inaktiver Laufzeit, Widerruf, Benutzer-Sitzungsverwaltung und Login-Sperre.
- Bearbeitungssperren für Artikel mit automatischer Verlängerung und kontrollierter Freigabe.
- Filterbares und exportierbares Audit-Protokoll.
- Rate Limits, Host-/Origin-Freigaben, Request-IDs, CSP/Helmet und standardmäßige Bindung an localhost.
- Benutzer- und Sicherheitsoberfläche mit Rollenmatrix, aktiven Sperren und Sicherheitsstatus.
- Additive Migrationen; bestehende Artikel, Datenbank, Bilder und Einstellungen bleiben erhalten.
## 1.30.0 Operations Center: Backup, Restore, Updates & Extension-Diagnose
- Neue Betriebszentrale unter Admin → System mit Backup-, Update- und Extension-Diagnose-Tabs.
- Konsistente SQLite-Backups über die Backup-API statt Kopieren der geöffneten Datenbank.
- Vollbackups mit Uploads, optionaler `.env`, Manifest, SHA-256-Dateiprüfsummen und SQLite-Integritätsprüfung.
- Tägliche rotierende automatische Backups mit konfigurierbarer Uhrzeit, Aufbewahrung und Upload-Option.
- Verifizierte Wiederherstellung mit automatischem Sicherheitsbackup und bewusstem Offline-Anwenden.
- Update Center prüft Version, Pflichtdateien und verbotene Laufzeitdaten, bevor ein Paket vorbereitet wird.
- Setup-Menüpunkt 11 wendet vorbereitete Update-/Restore-Operationen an; Menüpunkt 12 führt den Rollback aus.
- Migrationsstatus und letzte Systemoperation sind in der Oberfläche sichtbar.
- Vendoo Link 1.9.0 sendet Diagnose-Heartbeats; Chrome, Edge, Firefox und Safari werden getrennt ausgewertet.
- Keine Datenbank, Uploads, `.env`, API-Schlüssel oder Modelle werden durch ein Update-Paket gelöscht.
## 1.29.0 Slice 34: Publishing Hardening
- plattformübergreifende persistente Publishing-Queue
- Doppelveröffentlichungsschutz und Idempotenzprüfung
- automatische Retry-Strategie und Neustart-Wiederaufnahme
- Fehlerzentrale, Ereignisprotokoll, externe IDs und Links
- eBay Sync, Update und Beenden über offizielle Inventory API
- Etsy Statusabgleich
- Extension-Aufträge für Vinted und Kleinanzeigen
- Scheduler an die gehärtete Queue angebunden
- Vendoo Link 1.8.0
## 1.28.0 Slice 33: Artikel Quality Center
- Neuer Hauptmenüpunkt **Qualitätscenter** mit Score, Noten AE, Blockern, Warnungen und Empfehlungen.
- Serverseitige Prüfung von Titel, Beschreibung, Pflichtfeldern, Preis, Organisation, Suchbegriffen und plattformbezogenen Vendoo-Profilen.
- Vollständige Bildprüfung mit Dateiexistenz, Lesbarkeit, Abmessungen, Format und Auflösungswarnungen.
- Erkennung möglicher Duplikate über gleiche SKU und Titelähnlichkeit.
- Plattformbereitschaft, Gebühren und geschätzter Erlös gemeinsam im Prüfbericht.
- Persistenter Score-Verlauf je Artikel mit Vergleich zur vorherigen Analyse.
- Filter, Suche und Pagination für bereite, blockierte und zu prüfende Artikel.
- AI-Verbesserungen für Titel, Beschreibung und Tags über den aktuell aktiven Text-AI-Provider.
- AI erzeugt ausschließlich Vorschläge; Änderungen werden erst nach sichtbarem Vorher-/Nachher-Vergleich und ausdrücklicher Bestätigung gespeichert.
- Keine automatische Erfindung von Produktmerkmalen, Marken, Schäden oder Lieferumfang.
## 1.27.0 Slice 32: Batch Image Factory
- Neuer Hauptmenüpunkt **Bildproduktion** als persistente Batch Image Factory.
- Mehrere Quellbilder direkt aus der zentralen Bildergalerie auswählen oder aus der Galerie übergeben.
- Acht integrierte Produktionsprofile für eBay, Vinted, Kleinanzeigen, Etsy, Instagram, Webshop und optimierte Originale.
- Eigene Produktionsprofile mit Zielgröße, Anpassung, Hintergrund, Format, Qualität und Dateinamensschema anlegen, bearbeiten und löschen.
- Mehrere Profile pro Auftrag erzeugen mehrere Ausgaben je Originalbild.
- Optionale Hintergrundentfernung mit Intensität sowie Wasserzeichen mit Text, Position und Deckkraft.
- Persistentes Job-Center mit 5/10/15 Aufträgen pro Seite, Pause, Fortsetzen, Abbruch, Gesamt-Retry und Einzel-Retry.
- Neustart-Wiederaufnahme für wartende und laufende Aufträge; pausierte Aufträge bleiben pausiert.
- Ergebnisse werden nicht destruktiv als neue Bildversionen unter `uploads/batch/` gespeichert und erscheinen automatisch in der Bildergalerie.
- Fertige Ergebnisse eines Auftrags können gesammelt als ZIP heruntergeladen werden.
- Bildrenderer um `contain`, `cover`, exakte Ziel-Canvas, Ausgabeordner und kontrollierte Dateinamen erweitert.
## 1.26.1 Stabilitäts-, Responsive- und Regression-Gate
- Zentrale Systemprüfung im Adminbereich ergänzt: SQLite-Integrität, Schreibrechte, UI-Dateien, FLUX-Workflow, Browser-Extensions, AI-Konfiguration und optionale ComfyUI-Erreichbarkeit.
- Öffentlichen, geheimnisfreien `/healthz`-Endpunkt für lokale Verbindungsüberwachung ergänzt.
- API-Client um Request-IDs, definierte Zeitlimits, einmaligen GET-Retry bei Netzwerk-/Serverfehlern und strukturierte Fehlerprotokollierung erweitert.
- Sichtbare Verbindungsleiste bei Serverausfall mit automatischer Wiederholungsprüfung ergänzt.
- Unbehandelte JavaScript- und Promise-Fehler werden lokal mit Build, Seite und Request-ID für die Diagnose erfasst.
- Responsive-Verhalten auf die tatsächlich verfügbare Workspace-Breite umgestellt; `ResizeObserver` vergibt Breitenklassen unabhängig von der Browserbreite.
- Globale Schutzregeln gegen horizontales Überlaufen von Formularen, Bildern, Vorschauen, Werkzeugleisten und langen Inhalten ergänzt.
- Neue statische Release- und UI-Vertragsprüfungen verhindern doppelte IDs, tote Navigation, fehlende Diagnoseelemente und veraltete Buildmarker.
- Keine Datenbankstruktur, Nutzerdaten, API-Schlüssel, Extensions oder FLUX-Modelle verändert.
## 1.26.0 Artikel-Navigation, Publish-Reparatur, Zoom-Galerie & Extension Center
- „Neues Listing“ konsequent in „Neuer Artikel“ und „Listing generieren“ in „Artikel generieren“ umbenannt.
- „Neuer Artikel“ als eigener Hauptmenüpunkt direkt unter dem Dashboard ergänzt; „Listings“ heißt in der Navigation jetzt „Artikel“.
- Publish-Datenaufbereitung gegen fehlerhafte ältere JSON-Felder gehärtet und einen Scope-Fehler im direkten Publish-Workspace behoben.
- Smart Copy öffnet wieder zuverlässig als Popup; die mittlere Publish-Fläche zeigt Titel, Beschreibung, Tags, Metadaten und Fotos.
- Medienvorschau um Fit-, 100-%-, Stufen- und Mausrad-Zoom sowie Verschieben bei Vergrößerung erweitert.
- Galerie-Auswahl und Favoriten auf kleine, konsistente Lucide-basierte SVG-Icons umgestellt.
- Gebührenrechner für private Verkäufer aktualisiert: eBay.de, Vinted und normaler Kleinanzeigen-Privatverkauf ohne Verkäuferprovision; Etsy separat als Shop-Kalkulation.
- Neuer Menüpunkt „Extensions“ mit Browsererkennung, Ein-Klick-Vorbereitung, Pfadkopie und Downloadpaketen für Chrome, Edge, Firefox und Safari.
- Safari-WebExtension-Quelle samt Xcode-Konvertierungsskript ergänzt.
- Doppelte Settings-ID und doppelten Galerie-Event-Listener bereinigt.
## 1.25.1 Adaptive Bildergalerie
- Galerie-Raster vollständig auf automatische Kartenbreiten mit `auto-fit` und Container Queries umgestellt.
- Die gesamte Bildfläche öffnet jetzt die Lightbox; die übergroße Vorschau-/Öffnen-Schaltfläche wurde entfernt.
- Auswahl und Favorit skalieren mit der Kartenbreite und bleiben sauber in den Bildecken ausgerichtet.
- Aktionsleiste auf vier kompakte, adaptive Bildaktionen umgestellt; auf sehr schmalen Karten werden nur Symbole gezeigt.
- Auswahlstatus wird zusätzlich an Karte und Bildfläche sichtbar, ohne das Motiv zu verdecken.
- Seitennavigation mit direkter Seitenauswahl und Bildbereich wird oberhalb und unterhalb der Galerie angezeigt.
- Listenansicht und schmale Bildschirmbreiten wurden im selben Komponentenmodell neu gehärtet.
## 1.25.0 Responsive Detail Editor, Gallery UX, Smart Copy Modal & FLUX Prompt Lab
- Listing-Bearbeiten reagiert jetzt auf die tatsächlich verfügbare Inhaltsbreite per Container Queries und bleibt auch mit Sidebar, Quill, Vorschau und Kontextkarten ohne horizontalen Überlauf bedienbar.
- Die zentrale Bildergalerie erhielt sauber ausgerichtete Auswahlfelder, Favoriten-Overlay, eine eindeutige Vorschauaktion, zweizeilige Titel und ein stabiles 2×2-Aktionsraster.
- Publish-Aktualisieren rotiert nicht mehr; während des Ladens werden ruhige Textzustände und `aria-busy` verwendet.
- Smart Copy öffnet wieder als eigenes responsives Arbeitsfenster mit Kopierfeldern, Fotos, Plattformstart und Veröffentlichungsstatus.
- FLUX Ergebnisse & Favoriten besitzen Pagination mit 5, 10 oder 15 Bildern pro Seite.
- Das FLUX Job-Center ist auf 5, 10 oder 15 Aufträge pro Seite begrenzt.
- Neues FLUX Prompt Lab: lokale Strukturierung oder AI-Veredelung über den aktuell aktiven Claude-, OpenAI-, OpenRouter- oder Ollama-Provider.
- Prompt Lab schützt auf Wunsch Motivmerkmale und vermeidet erfundene Texte, Logos und Wasserzeichen.
- Zusätzliche Breitenhärtung für Publish, Medienbibliothek, FLUX, Einstellungen und Generator.
## 1.24.0 Responsive UI, FLUX-Auftragsarchiv & zentrale Bildergalerie
- Listing-Seite auf schmalen Breiten von einer starren Mindestbreite auf echte responsive Kartenzeilen umgestellt.
- Responsive Härtung für Filter, Batch-Aktionen, FLUX-Job-Center, Formulare, Aktionsleisten und Medienverwaltung ergänzt.
- Hintergrundentfernung im Advanced Editor um eine regelbare Intensität von 0 bis 100 erweitert.
- FLUX-Aufträge können einzeln oder gesammelt archiviert und aus dem Archiv wiederhergestellt werden.
- Im FLUX-Archiv können einzelne, mehrere oder alle Aufträge endgültig gelöscht werden; erzeugte Bilder bleiben erhalten.
- Serverseitige Pagination und Seitengröße für aktive und archivierte FLUX-Aufträge ergänzt.
- Neuer Navigationsbereich „Bilder“ als zentrale Galerie für FLUX-, bearbeitete, AI- und Listing-Bilder.
- Galerie mit Raster-/Listenansicht, Suche, Quellenfiltern, Favoriten, Sortierung, Pagination, Mehrfachauswahl, ZIP-Download, Lightbox, Editor-Übergabe und geschützter Löschung aktiver Listing-Bilder.
- Vinted-Titelfeldschutz aus Vendoo Link 1.6.1 unverändert beibehalten.
## 1.23.2 Slice 31.2 Hotfix: FLUX-Layout, Editor-Werkzeuge & kompakte Aufträge
- „System & ComfyUI“ aus der angehefteten FLUX-Seitenspalte entfernt und direkt unter „Prompt & Auftrag“ eingeordnet.
- FLUX Job-Center als Ganzes ein- und ausklappbar gemacht.
- Einzelne FLUX-Aufträge kompakt auf- und zuklappbar; aktive Aufträge sind standardmäßig geöffnet, abgeschlossene kompakt geschlossen.
- „Alle einklappen“ ergänzt, damit lange Verläufe die Seite nicht unnötig vergrößern.
- Separate Buttons für Hintergrundentfernung und Wasserzeichen aus Generator und Bildleisten entfernt.
- Hintergrundentfernung in den Advanced Image Editor integriert und als nicht destruktive Bildversion gespeichert.
- Wasserzeichen mit eigenem Text, fünf Positionen und einstellbarer Deckkraft in den Advanced Image Editor integriert.
- Editor-Werkzeuge gelten einheitlich für Generator-, Listing- und FLUX-Bilder.
- Vendoo Link 1.6.1 und der Vinted-Titelfeldschutz bleiben unverändert erhalten.
## 1.23.1 Slice 31.1 Hotfix: Editor-Sichtbarkeit & Vinted-Feldschutz
- Advanced Image Editor erhält im Generator einen deutlich sichtbaren eigenen Einstieg.
- `app.js` und `style.css` werden versionsgebunden geladen; HTML/JS/CSS werden vom Vendoo-Server nicht mehr aus veraltetem Browser-Cache ausgeliefert.
- Der Windows-Starter öffnet Vendoo mit Build-Kennung.
- Vinted-Auto-Fill ordnet Felder nur noch über eindeutige Selektoren bzw. tatsächlich zugeordnete Labels zu.
- Zustands-, Marken-, Größen- und Farbauswahl dürfen das Titelfeld nicht mehr als Fallback verwenden.
- Vendoo Link auf Version 1.6.1 angehoben.
# Changelog
## 1.40.2 Capability Graph Contract Hotfix
### Behoben
- `vendoo.module-manager` verlangte `settings.configuration`, obwohl `vendoo.settings` diese Capability nicht bereitstellte.
- Der Plattformstart brach deshalb mit `MODULE_CAPABILITY_MISSING` ab.
- `vendoo.settings` stellt nun den übergeordneten Konfigurationsvertrag zusätzlich zu `settings.application` und `settings.smtp` bereit.
### Qualitätssicherung
- neues Capability-Graph-Gate validiert den real aktivierten Gesamtgraph aller 16 Module.
- `ModuleRegistry.validateGraph()` stellt Startreihenfolge und Capability-Menge ohne Lifecycle-Start für Tests bereit.
- Architektur-, CI-, Release- und Deployment-Gates prüfen den realen Modulgraph statt ausschließlich künstlicher Testmodule.
- keine Datenbankmigration, kein Reset und keine Änderung an Nutzdaten.
## 1.23.0 Slice 31: Advanced Image Editor
- Bestehenden einfachen Fotoeditor durch einen nicht destruktiven Produkt- und FLUX-Bildeditor ersetzt.
- Undo/Redo und eine vollständige Bearbeitungshistorie innerhalb der aktuellen Sitzung ergänzt.
- Persistente Bildversionen in `image_edit_versions` eingeführt; das Original bleibt unverändert und jederzeit wiederherstellbar.
- Vorher-/Nachher-Ansicht und Auswahl älterer Bearbeitungsversionen integriert.
- Freien Zuschnitt sowie 1:1, 4:5, 3:4, 16:9 und Original-Seitenverhältnis ergänzt.
- Drehen, horizontales/vertikales Spiegeln und stufenloses Begradigen umgesetzt.
- Belichtung, Helligkeit, Kontrast, Lichter, Schatten, Temperatur, Sättigung und Schärfe ergänzt.
- Export als JPEG, WebP oder PNG mit Qualitätsregler und Zielgröße umgesetzt.
- Bearbeitungen werden serverseitig mit `sharp` in voller Auflösung gerendert und immer als neue Datei gespeichert.
- Hintergrundentfernung, Inpainting, Outpainting und Maskeneditor bleiben bewusst außerhalb dieses Slices; es gibt keine Platzhalterbuttons.
## 1.22.0 Slice 30: FLUX Studio Pro
- Persistentes FLUX-Job-Center mit SQLite-Aufträgen und einzelnen Varianten eingeführt.
- 1, 2 oder 4 Varianten, eindeutige Seeds und reproduzierbarer Seed Lock ergänzt.
- „Ähnlich erneut erzeugen“, Favoriten und vollständige Prompt-/Parameterhistorie umgesetzt.
- Abbruch, Wiederholen, Queue-Bereinigung und Neustart-Wiederaufnahme ergänzt.
- ComfyUI-Warteschlange, Historie, System-, GPU- und VRAM-Daten angebunden.
- Fortschrittsanzeige des FLUX Studios auf reale Phasen ohne geschätzte Prozentwerte umgestellt.
- Freier FLUX-Promptworkflow bleibt ohne Produktreferenz und ohne `LoadImage`.
- FASHN VTON und Virtual Try-on bleiben vollständig entfernt.
## 1.21.0 Slice 29: FLUX Quality & Settings Tabs
- Einstellungsbereiche als horizontale Top-Tabs neu gestaltet.
- FLUX Studio mit Prompt-Check, lokalem Prompt-Assistenten und Qualitätsprofilen erweitert.
- FLUX.1-schnell standardmäßig auf vier Schritte optimiert; Detailprofil mit sechs Schritten.
- Negative Prompt im reinen FLUX-Promptmodus entfernt.
- Startprofile Auto, Schnell, Ausgewogen und Wenig VRAM ergänzt.
- ComfyUI-Start verwendet je nach Profil Cache-/VRAM- und optionale Fast-Flags.
- Laufzeit und final strukturierter Prompt werden je Bild gespeichert.
- Vorschau und Bearbeitungsaktionen visuell aufgewertet.
## 1.20.1 FLUX Runtime Startdiagnose und Health-Check
- FLUX/ComfyUI-Start wartet jetzt bis zu 180 Sekunden auf den echten `/system_stats`-Health-Check statt nach 2,55 Sekunden vorschnell „gestoppt“ zu melden.
- Eigene Runtime-Statusdatei mit PID, Laufzeit, Startphase sowie bereinigten stdout-/stderr-Auszügen.
- ANSI-Farbcodes werden aus den angezeigten Runtime-Logs entfernt.
- Prozessabbruch während des Starts wird sofort erkannt und mit den letzten relevanten Logzeilen gemeldet.
- Das reine Vendoo-FLUX-Studio startet ComfyUI ohne benutzerdefinierte Nodes; der verwendete Workflow benötigt ausschließlich eingebaute Standard-Nodes.
- Start- und Stopp-Skripte liegen jetzt als feste Paketdateien vor und werden beim Drüberkopieren sofort aktualisiert.
- FLUX Studio und Einstellungen zeigen während des Starts laufend „Wird gestartet“ statt einen falschen Stoppstatus.
## 1.20.0 FASHN/VTO entfernt und eigenständiges FLUX Studio
- FASHN VTON, Modelbibliothek, lokale VTO-Dienste, API-Routen, UI, Installationsskripte und Einstellungen vollständig aus dem aktiven Produkt entfernt.
- Bestehende VTO-Runtime, Autostarts, Logs und alte VTO-Einstellungen werden beim ersten Setup-Lauf entfernt; eigene alte Modelbilder werden nach `uploads/ai-generated/legacy-models` gesichert.
- Neuer Hauptmenüpunkt **FLUX Studio** mit freiem Prompt, Stil, Format, Seed und Schritten.
- Live-Status und Start/Stopp-Steuerung für das lokale ComfyUI/FLUX.
- Vorschau, Download, Bildbibliothek, Löschen und Übernahme in den Listing-Generator.
- Nachträglicher Bildeditor für Zuschneiden, Drehen, Spiegeln, Helligkeit, Kontrast und Sättigung. Bearbeitungen werden als neue Version gespeichert.
- Neue Tabelle `flux_images`; aufgegebene VTO-Tabelle und `ai_vto_*`-Einstellungen werden aus bestehenden Datenbanken entfernt.
- FLUX bleibt ein reiner Prompt-Bildgenerator; Ghost Mannequin und Flatlay bleiben als separate Produktbild-Werkzeuge bestehen.
## [1.15.0] - 2026-07-07
### Neu
- Komplett neu strukturierte Einstellungszentrale mit Bereichen für Allgemein, AI & APIs, Marktplätze und lokales FLUX.
- Großer FLUX-Live-Status mit klarer Anzeige für Aktiv, Gestoppt, Deaktiviert und Nicht installiert.
- Lokales FLUX kann direkt aktiviert, deaktiviert, gestartet, gestoppt, repariert, aktualisiert und sicher deinstalliert werden.
- Sichere FLUX-Deinstallation entfernt ComfyUI und das Modell, behält standardmäßig aber die Installationsarchive für eine schnelle Neuinstallation.
- Einstellbare Produktreferenz-Treue für AI-Model-Fotos.
- Neuer Geschwindigkeitsmodus mit 768 × 768 Pixeln als Standard; 1024 × 1024 bleibt als Qualitätsoption verfügbar.
### Behoben
- Produktfotos werden bei lokalem FLUX jetzt tatsächlich an ComfyUI übertragen und als Image-to-Image-Referenz in den Workflow eingebunden.
- Hoodie, Farbe, Kapuze, Reißverschluss, Aufdrucke, Logos und Schnitt werden im Prompt zusätzlich als verbindliche Produktmerkmale geschützt.
- AI-Bildjobs aktualisieren ihren Fortschritt jetzt während Vorbereitung, Upload, Rendering, Sicherheitsprüfung und Speicherung statt dauerhaft bei 10 % zu stehen.
- Alte oder beschädigte Installationsstatusdateien können nicht mehr zu `unknown · Bereitschaft 100%` führen, wenn die reale Installation vollständig vorhanden ist.
- Der konfigurierte Installationspfad `local-ai/comfyui` wird korrekt auf den enthaltenen Portable-Ordner aufgelöst.
### Technik
- Neue ComfyUI-Referenzpipeline: UploadImage → LoadImage → ImageScale → VAEEncode → KSampler.
- Neue Datenbankspalte `ai_model_jobs.progress_message` als additive Migration.
- BOM-sicheres Lesen des FLUX-Installationsstatus.
- Neuer PowerShell-5.1-kompatibler Uninstaller `scripts/uninstall-local-flux.ps1`.
## [1.14.6] - 2026-07-07
### Behoben
- Lokaler FLUX-Workflow wird unter Windows PowerShell 5.1 als UTF-8 ohne BOM geschrieben.
- Bereits vorhandene Workflow-Dateien mit UTF-8-BOM werden beim Einlesen robust bereinigt.
- `Unexpected token '' ... is not valid JSON` bei der lokalen AI-Bildgenerierung behoben.
- Installer-Status-JSON wird ebenfalls ohne BOM geschrieben, damit Node.js und andere JSON-Parser es zuverlässig lesen können.
# 1.14.5 Slice 22.3 PowerShell 5.1 Parser Fix
- Behebt den PowerShell-5.1-Parserfehler `InvalidVariableReferenceWithDrive` im sichtbaren FLUX-Downloadstatus.
- Ersetzt die beiden ungültigen Zeichenfolgen `$Label:` durch die eindeutig begrenzte Form `${Label}:`.
- Der bestehende Resume-Download, die `.part`-Datei und der automatische Setup-Ablauf bleiben unverändert erhalten.
- Keine Datenbank-, Konfigurations-, Upload- oder Listing-Daten werden verändert.
# 1.14.4 Slice 22.2 Download Recovery
- Fortsetzbarer HTTP-Streaming-Download statt BITS/Invoke-WebRequest.
- Sichtbare Fortschrittsanzeige mit Prozent, MB, Geschwindigkeit und Restzeit.
- Automatische Wiederaufnahme über setup.bat.
# Changelog
## 1.40.2 Capability Graph Contract Hotfix
### Behoben
- `vendoo.module-manager` verlangte `settings.configuration`, obwohl `vendoo.settings` diese Capability nicht bereitstellte.
- Der Plattformstart brach deshalb mit `MODULE_CAPABILITY_MISSING` ab.
- `vendoo.settings` stellt nun den übergeordneten Konfigurationsvertrag zusätzlich zu `settings.application` und `settings.smtp` bereit.
### Qualitätssicherung
- neues Capability-Graph-Gate validiert den real aktivierten Gesamtgraph aller 16 Module.
- `ModuleRegistry.validateGraph()` stellt Startreihenfolge und Capability-Menge ohne Lifecycle-Start für Tests bereit.
- Architektur-, CI-, Release- und Deployment-Gates prüfen den realen Modulgraph statt ausschließlich künstlicher Testmodule.
- keine Datenbankmigration, kein Reset und keine Änderung an Nutzdaten.
## Slice 22.1 / 1.14.3 Setup-integrated PowerShell 5.1 recovery
- Fixed the false 7-Zip failure when `Process.ExitCode` is empty under Windows PowerShell 5.1 despite a successful extraction.
- A missing exit code is accepted only when `Everything is Ok` is present, stderr is empty and the extracted result passes file-count and size checks.
- Complete `local-ai\extract-temp` results are reused instead of being deleted and extracted again.
- `setup.bat` now starts with UTF-8 console handling, `-NoProfile` and explicit exit-code reporting.
- Normal `setup.bat` startup detects the exact confirmed Slice-22 false-failure state and offers automatic continuation.
- Automatic continuation installs ComfyUI, downloads the FLUX.1-schnell model and starts the local image server without a separate patch command.
- Installer intent flags are persisted in `install-state.json` for future resumable runs.
- No reset, database change or feature removal is performed.
## Slice 22 / 1.14.2 7-Zip extraction watchdog and real FLUX install telemetry
- Replaced the blocking 7-Zip invocation with a supervised process and explicit path quoting.
- Live extraction status now includes elapsed time, extracted file count, extracted MB, process ID and heartbeat.
- Added 7-Zip stdout/stderr logs and a visible UI panel for extraction details.
- Detects stalled installers instead of showing an endless running state.
- Reuses complete downloads and safely restarts only the failed extraction/install step.
- Handles nested ComfyUI portable archive layouts more robustly.
- Setup status now shows live extraction counters and stale heartbeat detection.
## Slice 21 FLUX Installer 7-Zip Hotfix & Detailed Status
- Fixed PowerShell 5.1 scalar-string bug where a single 7-Zip path such as `C:\Program Files\7-Zip\7z.exe` was indexed as the single character `C`.
- 7-Zip discovery now uses a real string list, refreshes PATH after winget installation and validates the final executable path.
- Partial ComfyUI and FLUX downloads now use `.part` files and are validated before being promoted to complete files.
- BITS downloads now report actual transfer percentage, bytes transferred and total bytes into `local-ai/install-state.json`.
- Installer failures preserve the last real progress value and include source position plus resumable-state metadata.
- Settings UI now shows detailed checks for 7-Zip, archive, Python runtime, ComfyUI, FLUX model, workflow and start/stop scripts.
- Install log tail, error details, readiness score and a resume-aware install button were added.
- Setup option 8 now prints phase, progress, file checks, runtime reachability and recent install log lines.
## Slice 20 Vollautomatischer lokaler FLUX-Installer
- Automatischer Download der aktuellen offiziellen ComfyUI-Windows-Portable-Version über die GitHub-Releases-API
- GPU-Erkennung für NVIDIA, AMD, Intel und CPU-Fallback
- Automatische 7-Zip-Installation über winget, falls erforderlich
- Optionaler Download von FLUX.1-schnell FP8 aus dem offiziellen Comfy-Org-Hugging-Face-Repository
- Fortschritts- und Statusdatei unter `local-ai/install-state.json`
- Fortsetzbare Downloads über BITS mit WebRequest-Fallback
- Sichere Startparameter: Bindung an `127.0.0.1`, kein Browser-Autostart, eigener Port 8188
- Optionale Windows-Autostart-Aufgabe `Vendoo Local FLUX`
- UI-Aktionen für Installieren, Aktualisieren, Starten, Stoppen und Status prüfen
- Setup-Menü schützt weiterhin vor versehentlicher Neuinstallation von Vendoo und erkennt vorhandene FLUX-Installationen
- Provider-Reihenfolge im Auto-Modus: lokal FLUX → OpenRouter Free → OpenAI
## Slice 19 Local FLUX / ComfyUI Bootstrap, safer setup install flow
- Setup hardened: Install checks whether Vendoo is already installed and suggests Start / Update / Repair instead of blindly reinstalling.
- New setup options: local FLUX / ComfyUI bootstrap and status checks.
- New local image provider architecture for AI model photos: Auto now supports Local FLUX -> OpenRouter Free -> OpenAI.
- New server routes for local image status, bootstrap install and token regeneration.
- Settings UI expanded with local FLUX URL, token, workflow path and install path.
- Added local workflow bootstrap template and helper scripts under `scripts/` and `local-ai/workflows/`.
## Vendoo 1.12.0 OpenRouter Diagnostics & Mobile Mediathek
- Mobiler QR-Upload besitzt jetzt getrennte Aktionen für **Kamera** und **Mediathek**
- Mehrfachauswahl aus der Smartphone-Mediathek ohne `capture`-Zwang
- HEIC/HEIF werden beim mobilen Upload nach Möglichkeit automatisch in JPG konvertiert
- OpenRouter-Free-Erkennung bewertet nur bildrelevante Preisfelder
- OpenRouter versucht je Modell mehrere kompatible Chat-Request-Varianten und danach die Images API
- Referenzbilder werden nur an Modelle gesendet, die Bildinput unterstützen
- Klare Diagnose, wenn aktuell **0 kostenlose Bildmodelle** verfügbar sind
- Bei Fehlern werden weiterhin alle passenden Free-Modelle nacheinander versucht; Auto fällt anschließend auf OpenAI zurück
## Vendoo 1.11.0 LAN QR Upload, OpenRouter Fallback & Mobile Nav Fix
- QR-Handy-Upload verwendet automatisch eine erreichbare LAN-IP statt localhost
- Vendoo lauscht für lokale Netzwerkzugriffe auf `0.0.0.0` und zeigt erkannte LAN-Adressen beim Start an
- Neue Einstellung für `PUBLIC_BASE_URL` inklusive automatischer LAN-IP-Erkennung
- OpenRouter probiert bei Fehlern automatisch weitere passende Free-Bildmodelle und danach im Auto-Modus OpenAI
- OpenRouter-Bildgenerierung unterstützt Chat-Completions und Images-API als zweistufigen Fallback
- Mobile Navigation vollständig gehärtet: Overlay, Close-Button, Fokus, Escape, Scroll-Lock und responsive Labels
## Vendoo 1.10.0 AI Jobs, 13 Varianten & History
- AI-Bildgenerierung läuft jetzt über eine Job-Queue statt nur synchron
- Mindestanzahl auf **1 Bild** gesenkt, Maximum bleibt **3 Bilder**
- Neue Modi: **Model**, **Ghost Mannequin**, **Flatlay**
- Listing-Editor zeigt jetzt eine **AI-Bild-Historie** zum schnellen Übernehmen früherer Generierungen
- Settings erweitert um Standard-Modus für AI-Bilder
## Vendoo 1.9.0 AI Provider Settings Center
- Neuer Settings-Bereich für AI-Model-Fotos mit Provider-Steuerung
- Admin kann jetzt `auto`, `openrouter` oder `openai` für Bildgenerierung wählen
- OpenRouter-Free-Modelle können direkt aus der UI geladen und geprüft werden
- Safety-Flags, Standard-Preset, Variantenanzahl und Fallback-Modell sind in der UI konfigurierbar
## Vendoo 1.8.0 OpenRouter Free Image Discovery
- AI-Model-Fotos unterstützen jetzt einen Provider-Modus `auto`
- OpenRouter Free-Bildmodelle werden dynamisch über die Models-API abgefragt und bei Verfügbarkeit bevorzugt genutzt
- Fallback auf OpenAI (`gpt-image-1` oder konfiguriertes Modell), wenn keine freien OpenRouter-Modelle verfügbar sind
- Neue API-Route für verfügbare OpenRouter-Bildmodelle sowie Persistenz von Provider und Modell je Generierung
## Vendoo 1.7.0 AI-Model-Fotos & Safety Layer
- Neuer sicherer AI-Model-Foto-Workflow für Kleidung ohne Person auf dem Originalfoto
- 23 KI-generierte Zusatzbilder mit fiktiven erwachsenen Models in Studio-, Indoor- oder Outdoor-Looks
- Precheck & Output-Safety: blockiert Unterwäsche, Bademode, transparente Erotik-Looks, Kinderkleidung und Quellen mit Personen
- Neue Backend-Routen, Datenbanktabellen und Listing-Integration für Generator und Detailansicht
# Changelog
## 1.40.2 Capability Graph Contract Hotfix
### Behoben
- `vendoo.module-manager` verlangte `settings.configuration`, obwohl `vendoo.settings` diese Capability nicht bereitstellte.
- Der Plattformstart brach deshalb mit `MODULE_CAPABILITY_MISSING` ab.
- `vendoo.settings` stellt nun den übergeordneten Konfigurationsvertrag zusätzlich zu `settings.application` und `settings.smtp` bereit.
### Qualitätssicherung
- neues Capability-Graph-Gate validiert den real aktivierten Gesamtgraph aller 16 Module.
- `ModuleRegistry.validateGraph()` stellt Startreihenfolge und Capability-Menge ohne Lifecycle-Start für Tests bereit.
- Architektur-, CI-, Release- und Deployment-Gates prüfen den realen Modulgraph statt ausschließlich künstlicher Testmodule.
- keine Datenbankmigration, kein Reset und keine Änderung an Nutzdaten.
## [Unreleased]
## [1.6.2] - 2026-07-07
### Branding
- neues Vendoo-Hauptlogo in die App-Sidebar integriert
- neues Branding auf Login und mobilem QR-Fotoupload integriert
- vollständiges Favicon-Paket mit ICO, PNG, Apple Touch Icon und Webmanifest eingebunden
- mobile App-Icon-Größen von 16 bis 512 Pixel ergänzt
- Chrome-, Edge- und Firefox-Erweiterungen auf die neue Vendoo-Icon-Familie aktualisiert
- Vinted Assistant und minimierter Assistant verwenden das neue Logo
## [1.6.1] - 2026-07-07
### Verbessert
- Dashboard ist jetzt der erste Menüpunkt und die Standard-Startseite.
- Dashboard-KPI-Karten verwenden eine fließende Auto-Fit-Struktur statt starrer Sechserspalten.
- Sparklines besitzen eine reservierte Diagrammfläche und überlagern keine Texte mehr.
- Umsatzdiagramme werden bei Größenänderungen automatisch neu berechnet.
- Dashboard-Charts passen sich an Notebook-, Tablet- und Mobilbreiten an.
- Studio-Flow-Karten verwenden proportionale Bildflächen mit vollständiger `contain`-Darstellung.
- Produktbilder werden nicht mehr abgeschnitten und erhalten einen sauberen Fehlerzustand.
- Ready-Karten verteilen sich automatisch auf die verfügbare Breite.
## [1.6.0] - 2026-07-07
### Hinzugefügt
- neuer Sidebar-Menüpunkt **Dashboard** mit interaktiven Kennzahlen, Umsatzverlauf, Plattform- und Kategorieauswertung
- Dashboard-Bereiche für Fokusaufgaben, Top Seller, Aktivität, Benachrichtigungen, AI-Qualität und Systemstatus
- Fotoarchiv-Endpunkt: mehrere Fotos werden serverseitig als gültiges ZIP erzeugt
- Foto-Download im Generator und vollständigen Listing-Editor
### Geändert
- Studio Flow vollständig neu strukturiert: Bereit, Geplant, Veröffentlicht, Verkauft und Benötigt Aufmerksamkeit
- die fachlich unpassenden sichtbaren Stufen „Neu erfasst“ und „AI-Prüfung“ wurden entfernt
- Studio Flow zeigt nur priorisierte Artikel statt einer überfüllten Spaltenwand
- geplante Listings, Probleme und Aktivitäten sind in klar getrennten Arbeitsbereichen organisiert
- Dashboard und Studio Flow für Notebook, iPad, Tablet und Smartphone neu priorisiert
### Behoben
- Publish-Center lädt Listings beim ersten Öffnen mit Wiederholungslogik und verhindert veraltete parallele Renderings
- Publish-Ladefehler zeigt jetzt eine konkrete Wiederholen-Aktion statt einer Sackgasse
- bei einem Foto erfolgt ein normaler Download, bei mehreren Fotos automatisch ein ZIP-Download
## [1.5.0] - 2026-07-07
### Hinzugefügt
- Browser-Erweiterungen in getrennten Ordnern für Chrome, Edge und Firefox
- vollständiger Design-Relaunch von Popup und Vinted Assistant
- neues Vendoo-Link-Icon in 16, 32, 48 und 128 Pixel
- QR-basierter Handy-Fotoupload für Generator und Listing-Editor
- sichere, zeitlich begrenzte Mobile-Upload-Sitzungen
- responsive Layout-Gates für Desktop, Notebook, iPad und Smartphone
- umschaltbare Plattformvorschau und HTML-Codeansicht
### Verbessert
- Produktbilder der Extension werden vollständig dargestellt
- CSRF-Unterstützung für schreibende Extension-Requests
- öffentliche Serveradresse statt festem localhost für Extension-Bilder
- Plattformvorschau und HTML-Code sind in Generator und Listing-Editor als Umschalter zusammengeführt
- Layouts für Desktop, Notebook, iPad und Smartphone neu priorisiert
- freigegebene Extension- und Icon-Mockups als verbindliche Designreferenz archiviert
### Behoben
- Studio Flow: „Prüfen & bearbeiten“ wechselt jetzt zuverlässig zur sichtbaren Listing-Detailansicht.
- Detailaufrufe aus Attention Queue und anderen Bereichen verwenden denselben sicheren Navigationspfad.
- Ungültige Listing-IDs werden abgefangen und als Hinweis angezeigt.
- Windows-Installer behandelt npm `ENOTEMPTY`/`EPERM` robust, bereinigt unvollstaendige `node_modules`, protokolliert npm-Ausgaben und wiederholt die Installation einmal.
- Installation nutzt mit vorhandenem Lockfile reproduzierbar `npm ci` statt eines stillen `npm install`.
### Geplant
- Lager, Vorlagen, Einstellungen und Admin gemäß Design-Freeze
- Docker- und Online-Readiness
## [1.4.0-full-listing-editor] - 2026-07-07
### Hinzugefügt
- Listings lassen sich jetzt vollständig in einem eigenen Arbeitsbereich bearbeiten
- Fotoverwaltung mit Hinzufügen, Entfernen, Cover-Auswahl, Drag-to-Sort und vollständigem Bildeditor ergänzt
- WYSIWYG-Editor und HTML-Code sind im Listing-Editor bidirektional und live synchronisiert
- Generator zeigt HTML-Code und Plattformvorschau gleichzeitig; Änderungen werden ohne Umschalten übernommen
- Plattform-HTML wird während der Bearbeitung live neu gerendert
- neue Datenbankspalte `description_html` mit Migration und Rückwärtskompatibilität
- neuer API-Endpunkt `POST /api/html-render` für nicht persistierende Live-Vorschauen
- Editor-HTML und vollständiges Plattform-HTML können getrennt kopiert werden
### Sicherheit
- Rich-Text-HTML wird client- und serverseitig auf eine begrenzte Tag- und Attributmenge reduziert
- Plattformvorschauen laufen in sandboxed iframes
- Listing-Updates verwenden jetzt eine feste Feld-Allowlist statt beliebiger SQL-Spaltennamen
### Behoben
- `photos` werden bei Listing-Updates korrekt als JSON gespeichert
- Bildbearbeitung funktioniert nun auch für bereits gespeicherte Listings
- formatierte Beschreibungen bleiben nach Speichern und erneutem Öffnen erhalten
## [1.3.0-publish-center] - 2026-07-07
### Geändert
- Publish-Bereich als durchgängiges operatives Publish-Center neu aufgebaut
- Smart Copy, Direkt-Publishing, eBay Queue und Zeitplanung in einer gemeinsamen Oberfläche zusammengeführt
- bildorientierte Listing-Auswahl mit Suche, Plattform-/Statusfilter, Sortierung und Mehrfachauswahl ergänzt
- internes Workspace-Modell statt separater Queue- und Smart-Copy-Modale eingeführt
- direkte Listing-Bearbeitung vor Etsy-/eBay-Veröffentlichung integriert
- Publish-Bereitschaft, Pflichtfelder, Integrationsstatus und Fotoprüfung sichtbar gemacht
- Queue-Status, Schnellaktionen und Publish-Aktivität in einer festen Statusleiste gebündelt
- eBay-Fehler, Wiederholungen und geplante Veröffentlichungen inline bedienbar gemacht
- responsive Darstellung und Dark Mode für das komplette Publish-Center ergänzt
### Behoben
- Batch-Smart-Copy öffnete denselben Vorgang teilweise doppelt
- nicht passende Etsy-Batch-Auswahl wird jetzt gefiltert statt blind veröffentlicht
- Produktbilder im Publish-Center werden vollständig und ohne Beschnitt dargestellt
- Queue- und Planungsaktionen bleiben im Vendoo-Kontext und verlieren nicht den aktuellen Arbeitsstand
## [1.2.0-listing-studio] - 2026-07-07
### Geändert
- Listing-Generator als dreigeteilter Studio-Arbeitsplatz neu aufgebaut
- Foto-Cover, Sortierung, Qualitätscheck und vollständige Bildanpassung integriert
- AI-Konfiguration mit Plattform, Provider, Modell, Sprache, Varianten und Vorlagen neu strukturiert
- artikelspezifische Verkäufernotizen mit Zeichenzähler ergänzt
- Ergebnisbereich mit Live-Zählern, Qualitätswert, Attributen, Gebühren und HTML-Vorschau modernisiert
- responsive Darstellung und Dark Mode für den Generator vollständig ergänzt
### API
- `POST /api/generate` akzeptiert `template_id` und `seller_notes`
- globale Hinweise, Vorlagenhinweise und Artikelhinweise werden dedupliziert kombiniert
- Standard-Tags aus Vorlagen werden mit AI-Tags zusammengeführt
### Behoben
- Upload begrenzt neue Bilder clientseitig auf die verbleibenden Plätze bis maximal zehn
- Upload-Fehler werden mit HTTP-Status und Servermeldung korrekt angezeigt
- Dateinamen in Vorschaubildern werden URL-sicher ausgegeben
## [1.0.1-ui-foundation.1] - 2026-07-07
### Hinzugefügt
- zentrale Vendoo-Design-Tokens für Light und Dark Mode
- neue kompakte App-Shell und Hauptnavigation
- Command-Search-Einstieg mit `Ctrl/⌘ + K`
- neue Startseite `Studio Flow`
- Flow-Stufen: Neu erfasst, AI-Prüfung, Bereit, Geplant, Veröffentlicht, Verkauft
- Attention Queue und Activity Stream
- kontextueller Artikel-Inspector
- neuer Endpunkt `GET /api/dashboard/workflow`
- Dokumentation `docs/UI_FOUNDATION_2026.md`
- sicherer `.gitignore`
### Sicherheit
- `.env`, SQLite-Laufzeitdateien, Uploads und `node_modules` aus dem Übergabepaket entfernt
- keine produktiven Zugangsdaten in der bereinigten Version
## [1.1.1-ui-polish] - 2026-07-07
### Geändert
- Etiketten und Artikeldatenblätter öffnen jetzt im internen Vendoo Print Studio statt in einem neuen Browserfenster
- maßstabsgetreue A4-Vorschau mit zwei Etikettenformaten, Exemplaren und Preisoption
- Druck erfolgt im aktuellen Vendoo-Fenster über den normalen Systemdruckdialog
- Studio-Flow-Produktbilder verwenden vollständige automatische Anpassung (`object-fit: contain`)
- Inspector- und Attention-Bilder werden ebenfalls ohne Beschnitt dargestellt
- Vinted-Extension auf die freigegebene Vendoo-Designsprache 2026 umgestellt
- Extension-Popup und eingeblendetes Vinted-Panel modernisiert
- Produktbilder der Extension werden sicher über den Background-Service-Worker als Data-URL geladen
- Pfade von Upload-Bildern werden korrekt URL-codiert und Bildfehler erhalten einen sichtbaren Zustand
- fehlerhaft doppelt codierte deutsche Texte in der Extension repariert
### Behoben
- Produktvorschaubilder in der Vinted-Extension wurden durch Seiten-CSP/Mixed-Content-Konstellationen teilweise nicht angezeigt
- große oder hochformatige Produktbilder wurden im Studio Flow abgeschnitten
## [1.1.0-ui-listings] - 2026-07-07
### Geändert
- Listings-/Historie-Seite vollständig an die freigegebene Vendoo-Designrichtung 2026 angepasst
- neue Filterleiste mit Suche, Plattform, Status und Zeitraum
- benutzerdefinierbare sichtbare Tabellenspalten mit lokaler Speicherung
- dichte, bildorientierte Listing-Tabelle mit SKU, Plattform, AI-Provider, Preis, Status, Lagerort und Publish-Status
- neue Batch-Aktionsleiste für Publish, Nachbearbeitung, Preis, Status, Duplizieren, Etiketten und Löschen
- moderne Seitennavigation und Seitengrößensteuerung
- neue Exportauswahl für CSV und JSON
- verbesserter leerer Zustand und responsive Darstellung
- bestehende CRUD-, Export-, Druck-, Status- und Papierkorb-Funktionen erhalten
## [1.6.1] - 2026-07-07
### Geändert
- Vendoo Assistant für Chrome, Edge und Firefox vollständig verdichtet und visuell neu strukturiert.
- Queue-Karten zeigen Bild, Status, SKU, Preis und direkte Aktionen ohne große Leerflächen.
- „Nur ausfüllen“ ist jetzt die primäre und sichere Einzelaktion.
- Daten können in Vinted eingetragen werden, ohne automatisch einen Entwurf anzulegen oder zu veröffentlichen.
- „Daten + Bilder ausfüllen“ überträgt Bilder und Felder, führt aber keinen Abschluss aus.
- Entwurf und Veröffentlichung liegen bewusst in einem getrennten, aufklappbaren Abschlussbereich.
- Popup öffnet Vinted mit einem vorgemerkten Listing und füllt es nach dem Laden aus.
- Extension-Version auf 1.4.0 angehoben.