Prywatność na Dusk nie jest globalnym ustawieniem.
To decyzja, którą podejmujesz w kółko.
A większość zespołów podejmuje ją zbyt wcześnie.
Zakładają, że milczenie jest neutralne. Że ukrywanie stanu jest zawsze bezpieczniejsze niż jego ujawnienie. A potem rzeczywistość uderza. Integracje stają w miejscu. Obserwowalność się załamuje. Narzędzia zaczynają zaprzeczać same sobie. Nagle nikt nie może odpowiedzieć na proste pytanie bez zastrzeżeń.
To nie jest teoretyczny koszt.
To jest dług operacyjny.
DuskVM istnieje, ponieważ ten dług musi gdzieś żyć. Jeśli go nie izolujesz, przenika do wszystkiego innego.
Na początku tego nie rozumiałem. Obserwowałem, jak prototyp wychodził, gdzie prywatność była domyślną dla każdej transakcji. Wyglądało czysto na papierze. W praktyce, pierwszy tydzień integracji to była tylko kontrola szkód. Indeksatorzy nie mieli nic stabilnego, na co mogli by się oprzeć. Audyty spowolniły do ślimaczego tempa. Podstawowe pytanie dotyczące migawki — kto kwalifikował się do wykonania — nie miało natywnej odpowiedzi. Każda odpowiedź była rekonstrukcją po fakcie.
Wtedy linia staje się widoczna.
Nie w dokumentach projektowych.
W tarciu.
Kiedy system nie może odpowiedzieć na proste, uzasadnione pytanie bez eksportowania stanu, przekroczyłeś tę granicę.
Poufne wykonywanie jest uzasadnione tylko tam, gdzie widoczność zmienia zachowanie. Gdy alokacje wciąż się formują. Gdzie warunki związane z tożsamością nie powinny utwardzać się w publiczne etykiety. Gdzie poświadczenia wygasają i świeżość ma rzeczywiście znaczenie. Gdzie salda przeciekają strategię przez wnioskowanie.
Te ścieżki zasługują na szyfrowanie i dowody. Jedyną rzeczą, którą zewnętrzny świat musi wiedzieć, jest to, że zasada obowiązywała w momencie wykonania. Żadnego dodatkowego koloru. Żadnego przyszłego wyjaśnienia.
Wszystko inne powinno pozostać czytelne.
Rynki potrzebują kotwic. Inne kontrakty potrzebują stabilnych interfejsów. Systemy ryzyka potrzebują faktów, o których mogą rozważać w czasie okna. Jeśli wpychasz te powierzchnie do DuskVM, nie zyskujesz bezpieczeństwa — tracisz spójność. Obserwowalność staje się kryminalistyczna. Pulpity przestają być odniesieniami i zaczynają być interpretacjami.
Dlatego Moonlight i Phoenix mają znaczenie — ale tylko jako oddzielenie zmartwienia. Osłonięte wykonywanie żyje w Moonlight. Czytelny stan pozostaje w Phoenix. Kiedy ujawnienie się uruchamia, rozliczenie nie chce historii. Chce najmniejszej obronnej prawdy, dowodowo związanej z wykonaniem.
"Ujawniamy później" brzmi elastycznie.
To nie jest.
Później to miejsce, w którym ukrywają się przypadki brzegowe. Później to miejsce, w którym zespoły renegocjują to, co już się wydarzyło. Gdy wykonywanie się ustabilizuje, retroaktywna klarowność znika. Jeśli ujawnienie nie zostało zaprojektowane w przepływie, nie jest już bezpieczne.
Nie zauważysz tego podczas pisania.
Zauważasz to przy odcięciu.
Ktoś prosi o dowód, który powinien istnieć. To nie istnieje. A jedynym sposobem na odpowiedź jest rozdarcie systemu, który próbowałeś chronić.
To nie jest porażka prywatności.
To jest porażka granicy.
DuskVM polega na wymuszaniu, by ta granica była wyraźna — zanim ból uczyni ją oczywistą.
