Gouvernance – Active Only Rules (PS 5.1, SAFE-WRITE)

1) PS 5.1 STRICT
   - Interdits: ?:  ?.  ??  Select-String -Recurse  alias (ls, gci, cat, ni, rm, cp, mv, ri, sls)
   - Encodage: .ps1 = UTF-8 avec BOM; .txt/.json = UTF-8 (sans BOM). Typo-chars bannis.
   - Patterns: boucles explicites (Get-ChildItem) pour remplacer -Recurse manquants en PS 5.1.

2) SAFE-WRITE (atomique)
   - Staging local → écriture .tmp → Move-Item atomique.
   - Ensure-Parent pour chaque cible. SHA256 avant/après. Logs OK/NOK (jamais de booléen nu).
   - Jamais de exit; ne pas tuer l’hôte (wrappers .cmd ASCII, Bypass sur UNC).

3) DEVLOCK + BOOTPACK
   - Devlock valide avant écriture. bootpack.txt doit contenir [BUG_KB_JSON] + [BUG_KB_JSON_POINTER] cohérents.
   - Pointeurs (KB / RULES) doivent matcher Path/SHA/Entries. Gating si NOK.

4) NO-APPEND – RENDU COMPLET
   - Pas d’édition partielle: tout fichier fautif est régénéré en version complète et contrôlée.

5) ACTIVE-ONLY
   - Le scan/les corrections se concentrent sur le set actif (déduit des wrappers *_latest.cmd).
   - Le legacy “doctor/*” est ignoré sauf demande explicite.