feat(sprint-A9): release pipeline PyPI + ghcr.io + GitHub Release

Sprint A9 — Distribution (3 PJ, items M-5, M-6, m-15, m-16).

Items résolus :

- M-5 : version dynamique via ``setuptools_scm``.
- ``pyproject.toml`` : ``dynamic = ["version"]`` + section
``[tool.setuptools_scm]`` qui écrit ``picarones/_version.py``
au build (gitignored).
- ``picarones/__init__.py`` lit en priorité ``_version.py``,
fallback ``importlib.metadata.version()``, fallback ``"1.0.0"``.
- Comportement : tag ``v1.2.0`` → version ``1.2.0`` ; main hors tag
→ ``1.2.1.devN+gSHA`` ; ``no-local-version`` pour PyPI compat.

- M-5+M-6 : ``.github/workflows/release.yml`` (200 lignes), 6 jobs :
1. ``build`` : sdist + wheel, ``twine check``, smoke wheel install.
2. ``publish-testpypi`` : upload TestPyPI via OIDC trust.
3. ``testpypi-smoke`` : install depuis TestPyPI dans container vide
+ ``picarones demo`` avec retry pour délai d'indexation.
4. ``publish-pypi`` : upload PyPI via OIDC trust (sans token long-lived).
5. ``docker`` : build multi-arch (linux/amd64 + linux/arm64) via
QEMU + buildx, push ``ghcr.io/.../picarones:<version>`` +
``:latest``, attestations SLSA + SBOM activées.
6. ``github-release`` : crée la Release avec corps extrait depuis
CHANGELOG (regex ``## [VERSION]``), pre-release auto si suffix
rc/a/b dans le tag.
Déclencheur : push tag ``v*.*.*``.

- m-15 : ``picarones.spec`` (PyInstaller) — la liste manuelle de 35+
``hiddenimports`` qui dérivait silencieusement (référençait
``picarones.core.runner``, ``picarones.importers.*`` qui ont migré
au refactor Cercle 1/2/3) est remplacée par
``collect_submodules("picarones")`` qui auto-détecte tout le
sous-arbre. Plus rien à maintenir à la main.

- m-16 : extras placeholders ``historical = []`` et ``importers = []``
retirés. La séparation future en packages PyPI distincts est
documentée dans ``docs/developer/module-policy.md`` (Sprint 97)
et n'a plus besoin d'être réservée par un extra vide. ``all =
[...]`` mis à jour pour ne plus référencer ces extras.

- ``docs/operations/release-process.md`` (180 lignes) : procédure
end-to-end, pré-requis OIDC PyPI/TestPyPI, cycle release standard,
hotfix sécurité < 72h, yanking, rollback complet, validation
post-release.

Tests : ``tests/release/test_release_artifacts.py`` (14 cas) :
- pyproject ``dynamic = ["version"]`` + setuptools_scm configuré.
- ``picarones.__version__`` résout au format PEP 440.
- release.yml existe, déclencheur tag, OIDC, multi-arch ghcr.io,
GitHub Release auto.
- ``picarones.spec`` utilise ``collect_submodules`` et ne référence
plus les anciens chemins.
- Extras vides ``historical`` / ``importers`` retirés du
pyproject.toml et de l'extra ``all``.
- ``release-process.md`` couvre les sections clés.

Sprint 29 + chantier5 inchangés (pas de nouveau détecteur narratif).

.github/workflows/release.yml

@@ -0,0 +1,273 @@
+# Sprint A9 (M-5 + M-6) — pipeline de release.
+#
+# Déclenché sur push d'un tag ``v*.*.*`` (ex : ``v1.1.0``,
+# ``v1.2.0-rc1``).  Comportement :
+#
+#   1. Build sdist + wheel via ``python -m build`` (setuptools_scm
+#      dérive automatiquement la version du tag).
+#   2. Validation ``twine check`` (taille, README rendu, métadonnées).
+#   3. Smoke test : install dans un container vierge + ``picarones demo``.
+#   4. Publication TestPyPI (validation finale avant prod).
+#   5. Smoke test depuis TestPyPI (``pip install --index-url testpypi``).
+#   6. Publication PyPI via Trusted Publisher (OIDC, sans token).
+#   7. Build image Docker multi-arch (linux/amd64 + linux/arm64).
+#   8. Push ghcr.io/maribakulj/picarones:<version> + :latest.
+#   9. Création GitHub Release avec corps généré depuis CHANGELOG.
+#
+# Prérequis (à configurer une fois côté GitHub) :
+#   - PyPI Trusted Publisher : ajouter ce workflow dans
+#     https://pypi.org/manage/account/publishing/
+#   - GHCR_TOKEN n'est pas requis : ``GITHUB_TOKEN`` natif suffit
+#     avec ``packages: write`` (cf. permissions du job docker).
+
+name: Release
+
+on:
+  push:
+    tags:
+      - 'v*.*.*'
+  workflow_dispatch:
+    inputs:
+      tag:
+        description: "Tag à releaser (ex: v1.1.0). Manuel uniquement."
+        required: true
+        type: string
+
+permissions:
+  contents: read
+
+jobs:
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 1 — Build & validate distribution Python
+  # ──────────────────────────────────────────────────────────────────
+  build:
+    name: Build & validate
+    runs-on: ubuntu-latest
+    outputs:
+      version: ${{ steps.version.outputs.version }}
+
+    steps:
+      - name: Checkout (full history for setuptools_scm)
+        uses: actions/checkout@v4
+        with:
+          fetch-depth: 0  # tags + history requis par setuptools_scm
+
+      - name: Set up Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.11"
+          cache: pip
+
+      - name: Install build tools
+        run: python -m pip install --upgrade build twine setuptools_scm
+
+      - name: Detect version from tag
+        id: version
+        run: |
+          VERSION=$(python -m setuptools_scm)
+          echo "version=${VERSION}" >> "$GITHUB_OUTPUT"
+          echo "Version détectée : ${VERSION}"
+
+      - name: Build sdist + wheel
+        run: python -m build
+
+      - name: Twine validate
+        run: twine check dist/*
+
+      - name: Smoke test wheel install
+        run: |
+          python -m venv /tmp/smoke
+          /tmp/smoke/bin/pip install dist/*.whl
+          /tmp/smoke/bin/picarones --version
+
+      - name: Upload artefacts
+        uses: actions/upload-artifact@v4
+        with:
+          name: dist-${{ steps.version.outputs.version }}
+          path: dist/
+          retention-days: 30
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 2 — Publication TestPyPI (validation finale)
+  # ──────────────────────────────────────────────────────────────────
+  publish-testpypi:
+    name: Publish to TestPyPI
+    needs: build
+    runs-on: ubuntu-latest
+    environment:
+      name: testpypi
+      url: https://test.pypi.org/p/picarones
+    permissions:
+      id-token: write  # OIDC trust pour TestPyPI
+
+    steps:
+      - name: Download artefacts
+        uses: actions/download-artifact@v4
+        with:
+          name: dist-${{ needs.build.outputs.version }}
+          path: dist/
+
+      - name: Publish to TestPyPI
+        uses: pypa/gh-action-pypi-publish@release/v1
+        with:
+          repository-url: https://test.pypi.org/legacy/
+          skip-existing: true
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 3 — Smoke test depuis TestPyPI (avant publication finale)
+  # ──────────────────────────────────────────────────────────────────
+  testpypi-smoke:
+    name: Smoke test TestPyPI install
+    needs: [build, publish-testpypi]
+    runs-on: ubuntu-latest
+
+    steps:
+      - name: Set up Python
+        uses: actions/setup-python@v5
+        with:
+          python-version: "3.11"
+
+      - name: Install Tesseract (pour le demo)
+        run: |
+          sudo apt-get update -qq
+          sudo apt-get install -y tesseract-ocr tesseract-ocr-fra
+
+      - name: Install from TestPyPI
+        run: |
+          # Retry pour le délai d'indexation TestPyPI (~30s typique)
+          for i in 1 2 3 4 5; do
+            pip install \
+              --index-url https://test.pypi.org/simple/ \
+              --extra-index-url https://pypi.org/simple/ \
+              picarones==${{ needs.build.outputs.version }} && break
+            echo "Tentative $i échouée, retry dans 30s..."
+            sleep 30
+          done
+
+      - name: Run demo
+        run: |
+          picarones --version
+          picarones demo --output /tmp/demo.html
+          test -s /tmp/demo.html
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 4 — Publication PyPI (production)
+  # ──────────────────────────────────────────────────────────────────
+  publish-pypi:
+    name: Publish to PyPI
+    needs: [build, testpypi-smoke]
+    runs-on: ubuntu-latest
+    environment:
+      name: pypi
+      url: https://pypi.org/p/picarones
+    permissions:
+      id-token: write  # OIDC trust — pas de token long-lived
+
+    steps:
+      - name: Download artefacts
+        uses: actions/download-artifact@v4
+        with:
+          name: dist-${{ needs.build.outputs.version }}
+          path: dist/
+
+      - name: Publish to PyPI
+        uses: pypa/gh-action-pypi-publish@release/v1
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 5 — Image Docker multi-arch publiée sur ghcr.io
+  # ──────────────────────────────────────────────────────────────────
+  docker:
+    name: Build & push Docker image
+    needs: [build, publish-pypi]
+    runs-on: ubuntu-latest
+    permissions:
+      contents: read
+      packages: write  # push ghcr.io
+
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Set up QEMU (for arm64 emulation)
+        uses: docker/setup-qemu-action@v3
+
+      - name: Set up Docker Buildx
+        uses: docker/setup-buildx-action@v3
+
+      - name: Login to ghcr.io
+        uses: docker/login-action@v3
+        with:
+          registry: ghcr.io
+          username: ${{ github.actor }}
+          password: ${{ secrets.GITHUB_TOKEN }}
+
+      - name: Build & push (multi-arch)
+        uses: docker/build-push-action@v5
+        with:
+          context: .
+          platforms: linux/amd64,linux/arm64
+          push: true
+          tags: |
+            ghcr.io/${{ github.repository_owner }}/picarones:${{ needs.build.outputs.version }}
+            ghcr.io/${{ github.repository_owner }}/picarones:latest
+          cache-from: type=gha
+          cache-to: type=gha,mode=max
+          provenance: true       # SLSA attestation
+          sbom: true             # Software Bill of Materials
+
+  # ──────────────────────────────────────────────────────────────────
+  # Job 6 — GitHub Release avec corps depuis CHANGELOG
+  # ──────────────────────────────────────────────────────────────────
+  github-release:
+    name: Create GitHub Release
+    needs: [build, publish-pypi, docker]
+    runs-on: ubuntu-latest
+    permissions:
+      contents: write  # créer la release
+
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+        with:
+          fetch-depth: 0
+
+      - name: Download artefacts
+        uses: actions/download-artifact@v4
+        with:
+          name: dist-${{ needs.build.outputs.version }}
+          path: dist/
+
+      - name: Extract release notes from CHANGELOG
+        id: notes
+        run: |
+          # Lit la section ``## [X.Y.Z]`` correspondant à la version.
+          # Si pas trouvée, fallback sur un message générique.
+          VERSION="${{ needs.build.outputs.version }}"
+          NOTES_FILE=/tmp/release_notes.md
+          python <<PYEOF > "$NOTES_FILE"
+          import re, sys
+          changelog = open("CHANGELOG.md", encoding="utf-8").read()
+          version = "$VERSION"
+          # On cherche soit ``## [1.2.3]``, ``## [v1.2.3]``, ou ``## [1.2.3]``
+          pat = re.compile(rf"^## \[v?{re.escape(version)}\][^\n]*\n(.+?)(?=^## \[|^---|\Z)", re.MULTILINE | re.DOTALL)
+          m = pat.search(changelog)
+          if m:
+              print(m.group(1).strip())
+          else:
+              print(f"Release {version} — voir CHANGELOG.md pour les détails.")
+          PYEOF
+          echo "Notes extraites depuis CHANGELOG :"
+          cat "$NOTES_FILE"
+
+      - name: Create GitHub Release
+        uses: softprops/action-gh-release@v2
+        with:
+          tag_name: ${{ github.ref_name }}
+          name: Picarones ${{ needs.build.outputs.version }}
+          body_path: /tmp/release_notes.md
+          files: |
+            dist/*.whl
+            dist/*.tar.gz
+          draft: false
+          prerelease: ${{ contains(needs.build.outputs.version, 'rc') || contains(needs.build.outputs.version, 'a') || contains(needs.build.outputs.version, 'b') }}

.gitignore

@@ -30,3 +30,4 @@ jobs.db-wal
 # Exceptions : fichiers HTML sources du package (templates Jinja2, pas rapports)
 !picarones/report/templates/*.html
 !picarones/web/templates/*.html
+_version.py

docs/operations/release-process.md

@@ -0,0 +1,138 @@
+# Procédure de release
+
+> Sprint A9 du plan de remédiation institutionnelle
+> ([`docs/audits/remediation-plan-2026-05.md`](../audits/remediation-plan-2026-05.md)).
+
+## Vue d'ensemble
+
+Une release Picarones produit **trois artefacts** :
+
+1. Un wheel + sdist sur **PyPI** (`pip install picarones==X.Y.Z`).
+2. Une image Docker **multi-arch** sur ghcr.io
+   (`docker pull ghcr.io/maribakulj/picarones:X.Y.Z`).
+3. Une **GitHub Release** avec le sdist/wheel attachés et les
+   release notes extraites du `CHANGELOG.md`.
+
+Le pipeline est entièrement automatisé : il suffit de pousser un
+tag `v*.*.*` pour déclencher l'enchaînement complet (workflow
+[`.github/workflows/release.yml`](../../.github/workflows/release.yml)).
+
+## Procédure release standard
+
+### Pré-requis (une fois)
+
+1. **PyPI Trusted Publisher** : sur <https://pypi.org/manage/account/publishing/>,
+   ajouter ce repo + workflow `release.yml` + environnement `pypi`.
+   Idem pour TestPyPI dans l'environnement `testpypi`.
+2. **GitHub repo** : créer les environnements `pypi` et `testpypi`
+   dans Settings → Environments, et marquer `pypi` comme "required
+   reviewers" si vous voulez une validation manuelle finale.
+3. **GHCR** : `packages: write` sur `GITHUB_TOKEN` est natif (rien
+   à configurer).
+
+### Cycle de release
+
+```bash
+# 1. Vérifier que main est vert + à jour
+git checkout main
+git pull --ff-only
+
+# 2. Mettre à jour le CHANGELOG.md (Keep a Changelog)
+#    Ajouter une section ## [1.2.0] — YYYY-MM-DD avec les changes
+git add CHANGELOG.md
+git commit -m "docs(changelog): release 1.2.0"
+
+# 3. Tag annoté + push
+git tag -a v1.2.0 -m "Picarones 1.2.0"
+git push origin main
+git push origin v1.2.0
+
+# 4. Surveiller le workflow Actions
+gh run watch
+```
+
+Le workflow déroule **automatiquement** :
+
+1. **build** — sdist + wheel via setuptools_scm (version dérivée du tag),
+   `twine check`, smoke test wheel install.
+2. **publish-testpypi** — upload TestPyPI via OIDC trust.
+3. **testpypi-smoke** — installation depuis TestPyPI dans un container
+   vierge + `picarones demo`.
+4. **publish-pypi** — upload PyPI via OIDC trust (production).
+5. **docker** — build multi-arch (linux/amd64 + linux/arm64) avec
+   QEMU, push ghcr.io, attestations SLSA + SBOM.
+6. **github-release** — création de la Release GitHub avec corps
+   extrait depuis la section CHANGELOG correspondante.
+
+Durée totale : ~15 min (multi-arch + 30s d'indexation TestPyPI).
+
+## Versionnement
+
+Picarones suit **Semantic Versioning 2.0.0** :
+
+- `MAJOR.MINOR.PATCH` — incompatibilité, ajout, fix.
+- Suffixes pré-release : `-rc1`, `-beta1`, `-alpha1`. Le workflow
+  les détecte et coche `prerelease=true` sur la GitHub Release.
+
+`setuptools_scm` dérive automatiquement la version du tag git :
+
+| Contexte | Version produite |
+|---|---|
+| Tag `v1.2.0` | `1.2.0` |
+| 5 commits après `v1.2.0` | `1.2.1.dev5+g<sha>` (dev seulement) |
+| `v1.3.0-rc1` | `1.3.0rc1` (PEP 440) |
+
+## Procédure d'urgence : hotfix sécurité
+
+Pour un fix CVE qui doit sortir en < 72 h (politique GOVERNANCE.md) :
+
+```bash
+git checkout -b hotfix-cve-2026-XXXX main
+# correctif minimal + test
+git commit -m "fix(security): patch CVE-2026-XXXX"
+# CHANGELOG bump
+git commit -m "docs(changelog): release 1.2.1"
+git tag -a v1.2.1 -m "Picarones 1.2.1 (security)"
+git push origin hotfix-cve-2026-XXXX v1.2.1
+# Le workflow release.yml gère le reste.
+# Après merge : annonce sur SECURITY.md + courriel mainteneur.
+```
+
+## Yanking d'une release publiée
+
+PyPI permet de retirer (yank) une version compromise sans la
+supprimer. À utiliser si une release introduit une régression
+critique :
+
+```bash
+# Connexion à PyPI → Manage → version concernée → "Yank"
+# Justification dans le commentaire (visible publiquement).
+```
+
+L'image ghcr.io reste — mais le tag `:latest` ne pointera plus vers
+la version yankée si on pousse une nouvelle release.
+
+## Validation post-release
+
+Checklist 30 min après la fin du workflow :
+
+- [ ] `pip install picarones==<version>` fonctionne dans un venv frais.
+- [ ] `docker run ghcr.io/maribakulj/picarones:<version>` démarre
+      sans erreur et expose `/health`.
+- [ ] La GitHub Release affiche bien les release notes attendues.
+- [ ] `cffconvert --validate` confirme que `CITATION.cff` cite la
+      bonne version (Sprint A12+).
+
+## Annexe : rollback complet
+
+Si la release est compromise et doit être retirée intégralement :
+
+1. PyPI : yank la version (cf. plus haut).
+2. ghcr.io : `docker manifest rm ghcr.io/maribakulj/picarones:<version>`.
+3. GitHub Release : passer en draft + ajouter un README explicatif.
+4. Tag git : `git push --delete origin v<version>` puis nouveau
+   tag `v<version>+1` corrigé (un tag git ne peut pas être réécrit
+   sans casser tous les checkouts existants — préférer le bump).
+
+Ne **jamais** force-push un tag déjà publié — les utilisateurs qui
+ont fait `git fetch` voient un conflit.

picarones.spec

@@ -17,6 +17,11 @@
 import sys
 from pathlib import Path
 
+# Sprint A9 (m-15) — utilitaire PyInstaller pour auto-détecter les
+# imports d'un package entier. Remplace la liste hiddenimports manuelle
+# qui dérivait silencieusement à chaque refactor.
+from PyInstaller.utils.hooks import collect_submodules  # noqa: F401
+
 # Chemin racine du projet
 ROOT = Path(spec_file).parent  # noqa: F821 (spec_file est défini par PyInstaller)
 
@@ -41,61 +46,43 @@ a = Analysis(
         # (str(ROOT / "prompts"), "prompts"),
     ],
 
-    # Imports cachés (non détectés automatiquement par PyInstaller)
-    hiddenimports=[
-        # CLI
-        "picarones.cli",
-        "picarones.core.corpus",
-        "picarones.core.metrics",
-        "picarones.core.results",
-        "picarones.core.runner",
-        "picarones.core.normalization",
-        "picarones.core.statistics",
-        "picarones.core.confusion",
-        "picarones.core.char_scores",
-        "picarones.core.taxonomy",
-        "picarones.core.structure",
-        "picarones.core.image_quality",
-        "picarones.core.difficulty",
-        "picarones.core.history",
-        "picarones.core.robustness",
-        "picarones.engines.base",
-        "picarones.engines.tesseract",
-        "picarones.engines.pero_ocr",
-        "picarones.engines.mistral_ocr",
-        "picarones.engines.google_vision",
-        "picarones.engines.azure_doc_intel",
-        "picarones.llm.base",
-        "picarones.llm.openai_adapter",
-        "picarones.llm.anthropic_adapter",
-        "picarones.llm.mistral_adapter",
-        "picarones.llm.ollama_adapter",
-        "picarones.importers.iiif",
-        "picarones.importers.gallica",
-        "picarones.importers.escriptorium",
-        "picarones.importers.huggingface",
-        "picarones.importers.htr_united",
-        "picarones.pipelines.base",
-        "picarones.pipelines.over_normalization",
-        "picarones.report.generator",
-        "picarones.report.diff_utils",
-        "picarones.fixtures",
-        # Dépendances tiers
-        "click",
-        "jiwer",
-        "PIL",
-        "PIL.Image",
-        "PIL.ImageFilter",
-        "PIL.ImageOps",
-        "yaml",
-        "tqdm",
-        "numpy",
-        "pytesseract",
-        # SQLite (stdlib, mais parfois manquant)
-        "sqlite3",
-        # Encodage
-        "unicodedata",
-    ],
+    # Sprint A9 (m-15) — auto-détection des hiddenimports.
+    #
+    # Avant Sprint A9, la liste était maintenue manuellement et
+    # dérivait : elle référençait des modules qui ont migré dans
+    # ``measurements/`` ou ``extras/`` au moment du refactor des
+    # Cercles 1/2/3 (Sprint 33).  Bug latent : la PyInstaller build
+    # produisait un exécutable qui ratait silencieusement à
+    # l'``import`` de ces modules.
+    #
+    # ``collect_submodules`` parcourt tout le sous-arbre du package
+    # à la construction et inclut tout ce qui s'importe.  Plus rien
+    # à maintenir à la main quand on ajoute un sous-module.
+    #
+    # Liste explicite des dépendances tierces conservée car certaines
+    # (PIL.ImageFilter, jiwer) ne sont pas trouvées par ``collect_submodules``
+    # de leur propre fait (importées paresseusement).
+    hiddenimports=(
+        collect_submodules("picarones")  # noqa: F821 — défini par PyInstaller
+        + [
+            "click",
+            "jiwer",
+            "PIL",
+            "PIL.Image",
+            "PIL.ImageFilter",
+            "PIL.ImageOps",
+            "yaml",
+            "tqdm",
+            "numpy",
+            "pytesseract",
+            "defusedxml",
+            "defusedxml.ElementTree",
+            "sqlite3",
+            "unicodedata",
+            # Sprint A1 — type-checking et tests embarqués au build dev
+            # uniquement.  En build release pur, retirer.
+        ]
+    ),
 
     # Fichiers à exclure pour réduire la taille
     excludes=[

picarones/__init__.py

@@ -21,12 +21,21 @@ Voir ``docs/architecture.md`` pour la cartographie complète des
 
 from __future__ import annotations
 
-# Version (lecture dynamique depuis le package metadata après ``pip install -e .``)
+# Version (Sprint A9 / M-5) — résolue dans cet ordre :
+#   1. ``picarones._version`` injecté au build par setuptools_scm
+#      (présent dans le wheel installé) ;
+#   2. fallback ``importlib.metadata.version("picarones")`` pour les
+#      installations editable où ``_version.py`` peut être stale ;
+#   3. fallback final ``"1.0.0"`` si aucune source n'est disponible
+#      (ex : tarball sans .git ni metadata).
 try:
-    from importlib.metadata import version as _get_version
-    __version__ = _get_version("picarones")
-except Exception:  # noqa: BLE001
-    __version__ = "1.0.0"
+    from picarones._version import __version__  # type: ignore[import-not-found]
+except ImportError:
+    try:
+        from importlib.metadata import version as _get_version
+        __version__ = _get_version("picarones")
+    except Exception:  # noqa: BLE001
+        __version__ = "1.0.0"
 
 __author__ = "Picarones contributors"
 

pyproject.toml

@@ -1,10 +1,17 @@
 [build-system]
-requires = ["setuptools>=68.0", "wheel"]
+# Sprint A9 (M-5) : setuptools_scm dérive la version du tag git le
+# plus proche. Le pipeline release.yml tag ``v1.2.3`` produit donc
+# un wheel ``picarones-1.2.3-py3-none-any.whl`` sans toucher à
+# pyproject.toml. Pour les builds non-tag (PR, dev) : version
+# pseudo ``1.2.4.dev3+g<sha>``.
+requires = ["setuptools>=68.0", "wheel", "setuptools_scm[toml]>=8.0"]
 build-backend = "setuptools.build_meta"
 
 [project]
 name = "picarones"
-version = "1.0.0"
+# Sprint A9 (M-5) : ``version`` est désormais dynamique, dérivé du
+# tag git via setuptools_scm. Voir [tool.setuptools_scm] plus bas.
+dynamic = ["version"]
 description = "Plateforme de comparaison de moteurs OCR/HTR pour documents patrimoniaux"
 readme = "README.md"
 requires-python = ">=3.11"
@@ -90,32 +97,37 @@ ocr-cloud = [
     "boto3>=1.34.0",
     "azure-ai-formrecognizer>=3.3.0",
 ]
-# Métriques philologiques pour documents historiques (Cercle 3, phase B
-# du chantier de refonte post-Sprint 97). Aujourd'hui les modules
-# philologiques (`picarones.extras.historical.*`) sont livrés dans le
-# package principal sans dépendance externe — l'extra ``[historical]``
-# n'ajoute donc aucun paquet à installer. Il est déclaré ici pour
-# **documenter l'intention** : un usage purement moderne (sans cas
-# d'usage patrimonial) peut ignorer le sous-package extras/historical/
-# entièrement, et un futur split en package PyPI séparé
-# ``picarones-historical`` réutilisera ce nom d'extra.
-historical = []
-# Importeurs de corpus depuis sources distantes (Cercle 3, phase C).
-# Les 6 importeurs (sous extras/importers/, dotted
-# ``picarones.extras.importers.*``) sont livrés dans le package
-# principal. ``[importers]`` documente l'intention de séparation
-# future en package PyPI ``picarones-importers``. Les modules
-# ``huggingface`` et ``escriptorium`` émettent un ``UserWarning`` à
-# l'import (statut expérimental).
-importers = []
+# Sprint A9 (m-16) — les anciens placeholders ``[historical]`` et
+# ``[importers]`` (qui valaient ``[]`` et n'apportaient rien à
+# l'installation) sont retirés. La séparation future en packages PyPI
+# distincts (``picarones-historical``, ``picarones-importers``) est
+# documentée dans ``docs/developer/module-policy.md`` (Sprint 97) et
+# n'a plus besoin d'être réservée par un extra vide.
 # Installation complète (tous les extras sauf les OCR cloud)
 all = [
-    "picarones[web,hf,llm,dev,historical,importers]",
+    "picarones[web,hf,llm,dev]",
 ]
 
 [project.scripts]
 picarones = "picarones.cli:cli"
 
+# ──────────────────────────────────────────────────────────────────
+# Sprint A9 (M-5) — version dynamique via setuptools_scm.
+#
+# Comportement :
+# - sur un tag ``v1.2.3``  → version ``1.2.3``
+# - hors tag (PR, main)   → ``1.2.4.dev<N>+g<sha>`` (PEP 440)
+# - le ``write_to`` injecte ``picarones/_version.py`` au build, lu
+#   par ``picarones/__init__.py`` via ``__version__``.
+# ``fallback_version`` est utilisé si l'historique git est absent
+# (ex : tarball sdist) — doit être maintenu cohérent avec le dernier tag.
+# ──────────────────────────────────────────────────────────────────
+[tool.setuptools_scm]
+write_to = "picarones/_version.py"
+fallback_version = "1.0.0"
+version_scheme = "release-branch-semver"
+local_scheme = "no-local-version"
+
 [tool.setuptools.packages.find]
 where = ["."]
 include = ["picarones*"]

tests/release/__init__.py

@@ -0,0 +1 @@
+"""Tests Sprint A9 — pipeline de release et artefacts produits."""

tests/release/test_release_artifacts.py

@@ -0,0 +1,230 @@
+"""Tests Sprint A9 — pipeline de release et artefacts.
+
+Items M-5, M-6, m-15, m-16 de l'audit institutional-readiness-2026-05.
+
+Ces tests valident le **contrat de release** sans déclencher de
+build réel (qui nécessiterait Docker buildx + accès PyPI). Ils
+vérifient que les fichiers de configuration sont cohérents et que
+les workflows existent.
+"""
+
+from __future__ import annotations
+
+import re
+from pathlib import Path
+
+import pytest
+import yaml
+
+REPO_ROOT = Path(__file__).resolve().parents[2]
+
+
+# ---------------------------------------------------------------------------
+# M-5 — setuptools_scm + version dynamique
+# ---------------------------------------------------------------------------
+
+
+def test_pyproject_uses_dynamic_version() -> None:
+    """``pyproject.toml`` doit déclarer ``version`` en dynamique
+    (résolu par setuptools_scm) plutôt qu'en dur."""
+    pyproject = (REPO_ROOT / "pyproject.toml").read_text(encoding="utf-8")
+    # ``version = "1.0.0"`` ne doit plus apparaître au scope ``[project]``.
+    project_block = re.search(
+        r"\[project\](.*?)(?=\n\[)",
+        pyproject,
+        re.DOTALL,
+    )
+    assert project_block is not None
+    block = project_block.group(1)
+    assert 'dynamic = ["version"]' in block, (
+        "[project] doit avoir dynamic = [\"version\"] (Sprint A9 M-5)"
+    )
+    # Pas de ligne ``version = "..."`` codée en dur dans [project].
+    assert not re.search(r'^version\s*=\s*"', block, re.MULTILINE), (
+        '[project] ne doit pas avoir version = "..." en dur — '
+        'incompatible avec setuptools_scm.'
+    )
+
+
+def test_setuptools_scm_configured() -> None:
+    """``[tool.setuptools_scm]`` doit exister avec ``write_to`` pointant
+    vers ``picarones/_version.py``."""
+    pyproject = (REPO_ROOT / "pyproject.toml").read_text(encoding="utf-8")
+    assert "[tool.setuptools_scm]" in pyproject
+    assert 'write_to = "picarones/_version.py"' in pyproject
+    # Politique : pas de ``+local`` dans la version (problématique pour
+    # PyPI qui rejette les locals).
+    assert 'local_scheme = "no-local-version"' in pyproject
+
+
+def test_build_system_includes_setuptools_scm() -> None:
+    """``[build-system].requires`` doit inclure setuptools_scm."""
+    pyproject = (REPO_ROOT / "pyproject.toml").read_text(encoding="utf-8")
+    build_block = re.search(
+        r"\[build-system\](.*?)(?=\n\[)",
+        pyproject,
+        re.DOTALL,
+    )
+    assert build_block is not None
+    block = build_block.group(1)
+    assert "setuptools_scm" in block
+
+
+def test_picarones_version_resolves() -> None:
+    """``picarones.__version__`` doit être lisible et au format PEP 440."""
+    import picarones
+
+    v = picarones.__version__
+    assert isinstance(v, str)
+    assert len(v) > 0
+    # PEP 440 : commence par X.Y.Z
+    assert re.match(r"^\d+\.\d+", v), f"Version mal formée : {v!r}"
+
+
+# ---------------------------------------------------------------------------
+# M-5 + M-6 — Workflow release.yml
+# ---------------------------------------------------------------------------
+
+
+def test_release_workflow_exists() -> None:
+    """``.github/workflows/release.yml`` doit exister."""
+    f = REPO_ROOT / ".github" / "workflows" / "release.yml"
+    assert f.exists(), "release.yml manquant — pipeline release non automatisé"
+
+
+def test_release_workflow_triggers_on_tag() -> None:
+    """Le workflow doit se déclencher sur push d'un tag ``v*.*.*``."""
+    f = REPO_ROOT / ".github" / "workflows" / "release.yml"
+    data = yaml.safe_load(f.read_text(encoding="utf-8"))
+    # YAML parse ``on`` en bool True — utiliser ``True`` ou la clé string.
+    triggers = data.get(True) or data.get("on") or {}
+    assert "push" in triggers
+    push = triggers["push"]
+    assert "tags" in push
+    tags = push["tags"]
+    # Au moins un pattern qui matche v*.*.*
+    assert any("v*" in str(t) for t in tags)
+
+
+def test_release_workflow_uses_oidc() -> None:
+    """Le workflow doit utiliser OIDC trust pour PyPI (pas de token long-lived)."""
+    f = REPO_ROOT / ".github" / "workflows" / "release.yml"
+    text = f.read_text(encoding="utf-8")
+    # Vérifie que ``id-token: write`` est présent pour les jobs publish
+    assert "id-token: write" in text
+    # Vérifie que pypi-publish est utilisé (gh-action-pypi-publish)
+    assert "pypa/gh-action-pypi-publish" in text
+
+
+def test_release_workflow_publishes_to_ghcr() -> None:
+    """Le workflow doit construire et pousser une image multi-arch
+    sur ghcr.io."""
+    f = REPO_ROOT / ".github" / "workflows" / "release.yml"
+    text = f.read_text(encoding="utf-8")
+    assert "ghcr.io/" in text
+    assert "linux/amd64,linux/arm64" in text
+    assert "docker/build-push-action" in text
+
+
+def test_release_workflow_creates_github_release() -> None:
+    """Le workflow doit créer une GitHub Release avec les artefacts."""
+    f = REPO_ROOT / ".github" / "workflows" / "release.yml"
+    text = f.read_text(encoding="utf-8")
+    assert "softprops/action-gh-release" in text or "create-release" in text
+
+
+# ---------------------------------------------------------------------------
+# m-15 — picarones.spec (PyInstaller) sans hiddenimports manuels
+# ---------------------------------------------------------------------------
+
+
+def test_pyinstaller_spec_uses_collect_submodules() -> None:
+    """``picarones.spec`` doit utiliser ``collect_submodules`` au lieu
+    d'une liste manuelle d'imports cachés."""
+    f = REPO_ROOT / "picarones.spec"
+    if not f.exists():
+        pytest.skip("picarones.spec absent — release PyInstaller non utilisée")
+    text = f.read_text(encoding="utf-8")
+    assert "collect_submodules" in text, (
+        "picarones.spec doit utiliser PyInstaller.utils.hooks.collect_submodules "
+        "pour auto-détecter les imports — la liste manuelle dérivait silencieusement."
+    )
+    assert 'collect_submodules("picarones")' in text
+
+
+def test_pyinstaller_spec_no_obsolete_paths() -> None:
+    """``picarones.spec`` ne doit plus référencer les anciens chemins
+    qui n'existent plus depuis le refactor Cercle 1/2/3 (Sprint 33)."""
+    f = REPO_ROOT / "picarones.spec"
+    if not f.exists():
+        pytest.skip("picarones.spec absent")
+    text = f.read_text(encoding="utf-8")
+    obsolete = [
+        "picarones.core.runner",  # → measurements.runner
+        "picarones.core.statistics",  # → measurements.statistics
+        "picarones.core.confusion",  # → measurements.confusion
+        "picarones.importers.iiif",  # → extras.importers.iiif
+    ]
+    for path in obsolete:
+        assert path not in text, (
+            f"Chemin obsolète référencé : {path}. "
+            "Refactor Sprint 33 a déplacé les modules — collect_submodules "
+            "résout automatiquement."
+        )
+
+
+# ---------------------------------------------------------------------------
+# m-16 — Extras placeholders retirés
+# ---------------------------------------------------------------------------
+
+
+def test_no_empty_extras_placeholders() -> None:
+    """Les extras ``[historical]`` et ``[importers]`` qui valaient
+    ``[]`` ont été retirés (Sprint A9 m-16)."""
+    pyproject = (REPO_ROOT / "pyproject.toml").read_text(encoding="utf-8")
+    # On cherche ``historical = []`` ou ``importers = []`` au scope
+    # ``[project.optional-dependencies]``.
+    assert not re.search(
+        r"^historical\s*=\s*\[\s*\]",
+        pyproject,
+        re.MULTILINE,
+    ), "Placeholder vide ``historical = []`` doit être retiré."
+    assert not re.search(
+        r"^importers\s*=\s*\[\s*\]",
+        pyproject,
+        re.MULTILINE,
+    ), "Placeholder vide ``importers = []`` doit être retiré."
+
+
+def test_all_extra_does_not_reference_removed_extras() -> None:
+    """L'extra ``all`` ne doit plus référencer ``historical`` /
+    ``importers``."""
+    pyproject = (REPO_ROOT / "pyproject.toml").read_text(encoding="utf-8")
+    # Cherche la définition de ``all = [...]``
+    m = re.search(r"^all\s*=\s*\[(.*?)\]", pyproject, re.MULTILINE | re.DOTALL)
+    assert m is not None
+    all_block = m.group(1)
+    assert "historical" not in all_block
+    assert "importers" not in all_block
+
+
+# ---------------------------------------------------------------------------
+# Doc release-process.md
+# ---------------------------------------------------------------------------
+
+
+def test_release_process_doc_exists() -> None:
+    """``docs/operations/release-process.md`` doit exister et couvrir
+    les sections clés de la procédure."""
+    f = REPO_ROOT / "docs" / "operations" / "release-process.md"
+    assert f.exists()
+    text = f.read_text(encoding="utf-8")
+    for section in [
+        "Procédure release standard",
+        "Versionnement",
+        "rollback",
+        "OIDC",
+    ]:
+        assert section.lower() in text.lower(), (
+            f"Section manquante dans release-process.md : {section!r}"
+        )