Ogni numero presente in ogni report ForgeTrack è tracciabile fino agli eventi che lo hanno generato — registrati, non ricostruiti. La pipeline si articola in cinque fasi, e ciascuna opera sul medesimo event log append-only conforme alla specifica GAAIM.
Ogni fase ha una responsabilità unica, un input fisso e un output fisso. Gli errori sono confinati nella fase che li ha generati.
Sessioni dei provider AI, commit VCS, pull request, deploy, note di lavoro manuali, decisioni architetturali esplicite. Gli eventi arrivano tramite webhook, client SDK o chiamate API dirette, e ciascuno viene timestampato, hashato e scritto nello store append-only.
Ogni evento viene classificato per tipologia (session, commit, decision, ecc.), associato a un work item e ponderato rispetto alla propria categoria di benchmark. Il classificatore è deterministico e versionato — una nuova esecuzione sugli stessi input produce gli stessi output.
L'effort engine applica moltiplicatori di competenza, intervalli di confidenza e correzioni umane per produrre valori di settimane di ingegneria equivalenti per ciascun work item. Ogni valore derivato è una funzione pura degli eventi registrati e della versione dell'effort engine.
L'assembler documentale compone gli output attesi dal pubblico: narrazioni del four-part test per la substantiation IRS, sintesi ingegneristiche per i deck degli investitori, work papers per i CPA. Tutto derivato dalle stesse misurazioni sottostanti — nessuna duplicazione, nessuna deriva.
I report vengono generati in PDF, XLSX, CSV e JSON, hashati con SHA-256, firmati e scritti nello storage del tenant. La manomissione post-generazione è rilevabile tramite confronto degli hash. Ogni artefatto pubblicato è verificabile in modo indipendente.
Lo stesso event log alimenta ogni report. Lo stesso database di benchmark ancora ogni misurazione. Lo stesso assembler documentale produce ogni artefatto. Non è una preferenza progettuale — è l'unico modo in cui un CPA o un revisore può fidarsi di un report che non ha visto generare.
Se due report discordano su un valore, i log sono il criterio decisivo. Se i log stessi vengono contestati, gli hash SHA-256 sono il criterio decisivo. Se gli hash vengono contestati, GAAIM è il criterio decisivo. Esiste sempre un documento che prevale nell'argomentazione.