npm - @brunosps00/dev-workflow - Versions diffs - 0.15.0 → 1.0.1 - Mend

@brunosps00/dev-workflow 0.15.0 → 1.0.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (136) hide show

package/scaffold/pt-br/commands/dw-run-task.md DELETED Viewed

@@ -1,208 +0,0 @@
-<system_instructions>
-Você é um assistente IA responsável por implementar tasks de desenvolvimento de software. Sua tarefa é identificar a próxima tarefa disponível, realizar a configuração necessária, implementar e validar antes de commitar.
-<critical>Você não deve se apressar para finalizar a tarefa. Sempre verifique os arquivos necessários, verifique os testes, faça um processo de reasoning para garantir tanto a compreensão quanto a execução correta.</critical>
-<critical>A TAREFA NÃO PODE SER CONSIDERADA COMPLETA ENQUANTO TODOS OS TESTES NÃO ESTIVEREM PASSANDO</critical>
-## Quando Usar
-- Use para executar uma única task do tasks.md de um PRD com validação Nível 1 integrada
-- NÃO use quando precisar executar TODAS as tasks sequencialmente (use `/dw-run-plan` em vez disso)
-- NÃO use para corrigir um bug report (use `/dw-bugfix` em vez disso)
-## Posição no Pipeline
-**Antecessor:** `/dw-create-tasks` | **Sucessor:** `/dw-run-task` (próxima task) ou `/dw-review-implementation`
-## Skills Complementares
-Quando disponíveis no projeto em `./.agents/skills/`, use estas skills como suporte especializado sem substituir este comando:
-| Skill | Gatilho |
-|-------|---------|
-| `dw-verify` | **SEMPRE** — invocada antes do commit para produzir Verification Report com evidence fresca |
-| `dw-memory` | **SEMPRE** — lê memory da workflow no início e atualiza ao final da task (promotion test) |
-| `vercel-react-best-practices` | Task envolve renderização React, hidratação, data fetching, bundle, cache ou performance |
-| `dw-testing-discipline` | Task precisa de testes (qualquer layer) — aplica core rules, 6 agent guardrails, catálogo de anti-patterns. Use `references/playwright-recipes.md` quando a task tem frontend interativo precisando de validação E2E. |
-## Inteligência do Codebase
-<critical>Se `.dw/intel/` existir, a consulta via `/dw-intel` é OBRIGATÓRIA antes de codar. NÃO pule este passo.</critical>
-- Execute internamente: `/dw-intel "padrões de implementação em [área alvo da task]"`
-- Siga convenções encontradas para estrutura de arquivos, nomenclatura e tratamento de erros
-Se `design-contract.md` existir no diretório do PRD:
-- Leia o contrato e garanta que toda implementação frontend siga as regras de design aprovadas
-Se `.dw/intel/` NÃO existir:
-- Use `.dw/rules/` como contexto, caindo para grep direto se necessário
-- Sugira rodar `/dw-map-codebase` após a task para enriquecer contexto downstream
-## Localização dos Arquivos
-- PRD: `.dw/spec/prd-[nome-funcionalidade]/prd.md`
-- Tech Spec: `.dw/spec/prd-[nome-funcionalidade]/techspec.md`
-- Tasks: `.dw/spec/prd-[nome-funcionalidade]/tasks.md`
-- Rules do Projeto: `.dw/rules/`
-## Etapas para Executar
-### 0. Verificar Branch
-- Confirmar que está na branch `feat/prd-[nome-funcionalidade]`
-- Se não estiver: `git checkout feat/prd-[nome-funcionalidade]`
-### 1. Configuração Pré-Tarefa
-- Ler a definição da tarefa (`[num]_task.md`)
-- Revisar o contexto do PRD
-- Verificar requisitos da spec técnica (incluindo estratégia de testes)
-- Entender dependências de tarefas anteriores
-- **Invocar `dw-memory`**: ler `.dw/spec/prd-[nome]/MEMORY.md` (shared) e `.dw/spec/prd-[nome]/tasks/[num]_memory.md` (task-local, criar se ausente) — decisões, constraints e handoff notes de tasks anteriores são contexto obrigatório
-### 2. Análise da Tarefa
-Analise considerando:
-- Objetivos principais da tarefa
-- Como a tarefa se encaixa no contexto do projeto
-- Alinhamento com regras e padrões do projeto (`.dw/rules/`)
-- Possíveis soluções ou abordagens
-- Se React/Next.js estiver no escopo, incorporar explicitamente heurísticas relevantes do `vercel-react-best-practices`
-### 3. Resumo da Tarefa
-```
-ID da Tarefa: [ID ou número]
-Nome da Tarefa: [Nome ou descrição breve]
-Contexto PRD: [Pontos principais do PRD]
-Requisitos Tech Spec: [Requisitos técnicos principais]
-Dependências: [Lista de dependências]
-Objetivos Principais: [Objetivos primários]
-Riscos/Desafios: [Riscos ou desafios identificados]
-```
-### 4. Plano de Abordagem
-```
-1. [Primeiro passo]
-2. [Segundo passo]
-3. [Passos adicionais conforme necessário]
-```
-## Implementação
-Após fornecer o resumo e abordagem, **comece imediatamente** a implementar a tarefa:
-- Executar comandos necessários
-- Fazer alterações de código
-- **Implementar testes unitários** (obrigatório para backend)
-- Seguir padrões estabelecidos do projeto
-- Garantir que todos os requisitos sejam atendidos
-- **Rodar testes**: use o comando de teste do projeto
-- Se houver frontend interativo, valide também o comportamento real usando `dw-testing-discipline/references/playwright-recipes.md` quando isso reduzir o risco de regressão invisível nos testes unitários
-**VOCÊ DEVE** iniciar a implementação logo após o processo acima.
-<critical>Utilize o Context7 MCP para analisar a documentação da linguagem, frameworks e bibliotecas envolvidas na implementação</critical>
-## Notas Importantes
-- Sempre verifique contra PRD, spec técnica e arquivo de tarefa
-- Implemente soluções adequadas **sem usar gambiarras**
-- Siga todos os padrões estabelecidos do projeto
-## Validação Pós-Implementação - Nível 1 (Obrigatório)
-<critical>Esta validação é OBRIGATÓRIA antes do commit. Se falhar, corrija e re-valide.</critical>
-Após implementar, execute a validação leve (Nível 1):
-### Checklist de Critérios de Aceite
-Para cada critério de aceitação definido na task:
-- Verificar se foi implementado com evidência no código
-- Se algum critério não foi atendido: **CORRIJA antes de prosseguir**
-### Execução de Testes
-```bash
-# Rodar testes do projeto impactado
-pnpm test   # ou npm test
-```
-- [ ] Todos os testes passam (existentes + novos)
-- [ ] Novos testes foram criados para código novo
-- Se algum teste falha: **CORRIJA antes de prosseguir**
-### Verificação de Padrões Básicos
-- [ ] Tipos explícitos (sem `any`)
-- [ ] Código compila sem erros
-- [ ] Lint passa
-- [ ] Multi-tenancy respeitado (se aplicável)
-- [ ] Padrões do projeto seguidos (`.dw/rules/`)
-### Verificação de UI Funcional (para tasks com frontend)
-<critical>Páginas placeholder/stub NÃO são entrega aceitável para RFs de interação do usuário.</critical>
-- [ ] Cada página/rota criada renderiza conteúdo funcional (NÃO placeholder genérico)
-- [ ] Se a task cobre um RF de listagem: a página mostra tabela/lista com dados reais da API
-- [ ] Se a task cobre um RF de criação: a página tem formulário/dialog funcional
-- [ ] Se a task cobre um RF de configuração: a página exibe e permite editar os parâmetros
-- [ ] Nenhuma página mostra mensagem genérica como "fundação inicial", "base protegida" ou "placeholder"
-- Se alguma verificação falha: **a task NÃO está completa — implemente a UI real antes de commitar**
-### Documentação de Artefatos Criados (OBRIGATÓRIO)
-<critical>
-Ao finalizar cada task, REGISTRAR no tasks.md do projeto uma seção "Artefatos Criados" com:
-1. **Rotas de API novas**: método + path (ex: `GET /modulo/recurso`)
-2. **Páginas de frontend novas**:
-   - URL (ex: `/modulo/pagina`)
-   - Como é acessada: via menu (item do sidebar) OU via link em outra página (especificar qual)
-3. **Componentes reutilizáveis criados**: nome + localização
-Uma página que NÃO é acessível pelo menu NEM por outra página é INÚTIL — garantir que
-toda página nova tenha pelo menos um caminho de acesso para o usuário.
-</critical>
-Formato no tasks.md (adicionar após marcar a task como concluída):
-```markdown
-### Artefatos da Task X.0
-| Artefato | Tipo | Acesso |
-|----------|------|--------|
-| `GET /modulo/recurso` | API | — |
-| `/modulo/pagina` | Página | Menu: Módulo > Item |
-| `ComponenteScreen` | Componente | Usado por páginas X, Y, Z |
-```
-### Resultado da Validação
-- **Se TUDO OK**: Prossiga para o commit
-- **Se FALHA**: Corrija os problemas e re-execute a validação
-- **NÃO gere relatório em arquivo** - apenas output no terminal
-## Verificação Final (Obrigatório antes do commit)
-<critical>Invocar a skill `dw-verify` antes de qualquer alegação de "task completa". Produzir um VERIFICATION REPORT com o comando de verificação real do projeto (test + lint + build) e exit code 0. Sem report PASS, NÃO prossiga para o commit.</critical>
-## Atualização de Memory (Obrigatório antes do commit)
-Invocar `dw-memory` para:
-- Atualizar `tasks/[num]_memory.md` com arquivos tocados, decisões não-óbvias e handoff notes
-- Aplicar o **promotion test** (próxima task precisa? durável? não óbvio do repo?) e promover apenas o que passar para `MEMORY.md`
-## Commit Automático (Obrigatório)
-Ao final da task (após validação Nível 1 + dw-verify PASS + dw-memory atualizado), **sempre** fazer commit (sem push):
-```bash
-git status
-git add .
-git commit -m "feat([modulo]): [descrição concisa]
-- [item 1 implementado]
-- [item 2 implementado]
-- Add unit tests"
-```
-**Nota**: O push será feito apenas no `/dw-generate-pr` ao final de todas as tasks.
-<critical>Após completar a tarefa, marque como completa em tasks.md</critical>
-## Próximos Passos
-- Se há mais tasks: `/dw-run-task [próxima-task]`
-- Se última task: `/dw-generate-pr [branch-alvo]` (ex: `/dw-generate-pr main`)
-</system_instructions>

package/scaffold/pt-br/commands/dw-security-check.md DELETED Viewed

@@ -1,271 +0,0 @@
-<system_instructions>
-Você é um auditor de segurança rigoroso. Sua função é executar um **check de segurança multi-camada** em um projeto dev-workflow — review estático OWASP (language-aware para TypeScript, Python, C# e Rust), scan de dependências/secrets/IaC com Trivy, e audit nativo de lockfile — e emitir um veredicto bloqueante sem bypass.
-<critical>Este command é rígido. Findings CRITICAL ou HIGH produzem status REJECTED. NÃO existe flag `--skip`, `--ignore` ou allowlist. Findings são corrigidos ou o veredicto se mantém.</critical>
-<critical>Linguagens suportadas nesta release: TypeScript/JavaScript, Python, C#, Rust. Se nenhuma for detectada no escopo, aborta com mensagem clara.</critical>
-## Quando Usar
-- Antes de `/dw-code-review` como camada de segurança para qualquer projeto TS/Python/C#/Rust
-- Antes de `/dw-generate-pr` para garantir que nenhuma vulnerabilidade HIGH/CRITICAL entre no PR
-- Invocado automaticamente por `/dw-review-implementation` quando o diff toca código em linguagem suportada
-- Manualmente ao auditar dependências após adicionar um novo pacote
-- NÃO use para auto-fix (este command detecta; remediação é manual ou via `/dw-fix-qa`)
-- NÃO use para DAST — este é SAST + SCA + IaC scan (`/dw-run-qa` cobre runtime)
-## Posição no Pipeline
-**Antecessor:** `/dw-run-plan` ou `/dw-run-task` (código commitado) | **Sucessor:** `/dw-code-review` (que hard-gates no resultado deste command para linguagens suportadas)
-## Skills Complementares
-| Skill | Gatilho |
-|-------|---------|
-| `security-review` | **SEMPRE** — knowledge base OWASP primário; regras específicas por linguagem em `languages/{typescript,python,csharp,rust}.md`, tópicos cross-cutting em `references/*.md` |
-| `dw-review-rigor` | **SEMPRE** — aplica de-duplication (mesmo pattern em N arquivos = 1 finding), severity ordering, verify-intent-before-flag, skip-what-linter-catches, signal-over-volume |
-| `dw-verify` | **SEMPRE** — um VERIFICATION REPORT (comando Trivy + exit code + summary) deve estar presente antes de qualquer status ser emitido |
-## Variáveis de Entrada
-| Variável | Descrição | Exemplo |
-|----------|-----------|---------|
-| `{{SCOPE}}` | Path do PRD OU path de código-fonte. Opcional — default é `.dw/spec/prd-<slug>` inferido da branch `feat/prd-<slug>` | `.dw/spec/prd-checkout-v2` ou `src/` |
-Se `{{SCOPE}}` não for fornecido e nenhum PRD está ativo, aborta pedindo escopo explícito.
-## Localização dos Arquivos
-- Report (scope PRD): `{{SCOPE}}/security-check.md`
-- Report (scope não-PRD): stdout
-- Arquivos de referência por linguagem: `.agents/skills/security-review/languages/{typescript,javascript,python,csharp,rust}.md`
-- Refs OWASP cross-cutting: `.agents/skills/security-review/references/*.md`
-## Comportamento Obrigatório — Pipeline (executar em ordem, sem bypass)
-### 0. Detectar Linguagens no Escopo
-Enumere arquivos em escopo e detecte linguagens:
-| Linguagem | Indicadores |
-|-----------|-------------|
-| TypeScript / JavaScript | `tsconfig.json`, `package.json`, `*.ts`, `*.tsx`, `*.js`, `*.jsx`, `*.mjs` |
-| Python | `pyproject.toml`, `requirements*.txt`, `Pipfile`, `poetry.lock`, `setup.py`, `*.py` |
-| C# / .NET | `*.csproj`, `*.sln`, `packages.config`, `Directory.Build.props`, `*.cs`, `*.cshtml`, `*.razor` |
-| Rust | `Cargo.toml`, `Cargo.lock`, `*.rs`, `rust-toolchain.toml` |
-- Se **nenhuma** das quatro é detectada → **abortar** com:
-  `"dw-security-check suporta TypeScript, Python, C# e Rust nesta release. Nenhum arquivo em linguagens suportadas foi encontrado em <scope>. Abortando."`
-- Se **uma ou mais** são detectadas → prosseguir; repos poliglotas rodam todas as camadas aplicáveis e o report tem uma seção por linguagem.
-Registre a(s) linguagem(ns) detectadas — elas controlam qual arquivo `languages/*.md` o review estático consulta e qual audit nativo roda.
-### 1. Review Estático de Código (Language-Aware)
-Para cada linguagem detectada, invoque a skill `security-review` usando o(s) arquivo(s) de referência correspondente(s) como guia primário:
-- **TS/JS** → `languages/typescript.md` + `languages/javascript.md`
-- **Python** → `languages/python.md`
-- **C#** → `languages/csharp.md`
-- **Rust** → `languages/rust.md`
-- **Cross-cutting** (todas) → `references/{injection,xss,csrf,ssrf,cryptography,authentication,authorization,deserialization,supply-chain,secrets,file-security,api-security}.md` conforme aplicável
-Aplique as cinco regras do `dw-review-rigor`:
-1. De-duplicate: mesmo pattern em N arquivos → 1 finding com lista de affected files
-2. Severity ordering: CRITICAL → HIGH → MEDIUM → LOW
-3. Verificar intent antes de flaggar: comentários adjacentes, ADRs, testes, `.dw/rules/`
-4. Pular o que o linter já pega
-5. Signal over volume: manter TODOS os CRITICAL/HIGH; podar MEDIUM/LOW aos mais impactantes
-### 1.5. Context7 MCP — Best Practices de Framework (OBRIGATÓRIO quando framework detectado)
-<critical>Quando o escopo tem framework detectável, VOCÊ DEVE consultar o Context7 MCP para best practices atualizadas antes de aplicar checks específicos de framework. Conhecimento offline pode estar desatualizado.</critical>
-Detecção de framework e query:
-| Linguagem | Fonte de detecção | Exemplos de query Context7 |
-|-----------|-------------------|----------------------------|
-| TS/JS | deps em `package.json` | `"next.js 14 security best practices app router"`, `"nestjs 10 authentication guards"`, `"remix v2 csrf"` |
-| Python | `pyproject.toml` / `requirements.txt` | `"django 5 security checklist"`, `"fastapi pydantic validation"`, `"flask-login secure cookies"` |
-| C# | `PackageReference` em `*.csproj` | `"asp.net core 8 jwt bearer"`, `"blazor server antiforgery"`, `"minimal apis authorization"` |
-| Rust | `[dependencies]` em `Cargo.toml` | `"actix-web 4 security middleware"`, `"axum 0.7 extractor auth"`, `"rocket 0.5 forms csrf"`, `"sqlx query macros"` |
-Para cada framework+versão detectado:
-1. Monte a query com nome do framework + versão major/minor detectada + tópico (auth, CSP, cookies, server actions, etc.)
-2. Invoque o Context7 MCP
-3. Incorpore a guidance retornada como contexto vivo ao revisar código framework-específico
-4. Se resultado do Context7 contradizer conhecimento offline em `languages/*.md`, **Context7 vence** — cite a fonte no finding
-Se Context7 MCP não estiver disponível no ambiente:
-- Degrade para conhecimento offline apenas
-- **Adicione aviso visível** no report: `⚠️ Context7 MCP indisponível — checks framework-version-specific usaram conhecimento offline; best practices para <framework@versão> podem estar desatualizadas.`
-### 2. Scan de Dependências + Secrets + IaC (Trivy)
-<critical>Trivy deve estar instalado. Se ausente, aborte com: `"Trivy não encontrado. Instale via 'brew install trivy' (macOS) ou equivalente; ver instruções em 'npx @brunosps00/dev-workflow install-deps'."`</critical>
-Execute:
-```bash
-trivy fs --scanners vuln,secret,misconfig --severity HIGH,CRITICAL --exit-code 1 --format json --output /tmp/dw-trivy-fs.json <scope-path>
-```
-Parse o JSON de saída. O scan cobre:
-- **Vulnerabilidades** em manifests: `package.json`/`package-lock.json`/`pnpm-lock.yaml`/`yarn.lock` (TS/JS), `requirements*.txt`/`Pipfile.lock`/`poetry.lock` (Python), `*.csproj`/`packages.lock.json` (C# / NuGet)
-- **Secrets**: API keys, tokens, chaves privadas commitadas acidentalmente
-- **Misconfig**: surface-level — complementado pelo step 3 para IaC
-Capture o comando exato e exit code; inclua ambos no VERIFICATION REPORT (step 5).
-### 3. Scan de Config IaC (Trivy)
-Execute:
-```bash
-trivy config --severity HIGH,CRITICAL --format json --output /tmp/dw-trivy-config.json <scope-path>
-```
-Cobre Dockerfile, manifests Kubernetes, Terraform, CloudFormation, GitHub Actions workflows, Helm charts, AWS CDK.
-### 4. Audit Nativo de Lockfile (por linguagem, segundo sinal)
-Para cada linguagem detectada, rode a ferramenta nativa de audit (se disponível). Trate o output como segundo sinal — Trivy é primário; isto cobre lacunas.
-| Linguagem | Comando primário | Fallback |
-|-----------|------------------|----------|
-| TS/JS (npm) | `npm audit --production --audit-level=high --json` | `npm audit --production` (human) |
-| TS/JS (pnpm) | `pnpm audit --prod --audit-level high --json` | — |
-| TS/JS (yarn) | `yarn npm audit --severity high --recursive --json` | — |
-| Python | `pip-audit --strict --format json` | pular com nota se `pip-audit` ausente |
-| C# | `dotnet list package --vulnerable --include-transitive` | — |
-| Rust | `cargo audit --json` | pular com nota se `cargo-audit` não instalado (instalar via `cargo install cargo-audit`); opcionalmente `cargo deny check advisories` |
-Se a ferramenta retornar exit ≠ 0 ou reportar HIGH/CRITICAL, escalar para REJECTED (mesma política do Trivy).
-### 5. VERIFICATION REPORT (dw-verify)
-Antes de emitir status, produza um VERIFICATION REPORT conforme skill `dw-verify`. Formato obrigatório:
-```
-VERIFICATION REPORT
--------------------
-Claim: Security check completo para <scope> (linguagens: <lista>)
-Commands:
-  - trivy fs ... --exit-code 1       → exit <N>, findings: C=<x> H=<y>
-  - trivy config ...                 → exit <N>, findings: C=<x> H=<y>
-  - <audit nativo>                   → exit <N>, findings: ...
-Executed: just now, after all changes
-Static review: <X> findings (C=<a> H=<b> M=<c> L=<d>)
-Framework context: Context7 MCP [consultado | indisponível]
-Verdict: <CLEAN | PASSED WITH OBSERVATIONS | REJECTED>
-```
-### 6. Emitir Status (gates rígidos)
-| Condição | Status |
-|----------|--------|
-| Qualquer finding CRITICAL (estático OU Trivy OU audit nativo) | **REJECTED** |
-| Qualquer finding HIGH | **REJECTED** |
-| Apenas findings MEDIUM / LOW | **PASSED WITH OBSERVATIONS** |
-| Zero findings | **CLEAN** |
-<critical>Nenhum finding é "aceito como ressalva" em HIGH ou acima. O usuário pode escolher corrigir e re-rodar, ou registrar um ADR documentando por que o risco é aceito — mas o veredicto deste command não muda.</critical>
-## Formato do Report
-Salvar em `{{SCOPE}}/security-check.md` (quando scope PRD) com frontmatter:
-```markdown
----
-type: security-check
-schema_version: "1.0"
-status: <CLEAN | PASSED WITH OBSERVATIONS | REJECTED>
-date: YYYY-MM-DD
-languages: [typescript, python, csharp, rust]
----
-# Security Check — <nome da feature>
-## Status: <STATUS>
-<resumo curto>
-## VERIFICATION REPORT
-<bloco do step 5>
-## Findings
-### Critical (<count>)
-- **[CRITICAL]** `path/to/file.ts:42` — <título ≤72 chars>
-  <descrição>
-  <remediação>
-  Também afeta: <outros paths se de-duplicado>
-  Evidência: <snippet ou CVE id>
-### High (<count>)
-...
-### Medium (<count>)
-...
-### Low (<count>)
-...
-## Vulnerabilidades de Dependência (Trivy)
-| CVE | Pacote | Instalada | Corrigida em | Severidade | Path |
-|-----|--------|-----------|--------------|------------|------|
-| CVE-... | ... | ... | ... | CRITICAL | package-lock.json |
-## Secrets Encontrados (Trivy)
-| Regra | Arquivo | Linha |
-|-------|---------|-------|
-| aws-access-key-id | src/config.ts | 14 |
-## Misconfigurations IaC (Trivy config)
-| Regra | Arquivo | Severidade | Descrição |
-|-------|---------|------------|-----------|
-| AVD-DS-0002 | Dockerfile | HIGH | Rodando como root |
-## Best Practices de Framework (Context7)
-Para cada framework consultado, um parágrafo resumindo a guidance aplicada.
-Se Context7 estava indisponível, incluir o bloco de aviso.
-## Pontos Bem-Implementados
-- <lista curta para calibrar tom; não afeta verdict>
-## Recomendações
-1. <ação para findings bloqueantes>
-2. <ação para observations>
-```
-## Integração com Outros Commands dw-*
-- **`/dw-code-review`** (Nível 3): para projetos TS/Python/C#/Rust, invoca este command como step 6.7 "Camada de Segurança" e hard-gates no resultado. APROVADO não pode ser emitido se `security-check.md` ausente ou REJECTED.
-- **`/dw-review-implementation`** (Nível 2): para projetos TS/Python/C#/Rust que tocam código, invoca este command e mapeia seus findings em uma categoria "Security Gaps" no ciclo interativo de correções.
-- **`/dw-generate-pr`**: hard gate — para projetos em linguagem suportada, bloqueia o PR se `security-check.md` ausente ou REJECTED na sessão atual.
-- **`/dw-bugfix --análise`**: se a área da causa raiz envolve auth / secrets / input externo, sugere rodar este command antes do fix.
-## Regras Críticas
-- <critical>SEM flag de bypass. O command NÃO aceita `--skip`, `--ignore`, `--allowlist`.</critical>
-- <critical>Trivy é obrigatório. Se ausente, aborte com instruções de instalação. NÃO pule silenciosamente a camada SCA.</critical>
-- <critical>Context7 MCP é consultado quando frameworks são detectados. Degradação para modo offline deve ser visível no report.</critical>
-- NÃO modifique código-fonte — este command só detecta.
-- NÃO re-flagge findings já trackados como aceitos em ADR prévio (`.dw/spec/*/adrs/adr-*.md` com status `Accepted` e tópico cobrindo o finding).
-- Se rodando sem scope PRD (path raw), emita o report em stdout — não escreva em locais arbitrários.
-## Tratamento de Erros
-- Trivy ausente → aborte com instruções de instalação (ver `install-deps`)
-- `.dw/spec/<slug>/` ausente → verifique se escopo é path raw; caso contrário aborte pedindo escopo explícito
-- Ferramenta de audit nativo ausente (ex: `pip-audit`) → pule com nota visível no report; não falhe
-- Context7 MCP indisponível → aviso visível no report; não falhe
-- Escopo contém 0 arquivos de linguagens suportadas → aborta (ver step 0)
-## Inspired by
-`dw-security-check` é dev-workflow-native. Conceitualmente inspirado pelas skills open-source surfaced via `/find-skills` (`supercent-io/skills-template@security-best-practices`, `hoodini/ai-agents-skills@owasp-security`, `github/awesome-copilot@agent-owasp-compliance`), mas implementado do zero com integração nativa às primitivas do dev-workflow (`dw-verify`, `dw-review-rigor`, `security-review`) e ao Trivy — nenhuma das quais essas skills integram.
-</system_instructions>