npm - @brunosps00/dev-workflow - Versions diffs - 0.7.0 → 0.8.1 - Mend

@brunosps00/dev-workflow 0.7.0 → 0.8.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (50) hide show

package/scaffold/en/templates/project-onepager.md ADDED Viewed

@@ -0,0 +1,129 @@
+---
+type: project-onepager
+schema_version: "1.0"
+status: draft
+date: YYYY-MM-DD
+shape: frontend | backend | fullstack
+languages: []
+frameworks: { web: '', api: '' }
+package_manager: ''
+monorepo: ''
+services: []
+---
+# Project: [Project name]
+## Purpose
+[One paragraph in product language. Who will use this, what problem it solves, what success looks like in 6-12 weeks. Avoid implementation language.]
+## Stack Selected
+| Layer | Choice | Rationale |
+|-------|--------|-----------|
+| Shape | frontend / backend / fullstack | [why this shape — single product surface, API for partners, etc.] |
+| Frontend | Next.js / Vite+React / n/a | [why this framework — SSR needs, SPA simplicity, etc.] |
+| Backend | FastAPI / ASP.NET Core minimal / Axum / Fastify / n/a | [why this framework — team expertise, ecosystem, latency targets] |
+| Database | Postgres / MySQL / SQLite / MongoDB / none | [why this DB — relational needs, JSON-heavy, transactional, etc.] |
+| Cache | Redis / Memcached / none | [why or why not] |
+| Queue | BullMQ / Celery / RabbitMQ / LocalStack SQS / none | [why or why not + sync vs async workers] |
+| Email — dev | MailHog (default) / Mailpit / smtp4dev / none | [usually MailHog — capture only, never sends real mail] |
+| Email — prod | SMTP / SendGrid / Resend / Postmark / SES / none | [why this provider — volume, deliverability, cost] |
+| Object storage | S3 / MinIO (dev) / GCS / none | [why or why not] |
+| Search | Meilisearch / Typesense / Elasticsearch / none | [why this engine — features, scale, simplicity] |
+| Observability | Sentry / OTel + Jaeger / none | [why this approach — error tracking only, full tracing, etc.] |
+| Reverse proxy | Traefik / Caddy / none | [usually only needed for multi-host dev or prod] |
+| Auth | NextAuth / Lucia / Clerk / fastapi-users / dotnet Identity / custom JWT / none | [why this approach — social login needs, B2B, etc.] |
+| Linter / formatter | Biome / ESLint+Prettier / Ruff+Black / dotnet format / cargo fmt+clippy | [team preference] |
+| Package manager | pnpm / npm / yarn / poetry / uv / cargo / dotnet | [team preference] |
+| Monorepo orchestrator | pnpm workspaces / npm workspaces / Turborepo / Nx / n/a | [only for fullstack — caching/build needs] |
+| CI | GitHub Actions / none | [usually GitHub Actions; opt out only for non-public repos] |
+## Services & Infra
+[Generated services from the docker-compose-recipes skill. Filled by /dw-new-project.]
+| Service | Port (host) | UI | Default credentials |
+|---------|-------------|----|--------------------|
+| postgres | 5432 | — | POSTGRES_USER=app, POSTGRES_PASSWORD=app, POSTGRES_DB=app |
+| redis | 6379 | — | (no auth in dev) |
+| mailhog | 1025 (smtp), 8025 (UI) | http://localhost:8025 | (no auth) |
+| ... | ... | ... | ... |
+## Architecture Diagram
+```
+[ASCII diagram of the chosen shape. Examples below.]
+# Frontend-only
+[ Browser ] -> [ Next.js (apps/web) ]
+# Fullstack
+[ Browser ] -> [ Next.js (apps/web) ] -> [ FastAPI (apps/api) ] -> [ Postgres ]
+                                                                |-> [ Redis ]
+                                                                |-> [ MailHog ]
+# With observability
+... -> [ FastAPI ] -> { OTLP } -> [ Jaeger ]
+```
+## Generated Files
+[Filled by /dw-new-project after Phase 3 — list of files created with their sources.]
+```
+{{TARGET_DIR}}/
+├── apps/
+│   ├── web/                      (created by `pnpm create next-app`)
+│   └── api/                      (inline scaffold — FastAPI)
+├── packages/
+│   └── shared/                   (created by /dw-new-project)
+├── docker-compose.dev.yml        (composed from .agents/skills/docker-compose-recipes/)
+├── .env.example                  (consolidated from selected services)
+├── .gitignore                    (per stack)
+├── .dockerignore                 (per stack)
+├── .github/workflows/ci.yml      (CI matrix per app)
+├── package.json                  (root scripts: dev:up/down/logs/reset)
+├── pnpm-workspace.yaml           (if pnpm workspaces)
+├── turbo.json                    (if Turborepo)
+├── README.md                     (Quick Start + Local Dev port table)
+└── .dw/
+    ├── rules/index.md            (seeded — enrich later via /dw-analyze-project)
+    └── spec/projects/<name>.md   (this file)
+```
+## MVP Scope
+[The smallest first feature you'll ship. Thought as user stories — this should drive the first /dw-create-prd run.]
+- As a [persona], I can [action] so that [benefit]
+- As a [persona], I can [action] so that [benefit]
+If you don't have a first feature in mind yet, that's OK — leave a placeholder and run /dw-create-prd when ready.
+## Not Doing (explicit)
+[Tempting items deferred. Forces scope discipline.]
+- **[item 1]** — reason: [out of v1 because...]
+- **[item 2]** — reason: [could become v2 if hypothesis X validates]
+## Key Assumptions
+- **[assumption about users / market / scale]** — test: [how this assumption is validated]
+- **[assumption about latency / volume / SLAs]** — test: [load profile, target metric]
+## Open Questions
+[Things this one-pager cannot answer alone. Resolve before /dw-create-prd or escalate to a stakeholder.]
+- [question 1]
+- [question 2]
+## Next Step
+Pick ONE:
+- **`/dw-create-prd`** — when you have a first feature in mind and want to draft the PRD on top of this stack
+- **`/dw-analyze-project`** — after the first substantial commit, to enrich `.dw/rules/` with module-level conventions
+- **`/dw-deps-audit --scan-only`** — to confirm no vulnerable deps shipped from the `create-*` templates

package/scaffold/pt-br/commands/dw-deps-audit.md ADDED Viewed

@@ -0,0 +1,326 @@
+<system_instructions>
+Voce e o lider de remediacao de supply-chain de dependencias. Sua funcao e **encontrar** pacotes desatualizados e comprometidos por supply-chain, **planejar** uma estrategia de update por pacote com trade-offs explicitos, e (quando autorizado) **executar** os updates com seguranca + QA escopada para garantir que o upgrade nao quebra onde o pacote e realmente usado.
+Este comando e **distinto** do `/dw-security-check`:
+- `/dw-security-check` e um veredito SAST + SCA single-shot (CRITICAL/HIGH = REJECTED, sem remediacao).
+- `/dw-deps-audit` e um planejador-remediador multi-fase: detect → classifica → brainstorm de plano de update → gate humano → execute com QA escopada → relatorio.
+<critical>Este comando e rigido em seguranca: em modo `--execute`, NENHUM arquivo pode ser modificado antes do usuario aprovar explicitamente o plano apresentado no fim da Fase 3. Sem flag de bypass.</critical>
+<critical>Linguagens suportadas: TypeScript/JavaScript, Python, C#, Rust. Aborta com mensagem clara se nenhuma e detectada no escopo.</critical>
+<critical>Se o upgrade falhar nos testes escopados E um ciclo de `dw-fix-qa` nao recuperar, REVERTA a mudanca (lockfile + manifest) e marque o pacote como BLOCKED. Nao deixe estado sujo.</critical>
+## Quando Usar
+- Apos `/dw-security-check` apontar dependencias vulneraveis e voce precisa de plano de remediacao
+- Quando o time quer reduzir divida tecnica em pacotes desatualizados de forma controlada
+- Quando o monitoramento pega um incidente publico de supply-chain (ex.: pacote malicioso publicado) e voce precisa confirmar exposicao + planejar remocao/pin
+- Antes de uma release grande, para reduzir a superficie de CVEs conhecidos nas dependencias enviadas
+- NAO use para DAST em runtime nem para review de codigo da aplicacao (use `/dw-run-qa` e `/dw-code-review`)
+- NAO substitui `/dw-security-check` — sao complementares; este aqui foca em SCA e remediacao, nao em review estatico OWASP
+## Posicao no Pipeline
+**Predecessor:** `/dw-security-check` (opcional — os findings dele podem prefilar a Fase 1) | **Sucessor:** `/dw-code-review` e `/dw-generate-pr` (o relatorio vira evidencia de que a superficie de deps esta limpa para o PR)
+## Skills Complementares
+| Skill | Gatilho |
+|-------|---------|
+| `dw-verify` | **SEMPRE** — toda fase emite VERIFICATION REPORT (comandos rodados, exit codes, artefatos) antes da proxima fase comecar |
+| `dw-review-rigor` | **SEMPRE** — aplica deduplicacao (mesmo advisory em N pacotes = 1 finding com lista afetada), severity ordering, e signal-over-volume na lista OUTDATED-MINOR |
+| `security-review` (`references/supply-chain.md`) | **SEMPRE** ao classificar findings — da o framing OWASP A06 (Vulnerable & Outdated Components) para os trade-offs do brainstorm |
+| `dw-council` | Opt-in automatico quando >=3 pacotes caem em tier COMPROMISED — stress-test multi-conselheiro sobre ordem e escopo de remediacao |
+| `webapp-testing` | Opcional — quando o projeto e frontend e a fase de testes escopados precisa de selecao Playwright-aware |
+## Variaveis de Entrada
+| Variavel | Descricao | Exemplo |
+|----------|-----------|---------|
+| `{{SCOPE}}` | Caminho do PRD OU caminho do source. Opcional — default e `.dw/spec/prd-<slug>` inferido da branch ativa `feat/prd-<slug>` | `.dw/spec/prd-checkout-v2` ou `.` |
+| `{{MODE}}` | Um de `--scan-only`, `--plan` (default), `--execute` | `--execute` |
+Se `{{SCOPE}}` nao foi passado e nao ha PRD ativo, escopo cai para a raiz do repo (`.`) e o relatorio vai para `.dw/audit/`.
+## Localizacao dos Arquivos
+- Relatorio (escopo PRD): `{{SCOPE}}/deps-audit.md`
+- Relatorio (sem PRD): `.dw/audit/deps-audit-<YYYY-MM-DD>.md`
+- Artefatos brutos do inventario (sempre): `/tmp/dw-deps-audit-<run-id>/{npm-audit.json, npm-outdated.json, pip-audit.json, ...}`
+- Referencias de skill: `.agents/skills/security-review/references/supply-chain.md`
+## Comportamento Obrigatorio — Pipeline
+Execute as fases em ordem. A Fase 4 so roda quando `{{MODE}} == --execute` E o usuario aprovou o plano na Fase 3.5.
+---
+### Fase 0 — Deteccao de Linguagem
+Enumere arquivos no escopo e detecte linguagens:
+| Linguagem | Indicadores |
+|-----------|-------------|
+| TypeScript / JavaScript | `package.json`, `package-lock.json`, `pnpm-lock.yaml`, `yarn.lock`, `*.ts`, `*.tsx`, `*.js`, `*.jsx`, `*.mjs` |
+| Python | `pyproject.toml`, `requirements*.txt`, `Pipfile`, `poetry.lock`, `setup.py`, `*.py` |
+| C# / .NET | `*.csproj`, `*.sln`, `packages.config`, `*.cs` |
+| Rust | `Cargo.toml`, `Cargo.lock`, `*.rs` |
+Se nenhuma das quatro for detectada → **abortar** com:
+`"dw-deps-audit so suporta TypeScript, Python, C# e Rust. Nenhum arquivo nessas linguagens foi detectado em <escopo>. Abortando."`
+Repos poliglotas rodam toda camada aplicavel; o relatorio tem uma secao por linguagem.
+---
+### Fase 1 — Inventario (tres sinais)
+Monte o conjunto candidato a partir de tres sinais independentes para nada escapar.
+#### Sinal A — Vulnerabilidades conhecidas (SCA)
+| Linguagem | Comando primario | Notas |
+|-----------|------------------|-------|
+| TS/JS (npm) | `npm audit --json` | Detecte o package manager pelo lockfile |
+| TS/JS (pnpm) | `pnpm audit --json` | |
+| TS/JS (yarn) | `yarn npm audit --recursive --json` | Yarn Berry; em v1 use `yarn audit --json` |
+| Python | `pip-audit --strict --format json` | Skip com nota se `pip-audit` ausente |
+| C# / .NET | `dotnet list package --vulnerable --include-transitive` | Saida humana; parse a tabela |
+| Rust | `cargo audit --json` | Skip com nota se `cargo-audit` ausente; sugira `cargo install cargo-audit` |
+#### Sinal B — Pacotes desatualizados
+| Linguagem | Comando primario | Notas |
+|-----------|------------------|-------|
+| TS/JS (npm) | `npm outdated --json` | Retorna 1 quando ha outdated; e esperado |
+| TS/JS (pnpm) | `pnpm outdated --format json` | |
+| TS/JS (yarn) | `yarn outdated --json` | |
+| Python | `pip list --outdated --format json` | |
+| C# / .NET | `dotnet list package --outdated` | |
+| Rust | `cargo outdated --format json` | Skip com nota se `cargo-outdated` ausente |
+#### Sinal C — Supply-chain attacks (o diferencial)
+Este sinal busca pacotes **publicados maliciosamente**, nao apenas com CVE.
+1. **Cross-check OSV.dev** — para cada dependencia direta, consulte a API OSV por advisories `OSV-MAL-*` (categoria malicious-package):
+   ```
+   POST https://api.osv.dev/v1/query
+   Body: {"package": {"name": "<name>", "ecosystem": "<npm|PyPI|NuGet|crates.io>"}}
+   ```
+   Faca via WebFetch. Filtre resultados onde `id` comeca com `MAL-` ou `aliases` contem advisory `MAL-`.
+2. **Cross-check GitHub Security Advisories** — consulte advisories no ecossistema casado que sao `severity:critical` ou `published_in_last_90_days`. WebFetch em `https://api.github.com/advisories?ecosystem=<eco>&severity=critical&per_page=100` (sem auth para advisories publicos).
+3. **Lista hardcoded de fallback** — conjunto conhecido de incidentes historicos de pacote malicioso para pegar mesmo offline. Inclua no minimo:
+   - `event-stream` (qualquer versao apos comprometimento)
+   - `ua-parser-js@0.7.29 || 0.7.30 || 0.7.31 || 1.0.0`
+   - `node-ipc@>=10.1.1`
+   - `coa@2.0.3`
+   - `colors@1.4.1`
+   - `flatmap-stream` (qualquer versao)
+   - `ctx@*` (incidente de typosquat no PyPI)
+   - `phpass@*` (incidente de typosquat no PyPI)
+   - `xrpl@4.2.1 || 4.2.2 || 4.2.3 || 4.2.4`
+   <critical>A lista hardcoded e SECUNDARIA. Vai ficar defasada. O OSV consult e a fonte de verdade — registre no relatorio quando o OSV ficou indisponivel e o run caiu so na lista hardcoded.</critical>
+Escreva um VERIFICATION REPORT da Fase 1 (comandos + exit codes + contagem de findings) antes de seguir.
+---
+### Fase 2 — Classificacao
+Classifique todo candidato da Fase 1 em um tier. Aplique as regras de `dw-review-rigor`:
+- Deduplicar: o mesmo advisory afetando N pacotes vira um finding com a lista afetada.
+- Severity ordering: COMPROMISED → CRITICAL CVE → HIGH CVE → OUTDATED-MAJOR → OUTDATED-MINOR.
+- Signal over volume: no relatorio, liste todos COMPROMISED/CRITICAL/HIGH; colapse OUTDATED-MINOR para uma contagem mais top 5 por uso.
+| Tier | Criterio | Acao default |
+|------|----------|--------------|
+| **COMPROMISED** | Match em OSV-MAL-*, advisory critical do GitHub, ou lista hardcoded | Sempre no plano; nao pode ser desmarcado pelo usuario (warning se tentar) |
+| **CRITICAL CVE** | CVSS >= 9.0 OU advisory marcado como exploited | Sempre no plano; usuario pode adiar com motivo explicito registrado no relatorio |
+| **HIGH CVE** | CVSS 7.0 a 8.9 | Sempre no plano; usuario pode adiar com motivo explicito |
+| **OUTDATED-MAJOR** | Versao atual >= 1 major atras do latest stable | Vai pro brainstorm; usuario decide por pacote |
+| **OUTDATED-MINOR** | Outdated minor/patch sem CVE | So sumarizado; nao entra no plano por pacote |
+---
+### Fase 3 — Mapeamento de Impacto + Brainstorm
+Para cada pacote em **COMPROMISED / CRITICAL CVE / HIGH CVE / OUTDATED-MAJOR**:
+#### 3.1 Mapeamento de uso
+Encontre todo arquivo que importa o pacote:
+- TS/JS: `from '<pkg>'` / `from "<pkg>/..."` / `require('<pkg>')` / `import('<pkg>')`
+- Python: `import <pkg>` / `from <pkg> import` / `from <pkg>.* import`
+- C#: `using <pkg>;` (namespace raiz) / `<PackageReference Include="<pkg>" .../>` para verificacao transitiva
+- Rust: `use <pkg>::` / `extern crate <pkg>` / paths qualificados `<pkg>::`
+Use `Grep` e `Glob`. Capture lista de arquivos por pacote.
+#### 3.2 Mapeamento de testes
+Para cada arquivo da 3.1, encontre os testes que o exercem. Heuristicas (na ordem):
+1. Par com mesmo nome: `src/foo.ts` ↔ `src/foo.test.ts` / `src/foo.spec.ts`.
+2. Diretorio de testes irmao: `__tests__/foo.test.ts`, `tests/test_foo.py`, `Foo.Tests/FooTests.cs`, `tests/foo.rs`.
+3. Busca por simbolo: grep nos testes pelo simbolo exportado usado pelo arquivo de aplicacao.
+4. Monte um comando de teste concreto por linguagem:
+   - npm: `npm test -- <files>` ou o script de unit test do projeto (`test:unit`).
+   - pnpm: `pnpm test -- <files>`. yarn: `yarn test <files>`.
+   - Python: `pytest <files>`.
+   - .NET: `dotnet test --filter "FullyQualifiedName~<Class>"`.
+   - Rust: `cargo test <module>` ou `cargo test --package <pkg-que-usa>`.
+Se um arquivo nao tem testes descobriveis, marque `UNCOVERED` e suba no relatorio — o usuario tem que aceitar o risco antes do upgrade rodar em modo `--execute`.
+#### 3.3 Brainstorm (3 opcoes por pacote)
+Para cada pacote, apresente tres estrategias de update no estilo do `dw-brainstorm`:
+| Opcao | Definicao | Esforco | Risco de breaking | Ganho de seguranca |
+|-------|-----------|---------|-------------------|--------------------|
+| **Conservadora** | Pin na versao corrigida mais proxima dentro do major atual (ou remocao do pacote inteiro se COMPROMISED e tem alternativa drop-in) | S | Baixo | Alto (fecha o advisory) |
+| **Balanceada** | Upgrade para o maior minor/patch dentro do major atual | S–M | Baixo–Medio | Alto |
+| **Ousada** | Upgrade para o latest major | M–L | Medio–Alto (pode pedir refactor) | Maximo (ultimos patches + features novas) |
+Para cada opcao, liste:
+- Versao alvo
+- Notas de breaking change (consulte CHANGELOG / releases do GitHub se alcancavel; cite a fonte)
+- Estimativa de escopo de refactor (contagem de arquivos da 3.1)
+#### 3.4 Recomendacao
+Uma linha por pacote: **opcao recomendada** + comando de proxima acao (ex.: `npm install lodash@4.17.21 && npm test`).
+#### 3.5 Gate de aprovacao humana
+Apresente o plano completo e pergunte ao usuario, via `AskUserQuestion` se disponivel, senao via prompt numerado:
+1. Quais pacotes aplicar
+2. Qual opcao (Conservadora / Balanceada / Ousada) por pacote
+3. Para pacotes COMPROMISED: confirmacao de que entendem que a remocao nao pode ser adiada
+Sem aprovacao explicita, o comando termina aqui com status **PLANNED** e escreve o relatorio.
+Se `{{MODE}} == --plan` (default), PARE depois de escrever o relatorio. Nao entre na Fase 4.
+---
+### Fase 4 — Execucao Guiada (so em `--execute`)
+Para cada pacote aprovado, na ordem COMPROMISED → CRITICAL → HIGH → OUTDATED-MAJOR:
+1. **Aplicar o update**:
+   - npm/pnpm/yarn: detecte o manager pelo lockfile e rode o comando casado:
+     - `npm install <pkg>@<v> --save-exact`
+     - `pnpm add <pkg>@<v>`
+     - `yarn add <pkg>@<v>` (Berry) ou `yarn upgrade <pkg>@<v>` (v1)
+   - Python: `pip install -U "<pkg>==<v>"` OU `poetry add <pkg>@<v>` se `poetry.lock` existir OU edite `pyproject.toml` e rode `pip install -e .`
+   - C#: `dotnet add package <pkg> --version <v>`
+   - Rust: edite `Cargo.toml` e rode `cargo update -p <pkg> --precise <v>`
+2. **Rodar testes escopados** da Fase 3.2 — apenas os testes que tocam este pacote, nao a suite inteira. Capture stdout, stderr, exit code.
+3. **Se os testes falharem**:
+   - Rode um ciclo de `dw-fix-qa` automatico (mesmo padrao fix-retest do `/dw-fix-qa`).
+   - Se ainda falhar depois desse ciclo: **reverta o update**:
+     - Restaure lockfile + manifest do git (`git checkout -- <lockfile> <manifest>`)
+     - Rode o comando de install de novo para reconciliar deps com o lockfile restaurado
+     - Marque o pacote como **BLOCKED** no relatorio com nomes dos testes que falharam e trecho do stderr
+     - Va para o proximo pacote
+4. **Se os testes passarem**: crie commit atomico por pacote:
+   ```
+   chore(deps): update <pkg> from <old> to <new> [supply-chain] (<tier>)
+   - Closes <CVE-ID> | <OSV-ID> | <advisory>
+   - Testes escopados que passaram: <count>
+   - Arquivos que importam <pkg>: <count>
+   ```
+5. Apos processar todos os aprovados, rode `/dw-run-qa` (escopo PRD se houver, senao a suite e2e) como gate final.
+   - PASS → status **EXECUTED-CLEAN**
+   - FAIL → status **EXECUTED-PARTIAL** (pacotes commitados ficam; falha do QA final fica documentada)
+---
+### Fase 5 — Relatorio
+Escreva o relatorio em:
+- `.dw/spec/prd-<slug>/deps-audit.md` se escopo PRD
+- `.dw/audit/deps-audit-<YYYY-MM-DD>.md` caso contrario (cria o diretorio se faltar)
+Frontmatter:
+```markdown
+---
+type: deps-audit
+schema_version: "1.0"
+status: <SCANNED | PLANNED | EXECUTED-CLEAN | EXECUTED-PARTIAL | BLOCKED>
+date: YYYY-MM-DD
+languages: [typescript, python, csharp, rust]
+mode: <scan|plan|execute>
+osv_consulted: <true|false>
+github_advisories_consulted: <true|false>
+---
+```
+Secoes:
+1. **VERIFICATION REPORT** (por fase: comando, exit code, caminho do artefato)
+2. **Inventario** — tabelas por linguagem dos resultados de Sinal A / B / C
+3. **Classificacao** — pacotes agrupados por tier
+4. **Mapeamento de Impacto** — por pacote: arquivos de uso, arquivos de teste, warning UNCOVERED se houver
+5. **Brainstorm e Recomendacoes** — 3 opcoes por pacote + a recomendada
+6. **Aprovacoes Humanas** — so em `--execute`: quais pacotes aprovados com qual opcao, e razoes para qualquer adiamento
+7. **Log de Execucao** — so em `--execute`: por pacote, comando de install, comando de teste, resultado, SHA do commit (ou motivo do BLOCKED)
+8. **QA Final** — so em `--execute`: resultado do `/dw-run-qa`
+9. **Proximos Passos** — pacotes ainda BLOCKED, pacotes adiados para uma proxima rodada, link para `/dw-security-check` para o proximo gate
+---
+## Flags
+| Flag | Fases | Uso |
+|------|-------|-----|
+| (default) `--plan` | 0 → 3 → 5 | Detecta, classifica, faz brainstorm, escreve plano. Sem mutacao de arquivos. Default seguro. |
+| `--scan-only` | 0 → 2 → 5 | Detecta e classifica. Pula brainstorm e execucao. Pensado para dashboards de CI. |
+| `--execute` | 0 → 5 | Pipeline completo incluindo updates, QA escopada, commits. Exige aprovacao humana explicita na Fase 3.5. |
+---
+## Regras Criticas
+- <critical>Fase 4 NUNCA roda sem aprovacao explicita capturada na Fase 3.5. Se o agente que executa este comando nao tem canal interativo e `--execute` foi passado, aborte com: `"--execute exige aprovacao interativa; rerode com --plan e aplique as mudancas aprovadas manualmente."`</critical>
+- <critical>Pacotes COMPROMISED ESTAO SEMPRE no plano. O usuario pode declinar, mas o relatorio registra os COMPROMISED declinados em uma secao de warning visivel.</critical>
+- <critical>Se os testes escopados falham e `dw-fix-qa` nao recupera em um ciclo, o update e REVERTIDO. Sem commit parcial.</critical>
+- <critical>OSV consult e a fonte de verdade para COMPROMISED. A lista hardcoded e fallback; sinalize no relatorio quando o OSV estava indisponivel.</critical>
+- NAO bumpe pacotes fora da lista aprovada, mesmo que apareca em `npm outdated`.
+- NAO modifique lockfiles direto — deixe o package manager regenerar.
+- NAO rode `npm audit fix --force` ou qualquer flag de auto-fix; ela pula o brainstorm e o gate humano.
+- NAO pule o relatorio da Fase 5 mesmo em abort precoce — escreva o que foi coletado para o proximo run ter contexto.
+## Tratamento de Erros
+- Tool ausente (`pip-audit`, `cargo-audit`, `cargo-outdated`) → pule esse sinal com nota visivel no relatorio; nao quebre o run.
+- API OSV indisponivel → use a lista hardcoded como fallback, marque `osv_consulted: false` no frontmatter, ponha warning visivel no relatorio.
+- API GitHub Advisories com rate limit → caia para a lista hardcoded no resto do run, marque `github_advisories_consulted: false`.
+- Lockfile faltando para uma linguagem detectada (ex.: tem `package.json` mas nao `package-lock.json`) → pule Sinal A/B daquela linguagem, anote; o usuario tem que commitar lockfile primeiro.
+- `--execute` pedido com working tree sujo → aborte com `"Working tree precisa estar limpo antes de --execute (mudancas sem commit detectadas). Comite ou stash, depois retente."`
+- `dw-fix-qa` indisponivel no ambiente → em `--execute`, caia para revert direto (sem tentativa de fix) e marque BLOCKED.
+## Integracao com Outros dw-* Commands
+- **`/dw-security-check`** — os findings dele podem prefilar a Fase 1 Sinal A. Apos `EXECUTED-CLEAN` deste comando, rerode `/dw-security-check` para confirmar que o veredito virou.
+- **`/dw-run-qa`** — invocado como gate final na Fase 4 passo 5.
+- **`/dw-fix-qa`** — invocado uma vez por pacote que falha na Fase 4 passo 3 (recupera ou reverte).
+- **`/dw-brainstorm`** — Fase 3.3 reusa a disciplina das tres opcoes (Conservadora/Balanceada/Ousada), mas aplicada por pacote, nao por feature.
+- **`/dw-commit`** — nao invocado direto; este comando escreve as proprias mensagens com trailer de supply-chain.
+- **`/dw-generate-pr`** — o relatorio vira evidencia de remediacao no body do PR.
+## Inspirado em
+`dw-deps-audit` e dev-workflow-native. A camada de deteccao reusa o pipeline SCA ja declarado no `/dw-security-check` (npm/pnpm/pip-audit/dotnet/cargo). A camada de brainstorm pega a disciplina das tres opcoes (Conservadora/Balanceada/Ousada) emprestada do `/dw-brainstorm`. O loop fix-retest pega emprestado de `/dw-run-qa` e `/dw-fix-qa`. O framing OWASP A06 (Vulnerable & Outdated Components) vem da skill `security-review` (`references/supply-chain.md`). O OSV.dev consult e a lista de incidentes de pacote malicioso sao sinais primarios aqui — nem `/dw-security-check` nem nenhuma das skills open-source surfaceadas pelo `/dw-find-skills` integram isso como orquestrador de remediacao.
+</system_instructions>