@luanpdd/kit-mcp 1.29.0 → 1.30.0

package/kit/hooks/workflow-guard.js

@@ -1,101 +1,101 @@
-#!/usr/bin/env node
-// hook-version: 1.30.1
-// SEC-13-05: flush-before-exit category = A (stdout.write + immediate exit)
-// Fix applied: process.stdout.write(payload, () => process.exit(0)) on warning path.
-// framework Workflow Guard — PreToolUse hook
-// Detects when Claude attempts file edits outside a framework workflow context
-// (no active / command or Task subagent) and injects an advisory warning.
-//
-// This is a SOFT guard — it advises, not blocks. The edit still proceeds.
-// The warning nudges Claude to use /quick or /fast instead of
-// making direct edits that bypass state tracking.
-//
-// Enable via config: hooks.workflow_guard: true (default: false)
-// Only triggers on Write/Edit tool calls to non-.planning/ files.
-
-const fs = require('fs');
-const path = require('path');
-
-let input = '';
-const stdinTimeout = setTimeout(() => process.exit(0), 3000);
-process.stdin.setEncoding('utf8');
-process.stdin.on('data', chunk => input += chunk);
-process.stdin.on('end', () => {
-  clearTimeout(stdinTimeout);
-  try {
-    const data = JSON.parse(input);
-    const toolName = data.tool_name;
-
-    // Only guard Write and Edit tool calls
-    if (toolName !== 'Write' && toolName !== 'Edit') {
-      process.exit(0);
-    }
-
-    // Check if we're inside a framework workflow (Task subagent or / command)
-    // Subagents have a session_id that differs from the parent
-    // and typically have a description field set by the orchestrator
-    if (data.tool_input?.is_subagent || data.session_type === 'task') {
-      process.exit(0);
-    }
-
-    // Check the file being edited
-    const filePath = data.tool_input?.file_path || data.tool_input?.path || '';
-
-    // Allow edits to .planning/ files (framework state management)
-    if (filePath.includes('.planning/') || filePath.includes('.planning\\')) {
-      process.exit(0);
-    }
-
-    // Allow edits to common config/docs files that don't need framework tracking
-    const allowedPatterns = [
-      /\.gitignore$/,
-      /\.env/,
-      /CLAUDE\.md$/,
-      /AGENTS\.md$/,
-      /GEMINI\.md$/,
-      /settings\.json$/,
-    ];
-    if (allowedPatterns.some(p => p.test(filePath))) {
-      process.exit(0);
-    }
-
-    // Check if workflow guard is enabled
-    const cwd = data.cwd || process.cwd();
-    const configPath = path.join(cwd, '.planning', 'config.json');
-    if (fs.existsSync(configPath)) {
-      try {
-        const config = JSON.parse(fs.readFileSync(configPath, 'utf8'));
-        if (!config.hooks?.workflow_guard) {
-          process.exit(0); // Guard disabled (default)
-        }
-      } catch (e) {
-        process.exit(0);
-      }
-    } else {
-      process.exit(0); // No framework project — don't guard
-    }
-
-    // If we get here: framework project, guard enabled, file edit outside .planning/,
-    // not in a subagent context. Inject advisory warning.
-    const output = {
-      hookSpecificOutput: {
-        hookEventName: "PreToolUse",
-        additionalContext: `⚠️ AVISO DE FLUXO DE TRABALHO: Você está editando ${path.basename(filePath)} diretamente sem um comando do framework. ` +
-          'Esta edição não será rastreada no STATE.md nem produzirá um SUMMARY.md. ' +
-          'Considere usar /fast para correções triviais ou /quick para mudanças maiores ' +
-          'para manter o rastreamento de estado do projeto. ' +
-          'Se isso for intencional (ex.: usuário solicitou explicitamente uma edição direta), prossiga normalmente.'
-      }
-    };
-
-    // SEC-13-05: aguardar flush do stdout antes do exit. Sem callback, em
-    // pipes lentos (CI/Windows/Git Bash) o JSON pode ser dropado quando o
-    // process termina antes do kernel drenar o buffer.
-    process.stdout.write(JSON.stringify(output), () => {
-      process.exit(0);
-    });
-  } catch (e) {
-    // Silent fail — never block tool execution
-    process.exit(0);
-  }
-});
+#!/usr/bin/env node
+// hook-version: 1.30.1
+// SEC-13-05: flush-before-exit category = A (stdout.write + immediate exit)
+// Fix applied: process.stdout.write(payload, () => process.exit(0)) on warning path.
+// framework Workflow Guard — PreToolUse hook
+// Detects when Claude attempts file edits outside a framework workflow context
+// (no active / command or Task subagent) and injects an advisory warning.
+//
+// This is a SOFT guard — it advises, not blocks. The edit still proceeds.
+// The warning nudges Claude to use /quick or /fast instead of
+// making direct edits that bypass state tracking.
+//
+// Enable via config: hooks.workflow_guard: true (default: false)
+// Only triggers on Write/Edit tool calls to non-.planning/ files.
+
+const fs = require('fs');
+const path = require('path');
+
+let input = '';
+const stdinTimeout = setTimeout(() => process.exit(0), 3000);
+process.stdin.setEncoding('utf8');
+process.stdin.on('data', chunk => input += chunk);
+process.stdin.on('end', () => {
+  clearTimeout(stdinTimeout);
+  try {
+    const data = JSON.parse(input);
+    const toolName = data.tool_name;
+
+    // Only guard Write and Edit tool calls
+    if (toolName !== 'Write' && toolName !== 'Edit') {
+      process.exit(0);
+    }
+
+    // Check if we're inside a framework workflow (Task subagent or / command)
+    // Subagents have a session_id that differs from the parent
+    // and typically have a description field set by the orchestrator
+    if (data.tool_input?.is_subagent || data.session_type === 'task') {
+      process.exit(0);
+    }
+
+    // Check the file being edited
+    const filePath = data.tool_input?.file_path || data.tool_input?.path || '';
+
+    // Allow edits to .planning/ files (framework state management)
+    if (filePath.includes('.planning/') || filePath.includes('.planning\\')) {
+      process.exit(0);
+    }
+
+    // Allow edits to common config/docs files that don't need framework tracking
+    const allowedPatterns = [
+      /\.gitignore$/,
+      /\.env/,
+      /CLAUDE\.md$/,
+      /AGENTS\.md$/,
+      /GEMINI\.md$/,
+      /settings\.json$/,
+    ];
+    if (allowedPatterns.some(p => p.test(filePath))) {
+      process.exit(0);
+    }
+
+    // Check if workflow guard is enabled
+    const cwd = data.cwd || process.cwd();
+    const configPath = path.join(cwd, '.planning', 'config.json');
+    if (fs.existsSync(configPath)) {
+      try {
+        const config = JSON.parse(fs.readFileSync(configPath, 'utf8'));
+        if (!config.hooks?.workflow_guard) {
+          process.exit(0); // Guard disabled (default)
+        }
+      } catch (e) {
+        process.exit(0);
+      }
+    } else {
+      process.exit(0); // No framework project — don't guard
+    }
+
+    // If we get here: framework project, guard enabled, file edit outside .planning/,
+    // not in a subagent context. Inject advisory warning.
+    const output = {
+      hookSpecificOutput: {
+        hookEventName: "PreToolUse",
+        additionalContext: `⚠️ AVISO DE FLUXO DE TRABALHO: Você está editando ${path.basename(filePath)} diretamente sem um comando do framework. ` +
+          'Esta edição não será rastreada no STATE.md nem produzirá um SUMMARY.md. ' +
+          'Considere usar /fast para correções triviais ou /quick para mudanças maiores ' +
+          'para manter o rastreamento de estado do projeto. ' +
+          'Se isso for intencional (ex.: usuário solicitou explicitamente uma edição direta), prossiga normalmente.'
+      }
+    };
+
+    // SEC-13-05: aguardar flush do stdout antes do exit. Sem callback, em
+    // pipes lentos (CI/Windows/Git Bash) o JSON pode ser dropado quando o
+    // process termina antes do kernel drenar o buffer.
+    process.stdout.write(JSON.stringify(output), () => {
+      process.exit(0);
+    });
+  } catch (e) {
+    // Silent fail — never block tool execution
+    process.exit(0);
+  }
+});

package/kit/settings.json

@@ -1,45 +1,45 @@
-{
-  "permissions": {
-    "allow": []
-  },
-  "hooks": {
-    "SessionStart": [
-      {
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node .claude/hooks/check-update.js"
-          }
-        ]
-      }
-    ],
-    "PostToolUse": [
-      {
-        "matcher": "Bash|Edit|Write|MultiEdit|Agent|Task",
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node .claude/hooks/context-monitor.js",
-            "timeout": 10
-          }
-        ]
-      }
-    ],
-    "PreToolUse": [
-      {
-        "matcher": "Write|Edit",
-        "hooks": [
-          {
-            "type": "command",
-            "command": "node .claude/hooks/prompt-guard.js",
-            "timeout": 5
-          }
-        ]
-      }
-    ]
-  },
-  "statusLine": {
-    "type": "command",
-    "command": "node .claude/hooks/statusline.js"
-  }
-}
+{
+  "permissions": {
+    "allow": []
+  },
+  "hooks": {
+    "SessionStart": [
+      {
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node .claude/hooks/check-update.js"
+          }
+        ]
+      }
+    ],
+    "PostToolUse": [
+      {
+        "matcher": "Bash|Edit|Write|MultiEdit|Agent|Task",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node .claude/hooks/context-monitor.js",
+            "timeout": 10
+          }
+        ]
+      }
+    ],
+    "PreToolUse": [
+      {
+        "matcher": "Write|Edit",
+        "hooks": [
+          {
+            "type": "command",
+            "command": "node .claude/hooks/prompt-guard.js",
+            "timeout": 5
+          }
+        ]
+      }
+    ]
+  },
+  "statusLine": {
+    "type": "command",
+    "command": "node .claude/hooks/statusline.js"
+  }
+}

package/kit/skills/_shared-supabase/glossary.md

@@ -127,6 +127,23 @@
 | **Preview branch** (v1.27) | Branch Supabase ephemeral, auto-pause em inatividade, auto-delete em PR merge/close. Padrão para feature development. |
 | **[remotes] block** (v1.27) | Seção em `config.toml` que define configuração branch-specific. Referencia `project_id` obtido via `supabase --experimental branches list`. Permite override de db/api/auth/edge_runtime per branch. |
 | **Schema drift** (v1.27) | Divergência entre estado real do schema e migration tracking. Causa típica: changes diretos no dashboard, ou timestamps wrong order após git rebase. Resolução via `migration repair` (tracking) ou rebase rename (timestamps). |
+| **`SUPABASE_PUBLISHABLE_KEYS` / `SUPABASE_SECRET_KEYS`** (v1.30) | Env vars 2026 — **JSON dicts** (não strings) com chaves nomeadas. Acesso canônico: `JSON.parse(Deno.env.get('SUPABASE_SECRET_KEYS')!)['default']`. Cada projeto pode ter múltiplas chaves nomeadas (`default`, `automations`, `internal-cron`) para rotação granular + audit per-consumer. Legacy `SUPABASE_ANON_KEY` e `SUPABASE_SERVICE_ROLE_KEY` ainda funcionam mas devem ser evitados em código novo. |
+| **`@supabase/server`** (v1.30) | Package npm 2026 que reduz boilerplate de auth em Edge Functions. Exporta `withSupabase({auth, ...})` (wrapper canônico) e `createSupabaseContext` (low-level para erros customizados). Pré-configura `ctx.supabase` (RLS-aware) ou `ctx.supabaseAdmin` (bypass) conforme auth mode. |
+| **`withSupabase` auth modes** (v1.30) | 4 modos: `'user'` (JWT em Authorization), `'secret:<name>'` (sb_secret em apikey, ctx.supabaseAdmin), `'publishable:<name>'` (sb_publishable em apikey, ctx.supabase anon), `'none'` (sem check — handler responsável). Combinável via array `['user', 'secret:cron']` — `ctx.authMode` indica qual matchou. |
+| **`verify_jwt` toggle** (v1.30) | Flag em `[functions.<name>]` no `config.toml` — `true` (default, plataforma valida JWT antes do handler) ou `false` (webhooks externos / service-to-service auth via apikey). CLI `--no-verify-jwt` para deploy/serve único. |
+| **`Authorization` vs `apikey`** (v1.30) | Headers distintos. `Authorization: Bearer <user-jwt>` é JWT do Supabase Auth. `apikey: sb_publishable_... \| sb_secret_...` é API key 2026 do projeto. Mandar API key como Bearer = 401 (causa #1 de erros auth). Browser logado envia ambos. |
+| **per-function `deno.json`** (v1.30) | Pattern recomendado 2026 — cada função tem seu próprio `deno.json` com `imports`, substituindo `import_map.json` global. Isola deps; update em uma função não quebra outra. Aliases tipo `"supabase": "npm:@supabase/supabase-js@2.95.0"` permitem imports limpos. |
+| **per-function `config.toml`** (v1.30) | Seção `[functions.<name>]` configura comportamento por função: `verify_jwt`, `import_map` (legacy), `entrypoint` (JS puro CLI 1.215+), `static_files` (Wasm/assets CLI 2.7.0+). Sobrescreve defaults. |
+| **`Supabase.ai.Session`** (v1.30) | Built-in runtime para AI inference. `gte-small` (zero deps, 384-dim embeddings, English, max 512 tokens). LLM via `AI_INFERENCE_API_HOST` apontando para Ollama (`mode: 'ollama'`) ou Llamafile (`mode: 'openaicompatible'`). Streaming via async iterator. |
+| **S3FS persistent storage** (v1.30) | Mount S3-compatible bucket como filesystem em `/s3/<bucket-name>/`. Habilitado por 4 secrets: `S3FS_ENDPOINT_URL`, `S3FS_REGION`, `S3FS_ACCESS_KEY_ID`, `S3FS_SECRET_ACCESS_KEY`. Permite `Deno.writeFile`, `Deno.readFile`, `Deno.mkdir` em paths persistentes (vs `/tmp` ephemeral). |
+| **`x-region` / `FunctionRegion`** (v1.30) | Regional invocation. Header `x-region: us-east-1` ou query `?forceFunctionRegion=us-east-1` força execução em região específica (útil quando DB-heavy + DB regional). 14 regiões disponíveis. **Caveat:** desliga failover automático. Header response `x-sb-edge-region` confirma região executada. Env `SB_REGION` lê região atual. |
+| **`Deno.upgradeWebSocket`** (v1.30) | API canônica para WebSocket server em Edge Function. Browser não permite custom headers — JWT via query param `?jwt=...` ou subprotocol `Sec-WebSocket-Protocol: jwt-<token>`. Validar com `supabase.auth.getUser(jwt)`. Local: `[edge_runtime] policy = "per_worker"` obrigatório (desliga hot-reload). |
+| **`static_files` Wasm** (v1.30) | Config em `config.toml` para bundle Wasm + assets junto com a função (CLI 2.7.0+). Format `static_files = ["./functions/wasm-add/add-wasm/pkg/*"]`. Caveat: **não funciona com `--use-api`** — requer Docker no deploy. |
+| **`RateLimitError` / `retryAfterMs`** (v1.30) | Erro Deno lançado quando Edge Function chama outra Edge Function e excede ~5000 req/min do chain. `err.retryAfterMs` indica delay sugerido. Resposta canônica: 429 + header `Retry-After`. Retry pattern: `setTimeout(_, err.retryAfterMs)`. Não conta inbound nem APIs externas — só function-to-function. |
+| **`FunctionsHttpError` / `FunctionsRelayError` / `FunctionsFetchError`** (v1.30) | 3 error classes do `@supabase/supabase-js` para classificar falha de `supabase.functions.invoke`. HttpError = função executou e retornou 4xx/5xx; RelayError = gateway↔Supabase; FetchError = inalcançável. `error.context.json()` lê body do HttpError. |
+| **status code 546** (v1.30) | Custom code Supabase = `WORKER_LIMIT` (recurso esgotado — memory 256MB, CPU 2s, ou wall clock 150s/400s excedido). Logs mostram qual limite estourou. Fix: reduzir bundle, chunk processing, mover para `EdgeRuntime.waitUntil` ou pgmq. |
+| **`mcp-lite`** (v1.30) | Framework TypeScript zero-deps para MCP servers. Pattern canônico em Edge Function: dois Hono apps — outer `app.route('/<function-name>', mcpApp)` (Supabase prefixa URL com nome) + inner `mcpApp.all('/mcp', handler)` (transport binding). Scaffold via `npm create mcp-lite@latest` template "Supabase Edge Functions". |
+| **`corsHeaders` from SDK** (v1.30) | A partir de `@supabase/supabase-js@2.95.0`, import `corsHeaders` direto do SDK: `import { corsHeaders } from 'npm:@supabase/supabase-js@2.95.0/cors'`. Auto-sync com novos headers em releases futuras (evita drift de strings hard-coded). |
 
 ---