@ps-neko/nekowork 0.1.0-alpha.0

package/package.json

@@ -0,0 +1,96 @@
+{
+  "name": "@ps-neko/nekowork",
+  "version": "0.1.0-alpha.0",
+  "description": "Local-first AI development harness for Claude Code, Codex CLI, and Gemini CLI",
+  "keywords": [
+    "claude",
+    "claude-code",
+    "codex",
+    "ai-agent",
+    "code-review",
+    "second-opinion",
+    "mcp",
+    "harness",
+    "multi-agent"
+  ],
+  "license": "MIT",
+  "private": false,
+  "repository": {
+    "type": "git",
+    "url": "git+https://github.com/Ps-Neko/NEKOWORK.git"
+  },
+  "type": "module",
+  "engines": {
+    "node": ">=22.0.0"
+  },
+  "bin": {
+    "harness": "scripts/cli.js"
+  },
+  "files": [
+    "agent.yaml",
+    "agents/",
+    "skills/",
+    "commands/",
+    "hooks/",
+    "rules/",
+    "manifests/",
+    "schemas/",
+    "scripts/",
+    "bridge/",
+    "examples/",
+    "docs/",
+    "SOUL.md",
+    "RULES.md",
+    "CLAUDE.md",
+    "AGENTS.md",
+    "WORKING-CONTEXT.md",
+    "REVIEW.md"
+  ],
+  "scripts": {
+    "build": "echo 'build: harness-specific projection scripts run via prepack' && exit 0",
+    "build:claude": "node scripts/build-claude.js",
+    "build:codex": "node scripts/build-codex.js",
+    "build:cursor": "node scripts/build-cursor.js",
+    "build:gemini": "node scripts/build-gemini.js",
+    "build:codemaps": "node scripts/build-codemaps.js",
+    "lint": "node scripts/ci/catalog.js && npm run validate:all && npm run security:hardening",
+    "test": "node --test tests/unit/*.test.js tests/integration/*.test.js tests/e2e/*.test.js",
+    "test:unit": "node --test tests/unit/*.test.js",
+    "test:integration": "node --test tests/integration/*.test.js",
+    "test:e2e": "node --test tests/e2e/*.test.js",
+    "test:catalog": "node scripts/ci/catalog.js",
+    "security:hardening": "node scripts/ci/security-hardening.js",
+    "validate:agents": "node scripts/ci/validate-agents.js",
+    "validate:skills": "node scripts/ci/validate-skills.js",
+    "validate:hooks": "node scripts/ci/validate-hooks.js",
+    "validate:manifests": "node scripts/ci/validate-manifests.js",
+    "validate:all": "npm run validate:agents && npm run validate:skills && npm run validate:hooks && npm run validate:manifests",
+    "install:plan": "node scripts/install-plan.js",
+    "install:apply": "node scripts/install-apply.js",
+    "demo:quick": "node scripts/demo-quick-run.js",
+    "demo:external": "node scripts/demo-external-project.js",
+    "verify:claude": "node scripts/verify/claude-live.js",
+    "verify:codex": "node scripts/verify/codex-live.js",
+    "verify:gemini": "node scripts/verify/gemini-live.js",
+    "verify:runtime": "node scripts/verify/runtime.js",
+    "auth:github:login": "node scripts/auth/github-login.js",
+    "auth:github:status": "node scripts/auth/github-status.js",
+    "auth:github:logout": "node scripts/auth/github-logout.js",
+    "test:keychain": "node --test tests/optional/keychain-smoke.test.js",
+    "auth:github:import-gh": "node scripts/auth/github-import-gh.js"
+  },
+  "dependencies": {
+    "@modelcontextprotocol/sdk": "^1.29.0",
+    "@napi-rs/keyring": "^1.2.0",
+    "ajv": "^8.17.1",
+    "ajv-formats": "^3.0.1",
+    "yaml": "^2.6.1"
+  },
+  "devDependencies": {
+    "@types/node": "^22.10.0",
+    "typescript": "^5.7.2"
+  },
+  "optionalDependencies": {
+    "@anthropic-ai/sdk": "^0.92.0"
+  }
+}

package/rules/common/coding-style.md

@@ -0,0 +1,71 @@
+# common/coding-style — 언어 무관 공통 규칙
+
+> 이 문서는 모든 언어 룰의 베이스. 언어별 디렉터리(`typescript/`, `python/`)가 이 룰을 확장한다.
+> 본 룰의 위반은 `quality-gate` → `code-reviewer` → `codex-reviewer` 단계에서 차단된다.
+
+## 1. 불변성 우선
+
+원본 객체는 변경하지 않는다. 새 객체를 만들어 돌려준다.
+
+```
+// 잘못됨 (mutation)
+modify(original, "field", value)   // original 자체가 바뀜
+
+// 올바름 (immutable)
+new = update(original, "field", value)   // original 보존, 새 객체 반환
+```
+
+근거: side effect 격리, 디버깅 단순화, 동시성 안전.
+
+> **언어 노트**: Go·Rust 처럼 mutation 이 관용적인 언어는 해당 언어 룰이 이 원칙을 재정의할 수 있다.
+
+## 2. 파일 조직
+
+작은 파일 다수 > 큰 파일 소수.
+
+- 보통 200~400 줄, 800줄을 넘으면 분할 후보.
+- 응집도(cohesion) 높게, 결합도(coupling) 낮게.
+- 도메인 / 기능 단위로 묶고, 타입(`utils.ts`, `helpers.ts` 같은 잡동사니) 으로 묶지 않는다.
+
+## 3. 함수
+
+- 1 함수 1 책임. 50줄 넘으면 분할 후보.
+- 부정 조건은 early-return 으로 거두고 nesting 4단계 초과 금지.
+- 인자 4개 초과 시 객체로 묶거나 빌더 패턴 검토.
+
+## 4. 네이밍
+
+- 가독성 > 짧음. `r`, `tmp`, `data2` 금지.
+- 부울 변수·함수는 `is`, `has`, `can`, `should` 접두사.
+- 상수는 SCREAMING_SNAKE_CASE.
+- 약어는 단어 취급(파스칼/카멜 케이스에서 `Url`, `Api` — 모두 대문자 금지).
+
+## 5. 에러 처리
+
+- 모든 레벨에서 명시적으로 처리한다.
+- UI 표면에는 사용자 친화적 메시지, 서버 로그에는 풀 컨텍스트.
+- 절대 silent swallow 금지(빈 catch / `except: pass`).
+- 시스템 경계(외부 API, 사용자 입력, 파일 입력)에서만 검증·차단.
+
+## 6. 입력 검증
+
+- 시스템 경계에서 schema 검증 (TS: zod / ajv, Python: pydantic).
+- 외부에서 들어온 데이터는 신뢰하지 않는다.
+- fail-fast: 잘못된 입력은 즉시 명확한 메시지로 거부.
+
+## 7. 부수 효과 명시
+
+- 네트워크 / 디스크 / 글로벌 상태 변경은 함수 시그니처와 이름에 드러난다.
+- 순수 함수는 순수하게 두고, side-effect 가 있는 호출은 한 곳으로 모은다(orchestrator 패턴).
+
+## 8. 코드 리뷰 체크리스트
+
+작업을 끝났다고 표시하기 전 확인:
+
+- [ ] 모든 새 함수 50줄 이하, nesting 4단계 이하.
+- [ ] 외부 입력 검증 있음.
+- [ ] 에러는 처리되거나 명시적으로 throw.
+- [ ] 하드코딩된 값 없음 (상수 / 환경 변수 / 설정 사용).
+- [ ] mutation 없음 (또는 mutation 이 의도적이고 주석 있음).
+- [ ] 공개 API 의 타입 / 시그니처 명시.
+- [ ] 단위 테스트 추가, 80% 커버리지 유지 (`common/testing.md`).

package/rules/common/security.md

@@ -0,0 +1,69 @@
+# common/security — 보안 공통 규칙
+
+> 본 룰은 `gateguard-fact-force`, `config-protection`, `audit log` 훅과
+> `security-reviewer` 에이전트가 강제한다. 위반 시 자동 차단.
+
+## 1. 시크릿
+
+- 코드에 하드코딩 금지 (API key, password, token).
+- 환경 변수 또는 시크릿 매니저 사용.
+- 시작 시 필수 변수 존재 확인 — 없으면 명시적 에러로 종료.
+- 노출된 시크릿은 즉시 rotate.
+
+## 2. 입력 검증
+
+- 모든 외부 입력(HTTP 요청, 파일, 환경 변수, 외부 API 응답)은 schema 로 검증.
+- SQL injection: parameterized query 만 사용. string concat 금지.
+- XSS: HTML 출력은 escape. raw html 삽입은 명시적 sanitize 후만.
+- 경로 traversal: `..` 와 절대 경로 차단.
+
+## 3. 인증·인가
+
+- 인증 없는 엔드포인트는 명시적으로 표시 (`@public`).
+- 인가는 리소스 단위로 매번 확인 (역할 기반만으로 부족).
+- 세션 토큰은 `httpOnly` + `secure` + `sameSite=strict`.
+
+## 4. Rate Limiting
+
+- 모든 외부 노출 엔드포인트에 rate limit 적용.
+- 인증 실패 / 회원가입 / 비밀번호 재설정은 더 엄격하게.
+
+## 5. 에러 메시지
+
+- 사용자 표면: 일반적인 메시지 ("요청을 처리하지 못했습니다").
+- 서버 로그: 풀 컨텍스트 (스택, 입력값 — 단 시크릿은 redact).
+- 에러 메시지로 시스템 내부 구조(파일 경로, 스택, DB 컬럼명) 노출 금지.
+
+## 6. 의존성
+
+- 모든 npm / pip / cargo 의존성은 SemVer 핀.
+- `@latest` 금지.
+- 정기적으로 `npm audit` / `pip-audit` / `cargo audit` 실행.
+- `lockfile` 은 커밋한다.
+
+## 7. MCP / 외부 서비스
+
+- `agent.yaml` 의 `mcp.external_servers` 는 SemVer 핀 필수 (`mcp_pin_required: true`).
+- 새 MCP 서버 추가 시 `security-reviewer` 검토 후 머지.
+
+## 8. 커밋 전 체크리스트
+
+- [ ] 하드코딩된 시크릿 / API 키 없음.
+- [ ] 모든 입력 검증.
+- [ ] SQL parameterized.
+- [ ] XSS / CSRF 방어 활성.
+- [ ] 인증·인가 검증.
+- [ ] Rate limit 설정.
+- [ ] 에러 메시지에 민감 정보 없음.
+- [ ] 의존성 SemVer 핀.
+
+## 9. 사고 대응
+
+문제 발견 시:
+
+1. **STOP** — 즉시 작업 중단.
+2. `security-reviewer` 에이전트로 영향 범위 분석.
+3. CRITICAL 은 다른 작업보다 우선.
+4. 노출된 시크릿 rotate.
+5. 같은 패턴이 다른 코드에 있는지 grep.
+6. 사후: `docs/dev-log/` 에 incident note 추가.

package/rules/common/testing.md

@@ -0,0 +1,58 @@
+# common/testing — 테스트 공통 규칙
+
+> 본 룰은 `verification.required_coverage_pct: 80` 와 `quality-gate` 훅이 강제한다.
+
+## 1. 테스트 종류
+
+3가지 모두 필수:
+
+1. **Unit Tests** — `tests/unit/<area>.test.<ext>`. 함수·유틸·컴포넌트 단위.
+2. **Integration Tests** — `tests/integration/<scenario>.test.<ext>`. API 엔드포인트, DB 트랜잭션, 파일 IO.
+3. **E2E Tests** — `tests/e2e/<flow>.test.<ext>`. 핵심 사용자 흐름.
+
+## 2. 커버리지 하한
+
+- 라인 커버리지 80% 이상 유지.
+- 새 PR 의 라인 커버리지가 베이스 브랜치 대비 떨어지면 `quality-gate` 차단.
+- 핵심 도메인(보안 / 결제 / 데이터 일관성)은 90% 이상 권장.
+
+## 3. TDD 워크플로우
+
+`skills/tdd-workflow/SKILL.md` 와 정합:
+
+1. **RED** — 실패하는 테스트 먼저 작성.
+2. **GREEN** — 통과시킬 최소 구현.
+3. **REFACTOR** — 중복 제거, 네이밍 정리.
+4. **VERIFY** — 커버리지·린트 확인.
+
+## 4. 테스트 격리
+
+- 각 테스트는 독립적으로 실행 가능해야 한다 (실행 순서 의존 금지).
+- 글로벌 상태 변경은 `setup` / `teardown` 으로 복구.
+- 외부 시스템(DB, 네트워크)은 통합 테스트에서만 사용. 단위 테스트는 mock.
+
+## 5. 결정성
+
+- `Date.now()`, `Math.random()`, UUID 같은 비결정 소스는 주입(injection)으로 대체.
+- 테스트가 가끔 실패하면 즉시 격리(`.skip`)하고 원인 추적 — 무시하지 않는다.
+
+## 6. 데이터
+
+- 픽스처는 `tests/fixtures/<area>/` 에 둔다.
+- 가능한 한 작고 의미가 명확한 데이터.
+- 실 운영 데이터를 그대로 가져오지 않는다 (PII 위험).
+
+## 7. 실패 분석 순서
+
+`tdd-workflow` 와 동일:
+
+1. 격리: 다른 테스트와 독립적으로 실패하는가?
+2. 결정성: 같은 입력에 같은 결과인가?
+3. 모킹: mock 이 실 구현과 합치하는가?
+4. 구현 vs 테스트: 어느 쪽이 잘못됐는가? — 보통 구현. 테스트가 잘못이면 명시적으로 그 근거를 PR 설명에.
+
+## 8. CI 게이트
+
+- `npm run test` (또는 언어별 등가) 가 PR 단계에서 통과해야 한다.
+- `npm run validate:all` 도 함께 통과해야 한다.
+- `harness review --no-ship` 으로 로컬 풀체인 미리 돌려볼 수 있다.

package/rules/python/coding-style.md

@@ -0,0 +1,80 @@
+# python/coding-style — Python 룰
+
+> [common/coding-style.md](../common/coding-style.md) 의 Python 확장.
+
+## 1. PEP 8 + 타입
+
+- PEP 8 + PEP 484 (타입 힌트) 기본.
+- 포매터: `ruff format` (이전 black). 라인 100자.
+- 린터: `ruff check`. 추가로 `mypy --strict` 또는 `pyright`.
+
+## 2. 타입 힌트
+
+- 공개 함수·메서드는 인자·반환 타입 명시.
+- `Any` 는 외부 데이터 진입점만, 즉시 narrow.
+- `from __future__ import annotations` 로 forward reference 부담 제거.
+
+```python
+from __future__ import annotations
+
+def format_user(user: User) -> str:
+    return f"{user.first_name} {user.last_name}"
+```
+
+## 3. 데이터 모델
+
+- 단순 값 묶음: `dataclass` (`frozen=True` 우선).
+- 검증 + 직렬화 필요: `pydantic.BaseModel`.
+- `Enum` 보다 `Literal["a", "b"]` 권장 (직렬화 단순).
+
+## 4. 불변성
+
+- `dataclass(frozen=True)` 또는 `tuple` / `frozenset`.
+- 리스트 mutation 보다 컴프리헨션·`+` 로 새 객체.
+
+```python
+# 잘못됨
+def add(items, x):
+    items.append(x)
+    return items
+
+# 올바름
+def add(items: list[int], x: int) -> list[int]:
+    return [*items, x]
+```
+
+## 5. 에러 처리
+
+- 도메인 에러 클래스 (`class NotFoundError(Exception): ...`).
+- `except Exception:` 광범위 catch 금지. 좁게.
+- `try/except/else/finally` 의 `else` 는 성공 경로 분리에 활용.
+- 절대 `except: pass` 금지.
+
+## 6. 컨텍스트 매니저
+
+- 파일·DB·락 등 자원은 `with` 로. 수동 close 금지.
+- 사용자 정의는 `contextlib.contextmanager` 또는 `__enter__/__exit__`.
+
+## 7. 비동기
+
+- `async def` + `await` 기본. blocking IO 는 `asyncio.to_thread`.
+- 병렬: `asyncio.gather` (실패 전파) / `return_exceptions=True` (모아 처리).
+- 사용 안 하는 동기 / 비동기 혼합 주의 — `nest_asyncio` 같은 hack 금지.
+
+## 8. 입력 검증
+
+- `pydantic.BaseModel` 으로 schema 검증.
+- `parse_obj` / `model_validate` 의 ValidationError 를 catch 후 사용자 메시지로 변환.
+
+## 9. 모듈 구조
+
+- 패키지: 작은 모듈 다수.
+- `__init__.py` 는 공개 API 만 re-export (`__all__` 명시).
+- circular import 가 보이면 구조 재설계 (lazy import 회피책 X).
+
+## 10. 도구 체인
+
+- 의존성: `uv` (또는 pip + `requirements.txt` + `requirements-dev.txt`).
+- 가상환경: `uv venv` / `python -m venv`.
+- 테스트: `pytest`.
+- 타입 체크: `mypy` (PR 게이트).

package/rules/python/testing.md

@@ -0,0 +1,86 @@
+# python/testing — Python 테스트 룰
+
+> [common/testing.md](../common/testing.md) 의 Python 확장.
+
+## 1. 프레임워크
+
+- 단위 / 통합: **pytest**.
+- E2E: pytest + playwright (`pytest-playwright`) 또는 별도 시나리오 러너.
+- 커버리지: **pytest-cov** (`coverage[toml]` 백엔드).
+
+## 2. 파일 위치
+
+- `tests/unit/test_<area>.py`.
+- `tests/integration/test_<scenario>.py`.
+- `tests/e2e/test_<flow>.py`.
+- 픽스처: `tests/conftest.py` 또는 `tests/<area>/conftest.py`.
+
+## 3. pytest 패턴
+
+```python
+import pytest
+from harness.router import route
+
+@pytest.mark.parametrize("severity, expected", [
+    ("critical", "opus"),
+    ("high", "sonnet"),
+])
+def test_route(severity, expected):
+    assert route(severity=severity) == expected
+```
+
+- `@pytest.mark.parametrize` 로 테이블 케이스.
+- `pytest.fixture` 로 setup, `yield` 로 teardown.
+
+## 4. 모킹
+
+- `pytest-mock` (`mocker` fixture) 또는 `unittest.mock`.
+- 외부 의존만 mock. 자체 모듈은 실 구현.
+- HTTP: `httpx_mock` / `responses`.
+- DB: 통합 테스트는 실 DB (테스트 DB 격리). 단위 테스트는 repository 인터페이스 mock.
+
+## 5. 비동기
+
+```python
+import pytest
+import asyncio
+
+@pytest.mark.asyncio
+async def test_async_route():
+    result = await route_async(severity="critical")
+    assert result == "opus"
+```
+
+- `pytest-asyncio` 의 `mode = "auto"` 설정 권장 (`pyproject.toml`).
+
+## 6. 픽스처 스코프
+
+- `function` (기본): 매 테스트.
+- `module`: 모듈 단위 (DB 연결 등 비싼 자원).
+- `session`: 전체 세션 (잘 안 씀, 격리 위험).
+
+## 7. 단언(assertion)
+
+- pytest 의 plain `assert` 사용. `unittest` 스타일 `assertEqual` 불필요.
+- `pytest.approx(x, rel=1e-6)` 로 부동소수.
+- `with pytest.raises(MyError, match=r"..."):` 로 예외 검증.
+
+## 8. 커버리지
+
+```bash
+pytest --cov=harness --cov-report=term-missing --cov-fail-under=80
+```
+
+- `pyproject.toml` 의 `[tool.coverage.run]` 으로 omit 설정.
+- HTML 리포트는 `htmlcov/`, CI 아티팩트로.
+
+## 9. CI 게이트
+
+- `pytest -q` 가 PR 단계에서 통과.
+- `mypy --strict` 추가 게이트.
+- `ruff check` 린트 게이트.
+
+## 10. 에이전트 지원
+
+- TDD: `tdd-guide` (skills/tdd-workflow).
+- Python 코드 리뷰: `python-reviewer` 에이전트 (글로벌 룰의 reviewer 매트릭스 참조).

package/rules/typescript/coding-style.md

@@ -0,0 +1,97 @@
+# typescript/coding-style — TS/JS 룰
+
+> 이 문서는 [common/coding-style.md](../common/coding-style.md) 를 TypeScript / JavaScript 관용에 맞춰 확장한다.
+
+## 1. 타입
+
+### 공개 API
+
+- export 되는 함수·클래스 메서드는 인자·반환 타입을 명시한다.
+- 로컬 변수의 명백한 타입은 추론에 맡긴다.
+- 반복되는 inline object 형태는 `interface` / `type` 으로 추출.
+
+```ts
+// 잘못됨
+export function formatUser(user) { return `${user.firstName} ${user.lastName}`; }
+
+// 올바름
+interface User { firstName: string; lastName: string; }
+export function formatUser(user: User): string {
+  return `${user.firstName} ${user.lastName}`;
+}
+```
+
+### `interface` vs `type`
+
+- 객체 형태 + 확장 가능성: `interface`.
+- 유니온 / 교차 / 튜플 / 매핑 타입: `type`.
+- `enum` 보다 string literal union (`type Role = 'admin' | 'member'`) 선호.
+
+### `any` 금지
+
+- 어플리케이션 코드에서 `any` 사용 금지.
+- 외부·신뢰 못 하는 입력은 `unknown` 으로 받고 narrow.
+- 캐스팅(`as`) 은 시스템 경계 한 곳에서만, 그 즉시 검증.
+
+```ts
+function getErrorMessage(err: unknown): string {
+  if (err instanceof Error) return err.message;
+  return 'Unexpected error';
+}
+```
+
+### React props
+
+- `interface XxxProps { ... }` 로 정의. 콜백 prop 시그니처 명시.
+- `React.FC` 사용 안 함 (불필요한 제네릭 + children 암묵 주입).
+
+### `.js` 파일
+
+- TS 마이그가 어려운 곳은 JSDoc 으로 타입 표현. 런타임 동작과 동기화.
+
+## 2. 비동기
+
+- `async / await` + `try / catch` 기본.
+- Promise chain (`.then().catch()`) 보다 `await`.
+- 병렬 실행은 `Promise.all`. 단일 실패가 다른 호출을 막아도 OK 면 `Promise.allSettled`.
+- top-level await 은 ES module 안에서만 사용.
+
+## 3. 불변성
+
+- spread / `Readonly<T>` / `as const` 활용.
+- mutation 이 필요하면 그 함수 안에서만, 반환 값은 새 객체.
+
+```ts
+function rename(user: Readonly<User>, name: string): User {
+  return { ...user, name };
+}
+```
+
+## 4. 에러
+
+- `Error` 를 직접 던지지 말고 도메인 에러 클래스 (`class NotFoundError extends Error`) 사용.
+- catch 의 `err: unknown` 을 narrow 후 처리.
+- `console.error` 직접 사용 안 함 — 로거(pino / winston) 경유.
+
+## 5. 입력 검증
+
+- 외부 경계는 zod / ajv 로 schema 검증.
+- 검증된 타입은 `z.infer<typeof schema>` 로 추론해서 단일 진실.
+
+## 6. import
+
+- 상대 경로 `../../..` 가 3단 이상이면 alias (`@/`) 도입 검토.
+- side-effect import 는 파일 최상단 한 곳에 모은다.
+- 미사용 import 는 `eslint-plugin-unused-imports` 로 제거.
+
+## 7. console.log
+
+- 운영 코드에 `console.log` 금지. PostToolUse hook 이 경고.
+- 디버깅 출력은 `debug` 패키지 또는 로거의 `debug` 레벨.
+
+## 8. 도구
+
+- 포매터: Prettier. PostToolUse hook 으로 자동.
+- 린터: ESLint (`@typescript-eslint`).
+- 타입 체크: `tsc --noEmit` PR 게이트.
+- 테스트: node:test (repo default). Vitest 는 프로젝트별 필요 시 opt-in.

package/rules/typescript/security.md

@@ -0,0 +1,67 @@
+# typescript/security — TS/JS 보안 룰
+
+> [common/security.md](../common/security.md) 의 TS/JS 확장.
+
+## 1. 시크릿
+
+```ts
+// 잘못됨
+const apiKey = "sk-proj-xxxxx";
+
+// 올바름
+const apiKey = process.env.OPENAI_API_KEY;
+if (!apiKey) throw new Error('OPENAI_API_KEY 미설정');
+```
+
+- 시작 시 검증. 부재 시 기동 실패.
+- `dotenv` 사용 시 `.env` 는 `.gitignore`.
+
+## 2. 입력 검증
+
+- HTTP body / query / params 는 zod 로 schema 검증:
+
+```ts
+import { z } from 'zod';
+const Body = z.object({ email: z.string().email(), age: z.number().int().min(0) });
+const parsed = Body.parse(req.body);   // 실패 시 ZodError 던짐
+```
+
+- `parse` (throw) vs `safeParse` (`{success, data | error}`) 용도에 맞게.
+
+## 3. SQL / DB
+
+- `pg` / `postgres` / Prisma — 모두 parameterized.
+- raw SQL 작성 시 `${value}` 보간 절대 금지. `$1`, `$2` 자리표시자 사용.
+- ORM 의 `raw` API 는 검토 후만.
+
+## 4. XSS
+
+- React 의 `dangerouslySetInnerHTML` 사용 시 sanitize (`dompurify`) 필수.
+- 사용자 입력 → URL 로 사용 시 `encodeURIComponent`.
+
+## 5. CSRF
+
+- SameSite cookie + CSRF token 둘 다.
+- API only 면 토큰 인증 (Bearer) + CORS allowlist.
+
+## 6. JWT
+
+- 검증 시 `algorithms: ['RS256']` 명시. `none` 차단.
+- `iat` / `exp` 둘 다 확인.
+- secret 은 환경 변수.
+
+## 7. 의존성
+
+- `npm audit --omit=dev` 정기 실행.
+- 새 의존성 추가 전 `npmjs.com` 의 weekly downloads, last publish 확인.
+- typosquatting 주의 (`color` vs `colors`, `lodash` vs `lodash-utils`).
+
+## 8. SSR / 서버 액션
+
+- Next.js server action 의 입력은 클라이언트가 임의 조작 가능 — 반드시 재검증.
+- 인가는 매 액션마다 확인.
+
+## 9. 에이전트 지원
+
+- 보안 변경: `security-reviewer` 에이전트로 사전 검토.
+- 인증 / 결제 / PII 다루는 PR 은 `harness review --secure` 로 codex-challenge 단계 강제.