@ps-neko/nekowork 0.1.0-alpha.0

package/skills/porting/SKILL.md

@@ -0,0 +1,69 @@
+---
+name: porting
+description: "Port HARNESS into an external project with preflight conflict detection, selective install, and no-ship review smoke."
+origin: harness-core
+level: 2
+prerequisites: [release-readiness]
+conflicts: []
+auto_inject_keywords: [port, porting, project-root, install-apply, simulate-port]
+tags: [porting, install, project-root]
+---
+
+# porting
+
+Use this skill when applying HARNESS to another repository or validating that the tool root and project root stay separated.
+
+## Preferred Shape
+
+Use a local repo/submodule style integration for 0.0.2. npm installation is reserved for a future public package release.
+
+Recommended layout:
+
+```text
+target-project/
+  .harness-tool/     # HARNESS source, often ignored or submodule-managed
+  .harness/          # target project state
+  .claude/
+  .codex/
+```
+
+## Preflight
+
+Run from the HARNESS tool root:
+
+```bash
+node scripts/portability/simulate-port.js <target> --profile developer --verbose
+```
+
+Stop and inspect if the report shows high conflicts such as:
+
+- existing `.mcp.json`
+- existing harness output directories
+- self-targeting the HARNESS repository
+- existing `.harness-tool` strategy mismatch
+
+## Apply
+
+```bash
+node scripts/install-apply.js --profile developer --project-root <target>
+```
+
+For a single target surface:
+
+```bash
+node scripts/install-apply.js --profile developer --harness claude --project-root <target>
+```
+
+## Smoke
+
+```bash
+node scripts/cli.js plan "porting smoke" --project-root <target>
+node scripts/cli.js review "porting smoke" --no-ship --project-root <target>
+```
+
+Verify:
+
+- sessions are written under `<target>/.harness/state/sessions`
+- provider CLI cwd is the target project
+- agent catalog and schemas are read from the HARNESS tool root
+- target git changes are not applied unless explicitly requested

package/skills/ralph/SKILL.md

@@ -0,0 +1,48 @@
+---
+name: ralph
+description: "PRD AC 가 모두 passes:true 될 때까지 반복 실행. 명시 옵트인만 (사용자 룰: 자동 활성 금지)."
+origin: harness-core
+level: 3
+prerequisites: [tdd-workflow, claude-led-codex-review]
+conflicts: [auto-merge]
+auto_inject_keywords: []
+tags: [persistent, loop]
+---
+
+# ralph
+
+PRD 의 acceptance criteria 가 모두 PASS 될 때까지 review 사이클을 자동 반복. 매직 키워드 감지는 **하지 않는다** (사용자 환경의 "자동 활성 금지" 류 룰을 우회하지 않기 위함). 명시 호출만:
+
+```bash
+harness ralph --task "기능 X" [--max-iter 10] [--secure] [--live]
+harness wait --start                      # 데몬 활성. rate-limit 풀리면 재개
+```
+
+## 동작
+
+1. PRD 가 없으면 단계 1·2 (ideate, plan) 만 1회 실행 → `prd.json` 생성.
+2. PRD 의 `acceptance` 중 `passes: false` 항목이 있으면 단계 3~7(no-ship) 1사이클.
+3. 각 사이클이 끝날 때마다 mock executor 가 1개 AC 를 `passes: true` 로 갱신 (실 LLM 모드면 executor 가 자기 보고).
+4. 모든 AC 가 PASS → 단계 7 ship (또는 --no-ship 옵션).
+5. 매 사이클 후 `progress.txt` 에 학습 누적.
+
+## 안전 가드
+
+- 매 사이클 후 사용자 룰의 "확인 후 실행" 게이트가 발동하는 작업이 있으면 **데몬 정지** + HUMAN_GATE.
+- `--max-iter` (기본 5) 도달 → 정지.
+- HARNESS_DAILY_COST_CAP_USD 도달 → 정지 (Day 7 의 costs.jsonl 누적 합산).
+- critical 발견 → 즉시 HUMAN_GATE.
+
+## Stop 훅과의 결합
+
+`hooks/scripts/persistent-mode.mjs` 가 세션 종료 시 `.harness/state/sessions/<id>/active` 를 본다. ralph 모드일 때만 active 플래그가 박힘 → wakeup.json drop. `harness wait --start` 데몬이 wakeup 을 폴링해서 외부 레이트 리밋 풀린 시점에 다시 시작.
+
+## ScheduleWakeup 결합 (Claude Code 안에서 호출 시)
+
+Claude Code 안에서 `/ralph` 호출하면 SkillUse 훅이 자동 ScheduleWakeup 으로 일정 간격 반복을 등록한다. 이 부분은 Day 9~10 의 GitHub Actions 통합과 별개 — 로컬 영속과 GH Actions 영속은 같은 prd.json 위에서 동작.
+
+## 비활성 (안전 디폴트)
+
+- 글로벌 매직 키워드 감지 OFF (CLAUDE.md 명시).
+- `harness ralph` 명시 호출 또는 `/ralph` 슬래시만 활성.
+- 어떤 자연어 입력도 자동 활성하지 않는다.

package/skills/release-readiness/SKILL.md

@@ -0,0 +1,62 @@
+---
+name: release-readiness
+description: "Prepare a HARNESS local release candidate by running validation gates, install smoke, builder smoke, and package dry-run checks."
+origin: harness-core
+level: 2
+prerequisites: [security-hardening]
+conflicts: []
+auto_inject_keywords: [release, readiness, smoke, package, publish]
+tags: [release, validation, smoke]
+---
+
+# release-readiness
+
+Use this skill before tagging a release, changing package metadata, changing install outputs, or deciding whether a package is publishable.
+
+## Required Gates
+
+Run:
+
+```bash
+npm run lint
+npm test
+npm audit --audit-level=moderate
+node scripts/repair.js --check
+node scripts/sync-claude-md.js --check
+node scripts/build-codemaps.js --check
+npm run security:hardening
+npm pack --dry-run --json
+```
+
+## Install Smoke
+
+Use a temporary target project and verify install-plan, portability preflight, install-apply, and a plan-only review path.
+
+```bash
+node scripts/install-plan.js --list --json
+node scripts/install-plan.js --profile developer --json
+node scripts/portability/simulate-port.js <target> --profile developer --json
+node scripts/install-apply.js --profile developer --project-root <target>
+node scripts/cli.js plan "release readiness smoke" --project-root <target>
+```
+
+Expected target outputs:
+
+- `.harness/install-state.json`
+- `.harness/state/sessions/`
+- `.claude/`
+- `.codex/config.toml`
+- `.cursor/hooks.json`
+- `.gemini/GEMINI.md`
+- `.opencode/config.json`
+
+## Publish Guard
+
+Do not run `npm publish` as part of this skill. Publishing is a separate explicit decision.
+
+If preparing for public npm, confirm:
+
+- package name uses a controlled scope
+- `private` remains true until the publish task
+- `npm pack --dry-run --json` contains only intended files
+- README and PORTING examples match the chosen package name

package/skills/review/SKILL.md

@@ -0,0 +1,42 @@
+---
+name: review
+description: "claude-led-codex-review 단계 4 (self-review) 실행. critical / high 만 잡는다."
+origin: harness-core
+level: 2
+prerequisites: [tdd-workflow]
+conflicts: []
+tags: [review, self]
+---
+
+# review (self)
+
+Claude self-review 단계. code-reviewer 에이전트(opus, ro)를 호출해 git diff 를 본다. 출력은 표준 핸드오프 JSON.
+
+## 호출
+
+```bash
+harness self-review                   # 단독
+# claude-led-codex-review 의 단계 4 로 자동 호출됨
+```
+
+## 입력
+
+- `git diff base...HEAD`
+- `prd-<id>.md`
+- gateguard 가 남긴 사실 노트 (`.harness/state/sessions/<id>/facts/<file>.md`)
+
+## 출력
+
+`handoffs/04-self-review.md` (마크다운 5필드 + 부속 JSON) — `schemas/handoff.schema.json` 준수.
+
+## verdict 매핑
+
+- 1+ critical → `block`
+- high 만 → `approve_with_fixes`
+- medium 이하만 → `approve`
+
+## 다음 단계 라우팅
+
+- `block` → executor 재호출, round++
+- `approve_with_fixes` → 자동 fix → 재리뷰
+- `approve` → 단계 5 codex-review 로 진행

package/skills/security-hardening/SKILL.md

@@ -0,0 +1,59 @@
+---
+name: security-hardening
+description: "Run and interpret the HARNESS security hardening gate for workflow, MCP, dependency, and delegated-auth policy changes."
+origin: harness-core
+level: 2
+prerequisites: [review]
+conflicts: []
+auto_inject_keywords: [security, hardening, oidc, mcp, dependency, workflow]
+tags: [security, ci, audit]
+---
+
+# security-hardening
+
+Use this skill when changing CI workflows, provider auth, MCP servers, package dependencies, release gates, or security-sensitive project policy.
+
+## Workflow
+
+1. Inspect the changed surface.
+   - `.github/workflows/*.yml`
+   - `agent.yaml#security`
+   - `agent.yaml#mcp`
+   - `package.json`
+   - `package-lock.json`
+   - provider runner auth code
+
+2. Run the hardening gate.
+
+```bash
+npm run security:hardening
+```
+
+3. Pair it with dependency and catalog checks.
+
+```bash
+npm audit --audit-level=moderate
+npm run lint
+```
+
+4. If workflow files changed, check for these explicit invariants:
+   - no `pull_request_target`
+   - top-level `permissions`
+   - no `write-all`
+   - every job has `timeout-minutes`
+   - action refs are pinned to a SHA or major version tag
+   - static cloud credential secrets require OIDC `id-token: write`
+
+5. If MCP servers changed, verify:
+   - stdio servers use exact semver pins
+   - HTTP servers use `https://`
+   - no `@latest`
+
+## Output
+
+Report:
+
+- changed security surface
+- commands run
+- pass/fail result
+- any residual risk or required human approval

package/skills/ship/SKILL.md

@@ -0,0 +1,44 @@
+---
+name: ship
+description: "단계 7. 모든 게이트 PASS 후 PR 생성 + CHANGELOG + 핸드오프 첨부."
+origin: harness-core
+level: 2
+prerequisites: [review]
+conflicts: []
+tags: [release, pr]
+---
+
+# ship
+
+claude-led-codex-review 단계 7. 자동 push 는 하지 않는다 (사용자 / CI 환경에서 명시 트리거).
+
+## 사전 조건 (모두 PASS 필요)
+
+- [ ] quality-gate 통과 (포맷·린트·타입체크)
+- [ ] 단위 / 통합 / e2e 테스트 통과
+- [ ] 80% 커버리지
+- [ ] self-review verdict = approve
+- [ ] codex-review verdict = approve
+- [ ] (--secure 시) codex-challenge verdict = approve
+- [ ] 모든 핸드오프 파일 존재 (`handoffs/01..07`)
+
+위 중 하나라도 실패 → 차단.
+
+## 동작
+
+1. doc-writer 가 PR 본문 초안 작성 (한국어).
+2. doc-writer 가 `docs/CHANGELOG.md` 갱신 (`feat / fix / ...` 접두사).
+3. doc-writer 가 `WORKING-CONTEXT.md` 의 "Latest Execution Notes" 갱신.
+4. git-master (Day 6 이후) 가 브랜치 생성 + 핸드오프 7개 첨부 + PR 초안 등록.
+5. **자동 머지 / push 금지** — 사용자 또는 CI 가 명시 트리거.
+6. `handoffs/07-ship.md` 작성.
+
+## 출력
+
+```
+✓ harness review --no-ship 모드 종료
+  PR 초안: <branch> → main
+  핸드오프: handoffs/01..07 (7개)
+  CHANGELOG diff: docs/CHANGELOG.md
+  다음: 사용자 검토 후 'gh pr create' 또는 'git push' 수동 실행
+```

package/skills/tdd-workflow/SKILL.md

@@ -0,0 +1,42 @@
+---
+name: tdd-workflow
+description: "RED → GREEN → REFACTOR. 한 사이클 = 한 acceptance criteria = 한 작은 커밋."
+origin: harness-core
+level: 2
+prerequisites: []
+conflicts: []
+tags: [implementation, testing]
+---
+
+# TDD Workflow
+
+executor 가 따르는 워크플로우. 한 번에 하나의 AC.
+
+## 사이클
+
+1. **RED** — 테스트 작성. 실행. 실패 확인. (`expected: ... received: undefined`)
+2. **GREEN** — 최소 변경으로 통과. 다른 테스트 깨지면 안 됨.
+3. **REFACTOR** — 가독성 / 중복 제거. 모든 테스트 다시 통과.
+4. **COMMIT** — `feat(<area>): <ac-id> <한 줄>`. 커밋 메시지 한국어 OK.
+
+## quality-gate 통과 강제
+
+PostToolUse 훅이 매 Edit / Write 후 다음을 실행:
+
+- TypeScript: `tsc --noEmit`
+- Python: `ruff check . && mypy`
+- 포맷: prettier / black 자동
+- 테스트: 변경 파일의 unit 테스트만 (`node --test tests/unit/*.test.js` 또는 `pytest --picked`)
+
+실패 시 다음 도구 호출 차단.
+
+## 80% 커버리지 게이트
+
+`npm run test:coverage` 가 line / function / branch / statement 4개 모두 80% 미달 시 ship 차단.
+
+## 금지
+
+- 한 커밋에 2개 이상 AC.
+- 테스트 없는 변경.
+- 약화된 단언 (`expect(true).toBe(true)`).
+- `--no-verify` 사용.