@saulwade/swl-ses 1.0.0

package/habilidades/dbml-experto/evals/evals.json

@@ -0,0 +1,56 @@
+{
+  "$schema": "../../../schemas/skill-evals.schema.json",
+  "skill_name": "dbml-experto",
+  "artifact_type": "skill",
+  "schema_version": 1,
+  "description": "Evals para dbml-experto — parseo de DBML, migración de tipos, y fallback sin @dbml/core.",
+  "evals": [
+    {
+      "id": 0,
+      "prompt": "Comando minimal para instalar @dbml/core en el proyecto del usuario (no en swl-ses).",
+      "files": [],
+      "expectations": [
+        "La respuesta incluye `npm install --save-dev @dbml/core` (o equivalente --save-dev).",
+        "La respuesta NO sugiere instalarlo global (`-g`).",
+        "La respuesta aclara que se instala en el proyecto del usuario."
+      ],
+      "tags": ["primary-flow"],
+      "weight": 1.0
+    },
+    {
+      "id": 1,
+      "prompt": "Traduce el tipo DBML `timestamp` a PostgreSQL y MySQL mínimo.",
+      "files": [],
+      "expectations": [
+        "PostgreSQL: `timestamp` o `timestamptz` (con timezone).",
+        "MySQL: `datetime` (no `timestamp` porque difiere en semántica TZ).",
+        "Menciona que `timestamp with tz` requiere `timestamptz` en PG."
+      ],
+      "tags": ["migration"]
+    },
+    {
+      "id": "anti-pattern-dots-in-id",
+      "prompt": "¿`payment.api` es un identificador DBML válido?",
+      "files": [],
+      "expectations": [
+        "La respuesta indica que NO es un identificador válido.",
+        "La respuesta explica que los puntos son separadores de FQN, no caracteres de identificador.",
+        "La respuesta sugiere `payment-api` o `paymentApi` como alternativa."
+      ],
+      "grading_guidance": "Failure si la respuesta dice que es válido o si omite la razón (punto como separador).",
+      "tags": ["anti-pattern"],
+      "weight": 1.5
+    },
+    {
+      "id": "fallback-sin-core",
+      "prompt": "El usuario no puede instalar @dbml/core. ¿Puede el skill seguir analizando schemas DBML?",
+      "files": [],
+      "expectations": [
+        "La respuesta afirma que sí, con heurísticas regex.",
+        "La respuesta menciona las limitaciones del fallback (no resuelve enums, puede fallar con comentarios).",
+        "La respuesta recomienda reportar esta limitación al usuario al ejecutar análisis estructurales."
+      ],
+      "tags": ["fallback"]
+    }
+  ]
+}

package/habilidades/dependencias-auditoria/SKILL.md

@@ -0,0 +1,320 @@
+---
+name: dependencias-auditoria
+description: Auditoría completa de dependencias del proyecto. Detecta CVEs conocidos, licencias incompatibles con el uso comercial, dependencias abandonadas sin alternativa, y genera una estrategia de actualización priorizada. Aplica a proyectos Python, Node.js/TypeScript, y contenedores Docker.
+version: "1.0.0"
+herramientasPermitidas: [Read, Bash]
+evolvable: true  # default para skill estandar
+nist_csf: [ID.RA-01, GV.SC-07, PR.PS-01, DE.CM-09]
+nist_ai_rmf: [MAP-1.6]
+attack_techniques: [T1195.002]
+exclusiones:
+  - "No cargar para revisión de seguridad del código fuente (OWASP, inyección, auth) — para seguridad de código cargar `checklist-seguridad`."
+  - "No cargar para actualizar versiones de dependencias con breaking changes — para migraciones de versión cargar `deprecacion-migracion`."
+  - "No cargar para análisis de rendimiento de bundles JavaScript (tree-shaking, code splitting) — para rendimiento cargar `react-optimizacion` o equivalente."
+  - "No cargar para gestión de secretos o rotación de credenciales de servicios externos — para secretos cargar `iam-secretos`."
+---
+# Habilidad: Auditoría de Dependencias
+
+## Cuándo NO cargar
+
+- La revisión es de seguridad del código fuente (inyección SQL, XSS, OWASP): cargar `checklist-seguridad`.
+- La tarea es actualizar dependencias con breaking changes y guiar la migración: cargar `deprecacion-migracion`.
+- El análisis es de rendimiento de bundles JS (tree-shaking, bundle size): cargar `react-optimizacion` o el skill de frontend correspondiente.
+- La gestión es de secretos, credenciales o rotación de API keys: cargar `iam-secretos`.
+
+## Propósito
+
+Las dependencias son el vector de ataque más subestimado. El 80% de los ataques
+de cadena de suministro (supply chain attacks) explotan dependencias con CVEs
+conocidos y disponibles públicamente. Esta habilidad detecta el riesgo antes
+de que se convierta en incidente.
+
+## Cuándo activar
+
+- Antes de cada deploy a producción
+- Al comenzar a trabajar en un proyecto heredado
+- Cuando se reporta una vulnerabilidad que podría afectar el stack
+- Trimestralmente como revisión de mantenimiento
+- Antes de una auditoría de seguridad o certificación
+
+---
+
+## Categorías de riesgo en dependencias
+
+### Categoría 1 — CVEs conocidos (CRÍTICO)
+
+Un CVE (Common Vulnerabilities and Exposures) en una dependencia directa o
+transitiva es un riesgo activo. La severidad se mide con CVSS:
+
+| CVSS Score | Severidad | Acción requerida |
+|-----------|----------|-----------------|
+| 9.0 - 10.0 | Crítica | Fix inmediato — bloquea deploy |
+| 7.0 - 8.9 | Alta | Fix en 48 horas |
+| 4.0 - 6.9 | Media | Fix en próximo sprint |
+| 0.1 - 3.9 | Baja | Registrar, resolver en backlog |
+
+### Categoría 2 — Licencias incompatibles (ALTO)
+
+Dependencias con licencias restrictivas en proyectos comerciales:
+
+| Licencia | Riesgo en proyecto comercial |
+|----------|----------------------------|
+| GPL v2/v3 | ALTO — puede requerir open-source del código propio |
+| AGPL | CRÍTICO — cualquier uso de red activa la cláusula |
+| LGPL | MEDIO — revisar caso a caso |
+| SSPL | ALTO — restricciones en servicios cloud |
+| MIT, Apache 2.0, BSD | Bajo riesgo — permisivas |
+| ISC, 0BSD | Sin riesgo — extremadamente permisivas |
+
+### Categoría 3 — Dependencias abandonadas (MEDIO)
+
+Una dependencia abandonada es aquella que:
+- Sin commits en el repositorio por más de 18 meses
+- Sin versión nueva en más de 12 meses para proyectos activos
+- Issues críticos sin respuesta por más de 6 meses
+- El mantenedor ha declarado públicamente el abandono
+
+### Categoría 4 — Dependencias desactualizadas (BAJO-MEDIO)
+
+Versiones con 2+ versiones major de atraso acumulan:
+- CVEs parcheados en versiones nuevas
+- Incompatibilidades futuras con el ecosistema
+- Pérdida de soporte técnico de la comunidad
+
+---
+
+## Herramientas y comandos por stack
+
+### Python
+
+```bash
+# pip-audit: CVEs en dependencias Python (recomendado)
+pip install pip-audit
+pip-audit --output=json > audit-python.json
+pip-audit  # Output legible para humanos
+
+# safety: Base de datos de vulnerabilidades de PyUp.io
+pip install safety
+safety check --json > safety-report.json
+
+# Licencias de todas las dependencias
+pip install pip-licenses
+pip-licenses --format=json --with-urls > licenses.json
+pip-licenses --format=markdown  # Output legible
+
+# Dependencias desactualizadas
+pip list --outdated --format=json
+
+# Ver árbol completo de dependencias transitivas
+pip install pipdeptree
+pipdeptree --warn silence --json-tree > deptree.json
+```
+
+### Node.js / TypeScript
+
+```bash
+# npm audit: CVEs en dependencias Node.js
+npm audit --json > npm-audit.json
+npm audit  # Output legible
+
+# Para yarn
+yarn audit --json > yarn-audit.json
+
+# Licencias
+npx license-checker --json > npm-licenses.json
+npx license-checker --excludePrivatePackages --onlyAllow \
+  "MIT;Apache-2.0;BSD-2-Clause;BSD-3-Clause;ISC;0BSD"
+
+# Dependencias desactualizadas
+npm outdated --json
+
+# Verificar dependencias no usadas
+npx depcheck
+
+# Tamaño del bundle por dependencia
+npx cost-of-modules
+```
+
+### Docker / Contenedores
+
+```bash
+# Trivy: CVEs en imagen Docker (recomendado)
+docker run --rm -v /var/run/docker.sock:/var/run/docker.sock \
+  aquasec/trivy image --format json [nombre-imagen]:latest > trivy-report.json
+
+# Grype: alternativa a Trivy
+grype [nombre-imagen]:latest
+
+# Ver imagen base y su historial
+docker inspect [nombre-imagen] | jq '.[0].Config.Image'
+
+# Verificar si la imagen base es reciente
+# Comparar con el digest publicado en Docker Hub
+```
+
+---
+
+## Proceso de auditoría paso a paso
+
+### Paso 1 — Inventario inicial
+
+```bash
+# Python: listar todas las dependencias con versión exacta
+pip freeze > requirements-audit.txt
+# Comparar con requirements.txt original para detectar dependencias no declaradas
+
+# Node: listar todo el árbol
+npm ls --all 2>/dev/null | head -100
+
+# Verificar si hay dependencias directas no declaradas en package.json
+npx depcheck
+```
+
+### Paso 2 — Escaneo de CVEs
+
+Ejecutar todos los scanners disponibles para el stack. Los resultados se guardan
+en formato JSON para procesamiento posterior.
+
+### Paso 3 — Análisis de licencias
+
+```bash
+# Python: identificar licencias no permitidas
+pip-licenses --fail-on="GPL;AGPL;LGPL;SSPL" 2>&1
+# Exit code != 0 si encuentra licencias problemáticas
+
+# Node: verificar lista blanca de licencias
+npx license-checker --onlyAllow "MIT;Apache-2.0;BSD-2-Clause;BSD-3-Clause;ISC"
+```
+
+### Paso 4 — Identificar dependencias abandonadas
+
+Para cada dependencia directa, verificar en su repositorio:
+- Fecha del último commit
+- Fecha del último release
+- Issues abiertos sin respuesta
+- Estado del repositorio (archived, deprecated)
+
+```bash
+# Script para verificar última versión en PyPI
+python -c "
+import json, urllib.request
+packages = open('requirements.txt').read().split()
+for pkg in packages[:20]:
+    name = pkg.split('==')[0].split('>=')[0]
+    try:
+        url = f'https://pypi.org/pypi/{name}/json'
+        data = json.loads(urllib.request.urlopen(url).read())
+        last = max(data['releases'].keys())
+        print(f'{name}: última versión {last}')
+    except: pass
+"
+```
+
+---
+
+## Plantilla de reporte: `DEPENDENCIES-AUDIT.md`
+
+```markdown
+# DEPENDENCIES-AUDIT.md
+**Fecha**: [fecha]  **Stack**: [Python/Node/Docker/todos]
+
+## Resumen ejecutivo
+| Categoría | Críticos | Altos | Medios | Bajos |
+|-----------|---------|-------|--------|-------|
+| CVEs | | | | |
+| Licencias | | | | |
+| Abandonadas | | | | |
+| Desactualizadas | | | | |
+
+**Decisión de deploy**: BLOQUEADO / APROBADO CON PLAN / APROBADO
+
+---
+
+## CVEs encontrados
+
+### [CRÍTICO] [Nombre de la dependencia] v[X.Y.Z]
+- **CVE**: CVE-XXXX-XXXXX
+- **CVSS**: [score]
+- **Descripción**: [qué hace vulnerable]
+- **Versión parcheada**: [versión que resuelve el CVE]
+- **Comando de actualización**: `pip install [paquete]==[version]`
+- **Dependencia directa**: Sí / No (transitiva vía [paquete])
+- **Plan de acción**: [actualizar / reemplazar / parchear temporalmente]
+- **Deadline**: [fecha]
+
+[Repetir para cada CVE]
+
+---
+
+## Licencias problemáticas
+
+| Paquete | Versión | Licencia | Riesgo | Alternativa |
+|---------|---------|---------|--------|------------|
+|         |         |         |        |            |
+
+---
+
+## Dependencias abandonadas
+
+| Paquete | Último commit | Último release | Alternativa recomendada |
+|---------|-------------|---------------|------------------------|
+|         |             |               |                        |
+
+---
+
+## Dependencias desactualizadas (alta prioridad)
+
+| Paquete | Versión actual | Última versión | Versiones de atraso | Prioridad |
+|---------|---------------|----------------|--------------------| ----------|
+|         |               |                |                    |           |
+
+---
+
+## Estrategia de actualización
+
+### Sprint actual (bloqueos de deploy)
+- [ ] [dependencia]: actualizar a [versión] — CVE crítico
+
+### Próximo sprint
+- [ ] [dependencia]: actualizar a [versión] — CVE alto
+
+### Backlog de mantenimiento
+- [ ] [dependencia]: evaluar reemplazo por [alternativa]
+
+---
+
+## Dependencias monitoreadas (sin acción inmediata)
+| Paquete | Razón de monitoreo | Próxima revisión |
+|---------|-------------------|-----------------|
+|         |                   |                 |
+```
+
+---
+
+## Automatización recomendada
+
+Integrar en el pipeline CI/CD:
+
+```yaml
+# GitHub Actions — auditoría automática en cada PR
+- name: Auditoría de dependencias Python
+  run: |
+    pip-audit --fail-on-severity high
+    # Falla el pipeline si hay CVEs altos o críticos sin resolver
+
+- name: Auditoría de dependencias Node
+  run: npm audit --audit-level=high
+```
+
+Configurar renovación automática con Dependabot o Renovate Bot para dependencias
+con actualizaciones de parche (patch) que no rompen la API.
+
+## Gotchas / Errores comunes no obvios
+
+**`pip-audit` reporta cero CVEs pero hay una dependencia transitiva vulnerable que `pip freeze` no muestra explícitamente**: `pip-audit` analiza el entorno instalado, pero si la dependencia vulnerable es transitiva de una dependencia directa desactualizada, puede no aparecer en `requirements.txt`. Causa: los entornos Python sin `pip freeze` completo tienen dependencias transitivas "flotantes" que se resuelven al instalar sin estar declaradas. Fix: ejecutar `pip freeze > requirements-full.txt` y auditar ese archivo completo, no solo `requirements.txt`. Alternativamente usar `pip-audit --requirement requirements-full.txt` o `pipdeptree` para ver el árbol completo.
+
+**`npm audit` muestra 0 vulnerabilidades pero Trivy detecta CVEs en la imagen Docker**: `npm audit` analiza `node_modules/` en el sistema de archivos, mientras Trivy analiza las capas de la imagen donde las dependencias pueden diferir si el Dockerfile usa `npm ci --production` o tiene multi-stage builds. Causa: el entorno de desarrollo y el contenedor de producción pueden tener diferentes versiones si el lockfile no está commiteado o si se usa `--production`. Fix: ejecutar `trivy image` sobre la imagen de producción construida, no solo `npm audit` en el source. Son complementarios, no equivalentes.
+
+**Una dependencia con licencia MIT tiene una subdependencia con licencia AGPL no detectada por `license-checker`**: `license-checker` analiza el campo `license` en `package.json`, pero una dependencia puede tener subdependencias con licencias diferentes que solo se ven en su árbol de dependencias transitivas. Causa: `license-checker --production` solo reporta las licencias declaradas en el nivel superior de cada paquete. Fix: para proyectos con requerimientos legales estrictos, usar `license-checker --failOn AGPL` para detectar AGPL en el árbol completo, y revisar manualmente las dependencias con licencias mixtas o duales.
+
+**`pip-audit` en CI falla con "connection refused" porque el sistema no tiene acceso a la red de PyPI Vulnerability DB**: `pip-audit` por defecto consulta `https://osv.dev` para obtener las vulnerabilidades. En entornos CI con acceso a red restringido (firewalls corporativos, redes internas), la consulta falla silenciosamente o lanza error de red en lugar de decir "cero CVEs". Causa: la ausencia de resultados se confunde con "sin vulnerabilidades" cuando en realidad el scanner no pudo conectarse. Fix: configurar `pip-audit --local` para usar la base de datos local de OSV descargada previamente, o verificar que el exit code del comando es `0` (no errores) en lugar de solo ver el output de texto.

package/habilidades/deprecacion-migracion/SKILL.md

@@ -0,0 +1,169 @@
+---
+name: deprecacion-migracion
+description: >
+  Estrategias de deprecación y migración: avisos de deprecación, guías de migración,
+  compatibilidad hacia atrás, feature flags para migraciones, patrones de migración de
+  datos, migraciones sin tiempo de inactividad, patrón strangler fig.
+version: "1.0.0"
+herramientasPermitidas: [Read, Grep]
+evolvable: true  # default para skill estandar
+exclusiones:
+  - "No cargar para migraciones de esquema de base de datos generadas automáticamente (Alembic autogenerate, Flyway) — para ORM migrations cargar `postgresql-experto`."
+  - "No cargar para auditoría de dependencias desactualizadas (CVEs, licencias) — para dependencias cargar `dependencias-auditoria`."
+  - "No cargar para refactoring de código sin cambio de interfaz pública — para refactoring sin deprecación usar directamente el skill del lenguaje."
+  - "No cargar para versionado semántico de releases — para SemVer y ciclo de release usar `/swl:release`."
+---
+# Deprecación y Migración — Estrategias de Producción
+
+## Cuándo NO cargar
+
+- La migración es de esquema de BD generada automáticamente (Alembic autogenerate, Flyway scripts): cargar `postgresql-experto`.
+- La auditoría es de dependencias desactualizadas con CVEs: cargar `dependencias-auditoria`.
+- El refactoring no cambia la interfaz pública de ningún módulo: usar directamente el skill del lenguaje sin periodo de deprecación.
+- La tarea es gestionar el número de versión del release (SemVer, CHANGELOG): usar `/swl:release`.
+
+## Principios Fundamentales
+
+La deprecación no es eliminar — es guiar la transición.
+Una buena deprecación tiene: **aviso anticipado**, **guía de migración**, **período de gracia**, **eliminación limpia**.
+
+**Reglas de oro:**
+1. Nunca eliminar sin deprecar primero (mínimo 1 versión de aviso).
+2. Una API deprecada sigue funcionando durante el período de gracia.
+3. Los mensajes de deprecación incluyen qué usar en su lugar y cuándo se eliminará.
+4. Las migraciones de datos son reversibles hasta confirmar éxito.
+
+---
+
+## Ciclo de Vida de una Deprecación
+
+```
+VIGENTE → DEPRECADO → ELIMINADO
+
+Períodos mínimos de gracia:
+- Librerías: 1 versión mayor
+- APIs internas: 2 sprints
+- APIs públicas: 6 meses mínimo
+- Bases de datos: 3 meses mínimo
+```
+
+---
+
+## Avisos de Deprecación en Python
+
+```python
+import warnings
+import functools
+
+def deprecado(*, desde: str, eliminar_en: str, usar_en_su_lugar: str, razon: str = ""):
+    def decorador(func):
+        mensaje = (
+            f"`{func.__qualname__}` está deprecado desde v{desde} y será "
+            f"eliminado en v{eliminar_en}. Usar: {usar_en_su_lugar}."
+        )
+        @functools.wraps(func)
+        def wrapper(*args, **kwargs):
+            warnings.warn(mensaje, DeprecationWarning, stacklevel=2)
+            return func(*args, **kwargs)
+        return wrapper
+    return decorador
+
+@deprecado(
+    desde="2.1.0", eliminar_en="3.0.0",
+    usar_en_su_lugar="calcular_descuento(precio, porcentaje, moneda='MXN')",
+)
+def calcular_descuento_v1(precio: float, porcentaje: float) -> float:
+    return precio * (1 - porcentaje / 100)
+```
+
+---
+
+## Deprecación de Endpoints REST
+
+OBLIGATORIO: headers estándar de deprecación HTTP.
+
+```python
+@router.get("/v1/usuarios/{usuario_id}")
+async def obtener_usuario_v1(usuario_id: str, response: Response) -> dict:
+    response.headers["Deprecation"] = "true"
+    response.headers["Sunset"] = "2026-09-01"
+    response.headers["Link"] = f'</v2/usuarios/{usuario_id}>; rel="successor-version"'
+    response.headers["Warning"] = (
+        '299 - "Endpoint deprecado. Migrar a /v2/usuarios/{id}"'
+    )
+    usuario = await servicio_usuarios.obtener(usuario_id)
+    return {"id": usuario.id, "nombre_completo": usuario.nombre}
+```
+
+---
+
+## Migraciones de Base de Datos sin Tiempo de Inactividad
+
+### Estrategia: Expand-Contract (3 fases)
+
+```sql
+-- FASE 1: EXPAND — agregar lo nuevo sin eliminar lo viejo
+ALTER TABLE usuarios ADD COLUMN nombre_display TEXT;
+CREATE INDEX CONCURRENTLY idx_usuarios_nombre_display ON usuarios (nombre_display);
+```
+
+```python
+# FASE 2: MIGRAR — rellenar en background, sin downtime
+def migrar_nombres_display(batch_size: int = 1000) -> None:
+    ultimo_id = None
+    while True:
+        lote = db.execute(
+            f"SELECT id, nombre FROM usuarios WHERE nombre_display IS NULL "
+            f"{'AND id > :uid' if ultimo_id else ''} ORDER BY id LIMIT :bs",
+            {"uid": ultimo_id, "bs": batch_size},
+        ).fetchall()
+        if not lote:
+            break
+        for fila in lote:
+            db.execute(
+                "UPDATE usuarios SET nombre_display = :nd WHERE id = :id",
+                {"nd": formatear_nombre(fila.nombre), "id": fila.id},
+            )
+        db.commit()
+        ultimo_id = lote[-1].id
+        time.sleep(0.1)  # No saturar BD
+```
+
+```sql
+-- FASE 3: CONTRACT — eliminar columna vieja (solo cuando TODOS los servicios migraron)
+ALTER TABLE usuarios DROP COLUMN nombre;
+```
+
+---
+
+## Implementaciones Completas
+
+Para Feature Flags con rollout gradual, Patrón Strangler Fig (proxy de migración),
+Plantilla de Guía de Migración para usuarios, y Monitoreo de uso de endpoints
+deprecados, ver
+[recursos/implementaciones-completas.md](recursos/implementaciones-completas.md).
+
+---
+
+## Checklist de Revisión — Deprecación y Migración
+
+- [ ] El aviso de deprecación incluye: versión desde, versión de eliminación, alternativa.
+- [ ] El código deprecado sigue funcionando durante el período de gracia completo.
+- [ ] Los endpoints deprecados retornan headers `Deprecation`, `Sunset` y `Link`.
+- [ ] Hay una guía de migración publicada ANTES de deprecar, no después.
+- [ ] Las migraciones de base de datos usan el patrón Expand-Contract (3 fases).
+- [ ] Las migraciones de datos son idempotentes y se pueden re-ejecutar sin duplicados.
+- [ ] Los índices se crean con `CREATE INDEX CONCURRENTLY` para no bloquear.
+- [ ] Las migraciones del Strangler Fig tienen feature flags con rollout gradual.
+- [ ] Hay un proceso para identificar y notificar clientes que aún usan APIs deprecadas.
+- [ ] El plan de eliminación incluye qué retornar después: `410 Gone` con cuerpo explicativo.
+
+## Gotchas / Errores comunes no obvios
+
+**El decorator `@deprecado` emite `DeprecationWarning` pero los warnings de Python están silenciados por defecto en producción**: en CPython, los `DeprecationWarning` se suprimen a menos que el código corra en modo test o con `python -W default`. Causa: Python suprime `DeprecationWarning` deliberadamente para no saturar a los usuarios finales con warnings de bibliotecas. Fix: para asegurar visibilidad del aviso, complementar `warnings.warn` con un log estructurado en el wrapper: `logger.warning("deprecado: %s — migrar a %s", func.__qualname__, usar_en_su_lugar)`. El log pasa a través de cualquier configuración de Python warnings.
+
+**La Fase 2 del patrón Expand-Contract con migración en background bloquea la tabla en PostgreSQL por el `UPDATE` masivo**: actualizar millones de filas con `UPDATE usuarios SET nombre_display = :nd WHERE nombre_display IS NULL` puede escalar a un lock de tabla que bloquea lecturas. Causa: PostgreSQL escala el lock de fila a lock de tabla cuando el porcentaje de filas actualizadas es alto. Fix: procesar siempre en lotes pequeños (máximo 1000 filas por transacción) con `time.sleep(0.1)` entre lotes. Usar `SELECT ... FOR UPDATE SKIP LOCKED` para evitar deadlocks si múltiples workers corren la migración en paralelo.
+
+**El header `Sunset` en endpoints deprecados usa formato de fecha incorrecto y los clientes no lo parsean**: `response.headers["Sunset"] = "2026-09-01"` usa formato ISO 8601, pero el RFC 8594 especifica que `Sunset` debe usar formato HTTP-date: `"Mon, 01 Sep 2026 00:00:00 GMT"`. Causa: el estándar del header `Sunset` es diferente al formato de fecha que los desarrolladores usan intuitivamente. Fix: generar el valor con `email.utils.formatdate(time.mktime(fecha_sunset.timetuple()), usegmt=True)` en Python para producir el formato HTTP-date correcto.
+
+**El Strangler Fig con feature flag al 100% nunca elimina el código legacy porque "ya está en producción sin problemas"**: el rollout llega al 100% gradualmente, el código nuevo funciona bien, pero el código legacy nunca se elimina porque "no hay urgencia". Causa: sin fecha de eliminación forzada, el Strangler Fig crea deuda técnica permanente — dos implementaciones que coexisten indefinidamente. Fix: establecer en el plan de migración una fecha de eliminación del código legacy como hito del proyecto, antes de llegar al 100% del rollout. El 100% en feature flag no es el final — la eliminación del código viejo lo es.