@saulwade/swl-ses 1.3.7 → 1.4.0

package/scripts/validar-userland-vacio.js

@@ -1,110 +1,110 @@
-#!/usr/bin/env node
-'use strict';
-
-/**
- * validar-userland-vacio.js — guard pre-publish.
- *
- * Verifica que `_userland/` solo contenga archivos `.gitkeep` antes de
- * empaquetar el tarball. Si algún contributor accidentalmente commiteó
- * agentes, skills o credenciales experimentales en `_userland/`, este
- * gate aborta el publish con exit 1 y lista los archivos extraños.
- *
- * Por qué existe (defensa en profundidad):
- *   `_userland/` es el directorio donde el USUARIO instala su contenido
- *   custom. En el repo del sistema debe permanecer vacío (solo
- *   `.gitkeep` para preservar la estructura). El campo `files` de
- *   package.json incluye `_userland/`, así que cualquier archivo real
- *   que se cuele entrará al tarball publicado a npm — exposición
- *   potencial de IP o secretos. Aunque `.gitignore` y `.npmignore` ya
- *   cubren los vectores típicos (.env, credenciales), este guard
- *   garantiza que la regla "_userland/ vacío en distribución" se cumpla
- *   determinísticamente.
- *
- * Variables de entorno:
- *   SWL_USERLAND_GUARD_ALLOW=archivo1,archivo2 — permite archivos extra
- *     (uso excepcional documentado en commit que active la variable).
- *
- * Exit codes:
- *   0 — OK, _userland/ solo contiene .gitkeep
- *   1 — hay archivos extraños; lista impresa a stderr
- *   2 — error de invariante (cwd incorrecto, _userland/ no existe)
- */
-
-const fs   = require('fs');
-const path = require('path');
-
-const USERLAND_DIR = '_userland';
-const PERMITIDOS_BASE = new Set(['.gitkeep', '.gitignore']);
-
-function log(msg) { process.stdout.write(`[userland-guard] ${msg}\n`); }
-function err(msg) { process.stderr.write(`[userland-guard] ERROR: ${msg}\n`); }
-
-/**
- * Normaliza una ruta relativa al separador POSIX (`/`) para que la
- * comparación contra la allowlist funcione idéntica en Windows y POSIX.
- */
-function normalizar(rel) {
-  return rel.replace(/\\/g, '/');
-}
-
-function obtenerExtras() {
-  const extras = process.env.SWL_USERLAND_GUARD_ALLOW;
-  if (!extras) return new Set();
-  return new Set(extras.split(',').map(s => normalizar(s.trim())).filter(Boolean));
-}
-
-function listarRecursivo(dir, baseDir = dir, acumulador = []) {
-  const entries = fs.readdirSync(dir, { withFileTypes: true });
-  for (const entry of entries) {
-    const full = path.join(dir, entry.name);
-    const rel  = normalizar(path.relative(baseDir, full));
-    if (entry.isDirectory()) {
-      listarRecursivo(full, baseDir, acumulador);
-    } else if (entry.isFile()) {
-      acumulador.push(rel);
-    } else if (entry.isSymbolicLink()) {
-      // Symlinks dentro del paquete distribuido son anti-patrón.
-      acumulador.push(`${rel} (symlink)`);
-    }
-  }
-  return acumulador;
-}
-
-function main() {
-  const cwd = process.cwd();
-  const userland = path.join(cwd, USERLAND_DIR);
-
-  if (!fs.existsSync(userland)) {
-    err(`${USERLAND_DIR}/ no existe en ${cwd}. ¿cwd incorrecto?`);
-    process.exit(2);
-  }
-
-  const extrasPermitidos = obtenerExtras();
-  const archivos = listarRecursivo(userland);
-
-  const noPermitidos = archivos.filter(rel => {
-    const nombre = path.basename(rel);
-    if (PERMITIDOS_BASE.has(nombre)) return false;
-    if (extrasPermitidos.has(rel)) return false;
-    return true;
-  });
-
-  if (noPermitidos.length > 0) {
-    err(`${USERLAND_DIR}/ contiene ${noPermitidos.length} archivo(s) que no deberían distribuirse en el tarball npm:`);
-    for (const rel of noPermitidos) {
-      err(`  - ${USERLAND_DIR}/${rel}`);
-    }
-    err('');
-    err('Acciones posibles:');
-    err(`  1. Mover el contenido fuera de ${USERLAND_DIR}/ si es del sistema base`);
-    err(`  2. Borrarlo si era código experimental local`);
-    err(`  3. Permitir explícitamente con SWL_USERLAND_GUARD_ALLOW="ruta1,ruta2"`);
-    err('     (documentar la excepción en el mensaje de commit)');
-    process.exit(1);
-  }
-
-  log(`OK: ${USERLAND_DIR}/ solo contiene ${archivos.length} archivo(s) permitido(s).`);
-  process.exit(0);
-}
-
-main();
+#!/usr/bin/env node
+'use strict';
+
+/**
+ * validar-userland-vacio.js — guard pre-publish.
+ *
+ * Verifica que `_userland/` solo contenga archivos `.gitkeep` antes de
+ * empaquetar el tarball. Si algún contributor accidentalmente commiteó
+ * agentes, skills o credenciales experimentales en `_userland/`, este
+ * gate aborta el publish con exit 1 y lista los archivos extraños.
+ *
+ * Por qué existe (defensa en profundidad):
+ *   `_userland/` es el directorio donde el USUARIO instala su contenido
+ *   custom. En el repo del sistema debe permanecer vacío (solo
+ *   `.gitkeep` para preservar la estructura). El campo `files` de
+ *   package.json incluye `_userland/`, así que cualquier archivo real
+ *   que se cuele entrará al tarball publicado a npm — exposición
+ *   potencial de IP o secretos. Aunque `.gitignore` y `.npmignore` ya
+ *   cubren los vectores típicos (.env, credenciales), este guard
+ *   garantiza que la regla "_userland/ vacío en distribución" se cumpla
+ *   determinísticamente.
+ *
+ * Variables de entorno:
+ *   SWL_USERLAND_GUARD_ALLOW=archivo1,archivo2 — permite archivos extra
+ *     (uso excepcional documentado en commit que active la variable).
+ *
+ * Exit codes:
+ *   0 — OK, _userland/ solo contiene .gitkeep
+ *   1 — hay archivos extraños; lista impresa a stderr
+ *   2 — error de invariante (cwd incorrecto, _userland/ no existe)
+ */
+
+const fs   = require('fs');
+const path = require('path');
+
+const USERLAND_DIR = '_userland';
+const PERMITIDOS_BASE = new Set(['.gitkeep', '.gitignore']);
+
+function log(msg) { process.stdout.write(`[userland-guard] ${msg}\n`); }
+function err(msg) { process.stderr.write(`[userland-guard] ERROR: ${msg}\n`); }
+
+/**
+ * Normaliza una ruta relativa al separador POSIX (`/`) para que la
+ * comparación contra la allowlist funcione idéntica en Windows y POSIX.
+ */
+function normalizar(rel) {
+  return rel.replace(/\\/g, '/');
+}
+
+function obtenerExtras() {
+  const extras = process.env.SWL_USERLAND_GUARD_ALLOW;
+  if (!extras) return new Set();
+  return new Set(extras.split(',').map(s => normalizar(s.trim())).filter(Boolean));
+}
+
+function listarRecursivo(dir, baseDir = dir, acumulador = []) {
+  const entries = fs.readdirSync(dir, { withFileTypes: true });
+  for (const entry of entries) {
+    const full = path.join(dir, entry.name);
+    const rel  = normalizar(path.relative(baseDir, full));
+    if (entry.isDirectory()) {
+      listarRecursivo(full, baseDir, acumulador);
+    } else if (entry.isFile()) {
+      acumulador.push(rel);
+    } else if (entry.isSymbolicLink()) {
+      // Symlinks dentro del paquete distribuido son anti-patrón.
+      acumulador.push(`${rel} (symlink)`);
+    }
+  }
+  return acumulador;
+}
+
+function main() {
+  const cwd = process.cwd();
+  const userland = path.join(cwd, USERLAND_DIR);
+
+  if (!fs.existsSync(userland)) {
+    err(`${USERLAND_DIR}/ no existe en ${cwd}. ¿cwd incorrecto?`);
+    process.exit(2);
+  }
+
+  const extrasPermitidos = obtenerExtras();
+  const archivos = listarRecursivo(userland);
+
+  const noPermitidos = archivos.filter(rel => {
+    const nombre = path.basename(rel);
+    if (PERMITIDOS_BASE.has(nombre)) return false;
+    if (extrasPermitidos.has(rel)) return false;
+    return true;
+  });
+
+  if (noPermitidos.length > 0) {
+    err(`${USERLAND_DIR}/ contiene ${noPermitidos.length} archivo(s) que no deberían distribuirse en el tarball npm:`);
+    for (const rel of noPermitidos) {
+      err(`  - ${USERLAND_DIR}/${rel}`);
+    }
+    err('');
+    err('Acciones posibles:');
+    err(`  1. Mover el contenido fuera de ${USERLAND_DIR}/ si es del sistema base`);
+    err(`  2. Borrarlo si era código experimental local`);
+    err(`  3. Permitir explícitamente con SWL_USERLAND_GUARD_ALLOW="ruta1,ruta2"`);
+    err('     (documentar la excepción en el mensaje de commit)');
+    process.exit(1);
+  }
+
+  log(`OK: ${USERLAND_DIR}/ solo contiene ${archivos.length} archivo(s) permitido(s).`);
+  process.exit(0);
+}
+
+main();

package/scripts/verificar-release.js

@@ -262,6 +262,16 @@ function main() {
     fallasObligatorias++;
   }
 
+  // Gate de package.json#files: valida que TODOS los directorios referenciados
+  // por bin/*.js via require('./X/...') o require('../X/...') estén listados
+  // en package.json#files. Sin este gate, los binarios fallan con
+  // MODULE_NOT_FOUND tras instalación pública aunque la suite local pase.
+  // Origen: bug histórico de gateway/ ausente en files (v1.4.0).
+  const gateBinImports = ejecutarGateBinImports();
+  if (gateBinImports.disponible && gateBinImports.faltantes.length > 0) {
+    fallasObligatorias++;
+  }
+
   // Gate opt-in de AI-isms sobre CHANGELOG.md + RELEASE_NOTES.md
   // Se activa solo cuando SWL_AIISMS_GATE=1 y bloquea si encuentra P0.
   let aiismsGate = null;
@@ -280,6 +290,7 @@ function main() {
       fallas_obligatorias: fallasObligatorias,
       warnings_opcionales: warningsOpcionales,
       contadores_gate: gateContadores,
+      bin_imports_gate: gateBinImports,
       aiisms_gate: aiismsGate,
       resultados: resultados.map(({ entrada, resultado }) => ({
         archivo: entrada.archivo,
@@ -332,6 +343,27 @@ function main() {
       process.stdout.write('\n');
       process.stdout.write('Gate de contadores: no disponible — ' + gateContadores.error + '\n');
     }
+    if (gateBinImports.disponible) {
+      process.stdout.write('\n');
+      process.stdout.write('Gate de package.json#files vs bin/*.js imports:\n');
+      process.stdout.write('  Bins analizados: ' + gateBinImports.bins.length + '\n');
+      process.stdout.write('  Directorios requeridos: ' + gateBinImports.requeridos.join(', ') + '\n');
+      process.stdout.write('  En package.json#files: ' + gateBinImports.enFiles.sort().join(', ') + '\n');
+      if (gateBinImports.faltantes.length > 0) {
+        process.stdout.write('  [FALLA] Faltan en files: ' + gateBinImports.faltantes.join(', ') + '\n');
+        process.stdout.write('  Sin estos directorios en `files`, los bins fallaran con MODULE_NOT_FOUND tras instalacion publica.\n');
+        for (const detalle of gateBinImports.detalle) {
+          if (detalle.requeridos.some(d => gateBinImports.faltantes.includes(d))) {
+            process.stdout.write('    ' + detalle.bin + ' requiere: ' + detalle.requeridos.join(', ') + '\n');
+          }
+        }
+      } else {
+        process.stdout.write('  [OK] Todos los directorios requeridos por los bins estan en files\n');
+      }
+    } else if (gateBinImports.error) {
+      process.stdout.write('\n');
+      process.stdout.write('Gate de bin-imports: no disponible — ' + gateBinImports.error + '\n');
+    }
     if (aiismsGate) {
       process.stdout.write('\n');
       process.stdout.write('Gate AI-isms (SWL_AIISMS_GATE=1):\n');
@@ -433,6 +465,84 @@ function ejecutarGateContadores() {
  * Python 3.10+ debe estar disponible. Si falla la invocación, se reporta
  * como warning pero no bloquea (el gate de versión es independiente).
  */
+
+/**
+ * Gate de package.json#files vs imports de bin/*.js: detecta directorios
+ * referenciados por los binarios via require('./X/...') o require('../X/...')
+ * que NO están listados en `package.json#files`. Sin este gate, los bins
+ * fallan con MODULE_NOT_FOUND tras instalación pública aunque la suite
+ * local pase.
+ *
+ * Solo top-level directories del repo se consideran (el primer segmento
+ * del path relativo). Módulos como `node:fs`, `crypto`, `path` se ignoran.
+ * Paths que apuntan a archivos individuales en root (`./package.json`)
+ * también se ignoran porque npm los incluye por convención.
+ *
+ * Origen: bug histórico v1.4.0 — gateway/ ausente en files rompía
+ * /swl:cron, /swl:gateway, /swl:inbox tras instalación pública.
+ */
+function ejecutarGateBinImports() {
+  try {
+    const pkgPath = path.join(CWD, 'package.json');
+    const pkg = JSON.parse(fs.readFileSync(pkgPath, 'utf-8'));
+    const files = Array.isArray(pkg.files) ? pkg.files : [];
+    const enFiles = files.filter(f => !f.endsWith('.json') && !f.endsWith('.md'));
+
+    const binDir = path.join(CWD, 'bin');
+    if (!fs.existsSync(binDir)) {
+      return { disponible: false, error: 'bin/ no existe' };
+    }
+    const bins = fs.readdirSync(binDir).filter(f => f.endsWith('.js'));
+    if (bins.length === 0) {
+      return { disponible: false, error: 'bin/ vacío' };
+    }
+
+    // Regex captura: require('./X/...') o require('../X/...') o require('./X')
+    // No matchea require('node:fs'), require('crypto'), require('path'),
+    // ni require(variable). Solo strings literales con ruta relativa.
+    const regexImport = /require\(\s*['"](\.\.?\/[^'"]+)['"]\s*\)/g;
+
+    const detalle = [];
+    const requeridos = new Set();
+
+    for (const bin of bins) {
+      const binPath = path.join(binDir, bin);
+      const contenido = fs.readFileSync(binPath, 'utf-8');
+      const dirs = new Set();
+      let m;
+      while ((m = regexImport.exec(contenido)) !== null) {
+        const rutaRel = m[1];
+        // Resolver hacia raíz del repo. bin/X.js requires ./Y -> bin/Y (no top-level).
+        // bin/X.js requires ../Y -> Y (top-level del repo).
+        // Por convención: solo ../ apunta a top-level desde bin/.
+        if (rutaRel.startsWith('../')) {
+          const sinPrefijo = rutaRel.slice(3);
+          const topDir = sinPrefijo.split('/')[0];
+          // Filtrar archivos individuales en root (sin slash o solo nombre.ext)
+          if (sinPrefijo.includes('/')) {
+            dirs.add(topDir);
+            requeridos.add(topDir);
+          }
+        }
+      }
+      detalle.push({ bin: 'bin/' + bin, requeridos: Array.from(dirs).sort() });
+    }
+
+    const faltantes = Array.from(requeridos).filter(d => !enFiles.includes(d)).sort();
+
+    return {
+      disponible: true,
+      bins,
+      requeridos: Array.from(requeridos).sort(),
+      enFiles,
+      faltantes,
+      detalle,
+    };
+  } catch (err) {
+    return { disponible: false, error: err.message };
+  }
+}
+
 function ejecutarGateAiisms() {
   const { spawnSync } = require('child_process');
   const detector = path.join(CWD, 'habilidades', 'estilo-sin-ai-isms', 'scripts', 'detectar_aiisms.py');