npm - @saulwade/swl-ses - Versions diffs - 1.3.8 → 1.4.0 - Mend

@saulwade/swl-ses 1.3.8 → 1.4.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (128) hide show

package/CLAUDE.md +12 -4
package/README.md +1 -1
package/bin/swl-mcp-server.js +187 -187
package/bin/swl-webhook-server.js +198 -0
package/comandos/swl/.evolved.json +22 -22
package/comandos/swl/adoptar-proyecto.md +21 -1
package/comandos/swl/claudemd.md +14 -1
package/comandos/swl/contribuir.md +233 -233
package/comandos/swl/exportar-vault.md +108 -0
package/comandos/swl/nuevo-proyecto.md +24 -2
package/gateway/adapters/base.js +109 -0
package/gateway/adapters/discord.js +167 -0
package/gateway/adapters/email.js +221 -0
package/gateway/adapters/slack.js +192 -0
package/gateway/adapters/telegram.js +183 -0
package/gateway/adapters/webhook.js +113 -0
package/gateway/adapters/whatsapp.js +214 -0
package/gateway/agent-executor.js +322 -0
package/gateway/command-relay.js +271 -0
package/gateway/cron/jobs.js +263 -0
package/gateway/cron/scheduler.js +322 -0
package/gateway/cron/store.js +335 -0
package/gateway/index.js +320 -0
package/gateway/lib/event-channel.js +191 -0
package/gateway/session.js +131 -0
package/gateway/webhook-server.js +324 -0
package/habilidades/backend-production-resilience/SKILL.md +288 -288
package/habilidades/benchmark-memoria/SKILL.md +186 -186
package/habilidades/build-errors-nextjs/SKILL.md +55 -1
package/habilidades/diagrama-arquitectura/assets/template.html +276 -276
package/habilidades/doubt-driven-review/SKILL.md +171 -171
package/habilidades/doubt-driven-review/recursos/EXAMPLES.md +130 -130
package/habilidades/eval-framework/SKILL.md +212 -212
package/habilidades/extractor-de-aprendizajes/SKILL.md +20 -10
package/habilidades/harness-claude-code/SKILL.md +299 -299
package/habilidades/infra-github-actions/SKILL.md +166 -166
package/habilidades/legacy-code-rescue/SKILL.md +267 -267
package/habilidades/manejo-errores/.evolved.json +8 -8
package/habilidades/meta-skills-estandar/recursos/convencion-examples.md +93 -93
package/habilidades/meta-skills-estandar/recursos/skills-as-agents.md +163 -163
package/habilidades/nextjs-testing/SKILL.md +89 -5
package/habilidades/node-experto/SKILL.md +37 -1
package/habilidades/patrones-python/SKILL.md +229 -229
package/habilidades/patrones-python/recursos/patrones-avanzados.md +469 -469
package/habilidades/planear-fase/SKILL.md +319 -319
package/habilidades/react-experto/SKILL.md +45 -4
package/habilidades/release-semver/.evolved.json +8 -8
package/habilidades/tdd-workflow/SKILL.md +36 -4
package/habilidades/testing-python/SKILL.md +340 -340
package/hooks/claudemd-bloat-detector.js +161 -161
package/hooks/inyeccion-contexto.js +8 -3
package/hooks/lib/agent-routing.js +107 -107
package/hooks/lib/auto-consolidator.js +335 -335
package/hooks/lib/error-classifier.js +308 -308
package/hooks/lib/merkle-audit.js +96 -96
package/hooks/lib/provenance-tracker.js +191 -191
package/hooks/lib/rate-limit-ip.js +177 -0
package/hooks/lib/rate-limit-tracker.js +253 -253
package/hooks/lib/resource-quota.js +122 -122
package/hooks/lib/retry-jitter.js +165 -165
package/hooks/lib/skill-auditor.js +588 -588
package/hooks/lib/sync-status.js +228 -228
package/hooks/lib/taint-tracker.js +107 -107
package/hooks/lib/text-similarity.js +241 -241
package/hooks/lib/toon-compressor.js +245 -245
package/hooks/lib/webhook-dedup.js +184 -0
package/hooks/lib/webhook-verify.js +123 -0
package/hooks/proteccion-rutas.js +120 -15
package/hooks/registro-turnos.js +209 -209
package/hooks/sugerir-regenerar-inventario.js +170 -170
package/hooks/validar-formato-post-subagente.js +140 -140
package/hooks/validar-memoria-hook.js +218 -218
package/instintos/prompt-appendices.yaml +57 -57
package/manifiestos/agent-output-schemas.json +57 -57
package/manifiestos/modulos.json +1 -0
package/manifiestos/skills-lock.json +34 -34
package/package.json +5 -3
package/plantillas/auditor-veto-template.md +105 -105
package/plantillas/github-workflows/README.md +47 -47
package/plantillas/github-workflows/release-please.yml +44 -44
package/plantillas/github-workflows/swl-ci.yml +107 -107
package/plantillas/github-workflows/swl-security.yml +51 -51
package/plugin.json +1 -1
package/reglas/analisis-previo-tareas-grandes.md +172 -172
package/reglas/arreglar-al-detectar.md +147 -147
package/reglas/fragmentos-compartidos.md +152 -152
package/reglas/harness-claude-code.md +213 -213
package/reglas/usar-context7.md +226 -226
package/reglas/usar-sistema-swl.md +251 -0
package/schemas/diary-entry.schema.json +80 -80
package/scripts/benchmark-memoria.js +167 -167
package/scripts/comandos/skills.js +251 -2
package/scripts/configurar-branch-protection.js +418 -418
package/scripts/detectar-aprendizajes-duplicados.js +151 -151
package/scripts/field-report.js +199 -199
package/scripts/generar-checklists-consolidados.js +273 -273
package/scripts/generar-inventario.js +420 -420
package/scripts/generar-matriz-lenguajes.js +271 -271
package/scripts/lib/artefactos-python.js +43 -43
package/scripts/lib/benchmark-metrics.js +160 -160
package/scripts/lib/budget-enforcer.js +252 -252
package/scripts/lib/configurar-ci.js +380 -380
package/scripts/lib/contadores-inventario.js +217 -217
package/scripts/lib/detectar-stack-detallado.js +307 -307
package/scripts/lib/diary-entry.js +234 -234
package/scripts/lib/eval-metrics-store.js +218 -218
package/scripts/lib/eval-quality.js +171 -171
package/scripts/lib/eval-schemas.js +144 -144
package/scripts/lib/eval-self-correct.js +106 -106
package/scripts/lib/eval-validator.js +185 -185
package/scripts/lib/jaccard-similarity.js +98 -98
package/scripts/lib/longmemeval-runner.js +125 -125
package/scripts/lib/npm-version.js +261 -261
package/scripts/lib/paquetes-conocidos.js +50 -50
package/scripts/lib/prompt-builder.js +264 -264
package/scripts/lib/rrf-fusion.js +175 -175
package/scripts/lib/scoring-instintos.js +277 -277
package/scripts/lib/semantic-search.js +252 -252
package/scripts/limpiar-artefactos-python.js +131 -131
package/scripts/mcp-server/README.md +128 -128
package/scripts/mcp-server/handlers.js +206 -206
package/scripts/migrar-csv-a-array.js +168 -168
package/scripts/migrar-fase-dominio.js +201 -201
package/scripts/publicar.js +511 -511
package/scripts/run-eval.js +141 -141
package/scripts/validar-manifest.js +195 -195
package/scripts/validar-userland-vacio.js +110 -110
package/scripts/verificar-release.js +110 -0

package/scripts/lib/configurar-ci.js CHANGED Viewed

@@ -1,380 +1,380 @@
-'use strict';
-/**
- * scripts/lib/configurar-ci.js
- *
- * Lógica reutilizable para /swl:configurar-ci.
- * Gestiona la instalación, estado y desinstalación de los workflows CI/CD
- * de swl-ses en proyectos de usuarios.
- *
- * API pública:
- *   init(opciones)              — copia plantillas al proyecto destino
- *   status(opciones)            — lista workflows instalados y secrets faltantes
- *   uninstall(opciones)         — elimina workflows SWL del proyecto
- *   detectarMetodoProteccion()  — detecta si usar Rulesets o legacy (para branch protection)
- *   construirPayloadRuleset()   — construye el payload para la API de Rulesets
- *   construirPayloadClassic()   — construye el payload para branch protection legacy
- *
- * Ninguna función hace network ni invoca gh CLI directamente.
- * El llamador (comando /swl:configurar-ci) orquesta las llamadas interactivas.
- *
- * NOTA: Las funciones de branch protection (detectarMetodoProteccion,
- * construirPayloadRuleset, construirPayloadClassic) están aquí para que el
- * comando distribuido /swl:configurar-ci pueda usarlas sin depender del
- * script del repo madre (configurar-branch-protection.js), que NO se
- * distribuye a los proyectos de los usuarios.
- *
- * Referencia API Rulesets: https://docs.github.com/en/rest/repos/rules
- * Restricción de plan legacy: https://docs.github.com/en/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/about-protected-branches
- */
-const fs   = require('node:fs');
-const path = require('node:path');
-const os   = require('node:os');
-// ---------------------------------------------------------------------------
-// Rutas y constantes
-// ---------------------------------------------------------------------------
-/** Directorio de plantillas dentro del repo swl-ses instalado. */
-const PLANTILLAS_DIR = path.join(__dirname, '..', '..', 'plantillas', 'github-workflows');
-/** Nombre del directorio destino en el proyecto del usuario. */
-const WORKFLOWS_DIR = '.github/workflows';
-/** Workflows que este módulo gestiona (identificados por nombre de archivo). */
-const WORKFLOWS_SWL = {
-  security: 'swl-security.yml',
-  ci:       'swl-ci.yml',
-  release:  'release-please.yml',
-};
-/** Secrets que requiere cada workflow. */
-const SECRETS_REQUERIDOS = {
-  'swl-security.yml': ['CLAUDE_API_KEY'],
-  'swl-ci.yml':       [],
-  'release-please.yml': [],
-};
-// ---------------------------------------------------------------------------
-// Helpers internos
-// ---------------------------------------------------------------------------
-/**
- * Valida que el path del proyecto destino sea seguro.
- * Previene path traversal y paths relativos.
- *
- * @param {string} proyectPath
- * @throws {Error} Si el path no es seguro
- */
-function validarPathProyecto(proyectPath) {
-  if (!path.isAbsolute(proyectPath)) {
-    throw new Error(`El path del proyecto debe ser absoluto. Recibido: "${proyectPath}"`);
-  }
-  // Normalizar y verificar que no escape con ..
-  const normalizado = path.normalize(proyectPath);
-  if (normalizado !== proyectPath) {
-    throw new Error(`El path contiene secuencias inseguras: "${proyectPath}"`);
-  }
-  // Bloquear paths sospechosos (rutas del sistema)
-  const peligrosos = ['/etc', '/usr', '/var', '/bin', '/sbin', '/boot', '/proc', '/sys'];
-  const enPeligroso = peligrosos.some(p => normalizado.startsWith(p + path.sep) || normalizado === p);
-  if (enPeligroso) {
-    throw new Error(`El path apunta a un directorio del sistema: "${proyectPath}"`);
-  }
-}
-/**
- * Detecta el directorio del proyecto actual.
- * Usa override para tests.
- *
- * @param {string|undefined} override
- * @returns {string}
- */
-function detectarProyecto(override) {
-  const dir = override || process.cwd();
-  validarPathProyecto(dir);
-  return dir;
-}
-/**
- * Lista los archivos en el directorio de plantillas.
- *
- * @returns {string[]} nombres de archivo
- */
-function listarPlantillas() {
-  try {
-    return fs.readdirSync(PLANTILLAS_DIR).filter(f => f.endsWith('.yml'));
-  } catch (_) {
-    return [];
-  }
-}
-// ---------------------------------------------------------------------------
-// init
-// ---------------------------------------------------------------------------
-/**
- * Copia los workflows seleccionados al proyecto destino.
- *
- * @param {object} opciones
- * @param {boolean} [opciones.withSecurity=true]         Instalar swl-security.yml
- * @param {boolean} [opciones.withCi=true]               Instalar swl-ci.yml
- * @param {boolean} [opciones.withReleasePlease=false]   Instalar release-please.yml
- * @param {boolean} [opciones.dryRun=false]              Solo mostrar cambios, no copiar
- * @param {boolean} [opciones.force=false]               Sobreescribir archivos existentes
- * @param {string}  [opciones._proyectoPathOverride]     Path del proyecto (tests)
- * @returns {{ copiados: string[], existentes: string[], error?: string }}
- */
-function init({
-  withSecurity = true,
-  withCi       = true,
-  withReleasePlease = false,
-  dryRun       = false,
-  force        = false,
-  _proyectoPathOverride,
-} = {}) {
-  const proyecto = detectarProyecto(_proyectoPathOverride);
-  const destDir  = path.join(proyecto, WORKFLOWS_DIR);
-  const seleccionados = [];
-  if (withSecurity)     seleccionados.push(WORKFLOWS_SWL.security);
-  if (withCi)           seleccionados.push(WORKFLOWS_SWL.ci);
-  if (withReleasePlease) seleccionados.push(WORKFLOWS_SWL.release);
-  const copiados   = [];
-  const existentes = [];
-  for (const archivo of seleccionados) {
-    const origen  = path.join(PLANTILLAS_DIR, archivo);
-    const destino = path.join(destDir, archivo);
-    if (!fs.existsSync(origen)) {
-      return { copiados, existentes, error: `Plantilla no encontrada: ${origen}` };
-    }
-    if (fs.existsSync(destino) && !force) {
-      existentes.push(archivo);
-      continue;
-    }
-    if (!dryRun) {
-      fs.mkdirSync(destDir, { recursive: true });
-      fs.copyFileSync(origen, destino);
-    }
-    copiados.push(archivo);
-  }
-  return { copiados, existentes };
-}
-// ---------------------------------------------------------------------------
-// status
-// ---------------------------------------------------------------------------
-/**
- * Verifica qué workflows SWL están instalados en el proyecto.
- *
- * @param {object} opciones
- * @param {string} [opciones._proyectoPathOverride]
- * @returns {{ instalados: string[], faltantes: string[], secretsFaltantes: Record<string,string[]> }}
- */
-function status({ _proyectoPathOverride } = {}) {
-  const proyecto  = detectarProyecto(_proyectoPathOverride);
-  const destDir   = path.join(proyecto, WORKFLOWS_DIR);
-  const instalados = [];
-  const faltantes  = [];
-  const secretsFaltantes = {};
-  for (const [, archivo] of Object.entries(WORKFLOWS_SWL)) {
-    const ruta = path.join(destDir, archivo);
-    if (fs.existsSync(ruta)) {
-      instalados.push(archivo);
-      const requeridos = SECRETS_REQUERIDOS[archivo] || [];
-      if (requeridos.length > 0) {
-        // No podemos verificar secrets reales sin gh CLI — reportar los necesarios
-        secretsFaltantes[archivo] = requeridos;
-      }
-    } else {
-      faltantes.push(archivo);
-    }
-  }
-  return { instalados, faltantes, secretsFaltantes };
-}
-// ---------------------------------------------------------------------------
-// uninstall
-// ---------------------------------------------------------------------------
-/**
- * Elimina los workflows SWL del proyecto destino.
- * Solo elimina archivos gestionados por swl-ses, no otros workflows.
- *
- * @param {object} opciones
- * @param {boolean} [opciones.confirmar=false]   Si false, solo lista qué se eliminaría
- * @param {string}  [opciones._proyectoPathOverride]
- * @returns {{ eliminados: string[], noEncontrados: string[] }}
- */
-function uninstall({ confirmar = false, _proyectoPathOverride } = {}) {
-  const proyecto  = detectarProyecto(_proyectoPathOverride);
-  const destDir   = path.join(proyecto, WORKFLOWS_DIR);
-  const eliminados    = [];
-  const noEncontrados = [];
-  for (const [, archivo] of Object.entries(WORKFLOWS_SWL)) {
-    const ruta = path.join(destDir, archivo);
-    if (!fs.existsSync(ruta)) {
-      noEncontrados.push(archivo);
-      continue;
-    }
-    if (confirmar) {
-      fs.unlinkSync(ruta);
-    }
-    eliminados.push(archivo);
-  }
-  return { eliminados, noEncontrados };
-}
-// ---------------------------------------------------------------------------
-// Branch protection — lógica distribuible
-//
-// Estas funciones replican la lógica de scripts/configurar-branch-protection.js
-// para uso en el comando /swl:configurar-ci. Son puras (sin side effects de red).
-// El llamador es responsable de ejecutar gh api con el payload devuelto.
-// ---------------------------------------------------------------------------
-/** Status checks requeridos por defecto para la protección de rama. */
-const STATUS_CHECKS_DEFAULT = ['test (22)', 'test (24)', 'smoke'];
-/** Nombre canónico del ruleset gestionado por swl-ses. */
-const NOMBRE_RULESET_SWL = 'swl-protection-main';
-/**
- * Detecta qué método de branch protection conviene usar según el plan del repo.
- *
- * Diseñado para ser llamado con el output de `gh api /repos/{owner}/{repo}`.
- * No hace network — recibe repoInfo ya parseado.
- *
- * Lógica:
- *   - Repo privado + plan Free o desconocido → 'rulesets'
- *   - Repo privado + plan Pro/Team/Enterprise → 'classic'
- *   - Repo público → 'classic'
- *   - --prefer-rulesets → 'rulesets' (override)
- *   - --prefer-classic  → 'classic'  (override)
- *
- * Referencia: https://docs.github.com/en/rest/repos/repos#get-a-repository
- *   Campo `private` (boolean), campo `owner.plan.name` (string)
- *
- * @param {{ private: boolean, owner?: { plan?: { name?: string } } } | null} repoInfo
- * @param {{ preferRulesets?: boolean, preferClassic?: boolean }} [flags]
- * @returns {'rulesets'|'classic'}
- */
-function detectarMetodoProteccion(repoInfo, flags = {}) {
-  if (flags.preferRulesets) return 'rulesets';
-  if (flags.preferClassic)  return 'classic';
-  if (!repoInfo) return 'rulesets'; // fallback seguro si no hay info
-  const esPrivado = repoInfo.private === true;
-  const plan      = repoInfo.owner?.plan?.name || 'desconocido';
-  if (esPrivado && (plan === 'free' || plan === 'desconocido')) {
-    return 'rulesets';
-  }
-  return 'classic';
-}
-/**
- * Construye el payload para la API de GitHub Rulesets.
- *
- * Fuente: https://docs.github.com/en/rest/repos/rules#create-a-repository-ruleset
- *
- * @param {{ rama?: string, approvals?: number, statusChecks?: string[] }} [opciones]
- * @returns {object} Payload listo para JSON.stringify y envío a la API
- */
-function construirPayloadRuleset({ rama = 'main', approvals = 1, statusChecks = STATUS_CHECKS_DEFAULT } = {}) {
-  return {
-    name:        NOMBRE_RULESET_SWL,
-    target:      'branch',
-    enforcement: 'active',
-    conditions: {
-      ref_name: {
-        include: ['refs/heads/' + rama],
-        exclude: [],
-      },
-    },
-    rules: [
-      {
-        type: 'pull_request',
-        parameters: {
-          required_approving_review_count:   approvals,
-          dismiss_stale_reviews_on_push:     true,
-          require_code_owner_review:         false,
-          require_last_push_approval:        false,
-          required_review_thread_resolution: false,
-        },
-      },
-      {
-        type: 'required_status_checks',
-        parameters: {
-          required_status_checks: statusChecks.map(c => ({
-            context:        c,
-            integration_id: null,
-          })),
-          strict_required_status_checks_policy: true,
-        },
-      },
-      { type: 'non_fast_forward' },
-      { type: 'deletion' },
-    ],
-  };
-}
-/**
- * Construye el payload para la API de Branch protection legacy.
- *
- * Fuente: https://docs.github.com/en/rest/branches/branch-protection
- *
- * @param {{ approvals?: number, statusChecks?: string[] }} [opciones]
- * @returns {object}
- */
-function construirPayloadClassic({ approvals = 1, statusChecks = STATUS_CHECKS_DEFAULT } = {}) {
-  return {
-    required_status_checks: {
-      strict:   true,
-      contexts: statusChecks,
-    },
-    enforce_admins: false,
-    required_pull_request_reviews: {
-      required_approving_review_count: approvals,
-      dismiss_stale_reviews:           false,
-      require_code_owner_reviews:      false,
-    },
-    restrictions:       null,
-    allow_force_pushes: false,
-    allow_deletions:    false,
-  };
-}
-// ---------------------------------------------------------------------------
-// Exports
-// ---------------------------------------------------------------------------
-module.exports = {
-  init,
-  status,
-  uninstall,
-  // Lógica de branch protection distribuible
-  detectarMetodoProteccion,
-  construirPayloadRuleset,
-  construirPayloadClassic,
-  // Constantes para tests y para el comando
-  WORKFLOWS_SWL,
-  WORKFLOWS_DIR,
-  PLANTILLAS_DIR,
-  SECRETS_REQUERIDOS,
-  NOMBRE_RULESET_SWL,
-  STATUS_CHECKS_DEFAULT,
-};
+'use strict';
+/**
+ * scripts/lib/configurar-ci.js
+ *
+ * Lógica reutilizable para /swl:configurar-ci.
+ * Gestiona la instalación, estado y desinstalación de los workflows CI/CD
+ * de swl-ses en proyectos de usuarios.
+ *
+ * API pública:
+ *   init(opciones)              — copia plantillas al proyecto destino
+ *   status(opciones)            — lista workflows instalados y secrets faltantes
+ *   uninstall(opciones)         — elimina workflows SWL del proyecto
+ *   detectarMetodoProteccion()  — detecta si usar Rulesets o legacy (para branch protection)
+ *   construirPayloadRuleset()   — construye el payload para la API de Rulesets
+ *   construirPayloadClassic()   — construye el payload para branch protection legacy
+ *
+ * Ninguna función hace network ni invoca gh CLI directamente.
+ * El llamador (comando /swl:configurar-ci) orquesta las llamadas interactivas.
+ *
+ * NOTA: Las funciones de branch protection (detectarMetodoProteccion,
+ * construirPayloadRuleset, construirPayloadClassic) están aquí para que el
+ * comando distribuido /swl:configurar-ci pueda usarlas sin depender del
+ * script del repo madre (configurar-branch-protection.js), que NO se
+ * distribuye a los proyectos de los usuarios.
+ *
+ * Referencia API Rulesets: https://docs.github.com/en/rest/repos/rules
+ * Restricción de plan legacy: https://docs.github.com/en/repositories/configuring-branches-and-merges-in-your-repository/managing-protected-branches/about-protected-branches
+ */
+const fs   = require('node:fs');
+const path = require('node:path');
+const os   = require('node:os');
+// ---------------------------------------------------------------------------
+// Rutas y constantes
+// ---------------------------------------------------------------------------
+/** Directorio de plantillas dentro del repo swl-ses instalado. */
+const PLANTILLAS_DIR = path.join(__dirname, '..', '..', 'plantillas', 'github-workflows');
+/** Nombre del directorio destino en el proyecto del usuario. */
+const WORKFLOWS_DIR = '.github/workflows';
+/** Workflows que este módulo gestiona (identificados por nombre de archivo). */
+const WORKFLOWS_SWL = {
+  security: 'swl-security.yml',
+  ci:       'swl-ci.yml',
+  release:  'release-please.yml',
+};
+/** Secrets que requiere cada workflow. */
+const SECRETS_REQUERIDOS = {
+  'swl-security.yml': ['CLAUDE_API_KEY'],
+  'swl-ci.yml':       [],
+  'release-please.yml': [],
+};
+// ---------------------------------------------------------------------------
+// Helpers internos
+// ---------------------------------------------------------------------------
+/**
+ * Valida que el path del proyecto destino sea seguro.
+ * Previene path traversal y paths relativos.
+ *
+ * @param {string} proyectPath
+ * @throws {Error} Si el path no es seguro
+ */
+function validarPathProyecto(proyectPath) {
+  if (!path.isAbsolute(proyectPath)) {
+    throw new Error(`El path del proyecto debe ser absoluto. Recibido: "${proyectPath}"`);
+  }
+  // Normalizar y verificar que no escape con ..
+  const normalizado = path.normalize(proyectPath);
+  if (normalizado !== proyectPath) {
+    throw new Error(`El path contiene secuencias inseguras: "${proyectPath}"`);
+  }
+  // Bloquear paths sospechosos (rutas del sistema)
+  const peligrosos = ['/etc', '/usr', '/var', '/bin', '/sbin', '/boot', '/proc', '/sys'];
+  const enPeligroso = peligrosos.some(p => normalizado.startsWith(p + path.sep) || normalizado === p);
+  if (enPeligroso) {
+    throw new Error(`El path apunta a un directorio del sistema: "${proyectPath}"`);
+  }
+}
+/**
+ * Detecta el directorio del proyecto actual.
+ * Usa override para tests.
+ *
+ * @param {string|undefined} override
+ * @returns {string}
+ */
+function detectarProyecto(override) {
+  const dir = override || process.cwd();
+  validarPathProyecto(dir);
+  return dir;
+}
+/**
+ * Lista los archivos en el directorio de plantillas.
+ *
+ * @returns {string[]} nombres de archivo
+ */
+function listarPlantillas() {
+  try {
+    return fs.readdirSync(PLANTILLAS_DIR).filter(f => f.endsWith('.yml'));
+  } catch (_) {
+    return [];
+  }
+}
+// ---------------------------------------------------------------------------
+// init
+// ---------------------------------------------------------------------------
+/**
+ * Copia los workflows seleccionados al proyecto destino.
+ *
+ * @param {object} opciones
+ * @param {boolean} [opciones.withSecurity=true]         Instalar swl-security.yml
+ * @param {boolean} [opciones.withCi=true]               Instalar swl-ci.yml
+ * @param {boolean} [opciones.withReleasePlease=false]   Instalar release-please.yml
+ * @param {boolean} [opciones.dryRun=false]              Solo mostrar cambios, no copiar
+ * @param {boolean} [opciones.force=false]               Sobreescribir archivos existentes
+ * @param {string}  [opciones._proyectoPathOverride]     Path del proyecto (tests)
+ * @returns {{ copiados: string[], existentes: string[], error?: string }}
+ */
+function init({
+  withSecurity = true,
+  withCi       = true,
+  withReleasePlease = false,
+  dryRun       = false,
+  force        = false,
+  _proyectoPathOverride,
+} = {}) {
+  const proyecto = detectarProyecto(_proyectoPathOverride);
+  const destDir  = path.join(proyecto, WORKFLOWS_DIR);
+  const seleccionados = [];
+  if (withSecurity)     seleccionados.push(WORKFLOWS_SWL.security);
+  if (withCi)           seleccionados.push(WORKFLOWS_SWL.ci);
+  if (withReleasePlease) seleccionados.push(WORKFLOWS_SWL.release);
+  const copiados   = [];
+  const existentes = [];
+  for (const archivo of seleccionados) {
+    const origen  = path.join(PLANTILLAS_DIR, archivo);
+    const destino = path.join(destDir, archivo);
+    if (!fs.existsSync(origen)) {
+      return { copiados, existentes, error: `Plantilla no encontrada: ${origen}` };
+    }
+    if (fs.existsSync(destino) && !force) {
+      existentes.push(archivo);
+      continue;
+    }
+    if (!dryRun) {
+      fs.mkdirSync(destDir, { recursive: true });
+      fs.copyFileSync(origen, destino);
+    }
+    copiados.push(archivo);
+  }
+  return { copiados, existentes };
+}
+// ---------------------------------------------------------------------------
+// status
+// ---------------------------------------------------------------------------
+/**
+ * Verifica qué workflows SWL están instalados en el proyecto.
+ *
+ * @param {object} opciones
+ * @param {string} [opciones._proyectoPathOverride]
+ * @returns {{ instalados: string[], faltantes: string[], secretsFaltantes: Record<string,string[]> }}
+ */
+function status({ _proyectoPathOverride } = {}) {
+  const proyecto  = detectarProyecto(_proyectoPathOverride);
+  const destDir   = path.join(proyecto, WORKFLOWS_DIR);
+  const instalados = [];
+  const faltantes  = [];
+  const secretsFaltantes = {};
+  for (const [, archivo] of Object.entries(WORKFLOWS_SWL)) {
+    const ruta = path.join(destDir, archivo);
+    if (fs.existsSync(ruta)) {
+      instalados.push(archivo);
+      const requeridos = SECRETS_REQUERIDOS[archivo] || [];
+      if (requeridos.length > 0) {
+        // No podemos verificar secrets reales sin gh CLI — reportar los necesarios
+        secretsFaltantes[archivo] = requeridos;
+      }
+    } else {
+      faltantes.push(archivo);
+    }
+  }
+  return { instalados, faltantes, secretsFaltantes };
+}
+// ---------------------------------------------------------------------------
+// uninstall
+// ---------------------------------------------------------------------------
+/**
+ * Elimina los workflows SWL del proyecto destino.
+ * Solo elimina archivos gestionados por swl-ses, no otros workflows.
+ *
+ * @param {object} opciones
+ * @param {boolean} [opciones.confirmar=false]   Si false, solo lista qué se eliminaría
+ * @param {string}  [opciones._proyectoPathOverride]
+ * @returns {{ eliminados: string[], noEncontrados: string[] }}
+ */
+function uninstall({ confirmar = false, _proyectoPathOverride } = {}) {
+  const proyecto  = detectarProyecto(_proyectoPathOverride);
+  const destDir   = path.join(proyecto, WORKFLOWS_DIR);
+  const eliminados    = [];
+  const noEncontrados = [];
+  for (const [, archivo] of Object.entries(WORKFLOWS_SWL)) {
+    const ruta = path.join(destDir, archivo);
+    if (!fs.existsSync(ruta)) {
+      noEncontrados.push(archivo);
+      continue;
+    }
+    if (confirmar) {
+      fs.unlinkSync(ruta);
+    }
+    eliminados.push(archivo);
+  }
+  return { eliminados, noEncontrados };
+}
+// ---------------------------------------------------------------------------
+// Branch protection — lógica distribuible
+//
+// Estas funciones replican la lógica de scripts/configurar-branch-protection.js
+// para uso en el comando /swl:configurar-ci. Son puras (sin side effects de red).
+// El llamador es responsable de ejecutar gh api con el payload devuelto.
+// ---------------------------------------------------------------------------
+/** Status checks requeridos por defecto para la protección de rama. */
+const STATUS_CHECKS_DEFAULT = ['test (22)', 'test (24)', 'smoke'];
+/** Nombre canónico del ruleset gestionado por swl-ses. */
+const NOMBRE_RULESET_SWL = 'swl-protection-main';
+/**
+ * Detecta qué método de branch protection conviene usar según el plan del repo.
+ *
+ * Diseñado para ser llamado con el output de `gh api /repos/{owner}/{repo}`.
+ * No hace network — recibe repoInfo ya parseado.
+ *
+ * Lógica:
+ *   - Repo privado + plan Free o desconocido → 'rulesets'
+ *   - Repo privado + plan Pro/Team/Enterprise → 'classic'
+ *   - Repo público → 'classic'
+ *   - --prefer-rulesets → 'rulesets' (override)
+ *   - --prefer-classic  → 'classic'  (override)
+ *
+ * Referencia: https://docs.github.com/en/rest/repos/repos#get-a-repository
+ *   Campo `private` (boolean), campo `owner.plan.name` (string)
+ *
+ * @param {{ private: boolean, owner?: { plan?: { name?: string } } } | null} repoInfo
+ * @param {{ preferRulesets?: boolean, preferClassic?: boolean }} [flags]
+ * @returns {'rulesets'|'classic'}
+ */
+function detectarMetodoProteccion(repoInfo, flags = {}) {
+  if (flags.preferRulesets) return 'rulesets';
+  if (flags.preferClassic)  return 'classic';
+  if (!repoInfo) return 'rulesets'; // fallback seguro si no hay info
+  const esPrivado = repoInfo.private === true;
+  const plan      = repoInfo.owner?.plan?.name || 'desconocido';
+  if (esPrivado && (plan === 'free' || plan === 'desconocido')) {
+    return 'rulesets';
+  }
+  return 'classic';
+}
+/**
+ * Construye el payload para la API de GitHub Rulesets.
+ *
+ * Fuente: https://docs.github.com/en/rest/repos/rules#create-a-repository-ruleset
+ *
+ * @param {{ rama?: string, approvals?: number, statusChecks?: string[] }} [opciones]
+ * @returns {object} Payload listo para JSON.stringify y envío a la API
+ */
+function construirPayloadRuleset({ rama = 'main', approvals = 1, statusChecks = STATUS_CHECKS_DEFAULT } = {}) {
+  return {
+    name:        NOMBRE_RULESET_SWL,
+    target:      'branch',
+    enforcement: 'active',
+    conditions: {
+      ref_name: {
+        include: ['refs/heads/' + rama],
+        exclude: [],
+      },
+    },
+    rules: [
+      {
+        type: 'pull_request',
+        parameters: {
+          required_approving_review_count:   approvals,
+          dismiss_stale_reviews_on_push:     true,
+          require_code_owner_review:         false,
+          require_last_push_approval:        false,
+          required_review_thread_resolution: false,
+        },
+      },
+      {
+        type: 'required_status_checks',
+        parameters: {
+          required_status_checks: statusChecks.map(c => ({
+            context:        c,
+            integration_id: null,
+          })),
+          strict_required_status_checks_policy: true,
+        },
+      },
+      { type: 'non_fast_forward' },
+      { type: 'deletion' },
+    ],
+  };
+}
+/**
+ * Construye el payload para la API de Branch protection legacy.
+ *
+ * Fuente: https://docs.github.com/en/rest/branches/branch-protection
+ *
+ * @param {{ approvals?: number, statusChecks?: string[] }} [opciones]
+ * @returns {object}
+ */
+function construirPayloadClassic({ approvals = 1, statusChecks = STATUS_CHECKS_DEFAULT } = {}) {
+  return {
+    required_status_checks: {
+      strict:   true,
+      contexts: statusChecks,
+    },
+    enforce_admins: false,
+    required_pull_request_reviews: {
+      required_approving_review_count: approvals,
+      dismiss_stale_reviews:           false,
+      require_code_owner_reviews:      false,
+    },
+    restrictions:       null,
+    allow_force_pushes: false,
+    allow_deletions:    false,
+  };
+}
+// ---------------------------------------------------------------------------
+// Exports
+// ---------------------------------------------------------------------------
+module.exports = {
+  init,
+  status,
+  uninstall,
+  // Lógica de branch protection distribuible
+  detectarMetodoProteccion,
+  construirPayloadRuleset,
+  construirPayloadClassic,
+  // Constantes para tests y para el comando
+  WORKFLOWS_SWL,
+  WORKFLOWS_DIR,
+  PLANTILLAS_DIR,
+  SECRETS_REQUERIDOS,
+  NOMBRE_RULESET_SWL,
+  STATUS_CHECKS_DEFAULT,
+};