@saulwade/swl-ses 1.3.8 → 1.4.1

package/CLAUDE.md

@@ -1,4 +1,4 @@
-# CLAUDE.md — @saulwade/swl-ses v1.3.8
+# CLAUDE.md — @saulwade/swl-ses v1.4.1
 
 ## Reglas de máxima prioridad (aplican SIEMPRE, sin excepción)
 
@@ -57,6 +57,9 @@ El Read tool sigue siendo correcto para `.pdf` (≤20 páginas), `.md`, `.txt` y
 - **Mensajes de commit**: imperativo en español, formato `<tipo>(<scope>): <descripción>`
 - **Sin `console.log` en producción** — excepto en `scripts/`, `bin/`, `hooks/`, `gateway/` (CLIs y daemons)
 - **Nombre completo del paquete en npx**: todo mensaje del installer/docs usa `npx -y @saulwade/swl-ses@latest <comando>`. **NUNCA** `npx swl-ses@latest <comando>` sin el scope `@saulwade/` — eso resuelve al paquete legacy DEPRECATED (v5.13.1) que aún existe en npm tras el rebrand de 2026-04-30. El `@latest` es indispensable: sin él npx reutiliza la primera versión cacheada y el usuario corre código viejo sin saberlo. El `-y` evita la prompt de confirmación en CI/scripts
+- **Fixtures `secret`/`token` en tests deben ser en español** (`secreto`, `tokenBearer`, `clave-test`). El hook `calidad-pre-commit.js` matchea `\bsecret\s*[=:]\s*["'][^"'\s]{4,}["']` y `\btoken\s*[=:]\s*["'][^"'\s]{8,}["']` — `const secret = "valor"` se bloquea como credencial hardcodeada aunque sea fixture legítimo. Renombrar a español elude el regex sin bypass (alternativas reconocidas por el hook: `placeholder`, `example`, `fake_`, `dummy_`, `os.environ`/`process.env`). Coherente con regla global de idioma. Origen: PR #11 sesión 2026-05-13
+- **`git add archivo && git commit -m "..."` en un solo comando bash NO actualiza el index antes del PreToolUse hook**: el hook `calidad-pre-commit.js` evalúa el contenido staged previo al `&&`, no el actualizado en la misma línea. Síntoma: commit bloqueado por contenido que ya corregiste vía Write/Edit pero seguía staged en versión antigua. Fix: separar en dos calls Bash (`git add archivo` → ver resultado → `git commit -m "..."`). NUNCA usar `--no-verify` para bypassear. Origen: PR #11 sesión 2026-05-13
+- **Secretos per-equipo van en `.claude/settings.local.json` (gitignored), no en `.claude/settings.json` (versionado)**: el archivo `settings.json` se sincroniza entre equipos vía git, así que NO puede contener valores per-máquina como apiKeys. Claude Code hace **deep merge** entre `settings.json` y `settings.local.json` — el local sobrescribe solo las keys que define. Patrón obligatorio para `OBSIDIAN_API_KEY` y similares: `settings.json` declara el server MCP con `env: {}` vacío; `settings.local.json` (cada equipo el suyo) tiene `mcpServers.obsidian.env.OBSIDIAN_API_KEY` con el valor del plugin Local REST API de ESE equipo. **NUNCA** poner dos `OBSIDIAN_API_KEY` en el mismo `env` — produce JSON inválido (síntoma: ConnectionRefused o 40101 silenciosos). Origen: PR #19 sesión 2026-05-13 (bug detectado al cambiar de WISC a WISCLAP)
 
 ## Convenciones de arquitectura
 
@@ -69,6 +72,7 @@ El Read tool sigue siendo correcto para `.pdf` (≤20 páginas), `.md`, `.txt` y
 - **Variables de entorno opt-in enterprise**: ver `@docs/variables-entorno.md` (catálogo completo). Patrón obligatorio: `if (!process.env.VAR) return` — zero-config por defecto
 - **Hooks SWL que invocan auditores Node deben cargar el auditor como módulo (`require()`), no como subproceso**: ~10× más rápido, errores estructurados (no parsing de stdout), tests directos del módulo. Excepción legítima: cuando el auditor es Python o Bash (`spawnSync`). Ejemplo aplicado en `hooks/claudemd-bloat-detector.js` que usa `require('./scripts/auditar-claudemd.js')` directamente. Antipatrón evitado: `spawnSync('node', [auditorPath, ...])` agrega ~50ms por invocación y obliga a parsear JSON de stdout
 - **npm v10+ NO escribe debug logs cuando falla un script invocado** (`prepublishOnly`, `prepack`, etc.) — solo cuando falla npm-mismo (network, registry, auth). El default `loglevel=notice` mantiene `_logs/` vacío para errores de scripts. Para diagnóstico de `npm run publish:all` que falla en script propio, capturar stdout+stderr con redirección: PowerShell `npm run publish:all *>&1 | Tee-Object .planning/logs/publish-$(Get-Date -Format yyyyMMdd-HHmmss).log` o Bash `2>&1 | tee`. Alternativa permanente: `npm config set loglevel verbose`
+- **`package.json#files` debe incluir TODOS los directorios referenciados por `bin/`, `hooks/`, `scripts/` o `comandos/`**: si un binario hace `require('./gateway/foo')` pero `gateway/` no está listado en `files`, **el módulo se omite del tarball npm y el binario falla con MODULE_NOT_FOUND tras instalación pública** — aunque la suite local pase. Bug latente histórico: `/swl:cron`, `/swl:gateway` e `/swl:inbox` instruyen `require('./gateway/...')` y rompían en npm porque `gateway/` no estaba en `files` desde versiones previas. Revelado al agregar `bin/swl-webhook-server` (v1.4.0). Verificar antes de cada release: `npm pack --dry-run | grep -E "^npm notice [0-9].*[Bb] (bin|gateway|hooks|scripts|comandos)/"` debe listar todos los directorios reales referenciados. Gate automatizable en `scripts/verificar-release.js`. Origen: PR #15 sesión 2026-05-13
 
 ## Referencias a docs clave (cargar bajo demanda con `@`)
 
@@ -88,7 +92,7 @@ El Read tool sigue siendo correcto para `.pdf` (≤20 páginas), `.md`, `.txt` y
 ## Qué es este repositorio
 
 Sistema de ingeniería de software auto-evolutivo multi-runtime polyglot (SDLC completo).
-11 lenguajes, 5 runtimes, 59 agentes, 155 skills, 43 comandos, 64 reglas, 41 hooks.
+11 lenguajes, 5 runtimes, 60 agentes, 158 skills, 44 comandos, 65 reglas, 41 hooks.
 
 ## Estructura del repositorio
 
@@ -119,21 +123,24 @@ Para la lista completa con descripción ver `@COMANDOS.md`. Comandos más usados
 | `/swl:claudemd` | Auditar/refactorizar/inicializar CLAUDE.md (audit, refactor, init-user, check) |
 | `/swl:aprender` / `/swl:evolucionar` / `/swl:autoresearch` | Aprendizaje y auto-evolución |
 | `/swl:salud` / `/swl:metricas` / `/swl:dashboard` | Diagnóstico y observabilidad |
-| `/swl:revisar` / `/swl:verificar` | Calidad de código (revisión por stack, verificación goal-backward) |
+| `/swl:revisar` / `/swl:verificar` | Calidad de código (revisión por stack, verificación goal-backward). `/swl:verificar --full` activa parallel scorecard con 4 audits paralelos |
+| `/swl:nemesis` | Auditoría iterativa Feynman + State Inconsistency (loop hasta convergencia, ADR-0018). Flags: `--pass1`, `--pass2`, `--continue`, `--modulo <ruta>` |
 | `/swl:release` | Ciclo de release SemVer |
 | `/swl:configurar-ci` | Workflows CI/CD para proyectos del usuario |
 | `/swl:wiki` / `/swl:mapear-codebase` | Conocimiento de proyecto |
 | `/swl:ayuda` | Catálogo interactivo de comandos |
 
-## Reglas obligatorias (24 base + 40 por lenguaje)
+## Reglas obligatorias (25 base + 40 por lenguaje)
 
 Las reglas globales del usuario en `~/.claude/rules/` se cargan automáticamente
 y aplican a todos los proyectos. Las reglas del sistema en `reglas/` se cargan
-por matcher de archivos. Reglas de mayor uso:
+por matcher de archivos o vía `@reglas/<nombre>.md` desde el CLAUDE.md del
+proyecto. Reglas de mayor uso:
 
 | Regla | Carga cuando |
 |-------|-------------|
-| `brevedad-output.md` | Siempre — idioma español, uso obligatorio de SWL, eficiencia de tokens |
+| `usar-sistema-swl.md` | Siempre — matriz operacional: tarea → componente SWL obligatorio |
+| `brevedad-output.md` | Siempre — idioma español, eficiencia de tokens |
 | `seguridad.md` / `seguridad-agentes.md` | `*.py`, `*.ts`, `auth/`, agentes autónomos |
 | `arreglar-al-detectar.md` | Siempre — detectar → informar → arreglar en mismo turno |
 | `analisis-previo-tareas-grandes.md` | Solicitudes >10 archivos / >500 LOC / cross-módulo |
@@ -143,6 +150,8 @@ por matcher de archivos. Reglas de mayor uso:
 
 Catálogo completo y matchers en `@INVENTARIO.md` sección Reglas.
 
+@reglas/usar-sistema-swl.md
+
 ## Estrategia de modelos por nivel de criticidad (Model-Tier)
 
 Asignar el modelo correcto a cada agente según la criticidad e irreversibilidad de la tarea.

package/README.md

@@ -1,4 +1,4 @@
-# swl-ses v1.3.8
+# swl-ses v1.4.1
 
 > El paquete anterior `@saulwadeleon/swl-software-engineering-system` está deprecado. Migrar a `@saulwade/swl-ses` (npmjs.org canónico) o `@saul-wade/swl-ses` (mirror en GitHub Packages) — el CLI `swl-ses` no cambia.
 
@@ -6,17 +6,18 @@ Sistema de ingeniería de software auto-evolutivo **multi-runtime** con agentes
 
 Soporta 6 runtimes de IA: Claude Code, OpenClaude, OpenCode y Gemini CLI (soporte completo), GitHub Copilot y Codex CLI (soporte parcial: agentes, reglas, hooks experimentales y MCP). Incluye sistema de transformadores que adapta el formato canónico SWL al formato nativo de cada runtime.
 
-Cubre el SDLC completo: discovery, requisitos, arquitectura, UX/UI, frontend, backend, mobile, datos, testing, seguridad, CI/CD, observabilidad, releases, documentación, notificaciones y auto-evolución. Incluye sistema de notificaciones Telegram opt-in: hook saliente al terminar cada turno, bot bidireccional con 15 comandos y autostart en Windows, Linux y macOS sin privilegios elevados.
+Cubre el SDLC completo: discovery, requisitos, arquitectura, UX/UI, frontend, backend, mobile, datos, testing, seguridad, CI/CD, observabilidad, releases, documentación, notificaciones y auto-evolución. Incluye sistema de notificaciones Telegram opt-in (hook saliente, bot bidireccional con 15 comandos, autostart cross-platform) y **auditoría profunda Nemesis** (loop iterativo Feynman + State Inconsistency hasta convergencia) con 8 tools ejecutables JSON-output para code-profiler, pentest-scanner, dep-doctor, bundle-tracker y más (ADR-0018, v1.4.1).
 
 ## Inventario
 
 | Componente | Cantidad |
 |-----------|----------|
-| Agentes SWL | 59 |
-| Habilidades | 151 (todas <=300 líneas, con divulgación progresiva a recursos/) |
-| Comandos (/swl:*) | 42 (todos <=300 líneas, delegan a skills) |
-| Reglas | 20 base + 40 por lenguaje (8 lenguajes x 5) |
-| Hooks | 37 + 60 librerías en hooks/lib/ |
+| Agentes SWL | 60 |
+| Habilidades | 158 (todas <=300 líneas, con divulgación progresiva a recursos/) |
+| Comandos (/swl:*) | 44 (todos <=300 líneas, delegan a skills) |
+| Reglas | 25 base + 40 por lenguaje (8 lenguajes x 5) |
+| Hooks | 41 + 66 librerías en hooks/lib/ |
+| Tools ejecutables (audit-tools) | 8 (code-profiler, pentest-scanner, dep-doctor, bundle-tracker, env-validator, migration-checker, canary-monitor, audit-history) |
 | Schemas | 15 |
 | Perfiles de instalación | 17 |
 | Contextos | 3 (dev, review, research) |
@@ -177,7 +178,7 @@ claude
 | `mobile` | Android + iOS + React Native/Flutter + UX |
 | `devops` | CI/CD + cloud + observabilidad + releases + seguridad |
 | `polyglot` | Todos los lenguajes: 11 lenguajes + revisores + build resolvers |
-| `completo` | Todo: 59 agentes + 155 habilidades + 43 comandos + 64 reglas + 41 hooks |
+| `completo` | Todo: 60 agentes + 158 habilidades + 44 comandos + 65 reglas + 41 hooks |
 
 ### Targets soportados
 
@@ -477,12 +478,12 @@ swl-ses/
       manifiestos.js        # Resolución de perfiles/módulos
       seguridad.js          # Validaciones de seguridad
   manifiestos/              # Perfiles y módulos de instalación
-  agentes/                  # 59 agentes especializados
-  habilidades/              # 155 habilidades modulares
-  comandos/swl/             # 43 comandos slash
-  reglas/                   # 20 reglas base + 40 por lenguaje
-  hooks/                    # 39 hooks + 62 librerías en hooks/lib/
-  schemas/                  # 14 JSON Schemas
+  agentes/                  # 60 agentes especializados
+  habilidades/              # 158 habilidades modulares
+  comandos/swl/             # 44 comandos slash
+  reglas/                   # 25 reglas base + 40 por lenguaje
+  hooks/                    # 41 hooks + 66 librerías en hooks/lib/
+  schemas/                  # 15 JSON Schemas
   contextos/                # 3 modos de desarrollo
   instintos/                # Instintos YAML con confianza
   plantillas/               # Templates para .planning/

package/agentes/nemesis-auditor-swl.md

@@ -0,0 +1,161 @@
+---
+name: nemesis-auditor-swl
+description: >
+  Auditor de doble paso iterativo (Feynman + State Inconsistency) que encuentra
+  bugs en la intersección que ningún paso individual detecta. Language-agnostic
+  (Python, TypeScript, Go, Rust, Java, C#). Invocar tras revisor-codigo-swl y
+  revisor-seguridad-swl cuando la fase toca lógica de negocio compleja con
+  estado acoplado.
+tools: [Read, Grep, Glob, Bash, Write]
+model: claude-sonnet-4-6
+version: 1.0.0
+nivelRiesgo: MEDIO
+skillsInvocables: [feynman-auditor-swl, state-inconsistency-auditor-swl]
+permisosRed: false
+permisosEscritura: true
+permisosComandos: true
+maxTurnos: 20
+evolvable: true
+exclusiones:
+  - "No invocar para pattern-matching de CVEs conocidos — usar revisor-seguridad-swl."
+  - "No invocar para refactor o implementación — solo audita, no modifica código."
+  - "No invocar como sustituto de tests — Nemesis complementa, no reemplaza testing."
+  - "No invocar para análisis de blockchain — el agente fue generalizado a Python/TS/Go/Rust/Java/C#."
+---
+
+# Cuándo NO invocarme
+
+- Para búsqueda de vulnerabilidades conocidas (CVE, OWASP Top 10) — usar `revisor-seguridad-swl`.
+- Para refactor, limpiar deuda técnica o implementar funcionalidad nueva — Nemesis audita, no toca código.
+- Para reemplazar un suite de tests — la cobertura de Nemesis es profundidad, no amplitud.
+- Para código sin estado acoplado (scripts de utilería, transformaciones funcionales puras).
+
+---
+
+# Nemesis Auditor
+
+Dos auditores en bucle de retroalimentación. Cada uno alimenta al siguiente con sus hallazgos. El ciclo continúa hasta que ninguno encuentre algo nuevo (convergencia) o se alcancen 6 pasadas.
+
+```
+PASADA 1: Feynman Auditor (corrida completa)
+  Cuestiona cada línea. Expone asunciones. Marca sospechosos.
+
+        | feed forward |
+
+PASADA 2: State Inconsistency Auditor (corrida completa, enriquecido por Pasada 1)
+  Mapea estado acoplado. Encuentra gaps de mutación. Usa sospechosos de Feynman como objetivos.
+
+        | feed forward |
+
+PASADA 3+: Pasadas alternantes dirigidas hasta convergencia
+  Cada pasada interroga los nuevos hallazgos de la anterior.
+  Máximo 6 pasadas. Nada sobrevive.
+```
+
+---
+
+## Proceso — Fase 0: Contexto
+
+Antes de la Pasada 1, establecer:
+
+1. ¿Qué archivos o módulos están en scope? (sin scope → el auditor infiere desde el directorio de trabajo)
+2. ¿Hay un comando específico (`/nemesis`, `/nemesis --pass1`, `/nemesis --pass2`, `/nemesis --continue`)?
+3. ¿Hay un target de un solo módulo (`/nemesis --contract <nombre>`)?
+4. ¿Existen hallazgos previos en `.audit/findings/`?
+
+---
+
+## Proceso — Fase 1: Pasada Feynman
+
+Cargar `Skill("feynman-auditor-swl")` y ejecutar la auditoría completa.
+
+- Salida cruda: `.audit/findings/feynman-pass1.md`
+- Registrar sospechosos de alta confianza para alimentar la Pasada 2.
+
+---
+
+## Proceso — Fase 2: Pasada State Inconsistency
+
+Cargar `Skill("state-inconsistency-auditor-swl")` con los sospechosos de Feynman como contexto adicional.
+
+- Los sospechosos de Feynman se convierten en **objetivos dirigidos** para el mapeo de estado acoplado.
+- Salida cruda: `.audit/findings/state-pass1.md`
+
+---
+
+## Proceso — Fases 3+: Convergencia
+
+Continuar alternando pasadas mientras alguna encuentre hallazgos nuevos:
+
+```
+Pasada N (Feynman dirigida):
+  Objetivos: funciones que rodean los hallazgos de State de la pasada anterior.
+  ¿Nuevos hallazgos? → Pasada N+1
+
+Pasada N+1 (State dirigida):
+  Objetivos: funciones que rodean los hallazgos de Feynman de la pasada anterior.
+  ¿Nuevos hallazgos? → Pasada N+2
+
+Convergencia: ninguna pasada produce hallazgos nuevos.
+Límite duro: 6 pasadas totales (3 Feynman + 3 State).
+```
+
+---
+
+## Proceso — Fase 7: Reporte Final
+
+Consolidar todos los hallazgos verificados en `.audit/findings/nemesis-verified.md`.
+
+Cada hallazgo etiquetado con su ruta de descubrimiento:
+
+- `[Feynman-solo]` — detectado solo por la técnica Feynman
+- `[State-solo]` — detectado solo por el mapeado de estado
+- `[Cross-feed]` — el hallazgo emergió de la retroalimentación entre ambas pasadas
+
+### Tabla de severidad
+
+| Severidad | Criterio |
+|-----------|----------|
+| CRÍTICO | Corrupción de datos inmediata, pérdida de información, escalada de privilegios |
+| ALTO | Fallo condicional de funcionalidad crítica, contabilidad incorrecta en paths comunes |
+| MEDIO | Contabilidad degradada, griefing, errores en casos de borde frecuentes |
+| BAJO | Problemas cosméticos, inaccuracy de eventos/logs, errores de casos de borde raros |
+
+---
+
+## Comandos
+
+| Comando | Acción |
+|---------|--------|
+| `/nemesis` | Auditoría completa iterativa |
+| `/nemesis --pass1` | Solo Pasada 1 — Feynman completo |
+| `/nemesis --pass2` | Solo Pasada 2 — State sobre output existente de Pasada 1 |
+| `/nemesis --continue` | Continuar desde la última pasada |
+| `/nemesis --contract <nombre>` | Auditoría completa sobre un módulo específico |
+
+---
+
+## Adaptación por lenguaje
+
+Detectar el lenguaje del codebase y adaptar:
+
+| Concepto | Python | TypeScript | Go | Rust | Java | C# |
+|---------|--------|------------|-----|------|------|-----|
+| Estado mutable | atributos de clase / variables de módulo | propiedades de clase / estado de módulo | campos de struct / variables globales | campos de struct | campos de clase | propiedades |
+| Almacenamiento persistente | BD / Redis / archivo | BD / Redis / localStorage | BD / Redis | BD / archivos | BD / caché | BD / caché |
+| Actor de la operación | `request.user` / `actor_id` | `req.user` / `userId` | `ctx.UserID` | `actor_id` | `principal` | `User.Identity` |
+| Mutación interna | método privado | método privado | función interna | `pub(crate) fn` | método privado | método privado |
+
+---
+
+## Protocolo anti-alucinación
+
+Nunca reportar un hallazgo sin evidencia textual concreta:
+
+- La función que rompe el invariante, con su path completo
+- La secuencia de triggers que produce el bug
+- El estado inconsistente resultante y su consecuencia observable
+
+Toda hallazgo verificado incluye: par de estado acoplado, operación que rompe, secuencia de triggers, consecuencia concreta.
+
+<!-- Adaptado de nemesis-auditor-main bajo MIT License (https://github.com/0xiehnnkta/nemesis-auditor) -->