@saulwade/swl-ses 1.4.0 → 1.4.2

package/manifiestos/agent-output-schemas.json

@@ -1,57 +1,57 @@
-{
-  "$schema": "https://json-schema.org/draft/2020-12/schema",
-  "descripcion": "Schemas de output esperado por agente — formato compacto declarado en reglas/brevedad-output.md. El hook validar-formato-post-subagente.js usa estos patrones para detectar cuándo un agente devuelve output fuera de contrato.",
-  "version": "1.0.0",
-  "schemas": {
-    "revisor-codigo-swl": {
-      "descripcion": "Revisión de calidad — formato compacto",
-      "patronesRequeridos": [
-        "(?im)VEREDICTO\\s*:\\s*(APROBADO|APROBADO_CON_OBSERVACIONES|RECHAZADO|REQUIERE_CORRECCIONES|CUMPLE|PARCIAL|NO\\s+CUMPLE)",
-        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
-        "(?im)MAYORES\\s*:\\s*\\d+",
-        "(?im)MENORES\\s*:\\s*\\d+",
-        "(?im)HALLAZGOS\\s*:"
-      ]
-    },
-    "revisor-seguridad-swl": {
-      "descripcion": "Revisión de seguridad OWASP — formato compacto",
-      "patronesRequeridos": [
-        "(?im)VEREDICTO\\s*:\\s*(APROBADO|APROBADO_CON_OBSERVACIONES|RECHAZADO|REQUIERE_CORRECCIONES)",
-        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
-        "(?im)MAYORES\\s*:\\s*\\d+",
-        "(?im)HALLAZGOS\\s*:"
-      ]
-    },
-    "revisor-typescript-swl": {
-      "descripcion": "Revisión TypeScript — formato compacto",
-      "patronesRequeridos": [
-        "(?im)VEREDICTO\\s*:\\s*\\w+",
-        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
-        "(?im)HALLAZGOS\\s*:"
-      ]
-    },
-    "revisor-react-swl": {
-      "descripcion": "Revisión React — formato compacto",
-      "patronesRequeridos": [
-        "(?im)VEREDICTO\\s*:\\s*\\w+",
-        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
-        "(?im)HALLAZGOS\\s*:"
-      ]
-    },
-    "revisor-angular-swl": {
-      "descripcion": "Revisión Angular — formato compacto",
-      "patronesRequeridos": [
-        "(?im)VEREDICTO\\s*:\\s*\\w+",
-        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
-        "(?im)HALLAZGOS\\s*:"
-      ]
-    },
-    "tdd-qa-swl": {
-      "descripcion": "QA con TDD — reporte de implementación",
-      "patronesRequeridos": [
-        "(?im)ESTADO\\s*:\\s*(COMPLETADO|PARCIAL|BLOQUEADO)",
-        "(?im)(SLICES|TESTS)\\s*:"
-      ]
-    }
-  }
-}
+{
+  "$schema": "https://json-schema.org/draft/2020-12/schema",
+  "descripcion": "Schemas de output esperado por agente — formato compacto declarado en reglas/brevedad-output.md. El hook validar-formato-post-subagente.js usa estos patrones para detectar cuándo un agente devuelve output fuera de contrato.",
+  "version": "1.0.0",
+  "schemas": {
+    "revisor-codigo-swl": {
+      "descripcion": "Revisión de calidad — formato compacto",
+      "patronesRequeridos": [
+        "(?im)VEREDICTO\\s*:\\s*(APROBADO|APROBADO_CON_OBSERVACIONES|RECHAZADO|REQUIERE_CORRECCIONES|CUMPLE|PARCIAL|NO\\s+CUMPLE)",
+        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
+        "(?im)MAYORES\\s*:\\s*\\d+",
+        "(?im)MENORES\\s*:\\s*\\d+",
+        "(?im)HALLAZGOS\\s*:"
+      ]
+    },
+    "revisor-seguridad-swl": {
+      "descripcion": "Revisión de seguridad OWASP — formato compacto",
+      "patronesRequeridos": [
+        "(?im)VEREDICTO\\s*:\\s*(APROBADO|APROBADO_CON_OBSERVACIONES|RECHAZADO|REQUIERE_CORRECCIONES)",
+        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
+        "(?im)MAYORES\\s*:\\s*\\d+",
+        "(?im)HALLAZGOS\\s*:"
+      ]
+    },
+    "revisor-typescript-swl": {
+      "descripcion": "Revisión TypeScript — formato compacto",
+      "patronesRequeridos": [
+        "(?im)VEREDICTO\\s*:\\s*\\w+",
+        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
+        "(?im)HALLAZGOS\\s*:"
+      ]
+    },
+    "revisor-react-swl": {
+      "descripcion": "Revisión React — formato compacto",
+      "patronesRequeridos": [
+        "(?im)VEREDICTO\\s*:\\s*\\w+",
+        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
+        "(?im)HALLAZGOS\\s*:"
+      ]
+    },
+    "revisor-angular-swl": {
+      "descripcion": "Revisión Angular — formato compacto",
+      "patronesRequeridos": [
+        "(?im)VEREDICTO\\s*:\\s*\\w+",
+        "(?im)CR[IÍ]TICOS\\s*:\\s*\\d+",
+        "(?im)HALLAZGOS\\s*:"
+      ]
+    },
+    "tdd-qa-swl": {
+      "descripcion": "QA con TDD — reporte de implementación",
+      "patronesRequeridos": [
+        "(?im)ESTADO\\s*:\\s*(COMPLETADO|PARCIAL|BLOQUEADO)",
+        "(?im)(SLICES|TESTS)\\s*:"
+      ]
+    }
+  }
+}

package/manifiestos/modulos.json

@@ -1089,7 +1089,8 @@
         "claude",
         "openclaude",
         "gemini"
-      ]
+      ],
+      "opt_in": true
     },
     "graphify-swl": {
       "descripcion": "Grafo de dependencias SWL: análisis topológico real portado de graphify-3. God nodes, blast radius, community detection, diff de grafos y hook de inyección de contexto.",
@@ -1138,7 +1139,8 @@
         "opencode",
         "codex",
         "gemini"
-      ]
+      ],
+      "opt_in": true
     },
     "claudemd-auditor": {
       "descripcion": "Auditor de calidad de CLAUDE.md según best practices Anthropic (ADR-0016). Detecta inflación (líneas excesivas, bullets gigantes, secciones canónicas ausentes, sin @references, placeholders). Usado por el comando /swl:claudemd y por el hook claudemd-bloat-detector. Zero-deps. Soporta --json y --strict. Umbrales configurables: SWL_CLAUDEMD_MAX_LINES (default 200), SWL_CLAUDEMD_MAX_BULLET_CHARS (default 1000).",
@@ -1156,6 +1158,36 @@
         "gemini"
       ]
     },
+    "auditoria-profunda": {
+      "descripcion": "Auditoría profunda integrada (Opción C, ADR-0018). Agente Nemesis iterativo (Feynman + State Inconsistency) language-agnostic, 3 skills subordinados, comando /swl:nemesis, 8 tools ejecutables JSON-output en scripts/audit-tools/ (code-profiler con Python, pentest-scanner, dep-doctor, bundle-tracker, env-validator, migration-checker con Alembic, canary-monitor, audit-history) + hook lib security-net.js (SSRF protection, validateUrl, checkFileSize, redactSensitiveValue) + skill web-fetcher-routing. Adaptado de Houseofmvps/ultraship + 0xiehnnkta/nemesis-auditor + tw93/Waza bajo MIT License. Ejemplos generalizados de blockchain a Python/TS/Go/Rust/Java/C#.",
+      "tipo": "mixto",
+      "archivos": [
+        "agentes/nemesis-auditor-swl.md",
+        "habilidades/feynman-auditor-swl",
+        "habilidades/state-inconsistency-auditor-swl",
+        "habilidades/web-fetcher-routing",
+        "comandos/swl/nemesis.md",
+        "hooks/lib/security-net.js",
+        "scripts/audit-tools/lib/output.js",
+        "scripts/audit-tools/lib/fs-walk.js",
+        "scripts/audit-tools/code-profiler.js",
+        "scripts/audit-tools/pentest-scanner.js",
+        "scripts/audit-tools/dep-doctor.js",
+        "scripts/audit-tools/bundle-tracker.js",
+        "scripts/audit-tools/env-validator.js",
+        "scripts/audit-tools/migration-checker.js",
+        "scripts/audit-tools/canary-monitor.js",
+        "scripts/audit-tools/audit-history.js"
+      ],
+      "targets": [
+        "claude",
+        "openclaude",
+        "copilot",
+        "opencode",
+        "codex",
+        "gemini"
+      ]
+    },
     "mcp-server-swl": {
       "descripcion": "MCP server stub experimental que expone memoria SWL (aprendizajes, sesiones, instintos) a clientes MCP externos (Cursor, Gemini CLI, OpenCode, Cline, Claude Desktop). Modo stdio. 3 endpoints: swl_memory_search, swl_aprendizajes_recientes, swl_instintos_activos. SIN auth, SIN rate limiting, SIN HTTP transport, SIN tests integración. NO USAR EN PRODUCCIÓN. Trigger para hardening: uso real ≥2 runtimes diferentes consistentemente por ≥1 mes. El binario `swl-mcp-server` se instala automáticamente vía npm install -g (declarado en package.json bin). NO se propaga al runtime SWL — vive en el paquete npm como herramienta opt-in. Ver scripts/mcp-server/README.md para 11 limitaciones explícitas y diseño futuro.",
       "tipo": "scripts",
@@ -1187,7 +1219,8 @@
         "opencode",
         "codex",
         "gemini"
-      ]
+      ],
+      "opt_in": true
     },
     "notificaciones-telegram": {
       "descripcion": "Hook saliente de notificaciones Telegram (opt-in). Envía notificaciones al finalizar un turno (Stop), cuando Claude espera respuesta (Notification) y al terminar un subagente (SubagentStop). Hook SessionStart de auto-restauración de settings global. Daemon bot bidireccional con long-polling. Zero-deps: solo node: nativos. Requiere ~/.claude/notifications/.env con TELEGRAM_BOT_TOKEN y TELEGRAM_CHAT_ID. Opt-out: SWL_NOTIFICACIONES_TELEGRAM=0.",
@@ -1208,7 +1241,8 @@
       ],
       "targets": [
         "claude"
-      ]
+      ],
+      "opt_in": true
     },
     "ci-cd-templates": {
       "descripcion": "Plantillas de workflows GitHub Actions distribuibles a proyectos usuario (opt-in). Incluye swl-security.yml (revisión de seguridad con Claude en cada PR), swl-ci.yml (CI genérico Node 22+24), release-please.yml (releases automáticos desde conventional commits) y README de instalación. Skill infra-github-actions para troubleshooting y guía avanzada. Comando /swl:configurar-ci para instalación interactiva. No se instala automáticamente — requiere invocación explícita.",
@@ -1226,7 +1260,8 @@
       ],
       "targets": [
         "claude"
-      ]
+      ],
+      "opt_in": true
     }
   }
-}
+}

package/manifiestos/perfiles.json

@@ -399,7 +399,8 @@
         "graphify-swl",
         "mcp-swl",
         "mcp-server-swl",
-        "claudemd-auditor"
+        "claudemd-auditor",
+        "auditoria-profunda"
       ]
     }
   }

package/manifiestos/skills-lock.json

@@ -1,8 +1,8 @@
 {
   "lockfileVersion": 1,
-  "generatedAt": "2026-05-14T02:32:41.863Z",
-  "skillsCount": 155,
-  "lockHash": "sha256:da4b9d4896cb83fc4bfd630384e3a16cd50722bf2afb54df09869d7ac02ffabc",
+  "generatedAt": "2026-05-15T04:05:25.970Z",
+  "skillsCount": 158,
+  "lockHash": "sha256:e8aa8826b7a7285c7a0f182973b7565db338c7bb6a13707b6c518b2ac980b096",
   "skills": [
     {
       "nombre": "accesibilidad-a11y",
@@ -452,6 +452,13 @@
       "bytes": 17608,
       "version": "\"1.2.0\""
     },
+    {
+      "nombre": "feynman-auditor-swl",
+      "path": "habilidades/feynman-auditor-swl/SKILL.md",
+      "hash": "sha256:0bfc54a0e33a7c974ba4d644f46bf3d332eb8966de68a4dcbfa2de733b78ce68",
+      "bytes": 5080,
+      "version": null
+    },
     {
       "nombre": "filament-admin",
       "path": "habilidades/filament-admin/SKILL.md",
@@ -714,9 +721,9 @@
     {
       "nombre": "node-experto",
       "path": "habilidades/node-experto/SKILL.md",
-      "hash": "sha256:ff6a6ac7943a35273c0daaf554697fb85878a6328f5f55b69da839e4520152e8",
-      "bytes": 11686,
-      "version": "\"1.0.0\""
+      "hash": "sha256:8002768234ffb90d057d2d626488015c68bc969556e026b8c66542c681f3b8e6",
+      "bytes": 13538,
+      "version": "\"1.0.1\""
     },
     {
       "nombre": "notificaciones-multicanal",
@@ -914,6 +921,13 @@
       "bytes": 15651,
       "version": "\"1.0.0\""
     },
+    {
+      "nombre": "state-inconsistency-auditor-swl",
+      "path": "habilidades/state-inconsistency-auditor-swl/SKILL.md",
+      "hash": "sha256:fa1f2cbeba793f1d38c778b7ddca49f4c556dbf522de8edb10838dd54bd91c5f",
+      "bytes": 8013,
+      "version": null
+    },
     {
       "nombre": "stripe-pagos",
       "path": "habilidades/stripe-pagos/SKILL.md",
@@ -987,9 +1001,9 @@
     {
       "nombre": "tdd-workflow",
       "path": "habilidades/tdd-workflow/SKILL.md",
-      "hash": "sha256:4050e995cd6ce8422b965793c98605ce8a9ead4025784b5addb5a0cb24fc7acb",
-      "bytes": 15307,
-      "version": "\"1.0.1\""
+      "hash": "sha256:5f63f554a6a54e1a3b9d47f2497ae12176eb955418d2b0b138a168475dc1d820",
+      "bytes": 17424,
+      "version": "\"1.0.2\""
     },
     {
       "nombre": "terraform-experto",
@@ -1068,6 +1082,13 @@
       "bytes": 14619,
       "version": "\"1.1.1\""
     },
+    {
+      "nombre": "web-fetcher-routing",
+      "path": "habilidades/web-fetcher-routing/SKILL.md",
+      "hash": "sha256:14dc3cebbdc105c7c429f0456cc2e961ace63f9ea548f94b99da1b9e0b7c2074",
+      "bytes": 3611,
+      "version": null
+    },
     {
       "nombre": "wiki-conocimiento",
       "path": "habilidades/wiki-conocimiento/SKILL.md",

package/package.json

@@ -1,7 +1,7 @@
 {
   "name": "@saulwade/swl-ses",
-  "version": "1.4.0",
-  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 59 agentes, 155 habilidades, 43 comandos, 64 reglas y 41 hooks. Soporta 11 lenguajes y 5 runtimes: Claude Code, Copilot, OpenCode, Codex y Gemini CLI. 100% en espanol (Mexico). Incluye gateway bidireccional con relay Telegram a Claude Code.",
+  "version": "1.4.2",
+  "description": "Sistema de ingenieria de software auto-evolutivo multi-runtime polyglot con 60 agentes, 158 habilidades, 44 comandos, 65 reglas y 41 hooks. Soporta 11 lenguajes y 5 runtimes: Claude Code, Copilot, OpenCode, Codex y Gemini CLI. 100% en espanol (Mexico). Incluye gateway bidireccional con relay Telegram a Claude Code y auditoria profunda Nemesis con 8 tools ejecutables.",
   "bin": {
     "swl-ses": "bin/swl-ses.js",
     "swl-telegram-bot": "bin/swl-telegram-bot.js",

package/plantillas/auditor-veto-template.md

@@ -1,105 +1,105 @@
-# Plantilla: Auditor con Veto Items + Cap Enforcement
-
-Plantilla reusable para revisores SWL que aplican el patrón "veto items + cap
-enforcement". Ver `reglas/gobernanza.md` sección "Veto items y cap enforcement".
-
----
-
-## Cuándo usar esta plantilla
-
-Cuando crees o actualices un revisor (`revisor-*-swl.md`) que:
-
-- Audita cumplimiento de reglas globales del sistema (`reglas/*.md`).
-- Necesita comunicar al lector cuáles violaciones son **no negociables**.
-- Debe evitar que un score promedio "redondeado" oculte un problema crítico.
-
----
-
-## Estructura a copiar (insertar antes de "Formato de reporte obligatorio")
-
-```markdown
-## Veto items — cap enforcement a [LÍMITE]
-
-Ciertos hallazgos son **no negociables**. Si encuentras CUALQUIERA de los
-siguientes, el `score` del reporte queda **CAP a [LÍMITE] como máximo absoluto**,
-independientemente de qué tan limpio esté el resto del código. Patrón adaptado
-del modelo de auditor con veto items (ver `reglas/gobernanza.md`).
-
-**Lista de veto items**:
-
-1. **[Nombre del veto]**: [descripción específica + regla que viola].
-2. ...
-N. ...
-
-**Reglas del cap**:
-
-- Encontrar 1 veto item → `score ≤ [LÍMITE]`. Veredicto automático:
-  `RECHAZADO` o `APROBADO CON CORRECCIONES` (nunca `APROBADO` limpio).
-- Encontrar 2+ veto items → `score ≤ [LÍMITE_ESTRICTO]`. Bloqueo absoluto.
-- El veto NO se puede negociar bajando severidad.
-- El cap se levanta SOLO cuando se demuestra remediación (commit + test) y el
-  revisor re-ejecuta la auditoría.
-
-Reportar al inicio del reporte con bloque dedicado:
-
-\`\`\`
-### VETO ITEMS DETECTADOS
-- [VI-1] <descripción>: \`archivo:linea\` — <evidencia>
-- [VI-N] <descripción>: \`archivo:linea\` — <evidencia>
-→ score CAP a [VALOR] ([N] veto items). Veredicto: [VEREDICTO].
-\`\`\`
-
-Si no se detecta ninguno: \`### VETO ITEMS DETECTADOS\n- Ninguno\`.
-```
-
----
-
-## Reglas para definir veto items
-
-Antes de declarar un veto item, verifica:
-
-1. **¿Existe una regla global que lo respalde?** Si no, no es veto. Crear o
-   actualizar la regla primero (`reglas/<dominio>.md`).
-2. **¿Es objetivamente detectable?** Un veto debe ser binario (presente o
-   ausente). Criterios subjetivos como "código feo" no califican.
-3. **¿Su presencia justifica bloquear el merge?** Si el equipo puede aprobar
-   el código sin corregirlo, no es veto — es hallazgo regular.
-4. **¿Es proporcional al dominio del revisor?** Un revisor de seguridad no
-   declara vetos de estilo. Cada revisor solo veta lo de su dominio.
-5. **¿Está la lista cerrada?** Una lista de 50 veto items es señal de mala
-   curación. Lo razonable: 8-15 items por revisor.
-
----
-
-## Escalas recomendadas
-
-| Tipo de reporte | Cap con 1 veto | Cap con 2+ vetos |
-|-----------------|---------------|-----------------|
-| Score 0-100 (CVSSv3-like) | 60/100 | 30/100 |
-| Score 0-10 promedio por dimensión | 6.0/10 | 3.0/10 |
-| Score 0-1 (probabilístico) | 0.6 | 0.3 |
-
----
-
-## Ejemplos en agentes existentes
-
-- `agentes/revisor-seguridad-swl.md` — 10 veto items de OWASP Top 10 + secrets + CVEs
-- `agentes/revisor-codigo-swl.md` — 10 veto items mapeando a `reglas/estilo-codigo.md`
-  y `reglas/arquitectura.md`
-
----
-
-## Cómo el ejecutor responde a un cap
-
-Si recibes un reporte con veto items detectados:
-
-1. **NO negocies la severidad**. El cap está justificado por regla global.
-2. **Aplica las correcciones específicas** que el revisor indica con
-   archivo:línea.
-3. **Agrega un test que pruebe la corrección** (regression test). Sin test,
-   el veto puede regresar.
-4. **Solicita re-revisión** al mismo revisor. Si el veto desapareció, el cap
-   se levanta y el score se recalcula sin penalización.
-5. **Si NO puedes corregir** (limitación externa, blocker técnico): documenta
-   en `.planning/AUDITORIA.md` y escala al humano. NUNCA marques el trabajo
-   como completado con vetos abiertos.
+# Plantilla: Auditor con Veto Items + Cap Enforcement
+
+Plantilla reusable para revisores SWL que aplican el patrón "veto items + cap
+enforcement". Ver `reglas/gobernanza.md` sección "Veto items y cap enforcement".
+
+---
+
+## Cuándo usar esta plantilla
+
+Cuando crees o actualices un revisor (`revisor-*-swl.md`) que:
+
+- Audita cumplimiento de reglas globales del sistema (`reglas/*.md`).
+- Necesita comunicar al lector cuáles violaciones son **no negociables**.
+- Debe evitar que un score promedio "redondeado" oculte un problema crítico.
+
+---
+
+## Estructura a copiar (insertar antes de "Formato de reporte obligatorio")
+
+```markdown
+## Veto items — cap enforcement a [LÍMITE]
+
+Ciertos hallazgos son **no negociables**. Si encuentras CUALQUIERA de los
+siguientes, el `score` del reporte queda **CAP a [LÍMITE] como máximo absoluto**,
+independientemente de qué tan limpio esté el resto del código. Patrón adaptado
+del modelo de auditor con veto items (ver `reglas/gobernanza.md`).
+
+**Lista de veto items**:
+
+1. **[Nombre del veto]**: [descripción específica + regla que viola].
+2. ...
+N. ...
+
+**Reglas del cap**:
+
+- Encontrar 1 veto item → `score ≤ [LÍMITE]`. Veredicto automático:
+  `RECHAZADO` o `APROBADO CON CORRECCIONES` (nunca `APROBADO` limpio).
+- Encontrar 2+ veto items → `score ≤ [LÍMITE_ESTRICTO]`. Bloqueo absoluto.
+- El veto NO se puede negociar bajando severidad.
+- El cap se levanta SOLO cuando se demuestra remediación (commit + test) y el
+  revisor re-ejecuta la auditoría.
+
+Reportar al inicio del reporte con bloque dedicado:
+
+\`\`\`
+### VETO ITEMS DETECTADOS
+- [VI-1] <descripción>: \`archivo:linea\` — <evidencia>
+- [VI-N] <descripción>: \`archivo:linea\` — <evidencia>
+→ score CAP a [VALOR] ([N] veto items). Veredicto: [VEREDICTO].
+\`\`\`
+
+Si no se detecta ninguno: \`### VETO ITEMS DETECTADOS\n- Ninguno\`.
+```
+
+---
+
+## Reglas para definir veto items
+
+Antes de declarar un veto item, verifica:
+
+1. **¿Existe una regla global que lo respalde?** Si no, no es veto. Crear o
+   actualizar la regla primero (`reglas/<dominio>.md`).
+2. **¿Es objetivamente detectable?** Un veto debe ser binario (presente o
+   ausente). Criterios subjetivos como "código feo" no califican.
+3. **¿Su presencia justifica bloquear el merge?** Si el equipo puede aprobar
+   el código sin corregirlo, no es veto — es hallazgo regular.
+4. **¿Es proporcional al dominio del revisor?** Un revisor de seguridad no
+   declara vetos de estilo. Cada revisor solo veta lo de su dominio.
+5. **¿Está la lista cerrada?** Una lista de 50 veto items es señal de mala
+   curación. Lo razonable: 8-15 items por revisor.
+
+---
+
+## Escalas recomendadas
+
+| Tipo de reporte | Cap con 1 veto | Cap con 2+ vetos |
+|-----------------|---------------|-----------------|
+| Score 0-100 (CVSSv3-like) | 60/100 | 30/100 |
+| Score 0-10 promedio por dimensión | 6.0/10 | 3.0/10 |
+| Score 0-1 (probabilístico) | 0.6 | 0.3 |
+
+---
+
+## Ejemplos en agentes existentes
+
+- `agentes/revisor-seguridad-swl.md` — 10 veto items de OWASP Top 10 + secrets + CVEs
+- `agentes/revisor-codigo-swl.md` — 10 veto items mapeando a `reglas/estilo-codigo.md`
+  y `reglas/arquitectura.md`
+
+---
+
+## Cómo el ejecutor responde a un cap
+
+Si recibes un reporte con veto items detectados:
+
+1. **NO negocies la severidad**. El cap está justificado por regla global.
+2. **Aplica las correcciones específicas** que el revisor indica con
+   archivo:línea.
+3. **Agrega un test que pruebe la corrección** (regression test). Sin test,
+   el veto puede regresar.
+4. **Solicita re-revisión** al mismo revisor. Si el veto desapareció, el cap
+   se levanta y el score se recalcula sin penalización.
+5. **Si NO puedes corregir** (limitación externa, blocker técnico): documenta
+   en `.planning/AUDITORIA.md` y escala al humano. NUNCA marques el trabajo
+   como completado con vetos abiertos.

package/plantillas/github-workflows/README.md

@@ -1,47 +1,47 @@
-# Plantillas de GitHub Actions — swl-ses
-
-Tres workflows listos para copiar a `.github/workflows/` de cualquier proyecto.
-
-## Cómo instalar
-
-La forma recomendada es via el comando interactivo:
-
-```bash
-/swl:configurar-ci init
-```
-
-O manualmente: copiar los archivos de esta carpeta a `.github/workflows/` de tu proyecto.
-
-## Workflows disponibles
-
-### `swl-security.yml` — Revisión de seguridad con Claude
-
-Corre en cada PR a `main`. Analiza el diff con `anthropics/claude-code-security-review`
-y comenta hallazgos directamente en el PR.
-
-**Requiere**: secret `CLAUDE_API_KEY` en GitHub Settings → Secrets and variables → Actions.
-
-### `swl-ci.yml` — CI estándar
-
-Corre en push y PRs a `main`. Detecta Node.js automáticamente. Incluye secciones
-comentadas para Python, Rust y Go — activar las que correspondan al proyecto.
-
-- Matrix Node 22 + 24
-- `npm ci` → lint → type-check (si hay tsconfig.json) → tests
-- `concurrency: cancel-in-progress: true`
-
-**No requiere** secrets adicionales.
-
-### `release-please.yml` — Releases automáticos
-
-Tras merge a `main`, crea un Release PR con el bump de versión y CHANGELOG
-generados desde conventional commits. Al mergear el Release PR, crea el tag
-y el GitHub Release.
-
-**No requiere** secrets adicionales (usa `GITHUB_TOKEN`). Requiere conventional commits.
-
-Ver `docs/RELEASE-PLEASE-MIGRATION.md` para comparativa con el flujo manual actual.
-
-## Skill de referencia
-
-Para guía completa de setup, troubleshooting y gotchas: `Skill("infra-github-actions")`.
+# Plantillas de GitHub Actions — swl-ses
+
+Tres workflows listos para copiar a `.github/workflows/` de cualquier proyecto.
+
+## Cómo instalar
+
+La forma recomendada es via el comando interactivo:
+
+```bash
+/swl:configurar-ci init
+```
+
+O manualmente: copiar los archivos de esta carpeta a `.github/workflows/` de tu proyecto.
+
+## Workflows disponibles
+
+### `swl-security.yml` — Revisión de seguridad con Claude
+
+Corre en cada PR a `main`. Analiza el diff con `anthropics/claude-code-security-review`
+y comenta hallazgos directamente en el PR.
+
+**Requiere**: secret `CLAUDE_API_KEY` en GitHub Settings → Secrets and variables → Actions.
+
+### `swl-ci.yml` — CI estándar
+
+Corre en push y PRs a `main`. Detecta Node.js automáticamente. Incluye secciones
+comentadas para Python, Rust y Go — activar las que correspondan al proyecto.
+
+- Matrix Node 22 + 24
+- `npm ci` → lint → type-check (si hay tsconfig.json) → tests
+- `concurrency: cancel-in-progress: true`
+
+**No requiere** secrets adicionales.
+
+### `release-please.yml` — Releases automáticos
+
+Tras merge a `main`, crea un Release PR con el bump de versión y CHANGELOG
+generados desde conventional commits. Al mergear el Release PR, crea el tag
+y el GitHub Release.
+
+**No requiere** secrets adicionales (usa `GITHUB_TOKEN`). Requiere conventional commits.
+
+Ver `docs/RELEASE-PLEASE-MIGRATION.md` para comparativa con el flujo manual actual.
+
+## Skill de referencia
+
+Para guía completa de setup, troubleshooting y gotchas: `Skill("infra-github-actions")`.