@saulwade/swl-ses 1.4.1 → 1.5.0

package/scripts/lib/npm-version.js

@@ -1,261 +1,261 @@
-'use strict';
-
-/**
- * npm-version.js — utilidades compartidas para consultar versiones en npm.
- *
- * Lib usada por scripts/check-update.js, hooks/check-update.js,
- * scripts/doctor.js y scripts/actualizar.js. Consolida tres preocupaciones
- * que estaban duplicadas en los 4 archivos:
- *   1. Aumento de PATH (necesario en git-bash Windows donde el PATH
- *      heredado no incluye node/npm).
- *   2. Consulta paralela a npm view de los nombres conocidos del paquete.
- *   3. Comparación robusta de versiones SemVer con soporte para
- *      pre-release/build metadata (5.7.5-beta.1+abc).
- *
- * Por seguridad usa execFile (sin shell) en lugar de execSync con shell:true.
- */
-
-const fs   = require('fs');
-const path = require('path');
-const os   = require('os');
-const { execFile, execFileSync } = require('child_process');
-
-const { NOMBRES_DETECCION } = require('./paquetes-conocidos');
-
-const TIMEOUT_DEFAULT_MS = 10_000;
-
-/**
- * Resuelve la ruta absoluta a `npm-cli.js` que viene con la instalación
- * de Node. En Windows `npm.cmd` y en POSIX `npm` son shims que terminan
- * invocando este JS con el binario de Node. Llamamos directamente a Node
- * con el script para evitar:
- *   1. La diferencia .cmd vs binario nativo entre Windows y POSIX.
- *   2. El requerimiento de `shell: true` en Node 20+ para ejecutar .cmd
- *      (que dispara DEP0190 cuando hay args, aunque estén validados).
- *
- * Si no se encuentra (ej. instalación no estándar), devuelve null y
- * caemos al fallback con shell.
- */
-function localizarNpmCli() {
-  const dir = path.dirname(process.execPath);
-  const candidatos = [
-    path.join(dir, 'node_modules', 'npm', 'bin', 'npm-cli.js'),
-    path.join(dir, '..', 'lib', 'node_modules', 'npm', 'bin', 'npm-cli.js'),
-    path.join(os.homedir(), 'AppData', 'Roaming', 'npm', 'node_modules', 'npm', 'bin', 'npm-cli.js'),
-  ];
-  for (const c of candidatos) {
-    try {
-      if (fs.existsSync(c)) return c;
-    } catch { /* continuar */ }
-  }
-  return null;
-}
-
-const NPM_CLI_JS = localizarNpmCli();
-
-if (!NPM_CLI_JS) {
-  // Si no encontramos npm-cli.js (instalación de Node atípica), emitimos
-  // un aviso pero NO caemos a `shell: true` — eso reintroduciría DEP0190
-  // y exigiría confiar en el regex como única defensa contra inyección.
-  // En su lugar, los callers reciben null/error y deciden cómo continuar.
-  process.stderr.write(
-    `[npm-version] aviso: no se encontró npm-cli.js junto a node ` +
-    `(${process.execPath}). Las consultas a npm view fallarán hasta que ` +
-    `node esté instalado con npm bundled (instalación oficial).\n`
-  );
-}
-
-/**
- * Whitelist de nombres de paquete: scope opcional + nombre alfanumérico
- * con guiones/puntos/underscore. Rechaza espacios, comillas, $, |, ;, etc.
- * Defensa en profundidad — actualmente los nombres son constantes del
- * código, pero esta validación protege ante regresiones futuras donde
- * el nombre venga de variable de entorno o input externo.
- */
-const REGEX_NOMBRE_PAQUETE_SEGURO = /^(@[a-z0-9][a-z0-9._-]*\/)?[a-z0-9][a-z0-9._-]*$/i;
-
-function asegurarNombrePaqueteSeguro(pkg) {
-  if (typeof pkg !== 'string' || !REGEX_NOMBRE_PAQUETE_SEGURO.test(pkg)) {
-    throw new Error(`nombre de paquete inválido: ${JSON.stringify(pkg)}`);
-  }
-}
-
-/**
- * Construye [bin, args] para invocar npm de forma segura:
- *   - Si encontramos npm-cli.js, usa el binario de Node directamente
- *     (cross-platform, sin shell, sin DEP0190).
- *   - Si no se encontró, lanza error explícito en lugar de caer a shell.
- *     Eliminar el fallback `shell: true` cierra la última superficie de
- *     ataque por inyección si en el futuro un nombre de paquete se
- *     parametriza desde input externo (defensa en profundidad).
- */
-function comandoNpm(args) {
-  if (!NPM_CLI_JS) {
-    throw new Error('npm-cli.js no localizado: instala Node con npm bundled');
-  }
-  return { bin: process.execPath, argsList: [NPM_CLI_JS, ...args], opts: {} };
-}
-
-/**
- * Aumenta PATH con ubicaciones típicas de Node/npm en Windows.
- * Devuelve un PATH listo para inyectar en el env de un subproceso.
- */
-function pathAumentado() {
-  const extras = [
-    '/c/Program Files/nodejs',
-    '/c/Program Files (x86)/nodejs',
-    'C:\\Program Files\\nodejs',
-    'C:\\Program Files (x86)\\nodejs',
-    path.join(os.homedir(), 'AppData', 'Roaming', 'npm'),
-  ];
-  const sep = process.platform === 'win32' ? ';' : ':';
-  return extras.join(sep) + sep + (process.env.PATH || '');
-}
-
-/**
- * Parsea una versión SemVer aceptando suffixes pre-release/build metadata.
- * Devuelve null si la cadena no es semver válida.
- */
-function parseSemver(v) {
-  const m = /^(\d+)\.(\d+)\.(\d+)(?:[-+].*)?$/.exec(String(v));
-  if (!m) return null;
-  return [Number(m[1]), Number(m[2]), Number(m[3])];
-}
-
-/**
- * Compara dos cadenas semver. Retorna 1, 0, -1 o null si alguna no parsea.
- */
-function compararSemver(a, b) {
-  const pa = parseSemver(a);
-  const pb = parseSemver(b);
-  if (!pa || !pb) return null;
-  for (let i = 0; i < 3; i++) {
-    if (pa[i] !== pb[i]) return pa[i] > pb[i] ? 1 : -1;
-  }
-  return 0;
-}
-
-/**
- * Versión asíncrona: ejecuta `npm view <pkg> version` sin shell.
- * Usa execFile para evitar inyección si el nombre del paquete viniera
- * de input no confiable (defensa en profundidad — actualmente los
- * nombres son constantes literales).
- */
-function consultarUna(pkg, { timeoutMs = TIMEOUT_DEFAULT_MS, env = process.env } = {}) {
-  return new Promise((resolve) => {
-    try {
-      asegurarNombrePaqueteSeguro(pkg);
-    } catch (e) {
-      resolve({ paquete: pkg, version: null, error: e.message });
-      return;
-    }
-    const { bin, argsList, opts } = comandoNpm(['view', pkg, 'version']);
-    execFile(bin, argsList, {
-      timeout: timeoutMs,
-      encoding: 'utf-8',
-      env,
-      ...opts,
-    }, (err, stdout) => {
-      if (err) {
-        resolve({ paquete: pkg, version: null, error: String(err.message).slice(0, 120) });
-        return;
-      }
-      const ver = String(stdout).trim();
-      if (/^\d+\.\d+\.\d+/.test(ver)) {
-        resolve({ paquete: pkg, version: ver });
-      } else {
-        resolve({ paquete: pkg, version: null, error: `formato inválido: ${ver.slice(0, 60)}` });
-      }
-    });
-  });
-}
-
-/**
- * Consulta en paralelo la versión publicada de los nombres conocidos.
- * Devuelve la primera versión válida encontrada (preferencia por orden
- * en NOMBRES_DETECCION: canónico npmjs > mirror GH > legacy).
- *
- * Diseño:
- *   - Ejecuta las consultas en paralelo con Promise.allSettled para que
- *     el peor caso sea max(timeout) en vez de N × timeout en serie.
- *   - Conserva orden de prioridad post-resolución para devolver el
- *     resultado más canónico cuando varios responden con éxito.
- *
- * @returns {{paquete: string|null, version: string|null, intentos: Array}}
- */
-async function versionRemotaParalela({ timeoutMs = TIMEOUT_DEFAULT_MS, paquetes = NOMBRES_DETECCION } = {}) {
-  const env = { ...process.env, PATH: pathAumentado() };
-  const promesas = paquetes.map(pkg => consultarUna(pkg, { timeoutMs, env }));
-  const settled = await Promise.allSettled(promesas);
-
-  // Registrar TODOS los resultados — éxitos y fallos — para que el
-  // diagnóstico downstream pueda mostrar cuántos paquetes respondieron.
-  // Antes este bloque omitía los éxitos posteriores al primer 'mejor',
-  // dejando intentos vacío cuando 2-3 paquetes resolvían correctamente.
-  const intentos = [];
-  let mejor = null;
-
-  for (let i = 0; i < paquetes.length; i++) {
-    const r = settled[i];
-    if (r.status === 'fulfilled') {
-      const { paquete, version, error } = r.value;
-      if (version) {
-        if (!mejor) mejor = { paquete, version };
-        intentos.push({ paquete, resultado: 'ok', version });
-      } else {
-        intentos.push({ paquete, resultado: 'error', error: error || 'sin versión' });
-      }
-    } else {
-      intentos.push({ paquete: paquetes[i], resultado: 'rejected', error: String(r.reason).slice(0, 120) });
-    }
-  }
-
-  if (mejor) return { ...mejor, intentos };
-  return { paquete: null, version: null, intentos };
-}
-
-/**
- * Versión síncrona-bloqueante de la consulta. Útil para scripts CLI
- * donde el flujo de control síncrono es más simple. Acepta también el
- * orden de prioridad sin paralelizar.
- *
- * Implementación: usa deasync vía execFileSync con timeout corto por
- * paquete (no paraleliza, pero sigue siendo más rápido que el patrón
- * anterior gracias al timeout reducido por intento).
- */
-function versionRemotaSync({ timeoutMs = TIMEOUT_DEFAULT_MS, paquetes = NOMBRES_DETECCION } = {}) {
-  const env = { ...process.env, PATH: pathAumentado() };
-  const intentos = [];
-
-  for (const pkg of paquetes) {
-    try {
-      asegurarNombrePaqueteSeguro(pkg);
-      const { bin, argsList, opts } = comandoNpm(['view', pkg, 'version']);
-      const result = execFileSync(bin, argsList, {
-        timeout: timeoutMs,
-        encoding: 'utf-8',
-        env,
-        stdio: ['pipe', 'pipe', 'pipe'],
-        ...opts,
-      });
-      const ver = String(result).trim();
-      if (/^\d+\.\d+\.\d+/.test(ver)) {
-        return { paquete: pkg, version: ver, intentos };
-      }
-      intentos.push({ paquete: pkg, resultado: 'formato inválido', raw: ver.slice(0, 80) });
-    } catch (err) {
-      intentos.push({ paquete: pkg, resultado: 'error', error: String(err.message).slice(0, 120) });
-    }
-  }
-  return { paquete: null, version: null, intentos };
-}
-
-module.exports = {
-  pathAumentado,
-  parseSemver,
-  compararSemver,
-  consultarUna,
-  versionRemotaParalela,
-  versionRemotaSync,
-  TIMEOUT_DEFAULT_MS,
-};
+'use strict';
+
+/**
+ * npm-version.js — utilidades compartidas para consultar versiones en npm.
+ *
+ * Lib usada por scripts/check-update.js, hooks/check-update.js,
+ * scripts/doctor.js y scripts/actualizar.js. Consolida tres preocupaciones
+ * que estaban duplicadas en los 4 archivos:
+ *   1. Aumento de PATH (necesario en git-bash Windows donde el PATH
+ *      heredado no incluye node/npm).
+ *   2. Consulta paralela a npm view de los nombres conocidos del paquete.
+ *   3. Comparación robusta de versiones SemVer con soporte para
+ *      pre-release/build metadata (5.7.5-beta.1+abc).
+ *
+ * Por seguridad usa execFile (sin shell) en lugar de execSync con shell:true.
+ */
+
+const fs   = require('fs');
+const path = require('path');
+const os   = require('os');
+const { execFile, execFileSync } = require('child_process');
+
+const { NOMBRES_DETECCION } = require('./paquetes-conocidos');
+
+const TIMEOUT_DEFAULT_MS = 10_000;
+
+/**
+ * Resuelve la ruta absoluta a `npm-cli.js` que viene con la instalación
+ * de Node. En Windows `npm.cmd` y en POSIX `npm` son shims que terminan
+ * invocando este JS con el binario de Node. Llamamos directamente a Node
+ * con el script para evitar:
+ *   1. La diferencia .cmd vs binario nativo entre Windows y POSIX.
+ *   2. El requerimiento de `shell: true` en Node 20+ para ejecutar .cmd
+ *      (que dispara DEP0190 cuando hay args, aunque estén validados).
+ *
+ * Si no se encuentra (ej. instalación no estándar), devuelve null y
+ * caemos al fallback con shell.
+ */
+function localizarNpmCli() {
+  const dir = path.dirname(process.execPath);
+  const candidatos = [
+    path.join(dir, 'node_modules', 'npm', 'bin', 'npm-cli.js'),
+    path.join(dir, '..', 'lib', 'node_modules', 'npm', 'bin', 'npm-cli.js'),
+    path.join(os.homedir(), 'AppData', 'Roaming', 'npm', 'node_modules', 'npm', 'bin', 'npm-cli.js'),
+  ];
+  for (const c of candidatos) {
+    try {
+      if (fs.existsSync(c)) return c;
+    } catch { /* continuar */ }
+  }
+  return null;
+}
+
+const NPM_CLI_JS = localizarNpmCli();
+
+if (!NPM_CLI_JS) {
+  // Si no encontramos npm-cli.js (instalación de Node atípica), emitimos
+  // un aviso pero NO caemos a `shell: true` — eso reintroduciría DEP0190
+  // y exigiría confiar en el regex como única defensa contra inyección.
+  // En su lugar, los callers reciben null/error y deciden cómo continuar.
+  process.stderr.write(
+    `[npm-version] aviso: no se encontró npm-cli.js junto a node ` +
+    `(${process.execPath}). Las consultas a npm view fallarán hasta que ` +
+    `node esté instalado con npm bundled (instalación oficial).\n`
+  );
+}
+
+/**
+ * Whitelist de nombres de paquete: scope opcional + nombre alfanumérico
+ * con guiones/puntos/underscore. Rechaza espacios, comillas, $, |, ;, etc.
+ * Defensa en profundidad — actualmente los nombres son constantes del
+ * código, pero esta validación protege ante regresiones futuras donde
+ * el nombre venga de variable de entorno o input externo.
+ */
+const REGEX_NOMBRE_PAQUETE_SEGURO = /^(@[a-z0-9][a-z0-9._-]*\/)?[a-z0-9][a-z0-9._-]*$/i;
+
+function asegurarNombrePaqueteSeguro(pkg) {
+  if (typeof pkg !== 'string' || !REGEX_NOMBRE_PAQUETE_SEGURO.test(pkg)) {
+    throw new Error(`nombre de paquete inválido: ${JSON.stringify(pkg)}`);
+  }
+}
+
+/**
+ * Construye [bin, args] para invocar npm de forma segura:
+ *   - Si encontramos npm-cli.js, usa el binario de Node directamente
+ *     (cross-platform, sin shell, sin DEP0190).
+ *   - Si no se encontró, lanza error explícito en lugar de caer a shell.
+ *     Eliminar el fallback `shell: true` cierra la última superficie de
+ *     ataque por inyección si en el futuro un nombre de paquete se
+ *     parametriza desde input externo (defensa en profundidad).
+ */
+function comandoNpm(args) {
+  if (!NPM_CLI_JS) {
+    throw new Error('npm-cli.js no localizado: instala Node con npm bundled');
+  }
+  return { bin: process.execPath, argsList: [NPM_CLI_JS, ...args], opts: {} };
+}
+
+/**
+ * Aumenta PATH con ubicaciones típicas de Node/npm en Windows.
+ * Devuelve un PATH listo para inyectar en el env de un subproceso.
+ */
+function pathAumentado() {
+  const extras = [
+    '/c/Program Files/nodejs',
+    '/c/Program Files (x86)/nodejs',
+    'C:\\Program Files\\nodejs',
+    'C:\\Program Files (x86)\\nodejs',
+    path.join(os.homedir(), 'AppData', 'Roaming', 'npm'),
+  ];
+  const sep = process.platform === 'win32' ? ';' : ':';
+  return extras.join(sep) + sep + (process.env.PATH || '');
+}
+
+/**
+ * Parsea una versión SemVer aceptando suffixes pre-release/build metadata.
+ * Devuelve null si la cadena no es semver válida.
+ */
+function parseSemver(v) {
+  const m = /^(\d+)\.(\d+)\.(\d+)(?:[-+].*)?$/.exec(String(v));
+  if (!m) return null;
+  return [Number(m[1]), Number(m[2]), Number(m[3])];
+}
+
+/**
+ * Compara dos cadenas semver. Retorna 1, 0, -1 o null si alguna no parsea.
+ */
+function compararSemver(a, b) {
+  const pa = parseSemver(a);
+  const pb = parseSemver(b);
+  if (!pa || !pb) return null;
+  for (let i = 0; i < 3; i++) {
+    if (pa[i] !== pb[i]) return pa[i] > pb[i] ? 1 : -1;
+  }
+  return 0;
+}
+
+/**
+ * Versión asíncrona: ejecuta `npm view <pkg> version` sin shell.
+ * Usa execFile para evitar inyección si el nombre del paquete viniera
+ * de input no confiable (defensa en profundidad — actualmente los
+ * nombres son constantes literales).
+ */
+function consultarUna(pkg, { timeoutMs = TIMEOUT_DEFAULT_MS, env = process.env } = {}) {
+  return new Promise((resolve) => {
+    try {
+      asegurarNombrePaqueteSeguro(pkg);
+    } catch (e) {
+      resolve({ paquete: pkg, version: null, error: e.message });
+      return;
+    }
+    const { bin, argsList, opts } = comandoNpm(['view', pkg, 'version']);
+    execFile(bin, argsList, {
+      timeout: timeoutMs,
+      encoding: 'utf-8',
+      env,
+      ...opts,
+    }, (err, stdout) => {
+      if (err) {
+        resolve({ paquete: pkg, version: null, error: String(err.message).slice(0, 120) });
+        return;
+      }
+      const ver = String(stdout).trim();
+      if (/^\d+\.\d+\.\d+/.test(ver)) {
+        resolve({ paquete: pkg, version: ver });
+      } else {
+        resolve({ paquete: pkg, version: null, error: `formato inválido: ${ver.slice(0, 60)}` });
+      }
+    });
+  });
+}
+
+/**
+ * Consulta en paralelo la versión publicada de los nombres conocidos.
+ * Devuelve la primera versión válida encontrada (preferencia por orden
+ * en NOMBRES_DETECCION: canónico npmjs > mirror GH > legacy).
+ *
+ * Diseño:
+ *   - Ejecuta las consultas en paralelo con Promise.allSettled para que
+ *     el peor caso sea max(timeout) en vez de N × timeout en serie.
+ *   - Conserva orden de prioridad post-resolución para devolver el
+ *     resultado más canónico cuando varios responden con éxito.
+ *
+ * @returns {{paquete: string|null, version: string|null, intentos: Array}}
+ */
+async function versionRemotaParalela({ timeoutMs = TIMEOUT_DEFAULT_MS, paquetes = NOMBRES_DETECCION } = {}) {
+  const env = { ...process.env, PATH: pathAumentado() };
+  const promesas = paquetes.map(pkg => consultarUna(pkg, { timeoutMs, env }));
+  const settled = await Promise.allSettled(promesas);
+
+  // Registrar TODOS los resultados — éxitos y fallos — para que el
+  // diagnóstico downstream pueda mostrar cuántos paquetes respondieron.
+  // Antes este bloque omitía los éxitos posteriores al primer 'mejor',
+  // dejando intentos vacío cuando 2-3 paquetes resolvían correctamente.
+  const intentos = [];
+  let mejor = null;
+
+  for (let i = 0; i < paquetes.length; i++) {
+    const r = settled[i];
+    if (r.status === 'fulfilled') {
+      const { paquete, version, error } = r.value;
+      if (version) {
+        if (!mejor) mejor = { paquete, version };
+        intentos.push({ paquete, resultado: 'ok', version });
+      } else {
+        intentos.push({ paquete, resultado: 'error', error: error || 'sin versión' });
+      }
+    } else {
+      intentos.push({ paquete: paquetes[i], resultado: 'rejected', error: String(r.reason).slice(0, 120) });
+    }
+  }
+
+  if (mejor) return { ...mejor, intentos };
+  return { paquete: null, version: null, intentos };
+}
+
+/**
+ * Versión síncrona-bloqueante de la consulta. Útil para scripts CLI
+ * donde el flujo de control síncrono es más simple. Acepta también el
+ * orden de prioridad sin paralelizar.
+ *
+ * Implementación: usa deasync vía execFileSync con timeout corto por
+ * paquete (no paraleliza, pero sigue siendo más rápido que el patrón
+ * anterior gracias al timeout reducido por intento).
+ */
+function versionRemotaSync({ timeoutMs = TIMEOUT_DEFAULT_MS, paquetes = NOMBRES_DETECCION } = {}) {
+  const env = { ...process.env, PATH: pathAumentado() };
+  const intentos = [];
+
+  for (const pkg of paquetes) {
+    try {
+      asegurarNombrePaqueteSeguro(pkg);
+      const { bin, argsList, opts } = comandoNpm(['view', pkg, 'version']);
+      const result = execFileSync(bin, argsList, {
+        timeout: timeoutMs,
+        encoding: 'utf-8',
+        env,
+        stdio: ['pipe', 'pipe', 'pipe'],
+        ...opts,
+      });
+      const ver = String(result).trim();
+      if (/^\d+\.\d+\.\d+/.test(ver)) {
+        return { paquete: pkg, version: ver, intentos };
+      }
+      intentos.push({ paquete: pkg, resultado: 'formato inválido', raw: ver.slice(0, 80) });
+    } catch (err) {
+      intentos.push({ paquete: pkg, resultado: 'error', error: String(err.message).slice(0, 120) });
+    }
+  }
+  return { paquete: null, version: null, intentos };
+}
+
+module.exports = {
+  pathAumentado,
+  parseSemver,
+  compararSemver,
+  consultarUna,
+  versionRemotaParalela,
+  versionRemotaSync,
+  TIMEOUT_DEFAULT_MS,
+};

package/scripts/lib/paquetes-conocidos.js

@@ -1,50 +1,50 @@
-'use strict';
-
-/**
- * paquetes-conocidos.js — fuente única de verdad para los nombres de
- * paquete del rebrand swl-ses.
- *
- * Por qué existe:
- *   La asimetría intencional de scopes (npmjs `@saulwade/swl-ses` vs
- *   GitHub Packages `@saul-wade/swl-ses`) requiere que múltiples scripts
- *   reconozcan ambos nombres más el legacy. Tener la lista hardcodeada
- *   en cada archivo es violación DRY de conocimiento — un cambio futuro
- *   (deprecar el nombre desnudo, agregar otro mirror) requeriría editar
- *   varios archivos.
- *
- * Convenciones:
- *   - NOMBRE_NPMJS_CANONICO: canónico publicado en registry.npmjs.org.
- *   - NOMBRE_GITHUB_MIRROR: mirror publicado en npm.pkg.github.com.
- *   - NOMBRES_DETECCION: orden de prioridad para consultas remotas
- *     (canónico npmjs primero porque no requiere auth).
- *   - NOMBRES_VALIDOS: nombres aceptables para `package.json#name`.
- *     NO incluye 'swl-ses' sin scope (deprecated, eliminado en v1.0.0).
- */
-
-const NOMBRE_NPMJS_CANONICO = '@saulwade/swl-ses';
-const NOMBRE_GITHUB_MIRROR  = '@saul-wade/swl-ses';
-const NOMBRE_LEGACY_DESNUDO = 'swl-ses';
-
-const NOMBRES_DETECCION = Object.freeze([
-  NOMBRE_NPMJS_CANONICO,
-  NOMBRE_GITHUB_MIRROR,
-  NOMBRE_LEGACY_DESNUDO,
-]);
-
-const NOMBRES_VALIDOS = Object.freeze([
-  NOMBRE_NPMJS_CANONICO,
-  NOMBRE_GITHUB_MIRROR,
-]);
-
-const REGISTRY_NPMJS  = 'https://registry.npmjs.org/';
-const REGISTRY_GITHUB = 'https://npm.pkg.github.com';
-
-module.exports = {
-  NOMBRE_NPMJS_CANONICO,
-  NOMBRE_GITHUB_MIRROR,
-  NOMBRE_LEGACY_DESNUDO,
-  NOMBRES_DETECCION,
-  NOMBRES_VALIDOS,
-  REGISTRY_NPMJS,
-  REGISTRY_GITHUB,
-};
+'use strict';
+
+/**
+ * paquetes-conocidos.js — fuente única de verdad para los nombres de
+ * paquete del rebrand swl-ses.
+ *
+ * Por qué existe:
+ *   La asimetría intencional de scopes (npmjs `@saulwade/swl-ses` vs
+ *   GitHub Packages `@saul-wade/swl-ses`) requiere que múltiples scripts
+ *   reconozcan ambos nombres más el legacy. Tener la lista hardcodeada
+ *   en cada archivo es violación DRY de conocimiento — un cambio futuro
+ *   (deprecar el nombre desnudo, agregar otro mirror) requeriría editar
+ *   varios archivos.
+ *
+ * Convenciones:
+ *   - NOMBRE_NPMJS_CANONICO: canónico publicado en registry.npmjs.org.
+ *   - NOMBRE_GITHUB_MIRROR: mirror publicado en npm.pkg.github.com.
+ *   - NOMBRES_DETECCION: orden de prioridad para consultas remotas
+ *     (canónico npmjs primero porque no requiere auth).
+ *   - NOMBRES_VALIDOS: nombres aceptables para `package.json#name`.
+ *     NO incluye 'swl-ses' sin scope (deprecated, eliminado en v1.0.0).
+ */
+
+const NOMBRE_NPMJS_CANONICO = '@saulwade/swl-ses';
+const NOMBRE_GITHUB_MIRROR  = '@saul-wade/swl-ses';
+const NOMBRE_LEGACY_DESNUDO = 'swl-ses';
+
+const NOMBRES_DETECCION = Object.freeze([
+  NOMBRE_NPMJS_CANONICO,
+  NOMBRE_GITHUB_MIRROR,
+  NOMBRE_LEGACY_DESNUDO,
+]);
+
+const NOMBRES_VALIDOS = Object.freeze([
+  NOMBRE_NPMJS_CANONICO,
+  NOMBRE_GITHUB_MIRROR,
+]);
+
+const REGISTRY_NPMJS  = 'https://registry.npmjs.org/';
+const REGISTRY_GITHUB = 'https://npm.pkg.github.com';
+
+module.exports = {
+  NOMBRE_NPMJS_CANONICO,
+  NOMBRE_GITHUB_MIRROR,
+  NOMBRE_LEGACY_DESNUDO,
+  NOMBRES_DETECCION,
+  NOMBRES_VALIDOS,
+  REGISTRY_NPMJS,
+  REGISTRY_GITHUB,
+};

package/scripts/lib/parsear-opciones.js

@@ -42,6 +42,9 @@ const BOOLEANAS = [
   'dry-run', 'simular',
   'force', 'forzar',
   'verbose', 'all', 'all-langs', 'no-claudemd',
+  // ADR-0019 — Codex/Cursor + MCP autoconfig opt-in
+  'with-mcp', 'no-mcp',
+  'all-runtimes',
 ];
 
 /**