@shiftleftpt/sbd-toe-mcp 0.1.0 → 0.2.16

package/.env.example

@@ -17,10 +17,7 @@ SITE_BASE_URL=https://www.securitybydesign.dev/
 MANUAL_BASE_URL=https://www.securitybydesign.dev/sbd-toe/sbd-manual/
 CROSS_CHECK_BASE_URL=https://www.securitybydesign.dev/sbd-toe/cross-check-normativo/
 
-DEFAULT_LANGUAGE=pt-PT
 DEBUG_MODE=false
-DOCS_HITS=8
-ENTITIES_HITS=5
 MAX_CONTEXT_RECORDS=8
 SAMPLING_MAX_TOKENS=1200
 

package/README.md

@@ -1,323 +1,205 @@
-# sbd-toe-mcp-poc
+# @shiftleftpt/sbd-toe-mcp
 
-Servidor MCP (Model Context Protocol) para VS Code, em Node.js/TypeScript, que faz retrieval local sobre snapshots semânticos publicados do manual SbD-ToE e os expõe ao chat via `stdio`.
+MCP server for the SbD-ToE security manual — structured tools for Claude, GitHub Copilot, Cursor, Windsurf, Zed and any MCP-compatible client.
 
-> Estado atual: **PoC / primeira iteração publicável**. O foco desta versão é distribuição simples via GitHub Releases, uso local no VS Code, grounding forte e zero dependência de builder semântico em runtime.
-
-## O que é este projeto
+[![npm](https://img.shields.io/npm/v/@shiftleftpt%2fsbd-toe-mcp)](https://www.npmjs.com/package/@shiftleftpt/sbd-toe-mcp)
+[![License](https://img.shields.io/badge/license-Apache--2.0-blue)](LICENSE)
 
-Este repositório empacota um servidor MCP que:
+---
 
-- corre localmente via `stdio`
-- expõe tools e prompts MCP para consulta do manual
-- usa o modelo configurado pelo utilizador no VS Code
-- faz retrieval local sobre um bundle embutido em `data/publish/`
-- devolve contexto grounded, citações e metadados úteis para debug
+## Quick Start
 
-O objetivo é responder melhor, dentro do VS Code, a perguntas práticas sobre o ecossistema SbD-ToE, por exemplo:
+**Zero configuration required.** Works out-of-the-box with `npx`:
 
-```text
-quais os requisitos de autenticacao que preciso implementar para esta aplicacao L1
+**Claude Code:**
+```bash
+claude mcp add sbd-toe -- npx -y @shiftleftpt/sbd-toe-mcp
 ```
 
-ou:
+**Claude Desktop / Cursor / Windsurf** — add to your MCP config:
+```json
+{
+  "mcpServers": {
+    "sbd-toe": {
+      "command": "npx",
+      "args": ["-y", "@shiftleftpt/sbd-toe-mcp"]
+    }
+  }
+}
+```
 
-```text
-Que policies governam pipelines CI/CD?
+**VS Code + GitHub Copilot** — add to `.vscode/mcp.json`:
+```json
+{
+  "servers": {
+    "sbdToe": {
+      "type": "stdio",
+      "command": "npx",
+      "args": ["-y", "@shiftleftpt/sbd-toe-mcp"]
+    }
+  }
+}
 ```
 
-## Porque existe
+For full installation instructions for all clients see [`docs/installation.md`](docs/installation.md).
+
+**Requirements:** Node.js ≥ 20.9.0
 
-O manual SbD-ToE é a fonte editorial canónica, mas o consumo prático dentro do editor exige uma camada técnica própria:
+---
 
-- descoberta contextual no momento da pergunta
-- recuperação determinística de records relevantes
-- composição de prompt grounded
-- integração direta com o chat do VS Code
+## What it does
 
-Este repositório existe para fazer essa ponte, sem duplicar o papel dos outros repositórios do ecossistema.
+This MCP server gives any AI client structured access to the [SbD-ToE security manual](https://www.securitybydesign.dev/sbd-toe/sbd-manual/) — a comprehensive framework for secure-by-design software development.
 
-## Relação com o ecossistema SbD-ToE
+All data is bundled locally. No Algolia, no internet connection required at runtime, no API keys.
 
-| Repositório | Papel |
-| --- | --- |
-| `Shiftleftpt/SbD-ToE-Manual` | fonte editorial canónica do manual |
-| `sbd-toe-knowledge-graph` | builder/publicador dos snapshots semânticos |
-| `sbd-toe-mcp-poc` | consumer MCP para uso local no VS Code |
+---
 
-Este projeto **consome** artefactos já produzidos pelo `sbd-toe-knowledge-graph`. Não reindexa o manual, não reconstrói semântica e não substitui o builder.
+## Tools
 
-## O que faz
+| Tool | Description |
+|---|---|
+| `search_sbd_toe_manual` | Retrieval over the manual — returns grounded context with citations |
+| `answer_sbd_toe_manual` | Retrieval + answer via MCP sampling (uses the user's model) |
+| `inspect_sbd_toe_retrieval` | Debug tool — shows retrieval scores, selection and prompt |
+| `list_sbd_toe_chapters` | Lists all 14 manual chapters with readable titles and risk levels |
+| `query_sbd_toe_entities` | Queries structured entities (controls, requirements, patterns) |
+| `get_sbd_toe_chapter_brief` | Returns a structured brief for a specific chapter |
+| `map_sbd_toe_applicability` | Maps a project profile to applicable chapter bundles |
+| `generate_document` | Generates a structured document skeleton (5 types × 3 risk levels) |
+| `map_sbd_toe_review_scope` | Maps changed file paths to relevant SbD-ToE knowledge bundles |
+| `plan_sbd_toe_repo_governance` | Produces an advisory governance plan for a repository |
 
-- consulta os snapshots `SbD-ToE-ASKAI-Docs` e `SbD-ToE-ASKAI-Entities`
-- faz ranking local observável para seleção de contexto
-- expõe as tools `search_sbd_toe_manual`, `answer_sbd_toe_manual` e `inspect_sbd_toe_retrieval`
-- expõe a prompt MCP `ask_sbd_toe_manual`
-- permite debug forte quando `debug=true` ou `DEBUG_MODE=true`
-- usa sampling MCP opcionalmente, mantendo o modelo do lado do utilizador
+### Resources
 
-## O que não faz
+| Resource | Description |
+|---|---|
+| `sbd://toe/index-compact` | Compact chapter index (<5KB) — injectable into system prompts |
+| `sbd://toe/skill-template` | Skill template for AI agent configuration (L1/L2/L3) |
+| `sbd://toe/chapter-applicability` | Chapter applicability by risk level |
 
-- não faz parsing do corpus Markdown
-- não reconstrói bundles semânticos
-- não reindexa o manual
-- não depende de Algolia em runtime
-- não executa retrieval remoto
-- não mantém memória conversacional
-- não substitui o VS Code Chat nem o `sbd-toe-knowledge-graph`
+### Prompts
 
-## Arquitetura resumida
+| Prompt | Description |
+|---|---|
+| `setup_sbd_toe_agent` | Slash command to configure an AI agent with SbD-ToE context |
 
-1. O utilizador faz uma pergunta no chat do VS Code.
-2. O chat chama `search_sbd_toe_manual` ou `answer_sbd_toe_manual`.
-3. O servidor MCP lê os snapshots locais embutidos em `data/publish/`.
-4. O retrieval combina records documentais e estruturados.
-5. O servidor devolve contexto grounded com citações `[D1]`, `[E1]`, links e debug.
-6. O modelo do utilizador responde com base nesse contexto.
+---
 
-O papel detalhado deste repositório está documentado em [`docs/role.md`](docs/role.md).
+## Architecture
 
-## Ferramentas MCP expostas
+```
+AI client (Claude / Copilot / Cursor / ...)
+    ↓  MCP stdio
+sbd-toe-mcp server
+    ↓  local read
+data/publish/   ← semantic snapshots bundled in the package
+```
 
-- `search_sbd_toe_manual`
-  - tool principal para o fluxo normal de chat
-  - devolve contexto grounded sem obrigar a sampling
-- `answer_sbd_toe_manual`
-  - usa retrieval local e pede a resposta final ao modelo do utilizador via MCP sampling
-- `inspect_sbd_toe_retrieval`
-  - mostra retrieval, seleção final e prompt montado
-  - útil para tuning, grounding e troubleshooting
-- `ask_sbd_toe_manual`
-  - prompt MCP/slash command para orientar o chat a usar retrieval antes de responder
+1. The user asks a question in their AI client.
+2. The client calls a tool (e.g. `search_sbd_toe_manual`).
+3. The server reads the local snapshots in `data/publish/`.
+4. Retrieval combines documentary and structured records.
+5. The server returns grounded context with citations and links.
+6. The user's model answers based on that context.
 
-## Distribuição e release bundle
+---
 
-O canal principal de distribuição é **npm** (`sbd-toe-mcp`). O **GitHub Releases** mantém-se como canal secundário — publica um bundle self-contained para instalação em ambientes sem acesso à internet ou sem `npx`.
+## Distribution
 
-Cada release publica um bundle via GitHub Releases com convenção de nome explícita:
+**Primary channel: npm**
+
+```bash
+npx -y @shiftleftpt/sbd-toe-mcp
+```
+
+**Secondary channel: GitHub Releases** — self-contained bundle for environments without internet access or `npx`. Each release publishes:
 
 - `sbd-toe-mcp-vX.Y.Z-bundle.tar.gz`
 - `sbd-toe-mcp-vX.Y.Z-bundle.zip`
 - `sbd-toe-mcp-vX.Y.Z-bundle.sha256`
 
-O bundle inclui:
-
-- `dist/`
-- `data/publish/`
-- `data/reports/run_manifest.json`
-- `prompts/`
-- `examples/`
-- `docs/`
-- `.vscode/mcp.json`
-- `.env.example`
-- `README.md`
-- `CONTRIBUTING.md`
-- `CODE_OF_CONDUCT.md`
-- `SECURITY.md`
-- `SUPPORT.md`
-- ficheiros de licença
+### Installing from a GitHub Release bundle
 
-O bundle **não** inclui:
+For environments without npm/npx:
 
-- `node_modules`
-- checkout completo do upstream
-- tooling de desenvolvimento desnecessário para runtime
+1. Download `sbd-toe-mcp-vX.Y.Z-bundle.zip` from [GitHub Releases](https://github.com/Shiftleftpt/sbd-toe-mcp-poc/releases).
+2. Extract the archive.
+3. Point your MCP client to the extracted `dist/index.js`:
+   ```json
+   {
+     "command": "node",
+     "args": ["/path/to/extracted/dist/index.js"]
+   }
+   ```
+4. No `npm ci` or `npm run build` needed — the bundle is self-contained.
 
-## Como os snapshots são distribuídos
+---
 
-`data/publish/` é tratado como parte intencional do produto:
+## Optional configuration
 
-- fica **versionado no repositório**
-- fica **incluído no artefacto de release**
-- é a base do retrieval local em runtime
+No environment variables are required. The following can be overridden:
 
-Isto significa que:
+| Variable | Default | Description |
+|---|---|---|
+| `DEBUG_MODE` | `false` | Enable debug metadata in responses |
+| `MAX_CONTEXT_RECORDS` | `8` | Max records returned per query |
+| `SITE_BASE_URL` | `https://www.securitybydesign.dev/` | Override base URL |
+| `MANUAL_BASE_URL` | `https://www.securitybydesign.dev/sbd-toe/sbd-manual/` | Override manual URL |
+| `CROSS_CHECK_BASE_URL` | `https://www.securitybydesign.dev/sbd-toe/cross-check-normativo/` | Override cross-check URL |
+| `SBD_TOE_APP_ROOT` | auto (resolved from `dist/`) | Override app root path |
 
-- o utilizador **não precisa** de Algolia
-- o utilizador **não precisa** de correr o builder semântico
-- o utilizador **não precisa** de fazer checkout do `sbd-toe-knowledge-graph` para usar o servidor
+Copy `.env.example` to `.env` and adjust as needed.
 
-O ficheiro `data/reports/run_manifest.json` mantém a proveniência do snapshot embutido.
-Esse ficheiro deve conter apenas proveniência pública e redistribuível, sem paths absolutos de máquinas locais.
+---
 
-## Instalação via GitHub Release (alternativa sem internet)
+## Relation to the SbD-ToE ecosystem
 
-Fluxo para ambientes sem acesso ao npm ou sem `npx`:
+| Repository | Role |
+|---|---|
+| `Shiftleftpt/SbD-ToE-Manual` | canonical editorial source of the manual |
+| `sbd-toe-knowledge-graph` | builder/publisher of semantic snapshots |
+| `@shiftleftpt/sbd-toe-mcp` | MCP server — consumes snapshots, exposes tools |
 
-1. Descarregar o asset `sbd-toe-mcp-vX.Y.Z-bundle.zip` ou `sbd-toe-mcp-vX.Y.Z-bundle.tar.gz` em **GitHub Releases**.
-2. Extrair o archive para um diretório local.
-3. Confirmar que a extração já inclui `dist/` e `data/publish/`.
-4. Copiar `.env.example` para `.env`.
-5. Abrir a pasta extraída no VS Code.
-6. Reutilizar o `.vscode/mcp.json` já incluído no bundle.
-7. Abrir o chat e usar perguntas reais sobre o manual.
+This project **consumes** artefacts already produced by `sbd-toe-knowledge-graph`. It does not re-index the manual, does not rebuild semantics and does not replace the builder.
 
-Exemplo:
+Maintainers who want to update the bundled snapshots from a local checkout of `sbd-toe-knowledge-graph`:
 
 ```bash
-cp .env.example .env
+npm run checkout:backend
 ```
 
-Depois de extrair a release, não é necessário correr `npm ci` nem `npm run build`.
-Também não é necessário editar manualmente a configuração MCP se usares a pasta extraída como workspace do VS Code.
-
-## Quick Start — instalar via npm
-
-[![npm](https://img.shields.io/npm/v/@shiftleftpt%2fsbd-toe-mcp)](https://www.npmjs.com/package/@shiftleftpt/sbd-toe-mcp)
-
-**Zero configuração obrigatória.** O servidor funciona directamente com `npx`:
-
-1. Instalar Node.js ≥ 20.9.0: [nodejs.org/download](https://nodejs.org/download/)
-2. Registar o servidor no teu cliente MCP (exemplo para Claude Code):
-   ```bash
-   claude mcp add sbd-toe -- npx -y @shiftleftpt/sbd-toe-mcp
-   ```
-3. Usar as tools MCP no Claude Code (ou Claude Desktop, VS Code, Cursor, etc.)
-
-Para instruções completas por cliente MCP (Claude Desktop, VS Code, Cursor, Windsurf, Zed),
-consultar [`docs/installation.md`](docs/installation.md).
-
 ---
 
-## Instalação a partir do source
-
-Se preferires trabalhar a partir do source deste repositório:
+## Development
 
 ```bash
 npm ci
 npm run check
 npm run build
+npm run test
 ```
 
-O checkout de source já traz `data/publish/` versionado. Portanto, mesmo a partir do source, o uso normal do MCP **não** depende do builder semântico.
-
-O script abaixo é apenas para mantenedores que queiram atualizar o bundle embutido a partir de um checkout local do `sbd-toe-knowledge-graph`:
-
-```bash
-npm run checkout:backend
-```
-
-Esse fluxo regenera um manifesto local em `data/upstream/backend-checkout.json`, usado apenas para manutenção/debug local e não versionado neste repositório.
+See [`CONTRIBUTING.md`](CONTRIBUTING.md) for the contribution workflow.
 
-## Configuração `.env`
-
-Copiar `.env.example` para `.env` e ajustar apenas o que fizer sentido para o teu ambiente local.
-
-Variáveis mais relevantes para runtime:
-
-| Variável | Uso |
-| --- | --- |
-| `DOCS_SNAPSHOT_FILE` | snapshot documental local |
-| `ENTITIES_SNAPSHOT_FILE` | snapshot de entidades local |
-| `INDEX_SETTINGS_FILE` | metadados dos índices publicados |
-| `RUN_MANIFEST_FILE` | proveniência do bundle embutido |
-| `SYSTEM_PROMPT_FILE` | system prompt usada pela tool de answer |
-| `DEBUG_MODE` | ativa debug adicional nas respostas |
-
-Variáveis de manutenção opcional:
-
-| Variável | Uso |
-| --- | --- |
-| `UPSTREAM_KNOWLEDGE_GRAPH_DIR` | checkout local do `sbd-toe-knowledge-graph` |
-| `BACKEND_CHECKOUT_FILE` | manifesto local do último refresh do bundle; ficheiro de manutenção local, não versionado |
-
-Não há API keys obrigatórias neste projeto: o modelo continua a ser o do utilizador no VS Code.
-
-## Integração com VS Code
-
-O exemplo de configuração está em [`examples/vscode.mcp.json`](examples/vscode.mcp.json).
-
-Para o fluxo mais simples via GitHub Release, o bundle já inclui [`.vscode/mcp.json`](.vscode/mcp.json) com este formato:
-
-```json
-{
-  "servers": {
-    "sbdToe": {
-      "type": "stdio",
-      "command": "node",
-      "args": ["${workspaceFolder}/dist/index.js"],
-      "envFile": "${workspaceFolder}/.env"
-    }
-  }
-}
-```
-
-Se abrires a pasta extraída no VS Code, `${workspaceFolder}` passa a apontar para esse bundle e o editor pode usar a configuração diretamente.
-
-Exemplo realista para um bundle extraído fora do workspace atual:
-
-```json
-{
-  "servers": {
-    "sbdToe": {
-      "type": "stdio",
-      "command": "node",
-      "args": ["/absolute/path/to/sbd-toe-mcp-poc/dist/index.js"],
-      "envFile": "/absolute/path/to/sbd-toe-mcp-poc/.env"
-    }
-  }
-}
-```
-
-Se estiveres a trabalhar diretamente neste repositório, podes adaptar para `${workspaceFolder}`.
-
-## Exemplo de uso no chat
-
-Perguntas úteis para validar a integração:
-
-```text
-quais os requisitos de autenticacao que preciso implementar para esta aplicacao L1
-```
-
-```text
-Que policies governam pipelines CI/CD?
-```
-
-Comportamento esperado:
-
-- o chat usa `search_sbd_toe_manual` ou `answer_sbd_toe_manual`
-- o MCP recupera records relevantes do bundle local
-- a resposta final usa apenas o contexto recuperado
-- a resposta cita records e aponta páginas determinísticas quando existirem
-
-## Troubleshooting e debug
-
-- Se `dist/` não existir, estás provavelmente num checkout de source sem build concluído.
-- Se `data/publish/` não existir, a instalação está incompleta ou o archive foi extraído incorretamente.
-- Se o cliente MCP não suportar `sampling`, usa `search_sbd_toe_manual` como fluxo principal.
-- Usa `inspect_sbd_toe_retrieval` para ver retrieval, seleção final e prompt montado.
-- Ativa `DEBUG_MODE=true` para anexar metadados de debug à resposta.
-- Se precisares de atualizar o snapshot embutido, usa `npm run checkout:backend` a partir de um checkout local do `sbd-toe-knowledge-graph`.
-
-## Contribuição
-
-O fluxo de contribuição está em [`CONTRIBUTING.md`](CONTRIBUTING.md).
-
-Em resumo:
-
-- trunk-based development com `master`
-- branches `feat/`, `fix/`, `docs/`, `chore/` e `hotfix/`
-- validação local com `npm ci`, `npm run check` e `npm run build`
-- teste manual no VS Code antes de abrir PR
-- squash merge para `master`
-- releases por tag `vX.Y.Z`
+---
 
-## Próximas iterações
+## Smithery
 
-Os pontos abertos e candidatos a evolução futura estão em [`NEXT-STEPS.md`](NEXT-STEPS.md), incluindo a hipótese de uma extensão wrapper para publicação no VS Code Marketplace.
+This server is registered on [Smithery](https://smithery.ai) — the MCP server directory. Smithery provides one-click install and guided configuration.
 
-## Suporte
+---
 
-Ver [`SUPPORT.md`](SUPPORT.md).
+## Security
 
-## Segurança
+See [`SECURITY.md`](SECURITY.md). Vulnerabilities must be reported privately by email, never via public issue.
 
-Ver [`SECURITY.md`](SECURITY.md). Vulnerabilidades devem ser reportadas em privado por email, nunca por issue público.
+---
 
-## Licença
+## Licence
 
-Este repositório usa **split licensing**:
+Split licensing:
 
-- código e runtime: [`LICENSE`](LICENSE) (`Apache-2.0`)
-- documentação e snapshots embutidos: [`LICENSE-DATA`](LICENSE-DATA) (`CC BY-SA 4.0`)
-- nota de mapeamento e atribuição: [`LICENSE-NOTE.md`](LICENSE-NOTE.md)
+- code and runtime: [`LICENSE`](LICENSE) (`Apache-2.0`)
+- documentation and bundled snapshots: [`LICENSE-DATA`](LICENSE-DATA) (`CC BY-SA 4.0`)
+- mapping and attribution note: [`LICENSE-NOTE.md`](LICENSE-NOTE.md)

package/dist/config.js

@@ -44,8 +44,6 @@ export function getConfig() {
         backend: {
             docsIndex: getEnv("SEMANTIC_BACKEND_DOCS_INDEX", "SbD-ToE-ASKAI-Docs"),
             entitiesIndex: getEnv("SEMANTIC_BACKEND_ENTITIES_INDEX", "SbD-ToE-ASKAI-Entities"),
-            docsHits: parseInteger("DOCS_HITS", getEnv("DOCS_HITS", "8"), 8),
-            entitiesHits: parseInteger("ENTITIES_HITS", getEnv("ENTITIES_HITS", "5"), 5),
             maxContextRecords: parseInteger("MAX_CONTEXT_RECORDS", getEnv("MAX_CONTEXT_RECORDS", "8"), 8),
             upstreamRepoDir: getEnv("UPSTREAM_KNOWLEDGE_GRAPH_DIR", "../sbd-toe-knowledge-graph"),
             checkoutFile: getEnv("BACKEND_CHECKOUT_FILE", "./data/upstream/backend-checkout.json"),
@@ -68,7 +66,6 @@ export function getConfig() {
         },
         prompt: {
             systemPromptFile: getEnv("SYSTEM_PROMPT_FILE", "./prompts/sbd-toe-chat-system.md"),
-            defaultLanguage: getEnv("DEFAULT_LANGUAGE", "pt-PT"),
             siteBaseUrl: normalizeBaseUrl(getEnv("SITE_BASE_URL", "https://www.securitybydesign.dev/")),
             manualBaseUrl: normalizeBaseUrl(getEnv("MANUAL_BASE_URL", "https://www.securitybydesign.dev/sbd-toe/sbd-manual/")),
             crossCheckBaseUrl: normalizeBaseUrl(getEnv("CROSS_CHECK_BASE_URL", "https://www.securitybydesign.dev/sbd-toe/cross-check-normativo/")),

package/dist/config.js.map

@@ -1 +1 @@
-{"version":3,"file":"config.js","sourceRoot":"","sources":["../src/config.ts"],"names":[],"mappings":"AAAA,OAAO,IAAI,MAAM,WAAW,CAAC;AAC7B,OAAO,EAAE,aAAa,EAAE,MAAM,UAAU,CAAC;AAIzC,IAAI,YAAmC,CAAC;AACxC,MAAM,SAAS,GAAG,IAAI,CAAC,OAAO,CAAC,aAAa,CAAC,MAAM,CAAC,IAAI,CAAC,GAAG,CAAC,CAAC,CAAC;AAC/D,MAAM,cAAc,GAAG,IAAI,CAAC,OAAO,CAAC,SAAS,EAAE,IAAI,CAAC,CAAC;AAErD,SAAS,MAAM,CAAC,IAAY,EAAE,QAAiB;IAC7C,MAAM,KAAK,GAAG,OAAO,CAAC,GAAG,CAAC,IAAI,CAAC,CAAC;IAChC,IAAI,KAAK,KAAK,SAAS,IAAI,KAAK,CAAC,IAAI,EAAE,CAAC,MAAM,GAAG,CAAC,EAAE,CAAC;QACnD,OAAO,KAAK,CAAC,IAAI,EAAE,CAAC;IACtB,CAAC;IACD,IAAI,QAAQ,KAAK,SAAS,EAAE,CAAC;QAC3B,OAAO,QAAQ,CAAC;IAClB,CAAC;IACD,MAAM,IAAI,KAAK,CAAC,wCAAwC,IAAI,GAAG,CAAC,CAAC;AACnE,CAAC;AAED,SAAS,YAAY,CAAC,KAAa;IACjC,OAAO,CAAC,GAAG,EAAE,MAAM,EAAE,KAAK,EAAE,IAAI,CAAC,CAAC,QAAQ,CAAC,KAAK,CAAC,IAAI,EAAE,CAAC,WAAW,EAAE,CAAC,CAAC;AACzE,CAAC;AAED,SAAS,YAAY,CAAC,IAAY,EAAE,KAAa,EAAE,QAAgB;IACjE,MAAM,MAAM,GAAG,MAAM,CAAC,QAAQ,CAAC,KAAK,EAAE,EAAE,CAAC,CAAC;IAC1C,IAAI,MAAM,CAAC,KAAK,CAAC,MAAM,CAAC,IAAI,MAAM,IAAI,CAAC,EAAE,CAAC;QACxC,MAAM,IAAI,KAAK,CAAC,8BAA8B,IAAI,MAAM,KAAK,IAAI,CAAC,CAAC;IACrE,CAAC;IACD,OAAO,MAAM,IAAI,QAAQ,CAAC;AAC5B,CAAC;AAED,SAAS,gBAAgB,CAAC,GAAW;IACnC,OAAO,GAAG,CAAC,QAAQ,CAAC,GAAG,CAAC,CAAC,CAAC,CAAC,GAAG,CAAC,CAAC,CAAC,GAAG,GAAG,GAAG,CAAC;AAC7C,CAAC;AAED,MAAM,UAAU,UAAU;IACxB,MAAM,QAAQ,GAAG,OAAO,CAAC,GAAG,CAAC,gBAAgB,CAAC;IAC9C,IAAI,QAAQ,KAAK,SAAS,IAAI,QAAQ,CAAC,IAAI,EAAE,CAAC,MAAM,GAAG,CAAC,EAAE,CAAC;QACzD,OAAO,IAAI,CAAC,OAAO,CAAC,QAAQ,CAAC,IAAI,EAAE,CAAC,CAAC;IACvC,CAAC;IAED,OAAO,cAAc,CAAC;AACxB,CAAC;AAED,MAAM,UAAU,cAAc,CAAC,QAAgB;IAC7C,OAAO,IAAI,CAAC,UAAU,CAAC,QAAQ,CAAC,CAAC,CAAC,CAAC,QAAQ,CAAC,CAAC,CAAC,IAAI,CAAC,OAAO,CAAC,UAAU,EAAE,EAAE,QAAQ,CAAC,CAAC;AACrF,CAAC;AAED,MAAM,UAAU,SAAS;IACvB,IAAI,YAAY,EAAE,CAAC;QACjB,OAAO,YAAY,CAAC;IACtB,CAAC;IAED,YAAY,GAAG;QACb,OAAO,EAAE;YACP,SAAS,EAAE,MAAM,CAAC,6BAA6B,EAAE,oBAAoB,CAAC;YACtE,aAAa,EAAE,MAAM,CACnB,iCAAiC,EACjC,wBAAwB,CACzB;YACD,QAAQ,EAAE,YAAY,CAAC,WAAW,EAAE,MAAM,CAAC,WAAW,EAAE,GAAG,CAAC,EAAE,CAAC,CAAC;YAChE,YAAY,EAAE,YAAY,CAAC,eAAe,EAAE,MAAM,CAAC,eAAe,EAAE,GAAG,CAAC,EAAE,CAAC,CAAC;YAC5E,iBAAiB,EAAE,YAAY,CAC7B,qBAAqB,EACrB,MAAM,CAAC,qBAAqB,EAAE,GAAG,CAAC,EAClC,CAAC,CACF;YACD,eAAe,EAAE,MAAM,CACrB,8BAA8B,EAC9B,4BAA4B,CAC7B;YACD,YAAY,EAAE,MAAM,CAClB,uBAAuB,EACvB,uCAAuC,CACxC;YACD,gBAAgB,EAAE,MAAM,CACtB,oBAAoB,EACpB,0CAA0C,CAC3C;YACD,oBAAoB,EAAE,MAAM,CAC1B,wBAAwB,EACxB,8CAA8C,CAC/C;YACD,wBAAwB,EAAE,MAAM,CAC9B,6BAA6B,EAC7B,mDAAmD,CACpD;YACD,4BAA4B,EAAE,MAAM,CAClC,iCAAiC,EACjC,uDAAuD,CACxD;YACD,iBAAiB,EAAE,MAAM,CACvB,qBAAqB,EACrB,4CAA4C,CAC7C;YACD,eAAe,EAAE,MAAM,CACrB,mBAAmB,EACnB,kCAAkC,CACnC;YACD,cAAc,EAAE,CAAC,GAAwB,EAAE;gBACzC,MAAM,CAAC,GAAG,MAAM,CAAC,iBAAiB,EAAE,OAAO,CAAC,CAAC;gBAC7C,IAAI,CAAC,KAAK,OAAO,IAAI,CAAC,KAAK,SAAS,EAAE,CAAC;oBACrC,MAAM,IAAI,KAAK,CAAC,6DAA6D,CAAC,GAAG,CAAC,CAAC;gBACrF,CAAC;gBACD,OAAO,CAAC,CAAC;YACX,CAAC,CAAC,EAAE;YACJ,kBAAkB,EAAE,MAAM,CAAC,sBAAsB,EAAE,QAAQ,CAAC;YAC5D,uBAAuB,EAAE,GAAG,GAAG,IAAI,GAAG,IAAI;YAC1C,wBAAwB,EAAE,MAAM;SACjC;QACD,MAAM,EAAE;YACN,gBAAgB,EAAE,MAAM,CACtB,oBAAoB,EACpB,kCAAkC,CACnC;YACD,eAAe,EAAE,MAAM,CAAC,kBAAkB,EAAE,OAAO,CAAC;YACpD,WAAW,EAAE,gBAAgB,CAC3B,MAAM,CAAC,eAAe,EAAE,mCAAmC,CAAC,CAC7D;YACD,aAAa,EAAE,gBAAgB,CAC7B,MAAM,CACJ,iBAAiB,EACjB,sDAAsD,CACvD,CACF;YACD,iBAAiB,EAAE,gBAAgB,CACjC,MAAM,CACJ,sBAAsB,EACtB,iEAAiE,CAClE,CACF;YACD,iBAAiB,EAAE,YAAY,CAC7B,qBAAqB,EACrB,MAAM,CAAC,qBAAqB,EAAE,MAAM,CAAC,EACrC,IAAI,CACL;SACF;QACD,SAAS,EAAE,YAAY,CAAC,MAAM,CAAC,YAAY,EAAE,OAAO,CAAC,CAAC;KACvD,CAAC;IAEF,OAAO,YAAY,CAAC;AACtB,CAAC"}
+{"version":3,"file":"config.js","sourceRoot":"","sources":["../src/config.ts"],"names":[],"mappings":"AAAA,OAAO,IAAI,MAAM,WAAW,CAAC;AAC7B,OAAO,EAAE,aAAa,EAAE,MAAM,UAAU,CAAC;AAIzC,IAAI,YAAmC,CAAC;AACxC,MAAM,SAAS,GAAG,IAAI,CAAC,OAAO,CAAC,aAAa,CAAC,MAAM,CAAC,IAAI,CAAC,GAAG,CAAC,CAAC,CAAC;AAC/D,MAAM,cAAc,GAAG,IAAI,CAAC,OAAO,CAAC,SAAS,EAAE,IAAI,CAAC,CAAC;AAErD,SAAS,MAAM,CAAC,IAAY,EAAE,QAAiB;IAC7C,MAAM,KAAK,GAAG,OAAO,CAAC,GAAG,CAAC,IAAI,CAAC,CAAC;IAChC,IAAI,KAAK,KAAK,SAAS,IAAI,KAAK,CAAC,IAAI,EAAE,CAAC,MAAM,GAAG,CAAC,EAAE,CAAC;QACnD,OAAO,KAAK,CAAC,IAAI,EAAE,CAAC;IACtB,CAAC;IACD,IAAI,QAAQ,KAAK,SAAS,EAAE,CAAC;QAC3B,OAAO,QAAQ,CAAC;IAClB,CAAC;IACD,MAAM,IAAI,KAAK,CAAC,wCAAwC,IAAI,GAAG,CAAC,CAAC;AACnE,CAAC;AAED,SAAS,YAAY,CAAC,KAAa;IACjC,OAAO,CAAC,GAAG,EAAE,MAAM,EAAE,KAAK,EAAE,IAAI,CAAC,CAAC,QAAQ,CAAC,KAAK,CAAC,IAAI,EAAE,CAAC,WAAW,EAAE,CAAC,CAAC;AACzE,CAAC;AAED,SAAS,YAAY,CAAC,IAAY,EAAE,KAAa,EAAE,QAAgB;IACjE,MAAM,MAAM,GAAG,MAAM,CAAC,QAAQ,CAAC,KAAK,EAAE,EAAE,CAAC,CAAC;IAC1C,IAAI,MAAM,CAAC,KAAK,CAAC,MAAM,CAAC,IAAI,MAAM,IAAI,CAAC,EAAE,CAAC;QACxC,MAAM,IAAI,KAAK,CAAC,8BAA8B,IAAI,MAAM,KAAK,IAAI,CAAC,CAAC;IACrE,CAAC;IACD,OAAO,MAAM,IAAI,QAAQ,CAAC;AAC5B,CAAC;AAED,SAAS,gBAAgB,CAAC,GAAW;IACnC,OAAO,GAAG,CAAC,QAAQ,CAAC,GAAG,CAAC,CAAC,CAAC,CAAC,GAAG,CAAC,CAAC,CAAC,GAAG,GAAG,GAAG,CAAC;AAC7C,CAAC;AAED,MAAM,UAAU,UAAU;IACxB,MAAM,QAAQ,GAAG,OAAO,CAAC,GAAG,CAAC,gBAAgB,CAAC;IAC9C,IAAI,QAAQ,KAAK,SAAS,IAAI,QAAQ,CAAC,IAAI,EAAE,CAAC,MAAM,GAAG,CAAC,EAAE,CAAC;QACzD,OAAO,IAAI,CAAC,OAAO,CAAC,QAAQ,CAAC,IAAI,EAAE,CAAC,CAAC;IACvC,CAAC;IAED,OAAO,cAAc,CAAC;AACxB,CAAC;AAED,MAAM,UAAU,cAAc,CAAC,QAAgB;IAC7C,OAAO,IAAI,CAAC,UAAU,CAAC,QAAQ,CAAC,CAAC,CAAC,CAAC,QAAQ,CAAC,CAAC,CAAC,IAAI,CAAC,OAAO,CAAC,UAAU,EAAE,EAAE,QAAQ,CAAC,CAAC;AACrF,CAAC;AAED,MAAM,UAAU,SAAS;IACvB,IAAI,YAAY,EAAE,CAAC;QACjB,OAAO,YAAY,CAAC;IACtB,CAAC;IAED,YAAY,GAAG;QACb,OAAO,EAAE;YACP,SAAS,EAAE,MAAM,CAAC,6BAA6B,EAAE,oBAAoB,CAAC;YACtE,aAAa,EAAE,MAAM,CACnB,iCAAiC,EACjC,wBAAwB,CACzB;YACD,iBAAiB,EAAE,YAAY,CAC7B,qBAAqB,EACrB,MAAM,CAAC,qBAAqB,EAAE,GAAG,CAAC,EAClC,CAAC,CACF;YACD,eAAe,EAAE,MAAM,CACrB,8BAA8B,EAC9B,4BAA4B,CAC7B;YACD,YAAY,EAAE,MAAM,CAClB,uBAAuB,EACvB,uCAAuC,CACxC;YACD,gBAAgB,EAAE,MAAM,CACtB,oBAAoB,EACpB,0CAA0C,CAC3C;YACD,oBAAoB,EAAE,MAAM,CAC1B,wBAAwB,EACxB,8CAA8C,CAC/C;YACD,wBAAwB,EAAE,MAAM,CAC9B,6BAA6B,EAC7B,mDAAmD,CACpD;YACD,4BAA4B,EAAE,MAAM,CAClC,iCAAiC,EACjC,uDAAuD,CACxD;YACD,iBAAiB,EAAE,MAAM,CACvB,qBAAqB,EACrB,4CAA4C,CAC7C;YACD,eAAe,EAAE,MAAM,CACrB,mBAAmB,EACnB,kCAAkC,CACnC;YACD,cAAc,EAAE,CAAC,GAAwB,EAAE;gBACzC,MAAM,CAAC,GAAG,MAAM,CAAC,iBAAiB,EAAE,OAAO,CAAC,CAAC;gBAC7C,IAAI,CAAC,KAAK,OAAO,IAAI,CAAC,KAAK,SAAS,EAAE,CAAC;oBACrC,MAAM,IAAI,KAAK,CAAC,6DAA6D,CAAC,GAAG,CAAC,CAAC;gBACrF,CAAC;gBACD,OAAO,CAAC,CAAC;YACX,CAAC,CAAC,EAAE;YACJ,kBAAkB,EAAE,MAAM,CAAC,sBAAsB,EAAE,QAAQ,CAAC;YAC5D,uBAAuB,EAAE,GAAG,GAAG,IAAI,GAAG,IAAI;YAC1C,wBAAwB,EAAE,MAAM;SACjC;QACD,MAAM,EAAE;YACN,gBAAgB,EAAE,MAAM,CACtB,oBAAoB,EACpB,kCAAkC,CACnC;YACD,WAAW,EAAE,gBAAgB,CAC3B,MAAM,CAAC,eAAe,EAAE,mCAAmC,CAAC,CAC7D;YACD,aAAa,EAAE,gBAAgB,CAC7B,MAAM,CACJ,iBAAiB,EACjB,sDAAsD,CACvD,CACF;YACD,iBAAiB,EAAE,gBAAgB,CACjC,MAAM,CACJ,sBAAsB,EACtB,iEAAiE,CAClE,CACF;YACD,iBAAiB,EAAE,YAAY,CAC7B,qBAAqB,EACrB,MAAM,CAAC,qBAAqB,EAAE,MAAM,CAAC,EACrC,IAAI,CACL;SACF;QACD,SAAS,EAAE,YAAY,CAAC,MAAM,CAAC,YAAY,EAAE,OAAO,CAAC,CAAC;KACvD,CAAC;IAEF,OAAO,YAAY,CAAC;AACtB,CAAC"}

package/dist/types.d.ts

@@ -7,8 +7,6 @@ export interface AppConfig {
     backend: {
         docsIndex: string;
         entitiesIndex: string;
-        docsHits: number;
-        entitiesHits: number;
         maxContextRecords: number;
         upstreamRepoDir: string;
         checkoutFile: string;
@@ -25,7 +23,6 @@ export interface AppConfig {
     };
     prompt: {
         systemPromptFile: string;
-        defaultLanguage: string;
         siteBaseUrl: string;
         manualBaseUrl: string;
         crossCheckBaseUrl: string;

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@shiftleftpt/sbd-toe-mcp",
-  "version": "0.1.0",
+  "version": "0.2.16",
   "license": "Apache-2.0",
   "description": "MCP server for SbD-ToE security manual — structured tools for Claude, GitHub Copilot and other MCP clients",
   "keywords": ["mcp", "security", "sbd", "toe", "devsecops", "claude", "copilot", "llm"],
@@ -18,7 +18,23 @@
     "sbd-toe-mcp": "./dist/index.js"
   },
   "files": [
-    "dist/",
+    "dist/backend",
+    "dist/config.js",
+    "dist/config.d.ts",
+    "dist/config.js.map",
+    "dist/index.js",
+    "dist/index.d.ts",
+    "dist/index.js.map",
+    "dist/orchestrator",
+    "dist/prompt",
+    "dist/release",
+    "dist/resources",
+    "dist/tools",
+    "dist/types.js",
+    "dist/types.d.ts",
+    "dist/types.js.map",
+    "dist/upstream",
+    "dist/validators",
     "data/publish/",
     "data/reports/run_manifest.json",
     "prompts/",

package/dist/backend/semantic-index-gateway.test.d.ts

@@ -1 +0,0 @@
-export {};