npm - @the-bearded-bear/claude-craft - Versions diffs - 7.14.0 → 7.15.0 - Mend

@the-bearded-bear/claude-craft 7.14.0 → 7.15.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (13) hide show

package/Dev/i18n/base/Common/skills/parallel-worktrees/SKILL.md +49 -0
package/Dev/i18n/de/Common/rules/11-security.md +63 -3
package/Dev/i18n/de/Common/rules/12-context-management.md +253 -0
package/Dev/i18n/en/Common/rules/11-security.md +66 -3
package/Dev/i18n/en/Common/rules/12-context-management.md +319 -0
package/Dev/i18n/es/Common/rules/11-security.md +63 -3
package/Dev/i18n/es/Common/rules/12-context-management.md +253 -0
package/Dev/i18n/fr/Common/rules/11-security.md +63 -3
package/Dev/i18n/fr/Common/rules/12-context-management.md +303 -0
package/Dev/i18n/pt/Common/rules/11-security.md +63 -3
package/Dev/i18n/pt/Common/rules/12-context-management.md +253 -0
package/README.md +7 -6
package/package.json +1 -1

package/Dev/i18n/base/Common/skills/parallel-worktrees/SKILL.md ADDED Viewed

@@ -0,0 +1,49 @@
+---
+name: parallel-worktrees
+description: Parallel git worktrees for concurrent Claude Code sessions. Use when working on multiple features or writer/reviewer workflows.
+allowed-tools:
+  - Read
+  - Glob
+  - Grep
+  - Bash
+triggers:
+  files: []
+  keywords:
+    - worktree
+    - parallel
+    - concurrent
+    - writer
+    - reviewer
+    - multi-session
+    - productivity
+auto_suggest: true
+---
+# Parallel Worktrees
+This skill provides guidance for running multiple Claude Code sessions concurrently using git worktrees.
+See ../../rules/12-context-management.md for detailed documentation.
+## Quick Reference
+### Setup
+```bash
+git worktree add ../feature-name feature/branch-name
+cd ../feature-name && claude
+```
+### Writer/Reviewer Pattern
+| Terminal | Role | Command |
+|----------|------|---------|
+| Terminal 1 | Writer | `cd ../feature-auth && claude "Implement feature"` |
+| Terminal 2 | Reviewer | `cd ../review-auth && claude "Review the code"` |
+### Best Practices
+- 3-5 worktrees maximum
+- One worktree = one task
+- Remove completed worktrees
+- Never share sessions between worktrees

package/Dev/i18n/de/Common/rules/11-security.md CHANGED Viewed

@@ -21,7 +21,8 @@ Sicherheit hat **absolute Priorität**. Dieses Dokument stellt die allgemeinen S
 5. [Sensible Daten](#sensible-daten)
 6. [Sicherheitsheader](#sicherheitsheader)
 7. [Logging und Monitoring](#logging-und-monitoring)
-8. [Checkliste](#checkliste)
+8. [MCP- & Plugin-Sicherheit](#mcp---plugin-sicherheit)
+9. [Checkliste](#checkliste)
 ---
@@ -488,6 +489,65 @@ Kritische Warnungen:
 ---
+## MCP- & Plugin-Sicherheit
+### Risiken von Drittanbieter-MCP-Servern
+> **Warnung:** Sicherheitsforschung (Snyk, 2026) hat 76 boesartige Payloads in oeffentlichen MCP-Server-Registern identifiziert. Unueberprufte MCP-Server von Drittanbietern stellen ein erhebliches Risiko dar.
+```
+RISIKEN:
+- Befehlsinjektion ueber MCP-Parameter
+- Datenexfiltration (Dateien, Geheimnisse, Kontext)
+- Ausfuehrung beliebigen Codes auf dem Host-Rechner
+- Privilegieneskalation ueber freigegebene Tools
+SCHUTZ:
+- Eigene MCP-Server bevorzugen
+- Quellcode vor der Installation von Drittanbieter-Servern auditieren
+- Berechtigungen einschraenken (Tools-Allowlist)
+- PreToolUse-Hook verwenden, um gefaehrliche Muster zu blockieren
+```
+### MCP/Plugin-Pruefungscheckliste
+Vor der Installation eines MCP-Servers von Drittanbietern:
+- [ ] Quellcode verfuegbar und auditierbar
+- [ ] Verifizierter Autor/Organisation
+- [ ] Kein unbegruendeter Netzwerkzugriff
+- [ ] Kein Lesen sensibler Dateien (.env, Geheimnisse)
+- [ ] Minimale Berechtigungen (Prinzip der geringsten Privilegien)
+- [ ] Fixierte Version (nicht `latest`)
+- [ ] Changelog und Sicherheitshistorie
+### PreToolUse-Hook fuer Sicherheit
+```json
+{
+  "hooks": {
+    "PreToolUse": [
+      {
+        "matcher": "Bash",
+        "command": "echo '$TOOL_INPUT' | grep -qE '(curl|wget).*\\.(sh|py|rb)' && echo 'BLOCKED: suspicious download' && exit 1 || exit 0"
+      }
+    ]
+  }
+}
+```
+### CLAUDE.md vs Hooks
+| Mechanismus | Staerke | Verwendung |
+|-------------|---------|------------|
+| **CLAUDE.md** | Vorschlag | Richtlinien, Konventionen |
+| **Rules** | Starker Vorschlag | Detaillierte Regeln |
+| **Hooks** | Durchsetzung | Effektive Blockierung, automatische Validierung |
+> **Regel:** CLAUDE.md = Vorschlaege. Hooks = Anforderungen.
+---
 ## Checkliste
 ### Entwicklung
@@ -535,6 +595,6 @@ Kritische Warnungen:
 ---
-**Datum der letzten Aktualisierung:** 2025-01
-**Version:** 1.0.0
+**Letzte Aktualisierung:** 2026-02
+**Version:** 1.1.0
 **Autor:** The Bearded CTO

package/Dev/i18n/de/Common/rules/12-context-management.md ADDED Viewed

@@ -0,0 +1,253 @@
+# Kontextverwaltung
+## Ueberblick
+Das Kontextfenster ist **DIE kritische Ressource** in Claude Code. Jeder Token zaehlt. Effektive Kontextverwaltung ist der Unterschied zwischen einem produktiven Assistenten und einem, der den Faden verliert.
+> **Quelle:** Anthropic Best Practice #1 — "The context window is the single most important resource to manage."
+**Prinzipien:**
+- Kontext ist eine endliche und wertvolle Ressource
+- CLAUDE.md und Regeln konkurrieren um die Aufmerksamkeit des Modells
+- Sub-Agents fuer Untersuchungen verwenden
+- Kontext zwischen Aufgaben bereinigen
+---
+## Inhaltsverzeichnis
+1. [CLAUDE.md Groessenregeln](#claudemd-groessenregeln)
+2. [Kontextbereinigung](#kontextbereinigung)
+3. [Sub-Agents fuer Untersuchungen](#sub-agents-fuer-untersuchungen)
+4. [Context Compaction](#context-compaction)
+5. [Verifikationsschleifen](#verifikationsschleifen)
+6. [Plan Mode](#plan-mode)
+7. [Token-Tracking](#token-tracking)
+8. [Checkliste](#checkliste)
+---
+## CLAUDE.md Groessenregeln
+### Empfohlenes Limit
+> **Haupt-CLAUDE.md: maximal 150-200 Zeilen.**
+> Jede zusaetzliche Anweisung verduennt die Aufmerksamkeit auf bestehende Anweisungen.
+### Modularitaetsstrategie
+```
+.claude/
+  CLAUDE.md              <- Zusammenfassung (max. 150-200 Zeilen)
+  rules/                 <- Detaillierte Regeln (bei Bedarf geladen)
+  references/            <- Technische Dokumentation
+  skills/                <- Faehigkeiten bei Bedarf
+```
+### Best Practices
+| Praxis | Beschreibung |
+|--------|-------------|
+| **Kurze CLAUDE.md** | Ueberblick, Links zu Regeln |
+| **Modulare Regeln** | Eine Datei pro Thema in `.claude/rules/` |
+| **Separate Referenzen** | Technische Docs in `.claude/references/` |
+| **Bedarfsgesteuerte Skills** | Faehigkeiten nur bei Bedarf geladen |
+---
+## Kontextbereinigung
+### Wann `/clear` verwenden
+```
+/clear verwenden:
+- Zwischen zwei NICHT zusammenhaengenden Aufgaben
+- Nach einer langen Untersuchung
+- Wenn der Kontext 50% des Fensters uebersteigt
+- Vor dem Start eines neuen Features
+/clear NICHT verwenden:
+- Mitten in einer laufenden Aufgabe
+- Wenn vorheriger Kontext benoetigt wird
+- Direkt nach dem Laden relevanter Dateien
+```
+### Zeichen fuer Kontextverschmutzung
+- Claude wiederholt bereits gegebene Informationen
+- Antworten werden weniger praezise
+- Claude verwechselt Elemente verschiedener Aufgaben
+- Fehler nehmen trotz klarer Anweisungen zu
+---
+## Sub-Agents fuer Untersuchungen
+### Prinzip
+> **Recherchen an Sub-Agents delegieren, um den Hauptkontext sauber zu halten.**
+Sub-Agents (Task-Tool) haben ihr eigenes Kontextfenster. Die Verwendung eines Sub-Agents zur Codebase-Erkundung vermeidet die Verschmutzung des Hauptkontexts.
+### Wann einen Sub-Agent verwenden
+| Situation | Aktion |
+|-----------|--------|
+| Bestimmte Datei/Muster suchen | Glob/Grep direkt |
+| Unbekannte Architektur erkunden | Explore Sub-Agent |
+| Multi-Datei-Untersuchung (> 3) | Explore Sub-Agent |
+| Implementierung planen | Plan Sub-Agent |
+| Unabhaengige parallele Aufgabe | General-Purpose Sub-Agent |
+---
+## Context Compaction
+### Funktionsweise
+Claude Code kompaktiert den Kontext automatisch, wenn er sich den Fenstergrenzen naehert. Aeltere Nachrichten werden zusammengefasst.
+### Re-Injektions-Hooks
+Den `SessionStart`-Hook mit dem `compact`-Matcher verwenden, um kritischen Kontext nach einer Kompaktierung erneut einzufuegen:
+```json
+{
+  "hooks": {
+    "SessionStart": [
+      {
+        "matcher": "compact",
+        "command": "cat .claude/context-essentials.md"
+      }
+    ]
+  }
+}
+```
+---
+## Verifikationsschleifen
+### Prinzip
+> **Immer Verifikationsmittel bereitstellen: Tests, Screenshots, erwartete Ausgaben.**
+> Quelle: "2-3x improvement in final result quality" (Anthropic)
+### Muster: Spezifikation-Implementierung-Verifikation
+```
+1. SPEZIFIKATION
+   -> Erwartetes Verhalten definieren
+   -> Input/Output-Beispiele bereitstellen
+   -> Tests zuerst schreiben (TDD)
+2. IMPLEMENTIERUNG
+   -> Loesung kodieren
+3. VERIFIKATION
+   -> Tests ausfuehren
+   -> Mit erwarteten Ausgaben vergleichen
+   -> Bei Bedarf korrigieren
+```
+---
+## Plan Mode
+### Wann in Planung investieren
+| Situation | Aktion |
+|-----------|--------|
+| Einfacher Bug, 1 Datei | Direkt beheben |
+| Einfaches Feature, < 3 Dateien | Direkt implementieren |
+| Komplexes Feature, > 3 Dateien | Plan Mode |
+| Architektur-Refactoring | Plan Mode |
+| Technologiewahl | Plan Mode |
+| Unsichere Auswirkungen | Plan Mode |
+---
+## Token-Tracking
+### Aktionsschwellen
+| Kontext verwendet | Aktion |
+|-------------------|--------|
+| < 30% | Normal, weiterarbeiten |
+| 30-60% | Ueberwachen, unnoetige Lesevorgaenge vermeiden |
+| 60-80% | An Sub-Agents delegieren, /clear erwaegen |
+| > 80% | Kompaktierung steht bevor, kritischen Kontext sichern |
+---
+## Parallele Worktrees
+### Prinzip
+> **"Single biggest productivity unlock"** — Boris Cherny (Anthropic)
+`git worktree` verwenden, um gleichzeitig an mehreren Branches mit unabhaengigen Claude-Sessions zu arbeiten.
+### Setup
+```bash
+git worktree add ../feature-auth feature/auth
+cd ../feature-auth && claude
+```
+### Writer/Reviewer-Muster
+```
+Terminal 1 (Writer):
+  cd ../feature-auth
+  claude "JWT-Authentifizierung implementieren"
+Terminal 2 (Reviewer):
+  cd ../review-auth
+  claude "Authentifizierungscode ueberpruefen"
+```
+### Empfehlungen
+- Maximal 3-5 Worktrees
+- Ein Worktree = eine Aufgabe
+- Abgeschlossene Worktrees entfernen
+- Keine Sessions zwischen Worktrees teilen
+---
+## Checkliste
+### Vor jeder Session
+- [ ] CLAUDE.md < 200 Zeilen
+- [ ] Modulare Regeln in `.claude/rules/`
+- [ ] Sauberer Kontext
+### Waehrend der Session
+- [ ] Kontext-% ueberwachen
+- [ ] Untersuchungen an Sub-Agents delegieren
+- [ ] `/clear` zwischen unzusammenhaengenden Aufgaben
+- [ ] Tests/erwartete Ausgaben bereitstellen
+### Fuer komplexe Aufgaben
+- [ ] Plan Mode verwenden
+- [ ] In Teilaufgaben zerlegen
+- [ ] Worktrees fuer Parallelismus
+- [ ] Verifikationsschleifen
+---
+## Ressourcen
+- **Anthropic Best Practices:** [docs.anthropic.com](https://docs.anthropic.com/en/docs/claude-code/overview)
+- **Boris Cherny Workflow:** Parallele Worktrees + Verifikationsschleifen
+- **Claude Code Kontextverwaltung:** Context Compaction, `/clear`, Sub-Agents
+---
+**Letzte Aktualisierung:** 2026-02
+**Version:** 1.0.0
+**Autor:** The Bearded CTO

package/Dev/i18n/en/Common/rules/11-security.md CHANGED Viewed

@@ -21,7 +21,8 @@ Security is an **absolute priority**. This document presents the general securit
 5. [Sensitive Data](#sensitive-data)
 6. [Security Headers](#security-headers)
 7. [Logging and Monitoring](#logging-and-monitoring)
-8. [Checklist](#checklist)
+8. [MCP & Plugin Security](#mcp--plugin-security)
+9. [Checklist](#checklist)
 ---
@@ -488,6 +489,68 @@ Critical alerts:
 ---
+## MCP & Plugin Security
+### Risks of Third-party MCP Servers
+> **Alert:** Security research (Snyk, 2026) identified 76 malicious payloads in public MCP server registries. Unvetted third-party MCP servers represent a significant risk.
+```
+RISKS:
+- Command injection via MCP parameters
+- Data exfiltration (files, secrets, context)
+- Arbitrary code execution on host machine
+- Privilege escalation via exposed tools
+PROTECTION:
+- Prefer writing your own MCP servers
+- Audit source code before installing third-party servers
+- Limit permissions (tools allowlist)
+- Use PreToolUse hook to block dangerous patterns
+```
+### MCP/Plugin Vetting Checklist
+Before installing a third-party MCP server:
+- [ ] Source code available and auditable
+- [ ] Verified author/organization
+- [ ] No unjustified network access
+- [ ] No reading sensitive files (.env, secrets)
+- [ ] Minimal permissions (principle of least privilege)
+- [ ] Pinned version (not `latest`)
+- [ ] Changelog and security history
+### PreToolUse Hook for Security
+Use Claude Code hooks to block dangerous patterns:
+```json
+{
+  "hooks": {
+    "PreToolUse": [
+      {
+        "matcher": "Bash",
+        "command": "echo '$TOOL_INPUT' | grep -qE '(curl|wget).*\\.(sh|py|rb)' && echo 'BLOCKED: suspicious download' && exit 1 || exit 0"
+      }
+    ]
+  }
+}
+```
+### CLAUDE.md vs Hooks
+| Mechanism | Strength | Usage |
+|-----------|----------|-------|
+| **CLAUDE.md** | Suggestion | Guidelines, conventions |
+| **Rules** | Strong suggestion | Detailed rules |
+| **Hooks** | Enforcement | Effective blocking, automatic validation |
+> **Rule:** CLAUDE.md = suggestions. Hooks = requirements.
+> For critical security constraints, use hooks, not text instructions.
+---
 ## Checklist
 ### Development
@@ -535,6 +598,6 @@ Critical alerts:
 ---
-**Last updated:** 2025-01
-**Version:** 1.0.0
+**Last updated:** 2026-02
+**Version:** 1.1.0
 **Author:** The Bearded CTO