@torus-engineering/tas-kit 1.5.0 → 1.6.0

package/.claude/commands/tas-review.md

@@ -0,0 +1,104 @@
+# /tas-review $ARGUMENTS
+
+Review code thay đổi gần nhất hoặc một file/PR cụ thể.
+Bao gồm hygiene scan, test run, và parallel multi-agent review.
+
+## Stack Detection
+Đọc `.claude/rules/common/stack-detection.md`.
+
+## Hành động
+
+### Bước 1 — Xác định scope review
+`$ARGUMENTS` có thể là: file path, Story ID, hoặc để trống (review git diff).
+- Nếu trống: lấy `git diff HEAD` (staged + unstaged) hoặc last commit
+- Nếu Story ID: tìm file Story tương ứng để lấy danh sách files đã thay đổi
+- Nếu file path: review trực tiếp file đó
+
+### Bước 2 — Pre-checks (PHẢI pass mới tiếp tục)
+
+**Hygiene scan** — scan nhanh các files trong scope:
+- Debug code còn sót: `console.log`, `print(`, `Debug.WriteLine`, `debugger`
+- Secrets hardcoded: password/key/token/secret gán bằng string literal
+- Commented-out code block lớn (>5 dòng) không có comment lý do
+
+→ Nếu có blocker: liệt kê ngay, yêu cầu fix trước khi tiếp tục.
+
+**Run tests** — detect từ project structure:
+- `package.json` → `npm test`
+- `*.csproj` / `*.sln` → `dotnet test`
+- `pytest.ini` / `pyproject.toml` → `python -m pytest`
+
+→ Nếu fail: dừng, list lỗi, KHÔNG tiếp tục review.
+→ Nếu không detect được: ghi chú "No test runner detected" và tiếp tục.
+
+### Bước 3 — Parallel Multi-Agent Review
+
+Launch các agents ĐỒNG THỜI (không chờ nhau):
+
+**Agent 1 — `code-reviewer`** (luôn chạy):
+> Review [scope]. Đọc `.tas/checklists/code-review.md` và `.claude/rules/common/code-review.md`.
+> Tập trung: naming, architecture alignment, error handling, DRY, function size, nesting depth.
+> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và fix cụ thể.
+
+**Agent 2 — `security-reviewer`** (luôn chạy):
+> Security audit [scope]. Đọc `.claude/rules/common/security.md`.
+> Tập trung: OWASP Top 10, injection, hardcoded secrets, auth/authz, data exposure.
+> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và remediation.
+
+**Agent 3 — Language reviewer** (dựa theo `lang_agent` từ stack detection):
+> Language-specific review [scope].
+> Đọc `.claude/rules/[stack]/coding-style.md` và `.claude/rules/[stack]/patterns.md`.
+> Tập trung: async/await patterns, null handling, type safety, anti-patterns đặc thù của stack.
+> Format: findings theo Critical / High / Medium / Low với file:line.
+
+**Agent 4 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
+> AWS infrastructure review [scope].
+> Tập trung: IAM policies, secrets trong env/config, S3 permissions, Lambda security.
+> Format: findings theo Critical / High / Medium / Low.
+
+Chờ TẤT CẢ agents hoàn thành, sau đó tổng hợp.
+
+### Bước 4 — Tổng hợp kết quả
+
+Gộp findings từ tất cả agents, deduplicate (cùng file:line từ nhiều agent → gộp lại), sort theo severity:
+
+```
+## Review Summary
+
+### Critical (phải fix trước khi merge)
+- [file:line] Issue — Fix: ...
+
+### High (nên fix trước khi merge)
+- [file:line] Issue — Fix: ...
+
+### Medium (cân nhắc fix)
+- [file:line] Issue — Fix: ...
+
+### Low / Info (optional)
+- [file:line] Issue — Fix: ...
+```
+
+## Sau khi review
+
+**Nếu có Critical/High:**
+→ Liệt kê rõ, yêu cầu human fix. KHÔNG tiếp tục flow.
+
+**Nếu chỉ có Medium/Low:**
+→ List gợi ý, hỏi human có muốn fix không, sau đó tiếp tục.
+
+**Khi human xác nhận đã fix:**
+1. Tick `- [x] Code review passed` trong section `## Definition of Done` của Story
+2. Hỏi: "Bạn đã tự test lại ở local chưa? Nếu OK, có muốn chuyển ticket sang Deploy Test không?"
+3. Nếu Yes:
+   a. Cập nhật `Status:` trong Story → `Deploy Test`
+   b. Thêm dòng Changelog trong Story: ngày, "Code review passed, moved to Deploy Test"
+   c. Cập nhật `Status:` trong Feature cha → `In Progress`, update bảng Stories
+   d. Thêm Changelog trong Feature
+   e. Cập nhật `project-status.yaml`
+   f. Gợi ý: chạy `/ado-update story <ado-id> --status "Deploy Test"` nếu dùng ADO
+
+## Nguyên tắc
+- Review khách quan — chỉ ra file:line cụ thể và lý do
+- Đề xuất fix cụ thể, không chỉ nói "code xấu"
+- Check xem code có vi phạm ADR nào không (đọc từ Technical Notes trong Story)
+- KHÔNG tự động chuyển status mà không có xác nhận của human

package/.claude/commands/tas-sad.md

@@ -1,4 +1,4 @@
-# /tas-sad $ARGUMENTS
+# /tas-sad $ARGUMENTS
 
 Vai trò: SE - Software Engineer
 Tạo hoặc cập nhật Solution Architecture Document.
@@ -15,6 +15,7 @@ Tạo hoặc cập nhật Solution Architecture Document.
 ### Chế độ CREATE (file chưa tồn tại):
 5. Cần context từ .tas/templates/SAD.md
 6. Tạo file docs/sad.md theo template SAD của Torus
+7. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — thêm `artifacts.sad`.
 
 ### Chế độ UPDATE (file đã tồn tại):
 5. Cần context từ docs/sad.md hiện tại
@@ -22,6 +23,7 @@ Tạo hoặc cập nhật Solution Architecture Document.
 7. Cập nhật file, giữ nguyên các section không thay đổi
 8. Thêm dòng vào section Changelog cuối file
 9. Nếu thay đổi là quyết định kiến trúc quan trọng, gợi ý user chạy /tas-adr
+10. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — cập nhật `artifacts.sad`.
 
 ## Quy tắc Mermaid
 - Các sơ đồ C4 PHẢI dùng Mermaid flow diagram

package/.claude/commands/tas-security.md

@@ -0,0 +1,80 @@
+# /tas-security $ARGUMENTS
+
+Kiểm tra bảo mật codebase, lưu báo cáo vào docs/security-report.md.
+
+## Stack Detection
+Đọc `.claude/rules/common/stack-detection.md`.
+
+## Hành động
+
+### Bước 1 — Xác định scope
+`$ARGUMENTS` có thể là: file path, directory, hoặc để trống (scan toàn bộ codebase).
+Đọc `.tas/checklists/security.md` để lấy checklist.
+
+### Bước 2 — Parallel Security Scan
+
+Launch các agents ĐỒNG THỜI dựa theo stack:
+
+**Agent 1 — `security-reviewer`** (luôn chạy):
+> Security audit [scope].
+> Đọc `.claude/rules/common/security.md`.
+> Kiểm tra OWASP Top 10: injection, broken auth, XSS, IDOR, security misconfiguration,
+> sensitive data exposure, insecure deserialization, vulnerable components, logging/monitoring.
+> Kiểm tra thêm: hardcoded secrets, CORS config, anti-forgery tokens, rate limiting.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation cụ thể.
+> Mỗi finding có: status = Open.
+
+**Agent 2 — `database-reviewer`** (chỉ khi `db_agent = database-reviewer`):
+> Database security review [scope].
+> Tập trung: parameterized queries vs string concatenation, ORM raw query usage,
+> sensitive data stored in plaintext, missing field-level encryption, excessive permissions.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
+
+**Agent 3 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
+> AWS infrastructure security review [scope].
+> Tập trung: IAM overpermission, S3 public access, secrets trong env/config/code,
+> Lambda environment variables, API Gateway auth, VPC security groups.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
+
+Chờ TẤT CẢ agents hoàn thành.
+
+### Bước 3 — Tổng hợp và lưu báo cáo
+
+Gộp findings từ tất cả agents, deduplicate (cùng file:line → gộp), sort theo severity.
+
+Kiểm tra `docs/security-report.md`:
+- **Chưa có**: tạo mới theo template `.tas/templates/Security-Report.md`
+- **Đã có**: append report mới, cập nhật status findings cũ nếu đã được fix
+
+Nội dung report bao gồm:
+- Scan date, scope, stack
+- Findings theo Critical / High / Medium / Low
+- Mỗi finding: file:line, mô tả, remediation, status (Open / Fixed / Accepted Risk)
+- Summary: tổng số findings mỗi severity, số đã fix vs còn open
+
+### Bước 4 — Cập nhật project-status.yaml
+
+```yaml
+artifacts:
+  security_report:
+    file: docs/security-report.md
+    status: [Critical findings present | Clean]
+    last_updated: [ngày hôm nay]
+```
+
+### Bước 5 — Hành động tiếp theo
+
+Nếu có **Critical findings**:
+→ Liệt kê rõ, yêu cầu fix ngay trước khi deploy bất kỳ môi trường nào.
+
+Nếu có **High findings**:
+→ Liệt kê, khuyến nghị fix trước khi merge vào main.
+
+Nếu chỉ có **Medium/Low**:
+→ Tóm tắt, gợi ý fix theo thứ tự ưu tiên.
+
+## Nguyên tắc
+- Phân loại: Critical / High / Medium / Low
+- Mỗi finding phải có recommended fix cụ thể
+- Finding có status: Open | In Progress | Fixed | Accepted Risk
+- KHÔNG hardcode fix — đề xuất remediation pattern, không viết code thay thế

package/.claude/commands/tas-spec.md

@@ -0,0 +1,50 @@
+# /tas-spec $ARGUMENTS
+
+Tạo lightweight spec trước khi code — cho solo dev, prototype, spike, internal tool.
+Khác với `/tas-fix`: có spec document, phù hợp task > 2 giờ hoặc cần track AC.
+
+## Steps
+
+### 1 — Thu thập thông tin
+`$ARGUMENTS` là mô tả task. Nếu chưa đủ rõ, hỏi tối đa 3 câu:
+- **Goal**: Build cái gì? Giải quyết vấn đề gì?
+- **AC**: Done trông như thế nào? (2-5 criteria cụ thể, testable)
+- **Constraints**: Tech constraints, out of scope?
+
+Không hỏi nếu $ARGUMENTS đã đủ rõ.
+
+### 2 — Tạo SPEC.md
+Tạo file `SPEC.md` ở project root:
+
+```markdown
+# {Title}
+> {one-line summary}
+
+**Status:** Draft | **Date:** {today}
+
+## Goal
+{Vấn đề cần giải quyết — không phải solution}
+
+## Acceptance Criteria
+- [ ] {Given/When/Then hoặc testable statement}
+- [ ] ...
+
+## Out of Scope
+- {Gì sẽ không làm}
+
+## Constraints
+{Tech constraints, patterns phải follow — bỏ qua nếu không có}
+
+## Open Questions
+{Câu hỏi chưa có câu trả lời — bỏ qua nếu không có}
+```
+
+### 3 — Next step
+> "SPEC.md đã tạo.
+> - Plan kỹ hơn: `/tas-plan SPEC.md`
+> - Code ngay: `/tas-dev` (cần `require_plan: false` trong tas.yaml)"
+
+## Principles
+- SPEC.md là single source of truth — không tạo thêm file khác
+- Giữ ngắn: mục tiêu < 1 trang
+- AC > 8 items hoặc task > 1 ngày → gợi ý dùng `/tas-story` thay thế

package/.claude/commands/tas-story.md

@@ -1,50 +1,87 @@
-# /tas-story $ARGUMENTS
+# /tas-story $ARGUMENTS
 
 Vai trò: PE - Product Engineer
 Tạo mới hoặc cập nhật User Story document.
 
+**Phạm vi:** Nghiệp vụ, trải nghiệm người dùng, acceptance criteria, test cases.
+**Không thuộc phạm vi:** Kỹ thuật implement, files cần sửa, database schema — đó là việc của `/tas-plan`.
+
+## Always / Ask / Never
+
+| | Hành động |
+|---|---|
+| **Always** | Viết AC dạng Given/When/Then |
+| **Always** | Set `plan_status: pending` cho Story mới |
+| **Ask** | Khi Story > 8h — gợi ý tách nhỏ |
+| **Never** | Đọc SAD, ADR — kỹ thuật là việc của `/tas-plan` |
+
 ## Prerequisite
 - Ít nhất một Feature phải tồn tại
 
 ## Hành động
-1. Cần context từ root/tas.yaml
-2. Cần context từ .tas/templates/Story.md
-3. Xác định chế độ dựa vào $ARGUMENTS:
-
-### Chế độ CREATE ($ARGUMENTS là mô tả Story mới, hoặc không có $ARGUMENTS):
-4. Đọc project.code từ root/tas.yaml (ví dụ: "MP"). Liệt kê Features hiện có (quét docs/epics/{code}-Epic-*/{code}-Feature-*/), hỏi user Story thuộc Feature nào
-5. **Đọc đầy đủ context để trích xuất thông tin vào Story:**
-   - Đọc Feature đã chọn
-   - Đọc PRD (nếu có)
-   - Đọc SAD (nếu có)
-   - Đọc ADRs liên quan (nếu có)
-6. Quét thư mục Feature đã chọn để xác định số thứ tự Story
-7. Tạo file docs/epics/{code}-Epic-{NNN}-{slug}/{code}-Feature-{NNN}-{slug}/{code}-Story-{NNN}-{slug}.md
-8. **Story phải NHÚNG TẤT CẢ thông tin cần thiết** để SE khi coding chỉ cần đọc file Story này, KHÔNG cần đọc lại file nào khác:
-   - User story format: "As a [role], I want [goal], so that [benefit]"
-   - Acceptance criteria (Given/When/Then format)
-   - Technical notes: files cần thay đổi, patterns áp dụng, constraints từ SAD/ADR
-   - Context từ PRD (chỉ thêm section nếu có business requirements đặc biệt)
-   - Context từ SAD/ADR (chỉ thêm section nếu có architecture decisions, patterns cần tuân thủ)
-   - Prerequisites từ Feature (chỉ thêm section nếu có dependency)
-   - Unit Test Cases
-   - Definition of Done checklist
-9. **Test Case Prompting**: Sau khi PE điền acceptance criteria, TỰ ĐỘNG hỏi thêm:
-   - "Ngoài happy path, có edge case nào cần test không?" (ví dụ: input rỗng, giá trị biên, concurrent access)
-   - "Có negative case nào cần cover?" (ví dụ: unauthorized, invalid data, timeout)
-   - "Có dependency nào cần mock khi test?" (ví dụ: external API, database state)
-   Ghi tất cả vào section Unit Test Cases trong Story.
-
-### Chế độ UPDATE ($ARGUMENTS là Story ID, ví dụ: "Story-005"):
-4. Tìm file Story trong cây docs/epics/ (dùng glob)
-5. Cần context từ file Story hiện tại
-6. Hỏi user cần thay đổi gì (cập nhật AC, đổi status, thêm test cases...)
-7. Cập nhật file, thêm changelog
+
+### Chế độ CREATE ($ARGUMENTS là mô tả Story mới, hoặc không có $ARGUMENTS)
+
+**Bước 1 — Xác định Feature**
+- Đọc `project.code` từ root/`tas.yaml`
+- Ưu tiên theo thứ tự:
+  1. Nếu `$ARGUMENTS` chứa Feature ID → dùng luôn
+  2. Nếu context có `parent_id` → dùng luôn
+  3. Hỏi user: "Story này thuộc Feature nào?" — không quét thư mục
+
+**Bước 2 — Thu thập context nghiệp vụ**
+- Đọc file Feature đã xác định (lấy business context, scope, danh sách Stories hiện có)
+- Đọc PRD (nếu có) — chỉ lấy business requirements, user goals
+
+**Bước 3 — Xác định Story ID**
+- Đọc section Stories trong Feature file → xác định index tiếp theo từ danh sách đó
+- KHÔNG quét thư mục
+
+**Bước 4 — Soạn Story với user**
+
+Thảo luận để điền đầy đủ:
+
+a) **User Story**: "As a [role], I want [goal], so that [benefit]"
+
+b) **Business Requirements** (nếu có): business rules đặc thù, constraints từ stakeholders
+
+c) **Design Notes** (nếu có): UI/UX specs, mockup links, flow diagrams
+
+d) **Prerequisites** (nếu có): Stories khác phải done trước
+
+e) **Acceptance Criteria**: mỗi AC một kịch bản Given/When/Then rõ ràng
+
+**Bước 5 — Test Case Prompting**
+
+Sau khi AC được xác nhận, hỏi thêm:
+- "Ngoài happy path, có edge case nào cần test không?" (input rỗng, giá trị biên, concurrent)
+- "Có negative case nào cần cover?" (unauthorized, invalid data, timeout, not found)
+- "Có external dependency nào cần mock khi test?" (API bên ngoài, database state)
+
+Ghi tất cả vào section `## Unit Test Cases`.
+
+**Bước 6 — Tạo file**
+- Đọc `.tas/templates/Story.md` để lấy format
+- Tạo `docs/epics/{code}-Epic-{NNN}-{slug}/{code}-Feature-{NNN}-{slug}/{code}-Story-{NNN}-{slug}.md`
+- Frontmatter: `plan_status: pending`, `plan_date:` để trống
+
+**Bước 7 — Cập nhật project-status.yaml**
+Theo `.claude/rules/common/project-status.md` — thêm entry vào `epics.{EPIC_ID}.features.{FEATURE_ID}.stories`.
+
+**Bước 8 — Thông báo next step**
+> "Story đã tạo. Trước khi SE bắt đầu code, cần chạy `/tas-plan {Story-ID}` để lập kế hoạch kỹ thuật."
+
+---
+
+### Chế độ UPDATE ($ARGUMENTS là Story ID, ví dụ: "Story-005")
+
+1. Tìm file qua glob `docs/epics/**/{code}-Story-{ID}-*.md`
+2. Đọc file Story hiện tại
+3. Hỏi user cần thay đổi gì (cập nhật AC, đổi status, thêm test cases, sửa business rule...)
+4. Cập nhật file, thêm entry vào Changelog
+5. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md`.
 
 ## Nguyên tắc
-- Story phải nhỏ đủ để hoàn thành trong 1-3 ngày
-- PHẢI có acceptance criteria dạng Given/When/Then
-- **Single Source of Truth:** Story file phải chứa TẤT CẢ thông tin cần thiết từ PRD, SAD, ADR, Feature. SE khi coding chỉ cần đọc file Story-*.md, KHÔNG cần đọc lại file nào khác để tiết kiệm token.
-- Chỉ nhúng thông tin liên quan, không dư thừa - linh hoạt theo từng Story
-- Unit Test Cases PHẢI cover: happy path, edge cases, negative cases
-- Story status: New -> Committed -> In Progress -> Deploy Test -> Verify Test -> Deploy Stag -> Verify Stag -> Deploy Prod | Verify Prod -> Done
+- Story phải đủ nhỏ để hoàn thành trong **4-8 giờ**; nếu lớn hơn → tách thành nhiều Stories
+- Story file = **product artifact**: mô tả *what* và *why*, không phải *how*
+- Story status: New → Committed → In Progress → Deploy Test → Verify Test → Deploy Stag → Verify Stag → Deploy Prod → Verify Prod → Done

package/.claude/commands/tas-verify.md

@@ -14,6 +14,14 @@ Verify Feature trên môi trường Staging (Phase 2).
 4. Cần context từ file Feature hiện tại (đặc biệt section Integration Test Cases và E2E Test Cases)
 
 ### Workflow verify:
+4.5. **Launch `e2e-runner`** (nếu Feature có E2E / Acceptance Test Cases):
+> E2E verification cho Feature {ID}.
+> Đọc section `## E2E / Acceptance Test Cases` từ Feature file — list từng test case.
+> Chạy các test cases đó, báo cáo kết quả: Pass/Fail per test case với lý do nếu Fail.
+> Không tự động fix lỗi — chỉ báo cáo kết quả để PE xác nhận.
+
+Dùng kết quả từ `e2e-runner` làm input cho bước 5.
+
 5. Hiển thị checklist từ 2 section test trong Feature:
    a. **Integration Test Cases**: Liệt kê từng test case, hỏi PE kết quả (Pass/Fail)
    b. **E2E / Acceptance Test Cases**: Liệt kê từng test case, hỏi PE kết quả (Pass/Fail)

package/.claude/hooks/code-quality.js

@@ -0,0 +1,127 @@
+#!/usr/bin/env node
+/**
+ * PostToolUse Hook: Auto format/lint source files after Write/Edit/MultiEdit
+ *
+ * Detects file extension and runs the appropriate formatter using project-local tools:
+ *   .ts/.tsx/.js/.jsx  → prettier (via npx/yarn)
+ *   .py                → ruff format (preferred) or black
+ *   .cs                → dotnet format --include <file>
+ *
+ * Uses project-local binaries only — never installs packages globally.
+ * Silently skips if the tool is not installed in the project.
+ *
+ * Hook input (stdin): JSON with tool_input.file_path
+ */
+
+'use strict';
+
+const fs = require('fs');
+const path = require('path');
+const { execSync } = require('child_process');
+
+// --- Read hook input ---
+let input;
+try {
+  const raw = fs.readFileSync('/dev/stdin', 'utf8');
+  input = JSON.parse(raw);
+} catch {
+  process.exit(0);
+}
+
+const filePath = (input.tool_input || {}).file_path || '';
+if (!filePath) process.exit(0);
+
+const ext = path.extname(filePath).toLowerCase();
+const fileName = path.basename(filePath);
+
+// Skip non-source files (markdown, yaml, json config, etc.)
+const SOURCE_EXTS = new Set(['.ts', '.tsx', '.js', '.jsx', '.mjs', '.cjs', '.py', '.cs']);
+if (!SOURCE_EXTS.has(ext)) process.exit(0);
+
+// --- Helper: run command, return true on success ---
+function run(cmd, cwd) {
+  try {
+    execSync(cmd, { cwd, stdio: 'pipe' });
+    return true;
+  } catch {
+    return false;
+  }
+}
+
+// --- Helper: find repo root (where package.json / pyproject.toml / *.sln lives) ---
+function findRoot(startDir, markers) {
+  let dir = path.resolve(startDir);
+  for (let i = 0; i < 10; i++) {
+    if (markers.some(m => fs.existsSync(path.join(dir, m)))) return dir;
+    const parent = path.dirname(dir);
+    if (parent === dir) break;
+    dir = parent;
+  }
+  return null;
+}
+
+// ─── TypeScript / JavaScript ─────────────────────────────────────────────────
+if (['.ts', '.tsx', '.js', '.jsx', '.mjs', '.cjs'].includes(ext)) {
+  const root = findRoot(path.dirname(filePath), ['package.json']);
+  if (!root) process.exit(0);
+
+  const pkg = path.join(root, 'package.json');
+  let hasScript = false;
+  try {
+    const pkgJson = JSON.parse(fs.readFileSync(pkg, 'utf8'));
+    hasScript = !!(pkgJson.scripts && pkgJson.scripts.format);
+  } catch { /* ignore */ }
+
+  // Prefer project format script → npx prettier → yarn prettier
+  const formatted =
+    (hasScript && run(`npm run format -- --write "${filePath}"`, root)) ||
+    run(`npx --no-install prettier --write "${filePath}"`, root) ||
+    run(`yarn prettier --write "${filePath}"`, root);
+
+  if (formatted) {
+    console.log(`[Format] ${fileName}`);
+  }
+}
+
+// ─── Python ──────────────────────────────────────────────────────────────────
+else if (ext === '.py') {
+  const root = findRoot(path.dirname(filePath), ['pyproject.toml', 'setup.py', 'setup.cfg', 'requirements.txt']);
+  const cwd = root || path.dirname(filePath);
+
+  const formatted =
+    run(`ruff format "${filePath}"`, cwd) ||
+    run(`python -m ruff format "${filePath}"`, cwd) ||
+    run(`black "${filePath}"`, cwd) ||
+    run(`python -m black "${filePath}"`, cwd);
+
+  if (formatted) {
+    console.log(`[Format] ${fileName}`);
+  }
+}
+
+// ─── C# ──────────────────────────────────────────────────────────────────────
+else if (ext === '.cs') {
+  // Find nearest .csproj
+  function findCsproj(startDir) {
+    let dir = path.resolve(startDir);
+    for (let i = 0; i < 8; i++) {
+      const files = fs.readdirSync(dir).filter(f => f.endsWith('.csproj'));
+      if (files.length > 0) return { cwd: dir, proj: path.join(dir, files[0]) };
+      const parent = path.dirname(dir);
+      if (parent === dir) break;
+      dir = parent;
+    }
+    return null;
+  }
+
+  const result = findCsproj(path.dirname(filePath));
+  if (!result) process.exit(0);
+
+  const formatted = run(
+    `dotnet format "${result.proj}" --include "${filePath}" --no-restore`,
+    result.cwd
+  );
+  if (formatted) {
+    console.log(`[Format] ${fileName}`);
+  }
+}

package/.claude/hooks/session-end.js

@@ -0,0 +1,116 @@
+#!/usr/bin/env node
+/**
+ * Stop Hook: End-of-session verification
+ *
+ * Runs when Claude Code session ends. Performs:
+ *   1. Auto-detects test runner and runs the test suite
+ *   2. Checks if project-status.yaml was updated today
+ *   3. Prints a summary of pass/fail checks
+ *
+ * Designed to be non-blocking — all failures are reported as warnings,
+ * not hard errors, so the session can still end cleanly.
+ */
+
+'use strict';
+
+const fs = require('fs');
+const path = require('path');
+const { execSync } = require('child_process');
+
+const checks = [];
+
+// --- Helper: run command, return { ok, output } ---
+function run(cmd, cwd) {
+  try {
+    const output = execSync(cmd, { cwd, stdio: 'pipe', timeout: 60_000 }).toString();
+    return { ok: true, output };
+  } catch (err) {
+    return { ok: false, output: (err.stderr || err.stdout || err.message || '').toString() };
+  }
+}
+
+// --- Find repo root (cwd of the session) ---
+const cwd = process.cwd();
+
+// ─── 1. Run test suite ────────────────────────────────────────────────────────
+let testRan = false;
+
+// Node.js / npm
+if (fs.existsSync(path.join(cwd, 'package.json'))) {
+  let hasTestScript = false;
+  try {
+    const pkg = JSON.parse(fs.readFileSync(path.join(cwd, 'package.json'), 'utf8'));
+    hasTestScript = !!(pkg.scripts && pkg.scripts.test &&
+      pkg.scripts.test !== 'echo "Error: no test specified" && exit 1');
+  } catch { /* ignore */ }
+
+  if (hasTestScript) {
+    const result = run('npm test -- --passWithNoTests 2>&1', cwd);
+    checks.push(result.ok
+      ? '✓ Tests passed (npm test)'
+      : '✗ Tests FAILED (npm test) — fix before committing'
+    );
+    testRan = true;
+  }
+}
+
+// .NET
+if (!testRan) {
+  const csprojFiles = (() => {
+    try {
+      return fs.readdirSync(cwd).filter(f => f.endsWith('.csproj') || f.endsWith('.sln'));
+    } catch { return []; }
+  })();
+
+  if (csprojFiles.length > 0) {
+    const result = run('dotnet test --no-build --logger "console;verbosity=minimal" 2>&1', cwd);
+    checks.push(result.ok
+      ? '✓ Tests passed (dotnet test)'
+      : '✗ Tests FAILED (dotnet test) — fix before committing'
+    );
+    testRan = true;
+  }
+}
+
+// Python (pytest)
+if (!testRan) {
+  const hasPytest =
+    fs.existsSync(path.join(cwd, 'pytest.ini')) ||
+    fs.existsSync(path.join(cwd, 'pyproject.toml')) ||
+    fs.existsSync(path.join(cwd, 'setup.cfg'));
+
+  if (hasPytest) {
+    const result = run('python -m pytest -q --tb=no 2>&1', cwd);
+    checks.push(result.ok
+      ? '✓ Tests passed (pytest)'
+      : '✗ Tests FAILED (pytest) — fix before committing'
+    );
+    testRan = true;
+  }
+}
+
+// ─── 2. Check project-status.yaml updated today ──────────────────────────────
+const statusFile = path.join(cwd, 'project-status.yaml');
+if (fs.existsSync(statusFile)) {
+  const today = new Date().toISOString().split('T')[0]; // YYYY-MM-DD
+  try {
+    const content = fs.readFileSync(statusFile, 'utf8');
+    if (content.includes(today)) {
+      checks.push('✓ project-status.yaml updated today');
+    } else {
+      checks.push('⚠ project-status.yaml not updated today — run /tas-status to sync');
+    }
+  } catch {
+    checks.push('⚠ Could not read project-status.yaml');
+  }
+}
+
+// ─── 3. Remind about story status ────────────────────────────────────────────
+checks.push('→ Next: /tas-review-code before moving story to Deploy Test');
+
+// ─── Output ──────────────────────────────────────────────────────────────────
+if (checks.length > 0) {
+  console.log('\n[TAS] Session end checks:');
+  checks.forEach(c => console.log('  ' + c));
+  console.log('');
+}