@torus-engineering/tas-kit 1.6.0 → 1.8.0

package/.claude/commands/tas-review.md

@@ -1,104 +1,111 @@
-# /tas-review $ARGUMENTS
-
-Review code thay đổi gần nhất hoặc một file/PR cụ thể.
-Bao gồm hygiene scan, test run, và parallel multi-agent review.
-
-## Stack Detection
-Đọc `.claude/rules/common/stack-detection.md`.
-
-## Hành động
-
-### Bước 1 — Xác định scope review
-`$ARGUMENTS` có thể là: file path, Story ID, hoặc để trống (review git diff).
-- Nếu trống: lấy `git diff HEAD` (staged + unstaged) hoặc last commit
-- Nếu Story ID: tìm file Story tương ứng để lấy danh sách files đã thay đổi
-- Nếu file path: review trực tiếp file đó
-
-### Bước 2 — Pre-checks (PHẢI pass mới tiếp tục)
-
-**Hygiene scan** — scan nhanh các files trong scope:
-- Debug code còn sót: `console.log`, `print(`, `Debug.WriteLine`, `debugger`
-- Secrets hardcoded: password/key/token/secret gán bằng string literal
-- Commented-out code block lớn (>5 dòng) không có comment lý do
-
-→ Nếu có blocker: liệt kê ngay, yêu cầu fix trước khi tiếp tục.
-
-**Run tests** — detect từ project structure:
-- `package.json` → `npm test`
-- `*.csproj` / `*.sln` → `dotnet test`
-- `pytest.ini` / `pyproject.toml` → `python -m pytest`
-
-→ Nếu fail: dừng, list lỗi, KHÔNG tiếp tục review.
-→ Nếu không detect được: ghi chú "No test runner detected" và tiếp tục.
-
-### Bước 3 — Parallel Multi-Agent Review
-
-Launch các agents ĐỒNG THỜI (không chờ nhau):
-
-**Agent 1 — `code-reviewer`** (luôn chạy):
-> Review [scope]. Đọc `.tas/checklists/code-review.md` và `.claude/rules/common/code-review.md`.
-> Tập trung: naming, architecture alignment, error handling, DRY, function size, nesting depth.
-> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và fix cụ thể.
-
-**Agent 2 — `security-reviewer`** (luôn chạy):
-> Security audit [scope]. Đọc `.claude/rules/common/security.md`.
-> Tập trung: OWASP Top 10, injection, hardcoded secrets, auth/authz, data exposure.
-> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và remediation.
-
-**Agent 3 — Language reviewer** (dựa theo `lang_agent` từ stack detection):
-> Language-specific review [scope].
-> Đọc `.claude/rules/[stack]/coding-style.md` và `.claude/rules/[stack]/patterns.md`.
-> Tập trung: async/await patterns, null handling, type safety, anti-patterns đặc thù của stack.
-> Format: findings theo Critical / High / Medium / Low với file:line.
-
-**Agent 4 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
-> AWS infrastructure review [scope].
-> Tập trung: IAM policies, secrets trong env/config, S3 permissions, Lambda security.
-> Format: findings theo Critical / High / Medium / Low.
-
-Chờ TẤT CẢ agents hoàn thành, sau đó tổng hợp.
-
-### Bước 4 — Tổng hợp kết quả
-
-Gộp findings từ tất cả agents, deduplicate (cùng file:line từ nhiều agent → gộp lại), sort theo severity:
-
-```
-## Review Summary
-
-### Critical (phải fix trước khi merge)
-- [file:line] Issue — Fix: ...
-
-### High (nên fix trước khi merge)
-- [file:line] Issue — Fix: ...
-
-### Medium (cân nhắc fix)
-- [file:line] Issue — Fix: ...
-
-### Low / Info (optional)
-- [file:line] Issue — Fix: ...
-```
-
-## Sau khi review
-
-**Nếu có Critical/High:**
-→ Liệt kê rõ, yêu cầu human fix. KHÔNG tiếp tục flow.
-
-**Nếu chỉ có Medium/Low:**
-→ List gợi ý, hỏi human có muốn fix không, sau đó tiếp tục.
-
-**Khi human xác nhận đã fix:**
-1. Tick `- [x] Code review passed` trong section `## Definition of Done` của Story
-2. Hỏi: "Bạn đã tự test lại ở local chưa? Nếu OK, có muốn chuyển ticket sang Deploy Test không?"
-3. Nếu Yes:
-   a. Cập nhật `Status:` trong Story → `Deploy Test`
-   b. Thêm dòng Changelog trong Story: ngày, "Code review passed, moved to Deploy Test"
-   c. Cập nhật `Status:` trong Feature cha → `In Progress`, update bảng Stories
-   d. Thêm Changelog trong Feature
-   e. Cập nhật `project-status.yaml`
-   f. Gợi ý: chạy `/ado-update story <ado-id> --status "Deploy Test"` nếu dùng ADO
-
-## Nguyên tắc
-- Review khách quan — chỉ ra file:line cụ thể và lý do
-- Đề xuất fix cụ thể, không chỉ nói "code xấu"
-- Check xem code có vi phạm ADR nào không (đọc từ Technical Notes trong Story)
-- KHÔNG tự động chuyển status mà không có xác nhận của human
+# /tas-review $ARGUMENTS
+
+Review code thay đổi gần nhất hoặc một file/PR cụ thể.
+Bao gồm hygiene scan, test run, và parallel multi-agent review.
+
+## Stack Detection
+Đọc `.claude/rules/common/stack-detection.md`.
+
+## Hành động
+
+### Bước 1 — Xác định scope review
+`$ARGUMENTS` có thể là: file path, Story ID, hoặc để trống (review git diff).
+- Nếu trống: lấy `git diff HEAD` (staged + unstaged) hoặc last commit
+- Nếu Story ID: tìm file Story tương ứng để lấy danh sách files đã thay đổi
+- Nếu file path: review trực tiếp file đó
+
+### Bước 2 — Pre-checks (PHẢI pass mới tiếp tục)
+
+**Hygiene scan** — scan nhanh các files trong scope:
+- Debug code còn sót: `console.log`, `print(`, `Debug.WriteLine`, `debugger`
+- Secrets hardcoded: password/key/token/secret gán bằng string literal
+- Commented-out code block lớn (>5 dòng) không có comment lý do
+
+→ Nếu có blocker: liệt kê ngay, yêu cầu fix trước khi tiếp tục.
+
+**Run tests** — detect từ project structure:
+- `package.json` → `yarn test --ci` hoặc `npm test`
+- `*.csproj` / `*.sln` → `dotnet test`
+- `pytest.ini` / `pyproject.toml` → `python -m pytest`
+
+→ Nếu **FAIL**: thêm finding **"Unit Test Failure"** severity **Critical**, dừng lại, KHÔNG tiếp tục review.
+→ Nếu **PASS**: ghi chú "Unit Tests: ✓ PASS" vào Review Summary.
+→ Nếu không detect được: ghi chú "No test runner detected" và tiếp tục.
+
+### Bước 3 — Parallel Multi-Agent Review
+
+Launch các agents ĐỒNG THỜI (không chờ nhau):
+
+**Agent 1 — `code-reviewer`** (luôn chạy):
+> Review [scope]. Đọc `.tas/checklists/code-review.md` và `.claude/rules/common/code-review.md`.
+> Tập trung: naming, architecture alignment, error handling, DRY, function size, nesting depth.
+> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và fix cụ thể.
+
+**Agent 2 — `security-reviewer`** (luôn chạy):
+> Security audit [scope]. Đọc `.claude/rules/common/security.md`.
+> Nếu stack đã xác định, đọc thêm `.claude/rules/[stack]/security.md`.
+> Tập trung: OWASP Top 10, injection, hardcoded secrets, auth/authz, data exposure.
+> Format: findings nhóm theo Critical / High / Medium / Low, mỗi finding có file:line và remediation.
+
+**Agent 3 — Language reviewer** (dựa theo `lang_agent` từ stack detection):
+> Language-specific review [scope].
+> Đọc `.claude/rules/[stack]/coding-style.md`, `.claude/rules/[stack]/patterns.md`, `.claude/rules/[stack]/testing.md`.
+> Nếu stack có React: đọc thêm `.claude/rules/web/design-quality.md`, `.claude/rules/web/testing.md`, `.claude/rules/web/performance.md`.
+> Tập trung: async/await patterns, null handling, type safety, anti-patterns đặc thù của stack.
+> Format: findings theo Critical / High / Medium / Low với file:line.
+
+**Agent 4 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
+> AWS infrastructure review [scope].
+> Tập trung: IAM policies, secrets trong env/config, S3 permissions, Lambda security.
+> Format: findings theo Critical / High / Medium / Low.
+
+Chờ TẤT CẢ agents hoàn thành, sau đó tổng hợp.
+
+### Bước 4 — Tổng hợp kết quả
+
+Gộp findings từ tất cả agents, deduplicate (cùng file:line từ nhiều agent → gộp lại), sort theo severity:
+
+```
+## Review Summary
+
+### Critical (phải fix trước khi merge)
+- [file:line] Issue — Fix: ...
+
+### High (nên fix trước khi merge)
+- [file:line] Issue — Fix: ...
+
+### Medium (cân nhắc fix)
+- [file:line] Issue — Fix: ...
+
+### Low / Info (optional)
+- [file:line] Issue — Fix: ...
+```
+
+## Sau khi review
+
+**Nếu có Critical/High:**
+→ Liệt kê rõ, yêu cầu human fix. KHÔNG tiếp tục flow.
+
+**Nếu chỉ có Medium/Low:**
+→ List gợi ý, hỏi human có muốn fix không, sau đó tiếp tục.
+
+**Khi human xác nhận đã fix:**
+1. Tick `- [x] Code review passed` trong section `## Definition of Done` của Story
+2. Hỏi: "Bạn đã tự test lại ở local chưa? Nếu OK, có muốn chuyển ticket sang Deploy Test không?"
+3. Nếu Yes:
+   a. Cập nhật `Status:` trong Story → `Deploy Test`
+   b. Thêm dòng Changelog trong Story: ngày, "Code review passed, moved to Deploy Test"
+   c. Cập nhật `Status:` trong Feature cha → `In Progress`, update bảng Stories
+   d. Thêm Changelog trong Feature
+   e. Cập nhật `project-status.yaml`
+   f. Gợi ý: chạy `/ado-update story <ado-id> --status "Deploy Test"` nếu dùng ADO
+
+## Nguyên tắc
+- Review khách quan — chỉ ra file:line cụ thể và lý do
+- Đề xuất fix cụ thể, không chỉ nói "code xấu"
+- Check xem code có vi phạm ADR nào không (đọc từ Technical Notes trong Story)
+- KHÔNG tự động chuyển status mà không có xác nhận của human
+
+## Bước cuối — Token Log
+
+Invoke skill `token-logger`: ghi AI Usage Log vào file Story đang review (nếu có).

package/.claude/commands/tas-sad.md

@@ -1,39 +1,43 @@
-# /tas-sad $ARGUMENTS
-
-Vai trò: SE - Software Engineer
-Tạo hoặc cập nhật Solution Architecture Document.
-
-## Prerequisite
-- docs/prd.md phải tồn tại. Nếu chưa có, thông báo user chạy /tas-prd trước.
-
-## Hành động
-1. Cần context từ root/tas.yaml để lấy project info, workflow config
-2. Cần context từ docs/prd.md để hiểu requirements
-3. Nếu brownfield: cần context từ docs/codebase-overview.md nếu có
-4. Kiểm tra docs/sad.md đã tồn tại chưa:
-
-### Chế độ CREATE (file chưa tồn tại):
-5. Cần context từ .tas/templates/SAD.md
-6. Tạo file docs/sad.md theo template SAD của Torus
-7. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — thêm `artifacts.sad`.
-
-### Chế độ UPDATE (file đã tồn tại):
-5. Cần context từ docs/sad.md hiện tại
-6. $ARGUMENTS là mô tả thay đổi. Nếu không có, hỏi user cần cập nhật section nào.
-7. Cập nhật file, giữ nguyên các section không thay đổi
-8. Thêm dòng vào section Changelog cuối file
-9. Nếu thay đổi là quyết định kiến trúc quan trọng, gợi ý user chạy /tas-adr
-10. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — cập nhật `artifacts.sad`.
-
-## Quy tắc Mermaid
-- Các sơ đồ C4 PHẢI dùng Mermaid flow diagram
-- Bắt đầu bằng :::mermaid, kết thúc bằng :::
-- KHÔNG dùng ký tự () trong node labels, thay bằng []
-- Ví dụ: A["Web App"] --> B["API Gateway"]
-- Bao gồm các view: System Context, Container, Component, Data, Deployment
-
-## Nguyên tắc
-- SAD phải align với tech stack trong CLAUDE.md
-- Mỗi architectural decision quan trọng cần reference sang ADR
-- ERD phải dùng Mermaid erDiagram
-- Sequence diagram dùng Mermaid sequenceDiagram
+# /tas-sad $ARGUMENTS
+
+Vai trò: SE - Software Engineer
+Tạo hoặc cập nhật Solution Architecture Document.
+
+## Prerequisite
+- docs/prd.md phải tồn tại. Nếu chưa có, thông báo user chạy /tas-prd trước.
+
+## Hành động
+1. Cần context từ root/tas.yaml để lấy project info, workflow config
+2. Cần context từ docs/prd.md để hiểu requirements
+3. Nếu brownfield: cần context từ docs/codebase-overview.md nếu có
+4. Kiểm tra docs/sad.md đã tồn tại chưa:
+
+### Chế độ CREATE (file chưa tồn tại):
+5. Cần context từ .tas/templates/SAD.md
+6. Tạo file docs/sad.md theo template SAD của Torus
+7. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — thêm `artifacts.sad`.
+
+### Chế độ UPDATE (file đã tồn tại):
+5. Cần context từ docs/sad.md hiện tại
+6. $ARGUMENTS là mô tả thay đổi. Nếu không có, hỏi user cần cập nhật section nào.
+7. Cập nhật file, giữ nguyên các section không thay đổi
+8. Thêm dòng vào section Changelog cuối file
+9. Nếu thay đổi là quyết định kiến trúc quan trọng, gợi ý user chạy /tas-adr
+10. Cập nhật `project-status.yaml` theo `.claude/rules/common/project-status.md` — cập nhật `artifacts.sad`.
+
+## Quy tắc Mermaid
+- Các sơ đồ C4 PHẢI dùng Mermaid flow diagram
+- Bắt đầu bằng :::mermaid, kết thúc bằng :::
+- KHÔNG dùng ký tự () trong node labels, thay bằng []
+- Ví dụ: A["Web App"] --> B["API Gateway"]
+- Bao gồm các view: System Context, Container, Component, Data, Deployment
+
+## Nguyên tắc
+- SAD phải align với tech stack trong CLAUDE.md
+- Mỗi architectural decision quan trọng cần reference sang ADR
+- ERD phải dùng Mermaid erDiagram
+- Sequence diagram dùng Mermaid sequenceDiagram
+
+## Bước cuối — Token Log
+
+Invoke skill `token-logger`: ghi AI Usage Log vào `docs/sad.md`.

package/.claude/commands/tas-security.md

@@ -1,80 +1,81 @@
-# /tas-security $ARGUMENTS
-
-Kiểm tra bảo mật codebase, lưu báo cáo vào docs/security-report.md.
-
-## Stack Detection
-Đọc `.claude/rules/common/stack-detection.md`.
-
-## Hành động
-
-### Bước 1 — Xác định scope
-`$ARGUMENTS` có thể là: file path, directory, hoặc để trống (scan toàn bộ codebase).
-Đọc `.tas/checklists/security.md` để lấy checklist.
-
-### Bước 2 — Parallel Security Scan
-
-Launch các agents ĐỒNG THỜI dựa theo stack:
-
-**Agent 1 — `security-reviewer`** (luôn chạy):
-> Security audit [scope].
-> Đọc `.claude/rules/common/security.md`.
-> Kiểm tra OWASP Top 10: injection, broken auth, XSS, IDOR, security misconfiguration,
-> sensitive data exposure, insecure deserialization, vulnerable components, logging/monitoring.
-> Kiểm tra thêm: hardcoded secrets, CORS config, anti-forgery tokens, rate limiting.
-> Format: findings theo Critical / High / Medium / Low với file:line và remediation cụ thể.
-> Mỗi finding có: status = Open.
-
-**Agent 2 — `database-reviewer`** (chỉ khi `db_agent = database-reviewer`):
-> Database security review [scope].
-> Tập trung: parameterized queries vs string concatenation, ORM raw query usage,
-> sensitive data stored in plaintext, missing field-level encryption, excessive permissions.
-> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
-
-**Agent 3 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
-> AWS infrastructure security review [scope].
-> Tập trung: IAM overpermission, S3 public access, secrets trong env/config/code,
-> Lambda environment variables, API Gateway auth, VPC security groups.
-> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
-
-Chờ TẤT CẢ agents hoàn thành.
-
-### Bước 3 — Tổng hợp và lưu báo cáo
-
-Gộp findings từ tất cả agents, deduplicate (cùng file:line → gộp), sort theo severity.
-
-Kiểm tra `docs/security-report.md`:
-- **Chưa có**: tạo mới theo template `.tas/templates/Security-Report.md`
-- **Đã có**: append report mới, cập nhật status findings cũ nếu đã được fix
-
-Nội dung report bao gồm:
-- Scan date, scope, stack
-- Findings theo Critical / High / Medium / Low
-- Mỗi finding: file:line, mô tả, remediation, status (Open / Fixed / Accepted Risk)
-- Summary: tổng số findings mỗi severity, số đã fix vs còn open
-
-### Bước 4 — Cập nhật project-status.yaml
-
-```yaml
-artifacts:
-  security_report:
-    file: docs/security-report.md
-    status: [Critical findings present | Clean]
-    last_updated: [ngày hôm nay]
-```
-
-### Bước 5 — Hành động tiếp theo
-
-Nếu có **Critical findings**:
-→ Liệt kê rõ, yêu cầu fix ngay trước khi deploy bất kỳ môi trường nào.
-
-Nếu có **High findings**:
-→ Liệt kê, khuyến nghị fix trước khi merge vào main.
-
-Nếu chỉ có **Medium/Low**:
-→ Tóm tắt, gợi ý fix theo thứ tự ưu tiên.
-
-## Nguyên tắc
-- Phân loại: Critical / High / Medium / Low
-- Mỗi finding phải có recommended fix cụ thể
-- Finding có status: Open | In Progress | Fixed | Accepted Risk
-- KHÔNG hardcode fix — đề xuất remediation pattern, không viết code thay thế
+# /tas-security $ARGUMENTS
+
+Kiểm tra bảo mật codebase, lưu báo cáo vào docs/security-report.md.
+
+## Stack Detection
+Đọc `.claude/rules/common/stack-detection.md`.
+
+## Hành động
+
+### Bước 1 — Xác định scope
+`$ARGUMENTS` có thể là: file path, directory, hoặc để trống (scan toàn bộ codebase).
+Đọc `.tas/checklists/security.md` để lấy checklist.
+
+### Bước 2 — Parallel Security Scan
+
+Launch các agents ĐỒNG THỜI dựa theo stack:
+
+**Agent 1 — `security-reviewer`** (luôn chạy):
+> Security audit [scope].
+> Đọc `.claude/rules/common/security.md`.
+> Nếu stack đã xác định, đọc thêm `.claude/rules/[stack]/security.md`.
+> Kiểm tra OWASP Top 10: injection, broken auth, XSS, IDOR, security misconfiguration,
+> sensitive data exposure, insecure deserialization, vulnerable components, logging/monitoring.
+> Kiểm tra thêm: hardcoded secrets, CORS config, anti-forgery tokens, rate limiting.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation cụ thể.
+> Mỗi finding có: status = Open.
+
+**Agent 2 — `database-reviewer`** (chỉ khi `db_agent = database-reviewer`):
+> Database security review [scope].
+> Tập trung: parameterized queries vs string concatenation, ORM raw query usage,
+> sensitive data stored in plaintext, missing field-level encryption, excessive permissions.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
+
+**Agent 3 — `aws-reviewer`** (chỉ khi `infra_agent = aws-reviewer`):
+> AWS infrastructure security review [scope].
+> Tập trung: IAM overpermission, S3 public access, secrets trong env/config/code,
+> Lambda environment variables, API Gateway auth, VPC security groups.
+> Format: findings theo Critical / High / Medium / Low với file:line và remediation.
+
+Chờ TẤT CẢ agents hoàn thành.
+
+### Bước 3 — Tổng hợp và lưu báo cáo
+
+Gộp findings từ tất cả agents, deduplicate (cùng file:line → gộp), sort theo severity.
+
+Kiểm tra `docs/security-report.md`:
+- **Chưa có**: tạo mới theo template `.tas/templates/Security-Report.md`
+- **Đã có**: append report mới, cập nhật status findings cũ nếu đã được fix
+
+Nội dung report bao gồm:
+- Scan date, scope, stack
+- Findings theo Critical / High / Medium / Low
+- Mỗi finding: file:line, mô tả, remediation, status (Open / Fixed / Accepted Risk)
+- Summary: tổng số findings mỗi severity, số đã fix vs còn open
+
+### Bước 4 — Cập nhật project-status.yaml
+
+```yaml
+artifacts:
+  security_report:
+    file: docs/security-report.md
+    status: [Critical findings present | Clean]
+    last_updated: [ngày hôm nay]
+```
+
+### Bước 5 — Hành động tiếp theo
+
+Nếu có **Critical findings**:
+→ Liệt kê rõ, yêu cầu fix ngay trước khi deploy bất kỳ môi trường nào.
+
+Nếu có **High findings**:
+→ Liệt kê, khuyến nghị fix trước khi merge vào main.
+
+Nếu chỉ có **Medium/Low**:
+→ Tóm tắt, gợi ý fix theo thứ tự ưu tiên.
+
+## Nguyên tắc
+- Phân loại: Critical / High / Medium / Low
+- Mỗi finding phải có recommended fix cụ thể
+- Finding có status: Open | In Progress | Fixed | Accepted Risk
+- KHÔNG hardcode fix — đề xuất remediation pattern, không viết code thay thế