npm - @wooojin/forgen - Versions diffs - 0.4.8 → 0.4.9 - Mend

@wooojin/forgen 0.4.8 → 0.4.9

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (122) hide show

package/.claude-plugin/plugin.json +1 -1
package/assets/dev-guide/be/README.md +226 -0
package/assets/dev-guide/be/adapters/build-agents-md.sh +63 -0
package/assets/dev-guide/be/principles/common.md +433 -0
package/assets/dev-guide/be/principles/go.md +469 -0
package/assets/dev-guide/be/principles/node.md +388 -0
package/assets/dev-guide/be/skills/go/be-build/SKILL.md +262 -0
package/assets/dev-guide/be/skills/go/be-perf/SKILL.md +308 -0
package/assets/dev-guide/be/skills/go/be-review/SKILL.md +119 -0
package/assets/dev-guide/be/skills/go/be-security/SKILL.md +362 -0
package/assets/dev-guide/be/skills/node/be-build/SKILL.md +239 -0
package/assets/dev-guide/be/skills/node/be-perf/SKILL.md +272 -0
package/assets/dev-guide/be/skills/node/be-review/SKILL.md +118 -0
package/assets/dev-guide/be/skills/node/be-security/SKILL.md +355 -0
package/assets/dev-guide/be/sources/12factor/INDEX.md +53 -0
package/assets/dev-guide/be/sources/api-design/INDEX.md +56 -0
package/assets/dev-guide/be/sources/ddia/INDEX.md +55 -0
package/assets/dev-guide/be/sources/go-runtime/INDEX.md +62 -0
package/assets/dev-guide/be/sources/node-runtime/INDEX.md +60 -0
package/assets/dev-guide/be/sources/otel/INDEX.md +53 -0
package/assets/dev-guide/be/sources/owasp-api/INDEX.md +52 -0
package/assets/dev-guide/be/sources/postgres/INDEX.md +55 -0
package/assets/dev-guide/be/sources/sre-book/INDEX.md +48 -0
package/assets/dev-guide/fe/README.md +197 -0
package/assets/dev-guide/fe/adapters/build-agents-md.sh +63 -0
package/assets/dev-guide/fe/adapters/refresh.sh +68 -0
package/assets/dev-guide/fe/principles/common.md +160 -0
package/assets/dev-guide/fe/principles/react.md +183 -0
package/assets/dev-guide/fe/principles/vue.md +196 -0
package/assets/dev-guide/fe/skills/react/fe-build/SKILL.md +139 -0
package/assets/dev-guide/fe/skills/react/fe-perf/SKILL.md +179 -0
package/assets/dev-guide/fe/skills/react/fe-review/SKILL.md +141 -0
package/assets/dev-guide/fe/skills/vue/fe-build/SKILL.md +148 -0
package/assets/dev-guide/fe/skills/vue/fe-perf/SKILL.md +163 -0
package/assets/dev-guide/fe/skills/vue/fe-review/SKILL.md +136 -0
package/assets/dev-guide/fe/sources/a11y-dx/INDEX.md +41 -0
package/assets/dev-guide/fe/sources/a11y-dx/chrome-devtools-memory.md +150 -0
package/assets/dev-guide/fe/sources/a11y-dx/chrome-devtools-performance.md +99 -0
package/assets/dev-guide/fe/sources/a11y-dx/lighthouse-audits.md +146 -0
package/assets/dev-guide/fe/sources/a11y-dx/react-devtools-profiler.md +128 -0
package/assets/dev-guide/fe/sources/a11y-dx/wcag22-new-criteria.md +174 -0
package/assets/dev-guide/fe/sources/perf/01-core-web-vitals.md +58 -0
package/assets/dev-guide/fe/sources/perf/02-inp.md +83 -0
package/assets/dev-guide/fe/sources/perf/03-lcp-cls.md +130 -0
package/assets/dev-guide/fe/sources/perf/04-speculation-rules.md +148 -0
package/assets/dev-guide/fe/sources/perf/05-view-transitions.md +153 -0
package/assets/dev-guide/fe/sources/perf/06-nextjs-caching.md +188 -0
package/assets/dev-guide/fe/sources/perf/07-server-components.md +181 -0
package/assets/dev-guide/fe/sources/perf/08-ppr.md +133 -0
package/assets/dev-guide/fe/sources/perf/09-nextjs-image.md +200 -0
package/assets/dev-guide/fe/sources/perf/10-optimize-lcp.md +201 -0
package/assets/dev-guide/fe/sources/perf/INDEX.md +88 -0
package/assets/dev-guide/fe/sources/react/INDEX.md +41 -0
package/assets/dev-guide/fe/sources/react/keeping-components-pure.md +135 -0
package/assets/dev-guide/fe/sources/react/no-effect-patterns.md +183 -0
package/assets/dev-guide/fe/sources/react/react-compiler.md +182 -0
package/assets/dev-guide/fe/sources/react/server-components.md +194 -0
package/assets/dev-guide/fe/sources/react/server-functions.md +192 -0
package/assets/dev-guide/fe/sources/react/suspense.md +218 -0
package/assets/dev-guide/fe/sources/react/use-action-state.md +123 -0
package/assets/dev-guide/fe/sources/react/use-form-status.md +158 -0
package/assets/dev-guide/fe/sources/react/use-hook.md +153 -0
package/assets/dev-guide/fe/sources/react/use-optimistic.md +194 -0
package/assets/dev-guide/fe/sources/toss-ff/INDEX.md +58 -0
package/assets/dev-guide/fe/sources/toss-ff/cohesion-code-directory.md +79 -0
package/assets/dev-guide/fe/sources/toss-ff/cohesion-form-fields.md +110 -0
package/assets/dev-guide/fe/sources/toss-ff/cohesion-magic-number.md +47 -0
package/assets/dev-guide/fe/sources/toss-ff/coupling-item-edit-modal.md +124 -0
package/assets/dev-guide/fe/sources/toss-ff/coupling-use-bottom-sheet.md +57 -0
package/assets/dev-guide/fe/sources/toss-ff/coupling-use-page-state.md +71 -0
package/assets/dev-guide/fe/sources/toss-ff/overview-4-principles.md +77 -0
package/assets/dev-guide/fe/sources/toss-ff/predictability-hidden-logic.md +59 -0
package/assets/dev-guide/fe/sources/toss-ff/predictability-http.md +77 -0
package/assets/dev-guide/fe/sources/toss-ff/predictability-use-user.md +110 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-comparison-order.md +52 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-condition-name.md +64 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-login-start-page.md +183 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-magic-number.md +53 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-submit-button.md +73 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-ternary-operator.md +38 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-use-page-state.md +77 -0
package/assets/dev-guide/fe/sources/toss-ff/readability-user-policy.md +98 -0
package/assets/dev-guide/fe/sources/vue/INDEX.md +17 -0
package/assets/dev-guide/fe/sources/vue/composition-api.md +251 -0
package/assets/dev-guide/fe/sources/vue/nuxt-data-fetching.md +232 -0
package/assets/dev-guide/fe/sources/vue/pinia-state-management.md +134 -0
package/assets/dev-guide/fe/sources/vue/reactivity-pitfalls.md +261 -0
package/assets/dev-guide/fe/sources/vue/style-guide-priority-a.md +117 -0
package/assets/dev-guide/fe/sources/vue/style-guide-priority-b.md +231 -0
package/assets/dev-guide/fe/sources/vue/style-guide-priority-c.md +86 -0
package/assets/dev-guide/fe/sources/vue/style-guide-priority-d.md +72 -0
package/dist/cli.js +42 -0
package/dist/core/dashboard-cli.d.ts +12 -0
package/dist/core/dashboard-cli.js +226 -0
package/dist/core/dev-guide-injector.d.ts +26 -0
package/dist/core/dev-guide-injector.js +137 -0
package/dist/core/init.js +53 -0
package/dist/core/lifecycle-classifier.d.ts +23 -0
package/dist/core/lifecycle-classifier.js +104 -0
package/dist/core/observability-backfill.d.ts +31 -0
package/dist/core/observability-backfill.js +178 -0
package/dist/core/observability-store.d.ts +58 -0
package/dist/core/observability-store.js +195 -0
package/dist/core/session-store.js +4 -0
package/dist/core/spawn.d.ts +17 -0
package/dist/core/spawn.js +179 -2
package/dist/core/statusline-cli.js +34 -1
package/dist/engine/compound-extractor.js +39 -0
package/dist/engine/compound-loop.js +6 -0
package/dist/engine/compound-retire.d.ts +20 -0
package/dist/engine/compound-retire.js +85 -0
package/dist/hooks/context-guard.js +25 -1
package/dist/hooks/post-tool-use.js +48 -0
package/dist/hooks/solution-injector.js +93 -0
package/dist/host/install-claude.d.ts +6 -2
package/dist/host/install-claude.js +74 -2
package/dist/host/install-codex.d.ts +4 -0
package/dist/host/install-codex.js +71 -0
package/dist/host/install-orchestrator.js +1 -0
package/package.json +6 -6
package/plugin.json +1 -1
package/scripts/postinstall.js +134 -0

package/assets/dev-guide/be/skills/go/be-security/SKILL.md ADDED Viewed

@@ -0,0 +1,362 @@
+---
+name: be-security-go
+description: Go 서비스를 OWASP API Security Top 10 기준으로 진단. 카테고리별 체크리스트와 Go 특화 픽스 패턴을 제공한다.
+---
+# be-security (Go)
+> **호출 시점**: "이 핸들러 보안 검토해줘", "OWASP 관점에서 체크해줘", "Go 서비스 보안 감사".
+> **선행 로딩**: `principles/common.md` (E섹션) + `principles/go.md` 필수.
+## 0. 절대 금지
+1. gosec 린터가 잡는 이슈를 무시 (`//nolint:gosec`) 하려면 이유 주석 필수.
+2. 보안 이슈를 [LOW]로 다운그레이드 금지.
+3. `crypto/md5`, `crypto/sha1` 비밀번호 해싱 사용 금지 — bcrypt/argon2 사용.
+## 1. 워크플로우
+### Step 1 — gosec 자동 스캔
+```bash
+# gosec 설치 및 실행
+go install github.com/securego/gosec/v2/cmd/gosec@latest
+gosec -fmt sarif -out gosec-report.sarif ./...
+# 또는 golangci-lint (gosec 포함)
+golangci-lint run --enable gosec ./...
+```
+자동 스캔 후 수동 체크리스트 실행.
+### Step 2 — OWASP Top 10 체크리스트
+### Step 3 — 취약점 보고 및 픽스
+## 2. OWASP API Top 10 체크리스트 (Go 특화)
+### API1 — Broken Object Level Authorization
+```go
+// WRONG: URL params 신뢰
+func (h *OrderHandler) Get(w http.ResponseWriter, r *http.Request) {
+    orderID := chi.URLParam(r, "orderID")
+    order, _ := h.repo.FindByID(r.Context(), orderID)
+    json.NewEncoder(w).Encode(order)  // 다른 유저 주문 접근 가능
+}
+// RIGHT: 소유권 검증
+func (h *OrderHandler) Get(w http.ResponseWriter, r *http.Request) {
+    orderID := chi.URLParam(r, "orderID")
+    userID := userIDFromCtx(r.Context())  // JWT에서 추출
+    order, err := h.repo.FindByID(r.Context(), orderID)
+    if err != nil {
+        if errors.Is(err, domain.ErrNotFound) {
+            respondError(w, http.StatusNotFound, "NOT_FOUND", "Order not found", r)
+            return
+        }
+        respondError(w, http.StatusInternalServerError, "INTERNAL", "서버 오류", r)
+        return
+    }
+    if order.UserID != userID {  // 소유권 검증
+        respondError(w, http.StatusForbidden, "FORBIDDEN", "접근 권한 없음", r)
+        return
+    }
+    json.NewEncoder(w).Encode(order)
+}
+```
+```
+[ ] 모든 리소스 핸들러에 소유권 검증
+[ ] JWT claims에서 userID 추출 (URL params 신뢰 금지)
+[ ] 관리자 핸들러에도 역할 검증 (미들웨어 단독 의존 금지)
+```
+### API2 — Broken Authentication
+```go
+import "github.com/golang-jwt/jwt/v5"
+// WRONG: 알고리즘 검증 없음
+token, _ := jwt.Parse(tokenString, func(t *jwt.Token) (interface{}, error) {
+    return secret, nil  // 알고리즘 검증 안 함 → none 공격 가능
+})
+// RIGHT: 알고리즘 명시
+token, err := jwt.Parse(tokenString, func(t *jwt.Token) (interface{}, error) {
+    if _, ok := t.Method.(*jwt.SigningMethodRSA); !ok {
+        return nil, fmt.Errorf("unexpected signing method: %v", t.Header["alg"])
+    }
+    return publicKey, nil
+}, jwt.WithExpirationRequired())  // 만료 검증 강제
+```
+```
+[ ] JWT 서명 알고리즘 명시 (RS256 권장)
+[ ] 만료 검증 (exp claim)
+[ ] 비밀키 환경변수에서 로드
+[ ] API Key 해시 저장 (평문 DB 저장 금지)
+```
+### API3 — Broken Object Property Level Authorization
+```go
+// WRONG: 전체 모델 반환
+type User struct {
+    ID           string `json:"id"`
+    Email        string `json:"email"`
+    PasswordHash string `json:"passwordHash"`  // 노출!
+    InternalFlag bool   `json:"internalFlag"`   // 노출!
+}
+// RIGHT: 응답 전용 구조체
+type UserResponse struct {
+    ID    string `json:"id"`
+    Email string `json:"email"`
+    Name  string `json:"name"`
+}
+func toUserResponse(u *User) UserResponse {
+    return UserResponse{ID: u.ID, Email: u.Email, Name: u.Name}
+}
+```
+```
+[ ] 응답 전용 DTO/구조체 정의 (DB 모델 직접 직렬화 금지)
+[ ] password, hash, secret, internal 태그 필드 응답 제외
+[ ] json:"-" 태그로 민감 필드 직렬화 차단
+```
+### API4 — Unrestricted Resource Consumption
+```go
+import "golang.org/x/time/rate"
+// Rate limiter (토큰 버킷)
+type RateLimitMiddleware struct {
+    limiter *rate.Limiter
+}
+func NewRateLimitMiddleware(rps float64, burst int) *RateLimitMiddleware {
+    return &RateLimitMiddleware{limiter: rate.NewLimiter(rate.Limit(rps), burst)}
+}
+func (m *RateLimitMiddleware) Handler(next http.Handler) http.Handler {
+    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+        if !m.limiter.Allow() {
+            w.Header().Set("Retry-After", "60")
+            respondError(w, http.StatusTooManyRequests, "TOO_MANY_REQUESTS", "요청 한도 초과", r)
+            return
+        }
+        next.ServeHTTP(w, r)
+    })
+}
+// 요청 바디 크기 제한
+r.Body = http.MaxBytesReader(w, r.Body, 1<<20)  // 1MB
+```
+```
+[ ] Rate limiting 미들웨어 (전역 + 민감 엔드포인트)
+[ ] http.MaxBytesReader 으로 바디 크기 제한
+[ ] 페이지네이션 limit 상한 (예: min(limit, 100))
+[ ] 429 응답에 Retry-After 헤더
+```
+### API5 — Broken Function Level Authorization
+```go
+// 역할 미들웨어
+func RequireRole(roles ...string) func(http.Handler) http.Handler {
+    return func(next http.Handler) http.Handler {
+        return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+            userRole := roleFromCtx(r.Context())
+            for _, role := range roles {
+                if userRole == role {
+                    next.ServeHTTP(w, r)
+                    return
+                }
+            }
+            respondError(w, http.StatusForbidden, "FORBIDDEN", "권한 없음", r)
+        })
+    }
+}
+// 라우터 설정
+r.With(RequireRole("admin")).Delete("/api/admin/users/{id}", deleteUser)
+```
+```
+[ ] 관리자 경로에 역할 미들웨어
+[ ] /debug, /internal, /admin 경로 외부 노출 여부
+[ ] HTTP 메서드별 권한 (DELETE가 GET보다 강한 권한 필요)
+```
+### API6 — Unrestricted Access to Sensitive Flows
+```go
+// IP + 이메일 기반 rate limit
+type AuthRateLimiter struct {
+    mu      sync.Mutex
+    buckets map[string]*rate.Limiter
+}
+func (l *AuthRateLimiter) Allow(ip, email string) bool {
+    key := ip + ":" + email
+    l.mu.Lock()
+    limiter, ok := l.buckets[key]
+    if !ok {
+        limiter = rate.NewLimiter(rate.Every(time.Minute), 5)  // 분당 5회
+        l.buckets[key] = limiter
+    }
+    l.mu.Unlock()
+    return limiter.Allow()
+}
+```
+```
+[ ] 로그인 IP + 이메일 조합 rate limit
+[ ] OTP 코드 rate limit
+[ ] 비밀번호 재설정 토큰 단기 만료 (15분)
+[ ] 비밀번호 재설정 토큰 1회 사용 후 무효화
+[ ] bcrypt/argon2id 비밀번호 해싱 (md5/sha1 금지)
+```
+### API7 — SSRF
+```go
+var allowedHosts = map[string]bool{
+    "api.trustedpartner.com": true,
+}
+func isPrivateIP(ip net.IP) bool {
+    private := []string{"10.0.0.0/8", "172.16.0.0/12", "192.168.0.0/16", "127.0.0.0/8"}
+    for _, cidr := range private {
+        _, network, _ := net.ParseCIDR(cidr)
+        if network.Contains(ip) { return true }
+    }
+    return false
+}
+func validateWebhookURL(rawURL string) error {
+    u, err := url.Parse(rawURL)
+    if err != nil { return fmt.Errorf("invalid URL: %w", err) }
+    if u.Scheme != "https" { return errors.New("only https allowed") }
+    if !allowedHosts[u.Hostname()] { return errors.New("host not allowed") }
+    addrs, err := net.LookupHost(u.Hostname())
+    if err != nil { return fmt.Errorf("DNS lookup: %w", err) }
+    for _, addr := range addrs {
+        if isPrivateIP(net.ParseIP(addr)) {
+            return errors.New("private IP not allowed")
+        }
+    }
+    return nil
+}
+```
+```
+[ ] 사용자 입력 URL fetch 전 allowlist 검증
+[ ] private IP 차단
+[ ] https만 허용
+[ ] HTTP redirect follow 횟수 제한
+```
+### API8 — Security Misconfiguration
+```go
+// 보안 헤더 미들웨어
+func SecurityHeaders(next http.Handler) http.Handler {
+    return http.HandlerFunc(func(w http.ResponseWriter, r *http.Request) {
+        w.Header().Set("X-Content-Type-Options", "nosniff")
+        w.Header().Set("X-Frame-Options", "DENY")
+        w.Header().Set("Strict-Transport-Security", "max-age=31536000; includeSubDomains")
+        w.Header().Set("Content-Security-Policy", "default-src 'self'")
+        next.ServeHTTP(w, r)
+    })
+}
+// CORS 설정
+corsMiddleware := cors.New(cors.Options{
+    AllowedOrigins:   []string{"https://app.example.com"},
+    AllowedMethods:   []string{"GET", "POST", "PUT", "DELETE"},
+    AllowCredentials: true,
+})
+```
+```
+[ ] 보안 헤더 설정 (HSTS, X-Frame-Options 등)
+[ ] CORS origin allowlist (* 사용 금지)
+[ ] 에러 응답에 스택 트레이스 미포함 (production)
+[ ] /debug/pprof 프로덕션 비활성화 또는 인증 보호
+[ ] 불필요한 HTTP 메서드 비활성화
+```
+### API9 — Improper Inventory Management
+```
+[ ] API 버전 목록 문서화
+[ ] 구 버전 폐기 계획 및 Sunset 날짜
+[ ] 스테이징 엔드포인트 인터넷 노출 여부
+[ ] pprof, expvar 엔드포인트 보호
+```
+### API10 — Unsafe Consumption of APIs
+```go
+// 외부 API 응답 검증
+type ExternalPaymentResponse struct {
+    TransactionID string  `json:"transactionId"`
+    Status        string  `json:"status"`
+    Amount        float64 `json:"amount"`
+}
+func parsePaymentResponse(body io.Reader) (*ExternalPaymentResponse, error) {
+    var resp ExternalPaymentResponse
+    if err := json.NewDecoder(body).Decode(&resp); err != nil {
+        return nil, fmt.Errorf("decode payment response: %w", err)
+    }
+    // 추가 검증
+    if resp.TransactionID == "" {
+        return nil, errors.New("missing transactionId in response")
+    }
+    validStatuses := map[string]bool{"success": true, "pending": true, "failed": true}
+    if !validStatuses[resp.Status] {
+        return nil, fmt.Errorf("unexpected status: %s", resp.Status)
+    }
+    return &resp, nil
+}
+```
+```
+[ ] 외부 API 응답 구조체 검증
+[ ] 외부 API 타임아웃 설정
+[ ] tls.Config InsecureSkipVerify = false (기본값)
+[ ] 외부 오류 응답 내부로 전파 금지 (사용자에게 내부 서비스 정보 노출)
+```
+## 3. 출력 형식
+```
+## 보안 감사 결과 (Go)
+### gosec 자동 스캔: N issues
+[G201] internal/repo/order.go:42 — SQL string formatting (해결 필요)
+### OWASP 수동 체크
+[HIGH] API1 internal/handler/order.go:55 — 소유권 검증 없음
+[HIGH] API6 internal/handler/auth.go:20 — 로그인 rate limit 없음
+### 통과
+- API2: JWT RS256 + 만료 검증 ✅
+- API8: 보안 헤더 미들웨어 ✅
+### 권고
+- pprof 엔드포인트에 인증 추가 권장
+```
+## 4. 관련 문서
+- 원칙: [`principles/common.md`](../../../principles/common.md) E섹션
+- 코퍼스: `sources/owasp-api/`

package/assets/dev-guide/be/skills/node/be-build/SKILL.md ADDED Viewed

@@ -0,0 +1,239 @@
+---
+name: be-build-node
+description: Node.js/TypeScript 요구사항을 받아 합의된 사내 원칙대로 구현. 명세→API contract→구현→테스트 매핑을 강제하고, 에러 모델·관찰가능성·보안 기준선을 적용한다.
+---
+# be-build (Node.js)
+> **호출 시점**: "이 API 명세대로 구현해줘", "이 요구사항 기반으로 서비스 만들어줘" 같은 신규 기능/API/서비스 구현 요청.
+> **선행 로딩**: `principles/common.md` + `principles/node.md` 필수.
+## 0. 절대 금지
+1. 명세/요구사항 읽기 전에 코드 쓰지 마라.
+2. OpenAPI 스펙 없이 구현 먼저 하지 마라 — 계약이 구현보다 먼저.
+3. 명세에서 optional인 필드를 검증에서 required 취급하지 마라.
+4. `catch (err) {}` 빈 catch 블록 금지.
+5. DB 쿼리를 문자열 concatenation으로 작성 금지 (SQL injection).
+6. `process.on('unhandledRejection')` 미등록 상태로 완료 선언 금지.
+## 1. 워크플로우 (이 순서를 깨지 마라)
+### Step 1 — 요구사항 → 체크리스트 변환
+명세/요구사항 받자마자, 다른 어떤 작업도 하기 전에:
+```markdown
+## 요구사항 체크리스트
+- [ ] R-01: <요구사항 한 줄 — 명세 원문 직접 인용>
+- [ ] R-02: ...
+```
+- 각 항목은 명세 원문 직접 인용. 해석/추론 금지.
+- optional/required 구분 명시. optional은 "없어도 통과" 케이스로 매핑.
+- 사용자 확인 후 다음 단계.
+### Step 2 — API Contract 정의
+체크리스트 확정 후, 구현 전에 OpenAPI 스펙 또는 TypeScript 인터페이스로 계약 작성:
+```typescript
+// types/order.ts — 계약 먼저
+interface CreateOrderRequest {
+  userId: string;         // required
+  items: OrderItem[];     // required, min: 1
+  couponCode?: string;    // optional — 검증에서 required 취급 금지
+}
+interface CreateOrderResponse {
+  orderId: string;
+  status: 'pending' | 'confirmed';
+  createdAt: string;      // ISO 8601 UTC
+}
+interface OrderItem {
+  productId: string;
+  quantity: number;       // positive integer
+}
+```
+### Step 3 — 체크리스트 → 테스트 매핑표
+```markdown
+## 매핑표
+| 요구사항 | 모듈/함수 | 테스트 파일:케이스 |
+|----------|-----------|---------------------|
+| R-01 | OrderController.create | order.test.ts:"주문 생성 성공" |
+| R-02 | OrderService.validate | order.test.ts:"쿠폰 없이도 주문 가능" |
+```
+- optional 항목은 반드시 "값 없을 때 통과" 케이스를 매핑.
+- 에러 케이스도 매핑 (400, 404, 422 등).
+### Step 4 — 아키텍처 결정 (레이어 분리)
+```
+[Controller] → 입력 검증 (Zod) → HTTP 계층
+[Service]   → 비즈니스 로직 → 도메인 계층
+[Repository]→ DB 접근 → 영속 계층
+```
+결정 기록 한 줄: "OrderService는 트랜잭션 경계. Repository는 순수 쿼리만."
+### Step 5 — TDD (Red → Green → Refactor)
+매핑표의 각 행마다:
+1. 테스트 먼저 작성 (실패 확인)
+2. 최소 구현으로 통과
+3. `principles/common.md` + `principles/node.md` 원칙 적용
+### Step 6 — 셀프 체크리스트
+```markdown
+- [ ] Zod 스키마 검증 — optional 필드 optional().처리
+- [ ] 에러 응답 구조: { error: { code, message, requestId } }
+- [ ] unhandledRejection 핸들러 등록
+- [ ] 구조화 로그 (JSON) — 민감정보 제외
+- [ ] DB 쿼리 파라미터화 (SQL injection 방지)
+- [ ] 트랜잭션 경계 명시
+- [ ] TypeScript strict 통과 (tsc --noEmit)
+- [ ] N+1 쿼리 없음
+```
+### Step 7 — 매핑표 갱신 후 완료 선언
+매핑표 모든 행 ✅ + 모든 테스트 green + 셀프 체크리스트 통과. 그제서야 "완료" 선언.
+## 2. 구현 디폴트
+### 2.1 입력 검증 (Zod)
+```typescript
+import { z } from 'zod';
+const CreateOrderSchema = z.object({
+  userId: z.string().uuid(),
+  items: z.array(z.object({
+    productId: z.string().uuid(),
+    quantity: z.number().int().positive(),
+  })).min(1),
+  couponCode: z.string().optional(),  // optional — 없어도 통과
+});
+// Controller
+async function createOrder(req: Request, res: Response) {
+  const parsed = CreateOrderSchema.safeParse(req.body);
+  if (!parsed.success) {
+    return res.status(400).json({
+      error: {
+        code: 'VALIDATION_ERROR',
+        message: '입력값이 올바르지 않습니다',
+        details: parsed.error.flatten().fieldErrors,
+        requestId: req.id,
+      },
+    });
+  }
+  // ...
+}
+```
+### 2.2 에러 모델
+```typescript
+// 도메인 에러 클래스
+class AppError extends Error {
+  constructor(
+    public readonly code: string,
+    public readonly statusCode: number,
+    message: string,
+    public readonly details?: unknown,
+  ) {
+    super(message);
+  }
+}
+class NotFoundError extends AppError {
+  constructor(resource: string, id: string) {
+    super('RESOURCE_NOT_FOUND', 404, `${resource} not found: ${id}`);
+  }
+}
+// 글로벌 에러 핸들러
+app.use((err: Error, req: Request, res: Response, _next: NextFunction) => {
+  const statusCode = err instanceof AppError ? err.statusCode : 500;
+  logger.error({ err, requestId: req.id }, 'Request error');
+  res.status(statusCode).json({
+    error: {
+      code: err instanceof AppError ? err.code : 'INTERNAL_ERROR',
+      message: statusCode < 500 ? err.message : '서버 오류가 발생했습니다',
+      requestId: req.id,
+    },
+  });
+});
+```
+### 2.3 DB + 트랜잭션
+```typescript
+// Prisma 예시
+async function createOrderWithStock(input: CreateOrderInput) {
+  return await prisma.$transaction(async (tx) => {
+    // TX: order 생성 + stock 차감 원자적 처리
+    const order = await tx.order.create({ data: { userId: input.userId } });
+    for (const item of input.items) {
+      await tx.stock.update({
+        where: { productId: item.productId },
+        data: { quantity: { decrement: item.quantity } },
+      });
+    }
+    return order;
+  });
+}
+```
+### 2.4 관찰가능성
+```typescript
+import { trace, SpanStatusCode } from '@opentelemetry/api';
+import pino from 'pino';
+const logger = pino({ level: 'info', redact: ['*.password', 'req.headers.authorization'] });
+const tracer = trace.getTracer('order-service');
+async function createOrder(input: CreateOrderInput) {
+  const span = tracer.startSpan('OrderService.createOrder');
+  try {
+    span.setAttributes({ 'order.userId': input.userId, 'order.itemCount': input.items.length });
+    const result = await orderRepo.create(input);
+    span.setStatus({ code: SpanStatusCode.OK });
+    return result;
+  } catch (err) {
+    span.recordException(err as Error);
+    span.setStatus({ code: SpanStatusCode.ERROR });
+    throw err;
+  } finally {
+    span.end();
+  }
+}
+```
+## 3. 출력 형식
+작업 완료 시:
+```
+## 완료 보고
+- 체크리스트: N/N ✅
+- 매핑표: 모든 행 테스트 green
+- 변경 파일: <목록>
+- 셀프 체크: 6/6 통과
+- API contract: <파일 경로>
+- 의사결정: <레이어 분리 기준 1-2줄>
+```
+## 4. 관련 문서
+- 원칙: [`principles/common.md`](../../../principles/common.md), [`principles/node.md`](../../../principles/node.md)
+- 리뷰: [`skills/node/be-review/SKILL.md`](../be-review/SKILL.md)
+- 성능: [`skills/node/be-perf/SKILL.md`](../be-perf/SKILL.md)
+- 보안: [`skills/node/be-security/SKILL.md`](../be-security/SKILL.md)