archrisk-engine 1.0.0 → 1.0.2

package/dist/index.d.ts

@@ -3,3 +3,4 @@ export * from './aiDiagnosis.js';
 export * from './archScanner.js';
 export * from './repoAnalyzer.js';
 export * from './deepAnalysis.js';
+export * from './jsAnalyzer.js';

package/dist/index.js

@@ -19,3 +19,4 @@ __exportStar(require("./aiDiagnosis.js"), exports);
 __exportStar(require("./archScanner.js"), exports);
 __exportStar(require("./repoAnalyzer.js"), exports);
 __exportStar(require("./deepAnalysis.js"), exports);
+__exportStar(require("./jsAnalyzer.js"), exports);

package/dist/jsAnalyzer.d.ts

@@ -0,0 +1,8 @@
+import { AnalysisResult } from './analyzer.js';
+/**
+ * [The Eye] JS/TS Analysis Engine
+ *
+ * RegEx-based static analysis for JavaScript/TypeScript files.
+ * MVP: Focused on 8 specific credibility rules.
+ */
+export declare function analyzeJsTsCode(code: string, fileName: string): Promise<AnalysisResult>;

package/dist/jsAnalyzer.js

@@ -0,0 +1,129 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.analyzeJsTsCode = analyzeJsTsCode;
+/**
+ * [The Eye] JS/TS Analysis Engine
+ *
+ * RegEx-based static analysis for JavaScript/TypeScript files.
+ * MVP: Focused on 8 specific credibility rules.
+ */
+async function analyzeJsTsCode(code, fileName) {
+    // 1. Architecture Health Scan (God Module / Large File)
+    const lines = code.split('\n');
+    if (lines.length > 800) {
+        return {
+            hasError: true,
+            error: `Large File Risk: ${lines.length} lines. Maintanability risk.`,
+            line: 1,
+            type: 'ProductionRisk',
+            file: fileName
+        };
+    }
+    // 2. Risk Scan (Security & Production Readiness)
+    const riskResult = scanForJsRisks(code, fileName, lines);
+    if (riskResult.hasError) {
+        return riskResult;
+    }
+    return { hasError: false };
+}
+function scanForJsRisks(code, fileName, lines) {
+    const risks = [
+        // Critical (🔴) - Security
+        {
+            pattern: /eval\s*\(|new\s+Function\s*\(/,
+            type: 'SecurityRisk',
+            message: '[Security] Dynamic code execution detected (eval/new Function). This is a severe security risk.'
+        },
+        {
+            pattern: /child_process\.(exec|execSync)\s*\(/,
+            type: 'SecurityRisk',
+            message: '[Security] Shell command execution detected. Ensure inputs are sanitized or use spawn without shell.'
+        },
+        {
+            pattern: /spawn\s*\(.*,\s*\{.*shell:\s*true/s, // Multi-line match attempt with DOTALL flag simulated or just simple check
+            type: 'SecurityRisk',
+            message: '[Security] spawn with { shell: true } detected. This enables shell command injection.'
+        },
+        {
+            pattern: /(?:api[._-]?key|password|secret|token)\s*[:=]\s*['"][a-zA-Z0-9_-]{10,}['"]/i,
+            type: 'SecurityRisk',
+            message: '[Security] Hardcoded secret detected. Use environment variables.'
+        },
+        // Warning (🟡) - Production Readiness
+        {
+            condition: (l) => /(axios(\.[a-z]+)?|fetch|http\.(get|request))\s*\(/.test(l) && !/timeout/.test(l),
+            type: 'ProductionRisk',
+            message: '[Reliability] HTTP call missing explicit timeout. This can cause cascading failures.'
+        },
+        // Heuristic: App listen but no global error handler (simplified: check for generic app.use((err... pattern)
+        {
+            condition: (c) => c.includes('app.listen') && !/app\.use\s*\(\s*\(\s*err/.test(c),
+            type: 'ProductionRisk',
+            message: '[Reliability] Express app detected but Global Error Handler missing. Unhandled errors may crash the server.'
+        },
+        {
+            pattern: /console\.log\s*\(/,
+            type: 'ProductionRisk',
+            message: '[Observability] console.log used in production code. Use a structured logger (winston/pino).'
+        }
+    ];
+    // Line-based checks
+    for (let i = 0; i < lines.length; i++) {
+        const line = lines[i];
+        for (const risk of risks) {
+            // Pattern check
+            if (risk.pattern && risk.pattern.test(line)) {
+                // Skip comments for simple cases
+                if (line.trim().startsWith('//') || line.trim().startsWith('*'))
+                    continue;
+                return {
+                    hasError: true,
+                    error: risk.message,
+                    line: i + 1,
+                    type: risk.type,
+                    file: fileName
+                };
+            }
+            // Line-based Condition check (special case for timeout)
+            // We distinguish global vs line condition by context? 
+            // The 'app.listen' check is clearly global (checks whole code).
+            // The 'timeout' check is clearly line based (checks 'l').
+            // Let's rely on the message content to know if it is line-based for MVP simplicity
+            if (risk.condition && risk.message.includes('HTTP missing timeout') && risk.condition(line)) {
+                if (line.trim().startsWith('//') || line.trim().startsWith('*'))
+                    continue;
+                return {
+                    hasError: true,
+                    error: risk.message,
+                    line: i + 1,
+                    type: risk.type,
+                    file: fileName
+                };
+            }
+        }
+    }
+    // File-based checks (Global patterns)
+    for (const risk of risks) {
+        // Global Condition check
+        if (risk.condition && !risk.message.includes('HTTP missing timeout') && risk.condition(code)) {
+            return {
+                hasError: true,
+                error: risk.message,
+                line: 0,
+                type: risk.type,
+                file: fileName
+            };
+        }
+        // Multi-line regex checks
+        if (risk.pattern && risk.pattern.flags.includes('s') && risk.pattern.test(code)) {
+            return {
+                hasError: true,
+                error: risk.message,
+                line: 0,
+                type: risk.type,
+                file: fileName
+            };
+        }
+    }
+    return { hasError: false };
+}

package/dist/repoAnalyzer.d.ts

@@ -2,6 +2,7 @@ export interface RepoAnalysisResult {
     score: number;
     status: 'Ready for Production' | 'Needs Attention' | 'Not Ready for Deployment';
     findings: {
+        id: string;
         title: string;
         file: string;
         line: number;
@@ -30,7 +31,11 @@ export interface RepoAnalysisResult {
 /**
  * 3-Tier Business Audit Translation
  */
-export declare function getAuditDetails(type: string, issue: string): {
+/**
+ * 3-Tier Business Audit Translation with Standard IDs
+ */
+export declare function getAuditDetails(id: string, type: string, issue: string): {
+    id: string;
     title: string;
     category: RepoAnalysisResult['findings'][0]['category'];
     evidence: string;

package/dist/repoAnalyzer.js

@@ -39,6 +39,7 @@ const fs = __importStar(require("fs"));
 const path = __importStar(require("path"));
 const child_process_1 = require("child_process");
 const analyzer_js_1 = require("./analyzer.js");
+const jsAnalyzer_js_1 = require("./jsAnalyzer.js");
 const archScanner_js_1 = require("./archScanner.js");
 /**
  * CEO-ready "Business Translation" for technical risks
@@ -46,88 +47,144 @@ const archScanner_js_1 = require("./archScanner.js");
 /**
  * 3-Tier Business Audit Translation
  */
-function getAuditDetails(type, issue) {
-    if (type === 'SecurityRisk') {
+/**
+ * 3-Tier Business Audit Translation with Standard IDs
+ */
+function getAuditDetails(id, type, issue) {
+    const commonFields = { id };
+    if (id === 'RR-SEC-001' || type === 'SecurityRisk') {
         return {
+            ...commonFields,
             title: "보안 취약점 위험 (Security Vulnerability)",
             category: 'Security',
             evidence: issue,
             standard: "OWASP Top 10 A03:2021 – Injection",
-            impact: "외부 공격자가 시스템 권한을 탈취하거나 민감 정보를 유출할 수 있는 통로가 됩니다. 보안 사고 발생 시 법적 책임 및 서비스 중단이 불가피합니다.",
-            action: "해당 코드를 즉시 격리하고 subprocess.run(shell=False) 또는 환경 변수(.env)를 활용하여 민감 정보를 분리하세요.",
+            impact: "외부 공격자가 시스템 권한을 탈취하거나 민감 정보를 유출할 수 있는 조건이 형성됩니다.",
+            action: `
+# Action: 격리 및 환경변수 사용
+subprocess.run(..., shell=False) # 권장
+# 또는 .env 파일 사용
+import os
+SECRET = os.getenv('MY_SECRET')
+`,
             reference: "https://docs.python.org/3/library/subprocess.html#security-considerations",
-            whenItMatters: "배포 즉시 자동화된 스캐너나 공격자에 의해 탐지될 수 있는 0순위 리스크입니다."
+            whenItMatters: "배포 즉시 자동화된 스캐너나 공격자에 의해 탐지될 수 있습니다."
         };
     }
-    if (type === 'ProductionRisk') {
-        if (issue.includes('테스트')) {
-            return {
-                title: "자동화 테스트 부재 (Missing Automated Tests)",
-                category: 'Service Interruption',
-                evidence: "tests/ 디렉토리 또는 pytest/unittest 관련 설정을 찾을 수 없습니다.",
-                standard: "Stability Standard: Code Coverage > 70%",
-                impact: "수동 테스트에 의존하게 되어 코드 변경 시마다 예상치 못한 장애가 운영 환경에 배포될 위험이 높으며, 장애 복구 시간(MTTR)이 매우 길어집니다.",
-                action: "pytest를 설치하고 핵심 로직에 대한 Smoke Test 3개를 먼저 작성하세요.",
-                reference: "https://docs.pytest.org/en/7.1.x/getting-started.html",
-                whenItMatters: "코드 변경 주기가 빨라지거나 팀원이 2명 이상으로 늘어날 때 병목이 발생합니다."
-            };
-        }
-        if (issue.includes('CI')) {
-            return {
-                title: "배포 자동화 파이프라인 부재 (Missing CI Pipeline)",
-                category: 'Service Interruption',
-                evidence: "GitHub Actions 또는 CI 도구 워크플로우 설정을 발견할 수 없습니다.",
-                standard: "Modern DevOps Standard: Continuous Integration",
-                impact: "코드 머지 전 검증 자동화가 불가능하여, 사람이 개입하는 과정에서 실수가 반복됩니다. 이는 배포 안정성을 근본적으로 파악할 수 없게 만듭니다.",
-                action: ".github/workflows/main.yml 파일을 생성하고 자동 테스트 프로세스를 구축하세요.",
-                reference: "https://github.com/features/actions",
-                whenItMatters: "하루에 2회 이상 배포를 시도할 때 검증 누락으로 인한 사고 확률이 80%를 상회하게 됩니다."
-            };
-        }
-        if (issue.includes('Docker')) {
-            return {
-                title: "컨테이너화 구성 누락 (Environment Inconsistency)",
-                category: 'Service Interruption',
-                evidence: "Dockerfile 또는 docker-compose.yml 파일이 존재하지 않습니다.",
-                standard: "Cloud Native Standard: Immutable Infrastructure",
-                impact: "로컬 개발 환경과 실제 운영 환경의 버전 차이로 인해 '내 컴퓨터에선 되는데 서버에선 안 되는' 예측 불가능한 장애가 발생합니다.",
-                action: "Dockerfile을 작성하여 환경 설정을 컨테이너화하세요.",
-                reference: "https://docs.docker.com/engine/reference/builder/",
-                whenItMatters: "신규 개발자가 팀에 합류하거나 클라우드 인프라 확장이 필요할 때 시간 낭비가 심화됩니다."
-            };
-        }
+    if (id === 'RR-TEST-001') {
         return {
-            title: "운영 준비도 미흡 (Production Readiness Gap)",
+            ...commonFields,
+            title: "자동화 테스트 부재 (Missing Automated Tests)",
             category: 'Service Interruption',
-            evidence: issue,
-            standard: "Production Readiness Checklist v1.0",
-            impact: "실제 운영 환경에서 예기치 못한 장애 발생 시 복구가 불가능하거나 매우 지연될 수 있는 핵심 요소입니다.",
-            action: "해당 설정 파일을 추가하거나 환경 설정을 고정하여 재현 가능성을 확보하세요.",
-            reference: "https://google.github.io/styleguide/pyguide.html",
-            whenItMatters: "장애 발생 시 원인 파악을 수분 내에 완료하지 못할 경우 다운타임이 기하급수적으로 늘어납니다."
+            evidence: "tests/ 디렉토리 또는 pytest/unittest 관련 설정을 찾을 수 없습니다.",
+            standard: "pytest Framework Documentation",
+            impact: "코드 변경 시 기존 기능이 파괴되었는지 확인할 방법이 없어, 배포 후 장애 발생 확률이 높아집니다.",
+            action: `
+# Action: Create tests/test_smoke.py
+def test_health_check():
+    assert True  # Basic sanity check
+`,
+            reference: "https://docs.pytest.org/",
+            whenItMatters: "팀원이 2명 이상으로 늘어나거나 배포 주기가 빨라질 때."
+        };
+    }
+    if (id === 'RR-CI-001') {
+        return {
+            ...commonFields,
+            title: "배포 자동화 파이프라인 부재 (Missing CI Pipeline)",
+            category: 'Service Interruption',
+            evidence: "GitHub Actions (.github/workflows/*.yml) 또는 CI 설정 파일이 없습니다.",
+            standard: "GitHub Actions Documentation",
+            impact: "사람의 수동 배포 과정에서 실수가 발생할 수 있으며, 일관된 배포 상태를 보장할 수 없습니다.",
+            action: `
+# Action: Create .github/workflows/ci.yml
+name: CI
+on: [push]
+jobs:
+  test:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v3
+      - run: npm test
+`,
+            reference: "https://docs.github.com/en/actions",
+            whenItMatters: "배포 빈도가 주 2회 이상으로 증가할 때."
+        };
+    }
+    if (id === 'RR-OPS-001') {
+        return {
+            ...commonFields,
+            title: "운영 기본 위생 체크 실패 (Project Hygiene)",
+            category: 'Service Interruption',
+            evidence: issue, // Consolidated list will be passed here
+            standard: "12-Factor App / Docker Documentation",
+            impact: "개발 환경과 운영 환경의 불일치로 인해 '내 컴퓨터에서는 되는데 서버에서는 안 되는' 문제가 발생합니다.",
+            action: `
+# Checklist to Fix:
+1. Create 'Dockerfile'
+2. Create '.gitignore' (use gitignore.io)
+3. Create 'requirements.txt' or 'package.json'
+4. Create '.env.example'
+`,
+            reference: "https://12factor.net/",
+            whenItMatters: "신규 입사자 온보딩 또는 서버 이관 시."
+        };
+    }
+    if (id === 'RR-LOG-001') {
+        return {
+            ...commonFields,
+            title: "로깅 설정 미흡 (Insufficient Logging)",
+            category: 'Maintenance',
+            evidence: "코드 내에서 로깅 설정(logging, loguru 등)이 발견되지 않았습니다.",
+            standard: "Python Logging Cookbook",
+            impact: "장애 발생 시 원인을 추적할 수 있는 데이터가 없어 해결 시간이 길어집니다.",
+            action: `
+# Action: Python Logging Setup
+import logging
+logging.basicConfig(level=logging.INFO)
+logger = logging.getLogger(__name__)
+logger.info("Server started")
+`,
+            reference: "https://docs.python.org/3/howto/logging-cookbook.html",
+            whenItMatters: "운영 중 알 수 없는 500 에러가 발생했을 때."
         };
     }
-    if (type === 'ArchitectureRisk' || type === 'CircularDependency') {
+    if (id === 'RR-DEP-001' || type === 'CircularDependency') {
         return {
+            ...commonFields,
             title: "구조적 의존성 결함 (Structural Dependency Issue)",
             category: 'Scalability',
-            evidence: type === 'CircularDependency' ? "모듈 간의 상호 참조 구조가 감지되었습니다." : issue,
+            evidence: issue,
             standard: "Clean Architecture: Dependency Rule",
-            impact: "모듈 간 결합도가 높아져 성능 저하 및 무한 루프 위험이 있으며, 코드 한 곳을 수정할 때 전혀 다른 곳에서 장애가 발생하는 '기술 부채'의 원인이 됩니다.",
-            action: "의존성 방향을 한 방향으로 정리하세요.",
-            reference: "https://peps.python.org/pep-0008/#imports",
-            whenItMatters: "프로젝트 코드 베이스가 5,000줄 이상으로 늘어날 때 유지보수가 불가능한 시크릿 코드로 변질됩니다."
+            impact: "모듈 간 결합도가 높아져 유지보수가 어려워지고, 사이드 이펙트가 발생하기 쉽습니다.",
+            action: "상호 참조하는 모듈을 분리하거나 공통 모듈로 추출하세요.",
+            reference: "https://refactoring.guru/design-patterns",
+            whenItMatters: "프로젝트 규모가 커질수록 리팩토링 비용이 기하급수적으로 증가합니다."
+        };
+    }
+    if (id === 'RR-LINT-001' || type === 'GodModule') {
+        return {
+            ...commonFields,
+            title: "거대 모듈 감지 (God Module)",
+            category: 'Maintenance',
+            evidence: issue,
+            standard: "Clean Code: Functions",
+            impact: "단일 파일의 책임이 과도하여 변경 시 영향 범위를 예측하기 어렵습니다.",
+            action: "책임에 따라 파일을 분리하세요 (Separation of Concerns).",
+            reference: "https://pypi.org/project/flake8/",
+            whenItMatters: "기능 추가 시마다 버그가 발생할 때."
         };
     }
     return {
+        ...commonFields,
         title: "기타 잠재적 리스크 (Other Potential Risks)",
         category: 'Maintenance',
         evidence: issue,
         standard: "General Coding Best Practices",
-        impact: "비즈니스 안정성에 위협이 될 수 있습니다.",
-        action: "지속적인 모니터링이 필요합니다.",
+        impact: "잠재적인 버그나 유지보수 어려움이 있을 수 있습니다.",
+        action: "해당 코드를 리뷰하고 리팩토링을 고려하세요.",
         reference: "#",
-        whenItMatters: "지속적인 관찰 없이는 언젠가 운영 환경에서 비용적 손실로 이어집니다."
+        whenItMatters: "지속적인 코드 품질 저하가 우려될 때."
     };
 }
 async function analyzeRepository(repoPath, resultsDir) {
@@ -158,44 +215,61 @@ async function analyzeRepository(repoPath, resultsDir) {
     let criticalCount = 0;
     let operationalGapCount = 0;
     // 1. Operational Audit (Critical -30 each)
-    const auditChecks = [
-        { name: 'tests', type: 'directory', pattern: /tests?|spec/, message: '[서비스 중단 리스크] 테스트 코드가 없습니다. 장애 발생 시 복구 시간(MTTR)이 급증할 위험이 있습니다.' },
-        { name: 'CI', type: 'directory', pattern: /\.github\/workflows|\.circleci|jenkins|gitlab/, message: '[서비스 중단 리스크] 자동화된 CI 환경이 없습니다. 배포 안정성을 보장할 수 없습니다.' },
-        { name: 'Docker', type: 'file', pattern: /Dockerfile|docker-compose/, message: '[인프라 리스크] 컨테이너 기반 환경 설정이 없습니다. 로컬과 운영 환경 불일치로 인한 장애 발생 가능성이 높습니다.' },
-        { name: 'Pinning', type: 'file', pattern: /requirements\.txt|poetry\.lock|pyproject\.toml|package-lock\.json|pnpm-lock\.yaml/, message: '[인프라 리스크] 종속성 버전 고정 파일이 없습니다. 외부 라이브러리 업데이트 시 서비스가 즉시 중단될 수 있습니다.' },
-        { name: 'Env', type: 'file', pattern: /\.env\.example|\.env\.sample/, message: '[유지보수 리스크] 환경 설정 예시 파일(.env.example)이 없습니다. 신규 투입 인력의 셋업 비용이 발생하며 사고 대응이 늦어집니다.' },
-    ];
-    for (const check of auditChecks) {
-        let found = false;
-        try {
-            if (check.type === 'directory') {
-                const dirs = fs.readdirSync(repoPath, { withFileTypes: true }).filter(d => d.isDirectory());
-                found = dirs.some(d => check.pattern.test(d.name.toLowerCase()));
-            }
-            else {
-                const allFiles = fs.readdirSync(repoPath);
-                found = allFiles.some(f => check.pattern.test(f.toLowerCase()));
-            }
-        }
-        catch (e) {
-            found = false;
-        }
-        if (!found) {
-            const details = getAuditDetails('ProductionRisk', check.message);
-            findings.push({
-                file: 'Repository Root',
-                line: 0,
-                type: 'ProductionRisk',
-                ...details
-            });
-            operationalGapCount++;
-        }
+    // 1. Operational Audit & Consolidation
+    const hygieneMissing = [];
+    // Check Tests
+    const hasTests = fs.readdirSync(repoPath, { withFileTypes: true })
+        .some(d => d.isDirectory() && /tests?|spec/i.test(d.name));
+    if (!hasTests) {
+        const details = getAuditDetails('RR-TEST-001', 'ProductionRisk', '');
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
+        operationalGapCount++;
     }
-    // New Ritual Checks: Logging & Git Hygiene
-    const hasGitIgnore = fs.existsSync(path.join(repoPath, '.gitignore'));
-    if (!hasGitIgnore) {
-        const details = getAuditDetails('ProductionRisk', '[운영 리스크] .gitignore 파일이 없습니다. 민감한 정보가 저장소에 포함될 위험이 매우 높습니다.');
-        findings.push({ file: 'Repository Root', line: 0, type: 'ProductionRisk', ...details });
+    // Check CI
+    const hasCI = fs.readdirSync(repoPath, { withFileTypes: true })
+        .some(d => d.isDirectory() && /(\.github|\.circleci|jenkins|gitlab)/i.test(d.name));
+    if (!hasCI) {
+        const details = getAuditDetails('RR-CI-001', 'ProductionRisk', '');
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
+        operationalGapCount++;
+    }
+    // Check Hygiene (Docker, Pinning, Env, GitIgnore)
+    const allFiles = fs.readdirSync(repoPath);
+    // Docker
+    if (!allFiles.some(f => /Dockerfile|docker-compose/i.test(f))) {
+        hygieneMissing.push("✘ Dockerfile or docker-compose.yml missing");
+    }
+    // Pinning
+    if (!allFiles.some(f => /requirements\.txt|poetry\.lock|pyproject\.toml|package-lock\.json|pnpm-lock\.yaml/i.test(f))) {
+        hygieneMissing.push("✘ Dependency Lockfile (requirements.txt, package-lock.json, etc) missing");
+    }
+    // Env
+    if (!allFiles.some(f => /\.env\.example|\.env\.sample/i.test(f))) {
+        hygieneMissing.push("✘ .env.example (Safe environment template) missing");
+    }
+    // GitIgnore
+    if (!fs.existsSync(path.join(repoPath, '.gitignore'))) {
+        hygieneMissing.push("✘ .gitignore missing");
+    }
+    if (hygieneMissing.length > 0) {
+        const evidenceBlock = "\n" + hygieneMissing.join("\n");
+        const details = getAuditDetails('RR-OPS-001', 'ProductionRisk', evidenceBlock);
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
         operationalGapCount++;
     }
     let hasLogging = false;
@@ -211,13 +285,37 @@ async function analyzeRepository(repoPath, resultsDir) {
             }
             // God Module Check (>500 lines)
             if (lines.length > 500) {
-                const details = getAuditDetails('ProductionRisk', `[유지보수 리스크] 거대 모듈(${lines.length}줄)이 감지되었습니다. 단일 파일의 책임이 과도하여 변경 시 장애 파급력이 큽니다.`);
+                const details = getAuditDetails('RR-LINT-001', 'GodModule', `File length: ${lines.length} lines`);
                 findings.push({ file: relativePath, line: 0, type: 'ProductionRisk', ...details });
                 operationalGapCount++;
             }
             const result = await (0, analyzer_js_1.analyzePythonCode)(code, relativePath);
             if (result.hasError) {
-                const details = getAuditDetails(result.type || 'Error', result.error || 'Unknown Issue');
+                const details = getAuditDetails('RR-SEC-001', result.type || 'Error', result.error || 'Unknown Issue');
+                findings.push({
+                    file: relativePath,
+                    line: result.line || 0,
+                    type: result.type || 'Error',
+                    ...details
+                });
+                if (result.type === 'SecurityRisk')
+                    criticalCount++;
+            }
+        }
+        catch (e) {
+            console.error(`Error analyzing ${f}:`, e);
+        }
+    }
+    // 2.1 Code Level Analysis (JS/TS logic)
+    for (const f of files.filter(f => /\.(js|ts|jsx|tsx)$/.test(f))) {
+        try {
+            const code = fs.readFileSync(f, 'utf8');
+            const relativePath = path.relative(repoPath, f);
+            // Logging Check (Simple console.log check is in rules, but here specific frameworks?)
+            // We rely on rules for now.
+            const result = await (0, jsAnalyzer_js_1.analyzeJsTsCode)(code, relativePath);
+            if (result.hasError) {
+                const details = getAuditDetails('RR-SEC-002', result.type || 'Error', result.error || 'Unknown Issue'); // Use SEC-002 for JS? Or reuse.
                 findings.push({
                     file: relativePath,
                     line: result.line || 0,
@@ -233,14 +331,14 @@ async function analyzeRepository(repoPath, resultsDir) {
         }
     }
     if (!hasLogging && files.filter(f => f.endsWith('.py')).length > 0) {
-        const details = getAuditDetails('ProductionRisk', '[운영 리스크] 로그 시스템 사용이 감지되지 않습니다. 장애 발생 시 원인 파악이 불가능합니다.');
+        const details = getAuditDetails('RR-LOG-001', 'ProductionRisk', '');
         findings.push({ file: 'Repository Root', line: 0, type: 'ProductionRisk', ...details });
         operationalGapCount++;
     }
     // 3. Dependency Scan (Scalability -15)
     const { adj, cycles } = (0, archScanner_js_1.depsScan)(repoPath);
     for (const cycle of cycles) {
-        const details = getAuditDetails('CircularDependency', '');
+        const details = getAuditDetails('RR-DEP-001', 'CircularDependency', `Cycle: ${cycle.join(' -> ')}`);
         findings.push({
             file: cycle[0],
             line: 0,

package/package.json

@@ -1,6 +1,6 @@
 {
     "name": "archrisk-engine",
-    "version": "1.0.0",
+    "version": "1.0.2",
     "main": "dist/index.js",
     "types": "dist/index.d.ts",
     "scripts": {

package/src/index.ts

@@ -3,3 +3,4 @@ export * from './aiDiagnosis.js';
 export * from './archScanner.js';
 export * from './repoAnalyzer.js';
 export * from './deepAnalysis.js';
+export * from './jsAnalyzer.js';

package/src/jsAnalyzer.ts

@@ -0,0 +1,143 @@
+import { AnalysisResult } from './analyzer.js';
+
+/**
+ * [The Eye] JS/TS Analysis Engine
+ * 
+ * RegEx-based static analysis for JavaScript/TypeScript files.
+ * MVP: Focused on 8 specific credibility rules.
+ */
+
+export async function analyzeJsTsCode(code: string, fileName: string): Promise<AnalysisResult> {
+    // 1. Architecture Health Scan (God Module / Large File)
+    const lines = code.split('\n');
+    if (lines.length > 800) {
+        return {
+            hasError: true,
+            error: `Large File Risk: ${lines.length} lines. Maintanability risk.`,
+            line: 1,
+            type: 'ProductionRisk',
+            file: fileName
+        };
+    }
+
+    // 2. Risk Scan (Security & Production Readiness)
+    const riskResult = scanForJsRisks(code, fileName, lines);
+    if (riskResult.hasError) {
+        return riskResult;
+    }
+
+    return { hasError: false };
+}
+
+interface RiskRule {
+    pattern?: RegExp;
+    condition?: (codeOrLine: string) => boolean;
+    type: string;
+    message: string;
+}
+
+function scanForJsRisks(code: string, fileName: string, lines: string[]): AnalysisResult {
+    const risks: RiskRule[] = [
+        // Critical (🔴) - Security
+        {
+            pattern: /eval\s*\(|new\s+Function\s*\(/,
+            type: 'SecurityRisk',
+            message: '[Security] Dynamic code execution detected (eval/new Function). This is a severe security risk.'
+        },
+        {
+            pattern: /child_process\.(exec|execSync)\s*\(/,
+            type: 'SecurityRisk',
+            message: '[Security] Shell command execution detected. Ensure inputs are sanitized or use spawn without shell.'
+        },
+        {
+            pattern: /spawn\s*\(.*,\s*\{.*shell:\s*true/s, // Multi-line match attempt with DOTALL flag simulated or just simple check
+            type: 'SecurityRisk',
+            message: '[Security] spawn with { shell: true } detected. This enables shell command injection.'
+        },
+        {
+            pattern: /(?:api[._-]?key|password|secret|token)\s*[:=]\s*['"][a-zA-Z0-9_-]{10,}['"]/i,
+            type: 'SecurityRisk',
+            message: '[Security] Hardcoded secret detected. Use environment variables.'
+        },
+
+        // Warning (🟡) - Production Readiness
+        {
+            condition: (l) => /(axios(\.[a-z]+)?|fetch|http\.(get|request))\s*\(/.test(l) && !/timeout/.test(l),
+            type: 'ProductionRisk',
+            message: '[Reliability] HTTP call missing explicit timeout. This can cause cascading failures.'
+        },
+        // Heuristic: App listen but no global error handler (simplified: check for generic app.use((err... pattern)
+        {
+            condition: (c) => c.includes('app.listen') && !/app\.use\s*\(\s*\(\s*err/.test(c),
+            type: 'ProductionRisk',
+            message: '[Reliability] Express app detected but Global Error Handler missing. Unhandled errors may crash the server.'
+        },
+        {
+            pattern: /console\.log\s*\(/,
+            type: 'ProductionRisk',
+            message: '[Observability] console.log used in production code. Use a structured logger (winston/pino).'
+        }
+    ];
+
+    // Line-based checks
+    for (let i = 0; i < lines.length; i++) {
+        const line = lines[i];
+        for (const risk of risks) {
+            // Pattern check
+            if (risk.pattern && risk.pattern.test(line)) {
+                // Skip comments for simple cases
+                if (line.trim().startsWith('//') || line.trim().startsWith('*')) continue;
+
+                return {
+                    hasError: true,
+                    error: risk.message,
+                    line: i + 1,
+                    type: risk.type,
+                    file: fileName
+                };
+            }
+
+            // Line-based Condition check (special case for timeout)
+            // We distinguish global vs line condition by context? 
+            // The 'app.listen' check is clearly global (checks whole code).
+            // The 'timeout' check is clearly line based (checks 'l').
+            // Let's rely on the message content to know if it is line-based for MVP simplicity
+            if (risk.condition && risk.message.includes('HTTP missing timeout') && risk.condition(line)) {
+                if (line.trim().startsWith('//') || line.trim().startsWith('*')) continue;
+                return {
+                    hasError: true,
+                    error: risk.message,
+                    line: i + 1,
+                    type: risk.type,
+                    file: fileName
+                };
+            }
+        }
+    }
+
+    // File-based checks (Global patterns)
+    for (const risk of risks) {
+        // Global Condition check
+        if (risk.condition && !risk.message.includes('HTTP missing timeout') && risk.condition(code)) {
+            return {
+                hasError: true,
+                error: risk.message,
+                line: 0,
+                type: risk.type,
+                file: fileName
+            };
+        }
+        // Multi-line regex checks
+        if (risk.pattern && risk.pattern.flags.includes('s') && risk.pattern.test(code)) {
+            return {
+                hasError: true,
+                error: risk.message,
+                line: 0,
+                type: risk.type,
+                file: fileName
+            };
+        }
+    }
+
+    return { hasError: false };
+}

package/src/repoAnalyzer.ts

@@ -2,12 +2,14 @@ import * as fs from 'fs';
 import * as path from 'path';
 import { execSync } from 'child_process';
 import { analyzePythonCode, AnalysisResult } from './analyzer.js';
+import { analyzeJsTsCode } from './jsAnalyzer.js';
 import { depsScan } from './archScanner.js';
 
 export interface RepoAnalysisResult {
     score: number; // Release Readiness Score (RRS)
     status: 'Ready for Production' | 'Needs Attention' | 'Not Ready for Deployment';
     findings: {
+        id: string;
         title: string;
         file: string;
         line: number;
@@ -37,88 +39,152 @@ export interface RepoAnalysisResult {
 /**
  * 3-Tier Business Audit Translation
  */
-export function getAuditDetails(type: string, issue: string): { title: string; category: RepoAnalysisResult['findings'][0]['category']; evidence: string; standard: string; impact: string; action: string; reference: string; whenItMatters: string } {
-    if (type === 'SecurityRisk') {
+/**
+ * 3-Tier Business Audit Translation with Standard IDs
+ */
+export function getAuditDetails(id: string, type: string, issue: string): { id: string; title: string; category: RepoAnalysisResult['findings'][0]['category']; evidence: string; standard: string; impact: string; action: string; reference: string; whenItMatters: string } {
+    const commonFields = { id };
+
+    if (id === 'RR-SEC-001' || type === 'SecurityRisk') {
         return {
+            ...commonFields,
             title: "보안 취약점 위험 (Security Vulnerability)",
             category: 'Security',
             evidence: issue,
             standard: "OWASP Top 10 A03:2021 – Injection",
-            impact: "외부 공격자가 시스템 권한을 탈취하거나 민감 정보를 유출할 수 있는 통로가 됩니다. 보안 사고 발생 시 법적 책임 및 서비스 중단이 불가피합니다.",
-            action: "해당 코드를 즉시 격리하고 subprocess.run(shell=False) 또는 환경 변수(.env)를 활용하여 민감 정보를 분리하세요.",
+            impact: "외부 공격자가 시스템 권한을 탈취하거나 민감 정보를 유출할 수 있는 조건이 형성됩니다.",
+            action: `
+# Action: 격리 및 환경변수 사용
+subprocess.run(..., shell=False) # 권장
+# 또는 .env 파일 사용
+import os
+SECRET = os.getenv('MY_SECRET')
+`,
             reference: "https://docs.python.org/3/library/subprocess.html#security-considerations",
-            whenItMatters: "배포 즉시 자동화된 스캐너나 공격자에 의해 탐지될 수 있는 0순위 리스크입니다."
+            whenItMatters: "배포 즉시 자동화된 스캐너나 공격자에 의해 탐지될 수 있습니다."
         };
     }
-    if (type === 'ProductionRisk') {
-        if (issue.includes('테스트')) {
-            return {
-                title: "자동화 테스트 부재 (Missing Automated Tests)",
-                category: 'Service Interruption',
-                evidence: "tests/ 디렉토리 또는 pytest/unittest 관련 설정을 찾을 수 없습니다.",
-                standard: "Stability Standard: Code Coverage > 70%",
-                impact: "수동 테스트에 의존하게 되어 코드 변경 시마다 예상치 못한 장애가 운영 환경에 배포될 위험이 높으며, 장애 복구 시간(MTTR)이 매우 길어집니다.",
-                action: "pytest를 설치하고 핵심 로직에 대한 Smoke Test 3개를 먼저 작성하세요.",
-                reference: "https://docs.pytest.org/en/7.1.x/getting-started.html",
-                whenItMatters: "코드 변경 주기가 빨라지거나 팀원이 2명 이상으로 늘어날 때 병목이 발생합니다."
-            };
-        }
-        if (issue.includes('CI')) {
-            return {
-                title: "배포 자동화 파이프라인 부재 (Missing CI Pipeline)",
-                category: 'Service Interruption',
-                evidence: "GitHub Actions 또는 CI 도구 워크플로우 설정을 발견할 수 없습니다.",
-                standard: "Modern DevOps Standard: Continuous Integration",
-                impact: "코드 머지 전 검증 자동화가 불가능하여, 사람이 개입하는 과정에서 실수가 반복됩니다. 이는 배포 안정성을 근본적으로 파악할 수 없게 만듭니다.",
-                action: ".github/workflows/main.yml 파일을 생성하고 자동 테스트 프로세스를 구축하세요.",
-                reference: "https://github.com/features/actions",
-                whenItMatters: "하루에 2회 이상 배포를 시도할 때 검증 누락으로 인한 사고 확률이 80%를 상회하게 됩니다."
-            };
-        }
-        if (issue.includes('Docker')) {
-            return {
-                title: "컨테이너화 구성 누락 (Environment Inconsistency)",
-                category: 'Service Interruption',
-                evidence: "Dockerfile 또는 docker-compose.yml 파일이 존재하지 않습니다.",
-                standard: "Cloud Native Standard: Immutable Infrastructure",
-                impact: "로컬 개발 환경과 실제 운영 환경의 버전 차이로 인해 '내 컴퓨터에선 되는데 서버에선 안 되는' 예측 불가능한 장애가 발생합니다.",
-                action: "Dockerfile을 작성하여 환경 설정을 컨테이너화하세요.",
-                reference: "https://docs.docker.com/engine/reference/builder/",
-                whenItMatters: "신규 개발자가 팀에 합류하거나 클라우드 인프라 확장이 필요할 때 시간 낭비가 심화됩니다."
-            };
-        }
+
+    if (id === 'RR-TEST-001') {
         return {
-            title: "운영 준비도 미흡 (Production Readiness Gap)",
+            ...commonFields,
+            title: "자동화 테스트 부재 (Missing Automated Tests)",
             category: 'Service Interruption',
-            evidence: issue,
-            standard: "Production Readiness Checklist v1.0",
-            impact: "실제 운영 환경에서 예기치 못한 장애 발생 시 복구가 불가능하거나 매우 지연될 수 있는 핵심 요소입니다.",
-            action: "해당 설정 파일을 추가하거나 환경 설정을 고정하여 재현 가능성을 확보하세요.",
-            reference: "https://google.github.io/styleguide/pyguide.html",
-            whenItMatters: "장애 발생 시 원인 파악을 수분 내에 완료하지 못할 경우 다운타임이 기하급수적으로 늘어납니다."
+            evidence: "tests/ 디렉토리 또는 pytest/unittest 관련 설정을 찾을 수 없습니다.",
+            standard: "pytest Framework Documentation",
+            impact: "코드 변경 시 기존 기능이 파괴되었는지 확인할 방법이 없어, 배포 후 장애 발생 확률이 높아집니다.",
+            action: `
+# Action: Create tests/test_smoke.py
+def test_health_check():
+    assert True  # Basic sanity check
+`,
+            reference: "https://docs.pytest.org/",
+            whenItMatters: "팀원이 2명 이상으로 늘어나거나 배포 주기가 빨라질 때."
+        };
+    }
+
+    if (id === 'RR-CI-001') {
+        return {
+            ...commonFields,
+            title: "배포 자동화 파이프라인 부재 (Missing CI Pipeline)",
+            category: 'Service Interruption',
+            evidence: "GitHub Actions (.github/workflows/*.yml) 또는 CI 설정 파일이 없습니다.",
+            standard: "GitHub Actions Documentation",
+            impact: "사람의 수동 배포 과정에서 실수가 발생할 수 있으며, 일관된 배포 상태를 보장할 수 없습니다.",
+            action: `
+# Action: Create .github/workflows/ci.yml
+name: CI
+on: [push]
+jobs:
+  test:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v3
+      - run: npm test
+`,
+            reference: "https://docs.github.com/en/actions",
+            whenItMatters: "배포 빈도가 주 2회 이상으로 증가할 때."
+        };
+    }
+
+    if (id === 'RR-OPS-001') {
+        return {
+            ...commonFields,
+            title: "운영 기본 위생 체크 실패 (Project Hygiene)",
+            category: 'Service Interruption',
+            evidence: issue, // Consolidated list will be passed here
+            standard: "12-Factor App / Docker Documentation",
+            impact: "개발 환경과 운영 환경의 불일치로 인해 '내 컴퓨터에서는 되는데 서버에서는 안 되는' 문제가 발생합니다.",
+            action: `
+# Checklist to Fix:
+1. Create 'Dockerfile'
+2. Create '.gitignore' (use gitignore.io)
+3. Create 'requirements.txt' or 'package.json'
+4. Create '.env.example'
+`,
+            reference: "https://12factor.net/",
+            whenItMatters: "신규 입사자 온보딩 또는 서버 이관 시."
         };
     }
-    if (type === 'ArchitectureRisk' || type === 'CircularDependency') {
+
+    if (id === 'RR-LOG-001') {
         return {
+            ...commonFields,
+            title: "로깅 설정 미흡 (Insufficient Logging)",
+            category: 'Maintenance',
+            evidence: "코드 내에서 로깅 설정(logging, loguru 등)이 발견되지 않았습니다.",
+            standard: "Python Logging Cookbook",
+            impact: "장애 발생 시 원인을 추적할 수 있는 데이터가 없어 해결 시간이 길어집니다.",
+            action: `
+# Action: Python Logging Setup
+import logging
+logging.basicConfig(level=logging.INFO)
+logger = logging.getLogger(__name__)
+logger.info("Server started")
+`,
+            reference: "https://docs.python.org/3/howto/logging-cookbook.html",
+            whenItMatters: "운영 중 알 수 없는 500 에러가 발생했을 때."
+        };
+    }
+
+    if (id === 'RR-DEP-001' || type === 'CircularDependency') {
+        return {
+            ...commonFields,
             title: "구조적 의존성 결함 (Structural Dependency Issue)",
             category: 'Scalability',
-            evidence: type === 'CircularDependency' ? "모듈 간의 상호 참조 구조가 감지되었습니다." : issue,
+            evidence: issue,
             standard: "Clean Architecture: Dependency Rule",
-            impact: "모듈 간 결합도가 높아져 성능 저하 및 무한 루프 위험이 있으며, 코드 한 곳을 수정할 때 전혀 다른 곳에서 장애가 발생하는 '기술 부채'의 원인이 됩니다.",
-            action: "의존성 방향을 한 방향으로 정리하세요.",
-            reference: "https://peps.python.org/pep-0008/#imports",
-            whenItMatters: "프로젝트 코드 베이스가 5,000줄 이상으로 늘어날 때 유지보수가 불가능한 시크릿 코드로 변질됩니다."
+            impact: "모듈 간 결합도가 높아져 유지보수가 어려워지고, 사이드 이펙트가 발생하기 쉽습니다.",
+            action: "상호 참조하는 모듈을 분리하거나 공통 모듈로 추출하세요.",
+            reference: "https://refactoring.guru/design-patterns",
+            whenItMatters: "프로젝트 규모가 커질수록 리팩토링 비용이 기하급수적으로 증가합니다."
+        };
+    }
+
+    if (id === 'RR-LINT-001' || type === 'GodModule') {
+        return {
+            ...commonFields,
+            title: "거대 모듈 감지 (God Module)",
+            category: 'Maintenance',
+            evidence: issue,
+            standard: "Clean Code: Functions",
+            impact: "단일 파일의 책임이 과도하여 변경 시 영향 범위를 예측하기 어렵습니다.",
+            action: "책임에 따라 파일을 분리하세요 (Separation of Concerns).",
+            reference: "https://pypi.org/project/flake8/",
+            whenItMatters: "기능 추가 시마다 버그가 발생할 때."
         };
     }
+
     return {
+        ...commonFields,
         title: "기타 잠재적 리스크 (Other Potential Risks)",
         category: 'Maintenance',
         evidence: issue,
         standard: "General Coding Best Practices",
-        impact: "비즈니스 안정성에 위협이 될 수 있습니다.",
-        action: "지속적인 모니터링이 필요합니다.",
+        impact: "잠재적인 버그나 유지보수 어려움이 있을 수 있습니다.",
+        action: "해당 코드를 리뷰하고 리팩토링을 고려하세요.",
         reference: "#",
-        whenItMatters: "지속적인 관찰 없이는 언젠가 운영 환경에서 비용적 손실로 이어집니다."
+        whenItMatters: "지속적인 코드 품질 저하가 우려될 때."
     };
 }
 
@@ -147,43 +213,66 @@ export async function analyzeRepository(repoPath: string, resultsDir?: string):
     let operationalGapCount = 0;
 
     // 1. Operational Audit (Critical -30 each)
-    const auditChecks = [
-        { name: 'tests', type: 'directory', pattern: /tests?|spec/, message: '[서비스 중단 리스크] 테스트 코드가 없습니다. 장애 발생 시 복구 시간(MTTR)이 급증할 위험이 있습니다.' },
-        { name: 'CI', type: 'directory', pattern: /\.github\/workflows|\.circleci|jenkins|gitlab/, message: '[서비스 중단 리스크] 자동화된 CI 환경이 없습니다. 배포 안정성을 보장할 수 없습니다.' },
-        { name: 'Docker', type: 'file', pattern: /Dockerfile|docker-compose/, message: '[인프라 리스크] 컨테이너 기반 환경 설정이 없습니다. 로컬과 운영 환경 불일치로 인한 장애 발생 가능성이 높습니다.' },
-        { name: 'Pinning', type: 'file', pattern: /requirements\.txt|poetry\.lock|pyproject\.toml|package-lock\.json|pnpm-lock\.yaml/, message: '[인프라 리스크] 종속성 버전 고정 파일이 없습니다. 외부 라이브러리 업데이트 시 서비스가 즉시 중단될 수 있습니다.' },
-        { name: 'Env', type: 'file', pattern: /\.env\.example|\.env\.sample/, message: '[유지보수 리스크] 환경 설정 예시 파일(.env.example)이 없습니다. 신규 투입 인력의 셋업 비용이 발생하며 사고 대응이 늦어집니다.' },
-    ];
-
-    for (const check of auditChecks) {
-        let found = false;
-        try {
-            if (check.type === 'directory') {
-                const dirs = fs.readdirSync(repoPath, { withFileTypes: true }).filter(d => d.isDirectory());
-                found = dirs.some(d => check.pattern.test(d.name.toLowerCase()));
-            } else {
-                const allFiles = fs.readdirSync(repoPath);
-                found = allFiles.some(f => check.pattern.test(f.toLowerCase()));
-            }
-        } catch (e) { found = false; }
-
-        if (!found) {
-            const details = getAuditDetails('ProductionRisk', check.message);
-            findings.push({
-                file: 'Repository Root',
-                line: 0,
-                type: 'ProductionRisk',
-                ...details
-            });
-            operationalGapCount++;
-        }
+    // 1. Operational Audit & Consolidation
+    const hygieneMissing: string[] = [];
+
+    // Check Tests
+    const hasTests = fs.readdirSync(repoPath, { withFileTypes: true })
+        .some(d => d.isDirectory() && /tests?|spec/i.test(d.name));
+    if (!hasTests) {
+        const details = getAuditDetails('RR-TEST-001', 'ProductionRisk', '');
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
+        operationalGapCount++;
     }
 
-    // New Ritual Checks: Logging & Git Hygiene
-    const hasGitIgnore = fs.existsSync(path.join(repoPath, '.gitignore'));
-    if (!hasGitIgnore) {
-        const details = getAuditDetails('ProductionRisk', '[운영 리스크] .gitignore 파일이 없습니다. 민감한 정보가 저장소에 포함될 위험이 매우 높습니다.');
-        findings.push({ file: 'Repository Root', line: 0, type: 'ProductionRisk', ...details });
+    // Check CI
+    const hasCI = fs.readdirSync(repoPath, { withFileTypes: true })
+        .some(d => d.isDirectory() && /(\.github|\.circleci|jenkins|gitlab)/i.test(d.name));
+    if (!hasCI) {
+        const details = getAuditDetails('RR-CI-001', 'ProductionRisk', '');
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
+        operationalGapCount++;
+    }
+
+    // Check Hygiene (Docker, Pinning, Env, GitIgnore)
+    const allFiles = fs.readdirSync(repoPath);
+
+    // Docker
+    if (!allFiles.some(f => /Dockerfile|docker-compose/i.test(f))) {
+        hygieneMissing.push("✘ Dockerfile or docker-compose.yml missing");
+    }
+    // Pinning
+    if (!allFiles.some(f => /requirements\.txt|poetry\.lock|pyproject\.toml|package-lock\.json|pnpm-lock\.yaml/i.test(f))) {
+        hygieneMissing.push("✘ Dependency Lockfile (requirements.txt, package-lock.json, etc) missing");
+    }
+    // Env
+    if (!allFiles.some(f => /\.env\.example|\.env\.sample/i.test(f))) {
+        hygieneMissing.push("✘ .env.example (Safe environment template) missing");
+    }
+    // GitIgnore
+    if (!fs.existsSync(path.join(repoPath, '.gitignore'))) {
+        hygieneMissing.push("✘ .gitignore missing");
+    }
+
+    if (hygieneMissing.length > 0) {
+        const evidenceBlock = "\n" + hygieneMissing.join("\n");
+        const details = getAuditDetails('RR-OPS-001', 'ProductionRisk', evidenceBlock);
+        findings.push({
+            file: 'Repository Root',
+            line: 0,
+            type: 'ProductionRisk',
+            ...details
+        });
         operationalGapCount++;
     }
 
@@ -203,7 +292,7 @@ export async function analyzeRepository(repoPath: string, resultsDir?: string):
 
             // God Module Check (>500 lines)
             if (lines.length > 500) {
-                const details = getAuditDetails('ProductionRisk', `[유지보수 리스크] 거대 모듈(${lines.length}줄)이 감지되었습니다. 단일 파일의 책임이 과도하여 변경 시 장애 파급력이 큽니다.`);
+                const details = getAuditDetails('RR-LINT-001', 'GodModule', `File length: ${lines.length} lines`);
                 findings.push({ file: relativePath, line: 0, type: 'ProductionRisk', ...details });
                 operationalGapCount++;
             }
@@ -211,7 +300,34 @@ export async function analyzeRepository(repoPath: string, resultsDir?: string):
             const result = await analyzePythonCode(code, relativePath);
 
             if (result.hasError) {
-                const details = getAuditDetails(result.type || 'Error', result.error || 'Unknown Issue');
+                const details = getAuditDetails('RR-SEC-001', result.type || 'Error', result.error || 'Unknown Issue');
+                findings.push({
+                    file: relativePath,
+                    line: result.line || 0,
+                    type: result.type || 'Error',
+                    ...details
+                });
+
+                if (result.type === 'SecurityRisk') criticalCount++;
+            }
+        } catch (e) {
+            console.error(`Error analyzing ${f}:`, e);
+        }
+    }
+
+    // 2.1 Code Level Analysis (JS/TS logic)
+    for (const f of files.filter(f => /\.(js|ts|jsx|tsx)$/.test(f))) {
+        try {
+            const code = fs.readFileSync(f, 'utf8');
+            const relativePath = path.relative(repoPath, f);
+
+            // Logging Check (Simple console.log check is in rules, but here specific frameworks?)
+            // We rely on rules for now.
+
+            const result = await analyzeJsTsCode(code, relativePath);
+
+            if (result.hasError) {
+                const details = getAuditDetails('RR-SEC-002', result.type || 'Error', result.error || 'Unknown Issue'); // Use SEC-002 for JS? Or reuse.
                 findings.push({
                     file: relativePath,
                     line: result.line || 0,
@@ -227,7 +343,7 @@ export async function analyzeRepository(repoPath: string, resultsDir?: string):
     }
 
     if (!hasLogging && files.filter(f => f.endsWith('.py')).length > 0) {
-        const details = getAuditDetails('ProductionRisk', '[운영 리스크] 로그 시스템 사용이 감지되지 않습니다. 장애 발생 시 원인 파악이 불가능합니다.');
+        const details = getAuditDetails('RR-LOG-001', 'ProductionRisk', '');
         findings.push({ file: 'Repository Root', line: 0, type: 'ProductionRisk', ...details });
         operationalGapCount++;
     }
@@ -235,7 +351,7 @@ export async function analyzeRepository(repoPath: string, resultsDir?: string):
     // 3. Dependency Scan (Scalability -15)
     const { adj, cycles } = depsScan(repoPath);
     for (const cycle of cycles) {
-        const details = getAuditDetails('CircularDependency', '');
+        const details = getAuditDetails('RR-DEP-001', 'CircularDependency', `Cycle: ${cycle.join(' -> ')}`);
         findings.push({
             file: cycle[0],
             line: 0,