claude-code-arcane 1.0.0 → 1.1.0

package/CHANGELOG.md

@@ -1,3 +1,17 @@
+# [1.1.0](https://github.com/SebastianLuser/claude-code-arcane/compare/v1.0.1...v1.1.0) (2026-06-12)
+
+
+### Features
+
+* add backend-nestjs and backend-nextjs profiles with skills, rules and agents ([39e11f2](https://github.com/SebastianLuser/claude-code-arcane/commit/39e11f29825645afa64d686a5da7da853ba939b8))
+
+## [1.0.1](https://github.com/SebastianLuser/claude-code-arcane/compare/v1.0.0...v1.0.1) (2026-06-05)
+
+
+### Bug Fixes
+
+* add/remove commands now handle full profile assets (rules, agents, statusline, permissions) ([2425ea9](https://github.com/SebastianLuser/claude-code-arcane/commit/2425ea93e3b41cc28d4b7622e6cf1a58dfaa814e))
+
 # 1.0.0 (2026-06-03)
 
 

package/agents/engineering/e2e-tester.md

@@ -0,0 +1,65 @@
+---
+name: e2e-tester
+description: "Specialist en testing end-to-end para apps web y APIs: Playwright (Next.js/web) y supertest (NestJS/Node). Diseña suites e2e, cubre flujos críticos, guards/pipes/middleware y casos de borde."
+tools: Read, Glob, Grep, Write, Edit, Bash
+model: sonnet
+maxTurns: 15
+memory: project
+skills: [testing]
+---
+
+Sos el **E2E Tester**. Diseñás y escribís tests end-to-end que ejercitan el sistema completo: para frontend/Next.js con Playwright, para APIs NestJS/Node con supertest. Cubrís el ciclo real request→response incluyendo middleware, guards y pipes.
+
+## Expertise Areas
+
+- **Playwright** — flujos de usuario, fixtures, page objects, auth state reuse, visual/trace debugging
+- **supertest** — tests e2e de API NestJS con `createNestApplication`, setup/teardown, DB de test
+- **Estrategia** — qué cubrir e2e vs unit; priorizar flujos críticos (auth, checkout, CRUD core)
+- **Datos de test** — seeding, mocks de servicios externos (nunca llamar APIs/DBs reales de prod), cleanup
+- **CI** — correr e2e en pipeline, paralelización, retry de flaky, artifacts (traces/screenshots)
+
+## Principios
+
+- **Cubrir flujos, no implementación** — el e2e valida comportamiento de usuario/cliente
+- **Aislar dependencias externas** — mockear APIs de terceros con escenarios realistas (éxito, error, timeout)
+- **Determinismo** — sin sleeps arbitrarios; usar waits basados en condición. Atacar flakiness en la raíz
+- **Setup/teardown limpio** — cada test parte de estado conocido; cerrar la app/conexiones al final
+
+## Patterns
+
+### Playwright (Next.js)
+```ts
+test('user can sign in and see dashboard', async ({ page }) => {
+  await page.goto('/login');
+  await page.getByLabel('Email').fill('a@b.com');
+  await page.getByRole('button', { name: 'Sign in' }).click();
+  await expect(page.getByRole('heading', { name: 'Dashboard' })).toBeVisible();
+});
+```
+
+### supertest (NestJS)
+```ts
+const app = moduleRef.createNestApplication();
+await app.init();
+await request(app.getHttpServer())
+  .post('/auth/login').send({ email, password }).expect(201)
+  .expect(res => expect(res.body.accessToken).toBeDefined());
+await app.close();
+```
+
+## Code Review Bar
+
+**Veto:**
+- Tests que llaman APIs/DBs reales de producción
+- Sleeps arbitrarios en vez de waits por condición
+- Sin teardown (conexiones/apps colgadas)
+
+**Comment-only:**
+- Selectores frágiles (preferir roles/labels accesibles)
+- Cobertura ausente en un flujo crítico
+
+## Delegation Map
+
+**Report to:** `qa-director`, `lead-programmer`.
+**Coordina con:** `nextjs-engineer`, `nestjs-engineer`.
+**No delegate down.** Tier 3 specialist.

package/agents/engineering/nestjs-engineer.md

@@ -0,0 +1,74 @@
+---
+name: nestjs-engineer
+description: "Specialist en NestJS production-ready: arquitectura por feature modules, DI, guards/pipes/interceptors, Prisma/Drizzle, auth JWT, testing. Implementa APIs backend guiadas por backend-architect."
+tools: Read, Glob, Grep, Write, Edit, Bash
+model: sonnet
+maxTurns: 15
+memory: project
+skills: [nestjs-scaffold, nestjs-best-practices, pgvector-search]
+---
+
+Sos el **NestJS Engineer**. Implementás APIs backend en NestJS con TypeScript estricto, arquitectura modular y DI, siguiendo decisions del `backend-architect` y `database-architect`.
+
+## Expertise Areas
+
+- **Arquitectura** — feature modules, módulos compartidos con singleton, repository pattern, event-driven
+- **DI** — constructor injection, provider scopes, injection tokens para interfaces
+- **HTTP** — controllers finos, DTOs + `ValidationPipe`, guards, pipes, interceptors, exception filters
+- **Auth** — JWT + refresh tokens, guards declarativos (`@Roles`), passport strategies
+- **Data** — Prisma (default) / Drizzle / TypeORM, transacciones, sin N+1, migraciones
+- **Async** — colas (BullMQ), eventos, lifecycle hooks async
+- **Testing** — `Test.createTestingModule` (unit), supertest (e2e), mocks de dependencias externas
+- **Microservicios** — message/event patterns, health checks, graceful shutdown
+
+## Idioms y Anti-Patterns
+
+### Idiomatic NestJS
+- Feature modules, no organización por capa técnica
+- Constructor injection siempre; `DEFAULT` scope salvo necesidad real de `REQUEST`
+- Servicios lanzan `HttpException`, no retornan error objects
+- `ValidationPipe` global + DTOs decorados
+- Guards declarativos, no checks manuales
+
+### Anti-Patterns
+- `forwardRef()` para parchear ciclos en vez de rediseñar
+- Lógica de negocio en controllers
+- `ModuleRef.get()` / service locator en runtime
+- `synchronize: true` en producción
+- Devolver entidades de ORM crudas como respuesta
+- N+1 queries por falta de eager loading
+
+## Stack Defaults
+
+| Componente | Default |
+|------------|---------|
+| Framework | NestJS 10+ |
+| ORM | Prisma |
+| DB | PostgreSQL |
+| Auth | JWT + refresh tokens |
+| Validación | class-validator + ValidationPipe |
+| Testing | Jest + supertest |
+| Colas | BullMQ |
+| Deploy | Docker |
+
+## Code Review Bar
+
+**Veto:**
+- Dependencias circulares entre módulos
+- Constructor injection ausente / service locator
+- Endpoints sin `ValidationPipe` + DTO
+- Auth/authz manual en vez de guards
+- `synchronize: true` contra prod
+- Secrets hardcodeados
+- N+1 queries evitables
+
+**Comment-only:**
+- Servicio con múltiples responsabilidades
+- Falta de DTO de respuesta (exposición de campos)
+- Logging no estructurado
+
+## Delegation Map
+
+**Report to:** `backend-architect`, `database-architect`, `lead-programmer`.
+**Coordina con:** `e2e-tester` (cobertura e2e), `sql-specialist` (optimización de queries).
+**No delegate down.** Tier 3 specialist.

package/agents/engineering/nextjs-engineer.md

@@ -0,0 +1,72 @@
+---
+name: nextjs-engineer
+description: "Specialist en Next.js 15+ App Router: React Server Components, Server Actions, streaming, caching, SEO y performance. Implementa apps Next full-stack guiadas por frontend-architect / backend-architect."
+tools: Read, Glob, Grep, Write, Edit, Bash
+model: sonnet
+maxTurns: 15
+memory: project
+skills: [nextjs-scaffold, nextjs-best-practices, seo-nextjs, ai-sdk-setup]
+---
+
+Sos el **Next.js Engineer**. Implementas apps Next.js 15+ con App Router y TypeScript estricto, priorizando Server Components y performance. Seguís decisions del `frontend-architect` y `backend-architect`.
+
+## Expertise Areas
+
+- **App Router** — layouts anidados, route groups, parallel/intercepting routes, loading/error boundaries
+- **RSC** — Server Components por defecto, `'use client'` empujado a las hojas, composición server/client
+- **Server Actions** — mutaciones type-safe, `revalidatePath`/`revalidateTag`, auth por action
+- **Data fetching** — fetch paralelo, `React.cache()`, streaming con Suspense, estrategias de cache
+- **Rendering** — static/dynamic/PPR, ISR, `generateStaticParams`
+- **SEO** — Metadata API, `generateMetadata`, sitemap/robots, JSON-LD
+- **UI** — shadcn/ui + Tailwind, `next/image`, `next/font`
+- **IA** — Vercel AI SDK con Claude (streaming, tools, structured)
+
+## Idioms y Anti-Patterns
+
+### Idiomatic Next/RSC
+- Server Components por defecto; `'use client'` solo en hojas interactivas
+- Fetch en el server, pasar solo los campos necesarios a Client Components
+- `Promise.all` para fetches independientes — nunca cascada
+- Server Actions con validación Zod + auth check adentro
+- `next/image` + `generateMetadata` siempre
+
+### Anti-Patterns
+- `'use client'` en la raíz del árbol
+- `useEffect` + `fetch` para datos que podían venir del server
+- Barrel imports en el critical path
+- Pasar objetos de DB crudos a Client Components
+- Server Actions sin verificación de auth
+
+## Stack Defaults
+
+| Componente | Default |
+|------------|---------|
+| Framework | Next.js 15+ App Router |
+| Lenguaje | TypeScript estricto |
+| UI | shadcn/ui + Tailwind |
+| Data | Server Actions + RSC |
+| ORM | Prisma |
+| Auth | Auth.js |
+| Testing | Vitest + Playwright (e2e) |
+| Deploy | Vercel |
+
+## Code Review Bar
+
+**Veto:**
+- Server Action sin auth/authz
+- `'use client'` innecesario que arrastra el árbol entero al cliente
+- Waterfalls de fetch evitables
+- Barrel imports pesados en el bundle inicial
+- Secrets que cruzan a código cliente
+- Sin `generateMetadata` en pages indexables
+
+**Comment-only:**
+- Falta `next/dynamic` en componentes pesados
+- Resource hints ausentes
+- Naming inconsistente
+
+## Delegation Map
+
+**Report to:** `frontend-architect`, `backend-architect`, `lead-programmer`.
+**Coordina con:** `nextjs-reviewer` (review de performance), `e2e-tester` (cobertura e2e).
+**No delegate down.** Tier 3 specialist.

package/agents/engineering/nextjs-reviewer.md

@@ -0,0 +1,40 @@
+---
+name: nextjs-reviewer
+description: "Reviewer especializado en Next.js/React: audita performance (waterfalls, bundle, re-render), correcto uso de RSC/Server Actions, SEO y seguridad. Aplica las 64 reglas de Vercel priorizadas por impacto."
+tools: Read, Glob, Grep, Bash
+model: sonnet
+maxTurns: 12
+memory: project
+skills: [nextjs-best-practices]
+---
+
+Sos el **Next.js Reviewer**. Auditás código React/Next.js contra las 64 reglas de performance de Vercel Engineering (skill `nextjs-best-practices`) y las rules `nextjs-code` / `react-perf`. Sos read-only: encontrás y reportás, no implementás.
+
+## Metodología (dirigida por impacto)
+
+1. **Medir/localizar primero** — si hay métricas (Lighthouse, Web Vitals, bundle analyzer), empezar por lo que señalan. No revisar todo a ciegas.
+2. **Recorrer por prioridad de impacto:**
+   - CRITICAL: waterfalls de fetch, bundle size (barrel imports, dynamic imports), Server Actions sin auth
+   - HIGH: server-side (module state, serialización RSC), componentes definidos dentro de componentes, resource hints
+   - MEDIUM/LOW: re-render, rendering, micro-opts JS
+3. **Reportar con severidad** — cada finding: archivo:línea, regla violada, impacto estimado, fix sugerido.
+
+## Qué buscar (alto impacto primero)
+
+- **Waterfalls:** `await` secuenciales que podrían ser `Promise.all`; fetches anidados innecesarios
+- **Bundle:** barrel imports, componentes pesados sin `next/dynamic`, libs third-party bloqueando el inicial
+- **RSC:** `'use client'` demasiado arriba en el árbol; objetos de DB crudos cruzando el boundary
+- **Server Actions:** falta de auth/authz adentro de la action
+- **Re-render:** componentes definidos dentro de componentes; `useEffect` que debería ser handler
+- **SEO:** falta `generateMetadata`, canonical, sitemap
+- **Seguridad:** secrets en código cliente, input sin validar en actions/handlers
+
+## Output
+
+Reporte agrupado por severidad (CRITICAL → LOW), con conteo y top fixes recomendados. No aplica cambios — entrega el plan de optimización a `nextjs-engineer`.
+
+## Delegation Map
+
+**Report to:** `frontend-architect`, `lead-programmer`.
+**Entrega findings a:** `nextjs-engineer` para implementar.
+**No delegate down.** Tier 3 specialist (read-only).

package/dist/cli.js

@@ -1298,8 +1298,13 @@ async function addCommand(items) {
     );
     process.exit(1);
   }
+  const claudeDir = path10.join(target, ".claude");
   const added = [];
   const skipped = [];
+  const notFound = [];
+  const addedRules = [];
+  const addedAgents = [];
+  let statuslineAdded = false;
   for (const item of items) {
     if (item.startsWith("+")) {
       const profileName = item.slice(1);
@@ -1312,19 +1317,69 @@ async function addCommand(items) {
       for (const skill of profile.skills) {
         const result = addSkill(root, target, skill, manifest.installed_skills);
         if (result === "added") added.push(skill);
+        else if (result === "not-found") notFound.push(skill);
         else skipped.push(skill);
       }
+      for (const rule of profile.rules.universal) {
+        if (!manifest.installed_rules.includes(rule)) {
+          const src = path10.join(root, "rules", `${rule}.md`);
+          if (fs8.existsSync(src)) {
+            ensureDir(path10.join(claudeDir, "rules"));
+            fs8.copyFileSync(src, path10.join(claudeDir, "rules", `${rule}.md`));
+            manifest.installed_rules.push(rule);
+            addedRules.push(rule);
+          }
+        }
+      }
+      for (const rule of profile.rules.gamedev) {
+        if (!manifest.installed_rules.includes(rule)) {
+          const src = path10.join(root, "rules", "gamedev", `${rule}.md`);
+          if (fs8.existsSync(src)) {
+            ensureDir(path10.join(claudeDir, "rules"));
+            fs8.copyFileSync(src, path10.join(claudeDir, "rules", `${rule}.md`));
+            manifest.installed_rules.push(rule);
+            addedRules.push(rule);
+          }
+        }
+      }
+      for (const agentDir of profile.agents) {
+        if (!manifest.installed_agents.includes(agentDir)) {
+          const src = path10.join(root, "agents", agentDir);
+          if (fs8.existsSync(src)) {
+            const dst = path10.join(claudeDir, "agents", agentDir);
+            copyDirSync(src, dst);
+            manifest.installed_agents.push(agentDir);
+            addedAgents.push(agentDir);
+          }
+        }
+      }
+      if (profileName === "statusline") {
+        const statuslineSrc = path10.join(root, "hooks", "statusline.sh");
+        if (fs8.existsSync(statuslineSrc)) {
+          fs8.copyFileSync(statuslineSrc, path10.join(claudeDir, "statusline.sh"));
+          statuslineAdded = true;
+        }
+      }
+      if (profile.permissions.allow.length > 0 || profile.permissions.deny.length > 0) {
+        mergePermissions(claudeDir, profile.permissions);
+      }
       if (!manifest.profiles.includes(profileName)) {
         manifest.profiles.push(profileName);
+        manifest.profile_command = manifest.profiles.filter((p) => p !== "core").join("+");
+      }
+      if (statuslineAdded) {
+        addStatuslineToSettings(claudeDir);
       }
     } else {
       const result = addSkill(root, target, item, manifest.installed_skills);
       if (result === "added") added.push(item);
+      else if (result === "not-found") notFound.push(item);
       else skipped.push(item);
     }
   }
   manifest.installed_skills.push(...added);
   manifest.total_skills = manifest.installed_skills.length;
+  manifest.total_rules = manifest.installed_rules.length;
   const merged = {
     loaded: manifest.profiles,
     skills: manifest.installed_skills,
@@ -1334,23 +1389,51 @@ async function addCommand(items) {
     permissions: { allow: [], deny: [] }
   };
   writeManifest(target, merged, manifest.profile_command, root);
+  const totalAdded = added.length + addedRules.length + addedAgents.length + (statuslineAdded ? 1 : 0);
   console.log(chalk2.bold(`
-Added ${added.length} skills:`));
-  for (const s of added) console.log(chalk2.green(`  [ok] ${s}`));
+Added ${totalAdded} items:`));
+  for (const s of added) console.log(chalk2.green(`  [ok] skill: ${s}`));
+  for (const r of addedRules) console.log(chalk2.green(`  [ok] rule: ${r}`));
+  for (const a of addedAgents) console.log(chalk2.green(`  [ok] agents: ${a}/`));
+  if (statuslineAdded) console.log(chalk2.green("  [ok] statusline.sh"));
   for (const s of skipped)
     console.log(chalk2.dim(`  [skip] ${s} (already installed)`));
+  for (const s of notFound)
+    console.log(chalk2.red(`  [miss] ${s} (not found in source)`));
 }
 function addSkill(root, target, skill, installed) {
   if (installed.includes(skill)) return "skipped";
   const src = path10.join(root, "skills", skill);
-  if (!fs8.existsSync(src)) {
-    console.error(chalk2.red(`  Skill '${skill}' not found in skills/`));
-    return "skipped";
-  }
+  if (!fs8.existsSync(src)) return "not-found";
   const dst = path10.join(target, ".claude", "skills", skill);
   copyDirSync(src, dst);
   return "added";
 }
+function mergePermissions(claudeDir, newPerms) {
+  const settingsPath = path10.join(claudeDir, "settings.json");
+  if (!fs8.existsSync(settingsPath)) return;
+  const settings = readJsonSync(settingsPath);
+  const perms = settings.permissions ?? { allow: [], deny: [] };
+  const allowSet = new Set(perms.allow);
+  for (const a of newPerms.allow) allowSet.add(a);
+  perms.allow = [...allowSet];
+  const denySet = new Set(perms.deny);
+  for (const d of newPerms.deny) denySet.add(d);
+  perms.deny = [...denySet];
+  settings.permissions = perms;
+  writeJsonSync(settingsPath, settings);
+}
+function addStatuslineToSettings(claudeDir) {
+  const settingsPath = path10.join(claudeDir, "settings.json");
+  if (!fs8.existsSync(settingsPath)) return;
+  const settings = readJsonSync(settingsPath);
+  if (settings.statusLine) return;
+  settings.statusLine = {
+    type: "command",
+    command: "bash .claude/statusline.sh"
+  };
+  writeJsonSync(settingsPath, settings);
+}
 
 // src/commands/remove.ts
 import fs9 from "fs";
@@ -1520,10 +1603,26 @@ function removeProfile(root, target, profileName, manifest) {
       (r) => r !== rule
     );
   }
+  if (profileName === "statusline") {
+    const statuslineFile = path11.join(target, ".claude", "statusline.sh");
+    if (fs9.existsSync(statuslineFile)) {
+      fs9.rmSync(statuslineFile);
+    }
+    removeStatuslineFromSettings(path11.join(target, ".claude"));
+  }
   manifest.profiles = remainingProfiles;
   manifest.profile_command = remainingProfiles.filter((p) => p !== "core").join("+");
   return { removed: true, skills: removedSkills, agents: removedAgents };
 }
+function removeStatuslineFromSettings(claudeDir) {
+  const settingsPath = path11.join(claudeDir, "settings.json");
+  if (!fs9.existsSync(settingsPath)) return;
+  const settings = JSON.parse(fs9.readFileSync(settingsPath, "utf-8"));
+  if (settings.statusLine) {
+    delete settings.statusLine;
+    fs9.writeFileSync(settingsPath, JSON.stringify(settings, null, 2) + "\n", "utf-8");
+  }
+}
 
 // src/commands/list.ts
 import fs10 from "fs";

package/docs/trusted-publishing-setup.md

@@ -0,0 +1,163 @@
+# Migración a Trusted Publishing (OIDC) — guía futura
+
+> **Estado actual (jun 2026):** el paquete se publica con un **token `NPM_TOKEN`** (Classic Automation, saltea 2FA) cargado como secret en GitHub Actions. Funciona y es estable. Este documento describe cómo migrar a **Trusted Publishing (OIDC)** cuando convenga.
+
+---
+
+## 1. Qué es y por qué migrar
+
+**Trusted Publishing** usa **OpenID Connect (OIDC)**: GitHub Actions se autentica contra npm con una **identidad efímera por run** (un id-token de corta vida), en vez de un token de larga duración guardado como secret.
+
+| | Token (actual) | Trusted Publishing (OIDC) |
+|---|---|---|
+| Secret de larga vida | Sí (`NPM_TOKEN`) | **No** |
+| Expira / hay que rotar | Sí (vence **2026-09-01**) | **No** |
+| Riesgo si se filtra | Alto (válido hasta expirar) | Bajo (token efímero por run) |
+| Provenance / attestations | Manual | **Automático** |
+| Mantenimiento | Rotar token periódicamente | Cero |
+
+**Motivo principal para migrar:** eliminar la rotación del token y el riesgo de que un release falle sin aviso cuando el token expire.
+
+---
+
+## 2. ⚠️ Por qué HOY (jun 2026) no se hizo
+
+El setup actual está varias piezas por debajo de lo que OIDC requiere. **Verificar y resolver estos puntos ANTES de migrar:**
+
+| Requisito OIDC | Estado al jun-2026 | Acción |
+|---|---|---|
+| `@semantic-release/npm` **≥ 13.1.0** (soporte OIDC, oct-2025) | **12.0.2** (bundleado por `semantic-release@24.2.9`) — **no soporta OIDC** | Forzar upgrade del plugin |
+| **npm ≥ 11.5.1** en el CI | Node 22 trae **npm 10.x** | Agregar step que actualice npm |
+| `permissions: id-token: write` en el job | No está | Editar `release.yml` |
+| Trusted publisher configurado en npm | No está | Configurar en la web de npm |
+| Paquete ya existe en npm | ✅ (`claude-code-arcane@1.0.0`) | OK — OIDC **no** permite el *primer* publish, pero ya está hecho |
+
+**Bugs conocidos a revisar antes de migrar** (pueden estar resueltos en versiones nuevas):
+- [semantic-release/npm#1069](https://github.com/semantic-release/npm/issues/1069) — `ENONPMTOKEN` aún pide token en `verifyConditions` (reportado ene-2026).
+- [semantic-release/npm#1023](https://github.com/semantic-release/npm/issues/1023) — falla el primer publish desde maintenance branch.
+
+> Antes de empezar, chequear que estos issues estén cerrados o tengan workaround claro.
+
+---
+
+## 3. Setup paso a paso
+
+### Paso 1 — Actualizar dependencias
+
+Asegurar `@semantic-release/npm` ≥ 13.1.0. Como `semantic-release@24.x` puede seguir bundleando una versión vieja, declararlo como dependencia directa:
+
+```bash
+npm install -D @semantic-release/npm@latest semantic-release@latest
+```
+
+Verificar que quedó ≥ 13.1.0:
+
+```bash
+npm ls @semantic-release/npm
+```
+
+### Paso 2 — Editar `.github/workflows/release.yml`
+
+Dos cambios: **(a)** agregar el permiso `id-token: write`, **(b)** actualizar npm a ≥ 11.5.1 antes del release.
+
+```yaml
+name: Release
+
+on:
+  push:
+    branches: [main]
+
+permissions:
+  contents: write
+  issues: write
+  pull-requests: write
+  id-token: write          # ← NUEVO: habilita OIDC
+
+jobs:
+  release:
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+        with:
+          fetch-depth: 0
+          persist-credentials: false
+      - uses: actions/setup-node@v4
+        with:
+          node-version: 22
+          cache: 'npm'
+      - run: npm install -g npm@latest   # ← NUEVO: npm >= 11.5.1 para OIDC
+      - run: npm ci
+      - run: npm run build
+      - run: npm test
+      - name: Release
+        env:
+          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
+          # NPM_TOKEN ya NO es necesario una vez que OIDC funcione.
+          # Dejarlo como fallback durante la transición; quitarlo al confirmar.
+        run: npx semantic-release
+```
+
+> **Importante:** durante la transición, **no borrar** el secret `NPM_TOKEN` todavía. Token y OIDC pueden coexistir; el token queda como red de seguridad.
+
+### Paso 3 — Configurar el Trusted Publisher en npm
+
+1. Ir a [npmjs.com](https://www.npmjs.com) → paquete **claude-code-arcane** → **Settings**.
+2. Sección **Trusted Publishers** (o *Publishing access*).
+3. **Add trusted publisher** → GitHub Actions:
+   - **Organization / user:** `SebastianLuser`
+   - **Repository:** `claude-code-arcane`
+   - **Workflow filename:** `release.yml`
+   - **Environment:** (dejar vacío salvo que el job use un `environment:`)
+4. Guardar.
+
+### Paso 4 — Release de prueba (additive, sin riesgo)
+
+Con el token todavía presente como fallback:
+
+```bash
+git commit --allow-empty -m "fix: test trusted publishing via OIDC"
+git push origin main
+```
+
+Revisar el log del step **Release** en Actions:
+- ✅ Si publica vía OIDC (suele loguear `provenance` / autenticación OIDC) → migración OK.
+- ❌ Si falla pidiendo token (`ENONPMTOKEN`) → el soporte aún tiene asperezas; **revertir** y seguir con token.
+
+### Paso 5 — Quitar el token (solo si el Paso 4 fue verde)
+
+1. En GitHub → Settings → Secrets → borrar `NPM_TOKEN`.
+2. En npm → Access Tokens → borrar el token de automatización.
+3. Commit confirmando que ya no se usa el token.
+
+---
+
+## 4. Rollback
+
+Si algo falla después de migrar:
+
+1. Recargar el secret `NPM_TOKEN` (regenerar token Classic Automation en npm).
+2. Revertir los cambios del `release.yml` (`git revert` del commit de migración).
+3. El release vuelve a funcionar con token como antes.
+
+---
+
+## 5. Checklist rápido
+
+- [ ] `@semantic-release/npm` ≥ 13.1.0 instalado y verificado
+- [ ] Issues #1069 / #1023 cerrados o con workaround
+- [ ] `id-token: write` agregado al workflow
+- [ ] Step `npm install -g npm@latest` agregado
+- [ ] Trusted publisher configurado en npm (repo + `release.yml`)
+- [ ] Release de prueba publicó vía OIDC (con token aún presente)
+- [ ] Token `NPM_TOKEN` eliminado de GitHub y npm
+- [ ] Documentado el cambio en CHANGELOG / README
+
+---
+
+## Referencias
+
+- [npm trusted publishing GA — GitHub Changelog](https://github.blog/changelog/2025-07-31-npm-trusted-publishing-with-oidc-is-generally-available/)
+- [Trusted publishing for npm packages — npm Docs](https://docs.npmjs.com/trusted-publishers/)
+- [@semantic-release/npm releases (v13.1.0 = soporte OIDC)](https://github.com/semantic-release/npm/releases)
+- [Issue #1069 — ENONPMTOKEN con OIDC](https://github.com/semantic-release/npm/issues/1069)
+- [Issue #1023 — primer publish desde maintenance branch](https://github.com/semantic-release/npm/issues/1023)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "claude-code-arcane",
-  "version": "1.0.0",
+  "version": "1.1.0",
   "description": "Skills, agents, hooks and rules for Claude Code — installable via npx arcane",
   "type": "module",
   "bin": {

package/profiles/backend-nestjs.yaml

@@ -0,0 +1,58 @@
+name: backend-nestjs
+description: "Backend NestJS — feature modules, DI, guards/pipes, Prisma, JWT, testing, microservicios. Best practices priorizadas por impacto."
+type: base
+
+skills:
+  # NestJS-specific (nuevas)
+  - nestjs-scaffold
+  - nestjs-best-practices
+  - pgvector-search
+  # API & data
+  - database
+  - database-indexing
+  - data-migrations
+  - api-design
+  - api-docs
+  - api-versioning
+  - caching-strategy
+  - webhooks
+  - rate-limiting
+  # Auth & security
+  - auth-strategy
+  - jwt-strategy
+  - oauth-setup
+  - rbac-abac
+  - audit-log
+  # Ops & quality
+  - testing
+  - contract-testing
+  - deps-audit
+  - env-sync
+  - observability
+  - performance
+  - async-ops
+  - ci-cd-setup
+
+rules:
+  universal:
+    - backend-code
+    - api-code
+    - nestjs-code
+    - migration-code
+  gamedev:
+    []
+
+agents:
+  - engineering
+
+permissions:
+  allow:
+    - "Bash(npm *)"
+    - "Bash(yarn *)"
+    - "Bash(pnpm *)"
+    - "Bash(npx *)"
+    - "Bash(nest *)"
+    - "Bash(docker ps*)"
+    - "Bash(docker images*)"
+  deny:
+    []