npm - code-ai-installer - Versions diffs - 1.0.1 → 1.1.2 - Mend

code-ai-installer 1.0.1 → 1.1.2

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (76) hide show

package/.agents/a11y_baseline/SKILL.md +41 -0
package/.agents/adr_log/SKILL.md +69 -0
package/.agents/api_contract_compliance_review/SKILL.md +18 -0
package/.agents/api_contracts/SKILL.md +42 -0
package/.agents/architecture_compliance_review/SKILL.md +17 -0
package/.agents/architecture_doc/SKILL.md +92 -0
package/.agents/board/SKILL.md +43 -0
package/.agents/cloud_infrastructure_security/SKILL.md +68 -0
package/.agents/code_review_checklist/SKILL.md +47 -0
package/.agents/current_state_analysis/SKILL.md +44 -0
package/.agents/data_model/SKILL.md +40 -0
package/.agents/dependency_supply_chain_review/SKILL.md +20 -0
package/.agents/deployment_ci_plan/SKILL.md +51 -0
package/.agents/design_intake/SKILL.md +71 -0
package/.agents/design_parity_review/SKILL.md +73 -0
package/.agents/design_systems/SKILL.md +15 -0
package/.agents/dev_reference_snippets/SKILL.md +397 -0
package/.agents/docker_kubernetes_architecture/SKILL.md +145 -0
package/.agents/es2025_beast_practices/SKILL.md +15 -0
package/.agents/gates/SKILL.md +35 -0
package/.agents/go_beast_practices/SKILL.md +23 -0
package/.agents/handoff/SKILL.md +52 -0
package/.agents/k8s_manifests_conventions/SKILL.md +176 -0
package/.agents/memory/SKILL.md +29 -0
package/.agents/mongodb_mongoose_best_practices/SKILL.md +236 -0
package/.agents/node_express_beast_practices/SKILL.md +30 -0
package/.agents/observability_logging/SKILL.md +16 -0
package/.agents/observability_plan/SKILL.md +38 -0
package/.agents/observability_review/SKILL.md +20 -0
package/.agents/performance_review_baseline/SKILL.md +17 -0
package/.agents/pm_backlog/SKILL.md +32 -0
package/.agents/pm_interview/SKILL.md +56 -0
package/.agents/pm_prd/SKILL.md +56 -0
package/.agents/qa_api_contract_tests/SKILL.md +16 -0
package/.agents/qa_e2e_playwright/SKILL.md +0 -0
package/.agents/qa_manual_run/SKILL.md +16 -0
package/.agents/qa_security_smoke_tests/SKILL.md +14 -0
package/.agents/qa_test_plan/SKILL.md +20 -0
package/.agents/qa_ui_a11y_smoke/SKILL.md +12 -0
package/.agents/react_15_3_wix_iframe/SKILL.md +20 -0
package/.agents/react_beast_practices/SKILL.md +29 -0
package/.agents/release_gate/SKILL.md +77 -0
package/.agents/release_gate_checklist_template/SKILL.md +68 -0
package/.agents/review_reference_snippets/SKILL.md +437 -0
package/.agents/security_baseline_dev/SKILL.md +16 -0
package/.agents/security_review/SKILL.md +55 -0
package/.agents/security_review_baseline/SKILL.md +25 -0
package/.agents/state_rtk_beast_practices/SKILL.md +15 -0
package/.agents/state_zustand_beast_practices/SKILL.md +11 -0
package/.agents/styling_css_stack/SKILL.md +12 -0
package/.agents/system_design_checklist/SKILL.md +48 -0
package/.agents/tanstack_beast_practices/SKILL.md +19 -0
package/.agents/tdd_workflow/SKILL.md +34 -0
package/.agents/testing_strategy_js/SKILL.md +30 -0
package/.agents/tests_quality_review/SKILL.md +18 -0
package/.agents/threat_model_baseline/SKILL.md +57 -0
package/.agents/tooling_bun_biome/SKILL.md +17 -0
package/.agents/typescript_beast_practices/SKILL.md +15 -0
package/.agents/ui_a11y_smoke_review/SKILL.md +15 -0
package/.agents/ui_inventory/SKILL.md +50 -0
package/.agents/ux_discovery/SKILL.md +48 -0
package/.agents/ux_spec/SKILL.md +56 -0
package/.agents/wix_self_hosted_embedded_script/SKILL.md +88 -0
package/AGENTS.md +120 -0
package/README.md +6 -1
package/agents/architect.md +242 -0
package/agents/conductor.md +207 -0
package/agents/product_manager.md +121 -0
package/agents/reviewer.md +201 -0
package/agents/senior_full_stack.md +218 -0
package/agents/tester.md +187 -0
package/agents/ux_ui_designer.md +145 -0
package/dist/index.js +62 -23
package/dist/sourceResolver.d.ts +10 -0
package/dist/sourceResolver.js +36 -0
package/package.json +5 -2

package/.agents/release_gate/SKILL.md ADDED Viewed

@@ -0,0 +1,77 @@
+---
+name: release_gate
+description: Финальный релиз-гейт: собрать отчёты Reviewer+Tester+CI, проверить DoD, классифицировать риски, принять решение GO/NO-GO и сформировать план закрытия.
+---
+# Skill: Release Gate
+## Цель
+Принять решение о релизе (GO/NO-GO) на основе DoD, отчётов ревью/тестирования и состояния CI/CD.
+## Обязательное условие
+Перед запуском релиз-гейта дирижёр должен сгенерировать чек-лист через: $release_gate_checklist_template
+## Входы
+- Отчёт Reviewer (P0/P1/P2 + suggested fixes)
+- Отчёт Tester (PASS/FAIL/BLOCKED + баги P0/P1/P2 + evidence)
+- CI результаты (unit/integration, lint/format, security/dependency checks если есть)
+- Release notes / список изменений (что релизим)
+- Общий DoD
+- Release Gate Checklist (RG-01…RG-xx) со статусами
+## Release Criteria (строго)
+### NO-GO (релиз запрещён)
+- Есть **P0** от Reviewer или Tester
+- Unit или Integration tests НЕ проходят
+- Есть риск утечки секретов/PII в коде/логах
+- Нет инструкций запуска/проверки (runbook) для изменений
+- Критичный UX flow сломан или заблокирован (BLOCKED без обхода)
+- Несоответствие API контрактам, ломающее клиента (P0)
+### GO с условиями (допускается только если заранее согласовано)
+- Есть P1/P2, но:
+  - есть workaround/митигирующие меры,
+  - есть заведённые задачи с приоритетом и владельцем,
+  - риск описан и принят.
+## DoD Checklist (обязательный)
+- [ ] Unit tests проходят
+- [ ] Integration tests проходят
+- [ ] Секреты не попадают в код/логи
+- [ ] Есть инструкции запуска/проверки (локально/CI)
+- [ ] Базовая безопасность: валидация ввода, авторизация, гигиена зависимостей
+## Процесс (шаги)
+1) Убедись, что создан RG checklist ($release_gate_checklist_template) и проставлены статусы.
+2) Собери входные артефакты: Reviewer report, Tester report, CI status.
+3) Сведи Findings в единый список: P0/P1/P2, owner, task link, status.
+4) Прогони DoD checklist и отметь PASS/MISSING.
+5) Прими решение GO/NO-GO (или GO-with-conditions если используется).
+6) Сформируй Release Report и обнови RG-22 (Decision).
+## Выход: Release Report (шаблон)
+### Release Decision
+- Decision: GO / NO-GO / GO-with-conditions
+- Version/Tag: <если есть>
+- Scope: <кратко что релизим>
+### Evidence
+- CI: PASS/FAIL (ссылка/коммит)
+- Reviewer: PASS/MISSING + P0/P1/P2 count
+- Tester: PASS/FAIL/BLOCKED + баги P0/P1/P2 count
+### DoD Status
+- Checklist: PASS/MISSING (со списком missing)
+### Blocking Issues (если NO-GO)
+- [ ] ID / Описание / Владелец / Как воспроизвести / Fix plan
+### Accepted Risks (если GO-with-conditions)
+- Риск → влияние → mitigation → owner → дедлайн
+### Next Actions
+- RG-01 ...
+- RG-02 ...
+## См. также
+- Шаблон чек-листа: $release_gate_checklist_template

package/.agents/release_gate_checklist_template/SKILL.md ADDED Viewed

@@ -0,0 +1,68 @@
+---
+name: release_gate_checklist_template
+description: Генерирует перед релизом видимый чек-лист RG-01…RG-xx (Evidence/DoD/Security/Ops/Post-deploy/Rollback) и правила статусов.
+---
+# Skill: Release Gate Checklist Template (RG-01…RG-xx)
+## Цель
+Перед каждым релизом создать **одинаковый** релизный чек-лист, чтобы дирижёр мог:
+- собрать доказательства (reports/CI),
+- проверить DoD,
+- зафиксировать риски,
+- выполнить post-deploy smoke,
+- обеспечить rollback plan.
+## Когда использовать
+- Каждый раз перед финальным решением о релизе (Release Gate).
+## Входы
+- Scope релиза (что релизим)
+- Версия/тег/коммит (если есть)
+- Ссылки на окружения (staging/prod) при наличии
+## Выход
+- Видимый checklist **RG-01…RG-xx** со статусами:
+  - TODO / IN-PROGRESS / BLOCKED / DONE
+- Краткая секция Evidence (ссылки/коммиты)
+- Мини-итог “Что ещё нужно закрыть до GO”
+## Шаблон (создавать как есть)
+### Release Gate Checklist
+- [ ] RG-01 (Evidence) Указать scope релиза + версия/тег/коммит
+- [ ] RG-02 (Evidence) CI зелёный: unit tests PASS
+- [ ] RG-03 (Evidence) CI зелёный: integration tests PASS
+- [ ] RG-04 (Evidence) Lint/format PASS (если есть в CI)
+- [ ] RG-05 (Evidence) Dependency/SCA audit PASS или риски зафиксированы
+- [ ] RG-06 (Evidence) Reviewer report получен (P0=0) + ссылка на отчёт
+- [ ] RG-07 (Evidence) Tester report получен (P0=0) + PASS/FAIL/BLOCKED + ссылка
+- [ ] RG-08 (DoD) Секреты не попали в код/логи (проверки/скан/ручная верификация)
+- [ ] RG-09 (DoD) Есть инструкции запуска/проверки (runbook) актуальные
+- [ ] RG-10 (DoD) Базовая безопасность подтверждена: input validation + authz + hygiene
+- [ ] RG-11 (Contracts) API соответствует контрактам (коды/форматы ошибок/валидация)
+- [ ] RG-12 (Data) Миграции/изменения данных: план применений + обратимость (если есть)
+- [ ] RG-13 (Ops) Observability: request_id/trace_id и безопасные логи (без PII/секретов)
+- [ ] RG-14 (Ops) Rate limiting / WAF / security headers (если применимо и предусмотрено)
+- [ ] RG-15 (Release) Release notes/изменения подготовлены
+- [ ] RG-16 (Release) Feature flags/rollout стратегия (если используется) определена
+- [ ] RG-17 (Rollback) Rollback plan описан и понятен
+- [ ] RG-18 (Rollback) Backup/restore требования выполнены (если есть БД/критичные данные)
+- [ ] RG-19 (Post-deploy) Smoke test сценарии определены (минимум P0 flows)
+- [ ] RG-20 (Post-deploy) Smoke test выполнен на целевом окружении (PASS)
+- [ ] RG-21 (Post-deploy) Мониторинг/алерты проверены (ошибки/latency)
+- [ ] RG-22 (Decision) Итоговое решение: GO / NO-GO (+ причины и условия)
+## Правила статусов
+- Если любой пункт RG-02/03/06/07/08/09/10 провален → ставить BLOCKED и релиз = NO-GO.
+- P0 из Reviewer или Tester → BLOCKED и релиз = NO-GO.
+- P1 допускаются только при явном “Accepted Risks” с owner+deadline.
+## Формат ответа
+### Release Gate Checklist (RG-xx) — со статусами
+### Evidence Links
+### What’s Missing to GO

package/.agents/review_reference_snippets/SKILL.md ADDED Viewed

@@ -0,0 +1,437 @@
+---
+name: review_reference_snippets
+description: Единый набор примеров (do/don’t) и шаблонов комментариев ревью: AppSec, Cloud/CI, контракты API, тесты, observability.
+---
+# Skill: Review Reference Snippets (Do/Don't)
+## Цель
+Дать Reviewer готовые формулировки и эталонные do/don’t примеры, чтобы ревью было конкретным, воспроизводимым и единым по стилю.
+---
+## A) Secrets (P0)
+### ❌ DON'T (P0): хардкод секретов
+```ts
+const apiKey = "sk-proj-xxxxx";
+const dbPassword = "supersecret";
+```
+### ✅ DO: секреты через env/secret manager + fail-fast проверка наличия
+```ts
+const apiKey = process.env.OPENAI_API_KEY;
+if (!apiKey) throw new Error("OPENAI_API_KEY not configured");
+const dbPassword = process.env.DB_PASSWORD;
+if (!dbPassword) throw new Error("DB_PASSWORD not configured");
+```
+### ✅ Шаблон комментария
+- **P0:** Секрет захардкожен/попадает в репо. Вынести в secret manager/env, убрать из логов, проверить историю git и ротацию секретов.
+---
+## B) Secrets in logs (P0)
+### ❌ DON'T: логировать body/headers целиком
+```ts
+logger.info({ headers: req.headers, body: req.body }, "incoming_request");
+```
+### ✅ DO: логировать только безопасные поля + request_id
+```ts
+logger.info(
+  { request_id: req.requestId, route: req.path, user_id: ctx.user?.id ?? null },
+  "incoming_request"
+);
+```
+### ✅ Комментарий
+- **P0:** Возможна утечка PII/токенов в логах. Нужен allowlist полей + редактирование.
+---
+## C) Input validation на границе (P0/P1)
+### ✅ DO: схема на границе (пример Zod)
+```ts
+import { z } from "zod";
+const Schema = z.object({
+  email: z.string().email(),
+  name: z.string().min(1).max(100),
+});
+const input = Schema.parse(req.body);
+```
+### ❌ DON'T: использовать req.body напрямую
+```ts
+service.create(req.body);
+```
+### ✅ Комментарий
+- **P0/P1:** Нет валидации входа на границе. Добавить schema validation и вернуть 422/400 по контракту.
+---
+## D) Safe errors (P0/P1)
+### ❌ DON'T: отдавать stack/внутренние детали пользователю
+```ts
+res.status(500).json({ message: err.message, stack: err.stack });
+```
+### ✅ DO: единый формат ошибок + safe message
+```ts
+res.status(500).json({
+  error_code: "INTERNAL_ERROR",
+  message: "Unexpected error",
+});
+```
+### ✅ Комментарий
+- **P0/P1:** Утечка внутренностей. Для 5xx — только safe message; детали — в структурированные логи.
+---
+## E) SQL Injection (P0)
+### ❌ DON'T: конкатенация SQL
+```ts
+await db.query(`SELECT * FROM users WHERE email='${email}'`);
+```
+### ✅ DO: параметризованные запросы / ORM
+```ts
+await db.query("SELECT * FROM users WHERE email=$1", [email]);
+```
+### ✅ Комментарий
+- **P0:** SQL injection риск. Только параметризация/ORM, без конкатенации.
+---
+## F) Command/Path Injection (P0)
+### ❌ DON'T: shell exec с пользовательским вводом
+```ts
+import { exec } from "node:child_process";
+exec(`convert ${userPath} -resize 200x200 out.png`);
+```
+### ✅ DO: избегать shell, использовать безопасные API/библиотеки
+```ts
+// предпочтительно библиотека с безопасными аргументами, без shell
+await imageLib.resize({ inputPath: safePath, width: 200, height: 200 });
+```
+### ✅ Комментарий
+- **P0:** command/path injection риск. Нельзя exec с пользовательскими аргументами; нужен allowlist/безопасные API.
+---
+## G) AuthN/AuthZ (P0)
+### ❌ DON'T: “UI спрятал кнопку — значит безопасно”
+```ts
+// server does not check role/ownership
+```
+### ✅ DO: authz до критичных операций + ownership check
+```ts
+if (!ctx.user) throw new AppError(401, "UNAUTHORIZED", "Auth required");
+if (ctx.user.role !== "admin") throw new AppError(403, "FORBIDDEN", "Not enough permissions");
+// ownership example
+if (resource.ownerId !== ctx.user.id) throw new AppError(403, "FORBIDDEN", "Not owner");
+```
+### ✅ Комментарий
+- **P0:** Нет server-side authz/ownership. Добавить проверку ролей/владения ресурсом.
+---
+## H) CSRF (cookie-based sessions) (P1 → P0 если есть риск)
+### ❌ DON'T: cookie auth без CSRF защиты
+```txt
+Cookie session + POST/PUT/DELETE без CSRF защиты
+```
+### ✅ DO: SameSite + CSRF token (если требуется)
+```txt
+SameSite=Strict/Lax + CSRF token (double-submit или synchronizer token)
+```
+### ✅ Комментарий
+- **P1/P0:** Если auth на cookie — нужна CSRF защита + проверка origin/referer по политике.
+---
+## I) XSS / пользовательский HTML (P0)
+### ❌ DON'T: dangerouslySetInnerHTML с пользовательским вводом
+```tsx
+<div dangerouslySetInnerHTML={{ __html: userContent }} />
+```
+### ✅ DO: санитизация + CSP (если применимо)
+```tsx
+const safeHtml = sanitize(userContent); // allowlist tags/attrs
+return <div dangerouslySetInnerHTML={{ __html: safeHtml }} />;
+```
+### ✅ Комментарий
+- **P0:** XSS риск. Нужна санитизация/экранирование и (по возможности) CSP.
+---
+## J) SSRF (P0 если есть fetch внешних URL)
+### ❌ DON'T: принимать URL от пользователя и fetch без ограничений
+```ts
+await fetch(req.body.url);
+```
+### ✅ DO: allowlist доменов + блок внутренних адресов
+```ts
+const url = new URL(req.body.url);
+if (!ALLOWED_HOSTS.has(url.hostname)) throw new AppError(400, "BAD_URL", "Host not allowed");
+// + защита от private ranges / metadata endpoints
+```
+### ✅ Комментарий
+- **P0:** SSRF риск. Требуется allowlist + блок внутренних/metadata адресов.
+---
+## K) Rate limiting (P1 → P0 если публичный/дорогой endpoint)
+### ✅ DO: базовый лимит на API + stricter на expensive ops
+```ts
+app.use("/api", limiter);
+app.use("/api/auth/login", strictLimiter);
+app.use("/api/search", searchLimiter);
+```
+### ✅ Комментарий
+- **P1/P0:** Нет rate limiting. Для публичных/дорогих эндпоинтов — обязательно.
+---
+## L) Idempotency (P1)
+### ❌ DON'T: повторяемый POST приводит к двойным действиям
+```txt
+Повтор запроса создаёт 2 заказа/2 списания
+```
+### ✅ DO: idempotency key для рискованных операций
+```txt
+Idempotency-Key header + хранение результата/статуса по ключу на TTL
+```
+### ✅ Комментарий
+- **P1:** Для create/charge операций нужна идемпотентность (особенно при ретраях/сетевых сбоях).
+---
+## M) API contract mismatches (P1/P0)
+### ✅ DO: единый error формат + коды статусов
+```json
+{ "error_code": "VALIDATION_ERROR", "message": "Invalid input", "details": { "field": "email" } }
+```
+### ❌ DON'T: разные форматы ошибок на разных ручках
+```json
+{ "error": "bad" }
+```
+### ✅ Комментарий
+- **P1/P0:** Контракт ошибок должен быть единым по проекту, иначе ломается клиент/тесты.
+---
+## N) Observability: request_id/trace_id (P1)
+### ❌ DON'T: логи без корреляции
+```ts
+logger.info("created user");
+```
+### ✅ DO: structured logs + request_id + ключевые поля
+```ts
+logger.info({ request_id: req.requestId, user_id: user.id }, "user_created");
+```
+### ✅ Комментарий
+- **P1:** Нужна корреляция запросов (request_id/trace_id) по Observability Plan.
+---
+## O) Audit logging для критичных операций (P1 → P0 если комплаенс/финансы)
+### ✅ DO: audit события (без PII/секретов)
+```ts
+logger.info(
+  { audit: true, action: "ORDER_REFUND", actor_id: ctx.user.id, order_id: order.id, request_id: req.requestId },
+  "audit_event"
+);
+```
+### ✅ Комментарий
+- **P1/P0:** Для критичных действий нужен audit trail (кто/что/когда).
+---
+## P) Dependency & supply chain (P1)
+### ❌ DON'T: добавлять сомнительные/лишние пакеты без обоснования
+```txt
+Добавлен пакет с низкой репутацией / дублирующий функциональность
+```
+### ✅ DO: минимизация + audit + lockfile
+```txt
+Обосновать зависимость, проверить аудит, обновить lockfile, включить CI проверки.
+```
+### ✅ Комментарий
+- **P1:** Проверь необходимость зависимости, результаты audit, и отсутствие known vulnerabilities.
+---
+## Q) CI/CD security (P1)
+### ✅ DO: OIDC вместо long-lived tokens + secret scanning + audit
+```yaml
+permissions:
+  contents: read
+steps:
+  - uses: trufflesecurity/trufflehog@main
+  - run: npm audit --audit-level=high
+  - uses: aws-actions/configure-aws-credentials@v4
+    with:
+      role-to-assume: arn:aws:iam::123:role/ci
+      aws-region: eu-central-1
+```
+### ❌ DON'T: хранить постоянные ключи в CI variables без ротации/ограничений
+```txt
+AWS_ACCESS_KEY_ID / AWS_SECRET_ACCESS_KEY долгоживущие и с широкими правами
+```
+### ✅ Комментарий
+- **P1:** Переход на OIDC, минимальные permissions, secret scanning, dependency audit.
+---
+## R) IAM least privilege (P0)
+### ❌ DON'T: wildcard доступ
+```yaml
+iam_role:
+  permissions: ["s3:*"]
+  resources: ["*"]
+```
+### ✅ DO: точные actions + ресурсы
+```yaml
+iam_role:
+  permissions:
+    - s3:GetObject
+    - s3:ListBucket
+  resources:
+    - arn:aws:s3:::my-bucket
+    - arn:aws:s3:::my-bucket/*
+```
+### ✅ Комментарий
+- **P0:** IAM слишком широкие права. Нужен least privilege (конкретные actions + ресурсы).
+---
+## S) Network security (P0/P1)
+### ✅ DO: DB не публичная + ограниченные security groups
+```txt
+DB private subnet, inbound только от app subnet/SG, no 0.0.0.0/0
+```
+### ❌ DON'T: открывать БД в интернет
+```txt
+Inbound 0.0.0.0/0 на 5432
+```
+### ✅ Комментарий
+- **P0:** Публичная БД — критическая уязвимость. Закрыть доступ, оставить только приватные сети/SG.
+---
+## T) CDN/WAF/Security headers (P1)
+### ✅ DO: security headers на edge + WAF rules
+```ts
+headers.set("X-Frame-Options", "DENY");
+headers.set("X-Content-Type-Options", "nosniff");
+headers.set("Referrer-Policy", "strict-origin-when-cross-origin");
+```
+### ✅ Комментарий
+- **P1:** Нет security headers/WAF. Для продакшена — включить managed rules + базовые заголовки.
+---
+## U) Backup/DR (P1)
+### ✅ DO: retention + deletion protection + recovery plan
+```hcl
+backup_retention_period = 30
+deletion_protection     = true
+```
+### ✅ Комментарий
+- **P1:** Нужны бэкапы/retention/rollback. Минимум: retention, (опц.) PITR, тест восстановления, runbook.
+---
+## V) Тесты безопасности (P1)
+### ✅ DO: тесты на auth/authz/валидацию/rate limit
+```ts
+expect(resp.status).toBe(401);
+expect(resp.status).toBe(403);
+expect(resp.status).toBe(422);
+expect(resp.status).toBe(429);
+```
+### ✅ Комментарий
+- **P1:** Добавить тесты безопасности (auth/authz/validation/rate limiting) для критичных ручек.
+---
+## W) Шаблон итогового ревью (кратко)
+### ✅ Summary Template
+```txt
+Summary:
+- PASS: <что ок>
+- MISSING: <что нужно добавить>
+P0 (Blockers):
+- [ ] <что / где / почему блокер / как исправить>
+P1 (Important):
+- [ ] ...
+P2 (Nice-to-have):
+- [ ] ...
+Next Actions:
+- REV-01 ...
+- DEV-02 ...
+```

package/.agents/security_baseline_dev/SKILL.md ADDED Viewed

@@ -0,0 +1,16 @@
+---
+name: security_baseline_dev
+description: Базовая безопасность в реализации: валидация на границах, authz, безопасные ошибки, запрет секретов в коде/логах, гигиена зависимостей.
+---
+# Skill: Security Baseline (Dev)
+## Правила
+- Валидация входных данных на границе (API/forms)
+- Авторизация на сервере (не доверять клиенту)
+- Никаких секретов в репозитории и логах
+- Ошибки без утечки внутренностей
+- Зависимости: обновления и минимизация лишних пакетов
+## См. также
+- Примеры: `$dev_reference_snippets`

package/.agents/security_review/SKILL.md ADDED Viewed

@@ -0,0 +1,55 @@
+---
+name: security_review
+description: AppSec ревью для эндпоинтов/авторизации/ввода/секретов/чувствительных фич. Чек-лист + паттерны (OWASP baseline).
+---
+# Skill: Security Review (AppSec)
+## Когда активировать
+- Новые API endpoints
+- AuthN/AuthZ
+- User input / file uploads
+- Secrets/credentials
+- Payments/PII/sensitive data
+- Third-party integrations
+## Checklist (минимум)
+1) Secrets management
+- Нет хардкода, нет секретов в логах/ошибках
+- Secrets живут в env/secret manager, есть проверка наличия
+2) Input validation
+- Схемы на границах (whitelist validation)
+- Ошибки не раскрывают внутренности
+3) Injection
+- SQL/NoSQL/command: без конкатенаций, только параметризация/ORM
+4) AuthN/AuthZ
+- Токены не в localStorage (если применимо), предпочтительно httpOnly cookies
+- AuthZ проверки до критичных операций
+- RLS/политики данных (если используете Supabase/аналог)
+5) XSS / CSP
+- Санитизация пользовательского HTML (если есть)
+- CSP/headers если требуется архитектурой
+6) CSRF (если cookie-based sessions)
+- CSRF tokens / SameSite=Strict, double-submit pattern при необходимости
+7) Rate limiting
+- Базовые лимиты на API, stricter для expensive endpoints
+8) Sensitive data exposure
+- Нет PII/секретов в логах
+- Нет stack trace для пользователя
+9) Dependency security
+- audit/lockfile/reproducible install
+## Выход
+- Findings P0/P1/P2 + конкретные фиксы
+- Что добавить в тесты безопасности (auth/authz/validation/rate limiting)
+## См. также
+- Примеры и анти-примеры: $review_reference_snippets

package/.agents/security_review_baseline/SKILL.md ADDED Viewed

@@ -0,0 +1,25 @@
+---
+name: security_review_baseline
+description: Security ревью по baseline: OWASP-риски, authz, валидация, SSRF/XSS/CSRF, секреты, безопасные логи/ошибки, least privilege.
+---
+# Skill: Security Review Baseline
+## Проверить (минимум)
+- Input validation на границах (API/forms)
+- AuthN/AuthZ: сервер проверяет права, нет доверия клиенту
+- Ошибки: без утечки stacktrace/SQL/конфигов/PII
+- Secrets: нет ключей/токенов в репо и логах
+- SSRF: если есть fetch внешних URL → allowlist/блок внутренних адресов
+- XSS: экранирование/санитизация (если есть пользовательский HTML)
+- CSRF: если cookie-based sessions → защита (tokens/sameSite)
+- Rate limiting / brute force для чувствительных эндпоинтов (если нужно)
+- Audit trail для критичных операций (если требуется threat model)
+## Выход
+- P0 security blockers
+- P1 security issues
+- Рекомендованные меры (конкретно)
+## См. также
+- Примеры и анти-примеры: $review_reference_snippets