don-cheli-sdd 1.13.0

package/scripts/.claude/commands/especdev/analizar-sesiones.md

@@ -0,0 +1,158 @@
+---
+description: Analizar sesiones de Claude en el equipo para extraer patrones de uso y generar recomendaciones de habilidades, plugins, agentes y reglas
+i18n: true
+---
+
+# /especdev:analizar-sesiones
+
+## Objetivo
+
+Escanear todas las sesiones de Claude en el equipo local, analizar patrones de uso, y generar recomendaciones concretas sobre qué debería convertirse en habilidades reutilizables, plugins, agentes autónomos o instrucciones de proyecto.
+
+## Uso
+
+```
+/especdev:analizar-sesiones
+/especdev:analizar-sesiones --periodo <dias>
+/especdev:analizar-sesiones --formato <resumen|detallado|ejecutivo>
+```
+
+## Comportamiento
+
+1. **Escanear** todas las sesiones de Claude en el equipo
+   - Ubicación típica: `~/.claude/projects/` y sesiones en ficheros JSONL
+   - Incluye: prompts del usuario, respuestas del agente, herramientas usadas, archivos editados
+
+2. **Clasificar** cada interacción por tipo:
+   - Generación de código
+   - Debugging / corrección de bugs
+   - Refactoring
+   - Code review
+   - Documentación
+   - Pregunta / Q&A
+   - Configuración / DevOps
+   - Diseño / Arquitectura
+   - Testing
+   - Scripting / Automatización
+
+3. **Analizar** patrones de frecuencia:
+   - ¿Qué tipo de tareas se repiten más?
+   - ¿Qué archivos se editan con más frecuencia?
+   - ¿Qué comandos/herramientas se usan más?
+   - ¿Qué patrones de prompt se repiten?
+   - ¿Cuántos tokens se consumen por tipo de tarea?
+
+4. **Generar** recomendaciones en 5 categorías
+
+## Output
+
+```markdown
+# Análisis de Sesiones de Claude
+
+## 📊 Resumen de Uso
+
+| Métrica | Valor |
+|---------|-------|
+| Sesiones analizadas | 47 |
+| Período | Últimos 30 días |
+| Tokens consumidos | ~2.4M |
+| Tipo más frecuente | Generación de código (38%) |
+
+## 🔁 Lo que Hago Más Frecuentemente
+
+| # | Actividad | Frecuencia | Tokens/Sesión |
+|---|----------|------------|---------------|
+| 1 | Crear componentes React | 23 veces | ~8K |
+| 2 | Corregir tests fallidos | 18 veces | ~5K |
+| 3 | Escribir endpoints API | 15 veces | ~12K |
+| 4 | Refactorizar funciones | 12 veces | ~6K |
+| 5 | Generar documentación | 9 veces | ~3K |
+
+## 🧠 Debería Convertirse en HABILIDAD (Skill)
+
+Flujos de trabajo reutilizables que repito constantemente:
+
+| Skill Propuesta | Basada en | Ahorro Estimado |
+|----------------|-----------|-----------------|
+| `crear-componente-react` | 23 sesiones de creación de componentes | ~40% tokens |
+| `fix-test-pattern` | 18 sesiones de debugging de tests | ~30% tokens |
+| `api-endpoint-scaffold` | 15 sesiones de creación de APIs | ~50% tokens |
+
+**Formato de skill:**
+```yaml
+# habilidades/crear-componente-react/HABILIDAD.md
+Patrón detectado: El usuario siempre pide...
+1. Crear componente funcional con TypeScript
+2. Agregar tests unitarios con testing-library
+3. Agregar storybook story
+4. Exportar desde index.ts
+```
+
+## 🔌 Debería Convertirse en PLUGIN (Herramienta Standalone)
+
+Herramientas que uso repetidamente que podrían automatizarse:
+
+| Plugin Propuesto | Basado en | Tipo |
+|-----------------|-----------|------|
+| `scaffold-feature` | Creación repetitiva de estructura feature/ | CLI tool |
+| `test-coverage-checker` | Verificación manual de cobertura | Script |
+| `pr-description-gen` | Redacción manual de descripciones de PR | Automatización |
+
+## 🤖 Debería Convertirse en AGENTE (Subagente Autónomo)
+
+Tareas que delego completas y que podrían ejecutarse autónomamente:
+
+| Agente Propuesto | Basado en | Modelo Recomendado |
+|-----------------|-----------|-------------------|
+| `code-reviewer` | Revisiones de código frecuentes | Sonnet |
+| `test-generator` | Generación repetitiva de tests | Haiku |
+| `doc-updater` | Actualización de docs tras cambios | Haiku |
+
+## 📋 Debería Ir en CLAUDE.md (Instrucciones de Proyecto)
+
+Reglas que repito en cada sesión y deberían ser instrucciones permanentes:
+
+| Regla | Veces Repetida |
+|-------|---------------|
+| "Usa TypeScript estricto" | 34 veces |
+| "Tests con testing-library, no enzyme" | 22 veces |
+| "No uses any" | 19 veces |
+| "Imports ordenados: react primero" | 15 veces |
+
+**CLAUDE.md sugerido:**
+```markdown
+## Convenciones
+- TypeScript estricto (no `any`)
+- Tests con @testing-library/react
+- Imports: React > libs externas > internos > tipos
+- Componentes funcionales, no clases
+```
+
+## 💡 Recomendaciones de Optimización
+
+1. **Tokenización:** ~40% de tus tokens se gastan en repetir contexto
+   → Crear skills reduciría consumo en ~35%
+2. **Modelo:** Usas Opus para tareas que Haiku podría resolver
+   → Usar la matriz de selección de modelos ahorraría ~60% costo
+3. **Sesiones largas:** El 30% de tus sesiones exceden 50K tokens
+   → Implementar context folding (RLM) mejoraría calidad
+```
+
+## Cómo Mejora el Framework
+
+| Aspecto | Sin Análisis | Con Análisis |
+|---------|-------------|-------------|
+| **Skills** | Genéricas, predefinidas | Personalizadas según tu uso real |
+| **Plugins** | No existen | Auto-generados desde patrones |
+| **Agentes** | Configuración manual | Asignación automática por patrón |
+| **CLAUDE.md** | Escribir manualmente | Auto-generado desde repeticiones |
+| **Costos** | Sin control | Optimizado por matriz de modelos |
+
+## Integración con Don Cheli
+
+Este comando se integra con:
+- `/especdev:iniciar` → Las skills detectadas se sugieren al crear un proyecto nuevo
+- `/especdev:agente` → Los agentes detectados se agregan al sistema de agentes
+- `/especdev:estimar` → Los datos históricos alimentan estimados más precisos
+- **Reglas de Trabajo Globales** → Las reglas detectadas se incorporan automáticamente
+- **Optimización de Tokens** → Los patrones de consumo optimizan uso de modelos

package/scripts/.claude/commands/especdev/aplicar.md

@@ -0,0 +1,73 @@
+---
+description: Aplicar (implementar) tareas de un cambio específico
+i18n: true
+---
+
+# /especdev:aplicar
+
+## Objetivo
+
+Implementar las tareas de un cambio específico, con soporte para cambios paralelos y context switching.
+
+> Adaptado de `/opsx:apply` de OpenSpec — implementación fluida con soporte multi-cambio.
+
+## Uso
+
+```
+/especdev:aplicar                     # Implementar el cambio activo
+/especdev:aplicar <nombre-cambio>     # Implementar un cambio específico
+/especdev:aplicar --continuar         # Retomar donde se dejó
+```
+
+## Diferencia con /especdev:implementar
+
+| `/especdev:implementar` | `/especdev:aplicar` |
+|------------------------|---------------------|
+| Trabaja con .tasks.md clásico | Trabaja con carpeta de cambio |
+| Un cambio a la vez | Múltiples cambios en paralelo |
+| Pipeline rígido | Flujo flexible |
+| Sin context switching | Con context switching |
+
+## Comportamiento
+
+1. **Leer** `.especdev/cambios/<nombre>/tareas.md`
+2. **Detectar** progreso previo (si hay tareas ya completadas)
+3. **Ejecutar** tareas pendientes una por una
+4. **Ejecutar** stop hooks después de cada fase
+5. **Marcar** tareas como completadas
+6. **Reportar** progreso
+
+## Output
+
+```
+=== Aplicando: agregar-dark-mode ===
+
+Progreso: retomando desde tarea 3/8
+
+✅ 1.1 Crear ThemeContext provider (ya hecho)
+✅ 1.2 Crear hook useTheme (ya hecho)
+✅ 2.1 Agregar CSS custom properties (ya hecho)
+🔄 2.2 Crear componente ThemeToggle ← EN PROGRESO
+   → Escribiendo tests...
+   → Implementando componente...
+   → Tests pasan ✅
+⬜ 3.1 Integrar toggle en header
+⬜ 3.2 Agregar localStorage persistence
+⬜ 4.1 Dark mode para todas las páginas
+⬜ 4.2 Transición suave entre temas
+
+Progreso: 4/8 tareas completadas (50%)
+```
+
+## Context Switching
+
+```bash
+# Trabajando en dark mode...
+/especdev:aplicar agregar-dark-mode   # tarea 4/8
+
+# Interrumpido por bug urgente
+/especdev:aplicar corregir-login      # empieza desde tarea 1/3
+
+# Bug corregido, volver a dark mode
+/especdev:aplicar agregar-dark-mode   # retoma en tarea 5/8
+```

package/scripts/.claude/commands/especdev/archivar.md

@@ -0,0 +1,69 @@
+---
+description: Archivar specs completadas y sincronizar delta specs con specs principales
+i18n: true
+---
+
+# /especdev:archivar
+
+## Objetivo
+
+Sincronizar las specs delta (cambios incrementales) con las specs principales y archivar las features completadas para referencia futura.
+
+> Adaptado de `sdd-archive` de Gentle-AI — fase de cierre que Don Cheli no tenía.
+
+## Uso
+
+```
+/especdev:archivar @specs/features/<dominio>/<Feature>.feature
+/especdev:archivar --todo   # Archivar todas las features @implementada
+```
+
+## Comportamiento
+
+1. **Verificar** que la feature tiene tag `@implementada` (todos los tests pasan)
+2. **Mover** artefactos completados a `specs/archivo/`
+3. **Actualizar** la spec principal del dominio si existe
+4. **Registrar** en `.especdev/memoria/decisiones.md`
+5. **Limpiar** archivos temporales de la feature
+
+## Estructura de Archivo
+
+```
+specs/
+├── features/          # Features ACTIVAS
+│   └── usuario/
+│       └── EditarPerfil.feature  (en progreso)
+├── archivo/           # Features COMPLETADAS
+│   └── usuario/
+│       └── CrearUsuario/
+│           ├── CrearUsuario.feature
+│           ├── CrearUsuario.plan.md
+│           ├── CrearUsuario.tasks.md
+│           ├── review.md
+│           └── metadata.json  # Fechas, métricas, estimado vs real
+└── db_schema/         # Schemas (no se archivan)
+```
+
+## metadata.json
+
+```json
+{
+  "feature": "CrearUsuario",
+  "dominio": "usuario",
+  "archivada": "2026-03-21",
+  "iniciada": "2026-03-18",
+  "duracion_real_dias": 3,
+  "estimado_dias": 5,
+  "precision_estimado": "60%",
+  "escenarios_gherkin": 5,
+  "tests_totales": 12,
+  "archivos_modificados": 8
+}
+```
+
+## Valor para el Framework
+
+Los datos archivados alimentan:
+- `/especdev:estimar` → datos históricos para estimados más precisos
+- `/especdev:analizar-sesiones` → patrones de desarrollo
+- Memoria persistente → decisiones y convenciones aprendidas

package/scripts/.claude/commands/especdev/auditar-seguridad.md

@@ -0,0 +1,234 @@
+---
+description: Auditoría de seguridad estática del código (OWASP Top 10, SecDevOps)
+i18n: true
+---
+
+# /especdev:auditar-seguridad
+
+## Objetivo
+
+Realizar una auditoría de seguridad estática del código, identificando vulnerabilidades basadas en OWASP Top 10, exposición de datos sensibles, fallos de autenticación y problemas de configuración.
+
+## Uso
+
+```
+/especdev:auditar-seguridad                                # Auditar proyecto completo
+/especdev:auditar-seguridad @src/services/auth/            # Auditar módulo específico
+/especdev:auditar-seguridad --foco inyeccion               # Enfocarse en un tipo
+/especdev:auditar-seguridad --severidad critica            # Solo hallazgos críticos
+```
+
+## Categorías de Auditoría (OWASP Top 10 + extras)
+
+### A01: Broken Access Control
+
+```
+Buscar:
+  ❌ Endpoints sin middleware de autenticación
+  ❌ Rutas admin accesibles sin verificar rol
+  ❌ IDOR (acceso a recursos de otros usuarios via ID)
+  ❌ Falta de rate limiting en endpoints sensibles
+  ❌ CORS configurado como "*" en producción
+
+Verificar:
+  - Cada ruta tiene middleware de auth
+  - IDs de usuario se validan contra sesión
+  - Rate limiting en login, registro, reset-password
+  - CORS whitelist explícita
+```
+
+### A02: Cryptographic Failures
+
+```
+Buscar:
+  ❌ Passwords en plaintext o con hash débil (MD5, SHA1)
+  ❌ Tokens/secretos hardcoded en código
+  ❌ HTTP en vez de HTTPS para datos sensibles
+  ❌ JWT sin expiración o con secret débil
+  ❌ Datos sensibles en logs (passwords, tokens, PII)
+
+Verificar:
+  - Passwords con bcrypt/argon2id (cost factor ≥ 10)
+  - Secretos en variables de entorno o secret manager
+  - JWT con expiración razonable (≤ 1h access, ≤ 7d refresh)
+  - Logs sanitizados (sin PII)
+```
+
+### A03: Injection
+
+```
+Buscar:
+  ❌ SQL sin parametrizar (string concatenation)
+  ❌ NoSQL injection (operadores en queries)
+  ❌ Command injection (exec, spawn sin sanitizar)
+  ❌ XSS (innerHTML, dangerouslySetInnerHTML sin sanitizar)
+  ❌ Path traversal (../../../etc/passwd)
+  ❌ LDAP injection, XML injection
+
+Verificar:
+  - Queries parametrizadas o ORM
+  - Input sanitizado antes de exec/spawn
+  - Output encodado en templates
+  - Paths validados contra whitelist
+```
+
+### A04: Insecure Design
+
+```
+Buscar:
+  ❌ Falta de validación en puntos de entrada
+  ❌ Business logic bypassable
+  ❌ Sin límites en operaciones costosas
+  ❌ Datos sensibles en URL (query params)
+
+Verificar:
+  - Validación con Pydantic/Zod en cada endpoint
+  - Reglas de negocio en service layer (no en controller)
+  - Paginación y límites en queries
+  - Datos sensibles solo en body/headers
+```
+
+### A05-A10: Otras Categorías
+
+| Categoría | Qué Buscar |
+|-----------|-----------|
+| **A05: Security Misconfiguration** | Debug mode en prod, headers faltantes, default credentials |
+| **A06: Vulnerable Components** | Dependencias con CVEs conocidos |
+| **A07: Auth Failures** | Login sin brute-force protection, session fixation |
+| **A08: Data Integrity** | Deserialización insegura, falta de checksums |
+| **A09: Logging Failures** | Sin audit log para operaciones sensibles |
+| **A10: SSRF** | Requests a URLs proporcionadas por usuario sin validar |
+
+### Extra: Secretos y Configuración
+
+```
+Buscar:
+  ❌ .env commitado en git
+  ❌ API keys en código fuente
+  ❌ Credenciales en docker-compose.yml
+  ❌ Private keys en el repositorio
+  ❌ Tokens en comentarios o TODOs
+
+Verificar:
+  - .env en .gitignore
+  - .env.example sin valores reales
+  - Secrets en variable de entorno o secret manager
+  - git history limpio de secretos (git-secrets, truffleHog)
+```
+
+## Proceso de Auditoría
+
+```
+1. ESCANEAR — Análisis estático del código
+   ├── Patrones de vulnerabilidad por categoría
+   ├── Dependencias con vulnerabilidades conocidas
+   └── Configuración de seguridad
+
+2. CLASIFICAR — Severidad de cada hallazgo
+   ├── 🔴 Crítico: Explotable remotamente, impacto alto
+   ├── 🟠 Alto: Explotable con condiciones, impacto medio-alto
+   ├── 🟡 Medio: Requiere acceso o condiciones específicas
+   └── 🔵 Bajo: Mejora de seguridad, sin riesgo inmediato
+
+3. REPORTAR — Generar reporte estructurado
+
+4. PRIORIZAR — Recomendar orden de remediación
+```
+
+## Output
+
+```markdown
+## Auditoría de Seguridad: mi-proyecto
+
+**Fecha:** 2026-03-21
+**Alcance:** src/ (42 archivos, 3,200 LOC)
+**Auditor:** Don Cheli Security Audit v1.0
+
+### Resumen
+
+| Severidad | Cantidad |
+|-----------|----------|
+| 🔴 Crítico | 1 |
+| 🟠 Alto | 3 |
+| 🟡 Medio | 2 |
+| 🔵 Bajo | 4 |
+
+### Hallazgos
+
+#### 🔴 SEC-001: SQL Injection en búsqueda de productos
+**Archivo:** src/services/product_service.py:45
+**Categoría:** A03 (Injection)
+**Descripción:** Query construida con f-string sin parametrizar.
+```python
+# Vulnerable
+query = f"SELECT * FROM products WHERE name LIKE '%{search_term}%'"
+
+# Fix recomendado
+query = "SELECT * FROM products WHERE name LIKE %s"
+cursor.execute(query, (f"%{search_term}%",))
+```
+**Impacto:** Acceso total a la base de datos.
+**Remediación:** Usar query parametrizada o ORM.
+**Esfuerzo:** 15 min
+
+#### 🟠 SEC-002: JWT sin expiración
+**Archivo:** src/utils/jwt.py:12
+**Categoría:** A02 (Cryptographic Failures)
+**Descripción:** Token se genera sin campo `exp`.
+**Impacto:** Token válido indefinidamente si se filtra.
+**Remediación:** Agregar `exp: now() + 1h` para access token.
+**Esfuerzo:** 10 min
+
+#### ... (más hallazgos)
+
+### Verificaciones Pasadas ✅
+- Passwords hasheados con bcrypt (cost 12) ✅
+- CORS configurado con whitelist ✅
+- .env en .gitignore ✅
+- HTTPS enforced en producción ✅
+- Rate limiting en /login ✅
+
+### Recomendaciones de Remediación (por prioridad)
+1. SEC-001: SQL Injection → INMEDIATO
+2. SEC-002: JWT sin expiración → ANTES DE RELEASE
+3. SEC-003: ... → PRÓXIMO SPRINT
+```
+
+## Almacenamiento
+
+```
+.especdev/seguridad/
+├── auditoria-2026-03-21.md    # Reporte de auditoría
+└── _remediaciones.md           # Tracking de fixes
+```
+
+## Integración con Pipeline
+
+```
+/especdev:auditar-seguridad → reporte
+  → /especdev:desglosar → tareas de remediación
+  → /especdev:implementar → fixes con TDD
+  → /especdev:auditar-seguridad → verificar fixes
+```
+
+Se recomienda ejecutar **antes de cada PR** que toque:
+- Autenticación/autorización
+- Manejo de datos de usuario
+- Endpoints públicos
+- Configuración de infraestructura
+
+## Modelo Recomendado
+
+| Paso | Modelo | Razón |
+|------|--------|-------|
+| Escaneo de patrones | Sonnet | Comprensión de código |
+| Clasificación de severidad | Sonnet | Juicio técnico |
+| Recomendaciones de fix | Sonnet | Código seguro |
+
+## Guardrails
+
+- **Nunca** exponer hallazgos de seguridad en documentación pública
+- **Nunca** incluir exploits funcionales en el reporte (solo describir)
+- **Siempre** priorizar hallazgos críticos para remediación inmediata
+- **Siempre** verificar fixes con tests específicos de seguridad
+- **Siempre** re-auditar después de remediar

package/scripts/.claude/commands/especdev/auditar.md

@@ -0,0 +1,15 @@
+---
+description: Auditar componentes del framework
+i18n: true
+---
+
+# /especdev:auditar
+
+## Uso
+
+```
+/especdev:auditar [componente]
+/especdev:auditar todo
+```
+
+Audita la integridad de comandos, habilidades y configuración del framework.

package/scripts/.claude/commands/especdev/avance-rapido.md

@@ -0,0 +1,64 @@
+---
+description: Crear todos los artefactos de planificación de un golpe (fast-forward)
+i18n: true
+---
+
+# /especdev:avance-rapido
+
+## Objetivo
+
+Crear TODOS los artefactos de planificación de una vez cuando el alcance es claro. En vez de ir paso a paso (proponer → especificar → diseñar → desglosar), este comando genera todo de un golpe.
+
+> Adaptado de `/opsx:ff` (fast-forward) de OpenSpec.
+
+## Uso
+
+```
+/especdev:avance-rapido <nombre-del-cambio>
+/especdev:avance-rapido agregar-dark-mode
+```
+
+## Cuándo Usar
+
+| Situación | Comando |
+|-----------|---------|
+| Sabes exactamente qué quieres | `/especdev:avance-rapido` ← ESTE |
+| Requisitos poco claros, necesitas investigar | `/especdev:explorar` primero |
+| Quieres ir paso a paso revisando | `/especdev:proponer` + `/especdev:continuar` |
+
+## Comportamiento
+
+1. **Crear** carpeta de cambio en `.especdev/cambios/<nombre>/`
+2. **Generar** propuesta.md (intención, alcance, enfoque)
+3. **Generar** specs/ (delta specs con requisitos y escenarios)
+4. **Generar** diseño.md (decisiones de arquitectura)
+5. **Generar** tareas.md (desglose TDD)
+6. **Reportar** resumen
+
+## Output
+
+```
+=== Avance Rápido: agregar-dark-mode ===
+
+📁 Carpeta: .especdev/cambios/agregar-dark-mode/
+
+✅ propuesta.md — Intención y alcance definidos
+✅ specs/ui-tema.delta.md — 3 requisitos, 7 escenarios
+✅ diseño.md — 2 decisiones de arquitectura
+✅ tareas.md — 4 fases, 8 tareas
+
+¡Listo para implementar!
+→ /especdev:aplicar agregar-dark-mode
+```
+
+## Pipeline Rápido vs Completo
+
+```
+RÁPIDO (scope claro):
+/especdev:avance-rapido → /especdev:aplicar → /especdev:archivar
+
+COMPLETO (scope incierto):
+/especdev:explorar → /especdev:proponer → /especdev:especificar
+→ /especdev:clarificar → /especdev:diseñar → /especdev:desglosar
+→ /especdev:implementar → /especdev:revisar → /especdev:archivar
+```

package/scripts/.claude/commands/especdev/cambios.md

@@ -0,0 +1,14 @@
+---
+description: Mostrar cambios desde la última sesión
+i18n: true
+---
+
+# /especdev:cambios
+
+## Uso
+
+```
+/especdev:cambios
+```
+
+Muestra un diff de los cambios realizados desde la última sesión registrada.