evnict-kit 0.2.1

package/templates/content/skills/evnict-kit-onboard/SKILL.md

@@ -0,0 +1,143 @@
+---
+name: evnict-kit-onboard
+description: Onboard thành viên mới — tóm tắt project, architecture, conventions, commands, workflow. Giúp member mới nắm bắt dự án nhanh chóng.
+compatibility: All tech stacks
+---
+
+# evnict-kit-onboard — Onboard Member Mới
+
+## Khi nào dùng
+- Member mới tham gia dự án
+- Developer chuyển sang module mới
+- Cần tóm tắt toàn cảnh dự án
+
+## Input Parameters
+- `role` (optional): backend | frontend | fullstack (default: fullstack)
+- `module` (optional): Module cần focus
+
+---
+
+## Workflow Steps
+
+### Bước 1: Thu thập thông tin dự án
+1. Đọc `.evnict/config.yaml` → project info
+2. Đọc `AGENTS.md` hoặc context file → architecture overview
+3. Đọc rules `05-evnict-kit-project-conventions.md` → conventions
+4. Đọc wiki → domain knowledge
+5. Scan codebase → project structure
+
+### Bước 2: Sinh Onboarding Guide
+
+```markdown
+# 🚀 Onboarding: {Project Name}
+## Date: {YYYY-MM-DD}
+## Role: {backend | frontend | fullstack}
+
+---
+
+## 1. Tổng quan dự án
+- **Tên dự án**: {name}
+- **Mô tả**: {description}
+- **Tech stack**: {tech stack}
+- **Database**: {database}
+- **Team size**: {estimate from git log}
+
+## 2. Architecture
+{ASCII architecture diagram from AGENTS.md}
+
+### Layers
+- Controller → Service → Repository → Database
+- Frontend: Component → Service → API
+
+### Key Modules
+| Module | Mô tả | Owner |
+|--------|--------|-------|
+| {module} | {desc} | {from git blame} |
+
+## 3. Project Structure
+{tree -L 3 output}
+
+## 4. Development Environment
+
+### Prerequisites
+- JDK {version}
+- Node.js {version}
+- Oracle/SQL Server client
+- IDE: Any (recommend Antigravity/VS Code)
+
+### Setup
+```bash
+# Clone
+git clone {repo-url}
+
+# Backend
+cd {be-folder}
+./mvnw clean install
+
+# Frontend
+cd {fe-folder}
+npm install
+ng serve
+```
+
+### Environment Variables
+```
+DB_HOST=localhost
+DB_PORT=1521
+DB_NAME={name}
+JWT_KEY_PATH=path/to/key
+```
+
+## 5. Coding Conventions (tóm tắt)
+{Các conventions quan trọng nhất từ rules}
+
+- Naming: {pattern}
+- API: {pattern}
+- Commit message: {type}({scope}): {description}
+
+## 6. Development Workflow
+1. Nhận task → đọc spec
+2. Tạo branch: `feature/{task-slug}`
+3. Code theo TDD: Red → Green → Refactor
+4. Commit thường xuyên
+5. Chạy test + lint trước merge
+6. Tạo merge request → review
+
+## 7. AI Agent Commands
+| Command | Mô tả |
+|---------|--------|
+| `/evnict-kit:init-rules` | Khởi tạo project conventions |
+| `/evnict-kit:feature-large` | Phát triển feature lớn |
+| `/evnict-kit:feature-small` | Feature nhỏ nhanh |
+| `/evnict-kit:bug-fix` | Quy trình sửa lỗi |
+| `/evnict-kit:review` | Auto review code |
+
+## 8. Important Links
+- Repository: {repo-url}
+- CI/CD: {azure-devops-url}
+- Wiki: {wiki-path}
+- Specs: `.evnict/specs/`
+
+## 9. Security Reminders (QĐ-TTPM)
+- ❌ KHÔNG hardcode secrets
+- ❌ KHÔNG git push (Agent không push)
+- ❌ KHÔNG log PII
+- ✅ Test trước khi commit
+- ✅ Checkpoint trước phiên AI
+```
+
+### Bước 3: Module-specific onboarding (nếu có module)
+Nếu user chỉ định module:
+1. Đọc code module → list files, components, services
+2. Đọc tests → hiểu business logic
+3. Đọc specs liên quan trong `.evnict/specs/`
+4. Tạo module-specific guide
+
+---
+
+## Tiêu chí hoàn thành
+- [ ] Onboarding guide tạo đầy đủ
+- [ ] Architecture diagram included
+- [ ] Convention summary included
+- [ ] Setup instructions verified
+- [ ] AI commands listed

package/templates/content/skills/evnict-kit-prompt-standard/SKILL.md

@@ -0,0 +1,103 @@
+---
+name: evnict-kit-prompt-standard
+description: Chuẩn viết prompt theo QĐ-TTPM Mục 8.5 — format, ví dụ tốt/xấu, template cho từng loại task.
+compatibility: All AI tools
+---
+
+# evnict-kit-prompt-standard — Chuẩn Viết Prompt
+
+## Khi nào dùng
+- Viết prompt cho AI Agent
+- Review chất lượng prompt
+- Training member mới về prompt engineering
+
+---
+
+## Nguyên tắc chung (QĐ-TTPM Mục 8.5)
+
+### 1. Rõ ràng, cụ thể
+```
+❌ SAI: "Sửa lỗi login"
+✅ ĐÚNG: "Fix lỗi login API /api/auth/login trả về 500 khi password đúng nhưng account bị lock. Expected: trả 403 với message 'Tài khoản đã bị khóa'."
+```
+
+### 2. Một prompt = Một nhiệm vụ
+```
+❌ SAI: "Tạo API customer, thêm bảng mới, viết test, deploy"
+✅ ĐÚNG: "Tạo API GET /api/customers — danh sách khách hàng phân trang, filter theo tên và trạng thái"
+```
+
+### 3. Có context đầy đủ
+```
+❌ SAI: "Thêm field vào form"
+✅ ĐÚNG: "Thêm field 'Số điện thoại' vào form Customer (src/app/features/customer/pages/customer-form/). Field type: input text, validation: pattern 0[0-9]{9}, required: true. Dùng PrimeNG p-inputText."
+```
+
+### 4. Chỉ định output format
+```
+❌ SAI: "Viết test cho service"
+✅ ĐÚNG: "Viết unit test cho CustomerService.create() bằng JUnit5 + Mockito. Test cases: 1) Happy path - valid data, 2) Name rỗng → BusinessException, 3) Phone sai format → ValidationException."
+```
+
+---
+
+## Templates theo loại task
+
+### Template: Tạo API
+```
+Tạo API {METHOD} {path}
+- Mô tả: {description}
+- Input: {fields with types and validation}
+- Output: ResponseData với {data structure}
+- Auth: {required | public}
+- Business rules: {rules}
+- Tech: Controller → Service → Repository (JOOQ)
+```
+
+### Template: Fix Bug
+```
+Fix bug: {description}
+- Steps to reproduce: {steps}
+- Expected: {expected}
+- Actual: {actual}
+- File(s) liên quan: {paths}
+- TDD: viết test reproduce lỗi trước
+```
+
+### Template: Tạo Component
+```
+Tạo component {name} trong module {module}
+- Loại: {page | shared | feature}
+- Chức năng: {description}
+- Data source: {API endpoint hoặc @Input}
+- UI: {PrimeNG components to use}
+- States: loading, error, empty, data
+```
+
+### Template: Code Review
+```
+Review code trên branch {branch}
+- Focus: {security | logic | quality | all}
+- Files changed: {list hoặc "git diff"}
+- Spec reference: {path to spec}
+```
+
+---
+
+## Anti-patterns
+
+| ❌ Bad Prompt | ✅ Good Prompt | Lỗi |
+|-------------|--------------|-----|
+| "Làm cho nó chạy" | "Fix compile error ở CustomerService.java:45 — missing import for ResponseData" | Quá mơ hồ |
+| "Sửa tất cả lỗi" | "Fix lỗi validation ở endpoint POST /api/customers — field 'phone' không check null" | Scope quá rộng |
+| "Viết code đẹp hơn" | "Refactor CustomerRepository.search() — extract điều kiện filter thành private methods" | Không measurable |
+| "Bắt chước project X" | "Implement pagination pattern giống CustomerRepository — dùng JOOQ offset/limit + fetchCount" | Thiếu context |
+
+---
+
+## Tiêu chí hoàn thành
+- [ ] Prompt rõ ràng, cụ thể
+- [ ] 1 prompt = 1 nhiệm vụ
+- [ ] Có context (file, module, tech)
+- [ ] Có expected output/format
+- [ ] Không quá mơ hồ

package/templates/content/skills/evnict-kit-receiving-review/SKILL.md

@@ -0,0 +1,89 @@
+---
+name: evnict-kit-receiving-review
+description: Hướng dẫn Agent xử lý Code Review Feedback. Phân loại feedback, lập kế hoạch fix systemwide và phản hồi reviewer một cách chuẩn xác, không tranh cãi.
+---
+
+# evnict-kit-receiving-review
+
+## Khi nào dùng
+- Khi Pull Request / Merge Request nhận được comments từ Reviewer.
+- Khi người dùng (User) tự thực hiện Code Review và dán (paste) comments vào chat.
+- Khi có một hệ thống tự động (SonarQube, GitLab CI) trả về các lỗi Quality Gate.
+
+## Tư duy cốt lõi (Core Mindset)
+1. **Không Phòng Thủ (No Defensiveness)**: Tuyệt đối không bao giờ trả lời bằng cách mang tính chất cãi lại hay bảo vệ code cũ trừ khi logic hoàn toàn sai lệch dẫn tới hỏng hệ thống. Phải luôn Acknowledge (ghi nhận) đóng góp.
+2. **Sửa Tận Gốc (Systematic Fix)**: Khi reviewer comment về một lỗi ở một file, hãy chủ động dùng `grep_search` quét TOÀN BỘ codebase xem có chỗ nào mắc lỗi tương tự không và sửa đồng loạt.
+3. **Phân Loại Rõ Ràng**: Không phải mọi comment đều có chung mức độ ưu tiên. Cần biết phân biệt critical và minor.
+4. **Giữ Nhịp Độ (Pacing)**: Báo cho reviewer tiến trình. Tránh sửa loạn xạ dẫn đến conflict các file không cần thiết.
+
+---
+
+## Workflow chi tiết
+
+### Bước 1: Tiếp nhận và Phân loại Feedback (Feedback Categorization)
+Đọc toàn bộ các comment review từ user, tách bạch từng mục thành danh sách. Tạo một Tóm tắt phân loại theo 3 mức độ:
+
+**Critical (Phải sửa ngay)**
+- Lỗi Security (VD: SQL Injection, XSS, gọi API thiếu Access Control / Role check).
+- Lỗi Performance nghiêm trọng (VD: N+1 Queries do JPA Hibernate, Memory leak vòng lặp).
+- Lỗi Business Logic có kết quả sai lệch hoặc không khớp với Design Brief/Specs đã ký.
+
+**Important (Sửa trước khi merge)**
+- Lỗi Design Pattern (VD: Vi phạm MVC, Tight coupling, Service đan chéo Controller).
+- Thiếu Unit Test trầm trọng hoặc Code Coverage rớt thê thảm đỏ lè trên CI.
+- Lỗi vi phạm nghiêm trọng Conventions của dự án (VD: Đặt tên sai, quên Logging block, Hardcode tham số config).
+
+**Minor (Optional / Tốt hơn nên làm)**
+- Typo sai chính tả trong đoạn Comments hay Docstrings.
+- Các tối ưu hoá nhỏ lẻ, refactoring mức siêu nhỏ cho Code ngắn gọn hơn (Nitpicks).
+- Reviewer đưa "Ý kiến cá nhân" về sở thích viết code chứ không tác động Business hay System.
+
+### Bước 2: Lập Kế hoạch Sửa chữa (Fix Plan)
+Trình bày Kế hoạch rõ ràng cho người dùng thay vì đi fix câm lặng. Trình bày dạng checklist markdown `[ ]`.
+- "Dựa trên X comments phản hồi, Agent đã tổng hợp và đề xuất Fix Plan như sau:"
+- Đối với Lỗi hệ thống: "Lỗi N+1, Agent sẽ rà soát TOÀN BỘ các file tương tự chứ không chỉ file bị comment."
+- Đối với những Minor/Nitpick, đề xuất "Mục tiểu tiết này Agent sẽ sửa luôn do thời gian fix <1 phút" hoặc "Mục này đòi hỏi refactor rộng, đề xuất tạo Jira Task mới và skip trong PR hiện tại".
+
+### Bước 3: Sửa chữa theo chuẩn TDD và System-Wide Fix
+- Dùng `grep_search` để lùng sục triệt để mã nguồn. Nếu reviewer kêu code gọi API quên Timeout ở 1 chỗ, lập tức tìm những chỗ gọi HTTP client khác để xử lý triệt để.
+- Nếu logic Business bị lỗi và cần thay: Cần chạy lại Test Component. Sửa Test cũ (để nó RED - tức là fail đúng như cách hệ thống bị lỗi), sau đó dọn dẹp Code để test PASS (GREEN).
+- Đảm bảo việc sửa không tạo thêm Bug lặp (Regression bug).
+
+### Bước 4: Kiểm chứng Cuối (Verification Pipeline)
+Luôn kiểm tra lại toàn hệ thống sau sửa chữa:
+- Pass Code Linting (`ng lint`, `./mvnw spotless:check`).
+- Các bài Unit Test và Integration Test phải 100% xanh (`npm test`, `./mvnw verify`).
+- Project Compile thành công không vướng Compile-Time errors.
+
+### Bước 5: Soạn Response Format cho Reviewer
+Sau khi sửa xong, cung cấp cho User một response mẫu chuyên nghiệp để user có thể copy/paste trên GitHub/GitLab:
+
+```markdown
+Cảm ơn review của bạn. Dưới đây là các thay đổi đã thực hiện:
+
+### Đã xử lý (Fixed)
+- ✅ **[Trầm trọng]** Xử lý việc thiếu Role Check ở `AdminController.java`. Đã tách riêng logic phân quyền thành annotation `@PreAuthorize`.
+- ✅ **[Quan trọng]** Đã tối ưu hoá câu Query N+1 ở `OrderRepository.java` bằng cách dùng vòng lặp fetch join. (Bên cạnh đó, em đã kiểm tra lại trên toàn bộ files Repository và fix luôn 2 hàm tương tự).
+- ✅ Bổ sung 4 Unit Tests cho các Edge Cases bạn đã nhắc. Coverage đã được cover đạt 92%.
+
+### Sẽ xử lý trong tương lai (Deferred / Out-of-Scope)
+- 💡 Về việc chuyển sang dùng Caching Layer (`Redis`), em xin phép tạo một thẻ Ticket riêng [TICKET-123] do tác động tới Architecture của Server quá lớn so với mục tiêu thực thi Pull Request hiện tại. 
+
+Vui lòng Review lại bản mới nhận nhé!
+```
+
+---
+
+## Xử lý các tình huống khó khăn (Edge Cases Handling)
+
+1. **Reviewer yêu cầu 1 thứ đi ngược lại với `01-evnict-kit-general-rules.md`**: 
+   - Giải pháp: Trao đổi nhẹ nhàng và nhắc đến chuẩn. VD: "Cảm ơn ý kiến của anh/chị. Tuy nhiên theo chuẩn Project (RP01), chúng ta nên dùng ResponseEntity/Wrapper classes. Anh/chị xem hướng chuẩn này có hợp lý không ạ?"
+2. **Reviewer yêu cầu tính năng lấn sang scope khác (Scope Creep)**:
+   - Giải pháp: Tách bạch rõ. Ghi nhận là ý tưởng hoàn toàn tốt và có tính hệ thống nhưng đề xuất bóc tách ra Feature độc lập để PR nhanh chóng đi vào production. VD: "Tụi em đồng tình chức năng Báo cáo tự động này hữu ích, tuy nhiên nó vượt ra ngoài luồng Thêm mới SP nên Agent đề nghị mở 1 nhánh feature mới".
+
+## Tiêu chí hoàn thành (Definition of Done)
+1. Đã phân loại rõ ràng 100% các ý kiến.
+2. Đã fix thực tế trên codebase mọi lỗi Critical và Important do reviewer nhắc đến.
+3. Code mới bổ sung đều compile, lint, test PASS 100%. Lịch sử Git sạch sẽ.
+4. Có bài Soạn thảo Response gãy gọn, không đụng chạm đến self-respect.
+5. Đã lưu lại lessons learned vào file cấu hình Dự án hoặc Wiki (nếu nhận diện đây là một Architectural Flaw thay vì bug thuần tuý).

package/templates/content/skills/evnict-kit-security-audit/SKILL.md

@@ -0,0 +1,190 @@
+---
+name: evnict-kit-security-audit
+description: Security audit toàn diện — dependency scan → code scan ATTT01-08 → configuration review → report. Đánh giá ATTT cho module hoặc toàn bộ dự án.
+compatibility: Java Spring Boot, Angular, ASP.NET Core
+---
+
+# evnict-kit-security-audit — Security Audit
+
+## Khi nào dùng
+- Trước khi release version mới
+- Review module mới trước khi merge
+- Kiểm tra định kỳ ATTT (theo QĐ-TTPM)
+
+## Input Parameters
+- `scope` (optional): all | module (default: all)
+- `module` (optional): Tên module cụ thể nếu scope=module
+- `report_path` (optional): Đường dẫn lưu report
+
+---
+
+## Workflow Steps
+
+### Bước 1: Dependency Scan
+
+#### Java (Maven)
+```bash
+./mvnw org.owasp:dependency-check-maven:check
+./mvnw versions:display-dependency-updates
+```
+
+#### Node.js (Angular/React)
+```bash
+npm audit
+npm audit --json > audit-report.json
+```
+
+#### .NET
+```bash
+dotnet list package --vulnerable
+```
+
+Ghi nhận kết quả:
+| Dependency | CVE | Severity | Fix Available |
+|-----------|-----|----------|---------------|
+| {lib} | {CVE-xxx} | {Critical/High/Medium/Low} | {Yes/No} |
+
+### Bước 2: Code Scan — ATTT01-ATTT08
+
+Chạy TOÀN BỘ scan commands từ `02-evnict-kit-security-rules.md`:
+
+```bash
+# ATTT01: SQL Injection
+grep -rn "query.*+.*\"" --include="*.java" src/
+grep -rn "createNativeQuery.*+\s" --include="*.java" src/
+grep -rn "DSL\.field(.*+\s" --include="*.java" src/
+grep -rn "DSL\.condition(.*+\s" --include="*.java" src/
+
+# ATTT02: XSS
+grep -rn "\[innerHTML\]" --include="*.html" src/
+grep -rn "bypassSecurityTrust" --include="*.ts" src/
+grep -rn "dangerouslySetInnerHTML" --include="*.tsx" --include="*.jsx" src/
+
+# ATTT04: JWT
+grep -rn "HS256\|alg.*none\|secret.*=\"" --include="*.java" src/
+grep -rn "parse.*Unsafe\|without.*verification" --include="*.java" src/
+
+# ATTT07: Data Exposure
+grep -rn "ResponseEntity.ok(.*repository\|ResponseEntity.ok(.*entity" --include="*.java" src/
+grep -rn "printStackTrace\|getStackTrace" --include="*.java" src/
+
+# R01: Secrets
+grep -rn "password\s*=\s*\"" --include="*.java" --include="*.ts" --include="*.yml" src/
+grep -rn "apiKey\s*=\s*\"" --include="*.java" --include="*.ts" src/
+grep -rn "secret\s*=\s*\"" --include="*.java" --include="*.ts" src/
+
+# R04: PII in logs
+grep -rn "log\.\(info\|debug\|warn\|error\).*password\|log\.\(info\|debug\|warn\|error\).*token" --include="*.java" src/
+```
+
+### Bước 3: Configuration Review
+
+#### Kiểm tra Security Config
+```bash
+find src -name "SecurityConfig*.java" -o -name "WebSecurityConfig*.java" | head -5
+```
+
+Verify:
+- [ ] CSRF configured (hoặc disabled với JWT justification)
+- [ ] CORS configured properly (không wildcard `*` cho production)
+- [ ] CSP headers set
+- [ ] X-Content-Type-Options: nosniff
+- [ ] X-Frame-Options: DENY
+- [ ] Strict-Transport-Security set
+
+#### Kiểm tra .gitignore
+```bash
+cat .gitignore
+```
+Verify chặn: `.env`, `*.key`, `*.pem`, `application-prod.yml`
+
+#### Kiểm tra endpoints public
+```bash
+grep -rn "permitAll\|anonymous" --include="*.java" src/
+```
+Verify: chỉ login, refresh, health endpoint là public
+
+### Bước 4: Tạo Security Report
+
+```markdown
+# 🔒 Security Audit Report
+## Project: {project-name}
+## Date: {YYYY-MM-DD}
+## Scope: {all | module: {name}}
+## Auditor: AI Agent
+
+---
+
+## Executive Summary
+| Category | Issues Found | Critical | High | Medium | Low |
+|----------|-------------|----------|------|--------|-----|
+| Dependencies | {N} | {n} | {n} | {n} | {n} |
+| Code (ATTT) | {N} | {n} | {n} | {n} | {n} |
+| Configuration | {N} | {n} | {n} | {n} | {n} |
+| **Total** | **{N}** | **{n}** | **{n}** | **{n}** | **{n}** |
+
+## Verdict: {PASS | FAIL | NEEDS ATTENTION}
+
+---
+
+## 1. Dependency Vulnerabilities
+{Table of CVEs found}
+
+## 2. Code Vulnerabilities
+### ATTT01 — SQL Injection: {PASS/FAIL}
+{Details}
+
+### ATTT02 — XSS: {PASS/FAIL}
+{Details}
+
+### ATTT03 — CSRF: {PASS/FAIL}
+{Details}
+
+### ATTT04 — JWT Security: {PASS/FAIL}
+{Details}
+
+### ATTT05 — Dependencies: {PASS/FAIL}
+{Details}
+
+### ATTT06 — File Upload: {PASS/FAIL}
+{Details}
+
+### ATTT07 — Data Exposure: {PASS/FAIL}
+{Details}
+
+### ATTT08 — OWASP Top 10: {PASS/FAIL}
+{Details}
+
+## 3. Configuration Issues
+{List of config issues}
+
+## 4. Recommendations
+| # | Priority | Action | Effort |
+|---|----------|--------|--------|
+| 1 | {P} | {action} | {estimate} |
+
+## 5. Sign-off
+- Reviewed by: AI Agent
+- Date: {date}
+- Next audit: {recommended date}
+```
+
+Lưu report vào: `docs/attt/security-audit-{date}.md`
+
+---
+
+## Error Handling
+
+### FAIL audit khi:
+- Critical CVE chưa patch → BLOCK deployment
+- SQL Injection found → BLOCK + fix ngay
+- Hardcoded secrets found → BLOCK + rotate secrets
+
+---
+
+## Tiêu chí hoàn thành
+- [ ] Dependency scan completed
+- [ ] Code scan ATTT01-08 completed
+- [ ] Configuration reviewed
+- [ ] Report created với verdict
+- [ ] Critical/High issues escalated