kodu 2.1.3 → 2.2.0

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "kodu",
-  "version": "2.1.3",
+  "version": "2.2.0",
   "description": "High-performance CLI to prepare codebase for LLMs, automate reviews, and draft commits.",
   "repository": {
     "type": "git",

package/registry.schema.json

@@ -0,0 +1,39 @@
+{
+  "$schema": "https://json-schema.org/draft/2020-12/schema",
+  "type": "object",
+  "properties": {
+    "$schema": {
+      "type": "string"
+    },
+    "projects": {
+      "default": {},
+      "type": "object",
+      "propertyNames": {
+        "type": "string"
+      },
+      "additionalProperties": {
+        "type": "object",
+        "properties": {
+          "path": {
+            "type": "string",
+            "minLength": 1
+          },
+          "repo": {
+            "type": "string"
+          },
+          "stands": {
+            "default": ["local", "dev", "stage", "prod"],
+            "type": "array",
+            "items": {
+              "type": "string"
+            }
+          }
+        },
+        "required": ["path", "stands"],
+        "additionalProperties": false
+      }
+    }
+  },
+  "required": ["projects"],
+  "additionalProperties": false
+}

package/scripts/generate-json-schema.ts

@@ -1,15 +1,24 @@
 import { writeFile } from 'node:fs/promises';
 import { execa } from 'execa';
 import { configSchema } from '../src/core/config/config.schema';
+import { registrySchema } from '../src/core/registry/registry.schema';
 
 async function main(): Promise<void> {
-  const schema = configSchema.toJSONSchema();
-  const schemaString = JSON.stringify(schema, null, 2);
-
-  await writeFile('kodu.schema.json', schemaString, 'utf8');
+  await writeFile(
+    'kodu.schema.json',
+    JSON.stringify(configSchema.toJSONSchema(), null, 2),
+    'utf8',
+  );
   await execa('biome', ['format', '--write', 'kodu.schema.json']);
-
   console.log('✅ JSON schema generated: kodu.schema.json');
+
+  await writeFile(
+    'registry.schema.json',
+    JSON.stringify(registrySchema.toJSONSchema(), null, 2),
+    'utf8',
+  );
+  await execa('biome', ['format', '--write', 'registry.schema.json']);
+  console.log('✅ JSON schema generated: registry.schema.json');
 }
 
 main().catch((error: unknown) => {

package/skills/ac/SKILL.md

@@ -0,0 +1,239 @@
+---
+name: ac
+description: "Обновляет status.md, фиксирует решения и выполняет грамотный git commit."
+compatibility: opencode
+metadata:
+  level: multi
+  output: .agent-log/ + git commit
+---
+
+# Что делает этот скилл
+
+Перед коммитом делает три вещи:
+1. **Проверяет** — нет ли секретов в коде
+2. **Обновляет** — `status.md` (отмечает что сделано) и пишет decision если нужно
+3. **Коммитит** — по Conventional Commits, с WHY в теле
+
+Запускается **автоматически** при словах "коммитим / готово / push / закончили / сохрани".
+Пользователь может вызвать вручную: `/ac`.
+
+---
+
+# Шаги
+
+## Шаг 1 — Узнать что изменилось
+
+```bash
+git diff --cached --name-only
+```
+
+Если список пустой:
+```bash
+git diff HEAD --name-only
+```
+
+Если и там пусто → написать "Нечего коммитить" и **остановиться**.
+
+---
+
+## Шаг 2 — Проверить на секреты
+
+```bash
+git diff --cached
+```
+
+Проверить весь diff по паттернам:
+
+- AWS access key
+- GitHub PAT
+- OpenAI / Anthropic key / ...
+- Приватный ключ
+- Пароль в коде (не placeholder)
+- Секрет в коде (не placeholder)
+
+**Нашёл → СТОП.** Показать строку с проблемой. Коммитить нельзя.
+
+---
+
+## Шаг 3 — Записать архитектурное решение (если было)
+
+**Сначала ответить:** было ли в сессии архитектурное решение? (обсуждались варианты, выбирался подход)
+
+**Нет → пропустить этот шаг.**
+
+**Да:**
+
+1. Найти следующий ID: `glob: .agent-log/decisions/**/*.md` → max номер `DEC-NNNN` → +1. Если файлов нет → `DEC-0001`.
+
+2. Slug из заголовка:
+   ```bash
+   python3 -c "import unicodedata,re,sys; s=unicodedata.normalize('NFKD',sys.argv[1]).encode('ascii','ignore').decode(); print(re.sub(r'[^a-z0-9]+','-',s.lower()).strip('-'))" "Заголовок решения"
+   ```
+
+3. Создать `.agent-log/decisions/YYYY/MM/DD/DEC-NNNN-slug.md`:
+
+   ```
+   ---
+   id: DEC-NNNN
+   type: decision
+   title: Заголовок решения
+   summary: Одна строка — суть выбора
+   status: active
+   created_at: YYYY-MM-DD
+   updated_at: YYYY-MM-DD
+   tags: [тег1, тег2]
+   confidence: medium
+   schema_version: 1
+   related_files: [только исходный код, без .agent-log/]
+   origin: generated
+   verification_state: unverified
+   ---
+
+   ## Контекст
+
+   Почему возник этот вопрос. Что за проблема. Понятно для нового разработчика.
+
+   ## Решение
+
+   Что выбрали и почему именно это.
+
+   ## Альтернативы
+
+   Что рассматривали и почему не выбрали. Даже плохие варианты — чтобы не предлагали снова.
+   ```
+
+   Запомнить ID (`DEC-NNNN`) — нужен в шаге 6.
+
+---
+
+## Шаг 4 — Обновить status.md
+
+Прочитать `.agent-log/status.md`.
+
+Определить: какая задача из "Текущего фокуса" решена этим коммитом?
+
+- `- [ ] задача` → `- [x] задача` для выполненной
+- Если в "Ближайшем бэклоге" есть задачи — перенести первую в "Текущий фокус"
+  (убрать из бэклога, добавить как `- [ ]` в фокус)
+- Обновить `updated_at` во frontmatter: текущая дата и время (`YYYY-MM-DD HH:MM`)
+
+Если `status.md` не существует → создать пустой шаблон:
+
+```
+---
+type: status
+updated_at: YYYY-MM-DD HH:MM
+current_goal: ""
+---
+
+# Текущий фокус
+- [ ] Задача не определена
+
+# Ближайший бэклог (Next Steps)
+
+# Известные проблемы / Технический долг
+```
+
+---
+
+## Шаг 5 — Добавить файлы в staged
+
+```bash
+git add .agent-log/status.md
+```
+
+Если в шаге 3 создано решение:
+```bash
+git add .agent-log/decisions/
+```
+
+---
+
+## Шаг 6 — Сформировать commit message
+
+### Формат (Conventional Commits)
+
+```
+тип(область): короткое описание
+
+Почему было сделано это изменение.
+Какая проблема решалась и почему именно так.
+
+Related: DEC-NNNN
+```
+
+### Как выбрать тип
+
+| Тип | Когда |
+|---|---|
+| `feat` | Новая функциональность |
+| `fix` | Исправление бага |
+| `refactor` | Переработка без изменения поведения |
+| `docs` | Только документация |
+| `chore` | Конфиги, зависимости |
+| `test` | Тесты |
+| `perf` | Производительность |
+| `style` | Форматирование |
+| `build` | Сборка, CI/CD |
+
+### Правила первой строки
+
+- Императив: `add`, `fix`, `remove` (не `added`, не `adding`)
+- Строчная буква после двоеточия, без точки, ≤72 символа
+- **Всегда на английском**
+
+### Тело — обязательно
+
+WHY, не WHAT. Почему именно так. Отделить пустой строкой, перенос на 72 символах.
+
+### Footer
+
+- `Related: DEC-NNNN` — если в шаге 3 создано решение
+- `BREAKING CHANGE: описание` — если ломающее изменение
+
+### Пример
+
+```
+feat(auth): add session invalidation via Redis
+
+JWT tokens could not be revoked server-side without maintaining
+a blacklist. Redis-based sessions solve this with O(1) lookup
+and TTL-based cleanup.
+
+Related: DEC-0001
+```
+
+---
+
+## Шаг 7 — Выполнить коммит
+
+```bash
+git commit -m "тип(область): описание
+
+WHY в теле.
+
+Related: DEC-NNNN"
+```
+
+---
+
+## Шаг 8 — Вывод пользователю
+
+```
+✅ Изменения зафиксированы
+Коммит: <sha7> — <описание>
+status.md обновлён.
+Решений записано: [N / нет]
+```
+
+---
+
+# Правила
+
+- **Секреты** → СТОП, показать строку, не коммитить
+- **Decision** — только при реальном архитектурном выборе, не каждый коммит
+- **Commit message** — английский, Conventional Commits
+- **WHY неясен** — инферировать из контекста сессии, не спрашивать повторно
+- **status.md** — обновлять всегда, минимум `updated_at`
+- **Язык в markdown-файлах** — просто и понятно, короткие предложения, без жаргона без объяснений
+- **Порядок**: проверить → записать файлы → git add → git commit

package/skills/al/SKILL.md

@@ -0,0 +1,98 @@
+---
+name: al
+description: "Загружает рабочий контекст из .agent-log/ и git log в начале сессии."
+compatibility: opencode
+metadata:
+  level: single
+  output: context summary
+---
+
+# Что делает этот скилл
+
+Даёт агенту актуальный рабочий контекст перед началом работы:
+- что делаем прямо сейчас (из `status.md`)
+- что уже было сделано (из `git log`)
+- какие архитектурные решения приняты (из `decisions/`)
+
+Запускается **автоматически** в начале каждой сессии. Пользователь может вызвать вручную: `/al`.
+
+---
+
+# Шаги
+
+**Шаг 1 — Проверить базу знаний**
+
+```bash
+ls .agent-log/
+```
+
+> ⚠️ Никогда не использовать инструмент `read` для директории — вернёт "File not found". Всегда через `bash`.
+
+- Директория есть → перейти к шагу 2
+- Директории нет → сообщить: _"AKMS не инициализирован. Запустить `akms init`?"_ — остановиться
+
+---
+
+**Шаг 2 — Прочитать текущий фокус**
+
+Прочитать `.agent-log/status.md` целиком — файл всегда короткий.
+
+Запомнить:
+- `current_goal` из frontmatter — глобальная цель проекта
+- первый незакрытый пункт `- [ ]` из раздела "Текущий фокус"
+
+Если `status.md` не существует → пропустить, продолжить без фокуса.
+
+---
+
+**Шаг 3 — Загрузить активные решения**
+
+```bash
+glob: .agent-log/decisions/**/*.md
+```
+
+Для каждого читать **только первые 15 строк** — frontmatter достаточно.
+
+Оставить только: `status: active` или `status: needs_review`. Максимум **7 записей**.
+
+Если решений нет → пропустить.
+
+---
+
+**Шаг 4 — Прочитать историю из Git**
+
+```bash
+git log -n 5 --pretty=format:"* %h — %s (%ar)"
+```
+
+Последние 5 коммитов в одну строку каждый. Быстро, не читает файловую систему.
+
+Если git не инициализирован или репозиторий пустой → пропустить.
+
+---
+
+**Шаг 5 — Вывести контекст пользователю**
+
+```
+📚 AKMS контекст загружен
+Текущая цель: [current_goal из status.md / "не задана"]
+Активная задача: [первый - [ ] пункт / "нет открытых задач"]
+Последние коммиты:
+  * a1b2c3d — feat(auth): add redis support (2 hours ago)
+  * ...
+Активные решения: [DEC-0001: заголовок, ...] / нет
+
+Работаем.
+```
+
+После вывода — сразу переходить к задаче пользователя.
+
+---
+
+# Правила
+
+- **status.md читать целиком** — он специально короткий, это не расточительство
+- **decisions** — только первые 15 строк (frontmatter), тело не нужно
+- **git log вместо файлов коммитов** — быстрее и всегда актуально
+- **Директорию проверять через `bash ls`** — не через `read`
+- **Не задавать вопросов** — только читать, ничего не менять

package/skills/audit/SKILL.md

@@ -0,0 +1,205 @@
+---
+name: audit
+description: >
+  Мастер-оркестратор комплексного аудита кодовой базы. Запускает все 18 специализированных
+  проверок и группирует результаты по компонентам системы. Вызывай при /audit или
+  запросе "полный аудит", "комплексный аудит кодовой базы".
+---
+
+## Задача
+
+Ты — ведущий инженер по качеству и безопасности, проводящий полный аудит кодовой базы.
+
+## Шаг 0 — Runtime resolution (определение стека)
+
+Аудиты стек-агностичны: конкретика берётся из профиля стека. Определи рантайм
+ОДИН раз здесь и передай его всем саб-скиллам, чтобы они не передетектили.
+
+```bash
+if   [ -f package.json ]; then echo "runtime=node"
+elif [ -f go.mod ]; then echo "runtime=go"
+elif [ -f pyproject.toml ] || [ -f requirements.txt ] || [ -f setup.py ]; then echo "runtime=python"
+elif [ -f Cargo.toml ]; then echo "runtime=rust"
+elif [ -f pom.xml ] || ls build.gradle* settings.gradle* >/dev/null 2>&1; then echo "runtime=java"
+else echo "runtime=generic"; fi
+```
+
+Один запуск `/audit` = ОДИН рантайм. **Полиглот-репозиторий** (например Go-бэкенд
++ Node-фронтенд в сабмодулях) аудить по подпроектам: запусти `/audit` отдельно
+внутри каждого подкаталога (`backend/`, `frontend/`). Если в текущем каталоге
+несколько маркеров — выбери по scope и сообщи об этом пользователю.
+
+Прочитай профиль один раз через Read: `./skills/audit/stacks/<runtime>.md`
+(fallback `./skills/audit/stacks/_generic.md`). Канон детекта — `./skills/audit/runtime-detect.md`.
+
+Передавай `runtime=<id>` + содержимое профиля как контекст каждому sub-скиллу
+(тем же каналом, что и baseline). Саб-скиллы увидят это и пропустят собственный
+детект; при автономном запуске они детектят сами.
+
+## Шаг 1 — Подготовка сессии
+
+Выполни через Bash:
+
+```bash
+# Удалить старые сессии, оставить 2 последних
+ls -dt ./docs/audits/[0-9]*/ 2>/dev/null | tail -n +3 | xargs rm -rf 2>/dev/null
+# Создать папку новой сессии
+mkdir -p ./docs/audits/$(date +"%Y-%m-%d_%H-%M")
+```
+
+Для incremental-аудита (только изменённые файлы) — определи scope:
+```bash
+git diff --name-only HEAD~1 2>/dev/null | grep -E '\.(ts|js|py|go|rs)$' | head -30
+```
+Если список < 20 файлов — начинай аудит с них, затем критические пути.
+
+## Шаг 2 — Baseline
+
+```bash
+cat ./docs/audit-baseline.yml 2>/dev/null
+```
+
+Если файл не существует — создай:
+
+```bash
+cp ./skills/audit/audit-baseline-template.yml ./docs/audit-baseline.yml 2>/dev/null || \
+  printf "accepted: []\n" > ./docs/audit-baseline.yml
+```
+
+Сообщи: `📋 docs/audit-baseline.yml создан. Заполни для подавления принятых рисков.`
+
+Содержимое baseline передавай как контекст каждому sub-скиллу (вместе с `runtime=<id>` и профилем из Шага 0).
+
+## Шаг 3 — Декомпозиция системы
+
+Перечисли логические компоненты (Аутентификация, API, Фоновые задачи и т.д.) перед запуском аудитов. Используй структуру папок как ориентир.
+
+## Шаг 3.5 — Критические пути (Risk-Based Prioritization)
+
+```bash
+grep -rl "auth\|login\|payment\|billing\|webhook\|cron\|migration" ./src 2>/dev/null | head -20
+```
+
+Перечисли critical paths — файлы/модули с наибольшим blast radius:
+```
+Critical paths (exhaustive depth):
+- Authentication: src/auth/**
+- Payments: src/payments/**
+- Webhooks/Workers: src/workers/**
+
+Standard paths: src/api/**, src/services/**
+Low priority (naming/style): src/utils/**
+```
+
+Передавай список critical paths каждому sub-скиллу — они должны начинать с этих файлов.
+
+## Шаг 4 — Анализ по 18 направлениям
+
+**ОБЯЗАТЕЛЬНО:** Для каждого направления вызови специализированный скилл через `Skill`. Прямой анализ без скилла недопустим.
+
+**Правило пропуска:** направление нерелевантно → пропусти без упоминания.
+
+Скиллы сгруппированы для параллельного запуска. Группы выполняются последовательно — скиллы внутри группы можно запускать параллельно через Agent-вызовы.
+
+**Группа А — Безопасность:**
+| # | Направление | Скилл |
+|---|-------------|-------|
+| 1 | Secrets Leak | `audit-secrets` |
+| 2 | OWASP Security | `audit-owasp` |
+| 3 | Boundary Validation | `audit-validation` |
+
+**Группа Б — Логика:**
+| # | Направление | Скилл |
+|---|-------------|-------|
+| 4 | Bugs & Logic | `audit-bugs` |
+| 5 | Error Handling | `audit-errors` |
+| 6 | Concurrency | `audit-concurrency` |
+
+**Группа В — Качество:**
+| # | Направление | Скилл |
+|---|-------------|-------|
+| 7 | Architecture | `audit-architecture` |
+| 8 | Naming | `audit-naming` |
+| 9 | YAGNI | `audit-yagni` |
+| 10 | Reinventing the Wheel | `audit-reinvention` |
+| 11 | Documentation | `audit-docs` |
+
+**Группа Г — Операции:**
+| # | Направление | Скилл |
+|---|-------------|-------|
+| 12 | Tests & Linters | `audit-tests` |
+| 13 | Logging | `audit-logging` |
+| 14 | Performance | `audit-performance` |
+| 15 | Deployment | `audit-deployment` |
+| 16 | API Contracts | `audit-api-contracts` |
+| 17 | Meta-контроль | `audit-meta` |
+
+**Группа Д — Системный уровень:**
+| # | Направление | Скилл |
+|---|-------------|-------|
+| 18 | Матрица взаимодействий | `audit-matrix` |
+
+**Каждый скилл ОБЯЗАН сохранить файл в папку сессии: `./docs/audits/<SESSION>/audit-<name>.md`**
+
+## Шаг 5 — Сводный отчёт по компонентам
+
+После всех скиллов собери только строки `❌ FAIL` и `⏸ ACCEPTED`:
+
+```
+## Компонент: [Название]
+
+| Check ID | Проверка | Статус | Доказательство | Решение | Исправлено |
+|----------|----------|--------|----------------|---------|------------|
+| OWA-02 | Auth на protected routes | ❌ FAIL 🔴 | `routes/admin.ts:14` | **1. Добавить authMiddleware** \\ 2. ... \\ 3. ... | Нет |
+| OWA-06 | Rate limiting | ⏸ ACCEPTED | `src/app.ts` | В baseline: nginx rate limit | — |
+```
+
+Если все PASS — выведи: `✅ Проблем не обнаружено.`
+
+## Шаг 6 — Итоговая таблица
+
+```
+## Сводка
+
+| Компонент | ❌ FAIL 🔴 | ❌ FAIL 🟠 | ❌ FAIL 🟡🟢 | ⏸ ACCEPTED | Итого FAIL |
+|-----------|-----------|-----------|------------|-----------|------------|
+| [Компонент] | N | N | N | N | N |
+| **ИТОГО** | **N** | **N** | **N** | **N** | **N** |
+```
+
+## Шаг 7 — Разбор FAIL 🔴
+
+Для каждого `❌ FAIL 🔴`:
+
+```
+### 🔴 [Check ID] — [Компонент]
+**Файл:** `path/file.ts:line`
+**Проверка:** [название]
+**Доказательство:** [конкретный код]
+**Решение:** [первый вариант из таблицы]
+```
+
+## Шаг 8 — Финальная верификация
+
+Вызови: `Skill("audit-verify")`
+
+Затем вызови: `Skill("audit-meta")`
+
+## Шаг 9 — Сохранение
+
+Сохрани полный отчёт через Write: `./docs/audits/<SESSION>/audit-report.md`
+
+```
+# Full Audit Report — <YYYY-MM-DD HH:MM>
+## Компоненты системы
+## Компонент: [Название]
+## Сводка
+## Критические риски
+```
+
+Сообщи путь к папке сессии и число FAIL по severity.
+
+## Language Rule
+
+Результаты аудита должны быть написаны простым и понятным языком. Избегай сложных терминов, жаргона и абстрактных понятий без необходимости. Общепринятые технические термины (Docker, HTTP, API, JSON, URL) допустимы. Описывай проблемы так, чтобы они были понятны разработчику любого уровня, а не только узкому специалисту в данной области.
+