kodu 2.2.0 → 3.0.2

package/skills/audit-bugs/SKILL.md

@@ -1,226 +0,0 @@
----
-name: audit-bugs
-description: >
-  Аудит прямых багов и логических ошибок: неверные условия, off-by-one, null dereference,
-  забытый await, unreachable code, type coercion, мутация аргументов. Запускай при /audit-bugs.
----
-
-## Правило применимости (Relevance Rule)
-
-Применим к любому коду с бизнес-логикой. Пропускай только автогенерированные файлы (миграции, protobuf-generated, build output) и чисто декларативные конфиги (JSON, YAML без логики).
-
-## Runtime Detection & Stack Profile
-
-Этот аудит стек-агностичен: проверки сформулированы нейтрально, а конкретика
-(инструменты, идиомы, анти-паттерны, примеры) берётся из профиля стека.
-
-1. **Профиль передан контекстом?** Если оркестратор `/audit` передал
-   `runtime=<id>` и/или содержимое профиля — используй его, шаги 2–3 пропусти.
-
-2. **Иначе определи РОВНО ОДИН рантайм** этого каталога:
-   ```bash
-   if   [ -f package.json ]; then echo "runtime=node"
-   elif [ -f go.mod ]; then echo "runtime=go"
-   elif [ -f pyproject.toml ] || [ -f requirements.txt ] || [ -f setup.py ]; then echo "runtime=python"
-   elif [ -f Cargo.toml ]; then echo "runtime=rust"
-   elif [ -f pom.xml ] || ls build.gradle* settings.gradle* >/dev/null 2>&1; then echo "runtime=java"
-   else echo "runtime=generic"; fi
-   ```
-   Один запуск = один рантайм; не миксуй backend и frontend. Если найдено
-   несколько маркеров (монорепо) — выбери соответствующий текущему scope/анализируемым
-   файлам и зафиксируй выбор в разделе Audit Coverage.
-
-3. **Загрузи профиль** через Read: `./skills/audit/stacks/<runtime>.md`
-   (fallback `./skills/audit/stacks/_generic.md`, если файл не найден).
-
-Дальше используй профиль:
-- **Инструменты** — из секции «Tooling by category» профиля (раздел
-  «Инструментальная поддержка» ниже ссылается на категории, а не на команды).
-- **Ожидания PASS** — из «Idioms»; **формулировки FAIL** — из «Anti-patterns».
-- **Точечные подсказки** — из «Check-ID hints» по префиксу `BUG-`.
-- Если профиль `tier: general` или `runtime=generic` → стек-специфичные находки
-  без однозначного evidence помечай `🔍 UNVERIFIED`, а не `❌ FAIL`. Проверки,
-  чей механизм в рантайме отсутствует, помечай `N/A`.
-
-## Severity Guide
-
-| Severity | Критерий назначения |
-|----------|---------------------|
-| 🔴 Critical | RCE, auth bypass, data corruption, необратимый финансовый риск |
-| 🟠 High | Падение production, privilege escalation, утечка данных |
-| 🟡 Medium | Деградация производительности или поддерживаемости без immediate outage |
-| 🟢 Low | Стиль, читаемость, слабое нарушение конвенции |
-
-Правило: severity = impact × exploitability × blast radius. Одинаковый паттерн → одинаковый severity между аудитами.
-
-## Чеклист
-
-| Check ID | Проверка |
-|----------|----------|
-| BUG-01 | Преобразования типов безопасны: ошибки парсинга обрабатываются, нет небезопасного приведения |
-| BUG-02 | Асинхронные/конкурентные вызовы ожидаются корректно, результат не теряется |
-| BUG-03 | Null-safety соблюдается — обращения к свойствам защищены от undefined/null |
-| BUG-04 | Функции не мутируют входные аргументы (sort, splice, object spread) |
-| BUG-05 | Exhaustive handling — все enum/union-ветки обработаны |
-| BUG-06 | Математические guard-условия (деление на ноль, граничные значения) |
-| BUG-07 | Off-by-one: границы диапазонов корректны (`<` vs `<=`, индексы массивов, slice) |
-| BUG-08 | Float comparison не использует `===` для проверки равенства (используется epsilon или toFixed) |
-| BUG-09 | Дата/время хранятся и обрабатываются в UTC, не локальном времени |
-| BUG-10 | RegExp с user input не содержит катастрофического backtracking (ReDoS) |
-
-## Правила верификации
-
-1. **Только чеклист**: оценивай ТОЛЬКО проверки выше. Не добавляй новые.
-2. **Явная верификация = PASS**: ставь `✅ PASS` только если явно проверил механизм (нашёл схему, конфиг, guard) и подтвердил отсутствие нарушения — укажи что именно проверено.
-3. **Нет доказательства = UNVERIFIED**: не можешь указать `файл:строка` ни для нарушения, ни для подтверждения — ставь `🔍 UNVERIFIED`.
-4. **Baseline приоритетен**: check_id есть в `docs/audit-baseline.yml` → `⏸ ACCEPTED`.
-5. **Только 🔴/🟠 FAIL требуют решения**: 🟡/🟢 — решение необязательно.
-
-## Evidence Quality Rules
-
-Любой `❌ FAIL` обязан содержать:
-- Точный `file:line`
-- Минимальный код-фрагмент (1–3 строки)
-- Causal chain: почему именно это нарушение → какой риск возникает
-
-Запрещено:
-- Предполагать runtime behavior без evidence в коде
-- Предполагать prod-конфигурацию по dev-конфигу
-- Предполагать отсутствие middleware без проверки всей router chain
-- Если вывод основан на предположении — только `🔍 UNVERIFIED`
-
-## Language Rule
-
-Результаты аудита должны быть написаны простым и понятным языком. Избегай сложных терминов, жаргона и абстрактных понятий без необходимости. Общепринятые технические термины (Docker, HTTP, API, JSON, URL) допустимы. Описывай проблемы так, чтобы они были понятны разработчику любого уровня, а не только узкому специалисту в данной области.
-
-## Baseline
-
-До анализа:
-```bash
-if [ ! -f ./docs/audit-baseline.yml ]; then
-  mkdir -p ./docs
-  cp ./skills/audit/audit-baseline-template.yml ./docs/audit-baseline.yml 2>/dev/null || \
-    printf "accepted: []\n" > ./docs/audit-baseline.yml
-fi
-cat ./docs/audit-baseline.yml
-```
-
-## Контекст анализа
-
-> Примеры ниже — иллюстративные (Node/TS). Конкретику текущего рантайма бери из
-> загруженного профиля (`stacks/<runtime>.md`, секции Idioms/Anti-patterns/Check-ID hints).
-
-**BUG-01 — Преобразования типов безопасны:**
-- Парсинг строки в число без обработки ошибки/результата
-- Небезопасное приведение типа без проверки успешности
-- Неявное приведение типов с неожиданным результатом
-- Сравнение значений разных типов с неявным coercion
-- В Go это проигнорированная ошибка `strconv` (`v, _ := strconv.Atoi(...)`) или type assertion `x.(T)` без comma-ok; radix/`==`-coercion — **N/A** при отсутствии парсинга строк (см. Check-ID hints профиля).
-
-**BUG-02 — Асинхронные/конкурентные вызовы ожидаются корректно:**
-- Асинхронный вызов запущен, но его результат/ошибка не дожидается
-- Условие на необёрнутом отложенном результате (всегда truthy)
-- Параллельный вызов теряется, потому что не синхронизирован
-- В Node: `await` внутри `forEach` (итерация не ждёт промисов), `if (asyncFn())` вместо `if (await asyncFn())`, async-вызов без `await`, `Promise` без обработки ошибки. В Go синтаксис forEach отсутствует (**N/A**), аналогичный риск — в CON-01.
-
-**BUG-03 — Null-safety соблюдается:**
-- Обращение к свойству без проверки на null/undefined
-- Опциональная цепочка пропущена (`obj.a.b` там где `obj.a` может быть undefined)
-- Деструктуризация без дефолтного значения при возможном undefined
-- В Go: разыменование nil-указателя/интерфейса; обращение к nil-map; запись в nil-map = паника; map-доступ без `v, ok := m[k]`
-
-**BUG-04 — Функции не мутируют входные аргументы:**
-- `Array.sort()` на переданном массиве без предварительного `.slice()`
-- `Array.splice()` изменяет оригинальный массив-аргумент
-- Прямое присваивание свойств объекта-аргумента вместо создания копии через spread
-- В Go: `sort.Slice` мутирует переданный слайс на месте; запись в slice/map-аргумент видна вызывающему
-
-**BUG-05 — Exhaustive handling:**
-- `switch` без `default` на enum-значении — новое значение enum пройдёт незамеченным
-- Union type без обработки всех вариантов в if/else цепочке
-- Отсутствие never-проверки для исчерпывающего TypeScript switch
-- В Go: `switch` по значению без ветки `default`
-
-**BUG-06 — Математические guard-условия:**
-- Деление на ноль без guard-проверки знаменателя
-- `Number()` / `parseInt()` без проверки результата на NaN перед использованием
-- Граничные значения не проверяются (отрицательный индекс, пустой массив)
-
-**BUG-07 — Off-by-one:**
-- `for (i = 0; i <= arr.length; i++)` — выход за границы массива
-- `slice(0, n)` / `slice(0, n-1)` — потеря или дублирование последнего элемента
-- Сравнение `index < arr.length - 1` там где нужно `index < arr.length`
-- Пагинация: `offset * limit` vs `(offset - 1) * limit` при 1-based страницах
-
-**BUG-08 — Float comparison:**
-- `a === b` где a и b — результаты float-арифметики (0.1 + 0.2 !== 0.3)
-- Сравнение денежных сумм через float вместо integer cents / BigDecimal
-- Условие `if (parseFloat(x) === 1.0)` вместо `Math.abs(x - 1.0) < epsilon`
-- В Go: сравнение `float64` через `==`; деньги — в `int64` (центы) или `shopspring/decimal`
-
-**BUG-09 — Дата/время в UTC:**
-- `new Date()` без явной UTC-обработки — результат зависит от timezone сервера
-- Сравнение дат через `toLocaleDateString()` — зависит от локали
-- Хранение timestamp как local datetime строки вместо ISO 8601 с `Z`
-- `new Date('2024-01-01')` парсится как UTC, `new Date('2024-01-01 00:00')` — как local
-- В Go: `time.Now()` вместо `time.Now().UTC()` — результат зависит от часового пояса сервера
-
-**BUG-10 — ReDoS:**
-- `new RegExp(userInput)` — пользователь контролирует регулярное выражение
-- Вложенные quantifiers на перекрывающихся классах: `(a+)+`, `(a*)*`, `([a-zA-Z]+\s?)+`
-- Проверка: `'a'.repeat(50000) + 'x'` на подозрительном regex вешает event loop
-- Особо опасно в middleware (auth, routing), где regex применяется к каждому запросу
-- В Go движок `regexp` (RE2) не имеет backtracking → ReDoS практически невозможен; помечай `N/A` или `Low` (см. профиль)
-
-## Граница с другими аудитами
-
-- **Обработка ошибок** (timeout, retry, circuit breaker) → `audit-errors`
-- **Race conditions, транзакции** → `audit-concurrency`
-- **Валидация входных данных** → `audit-validation`
-- **Безопасность (injection, XSS)** → `audit-owasp`
-
-## Формат вывода
-
-| Check ID | Проверка | Статус | Уверенность | Доказательство | Решение | Исправлено |
-|----------|----------|--------|-------------|----------------|---------|------------|
-| BUG-01 | Преобразования типов безопасны: ошибки парсинга обрабатываются, нет небезопасного приведения | ✅ PASS | High | `src/` — parseInt всегда с radix | — | — |
-| BUG-03 | Null-safety соблюдается — обращения к свойствам защищены от undefined/null | ❌ FAIL 🟠 | High | `services/order.ts:55` | **1. Добавить опциональную цепочку: `user?.address?.city`** \\ 2. Добавить guard-проверку перед обращением \\ 3. Использовать nullish coalescing с дефолтом | Нет |
-| BUG-05 | Exhaustive handling — все enum/union-ветки обработаны | ⏸ ACCEPTED | Medium | `handlers/event.ts:23` | В baseline: exhaustive check через TypeScript never | — |
-
-Статусы: `✅ PASS` / `❌ FAIL 🔴` / `❌ FAIL 🟠` / `❌ FAIL 🟡` / `❌ FAIL 🟢` / `⏸ ACCEPTED` / `🔍 UNVERIFIED`
-
-Уверенность: `High` — проверил несколько ключевых файлов, паттерн очевиден / `Medium` — проверил выборочно, паттерн вероятен / `Low` — ограниченный контекст, полная уверенность невозможна
-
-Для `❌ FAIL`: ровно 3 варианта решения, разделитель `\\`, вариант 1 жирным.
-
-`Исправлено`: FAIL → `Нет` (разработчик меняет на `✅ Да` вручную после фикса). PASS / ACCEPTED / UNVERIFIED → `—`.
-
-Требования к решениям:
-- Взаимно исключающие (не перефразировки одного и того же)
-- Соответствуют текущему стеку проекта (не предлагать смену фреймворка)
-- Не требуют переписать всю систему — realistic migration cost
-- Вариант 3 может быть «оставить, задокументировать причину» при наличии обоснования
-
-В конце отчёта добавь раздел покрытия:
-```
-## Audit Coverage
-Проверено: src/module1/**, src/module2/**
-Пропущено: scripts/**, migrations/**, tests/**
-Файлов проверено: N | Пропущено: N
-```
-
-Если все PASS — выведи: `✅ Явных логических ошибок не обнаружено.`
-
-## Сохранение результатов
-
-1. Найди папку сессии:
-   ```bash
-   ls -dt ./docs/audits/[0-9]*/ 2>/dev/null | head -1 | sed 's|/$||'
-   ```
-   Если пусто — создай: `mkdir -p ./docs/audits/$(date +"%Y-%m-%d_%H-%M")`
-2. Сохрани через Write: `<AUDIT_DIR>/audit-bugs.md`
-
-```
-# Audit Report: Bugs & Logic Errors — <YYYY-MM-DD HH:MM>
-<таблица>
-```

package/skills/audit-concurrency/SKILL.md

@@ -1,197 +0,0 @@
----
-name: audit-concurrency
-description: >
-  Аудит управления состоянием и конкурентности: race conditions, deadlocks, shared mutable state,
-  неатомарные операции. Запускай при /audit-concurrency.
----
-
-## Правило применимости (Relevance Rule)
-
-Применим к коду с параллельными операциями, shared state, кэшированием, транзакциями БД, очередями, WebSocket. Для однопоточных скриптов без параллелизма — верни пустой ответ.
-
-## Runtime Detection & Stack Profile
-
-Этот аудит стек-агностичен: проверки сформулированы нейтрально, а конкретика
-(инструменты, идиомы, анти-паттерны, примеры) берётся из профиля стека.
-
-1. **Профиль передан контекстом?** Если оркестратор `/audit` передал
-   `runtime=<id>` и/или содержимое профиля — используй его, шаги 2–3 пропусти.
-
-2. **Иначе определи РОВНО ОДИН рантайм** этого каталога:
-   ```bash
-   if   [ -f package.json ]; then echo "runtime=node"
-   elif [ -f go.mod ]; then echo "runtime=go"
-   elif [ -f pyproject.toml ] || [ -f requirements.txt ] || [ -f setup.py ]; then echo "runtime=python"
-   elif [ -f Cargo.toml ]; then echo "runtime=rust"
-   elif [ -f pom.xml ] || ls build.gradle* settings.gradle* >/dev/null 2>&1; then echo "runtime=java"
-   else echo "runtime=generic"; fi
-   ```
-   Один запуск = один рантайм; не миксуй backend и frontend. Если найдено
-   несколько маркеров (монорепо) — выбери соответствующий текущему scope/анализируемым
-   файлам и зафиксируй выбор в разделе Audit Coverage.
-
-3. **Загрузи профиль** через Read: `./skills/audit/stacks/<runtime>.md`
-   (fallback `./skills/audit/stacks/_generic.md`, если файл не найден).
-
-Дальше используй профиль:
-- **Инструменты** — из секции «Tooling by category» профиля (раздел
-  «Инструментальная поддержка» ниже ссылается на категории, а не на команды).
-- **Ожидания PASS** — из «Idioms»; **формулировки FAIL** — из «Anti-patterns».
-- **Точечные подсказки** — из «Check-ID hints» по префиксу `CON-`.
-- Если профиль `tier: general` или `runtime=generic` → стек-специфичные находки
-  без однозначного evidence помечай `🔍 UNVERIFIED`, а не `❌ FAIL`. Проверки,
-  чей механизм в рантайме отсутствует, помечай `N/A`.
-
-## Severity Guide
-
-| Severity | Критерий назначения |
-|----------|---------------------|
-| 🔴 Critical | RCE, auth bypass, data corruption, необратимый финансовый риск |
-| 🟠 High | Падение production, privilege escalation, утечка данных |
-| 🟡 Medium | Деградация производительности или поддерживаемости без immediate outage |
-| 🟢 Low | Стиль, читаемость, слабое нарушение конвенции |
-
-Правило: severity = impact × exploitability × blast radius. Одинаковый паттерн → одинаковый severity между аудитами.
-
-## Чеклист
-
-| Check ID | Проверка |
-|----------|----------|
-| CON-01 | Параллельные операции запускаются и синхронизируются корректно; результаты дожидаются, фоновые задачи не утекают |
-| CON-02 | Read-modify-write операции выполняются в транзакциях [⚡ dynamic] |
-| CON-03 | Разделяемое изменяемое состояние защищено синхронизацией (синглтоны, кэши, переменные уровня модуля) |
-| CON-04 | Module-level кэш имеет механизм инвалидации |
-| CON-05 | Обработчики событий и webhook-handlers идемпотентны [⚡ dynamic] |
-| CON-06 | Фоновые операции имеют механизм отмены и не блокируют graceful shutdown |
-
-## Правила верификации
-
-1. **Только чеклист**: оценивай ТОЛЬКО проверки выше. Не добавляй новые.
-2. **Явная верификация = PASS**: ставь `✅ PASS` только если явно проверил механизм (нашёл схему, конфиг, guard) и подтвердил отсутствие нарушения — укажи что именно проверено.
-3. **Нет доказательства = UNVERIFIED**: не можешь указать `файл:строка` ни для нарушения, ни для подтверждения — ставь `🔍 UNVERIFIED`.
-   - Проверки с `[⚡ dynamic]` нельзя статически подтвердить — только `🔍 UNVERIFIED` или `❌ FAIL` (при явном evidence), но не `✅ PASS`
-4. **Baseline приоритетен**: check_id есть в `docs/audit-baseline.yml` → `⏸ ACCEPTED`.
-5. **Только 🔴/🟠 FAIL требуют решения**: 🟡/🟢 — решение необязательно.
-
-## Evidence Quality Rules
-
-Любой `❌ FAIL` обязан содержать:
-- Точный `file:line`
-- Минимальный код-фрагмент (1–3 строки)
-- Causal chain: почему именно это нарушение → какой риск возникает
-
-Запрещено:
-- Предполагать runtime behavior без evidence в коде
-- Предполагать prod-конфигурацию по dev-конфигу
-- Предполагать отсутствие middleware без проверки всей router chain
-- Если вывод основан на предположении — только `🔍 UNVERIFIED`
-
-## Language Rule
-
-Результаты аудита должны быть написаны простым и понятным языком. Избегай сложных терминов, жаргона и абстрактных понятий без необходимости. Общепринятые технические термины (Docker, HTTP, API, JSON, URL) допустимы. Описывай проблемы так, чтобы они были понятны разработчику любого уровня, а не только узкому специалисту в данной области.
-
-## Baseline
-
-До анализа:
-```bash
-if [ ! -f ./docs/audit-baseline.yml ]; then
-  mkdir -p ./docs
-  cp ./skills/audit/audit-baseline-template.yml ./docs/audit-baseline.yml 2>/dev/null || \
-    printf "accepted: []\n" > ./docs/audit-baseline.yml
-fi
-cat ./docs/audit-baseline.yml
-```
-
-## Контекст анализа
-
-> Примеры ниже — иллюстративные (Node/TS). Конкретику текущего рантайма бери из
-> загруженного профиля (`stacks/<runtime>.md`, секции Idioms/Anti-patterns/Check-ID hints).
-
-**CON-01 — Параллельные операции запускаются и синхронизируются корректно:**
-- Параллельная операция запущена, но её результат не дожидается (теряется)
-- Фоновая задача утекает — нет пути её завершения
-- Shared state между параллельными операциями без синхронизации
-- В Node: `await` внутри `forEach` (итерация не ждёт промисов); `async` в `Array.map` без `Promise.all` (промисы не ожидаются)
-- В Go: goroutine без `WaitGroup`/`errgroup`/`ctx` → потеря результата или goroutine leak; захват loop-переменной в `for { go f(loopVar) }` (до Go 1.22); незакрытый канал блокирует получателей
-
-**CON-02 — Read-modify-write в транзакциях:**
-- SELECT + UPDATE без транзакции (TOCTOU — time-of-check to time-of-use)
-- Двойное списание/начисление без транзакции с блокировкой
-- Check-then-act без атомарности (читаем → проверяем → пишем без lock)
-- Optimistic locking без retry при конфликте версий
-- Кэш-инвалидация между чтением и записью
-
-**CON-03 — Разделяемое изменяемое состояние защищено синхронизацией:**
-- Глобальные переменные, изменяемые из нескольких мест без синхронизации
-- Синглтоны с mutable state без синхронизации
-- Closure над изменяемой переменной в async callback
-- Конкурентная запись в один файл/ресурс без координации
-- В Go: map/переменная уровня пакета без `sync.Mutex`/atomic при конкурентном доступе → data race; ловится `go test -race`
-
-**CON-04 — Module-level кэш инвалидируется:**
-- Module-level кэш без механизма инвалидации при обновлении данных
-- Кэш без TTL (stale data не обновляется никогда)
-- Нет стратегии обновления кэша при изменении исходных данных
-
-**CON-05 — Идемпотентность обработчиков:**
-- Обработчики событий/сообщений без идемпотентности (повторная доставка не безопасна)
-- Нет защиты от дублирующихся webhook-вызовов (нет проверки event_id)
-- Финансовые или критические операции без идемпотентного ключа
-
-**CON-06 — Фоновые операции с механизмом отмены:**
-- Фоновая операция запущена без механизма отмены — при shutdown процесс не завершается чисто
-- Background job без timeout и без механизма принудительной остановки
-- Graceful shutdown не ожидает завершения фоновых задач
-- В Node: Promise-цепочка в фоне без `AbortController`/`signal`; `setInterval`/`setImmediate` в request handler без очистки; `Promise.all` с неотменяемыми задачами
-- В Go: фоновая goroutine не слушает `ctx.Done()` → не завершается при shutdown; нужен `context.Context` с проверкой отмены
-
-## Граница с другими аудитами
-
-- **Идемпотентность** — этот скилл первичный (CON-05). `audit-errors` ссылается сюда.
-- **async/await в forEach** — первичный: `audit-bugs` (BUG-02). `audit-concurrency` (CON-01) фокусируется на параллелизме, а не на синтаксической ошибке.
-
-## Формат вывода
-
-| Check ID | Проверка | Статус | Уверенность | Доказательство | Решение | Исправлено |
-|----------|----------|--------|-------------|----------------|---------|------------|
-| CON-01 | Параллельные операции запускаются и синхронизируются корректно; результаты дожидаются, фоновые задачи не утекают | ✅ PASS | High | `src/` — async forEach не найден | — | — |
-| CON-02 | Read-modify-write операции выполняются в транзакциях | ❌ FAIL 🔴 | High | `services/wallet.ts:67` | **1. Обернуть в db.transaction() с SELECT FOR UPDATE** \\ 2. Использовать optimistic locking с retry \\ 3. Добавить уникальное ограничение на уровне БД [⚡ dynamic] | Нет |
-| CON-05 | Обработчики событий и webhook-handlers идемпотентны | ⏸ ACCEPTED | Medium | `handlers/stripe.ts:12` | В baseline: идемпотентность обеспечена через event_id [⚡ dynamic] | — |
-
-Статусы: `✅ PASS` / `❌ FAIL 🔴` / `❌ FAIL 🟠` / `❌ FAIL 🟡` / `❌ FAIL 🟢` / `⏸ ACCEPTED` / `🔍 UNVERIFIED`
-
-Уверенность: `High` — проверил несколько ключевых файлов, паттерн очевиден / `Medium` — проверил выборочно, паттерн вероятен / `Low` — ограниченный контекст, полная уверенность невозможна
-
-Для `❌ FAIL`: ровно 3 варианта решения, разделитель `\\`, вариант 1 жирным.
-
-`Исправлено`: FAIL → `Нет` (разработчик меняет на `✅ Да` вручную после фикса). PASS / ACCEPTED / UNVERIFIED → `—`.
-
-Требования к решениям:
-- Взаимно исключающие (не перефразировки одного и того же)
-- Соответствуют текущему стеку проекта (не предлагать смену фреймворка)
-- Не требуют переписать всю систему — realistic migration cost
-- Вариант 3 может быть «оставить, задокументировать причину» при наличии обоснования
-
-В конце отчёта добавь раздел покрытия:
-```
-## Audit Coverage
-Проверено: src/module1/**, src/module2/**
-Пропущено: scripts/**, migrations/**, tests/**
-Файлов проверено: N | Пропущено: N
-```
-
-Если все PASS — выведи: `✅ Проблем с конкурентностью не обнаружено.`
-
-## Сохранение результатов
-
-1. Найди папку сессии:
-   ```bash
-   ls -dt ./docs/audits/[0-9]*/ 2>/dev/null | head -1 | sed 's|/$||'
-   ```
-   Если пусто — создай: `mkdir -p ./docs/audits/$(date +"%Y-%m-%d_%H-%M")`
-2. Сохрани через Write: `<AUDIT_DIR>/audit-concurrency.md`
-
-```
-# Audit Report: State & Concurrency — <YYYY-MM-DD HH:MM>
-<таблица>
-```