leerness 1.9.358 → 1.9.360
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
- package/CHANGELOG.md +30 -0
- package/README.md +5 -5
- package/bin/harness.js +55 -9
- package/package.json +1 -1
- package/scripts/e2e.js +32 -2
package/CHANGELOG.md
CHANGED
|
@@ -1,5 +1,35 @@
|
|
|
1
1
|
# Changelog
|
|
2
2
|
|
|
3
|
+
## 1.9.360 — 2026-06-05 — 안정화① 외부리뷰 CV-2: fetchNpmLatest 신형 Node Windows EINVAL 회피 (UR-0077)
|
|
4
|
+
|
|
5
|
+
**🛠 외부 멀티모델 리뷰(1.9.359) 안정화 시리즈 1탄.** `update --check` 가 신형 Node Windows 에서 `spawn EINVAL` 로 실패하던 회귀를 수정. (Codex+Sonnet 교차검증 + 자체 재현 Node v26.3.0)
|
|
6
|
+
|
|
7
|
+
### 배경 — 외부 리뷰 CV-2 (P1, 2/3 모델 + 자체 재현)
|
|
8
|
+
Node 18.20.2+/20.12.2+/21.7.3+/22+/26 은 `shell:true` 없이 `.cmd` 파일을 spawn 하면 `EINVAL` 을 던진다(CVE-2024-27980 수정 부작용). UR-0066(1.9.352)이 셸 주입 표면 제거를 위해 `npm.cmd` 를 직접 `execFile` 하도록 바꾼 것이 이 환경에서 회귀를 유발 → `update --check` 무력화. 게다가 init 이 SessionStart hook 으로 `update --check` 를 기본 설치하므로 **매 세션 `✗ spawn EINVAL`** 가 출력됐다. 자체 재현: Node v26.3.0 에서 `update --check` → `✗ spawn EINVAL`.
|
|
9
|
+
|
|
10
|
+
### 구현
|
|
11
|
+
1. **`fetchNpmLatest` win 경로 교체**: `npm.cmd` 직접 execFile → **`cmd.exe /d /s /c npm view <pkg> version`**. cmd.exe 는 `.exe` 라 EINVAL 없음, `shell:true` 미사용이라 DEP0190(deprecation) 도 회피. pkg 는 charset 검증(메타문자 0)이라 cmd 주입 불가.
|
|
12
|
+
2. **동기 throw 흡수**: execFile 동기 EINVAL throw 를 `try/catch` 로 `resolve(null)` (이전엔 Promise reject 누수).
|
|
13
|
+
|
|
14
|
+
### 검증 (회귀 0)
|
|
15
|
+
- **selftest 106→107 PASS** (UR-0040/UR-0066 케이스를 cmd.exe args 형태로 갱신 + CV-2 EINVAL 회피 가드 추가). **E2E 304→305 PASS** (행위 가드: `update --check` 가 EINVAL 없이 exit 0).
|
|
16
|
+
- 실측: 수정 후 `update --check` → `npm leerness latest: 1.9.360 → up to date` (EINVAL 소멸).
|
|
17
|
+
|
|
18
|
+
## 1.9.359 — 2026-06-05 — UR-0074: install-safety — 설치 안전 프로필 투명 공개 (공급망 신뢰)
|
|
19
|
+
|
|
20
|
+
**🧩 `leerness install-safety` — 0 런타임 의존성 · 0 install-time 스크립트라는 핵심 안전 속성을 사실 그대로 보고 + 안전 설치 워크플로 안내. 외부리뷰 "설치/릴리스 신뢰성" 우려 선제 대응.** (UR-0074, 안정화 배포 직전)
|
|
21
|
+
|
|
22
|
+
### 배경
|
|
23
|
+
GPT-5.5 웹 리뷰(UR-0074)가 "릴리스 케이던스 과다 + 설치 안전성"을 지적하며 `npm_config_ignore_scripts=true` + branch+diff 워크플로를 권고했다. leerness 는 이미 **런타임 의존성 0 · install-time 스크립트 0**(공급망 노출 0)이므로, 이 사실을 투명하게 공개하는 것이 신뢰의 핵심이다. 곧 이어질 안정화 배포의 신뢰 근거이기도 하다.
|
|
24
|
+
|
|
25
|
+
### 구현
|
|
26
|
+
1. **`installSafetyCmd(opts)`**(신규) + **`leerness install-safety [--json]`**: 패키지 `package.json` 을 읽어 `runtimeDeps`(0) · `installScripts`(preinstall/install/postinstall 0) · `node` engines · offline-first 여부 + 안전 설치 4단계(branch → ignore-scripts `migrate plan`(읽기전용 비교) → `update --yes` → `git diff`) 보고.
|
|
27
|
+
2. **회귀 가드 겸용**: selftest + e2e 가 `runtimeDeps===0 && hasInstallScripts===false` 를 단언 — 누군가 런타임 deps/install hook 를 추가하면 테스트가 실패시켜 **의식적 결정을 강제**(공급망 안전 회귀 방지).
|
|
28
|
+
|
|
29
|
+
### 검증
|
|
30
|
+
- **selftest 105→106 PASS** · **E2E 303→304 PASS** (회귀 0).
|
|
31
|
+
- 실측: `--json` → `runtimeDeps:0, hasInstallScripts:false, node:">=18", safeInstall:4단계`. human 출력 정상.
|
|
32
|
+
|
|
3
33
|
## 1.9.358 — 2026-06-05 — UR-0075 Phase D: migrate plan — 임시폴더 설치 후 비교 마이그레이션 플랜 (umbrella 완결)
|
|
4
34
|
|
|
5
35
|
**🧩 `leerness migrate plan` — 임시폴더에 현재 버전을 설치한 뒤 프로젝트의 .harness 코어 파일과 비교해 정확한 마이그레이션 플랜을 산출. 읽기 전용. UR-0075 마이그레이션 umbrella 완결.** (UR-0075 Phase D)
|
package/README.md
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
> **AI 코딩 에이전트의 거짓 완료·중복·망각·충돌을 막아주는 검수·기억·협업 CLI 하네스.**
|
|
4
4
|
> **A CLI harness that stops AI coding agents from faking completion, duplicating work, forgetting context, and colliding.**
|
|
5
5
|
|
|
6
|
-
[](https://www.npmjs.com/package/leerness) [](https://www.npmjs.com/package/leerness) []() []() []() []() []() []()
|
|
7
7
|
|
|
8
8
|
```
|
|
9
9
|
╔══════════════════════════════════════════════════════════════╗
|
|
@@ -471,7 +471,7 @@ MIT — © leerness contributors
|
|
|
471
471
|
<!-- leerness:project-readme:start -->
|
|
472
472
|
## Leerness Project Harness
|
|
473
473
|
|
|
474
|
-
이 프로젝트는 Leerness v1.9.
|
|
474
|
+
이 프로젝트는 Leerness v1.9.360 하네스를 사용합니다. AI 에이전트는 작업 전 `leerness handoff`로 컨텍스트를 적재하고, 작업 후 `leerness check`/`leerness audit`/`leerness session close`를 수행해야 합니다.
|
|
475
475
|
|
|
476
476
|
### 정체성 — AI 에이전트 운영 레이어 (UR-0030)
|
|
477
477
|
|
|
@@ -525,7 +525,7 @@ leerness memory restore decision <date|title>
|
|
|
525
525
|
|
|
526
526
|
### MCP server (외부 AI 통합)
|
|
527
527
|
|
|
528
|
-
Leerness v1.9.
|
|
528
|
+
Leerness v1.9.360는 stdio JSON-RPC MCP server를 내장합니다 — Claude Code · Cursor · Codex CLI 등 외부 AI에 **83개 도구**를 노출:
|
|
529
529
|
|
|
530
530
|
```jsonc
|
|
531
531
|
// 카테고리별
|
|
@@ -546,7 +546,7 @@ Leerness v1.9.358는 stdio JSON-RPC MCP server를 내장합니다 — Claude Cod
|
|
|
546
546
|
`<<autonomous-loop-dynamic>>` 신호만 보내면 AI가:
|
|
547
547
|
1) 다음 라운드 후보 선정 → 2) 코드 변경 → 3) stress-v* 신규 작성 + 누적 회귀 → 4) e2e 219/219 → 5) npm pack + git tag + GitHub release → 6) main 자동 push (1.9.140+) → 7) session close → 8) 다음 라운드 예약.
|
|
548
548
|
|
|
549
|
-
현재 누적: **70 라운드 (1.9.40 → 1.9.
|
|
549
|
+
현재 누적: **70 라운드 (1.9.40 → 1.9.360)** · 매 라운드 GitHub release/태그 생성 · _reports/는 비공개 보존.
|
|
550
550
|
|
|
551
551
|
### 성능 가이드 (1.9.140 측정)
|
|
552
552
|
|
|
@@ -584,6 +584,6 @@ leerness release pack --close --auto-main-push
|
|
|
584
584
|
- `.harness/session-handoff.md`: 다음 세션 인수인계 (자동 작성)
|
|
585
585
|
- `.harness/lessons.md` / `decisions.md` / `rules.md`: 영구 메모리 (5 surface)
|
|
586
586
|
|
|
587
|
-
Last synced by Leerness v1.9.
|
|
587
|
+
Last synced by Leerness v1.9.360: 2026-06-05
|
|
588
588
|
<!-- leerness:project-readme:end -->
|
|
589
589
|
|
package/bin/harness.js
CHANGED
|
@@ -28,7 +28,7 @@ const { _evidenceQuality, _parseEvidenceStats, _shellGuardAnalyze, _claimFileInG
|
|
|
28
28
|
// 1.9.295 (UR-0025 4단계): 정적 데이터 카탈로그 모듈 분리 (비파괴, require-based).
|
|
29
29
|
const { CAPABILITY_SURFACE, POWERFUL_COMMANDS, ADAPTERS, REUSE_CATEGORIES, REUSE_CHECKLIST, _DEFAULT_PLATFORM_CONSTRAINTS, _DEFAULT_DOMAIN_CATALOG, _LSP_LANG_PATTERNS, OPTIMISM_PATTERNS, BUILT_IN_PERSONAS, STRINGS, BUILTIN_CATALOG, ROADMAP_STATUS_LABEL, ROADMAP_STATUS_COLOR, SECRET_PATTERNS, SKILL_CATALOG_PRESETS } = require('../lib/catalogs'); // 1.9.344 (UR-0025): SKILL_CATALOG_PRESETS 분리
|
|
30
30
|
|
|
31
|
-
const VERSION = '1.9.
|
|
31
|
+
const VERSION = '1.9.360';
|
|
32
32
|
|
|
33
33
|
// 1.9.290 (UR-0037, Codex gpt-5.5 #4 수렴): CLI 전용 부작용은 require 시 실행하지 않는다.
|
|
34
34
|
// 이전: warning listener 제거 / NODE_OPTIONS 변경 / chcp IIFE 가 top-level 즉시 실행 → require('harness') 시 호스트 프로세스 오염.
|
|
@@ -3005,7 +3005,7 @@ function _selfTestCases() {
|
|
|
3005
3005
|
{ name: 'lib/mcp-tools: MCP 도구 정의 모듈 단일출처 (_mcpToolCount=모듈 length, Codex #5 영구해소) (UR-0025 1.9.297)', run: () => { const T = require('../lib/mcp-tools'); return Array.isArray(T) && T.length >= 81 && T.every(t => t.name && t.description && t.inputSchema) && T[0].name === 'leerness_handoff' && _mcpToolCount() === T.length && !/const TOOLS = \[/.test(read(__filename)); } },
|
|
3006
3006
|
{ name: 'writeUtf8: 원자적 쓰기(temp→rename) 손상방지 (UR-0038 외부리뷰 3중수렴 1.9.298)', run: () => { const src = read(__filename); return /function writeUtf8\(p, s\)/.test(src) && /fs\.writeFileSync\(tmp,/.test(src) && /fs\.renameSync\(tmp, p\)/.test(src) && /\.tmp-\$\{process\.pid\}/.test(src) && /fs\.unlinkSync\(tmp\)/.test(src); } },
|
|
3007
3007
|
{ name: '_scrubTestEnv: npm test 시크릿 차단(_scrubEnv는 release 토큰 유지) (UR-0039 외부리뷰 1.9.299)', run: () => { const o = { N: process.env.NPM_TOKEN, L: process.env.LEERNESS_NPM_TOKEN }; process.env.NPM_TOKEN = 'sec1'; process.env.LEERNESS_NPM_TOKEN = 'sec2'; const base = _scrubEnv(); const test = _scrubTestEnv(); const r = base.NPM_TOKEN === 'sec1' && base.LEERNESS_NPM_TOKEN === 'sec2' && !test.NPM_TOKEN && !test.LEERNESS_NPM_TOKEN && !!test.PATH; if (o.N === undefined) delete process.env.NPM_TOKEN; else process.env.NPM_TOKEN = o.N; if (o.L === undefined) delete process.env.LEERNESS_NPM_TOKEN; else process.env.LEERNESS_NPM_TOKEN = o.L; return r; } },
|
|
3008
|
-
{ name: 'shell 주입 표면 제거: fetchNpmLatest execFile+pkg검증 + runCommandSafe argList 인용 (UR-0040 외부리뷰 1.9.300)', run: () => { const src = read(__filename); const npmFix = /
|
|
3008
|
+
{ name: 'shell 주입 표면 제거: fetchNpmLatest execFile+pkg검증 + runCommandSafe argList 인용 (UR-0040 외부리뷰 1.9.300)', run: () => { const src = read(__filename); const npmFix = /'view', pkg, 'version'/.test(src) && !/cp\.exec\(.npm view \$\{pkg\}/.test(src) && /패키지명 charset/.test(src) && !/cp\.execFile\('npm', \[[^\]]*\], \{ timeout: 12000, shell:/.test(src); const argFix = /argList\.map\(_shellQuoteArg\)\.join/.test(src); return npmFix && argFix && typeof _shellQuoteArg === 'function'; } },
|
|
3009
3009
|
{ name: 'MCP requiredTier 메타데이터 + 정책 minTier 게이트 (UR-0041 외부리뷰 1.9.301)', run: () => { const T = require('../lib/mcp-tools'); const allValid = T.length >= 81 && T.every(t => PERMISSION_TIERS.includes(t.requiredTier)); const get = n => (T.find(t => t.name === n) || {}).requiredTier; const classOk = get('leerness_state_record') === 'safe-write' && get('leerness_provider_add') === 'safe-write' && get('leerness_web') === 'network' && get('leerness_handoff') === 'read-only' && get('leerness_audit') === 'read-only'; const src = read(__filename); const gateOk = /_tierRank\(minTier\) > _tierRank\(required\)/.test(src) && /_policyEnforce\(targetPath, cliArgs\.join\(' '\), _toolDef/.test(src); return allValid && classOk && gateOk; } },
|
|
3010
3010
|
{ name: 'verify-claim git diff 시맨틱 교차검증: _gitChangedFiles/_claimFileInGit + strict FAIL 통합 (UR-0042 외부리뷰 1.9.302)', run: () => { const fnOk = typeof _gitChangedFiles === 'function' && typeof _claimFileInGit === 'function'; const matchOk = _claimFileInGit('src/api.js', new Set(['src/api.js'])) === true && _claimFileInGit('./src/api.js', new Set(['src/api.js'])) === true && _claimFileInGit('other.js', new Set(['src/api.js'])) === false && _claimFileInGit('x', null) === null; const src = read(__filename); const wired = /git diff 교차검증/.test(src) && /\|\| !gitClaimOk/.test(src) && /_gitChangedFiles\(root\)/.test(src); return fnOk && matchOk && wired; } },
|
|
3011
3011
|
{ name: '_withLock/_updateRun: lost-update 락(O_EXCL+재진입) + 적용 (UR-0043 외부리뷰 1.9.303)', run: () => { const src = read(__filename); const fnOk = typeof _withLock === 'function' && typeof _sleepSyncMs === 'function' && typeof _updateRun === 'function'; const reentrant = /if \(_heldLocks\.has\(lockPath\)\) return fn\(\)/.test(src); const excl = /fs\.openSync\(lockPath, 'wx'\)/.test(src); const applied = /const id = _withLock\(progressPath\(root\)/.test(src) && /_updateRun\(root, curId/.test(src); return fnOk && reentrant && excl && applied; } },
|
|
@@ -3057,12 +3057,14 @@ function _selfTestCases() {
|
|
|
3057
3057
|
{ name: 'UR-0061(외부리뷰 P1): roadmap CSS 값 살균 — :root/</style> breakout 차단', run: () => { const m = require('../lib/pure-utils'); const css = m._roadmapTokenStyles({ 'color.primary': 'red;}' + '</style><script>alert(1)</script>' }, {}); const blocked = !css.includes('<') && !css.includes('>'); const primaryLine = (css.split('\n').find(l => l.includes('--lr-primary')) || ''); const noBreakout = !primaryLine.replace(/;$/, '').includes('}'); const preserved = m._roadmapTokenStyles({ 'color.primary': '#2563eb' }, {}).includes('--lr-primary: #2563eb'); return blocked && noBreakout && preserved; } },
|
|
3058
3058
|
{ name: 'UR-0060(외부리뷰 P1): SECRET_PATTERNS 19종 — GitLab/JWT/DB-URI/SendGrid/AWS-secret/Bearer 보강 + 오탐 가드', run: () => { const c = require('../lib/catalogs'); const hit = s => c.SECRET_PATTERNS.some(p => { p.re.lastIndex = 0; return p.re.test(s); }); const det = hit('glpat-' + 'x'.repeat(20)) && hit('eyJ' + 'x'.repeat(15) + '.eyJ' + 'y'.repeat(15) + '.' + 'z'.repeat(15)) && hit('postgres://u:p@host:5432/db') && hit('SG.' + 'x'.repeat(22) + '.' + 'y'.repeat(43)) && hit('aws_secret_access_key = "' + 'x'.repeat(40) + '"') && hit('Bearer ' + 'x'.repeat(25)); const clean = !hit('const u = "john' + '_doe_2024";') && !hit('https://example.com/path/to/page'); return c.SECRET_PATTERNS.length === 19 && det && clean; } },
|
|
3059
3059
|
{ name: 'UR-0068(외부리뷰 P2): _roadmapParseMilestones 블록 경계 — 다음 milestone status 누출 차단', run: () => { const m = require('../lib/pure-utils'); const r = m._roadmapParseMilestones('### M-0001. A\n\n### M-0002. B\nStatus: done\nProgress: 80%\n'); return r.length === 2 && r[0].status === 'planned' && r[0].progress === 0 && r[1].status === 'done' && r[1].progress === 80; } },
|
|
3060
|
-
{ name: 'UR-0066(외부리뷰 P2): shell:true 주입 가드 — agents bench task _shellQuoteArg + fetchNpmLatest
|
|
3060
|
+
{ name: 'UR-0066(외부리뷰 P2): shell:true 주입 가드 — agents bench task _shellQuoteArg + fetchNpmLatest cmd.exe args', run: () => { const m = require('../lib/pure-utils'); const src = read(__filename); const benchQuoted = src.includes('const qTask = ' + '_shellQuoteArg(task)'); const npmSafe = /'\/d', '\/s', '\/c', 'npm', 'view'/.test(src); const q = m._shellQuoteArg('a & b'); const safe = (process.platform === 'win32' ? q === '"a & b"' : q === "'a & b'"); return benchQuoted && npmSafe && safe; } },
|
|
3061
3061
|
{ name: 'UR-0072(외부리뷰 P3): compareVer pre-release + _classifyCJK 한자 kana 귀속', run: () => { const m = require('../lib/pure-utils'); const verOk = m.compareVer('1.9.0-beta', '1.9.0') === -1 && m.compareVer('1.9.0', '1.9.0-beta') === 1 && m.compareVer('1.9.5', '1.9.5') === 0 && m.compareVer('1.9.6', '1.9.5') === 1; const jp = Buffer.from([0xE3, 0x81, 0x82, 0xE6, 0x97, 0xA5, 0xE6, 0x9C, 0xAC]); const cn = Buffer.from([0xE4, 0xB8, 0xAD, 0xE5, 0x9B, 0xBD]); const rj = m._classifyCJK(jp, jp.length); const rc = m._classifyCJK(cn, cn.length); const cjkOk = rj.japanese > rj.chinese && rc.chinese > 0 && rc.japanese === 0; return verOk && cjkOk; } },
|
|
3062
3062
|
{ name: 'UR-0075 Phase A: 마이그레이션 가이드(_migrationGuideText) + migrate --guide 와이어 + init/migrate/update --path', run: () => { const m = require('../lib/pure-utils'); const g = m._migrationGuideText('1.9.355'); const guideOk = typeof g === 'string' && g.includes('마이그레이션 가이드') && g.includes('update --check --path') && g.includes('selftest') && g.includes('canonical JSON') && g.includes('롤백') && g.includes('1.9.355'); const src = read(__filename); const wired = src.includes("has('--guide') || args[1] === " + "'guide'") && src.includes('install(arg(' + "'--path', args[1] || process.cwd())") && src.includes('updateCmd(arg(' + "'--path', args[1] || process.cwd())"); return guideOk && wired; } },
|
|
3063
3063
|
{ name: 'UR-0075 Phase B: migrate audit(dry-run 스키마 drift) 명령 + 와이어', run: () => { const src = read(__filename); return typeof migrateAuditCmd === 'function' && src.includes('migrateAuditCmd(arg(' + "'--path'") && src.includes("args[1] === " + "'audit'"); } },
|
|
3064
3064
|
{ name: 'UR-0075 Phase C: migrate apply(canonical 백필 비파괴 적용) 명령 + 와이어', run: () => { const src = read(__filename); return typeof migrateApplyCmd === 'function' && src.includes('migrateApplyCmd(arg(' + "'--path'") && src.includes("args[1] === " + "'apply'"); } },
|
|
3065
3065
|
{ name: 'UR-0075 Phase D: migrate plan(임시폴더 설치 후 비교) 명령 + 와이어', run: () => { const src = read(__filename); return typeof migratePlanCmd === 'function' && src.includes('migratePlanCmd(arg(' + "'--path'") && src.includes("args[1] === " + "'plan'"); } },
|
|
3066
|
+
{ name: 'UR-0074: install-safety(0 런타임 deps · 0 install-script) 사실 가드', run: () => { if (typeof installSafetyCmd !== 'function') return false; let pkg = {}; try { pkg = JSON.parse(read(path.join(__dirname, '..', 'package.json'))); } catch { return false; } const deps = Object.keys(pkg.dependencies || {}).length; const hooks = ['preinstall','install','postinstall'].filter(h => (pkg.scripts||{})[h]).length; return deps === 0 && hooks === 0; } },
|
|
3067
|
+
{ name: 'CV-2/UR-0077: fetchNpmLatest 신형 Node win EINVAL 회피 (cmd.exe + try/catch + windowsHide)', run: () => { if (typeof fetchNpmLatest !== 'function') return false; const src = read(__filename); const i = src.indexOf('function fetchNpmLatest'); if (i < 0) return false; const body = src.slice(i, i + 1600); return body.includes('cmd.exe') && /try \{/.test(body) && body.includes('windowsHide'); } },
|
|
3066
3068
|
{ name: 'VERSION 형식 (x.y.z)', run: () => /^\d+\.\d+\.\d+$/.test(VERSION) }
|
|
3067
3069
|
];
|
|
3068
3070
|
}
|
|
@@ -6868,6 +6870,41 @@ function migratePlanCmd(root, opts = {}) {
|
|
|
6868
6870
|
}
|
|
6869
6871
|
log(`\n 전체 적용: leerness update --yes --path ${root} · canonical만: leerness migrate apply --path ${root} --yes`);
|
|
6870
6872
|
}
|
|
6873
|
+
// UR-0074 (1.9.359): install-safety — 패키지 설치 안전 프로필 투명 공개 (외부리뷰 설치 신뢰성 우려 대응).
|
|
6874
|
+
// leerness 의 핵심 안전 속성(0 런타임 의존성 · 0 install-time 스크립트)을 사실 그대로 보고 + 안전 설치 워크플로 안내.
|
|
6875
|
+
// 회귀 가드 역할도 겸함: 누군가 런타임 deps/install hook 를 추가하면 selftest/e2e 가 실패시켜 의식적 결정을 강제.
|
|
6876
|
+
function installSafetyCmd(opts = {}) {
|
|
6877
|
+
const pkgPath = path.join(__dirname, '..', 'package.json');
|
|
6878
|
+
let pkg = {};
|
|
6879
|
+
try { pkg = JSON.parse(read(pkgPath)); } catch {}
|
|
6880
|
+
const deps = Object.keys(pkg.dependencies || {});
|
|
6881
|
+
const scripts = pkg.scripts || {};
|
|
6882
|
+
const installHooks = ['preinstall', 'install', 'postinstall'].filter(h => scripts[h]);
|
|
6883
|
+
const profile = {
|
|
6884
|
+
version: VERSION,
|
|
6885
|
+
runtimeDeps: deps.length,
|
|
6886
|
+
runtimeDepList: deps,
|
|
6887
|
+
installScripts: installHooks,
|
|
6888
|
+
hasInstallScripts: installHooks.length > 0,
|
|
6889
|
+
node: (pkg.engines && pkg.engines.node) || null,
|
|
6890
|
+
offlineFirst: true,
|
|
6891
|
+
safeInstall: [
|
|
6892
|
+
'git checkout -b chore/leerness-update',
|
|
6893
|
+
'npm_config_ignore_scripts=true npx leerness@latest migrate plan --path . # 임시폴더 비교(읽기 전용)',
|
|
6894
|
+
'npx leerness@latest update --yes --path .',
|
|
6895
|
+
'git diff # 변경 검토 후 커밋 또는 롤백',
|
|
6896
|
+
],
|
|
6897
|
+
};
|
|
6898
|
+
if (opts.json) { log(JSON.stringify(profile, null, 2)); return; }
|
|
6899
|
+
log(`# leerness install-safety (1.9.359) — 설치 안전 프로필`);
|
|
6900
|
+
log(` 버전: ${VERSION} · Node: ${profile.node || '(미지정)'}`);
|
|
6901
|
+
log(` 런타임 의존성: ${deps.length === 0 ? '0건 (외부 패키지 없음 — 공급망 노출 0)' : deps.length + '건 — ' + deps.join(', ')}`);
|
|
6902
|
+
log(` install-time 스크립트: ${installHooks.length === 0 ? '없음 (preinstall/install/postinstall 0 — 설치 시 임의코드 실행 없음)' : installHooks.join(', ')}`);
|
|
6903
|
+
log(` 동작 방식: offline-first (설치 시 네트워크/빌드 불필요, 단일 bin + lib)`);
|
|
6904
|
+
log(`\n 안전 설치 워크플로 (검토 후 적용):`);
|
|
6905
|
+
profile.safeInstall.forEach((s, i) => log(` ${i + 1}. ${s}`));
|
|
6906
|
+
if (installHooks.length > 0) warn('install-time 스크립트 존재 — 위 ignore-scripts safe-install 권장');
|
|
6907
|
+
}
|
|
6871
6908
|
function debug(root) {
|
|
6872
6909
|
root = absRoot(root); let warnings = 0, failures = 0;
|
|
6873
6910
|
const checks = ['.harness/context-routing.md','.harness/writeback-policy.md','.harness/plan-progress-boundary.md','.harness/consistency-policy.md','.harness/reuse-map.md','.harness/leerness-maintenance.md','.harness/anti-lazy-work-policy.md','.harness/encoding-policy.md','.harness/secret-policy.md'];
|
|
@@ -15096,12 +15133,20 @@ function fetchNpmLatest(pkg) {
|
|
|
15096
15133
|
// 1.9.300 (UR-0040, 외부리뷰 Sonnet): cp.exec 템플릿리터럴 → execFile(args 배열) + pkg charset 검증 = 셸 주입 이중 차단.
|
|
15097
15134
|
// 이전: `npm view ${pkg} version` 가 셸 문자열이라 pkg 에 메타문자(; && $() 공백)면 주입 가능.
|
|
15098
15135
|
if (!/^@?[a-z0-9][a-z0-9._/-]*$/i.test(String(pkg || ''))) return resolve(null); // 패키지명 charset (메타문자 0)
|
|
15099
|
-
// 1.9.
|
|
15100
|
-
|
|
15101
|
-
|
|
15102
|
-
|
|
15103
|
-
|
|
15104
|
-
|
|
15136
|
+
// 1.9.360 (외부리뷰 CV-2/UR-0077): 신형 Node(18.20.2+/20.12.2+/21.7.3+/22+/26)는 shell 없이 .cmd 실행 시
|
|
15137
|
+
// spawn EINVAL(CVE-2024-27980 수정 부작용). UR-0066(1.9.352)의 npm.cmd 직접 execFile 이 이를 유발 → update --check 무력화.
|
|
15138
|
+
// win 은 cmd.exe /d /s /c npm ... 로 호출(cmd.exe 는 .exe 라 EINVAL 없음 · shell:true 미사용으로 DEP0190 도 회피).
|
|
15139
|
+
// pkg 는 charset 검증(메타문자 0)이라 cmd 주입 불가. execFile 동기 throw 도 try/catch 로 흡수(이전엔 Promise reject).
|
|
15140
|
+
const isWin = process.platform === 'win32';
|
|
15141
|
+
const file = isWin ? (process.env.comspec || 'cmd.exe') : 'npm';
|
|
15142
|
+
const cmdArgs = isWin ? ['/d', '/s', '/c', 'npm', 'view', pkg, 'version'] : ['view', pkg, 'version'];
|
|
15143
|
+
try {
|
|
15144
|
+
cp.execFile(file, cmdArgs, { timeout: 12000, windowsHide: true }, (err, stdout) => {
|
|
15145
|
+
if (err) return resolve(null);
|
|
15146
|
+
const v = String(stdout || '').trim();
|
|
15147
|
+
resolve(/^\d+\.\d+\.\d+/.test(v) ? v : null);
|
|
15148
|
+
});
|
|
15149
|
+
} catch { resolve(null); }
|
|
15105
15150
|
});
|
|
15106
15151
|
}
|
|
15107
15152
|
|
|
@@ -21130,6 +21175,7 @@ async function main() {
|
|
|
21130
21175
|
if (cmd === 'migrate' && (args[1] === 'audit' || has('--audit'))) return migrateAuditCmd(arg('--path', args[2] && !args[2].startsWith('-') ? args[2] : process.cwd()), { json: has('--json') }); // 1.9.356 (UR-0075 Phase B): dry-run 스키마 drift 리포트
|
|
21131
21176
|
if (cmd === 'migrate' && args[1] === 'apply') return migrateApplyCmd(arg('--path', args[2] && !args[2].startsWith('-') ? args[2] : process.cwd()), { json: has('--json'), yes: has('--yes') }); // 1.9.357 (UR-0075 Phase C): canonical 백필 비파괴 적용 (기본 dry-run)
|
|
21132
21177
|
if (cmd === 'migrate' && args[1] === 'plan') return migratePlanCmd(arg('--path', args[2] && !args[2].startsWith('-') ? args[2] : process.cwd()), { json: has('--json') }); // 1.9.358 (UR-0075 Phase D): 임시폴더 설치 후 비교 마이그레이션 플랜 (읽기 전용)
|
|
21178
|
+
if (cmd === 'install-safety') return installSafetyCmd({ json: has('--json') }); // 1.9.359 (UR-0074): 설치 안전 프로필 (0 deps / 0 install-script) + 안전 설치 워크플로
|
|
21133
21179
|
if (cmd === 'migrate') return await install(arg('--path', args[1] || process.cwd()), { force:has('--force'), dry:has('--dry-run'), migration:true }); // 1.9.355 (UR-0075): --path 지원
|
|
21134
21180
|
if (cmd === 'update') return await updateCmd(arg('--path', args[1] || process.cwd()), { checkOnly: has('--check'), yes: has('--yes'), force: has('--force') }); // 1.9.355 (UR-0075): --path 지원
|
|
21135
21181
|
if (cmd === 'auto-update' && args[1] === 'install') return autoUpdateInstall(arg('--path', args[2] || process.cwd()));
|
package/package.json
CHANGED
package/scripts/e2e.js
CHANGED
|
@@ -3329,8 +3329,8 @@ total++;
|
|
|
3329
3329
|
let ok = false;
|
|
3330
3330
|
try {
|
|
3331
3331
|
const harnessSrc = fs.readFileSync(path.resolve(__dirname, '..', 'bin', 'harness.js'), 'utf8');
|
|
3332
|
-
// (1) 소스: cp.exec 템플릿 제거 + execFile args 배열 + argList 인용
|
|
3333
|
-
const srcOk = /
|
|
3332
|
+
// (1) 소스: cp.exec 템플릿 제거 + execFile args 배열(view pkg version) + argList 인용
|
|
3333
|
+
const srcOk = /'view', pkg, 'version'/.test(harnessSrc) && // 1.9.360(CV-2/UR-0077): cmd.exe /d /s /c npm view (args 배열) 형태
|
|
3334
3334
|
!/cp\.exec\(.npm view \$\{pkg\}/.test(harnessSrc) &&
|
|
3335
3335
|
/argList\.map\(_shellQuoteArg\)\.join/.test(harnessSrc);
|
|
3336
3336
|
// (2) 기능 회귀: update --check 가 오프라인(네트워크 무)에서도 crash 없이 종료
|
|
@@ -4855,5 +4855,35 @@ total++;
|
|
|
4855
4855
|
if (!ok) failed++;
|
|
4856
4856
|
}
|
|
4857
4857
|
|
|
4858
|
+
// 1.9.359 회귀 (UR-0074): install-safety — 0 런타임 deps / 0 install-script / safe-install 워크플로 (공급망 신뢰 가드)
|
|
4859
|
+
total++;
|
|
4860
|
+
{
|
|
4861
|
+
let ok = false;
|
|
4862
|
+
try {
|
|
4863
|
+
const r = cp.spawnSync(process.execPath, [CLI, 'install-safety', '--json'], { encoding: 'utf8', timeout: 15000 });
|
|
4864
|
+
const j = JSON.parse(r.stdout);
|
|
4865
|
+
ok = j.runtimeDeps === 0 && j.hasInstallScripts === false && Array.isArray(j.safeInstall) && j.safeInstall.length >= 3;
|
|
4866
|
+
} catch {}
|
|
4867
|
+
console.log(ok ? '✓ B(1.9.359) UR-0074: install-safety (0 런타임 deps / 0 install-script / safe-install) (UR-0074)' : '✗ install-safety 실패');
|
|
4868
|
+
if (!ok) failed++;
|
|
4869
|
+
}
|
|
4870
|
+
|
|
4871
|
+
// 1.9.360 회귀 (외부리뷰 CV-2/UR-0077): update --check 가 신형 Node Windows 에서 spawn EINVAL 없이 동작 (cmd.exe 경유)
|
|
4872
|
+
total++;
|
|
4873
|
+
{
|
|
4874
|
+
let ok = false;
|
|
4875
|
+
try {
|
|
4876
|
+
const d = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-einval-'));
|
|
4877
|
+
cp.spawnSync(process.execPath, [CLI, 'init', d, '--yes', '--language', 'ko'], { encoding: 'utf8', timeout: 30000 });
|
|
4878
|
+
const r = cp.spawnSync(process.execPath, [CLI, 'update', d, '--check'], { encoding: 'utf8', timeout: 30000 });
|
|
4879
|
+
const out = (r.stdout || '') + (r.stderr || '');
|
|
4880
|
+
fs.rmSync(d, { recursive: true, force: true });
|
|
4881
|
+
// 핵심 회귀 가드: EINVAL 미발생 + exit 0 (네트워크 유무와 무관 — 오프라인이어도 EINVAL 은 안 나야 함)
|
|
4882
|
+
ok = !out.includes('EINVAL') && r.status === 0;
|
|
4883
|
+
} catch {}
|
|
4884
|
+
console.log(ok ? '✓ B(1.9.360) CV-2: update --check 신형 Node Windows EINVAL 회피 (cmd.exe 경유) (UR-0077)' : '✗ update --check EINVAL 회귀');
|
|
4885
|
+
if (!ok) failed++;
|
|
4886
|
+
}
|
|
4887
|
+
|
|
4858
4888
|
console.log(`\nE2E result: ${total - failed}/${total} passed · ${((Date.now() - _e2eStart) / 1000).toFixed(0)}s`);
|
|
4859
4889
|
if (failed > 0) process.exit(1);
|