leerness 1.9.364 → 1.9.366
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
- package/CHANGELOG.md +50 -0
- package/README.md +5 -5
- package/bin/harness.js +44 -12
- package/lib/catalogs.js +3 -1
- package/lib/pure-utils.js +21 -0
- package/package.json +1 -1
- package/scripts/e2e.js +41 -1
package/CHANGELOG.md
CHANGED
|
@@ -1,5 +1,55 @@
|
|
|
1
1
|
# Changelog
|
|
2
2
|
|
|
3
|
+
## 1.9.366 — 2026-06-06 — 안정화⑥(완결) 외부리뷰 CV-5: selftest 행위화 + 외부리뷰 7 finding 전량 해소 🎉
|
|
4
|
+
|
|
5
|
+
**🛠 외부 멀티모델 리뷰 안정화 시리즈 최종 6탄 — selftest 동어반복 source-grep 핵심 케이스를 행위 검증으로 전환. CV-1~7 + 4번째 외부평가 전량 해소로 안정화 마일스톤.**
|
|
6
|
+
|
|
7
|
+
### 배경 — 외부 리뷰 CV-5 (3개 모델 합의)
|
|
8
|
+
selftest ~13/106 케이스가 소스 문자열 grep(`src.includes`)이라 동작이 깨져도 통과(EINVAL 버그가 selftest 106/106 통과한 근본 원인). 권고: 구조 무결성(selftest) vs 행위(e2e) 분리 + 핵심 source-grep 을 행위 검증으로.
|
|
9
|
+
|
|
10
|
+
### 구현
|
|
11
|
+
1. **핵심 동어반복 케이스 행위 전환**:
|
|
12
|
+
- `writeUtf8`: 소스 grep → **실제 호출**(중첩 dir 에 한글 UTF-8 쓰기 → round-trip 내용 일치 + `.tmp-` 잔존 0 검증).
|
|
13
|
+
- `exit code(fail)`: 소스 grep → **실제 호출**(stdout 억제 + exitCode save/restore 로 `fail()` → `process.exitCode===1` 단언).
|
|
14
|
+
2. **구조 vs 행위 분리 원칙 확립**: 구조 케이스(dispatch 와이어/등록 존재 — 빠른 sync)는 selftest 유지, 행위 케이스(로직 출력 정확성)는 함수 직접 호출. **안정화 시리즈(1.9.360~366) 신규 케이스는 전부 행위 기반**(argv 주입/prune/placeholder/secret-like/quiet 등).
|
|
15
|
+
3. **selftest 무결성 e2e 가드**: 설치 패키지 관점 `selftest --json` 전부 통과(pass===total, fail===0) 단언.
|
|
16
|
+
|
|
17
|
+
### 검증 (회귀 0)
|
|
18
|
+
- **selftest 112/112 PASS**(2건 행위 전환, 카운트 유지). **E2E 311→312 PASS**(selftest --json 무결성 가드).
|
|
19
|
+
|
|
20
|
+
### 🎉 외부 리뷰 안정화 마일스톤
|
|
21
|
+
3개 모델 클린룸 리뷰(1.9.359) 교차검증 7 finding + 4번째 외부평가(web) 9.3 **전량 해소**:
|
|
22
|
+
| finding | 버전 |
|
|
23
|
+
|---|---|
|
|
24
|
+
| CV-2 EINVAL | 1.9.360 |
|
|
25
|
+
| CV-1 --path · CV-3 audit | 1.9.361 |
|
|
26
|
+
| CV-4 archive retention | 1.9.362 |
|
|
27
|
+
| CV-7 commands/help drift | 1.9.363 |
|
|
28
|
+
| 4th평가 9.3 auto-update 비침투 | 1.9.364 |
|
|
29
|
+
| CV-6 스캐너 FP/FN | 1.9.365 |
|
|
30
|
+
| CV-5 selftest 행위화 | 1.9.366 |
|
|
31
|
+
|
|
32
|
+
다음: 모듈화(UR-0025) → 에이전트 팀(UR-0073) → 릴리스 케이던스(UR-0074).
|
|
33
|
+
|
|
34
|
+
## 1.9.365 — 2026-06-06 — 안정화⑤ 외부리뷰 CV-6: 시크릿 스캐너 FP/FN 정밀도 (UR-0081)
|
|
35
|
+
|
|
36
|
+
**🛠 외부 멀티모델 리뷰 안정화 시리즈 5탄 — 시크릿 스캐너 오탐(placeholder/자기 .env) 억제 + 미탐(unquoted) 보강.**
|
|
37
|
+
|
|
38
|
+
### 배경 — 외부 리뷰 CV-6 (Opus+Sonnet)
|
|
39
|
+
- **FP**: `secret: "change-me"` 같은 placeholder 경보(Opus), 사용자가 토큰 채운 gitignored `.env` 경보(Sonnet, 설계 모순 — .env 는 gitignored 안전 보관소).
|
|
40
|
+
- **FN**: 따옴표 없는 `KEY=secret123` 미탐(Opus, 패턴이 따옴표 강제).
|
|
41
|
+
- provider 19종 정탐 6/6 양호(FP 없음).
|
|
42
|
+
|
|
43
|
+
### 구현
|
|
44
|
+
1. **placeholder FP 억제** — `_isPlaceholderSecret(value)`(pure): change-me/your-*/<...>/example/${...} 등 명백한 예시값은 시크릿 아님. assignment 패턴(valueGroup)의 **값에만** 적용(provider 형식 키엔 미적용 → FN 방지).
|
|
45
|
+
2. **unquoted FN 보강** — 신규 패턴 `KEY=value`(따옴표 없음) + `_looksSecretLike`(숫자포함 8+/24+ 만 후보 → camelCase 코드 식별자 오탐 억제). charset 이 `.` 제외 → `process.env.X` 등 var-ref 자동 제외.
|
|
46
|
+
3. **gitignored 강등** — `_isLikelyGitignored`(간이 .gitignore 매칭): gitignored 파일(.env 계열)의 발견은 **info 로 강등**(커밋 제외 = 설계상 안전), 커밋되는 파일 발견만 실패. `.env` 미-gitignore 시엔 정상 실패.
|
|
47
|
+
4. SECRET_PATTERNS 19→20.
|
|
48
|
+
|
|
49
|
+
### 검증 (회귀 0)
|
|
50
|
+
- **selftest 111→112 PASS** (행위: `_isPlaceholderSecret`/`_looksSecretLike` 직접 호출 단언). **E2E 310→311 PASS** (행위: placeholder no-fail / unquoted 탐지 / gitignored info 강등 3시나리오).
|
|
51
|
+
- 실측: `{secret:"change-me"}` no-fail · `password=hunter2realsecret` 탐지 · gitignored `.env`(토큰) exit 0 + info, 미-gitignore 시 fail.
|
|
52
|
+
|
|
3
53
|
## 1.9.364 — 2026-06-06 — 4번째 외부평가 반영: auto-update hook 비침투화 (UR-0083)
|
|
4
54
|
|
|
5
55
|
**🛠 4번째 외부평가(web, 1.9.361 대상) 9.3 반영 — SessionStart 자동업데이트 hook 매세션 노이즈 제거.**
|
package/README.md
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
> **AI 코딩 에이전트의 거짓 완료·중복·망각·충돌을 막아주는 검수·기억·협업 CLI 하네스.**
|
|
4
4
|
> **A CLI harness that stops AI coding agents from faking completion, duplicating work, forgetting context, and colliding.**
|
|
5
5
|
|
|
6
|
-
[](https://www.npmjs.com/package/leerness) [](https://www.npmjs.com/package/leerness) []() []() []() []() []() []()
|
|
7
7
|
|
|
8
8
|
```
|
|
9
9
|
╔══════════════════════════════════════════════════════════════╗
|
|
@@ -471,7 +471,7 @@ MIT — © leerness contributors
|
|
|
471
471
|
<!-- leerness:project-readme:start -->
|
|
472
472
|
## Leerness Project Harness
|
|
473
473
|
|
|
474
|
-
이 프로젝트는 Leerness v1.9.
|
|
474
|
+
이 프로젝트는 Leerness v1.9.366 하네스를 사용합니다. AI 에이전트는 작업 전 `leerness handoff`로 컨텍스트를 적재하고, 작업 후 `leerness check`/`leerness audit`/`leerness session close`를 수행해야 합니다.
|
|
475
475
|
|
|
476
476
|
### 정체성 — AI 에이전트 운영 레이어 (UR-0030)
|
|
477
477
|
|
|
@@ -525,7 +525,7 @@ leerness memory restore decision <date|title>
|
|
|
525
525
|
|
|
526
526
|
### MCP server (외부 AI 통합)
|
|
527
527
|
|
|
528
|
-
Leerness v1.9.
|
|
528
|
+
Leerness v1.9.366는 stdio JSON-RPC MCP server를 내장합니다 — Claude Code · Cursor · Codex CLI 등 외부 AI에 **83개 도구**를 노출:
|
|
529
529
|
|
|
530
530
|
```jsonc
|
|
531
531
|
// 카테고리별
|
|
@@ -546,7 +546,7 @@ Leerness v1.9.364는 stdio JSON-RPC MCP server를 내장합니다 — Claude Cod
|
|
|
546
546
|
`<<autonomous-loop-dynamic>>` 신호만 보내면 AI가:
|
|
547
547
|
1) 다음 라운드 후보 선정 → 2) 코드 변경 → 3) stress-v* 신규 작성 + 누적 회귀 → 4) e2e 219/219 → 5) npm pack + git tag + GitHub release → 6) main 자동 push (1.9.140+) → 7) session close → 8) 다음 라운드 예약.
|
|
548
548
|
|
|
549
|
-
현재 누적: **70 라운드 (1.9.40 → 1.9.
|
|
549
|
+
현재 누적: **70 라운드 (1.9.40 → 1.9.366)** · 매 라운드 GitHub release/태그 생성 · _reports/는 비공개 보존.
|
|
550
550
|
|
|
551
551
|
### 성능 가이드 (1.9.140 측정)
|
|
552
552
|
|
|
@@ -584,6 +584,6 @@ leerness release pack --close --auto-main-push
|
|
|
584
584
|
- `.harness/session-handoff.md`: 다음 세션 인수인계 (자동 작성)
|
|
585
585
|
- `.harness/lessons.md` / `decisions.md` / `rules.md`: 영구 메모리 (5 surface)
|
|
586
586
|
|
|
587
|
-
Last synced by Leerness v1.9.
|
|
587
|
+
Last synced by Leerness v1.9.366: 2026-06-06
|
|
588
588
|
<!-- leerness:project-readme:end -->
|
|
589
589
|
|
package/bin/harness.js
CHANGED
|
@@ -7,7 +7,7 @@ const cp = require('child_process');
|
|
|
7
7
|
const os = require('os'); // 1.9.178: _publishToNpm 에서 os.tmpdir() 사용 (전역 import)
|
|
8
8
|
const readline = require('readline');
|
|
9
9
|
// 1.9.274 (UR-0025 1단계): 순수 유틸 함수 모듈 분리 (require-based, 비파괴). selftest 7종이 동작 검증.
|
|
10
|
-
const { _isSecretKey, compareVer, parseHarnessVersion, _classifyCJK, _riskLabel, _detectSystemLang, _parseSlashFromHelp,
|
|
10
|
+
const { _isSecretKey, _isPlaceholderSecret, _looksSecretLike, compareVer, parseHarnessVersion, _classifyCJK, _riskLabel, _detectSystemLang, _parseSlashFromHelp,
|
|
11
11
|
PERMISSION_TIERS, _tierRank, _requiredTier, _policyAllows, _resolveNpmTag, _mcpJsonContent, _newRunRecord,
|
|
12
12
|
_htmlToText, _extractTitle, _extractLinks,
|
|
13
13
|
_countDatedBlocks, _extractDecisionBlocks, _classifyIntent,
|
|
@@ -28,7 +28,7 @@ const { _evidenceQuality, _parseEvidenceStats, _shellGuardAnalyze, _claimFileInG
|
|
|
28
28
|
// 1.9.295 (UR-0025 4단계): 정적 데이터 카탈로그 모듈 분리 (비파괴, require-based).
|
|
29
29
|
const { CAPABILITY_SURFACE, POWERFUL_COMMANDS, ADAPTERS, REUSE_CATEGORIES, REUSE_CHECKLIST, _DEFAULT_PLATFORM_CONSTRAINTS, _DEFAULT_DOMAIN_CATALOG, _LSP_LANG_PATTERNS, OPTIMISM_PATTERNS, BUILT_IN_PERSONAS, STRINGS, BUILTIN_CATALOG, ROADMAP_STATUS_LABEL, ROADMAP_STATUS_COLOR, SECRET_PATTERNS, SKILL_CATALOG_PRESETS } = require('../lib/catalogs'); // 1.9.344 (UR-0025): SKILL_CATALOG_PRESETS 분리
|
|
30
30
|
|
|
31
|
-
const VERSION = '1.9.
|
|
31
|
+
const VERSION = '1.9.366';
|
|
32
32
|
|
|
33
33
|
// 1.9.290 (UR-0037, Codex gpt-5.5 #4 수렴): CLI 전용 부작용은 require 시 실행하지 않는다.
|
|
34
34
|
// 이전: warning listener 제거 / NODE_OPTIONS 변경 / chcp IIFE 가 top-level 즉시 실행 → require('harness') 시 호스트 프로세스 오염.
|
|
@@ -3032,7 +3032,7 @@ function _selfTestCases() {
|
|
|
3032
3032
|
{ name: 'lib/catalogs: CAPABILITY/ADAPTERS/REUSE 모듈 단일출처 분리 (UR-0025 1.9.295)', run: () => { const m = require('../lib/catalogs'); return m.CAPABILITY_SURFACE === CAPABILITY_SURFACE && m.ADAPTERS === ADAPTERS && m.REUSE_CATEGORIES === REUSE_CATEGORIES && m.REUSE_CHECKLIST === REUSE_CHECKLIST && m.POWERFUL_COMMANDS === POWERFUL_COMMANDS && Object.keys(m.CAPABILITY_SURFACE).length === 6 && !/const CAPABILITY_SURFACE = \{/.test(read(__filename)); } },
|
|
3033
3033
|
{ name: 'about: 정체성 verb(AI 운영 레이어) + MCP leerness_about 등록 (UR-0030 1.9.296)', run: () => { const id = _leernessIdentity(); const src = read(__filename); return typeof aboutCmd === 'function' && /운영 레이어/.test(id.identity) && id.layers.length === 5 && id.surface.mcpTools >= 81 && require('../lib/mcp-tools').some(t => t.name === 'leerness_about') && /case 'leerness_about':/.test(src) && /cmd === 'about' \|\| cmd === 'identity'/.test(src); } },
|
|
3034
3034
|
{ name: 'lib/mcp-tools: MCP 도구 정의 모듈 단일출처 (_mcpToolCount=모듈 length, Codex #5 영구해소) (UR-0025 1.9.297)', run: () => { const T = require('../lib/mcp-tools'); return Array.isArray(T) && T.length >= 81 && T.every(t => t.name && t.description && t.inputSchema) && T[0].name === 'leerness_handoff' && _mcpToolCount() === T.length && !/const TOOLS = \[/.test(read(__filename)); } },
|
|
3035
|
-
{ name: 'writeUtf8: 원자적 쓰기(temp→rename) 손상방지 (UR-0038 외부리뷰
|
|
3035
|
+
{ name: 'writeUtf8: 원자적 쓰기(temp→rename) 손상방지 행위 (UR-0038 외부리뷰 / CV-5 행위화 1.9.366)', run: () => { if (typeof writeUtf8 !== 'function') return false; const tmp = fs.mkdtempSync(path.join(os.tmpdir(), '__leerness_wu_')); try { const f = path.join(tmp, 'sub', 'a.txt'); writeUtf8(f, '한글 UTF-8 내용'); const okContent = read(f) === '한글 UTF-8 내용'; const noTmpLeft = fs.readdirSync(path.dirname(f)).every(n => !n.includes('.tmp-')); return okContent && noTmpLeft; } finally { try { fs.rmSync(tmp, { recursive: true, force: true }); } catch {} } } },
|
|
3036
3036
|
{ name: '_scrubTestEnv: npm test 시크릿 차단(_scrubEnv는 release 토큰 유지) (UR-0039 외부리뷰 1.9.299)', run: () => { const o = { N: process.env.NPM_TOKEN, L: process.env.LEERNESS_NPM_TOKEN }; process.env.NPM_TOKEN = 'sec1'; process.env.LEERNESS_NPM_TOKEN = 'sec2'; const base = _scrubEnv(); const test = _scrubTestEnv(); const r = base.NPM_TOKEN === 'sec1' && base.LEERNESS_NPM_TOKEN === 'sec2' && !test.NPM_TOKEN && !test.LEERNESS_NPM_TOKEN && !!test.PATH; if (o.N === undefined) delete process.env.NPM_TOKEN; else process.env.NPM_TOKEN = o.N; if (o.L === undefined) delete process.env.LEERNESS_NPM_TOKEN; else process.env.LEERNESS_NPM_TOKEN = o.L; return r; } },
|
|
3037
3037
|
{ name: 'shell 주입 표면 제거: fetchNpmLatest execFile+pkg검증 + runCommandSafe argList 인용 (UR-0040 외부리뷰 1.9.300)', run: () => { const src = read(__filename); const npmFix = /'view', pkg, 'version'/.test(src) && !/cp\.exec\(.npm view \$\{pkg\}/.test(src) && /패키지명 charset/.test(src) && !/cp\.execFile\('npm', \[[^\]]*\], \{ timeout: 12000, shell:/.test(src); const argFix = /argList\.map\(_shellQuoteArg\)\.join/.test(src); return npmFix && argFix && typeof _shellQuoteArg === 'function'; } },
|
|
3038
3038
|
{ name: 'MCP requiredTier 메타데이터 + 정책 minTier 게이트 (UR-0041 외부리뷰 1.9.301)', run: () => { const T = require('../lib/mcp-tools'); const allValid = T.length >= 81 && T.every(t => PERMISSION_TIERS.includes(t.requiredTier)); const get = n => (T.find(t => t.name === n) || {}).requiredTier; const classOk = get('leerness_state_record') === 'safe-write' && get('leerness_provider_add') === 'safe-write' && get('leerness_web') === 'network' && get('leerness_handoff') === 'read-only' && get('leerness_audit') === 'read-only'; const src = read(__filename); const gateOk = /_tierRank\(minTier\) > _tierRank\(required\)/.test(src) && /_policyEnforce\(targetPath, cliArgs\.join\(' '\), _toolDef/.test(src); return allValid && classOk && gateOk; } },
|
|
@@ -3040,7 +3040,7 @@ function _selfTestCases() {
|
|
|
3040
3040
|
{ name: '_withLock/_updateRun: lost-update 락(O_EXCL+재진입) + 적용 (UR-0043 외부리뷰 1.9.303)', run: () => { const src = read(__filename); const fnOk = typeof _withLock === 'function' && typeof _sleepSyncMs === 'function' && typeof _updateRun === 'function'; const reentrant = /if \(_heldLocks\.has\(lockPath\)\) return fn\(\)/.test(src); const excl = /fs\.openSync\(lockPath, 'wx'\)/.test(src); const applied = /const id = _withLock\(progressPath\(root\)/.test(src) && /_updateRun\(root, curId/.test(src); return fnOk && reentrant && excl && applied; } },
|
|
3041
3041
|
{ name: 'lib/analyzers: 분석/검증 함수 4종 모듈 단일출처 분리 (UR-0025 1.9.304)', run: () => { const m = require('../lib/analyzers'); return m._evidenceQuality === _evidenceQuality && m._shellGuardAnalyze === _shellGuardAnalyze && m._parseEvidenceStats === _parseEvidenceStats && m._claimFileInGit === _claimFileInGit && !/function _evidenceQuality\(evidence\) \{/.test(read(__filename)) && !/function _shellGuardAnalyze\(cmd, ctx\) \{/.test(read(__filename)); } },
|
|
3042
3042
|
{ name: 'honesty-check: AI 인식론적 정직성 3차원 + MCP/CLI/strict 통합 (사용자명시 1.9.305)', run: () => { const h = _epistemicHonestyCheck; const d1 = h('이 기능은 항상 정상 동작합니다').findings.some(f => f.dim === 'pretend-knowledge'); const d2 = h('아마 될 것 같습니다. 구현 완료했습니다').findings.some(f => f.dim === 'premature-judgment'); const d3 = h('이 API 의 rate limit 은 초당 5회입니다').findings.some(f => f.dim === 'no-info-gathering'); const clean = h('src/api.js 수정, 12/12 통과 (Exit: 0)').ok === true; const src = read(__filename); const wired = require('../lib/mcp-tools').some(t => t.name === 'leerness_honesty_check') && /if \(cmd === 'honesty-check'\)/.test(src) && /honestyFindings = _epistemicHonestyCheck/.test(src); return d1 && d2 && d3 && clean && wired; } },
|
|
3043
|
-
{ name: 'exit code 일관성: fail()→exitCode 1 + unknown 명령 안내 (UR-0045
|
|
3043
|
+
{ name: 'exit code 일관성: fail()→exitCode 1 행위 + unknown 명령 안내 (UR-0045 / CV-5 행위화 1.9.366)', run: () => { if (typeof fail !== 'function') return false; const saved = process.exitCode; const _w = process.stdout.write; let setOk = false; try { process.stdout.write = () => true; process.exitCode = 0; fail('selftest probe'); setOk = process.exitCode === 1; } finally { process.stdout.write = _w; process.exitCode = saved; } const src = read(__filename); const dispatchOk = /알 수 없는 명령: \$\{cmd\}/.test(src); return setOk && dispatchOk; } },
|
|
3044
3044
|
{ name: 'brief: 프로젝트 청사진 set/show/export + README 개요 섹션 (UR-0055 사용자명시 1.9.307)', run: () => { const src = read(__filename); const fnOk = typeof briefCmd === 'function' && typeof _loadBrief === 'function' && typeof _briefBlueprint === 'function' && _BRIEF_FIELDS.length === 10; const b = { project: 'X', intro: 'i', purpose: 'p', problem: '', features: ['f1', 'f2'], stack: ['s'], architecture: '', users: [], success: [], nonGoals: [], currentState: '' }; const bp = _briefBlueprint(b, VERSION); const bpOk = /Blueprint/.test(bp) && /소개 \(Intro\)/.test(bp) && /f1/.test(bp) && /신규 프로젝트 시작 가이드/.test(bp); const rb = _briefReadmeBlock(b); const rbOk = rb.includes(BRIEF_START) && rb.includes(BRIEF_END) && /프로젝트 개요/.test(rb) && /\*\*목적\*\*/.test(rb); return fnOk && bpOk && rbOk && /if \(cmd === 'brief'\)/.test(src); } },
|
|
3045
3045
|
{ name: 'brief 2단계: update --direction 이력 + MCP leerness_brief + context 통합 (UR-0055 1.9.308)', run: () => { const src = read(__filename); const b = { project: 'X', intro: '', purpose: '', problem: '', features: [], stack: [], architecture: '', users: [], success: [], nonGoals: [], currentState: '', directionHistory: ['2026-06-04: 확대'] }; const bpOk = /개발 방향 이력/.test(_briefBlueprint(b, VERSION)) && /최근 개발 방향 변경/.test(_briefReadmeBlock(b)); const histWired = /sub === 'update'/.test(src) && /brief\.directionHistory \|\| \[\]\), `\$\{today\(\)\}/.test(src); const mcpOk = require('../lib/mcp-tools').some(t => t.name === 'leerness_brief'); const ctxOk = /brief: \{ intro:/.test(src); return bpOk && histWired && mcpOk && ctxOk; } },
|
|
3046
3046
|
{ name: 'verify-claim: done 주장 evidence 기본강제 + --lenient + MCP/json 도달 (UR-0048 설치리뷰 critical 1.9.309)', run: () => { const src = read(__filename); const def = /const mustHaveEvidence = !has\('--lenient'\) && \(isDoneClaim \|\| has\('--require-evidence'\)\)/.test(src); const threshold = /has\('--require-evidence'\) \? evq\.ok : \(evq\.hasFile \|\| evq\.hasTest \|\| evq\.hasLog\)/.test(src); const jsonWired = /evidenceComplete:/.test(src) && /!evidenceQualityOk\) return process\.exit\(1\)/.test(src); const mcpLenient = !!require('../lib/mcp-tools').find(t => t.name === 'leerness_verify_claim').inputSchema.properties.lenient; return def && threshold && jsonWired && mcpLenient; } },
|
|
@@ -3077,14 +3077,14 @@ function _selfTestCases() {
|
|
|
3077
3077
|
{ name: 'UR-0058: lessons canonical JSON 레이어(_loadLessons/_saveLessons/lessonsJsonPath) + pure 파서/렌더 round-trip', run: () => { const m = require('../lib/pure-utils'); const objs = [{ date: '2026-06-05', text: 'A', tag: 't' }, { date: '2026-06-04', text: 'B', tag: null }]; const rt = m._parseLessonEntries(m._renderLessonsMd(objs)); const rtOk = JSON.stringify(rt) === JSON.stringify(objs); const tplOk = m._parseLessonEntries(m._renderLessonsMd([])).length === 0; const layerOk = typeof _loadLessons === 'function' && typeof _saveLessons === 'function' && typeof lessonsJsonPath === 'function' && _renderLessonsMd === m._renderLessonsMd; return rtOk && tplOk && layerOk; } },
|
|
3078
3078
|
{ name: 'UR-0025 심층: BUILTIN_CATALOG→lib/catalogs + _withBuiltinSource→pure-utils 분리 (1.9.341)', run: () => { const c = require('../lib/catalogs'); const m = require('../lib/pure-utils'); const catOk = c.BUILTIN_CATALOG && Object.keys(c.BUILTIN_CATALOG).length === 9 && c.BUILTIN_CATALOG.office && c.BUILTIN_CATALOG.office.version === '1.0.0'; const out = m._withBuiltinSource(c.BUILTIN_CATALOG); const work = Object.keys(out).length === 9 && Object.values(out).every(v => v._source === 'builtin') && out.office.version === '1.0.0' && Array.isArray(out.office.capabilities) && Object.keys(m._withBuiltinSource(null)).length === 0; const src = read(__filename); const moved = BUILTIN_CATALOG === c.BUILTIN_CATALOG && _withBuiltinSource === m._withBuiltinSource && !/const BUILTIN_CATALOG = \{/.test(src); return catOk && work && moved; } },
|
|
3079
3079
|
{ name: 'UR-0025 심층: ROADMAP_STATUS_LABEL/COLOR→lib/catalogs 분리 (1.9.342)', run: () => { const c = require('../lib/catalogs'); const lblOk = c.ROADMAP_STATUS_LABEL && Object.keys(c.ROADMAP_STATUS_LABEL).length === 11 && c.ROADMAP_STATUS_LABEL.done === '완료' && c.ROADMAP_STATUS_LABEL.blocked === '오류'; const colOk = c.ROADMAP_STATUS_COLOR && Object.keys(c.ROADMAP_STATUS_COLOR).length === 11 && c.ROADMAP_STATUS_COLOR.done === '#16a34a' && c.ROADMAP_STATUS_COLOR.skill === '#8b5cf6'; const src = read(__filename); const moved = ROADMAP_STATUS_LABEL === c.ROADMAP_STATUS_LABEL && ROADMAP_STATUS_COLOR === c.ROADMAP_STATUS_COLOR && !/const ROADMAP_STATUS_LABEL = \{/.test(src); return lblOk && colOk && moved; } },
|
|
3080
|
-
{ name: 'UR-0025 심층: SECRET_PATTERNS→lib/catalogs 보안 응집 분리 (1.9.343)', run: () => { const c = require('../lib/catalogs'); const catOk = Array.isArray(c.SECRET_PATTERNS) && c.SECRET_PATTERNS.length ===
|
|
3080
|
+
{ name: 'UR-0025 심층: SECRET_PATTERNS→lib/catalogs 보안 응집 분리 (1.9.343)', run: () => { const c = require('../lib/catalogs'); const catOk = Array.isArray(c.SECRET_PATTERNS) && c.SECRET_PATTERNS.length === 20 && c.SECRET_PATTERNS.every(p => p.name && p.re instanceof RegExp); const A = 'A'.repeat(40); const hit = (s) => c.SECRET_PATTERNS.some(p => { p.re.lastIndex = 0; return p.re.test(s); }); const det = hit('AKIA' + 'ABCD1234EFGH5678') && hit('sk-' + 'ant-api03-' + A + '_' + A) && !hit('const u = "john' + '_doe_2024";'); const moved = SECRET_PATTERNS === c.SECRET_PATTERNS; return catOk && det && moved; } },
|
|
3081
3081
|
{ name: 'UR-0025 심층: SKILL_CATALOG_PRESETS→lib/catalogs 분리 (1.9.344)', run: () => { const c = require('../lib/catalogs'); const catOk = c.SKILL_CATALOG_PRESETS && Object.keys(c.SKILL_CATALOG_PRESETS).length === 2 && c.SKILL_CATALOG_PRESETS.vercel && c.SKILL_CATALOG_PRESETS.vercel.owner === 'vercel-labs' && c.SKILL_CATALOG_PRESETS.anthropic && c.SKILL_CATALOG_PRESETS.anthropic.repo === 'skills'; const moved = SKILL_CATALOG_PRESETS === c.SKILL_CATALOG_PRESETS; return catOk && moved; } },
|
|
3082
3082
|
{ name: 'UR-0025 심층: _esc(HTML escape)→pure-utils 분리 + XSS 가드 (1.9.345)', run: () => { const m = require('../lib/pure-utils'); const work = m._esc('&<>"\'') === '&<>"'' && m._esc('<script>x</script>') === '<script>x</script>' && m._esc(null) === '' && m._esc(undefined) === '' && m._esc(42) === '42'; const moved = _esc === m._esc; return work && moved; } },
|
|
3083
3083
|
{ name: 'UR-0025 심층: _roadmapTokenStyles→pure-utils 분리 (1.9.346)', run: () => { const m = require('../lib/pure-utils'); const out = m._roadmapTokenStyles({ 'color.primary': '#2563eb' }, { 'color-surface': '#fff', 'custom': '#abc' }); const work = out.startsWith(':root {') && out.includes('--lr-primary: #2563eb') && out.includes('--lr-surface: #fff') && out.includes('--lr-custom: #abc') && out.includes('--lr-card-bg') && m._roadmapTokenStyles(null, null).startsWith(':root {'); const moved = _roadmapTokenStyles === m._roadmapTokenStyles; return work && moved; } },
|
|
3084
3084
|
{ name: 'UR-0025 심층: _parseSkillMd(SKILL.md frontmatter, BOM-aware)→pure-utils 분리 (1.9.347)', run: () => { const m = require('../lib/pure-utils'); const r = m._parseSkillMd('---\nname: s1\ndescription: "d1"\n---\nbody'); const work = r.meta.name === 's1' && r.meta.description === 'd1' && r.body === 'body' && m._parseSkillMd('---\nname: b\n---\nx').meta.name === 'b' && Object.keys(m._parseSkillMd('plain text').meta).length === 0 && m._parseSkillMd('plain text').body === 'plain text' && m._parseSkillMd(null).body === ''; const moved = _parseSkillMd === m._parseSkillMd; return work && moved; } },
|
|
3085
3085
|
{ name: 'UR-0059(외부리뷰 P0): --path 라우팅 일관화 — bare args[N]||cwd 제거 + arg(--path) wrap', run: () => { const src = read(__filename); const bare1 = '(args[1] ' + '|| process.cwd())'; const bare2 = '(args[2] ' + '|| process.cwd())'; const noBare = !src.includes(bare1) && !src.includes(bare2); const wrapped = src.includes('arg(' + "'--path', args[1] || process.cwd())") && src.includes('arg(' + "'--path', args[2] || process.cwd())"); const argDefault = arg('--definitely-not-real-xyz', 'SENT') === 'SENT'; return noBare && wrapped && argDefault; } },
|
|
3086
3086
|
{ name: 'UR-0061(외부리뷰 P1): roadmap CSS 값 살균 — :root/</style> breakout 차단', run: () => { const m = require('../lib/pure-utils'); const css = m._roadmapTokenStyles({ 'color.primary': 'red;}' + '</style><script>alert(1)</script>' }, {}); const blocked = !css.includes('<') && !css.includes('>'); const primaryLine = (css.split('\n').find(l => l.includes('--lr-primary')) || ''); const noBreakout = !primaryLine.replace(/;$/, '').includes('}'); const preserved = m._roadmapTokenStyles({ 'color.primary': '#2563eb' }, {}).includes('--lr-primary: #2563eb'); return blocked && noBreakout && preserved; } },
|
|
3087
|
-
{ name: 'UR-0060(외부리뷰 P1): SECRET_PATTERNS
|
|
3087
|
+
{ name: 'UR-0060(외부리뷰 P1): SECRET_PATTERNS 20종 (unquoted 보강) — GitLab/JWT/DB-URI/SendGrid/AWS-secret/Bearer 보강 + 오탐 가드', run: () => { const c = require('../lib/catalogs'); const hit = s => c.SECRET_PATTERNS.some(p => { p.re.lastIndex = 0; return p.re.test(s); }); const det = hit('glpat-' + 'x'.repeat(20)) && hit('eyJ' + 'x'.repeat(15) + '.eyJ' + 'y'.repeat(15) + '.' + 'z'.repeat(15)) && hit('postgres://u:p@host:5432/db') && hit('SG.' + 'x'.repeat(22) + '.' + 'y'.repeat(43)) && hit('aws_secret_access_key = "' + 'x'.repeat(40) + '"') && hit('Bearer ' + 'x'.repeat(25)); const clean = !hit('const u = "john' + '_doe_2024";') && !hit('https://example.com/path/to/page'); return c.SECRET_PATTERNS.length === 20 && det && clean; } },
|
|
3088
3088
|
{ name: 'UR-0068(외부리뷰 P2): _roadmapParseMilestones 블록 경계 — 다음 milestone status 누출 차단', run: () => { const m = require('../lib/pure-utils'); const r = m._roadmapParseMilestones('### M-0001. A\n\n### M-0002. B\nStatus: done\nProgress: 80%\n'); return r.length === 2 && r[0].status === 'planned' && r[0].progress === 0 && r[1].status === 'done' && r[1].progress === 80; } },
|
|
3089
3089
|
{ name: 'UR-0066(외부리뷰 P2): shell:true 주입 가드 — agents bench task _shellQuoteArg + fetchNpmLatest cmd.exe args', run: () => { const m = require('../lib/pure-utils'); const src = read(__filename); const benchQuoted = src.includes('const qTask = ' + '_shellQuoteArg(task)'); const npmSafe = /'\/d', '\/s', '\/c', 'npm', 'view'/.test(src); const q = m._shellQuoteArg('a & b'); const safe = (process.platform === 'win32' ? q === '"a & b"' : q === "'a & b'"); return benchQuoted && npmSafe && safe; } },
|
|
3090
3090
|
{ name: 'UR-0072(외부리뷰 P3): compareVer pre-release + _classifyCJK 한자 kana 귀속', run: () => { const m = require('../lib/pure-utils'); const verOk = m.compareVer('1.9.0-beta', '1.9.0') === -1 && m.compareVer('1.9.0', '1.9.0-beta') === 1 && m.compareVer('1.9.5', '1.9.5') === 0 && m.compareVer('1.9.6', '1.9.5') === 1; const jp = Buffer.from([0xE3, 0x81, 0x82, 0xE6, 0x97, 0xA5, 0xE6, 0x9C, 0xAC]); const cn = Buffer.from([0xE4, 0xB8, 0xAD, 0xE5, 0x9B, 0xBD]); const rj = m._classifyCJK(jp, jp.length); const rc = m._classifyCJK(cn, cn.length); const cjkOk = rj.japanese > rj.chinese && rc.chinese > 0 && rc.japanese === 0; return verOk && cjkOk; } },
|
|
@@ -3098,6 +3098,7 @@ function _selfTestCases() {
|
|
|
3098
3098
|
{ name: 'CV-4/UR-0079: _pruneArchives archive retention (최신 keep 유지, 오래된 prune) 행위', run: () => { if (typeof _pruneArchives !== 'function') return false; const tmp = fs.mkdtempSync(path.join(os.tmpdir(), '__leerness_prune_')); try { const adir = path.join(tmp, '.harness', 'archive'); fs.mkdirSync(adir, { recursive: true }); for (let i = 0; i < 5; i++) fs.mkdirSync(path.join(adir, 'leerness-1.9.' + i + '-stamp')); const pruned = _pruneArchives(tmp, 2); const left = fs.readdirSync(adir).filter(n => /^leerness-/.test(n)).length; return pruned === 3 && left === 2; } finally { try { fs.rmSync(tmp, { recursive: true, force: true }); } catch {} } } },
|
|
3099
3099
|
{ name: 'CV-7/UR-0082: commands 카탈로그 + help 에 누락 명령군 등재 (표면 drift 가드)', run: () => { const src = read(__filename); const ci = src.indexOf('function commandsCmd'); const hi = src.indexOf('function help('); if (ci < 0 || hi < 0) return false; const cbody = src.slice(ci, ci + 8000); const hbody = src.slice(hi, hi + 7000); const must = ['install-safety', 'feature add', 'creds list', 'incident list', 'webhook serve', 'deploy auto', 'runs list', 'permissions list', 'whats-new', 'migrate audit']; return must.every(c => cbody.includes(c)) && hbody.includes('install-safety') && hbody.includes('feature add'); } },
|
|
3100
3100
|
{ name: 'UR-0083(4th외부평가 9.3): auto-update hook 비침투 (update --quiet 모드 + hook --check --quiet + 업그레이드)', run: () => { const src = read(__filename); const quietMode = /const quiet = !!opts\.quiet \|\| has\('--quiet'\)/.test(src); const hookQuiet = src.includes("command: 'leerness update --check --quiet'"); const upgrade = /includes\('leerness update --check'\) && !h\.command\.includes\('--quiet'\)/.test(src); return quietMode && hookQuiet && upgrade; } },
|
|
3101
|
+
{ name: 'CV-6/UR-0081: 시크릿 스캐너 FP/FN — _isPlaceholderSecret + _looksSecretLike 행위', run: () => { if (typeof _isPlaceholderSecret !== 'function' || typeof _looksSecretLike !== 'function') return false; const fp = _isPlaceholderSecret('change-me') && _isPlaceholderSecret('your-api-key-here') && _isPlaceholderSecret('<token>') && _isPlaceholderSecret('') && !_isPlaceholderSecret('hunter2realpass'); const fn = _looksSecretLike('secret123') && _looksSecretLike('a'.repeat(24)) && !_looksSecretLike('processEnv') && !_looksSecretLike('reqBodyPassword'); return fp && fn; } },
|
|
3101
3102
|
{ name: 'VERSION 형식 (x.y.z)', run: () => /^\d+\.\d+\.\d+$/.test(VERSION) }
|
|
3102
3103
|
];
|
|
3103
3104
|
}
|
|
@@ -7306,6 +7307,24 @@ function* walk(root, base = root, depth = 0, extras = null) {
|
|
|
7306
7307
|
else yield p;
|
|
7307
7308
|
}
|
|
7308
7309
|
}
|
|
7310
|
+
// 1.9.365 (외부리뷰 CV-6/UR-0081): 간이 .gitignore 매칭 — gitignored 파일(.env 계열)의 시크릿은 커밋 제외(설계상 안전) → 실패 대신 info.
|
|
7311
|
+
// full gitignore semantics 아님 (정확매칭/.env-family/*.ext/dir/ 만). 미스 시 안전측(커밋됨으로 간주).
|
|
7312
|
+
function _isLikelyGitignored(root, fileRel) {
|
|
7313
|
+
let gi;
|
|
7314
|
+
try { gi = read(path.join(root, '.gitignore')); } catch { return false; }
|
|
7315
|
+
const relPosix = String(fileRel).replace(/\\/g, '/');
|
|
7316
|
+
const base = relPosix.split('/').pop();
|
|
7317
|
+
for (let pat of gi.split(/\r?\n/)) {
|
|
7318
|
+
pat = pat.trim();
|
|
7319
|
+
if (!pat || pat.startsWith('#') || pat.startsWith('!')) continue;
|
|
7320
|
+
const p = pat.replace(/^\/+|\/+$/g, '');
|
|
7321
|
+
if (p === relPosix || p === base) return true;
|
|
7322
|
+
if (pat === '.env' && /^\.env(\.|$)/.test(base)) return true; // .env 관행상 .env.* 도 보호
|
|
7323
|
+
if (p.startsWith('*.') && base.endsWith(p.slice(1))) return true;
|
|
7324
|
+
if (pat.endsWith('/') && (relPosix === p || relPosix.startsWith(p + '/'))) return true;
|
|
7325
|
+
}
|
|
7326
|
+
return false;
|
|
7327
|
+
}
|
|
7309
7328
|
function scanSecrets(root) {
|
|
7310
7329
|
root = absRoot(root);
|
|
7311
7330
|
const findings = [];
|
|
@@ -7321,22 +7340,35 @@ function scanSecrets(root) {
|
|
|
7321
7340
|
const fileRel = (file === root) ? path.basename(file) : rel(root, file); // 1.9.354 (UR-0072): 단일 파일 스캔 시 basename 표시('.' 방지)
|
|
7322
7341
|
// 1.9.350 (UR-0060 외부리뷰): leerness 자기 harness.js(regex 소스) + 생성 secret-policy 템플릿만 제외 — 정확 경로(사용자 파일명 substring false-negative 제거)
|
|
7323
7342
|
if (path.resolve(file) === path.resolve(__filename) || /(^|[\\/])\.(?:harness|leerness)[\\/]secret-policy\.md$/.test(fileRel)) continue;
|
|
7324
|
-
|
|
7343
|
+
const gitignored = _isLikelyGitignored(root, fileRel); // 1.9.365 CV-6: gitignored 면 발견을 info 로 강등
|
|
7344
|
+
for (const { name, re, valueGroup, requireSecretLike } of SECRET_PATTERNS) {
|
|
7325
7345
|
re.lastIndex = 0;
|
|
7326
7346
|
let m;
|
|
7327
7347
|
while ((m = re.exec(text))) {
|
|
7348
|
+
// 1.9.365 (CV-6/UR-0081): assignment 패턴 값이 placeholder/예시면 오탐 → 스킵(같은 패턴 계속 탐색).
|
|
7349
|
+
if (valueGroup != null) {
|
|
7350
|
+
const val = m[valueGroup];
|
|
7351
|
+
if (_isPlaceholderSecret(val)) { if (re.lastIndex === m.index) re.lastIndex++; continue; }
|
|
7352
|
+
if (requireSecretLike && !_looksSecretLike(val)) { if (re.lastIndex === m.index) re.lastIndex++; continue; }
|
|
7353
|
+
}
|
|
7328
7354
|
const line = text.slice(0, m.index).split('\n').length;
|
|
7329
|
-
findings.push({ file: fileRel, line, name, snippet: m[0].slice(0, 32) });
|
|
7355
|
+
findings.push({ file: fileRel, line, name, snippet: m[0].slice(0, 32), gitignored });
|
|
7330
7356
|
break;
|
|
7331
7357
|
}
|
|
7332
7358
|
}
|
|
7333
7359
|
}
|
|
7334
|
-
|
|
7335
|
-
|
|
7336
|
-
|
|
7360
|
+
// 1.9.365 (CV-6/UR-0081): gitignored(.env 등 설계상 안전 보관) 발견은 info, 커밋되는 파일 발견만 실패.
|
|
7361
|
+
const committed = findings.filter(f => !f.gitignored);
|
|
7362
|
+
const ignored = findings.filter(f => f.gitignored);
|
|
7363
|
+
if (committed.length) {
|
|
7364
|
+
fail(`secret patterns found: ${committed.length}`);
|
|
7365
|
+
committed.forEach(f => log(` ${f.file}:${f.line} ${f.name} ${f.snippet}…`));
|
|
7337
7366
|
process.exitCode = 1;
|
|
7338
7367
|
} else {
|
|
7339
|
-
ok('no obvious secret patterns');
|
|
7368
|
+
ok('no obvious secret patterns (커밋 대상)');
|
|
7369
|
+
}
|
|
7370
|
+
if (ignored.length) {
|
|
7371
|
+
log(` ⓘ gitignored ${ignored.length}건 (커밋 제외 — 설계상 안전 보관, 비실패): ${[...new Set(ignored.map(f => f.file))].join(', ')}`);
|
|
7340
7372
|
}
|
|
7341
7373
|
}
|
|
7342
7374
|
|
package/lib/catalogs.js
CHANGED
|
@@ -376,7 +376,9 @@ const SECRET_PATTERNS = [
|
|
|
376
376
|
{ name: 'Google OAuth token', re: /\bya29\.[A-Za-z0-9_-]{20,}/g },
|
|
377
377
|
{ name: 'Slack token', re: /\bxox[baprs]-[A-Za-z0-9-]{10,}\b/g },
|
|
378
378
|
{ name: 'Generic private key', re: /-----BEGIN (?:RSA |OPENSSH |EC |DSA |PGP )?PRIVATE KEY-----/g },
|
|
379
|
-
{ name: 'Hardcoded password assignment', re: /\b(?:password|passwd|pwd|secret|api_key|apikey)\s*[:=]\s*["'][^"'\s]{6,}["']/gi },
|
|
379
|
+
{ name: 'Hardcoded password assignment', re: /\b(?:password|passwd|pwd|secret|api_key|apikey)\s*[:=]\s*["']([^"'\s]{6,})["']/gi, valueGroup: 1 }, // 1.9.365 CV-6: valueGroup → placeholder 오탐 억제
|
|
380
|
+
// 1.9.365 (외부리뷰 CV-6/UR-0081): unquoted 자격증명 (KEY=secret123) FN 보강. 값이 시크릿스러운지(_looksSecretLike) + placeholder 아닌지 후처리. 코드 var-ref(점 포함)는 charset 으로 제외.
|
|
381
|
+
{ name: 'Hardcoded credential (unquoted)', re: /\b(?:password|passwd|pwd|secret|secret_key|api_key|apikey|access_key|access_token|auth_token)\s*=\s*([A-Za-z0-9_\-/+]{8,})(?=[\s;,)]|$)/gi, valueGroup: 1, requireSecretLike: true },
|
|
380
382
|
// 1.9.350 (UR-0060 외부리뷰 3모델): 누락 패턴 보강
|
|
381
383
|
{ name: 'GitLab PAT', re: /\bglpat-[A-Za-z0-9_-]{20,}\b/g },
|
|
382
384
|
{ name: 'JWT', re: /\beyJ[A-Za-z0-9_-]{10,}\.eyJ[A-Za-z0-9_-]{10,}\.[A-Za-z0-9_-]{10,}\b/g },
|
package/lib/pure-utils.js
CHANGED
|
@@ -615,8 +615,29 @@ function _renderDecisionsMd(decisions) {
|
|
|
615
615
|
return preamble + body;
|
|
616
616
|
}
|
|
617
617
|
|
|
618
|
+
// 1.9.365 (외부리뷰 CV-6/UR-0081): 시크릿 스캐너 오탐(FP) 억제 — 명백한 placeholder/예시 값은 시크릿 아님.
|
|
619
|
+
// assignment 패턴(secret/api_key = VALUE)의 VALUE 에만 적용 (provider 형식 키엔 미적용 → FN 방지).
|
|
620
|
+
function _isPlaceholderSecret(value) {
|
|
621
|
+
if (value == null) return true;
|
|
622
|
+
let v = String(value).trim().replace(/^["']|["']$/g, '').trim().toLowerCase();
|
|
623
|
+
if (!v) return true;
|
|
624
|
+
// 전체가 placeholder 토큰
|
|
625
|
+
if (/^(?:x{3,}|\*{3,}|\.{3,}|-+|0+|1234567890?|12345678|abc123|secret|password|passwd|changeme|change[-_]me|replace[-_]?me|placeholder|example|examples?|sample|dummy|test|testing|foo|bar|baz|tbd|todo|none|null|undefined|nil|empty|redacted|hidden|value|string|here)$/.test(v)) return true;
|
|
626
|
+
// 부분 placeholder 신호
|
|
627
|
+
if (v.includes('example') || v.includes('placeholder') || v.includes('change-me') || v.includes('changeme') || v.includes('replace-me') || v.includes('your-') || v.includes('your_') || v.includes('my-secret') || v.includes('xxxx') || v.includes('<') || v.includes('${') || v.includes('{{')) return true;
|
|
628
|
+
return false;
|
|
629
|
+
}
|
|
630
|
+
// 1.9.365 (외부리뷰 CV-6/UR-0081): unquoted assignment 값이 '시크릿스러운지' 판정 — 코드 식별자 오탐 억제용.
|
|
631
|
+
// 숫자 포함 8+ 또는 24+ 만 시크릿 후보 (camelCase 식별자 같은 무-숫자 단어는 제외).
|
|
632
|
+
function _looksSecretLike(value) {
|
|
633
|
+
const v = String(value || '');
|
|
634
|
+
if (!v) return false;
|
|
635
|
+
return (/\d/.test(v) && v.length >= 8) || v.length >= 24;
|
|
636
|
+
}
|
|
637
|
+
|
|
618
638
|
module.exports = {
|
|
619
639
|
_isSecretKey, compareVer, parseHarnessVersion,
|
|
640
|
+
_isPlaceholderSecret, _looksSecretLike,
|
|
620
641
|
_classifyCJK, _riskLabel, _detectSystemLang, _parseSlashFromHelp,
|
|
621
642
|
// 1.9.283 (UR-0025 2단계)
|
|
622
643
|
PERMISSION_TIERS, _tierRank, _requiredTier, _policyAllows, _resolveNpmTag, _mcpJsonContent, _newRunRecord,
|
package/package.json
CHANGED
package/scripts/e2e.js
CHANGED
|
@@ -4434,7 +4434,7 @@ total++;
|
|
|
4434
4434
|
const c = require(path.resolve(__dirname, '..', 'lib', 'catalogs.js'));
|
|
4435
4435
|
const A = 'A'.repeat(40);
|
|
4436
4436
|
const hit = (s) => c.SECRET_PATTERNS.some(p => { p.re.lastIndex = 0; return p.re.test(s); });
|
|
4437
|
-
const catOk = Array.isArray(c.SECRET_PATTERNS) && c.SECRET_PATTERNS.length ===
|
|
4437
|
+
const catOk = Array.isArray(c.SECRET_PATTERNS) && c.SECRET_PATTERNS.length === 20
|
|
4438
4438
|
&& hit('AKIA' + 'ABCD1234EFGH5678') && hit('sk-' + 'ant-api03-' + A + '_' + A) && !hit('const u = "john' + '_doe_2024";');
|
|
4439
4439
|
const harnessSrc = fs.readFileSync(path.resolve(__dirname, '..', 'bin', 'harness.js'), 'utf8');
|
|
4440
4440
|
const _catImp = (harnessSrc.match(/const \{[\s\S]*?\} = require\('\.\.\/lib\/catalogs'\)/) || [''])[0]; // import 순서/추가 비의존
|
|
@@ -4977,5 +4977,45 @@ total++;
|
|
|
4977
4977
|
if (!ok) failed++;
|
|
4978
4978
|
}
|
|
4979
4979
|
|
|
4980
|
+
// 1.9.365 회귀 (외부리뷰 CV-6/UR-0081): 시크릿 스캐너 정밀도 — placeholder FP 무시 / unquoted FN 탐지 / gitignored 강등
|
|
4981
|
+
total++;
|
|
4982
|
+
{
|
|
4983
|
+
let ok = false;
|
|
4984
|
+
try {
|
|
4985
|
+
const d = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-sec-'));
|
|
4986
|
+
fs.mkdirSync(path.join(d, 'src'), { recursive: true });
|
|
4987
|
+
// ① placeholder 만 → 커밋 대상 finding 없음 (exit 0)
|
|
4988
|
+
fs.writeFileSync(path.join(d, 'src', 'a.js'), 'const x = { secret: "change-me", apiKey: "your-key-here" };\n');
|
|
4989
|
+
const r1 = cp.spawnSync(process.execPath, [CLI, 'scan', 'secrets', path.join(d, 'src', 'a.js')], { encoding: 'utf8', timeout: 15000 });
|
|
4990
|
+
const fpOk = r1.status === 0 && /no obvious/.test(r1.stdout || '');
|
|
4991
|
+
// ② unquoted 실제 시크릿 → 탐지 (exit 1)
|
|
4992
|
+
fs.writeFileSync(path.join(d, 'src', 'b.txt'), 'password=hunter2realsecret\n');
|
|
4993
|
+
const r2 = cp.spawnSync(process.execPath, [CLI, 'scan', 'secrets', path.join(d, 'src', 'b.txt')], { encoding: 'utf8', timeout: 15000 });
|
|
4994
|
+
const fnOk = r2.status === 1 && /unquoted/.test(r2.stdout || '');
|
|
4995
|
+
// ③ gitignored(.env+src/) → 커밋 대상 0 → exit 0 + gitignored info
|
|
4996
|
+
fs.writeFileSync(path.join(d, '.gitignore'), '.env\nsrc/\n');
|
|
4997
|
+
fs.writeFileSync(path.join(d, '.env'), 'TOKEN=npm_abcdefghijklmnopqrstuvwxyz0123456789\n');
|
|
4998
|
+
const r3 = cp.spawnSync(process.execPath, [CLI, 'scan', 'secrets', d], { encoding: 'utf8', timeout: 20000 });
|
|
4999
|
+
const giOk = r3.status === 0 && /gitignored/.test(r3.stdout || '');
|
|
5000
|
+
fs.rmSync(d, { recursive: true, force: true });
|
|
5001
|
+
ok = fpOk && fnOk && giOk;
|
|
5002
|
+
} catch {}
|
|
5003
|
+
console.log(ok ? '✓ B(1.9.365) CV-6: 시크릿 스캐너 FP(placeholder)/FN(unquoted)/gitignored 강등 (UR-0081)' : '✗ 시크릿 스캐너 정밀도 실패');
|
|
5004
|
+
if (!ok) failed++;
|
|
5005
|
+
}
|
|
5006
|
+
|
|
5007
|
+
// 1.9.366 회귀 (외부리뷰 CV-5/UR-0080): selftest 무결성 — 설치 패키지 관점에서 --json 전부 통과 (행위 케이스 포함)
|
|
5008
|
+
total++;
|
|
5009
|
+
{
|
|
5010
|
+
let ok = false;
|
|
5011
|
+
try {
|
|
5012
|
+
const r = cp.spawnSync(process.execPath, [CLI, 'selftest', '--json'], { encoding: 'utf8', timeout: 30000 });
|
|
5013
|
+
const j = JSON.parse(r.stdout);
|
|
5014
|
+
ok = j.ok === true && j.pass === j.total && j.fail === 0 && j.total >= 112 && r.status === 0;
|
|
5015
|
+
} catch {}
|
|
5016
|
+
console.log(ok ? '✓ B(1.9.366) CV-5: selftest 무결성 (--json pass===total, 행위 전환 writeUtf8/fail 포함) (UR-0080)' : '✗ selftest 무결성 실패');
|
|
5017
|
+
if (!ok) failed++;
|
|
5018
|
+
}
|
|
5019
|
+
|
|
4980
5020
|
console.log(`\nE2E result: ${total - failed}/${total} passed · ${((Date.now() - _e2eStart) / 1000).toFixed(0)}s`);
|
|
4981
5021
|
if (failed > 0) process.exit(1);
|