leerness 1.9.59 → 1.9.62

package/CHANGELOG.md

@@ -1,5 +1,45 @@
 # Changelog
 
+## 1.9.62 — 2026-05-19
+
+**`leerness audit`에 npm CVE 자동 감지 통합**.
+
+### Added
+- **`leerness audit`** — package.json 있으면 `npm audit --json` 자동 호출 → CVE 보고:
+  - `metadata.vulnerabilities` 파싱 → critical/high/moderate/low 카운트
+  - critical/high 발견 시 warnings +2 (가중치)
+  - 0건이면 ✓ "npm CVE: 0건"
+- **스킵 조건** (자동): package.json 없음, `LEERNESS_OFFLINE=1`, `--no-npm-audit` 플래그
+
+## 1.9.61 — 2026-05-19
+
+**MCP server cursor 기반 페이지네이션**.
+
+### Added
+- **MCP `tools/call` 응답에 cursor 메타 추가** — 50KB 넘는 출력 자동 분할:
+  - `result.nextCursor` — 다음 청크 offset (`args._cursor`로 재호출)
+  - `result._truncated` — `{ totalLength, returned, hint }` 메타
+  - 청크 크기 override 가능: `args._chunkSize` (기본 50000)
+- 사용 예: 100 task 워크스페이스의 handoff → 청크 1 → cursor → 청크 2 → ... 완료
+
+## 1.9.60 — 2026-05-19
+
+**`leerness task export` — TodoWrite ↔ leerness 양방향 sync 완성**.
+
+### Added
+- **`leerness task export [--to <file>] [--json]`**:
+  - progress-tracker → TodoWrite JSON 형식 변환
+  - status 매핑: `done` → `completed`, `in-progress` → `in_progress`, `planned` → `pending`, `dropped` → `cancelled`
+  - 필드: `content` / `status` / `activeForm` (TodoWrite 호환)
+- 1.9.38 `task sync --from`(TodoWrite → leerness)과 함께 **양방향 sync 완성**
+
+### 검증 (stress-v9)
+- AA1-AA4 (task export + status 매핑 + round-trip) 4/4 PASS
+- BB1-BB3 (MCP cursor 페이지네이션, chunkSize override) 3/3 PASS
+- CC1-CC3 (audit npm CVE, OFFLINE/no-npm-audit/no-package.json 스킵) 3/3 PASS
+- DD1-DD3 (1.9.43~59 누적 회귀) 3/3 PASS
+- **stress-v9: 13/13 PASS** (BB2/BB3 BUG 발견·즉시 패치: chunkSize override 추가), e2e: **216/216 PASS**
+
 ## 1.9.59 — 2026-05-19
 
 **`session close --suggest` default 활성 — 라운드 마감 잊을 단계 없음**.

package/README.md

@@ -2,7 +2,7 @@
 
 > **AI 코딩 에이전트의 거짓 완료·중복·망각·충돌을 막아주는 검수·기억·협업 CLI 하네스.**
 
-[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.59-green)]() [![tests](https://img.shields.io/badge/e2e-213%2F213-success)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
+[![npm](https://img.shields.io/badge/npm-leerness-blue)](https://www.npmjs.com/package/leerness) [![version](https://img.shields.io/badge/version-1.9.62-green)]() [![tests](https://img.shields.io/badge/e2e-216%2F216-success)]() [![license](https://img.shields.io/badge/license-MIT-lightgrey)]()
 
 ```
   ╔══════════════════════════════════════════════════════════════╗
@@ -12,7 +12,7 @@
   ║  ██║     ██╔══╝  ██╔══╝  ██╔══██╗██║╚██╗██║██╔══╝  ╚════██║  ║
   ║  ███████╗███████╗███████╗██║  ██║██║ ╚████║███████╗███████║  ║
   ║  ╚══════╝╚══════╝╚══════╝╚═╝  ╚═╝╚═╝  ╚═══╝╚══════╝╚══════╝  ║
-  ║  v1.9.59   AI Agent Reliability Harness                      ║
+  ║  v1.9.62   AI Agent Reliability Harness                      ║
   ║  verify · remember · orchestrate · audit · prevent drift     ║
   ╚══════════════════════════════════════════════════════════════╝
 ```
@@ -433,6 +433,9 @@ npm test     # = node ./scripts/e2e.js
 
 ## 변경 이력 (최근)
 
+- **1.9.62** — `leerness audit` npm CVE 자동 감지 (npm audit --json 통합, OFFLINE/no-npm-audit 스킵).
+- **1.9.61** — MCP server cursor 기반 페이지네이션 — `nextCursor` + `_chunkSize` override.
+- **1.9.60** — `leerness task export` — progress-tracker → TodoWrite JSON 형식. **양방향 sync 완성** (1.9.38 sync + 1.9.60 export).
 - **1.9.59** — `session close` **--suggest default 활성** (잊을 단계 없음, `--no-suggest`로 비활성 가능) · 설치 가이드 갱신.
 - **1.9.58** — handoff lessons **fuzzy 매칭** (어간 변형, 복합어, decisions.md 매칭 추가).
 - **1.9.57** — `session close --suggest` (마감 시 skill suggest + drift + 명령 통계 통합 보고) · install banner quickStart + session-workflow.md 갱신 (1.9.56/57 흐름 자동 안내).

package/bin/harness.js

@@ -6,7 +6,7 @@ const path = require('path');
 const cp = require('child_process');
 const readline = require('readline');
 
-const VERSION = '1.9.59';
+const VERSION = '1.9.62';
 const MARK = '<!-- leerness:managed -->';
 const README_START = '<!-- leerness:project-readme:start -->';
 const README_END = '<!-- leerness:project-readme:end -->';
@@ -1423,6 +1423,34 @@ function audit(root) {
       }
     }
   } catch {}
+  // 1.9.62: package.json 있으면 npm audit --json 자동 호출 → CVE 보고 (opt-out: --no-npm-audit)
+  // 정책: leerness가 외부 호출하지만 사용자 컨텍스트에 이미 npm 설치되어 있음을 가정 (offline 시 자동 스킵)
+  if (exists(path.join(root, 'package.json')) && !has('--no-npm-audit') && process.env.LEERNESS_OFFLINE !== '1') {
+    try {
+      const r = cp.spawnSync('npm', ['audit', '--json'], {
+        cwd: root, encoding: 'utf8', shell: true, timeout: 30000
+      });
+      if (r.stdout) {
+        let j = null;
+        try { j = JSON.parse(r.stdout); } catch {}
+        if (j && j.metadata && j.metadata.vulnerabilities) {
+          const v = j.metadata.vulnerabilities;
+          const total = (v.critical || 0) + (v.high || 0) + (v.moderate || 0) + (v.low || 0);
+          if (total > 0) {
+            warnings++;
+            warn(`npm CVE: ${total}건 (critical=${v.critical||0}, high=${v.high||0}, moderate=${v.moderate||0}, low=${v.low||0})`);
+            log(`    → 수정: npm audit fix · 상세: npm audit`);
+            if (v.critical || v.high) {
+              warnings++; // critical/high는 추가 가중
+              warn(`  ⚠ critical/high CVE 즉시 대응 권장`);
+            }
+          } else {
+            ok('npm CVE: 0건');
+          }
+        }
+      }
+    } catch {}
+  }
   log(`Audit summary: warnings=${warnings} failures=${failures}${fix ? ` fixed=${fixed}` : ''}`);
   if (failures) process.exitCode = 1;
 }
@@ -6782,10 +6810,21 @@ function mcpServeCmd(root) {
             return send({ jsonrpc: '2.0', id, error: { code: -32601, message: `Unknown tool: ${name}` } });
         }
         const r = callLeerness(cliArgs);
-        send({ jsonrpc: '2.0', id, result: {
-          content: [{ type: 'text', text: (r.stdout || r.stderr || '(no output)').slice(0, 50000) }],
+        // 1.9.61: cursor 기반 페이지네이션 — 긴 출력은 cursor offset로 다음 청크
+        const fullText = r.stdout || r.stderr || '(no output)';
+        const CHUNK_SIZE = (args._chunkSize && Number.isFinite(args._chunkSize)) ? args._chunkSize : 50000;
+        const cursor = (args._cursor && /^\d+$/.test(String(args._cursor))) ? parseInt(args._cursor, 10) : 0;
+        const chunk = fullText.slice(cursor, cursor + CHUNK_SIZE);
+        const nextCursor = (cursor + CHUNK_SIZE) < fullText.length ? String(cursor + CHUNK_SIZE) : null;
+        const result = {
+          content: [{ type: 'text', text: chunk }],
           isError: !r.ok
-        } });
+        };
+        if (nextCursor) {
+          result.nextCursor = nextCursor;
+          result._truncated = { totalLength: fullText.length, returned: chunk.length, hint: `args._cursor=${nextCursor} 로 다음 청크 호출 가능` };
+        }
+        send({ jsonrpc: '2.0', id, result });
       } catch (e) {
         send({ jsonrpc: '2.0', id, error: { code: -32603, message: 'Internal error: ' + e.message } });
       }
@@ -6905,6 +6944,36 @@ function usageStatsCmd(root) {
 }
 
 // 1.9.38: task sync — TodoWrite/외부 JSON에서 leerness task로 mirror
+// 1.9.60: leerness task export [--to <todo.json>] [--json]
+// progress-tracker → TodoWrite JSON 형식 (status: completed/in_progress/pending)
+function taskExportCmd(root) {
+  root = absRoot(root || process.cwd());
+  const out = arg('--to', null);
+  const rows = readProgressRows(root);
+  // leerness status → TodoWrite status 매핑
+  const statusMap = { 'done': 'completed', 'in-progress': 'in_progress', 'planned': 'pending', 'requested': 'pending', 'dropped': 'cancelled', 'in_progress': 'in_progress', 'incomplete': 'in_progress', 'blocked': 'in_progress', 'on-hold': 'pending' };
+  const todos = rows.map(r => ({
+    content: r.request,
+    status: statusMap[r.status] || 'pending',
+    activeForm: r.nextAction || r.request.slice(0, 40)
+  }));
+  if (out) {
+    writeUtf8(path.resolve(out), JSON.stringify(todos, null, 2) + '\n');
+    log(`# leerness task export (1.9.60)`);
+    log(`exported: ${todos.length} task → ${path.resolve(out)}`);
+    log(``);
+    log(`💡 다음: 메인 에이전트가 이 JSON을 TodoWrite로 import 가능`);
+    return;
+  }
+  if (has('--json')) { log(JSON.stringify(todos, null, 2)); return; }
+  log(`# leerness task export (1.9.60)`);
+  log(`총 ${todos.length} task (--to <file>로 저장)`);
+  for (const t of todos.slice(0, 10)) {
+    log(`  - [${t.status}] ${t.content.slice(0, 60)}`);
+  }
+  if (todos.length > 10) log(`  ... ${todos.length - 10}건 더`);
+}
+
 function taskSyncCmd(root) {
   root = absRoot(root || process.cwd());
   const file = arg('--from', null);
@@ -7218,6 +7287,7 @@ async function main() {
     if (sub==='fix-evidence') return taskFixEvidence(root);
     if (sub==='relink')       return taskRelink(root);
     if (sub==='sync')         return taskSyncCmd(root);
+    if (sub==='export')       return taskExportCmd(root);
   }
   return help();
 }

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "leerness",
-  "version": "1.9.59",
+  "version": "1.9.62",
   "description": "Leerness: 비파괴 마이그레이션, 자동 버전 감지·업데이트, 계획/진행/핸드오프 자동화, 게으름·시크릿·인코딩 자동 가드, Claude Code 슬래시 통합을 갖춘 한국어 우선 AI 개발 하네스.",
   "keywords": [
     "leerness",

package/scripts/e2e.js

@@ -950,6 +950,46 @@ total++;
   if (!ok) { failed++; console.log(r.stdout.slice(0, 800)); }
 }
 
+// 1.9.60/61/62 회귀
+total++;
+{
+  // task export → TodoWrite JSON 호환
+  const tmpC = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-tex-'));
+  cp.spawnSync(process.execPath, [CLI, 'init', tmpC, '--yes', '--no-banner', '--no-stale-check', '--language', 'ko', '--skills', 'recommended'], { stdio: 'ignore', timeout: 30000 });
+  cp.spawnSync(process.execPath, [CLI, 'task', 'add', 'export 검증', '--status', 'done', '--path', tmpC], { stdio: 'ignore', timeout: 10000 });
+  const r = cp.spawnSync(process.execPath, [CLI, 'task', 'export', '--path', tmpC, '--json'], { encoding: 'utf8', timeout: 15000 });
+  let j = null;
+  try { j = JSON.parse(r.stdout); } catch {}
+  const ok = Array.isArray(j) && j.length >= 1 && j.some(t => t.status === 'completed' && 'content' in t && 'activeForm' in t);
+  console.log(ok ? '✓ B(1.9.60) task export: TodoWrite JSON 형식 (content/status/activeForm)' : `✗ task export 실패`);
+  if (!ok) { failed++; console.log(r.stdout.slice(0, 400)); }
+}
+
+total++;
+{
+  // MCP cursor 페이지네이션 (chunkSize override)
+  const tmpC = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-mcc-'));
+  cp.spawnSync(process.execPath, [CLI, 'init', tmpC, '--yes', '--no-banner', '--no-stale-check', '--language', 'ko', '--skills', 'recommended'], { stdio: 'ignore', timeout: 30000 });
+  const req = JSON.stringify({ jsonrpc: '2.0', id: 1, method: 'tools/call', params: { name: 'leerness_handoff', arguments: { path: tmpC, _cursor: '0', _chunkSize: 200 } } });
+  const r = cp.spawnSync(process.execPath, [CLI, 'mcp', 'serve'], { encoding: 'utf8', timeout: 15000, input: req + '\n' });
+  const resp = JSON.parse(r.stdout.split('\n').filter(Boolean)[0]);
+  const ok = resp.result && resp.result.nextCursor && resp.result._truncated;
+  console.log(ok ? '✓ B(1.9.61) MCP cursor 페이지네이션: nextCursor + _truncated' : `✗ cursor 실패`);
+  if (!ok) { failed++; console.log(JSON.stringify(resp).slice(0, 300)); }
+}
+
+total++;
+{
+  // audit npm CVE — OFFLINE 또는 package.json 없을 때 graceful
+  const tmpC = fs.mkdtempSync(path.join(os.tmpdir(), 'leerness-ac-'));
+  cp.spawnSync(process.execPath, [CLI, 'init', tmpC, '--yes', '--no-banner', '--no-stale-check', '--language', 'ko', '--skills', 'recommended'], { stdio: 'ignore', timeout: 30000 });
+  // package.json 없음 → npm audit 스킵
+  const r = cp.spawnSync(process.execPath, [CLI, 'audit', tmpC], { encoding: 'utf8', timeout: 15000, env: { ...process.env, LEERNESS_OFFLINE: '1' } });
+  const ok = r.status === 0 && !/npm CVE/.test(r.stdout) && /Audit summary/.test(r.stdout);
+  console.log(ok ? '✓ B(1.9.62) audit: package.json 없을 때 npm audit 자동 스킵' : `✗ audit CVE 실패`);
+  if (!ok) { failed++; console.log(r.stdout.slice(0, 400)); }
+}
+
 // 1.9.58/59 회귀
 total++;
 {