oxe-cc 0.3.9 → 0.6.0

package/commands/oxe/loop.md

@@ -0,0 +1,17 @@
+---
+name: oxe:loop
+description: OXE — Execução iterativa de onda com retries automáticos e diagnóstico inline
+argument-hint: "onda <N> [max:<tentativas>]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Edit
+  - Task
+---
+
+**Workflow canônico:** `oxe/workflows/loop.md`
+
+Execute integralmente esse ficheiro na raiz do repositório. `$ARGUMENTS` = onda alvo e máximo de tentativas. Pré-requisito: `.oxe/PLAN.md`.

package/commands/oxe/milestone.md

@@ -0,0 +1,16 @@
+---
+name: oxe:milestone
+description: "Marcos de entrega (M-NN) — new, complete (arquiva SPEC/PLAN/VERIFY em .oxe/milestones/M-NN/), status, audit"
+argument-hint: "new <nome> | complete | status | audit"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canónico:** `oxe/workflows/milestone.md`
+
+Execute integralmente esse ficheiro na raiz do repositório em que estás a trabalhar. Usa o texto em `$ARGUMENTS` como subcomando e contexto (ex.: `new sprint-1`, `complete`, `audit`).

package/commands/oxe/obs.md

@@ -0,0 +1,16 @@
+---
+name: oxe:obs
+description: "Observação contextual — registra em .oxe/OBSERVATIONS.md, incorporada automaticamente no próximo spec/plan/execute sem re-explicar"
+argument-hint: "[observação: restrição, descoberta, preferência, risco ou decisão]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canónico:** `oxe/workflows/obs.md`
+
+Execute integralmente esse ficheiro na raiz do repositório em que estás a trabalhar. Usa o texto em `$ARGUMENTS` como a observação a registrar.

package/commands/oxe/oxe.md

@@ -0,0 +1,16 @@
+---
+name: oxe
+description: OXE — Entrada universal: próximo passo, roteamento de linguagem natural ou help dos 8 comandos essenciais
+argument-hint: "[contexto | 'help' | vazio]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canônico:** `oxe/workflows/oxe.md`
+
+Execute integralmente esse ficheiro. `$ARGUMENTS`: vazio → próximo passo; texto → roteamento inteligente; "help" → 8 comandos essenciais.

package/commands/oxe/project.md

@@ -0,0 +1,16 @@
+---
+name: oxe:project
+description: OXE — Gestão de projeto: milestone (M-NN), workstream (trilhas paralelas), checkpoint (snapshot)
+argument-hint: "milestone new|complete|status|audit | workstream new|switch|list|close <nome> | checkpoint [slug]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canônico:** `oxe/workflows/project.md`
+
+Execute integralmente esse ficheiro. `$ARGUMENTS` = subcomando. Sem argumento: mostra status atual (milestone ativo, workstreams, último checkpoint).

package/commands/oxe/quick.md

@@ -1,16 +1,16 @@
----
-name: oxe:quick
-description: Modo rápido — .oxe/QUICK.md + STATE (sem SPEC/PLAN longos)
-argument-hint: "[objetivo]"
-allowed-tools:
-  - Read
-  - Bash
-  - Glob
-  - Grep
-  - Write
-  - Task
----
-
-**Workflow canónico:** `oxe/workflows/quick.md`
-
-Execute integralmente esse ficheiro na raiz do repositório em que estás a trabalhar. Usa o texto em `$ARGUMENTS` como objetivo e contexto.
+---
+name: oxe:quick
+description: "Modo rápido com Plan-Driven Dynamic Agents lean — minispec (objetivo) + mini-plano (passos) + agentes dinâmicos por domínio (opcional) + verificar"
+argument-hint: "[objetivo] [--agents]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canónico:** `oxe/workflows/quick.md`
+
+Execute integralmente esse ficheiro na raiz do repositório em que estás a trabalhar. Usa o texto em `$ARGUMENTS` como objetivo e contexto.

package/commands/oxe/security.md

@@ -0,0 +1,16 @@
+---
+name: oxe:security
+description: OXE — Auditoria de segurança OWASP (.oxe/SECURITY.md): P0 crítico / P1 alto / P2 médio
+argument-hint: "[opcional: categoria OWASP, módulo ou arquivo]"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canônico:** `oxe/workflows/security.md`
+
+Execute integralmente esse ficheiro na raiz do repositório. Lê `STACK.md` para determinar categorias OWASP pertinentes. `$ARGUMENTS` = foco opcional.

package/commands/oxe/spec.md

@@ -1,7 +1,7 @@
 ---
 name: oxe:spec
-description: Transforma o pedido do usuário em SPEC.md (escopo, aceite, não-objetivos)
-argument-hint: "[texto do pedido ou @arquivo.md]"
+description: "Spec em 5 fases: perguntas → pesquisa → requisitos R-ID (v1/v2/fora) → roteiro ROADMAP.md → aprovação → plan"
+argument-hint: "[descrição da feature, ideia ou @arquivo.md com PRD]"
 allowed-tools:
   - Read
   - Write

package/commands/oxe/workstream.md

@@ -0,0 +1,16 @@
+---
+name: oxe:workstream
+description: "Trilhas paralelas — list, new <nome>, switch <nome>, status, close <nome> — artefatos independentes em .oxe/workstreams/<nome>/"
+argument-hint: "list | new <nome> | switch <nome> | status | close <nome>"
+allowed-tools:
+  - Read
+  - Bash
+  - Glob
+  - Grep
+  - Write
+  - Task
+---
+
+**Workflow canónico:** `oxe/workflows/workstream.md`
+
+Execute integralmente esse ficheiro na raiz do repositório em que estás a trabalhar. Usa o texto em `$ARGUMENTS` como subcomando e contexto.

package/lib/sdk/index.cjs

@@ -12,6 +12,8 @@ const manifest = require('../../bin/lib/oxe-manifest.cjs');
 const workflows = require('../../bin/lib/oxe-workflows.cjs');
 const installResolve = require('../../bin/lib/oxe-install-resolve.cjs');
 const agentInstall = require('../../bin/lib/oxe-agent-install.cjs');
+const security = require('../../bin/lib/oxe-security.cjs');
+const plugins = require('../../bin/lib/oxe-plugins.cjs');
 
 const PACKAGE_ROOT = path.join(__dirname, '..', '..');
 
@@ -38,6 +40,224 @@ function readMinNode(packageRoot) {
   }
 }
 
+/**
+ * Faz parse de um PLAN.md e extrai tarefas estruturadas.
+ *
+ * @param {string} planMd - Conteúdo do PLAN.md (string).
+ * @returns {{
+ *   tasks: Array<{
+ *     id: string,
+ *     title: string,
+ *     wave: number | null,
+ *     dependsOn: string[],
+ *     files: string[],
+ *     verifyCommand: string | null,
+ *     aceite: string[],
+ *     decisions: string[],
+ *     done: boolean,
+ *     meta: Record<string, unknown> | null,
+ *   }>,
+ *   waves: Record<number, string[]>,
+ *   totalTasks: number,
+ * }}
+ */
+function parsePlan(planMd) {
+  const parts = planMd.split(/^###\s+(T\d+)\s*[—-]\s*/m);
+  /** @type {ReturnType<typeof parsePlan>['tasks']} */
+  const tasks = [];
+  /** @type {Record<number, string[]>} */
+  const waves = {};
+
+  for (let i = 1; i < parts.length; i += 2) {
+    const id = parts[i].trim();
+    const rest = (parts[i + 1] || '').split(/^###\s+T\d+/m)[0];
+    const titleMatch = rest.match(/^([^\n]+)/);
+    const title = titleMatch ? titleMatch[1].trim() : '';
+
+    const waveMatch = rest.match(/\*\*Onda:\*\*\s*(\d+)/i);
+    const wave = waveMatch ? parseInt(waveMatch[1], 10) : null;
+
+    const depsMatch = rest.match(/\*\*Depende\s+de:\*\*\s*([^\n]+)/i);
+    const dependsOn = depsMatch
+      ? depsMatch[1].split(/[,\s]+/).filter((s) => /^T\d+$/.test(s.trim()))
+      : [];
+
+    const filesMatch = rest.match(/\*\*Arquivos\s+prováveis:\*\*\s*([^\n]+)/i);
+    const files = filesMatch
+      ? filesMatch[1].match(/`([^`]+)`/g)?.map((s) => s.replace(/`/g, '')) || []
+      : [];
+
+    const verifyCmdMatch = rest.match(/Comando:\s*`([^`]+)`/i);
+    const verifyCommand = verifyCmdMatch ? verifyCmdMatch[1] : null;
+
+    const aceiteMatch = rest.match(/\*\*Aceite\s+vinculado:\*\*\s*([^\n]+)/i);
+    const aceite = aceiteMatch
+      ? aceiteMatch[1].match(/A\d+/g) || []
+      : [];
+
+    const decisionsMatch = rest.match(/\*\*Decisão\s+vinculada:\*\*\s*([^\n]+)/i);
+    const decisions = decisionsMatch
+      ? decisionsMatch[1].match(/D-\d+/g) || []
+      : [];
+
+    // Parse do metadado JSON em comentário HTML <!-- oxe-task: {...} -->
+    const metaMatch = rest.match(/<!--\s*oxe-task:\s*(\{[\s\S]*?\})\s*-->/);
+    let meta = null;
+    if (metaMatch) {
+      try {
+        meta = JSON.parse(metaMatch[1]);
+      } catch {
+        meta = null;
+      }
+    }
+
+    const done = meta?.done === true;
+
+    const task = { id, title, wave, dependsOn, files, verifyCommand, aceite, decisions, done, meta };
+    tasks.push(task);
+
+    if (wave != null) {
+      if (!waves[wave]) waves[wave] = [];
+      waves[wave].push(id);
+    }
+  }
+
+  return { tasks, waves, totalTasks: tasks.length };
+}
+
+/**
+ * Faz parse de um SPEC.md e extrai critérios de aceite.
+ *
+ * @param {string} specMd - Conteúdo do SPEC.md.
+ * @returns {{
+ *   objective: string | null,
+ *   criteria: Array<{ id: string, criterion: string, howToVerify: string }>,
+ *   requiredSections: string[],
+ * }}
+ */
+function parseSpec(specMd) {
+  // Objetivo
+  const objMatch = specMd.match(/##\s*Objetivo\s*\n+([\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  const objective = objMatch ? objMatch[1].trim().split('\n')[0].trim() : null;
+
+  // Tabela de critérios
+  /** @type {Array<{ id: string, criterion: string, howToVerify: string }>} */
+  const criteria = [];
+  const tableMatch = specMd.match(/##\s*Critérios.*?aceite[\s\S]*?(\|[\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  if (tableMatch) {
+    const rows = tableMatch[1].split('\n').filter((l) => l.startsWith('|'));
+    for (const row of rows) {
+      const cells = row.split('|').map((c) => c.trim()).filter(Boolean);
+      if (cells.length >= 2 && /^A\d+$/i.test(cells[0])) {
+        criteria.push({
+          id: cells[0],
+          criterion: cells[1] || '',
+          howToVerify: cells[2] || '',
+        });
+      }
+    }
+  }
+
+  // Seções presentes (para validação spec_required_sections)
+  const headings = [];
+  for (const m of specMd.matchAll(/^##\s+(.+)/gm)) {
+    headings.push(`## ${m[1].trim()}`);
+  }
+
+  return { objective, criteria, requiredSections: headings };
+}
+
+/**
+ * Faz parse do STATE.md e extrai fase, data do scan e próximo passo.
+ *
+ * @param {string} stateMd - Conteúdo do STATE.md.
+ * @returns {{
+ *   phase: string | null,
+ *   lastScanDate: string | null,
+ *   nextStep: string | null,
+ *   decisions: string[],
+ *   activeWorkstreams: string[],
+ *   activeMilestone: string | null,
+ * }}
+ */
+function parseState(stateMd) {
+  const phase = health.parseStatePhase(stateMd);
+
+  const scanDate = health.parseLastScanDate(stateMd);
+  const lastScanDate = scanDate ? scanDate.toISOString().split('T')[0] : null;
+
+  const nextStepMatch = stateMd.match(/##\s*Próximo passo sugerido\s*\n+([\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  const nextStep = nextStepMatch ? nextStepMatch[1].trim().split('\n')[0].replace(/^[-*]\s*/, '').trim() : null;
+
+  // Decisões persistentes (seção opcional)
+  const decisionsMatch = stateMd.match(/##\s*Decisões persistentes\s*\n+([\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  const decisions = decisionsMatch
+    ? decisionsMatch[1].match(/D-\d+[^)]*\)/g) || decisionsMatch[1].match(/D-\d+[^\n]*/g) || []
+    : [];
+
+  // Workstreams ativos (seção opcional)
+  const wsMatch = stateMd.match(/##\s*Workstreams ativos\s*\n+([\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  const activeWorkstreams = wsMatch
+    ? wsMatch[1].match(/`([^`]+)`/g)?.map((s) => s.replace(/`/g, '')) || []
+    : [];
+
+  // Milestone ativo
+  const msMatch = stateMd.match(/##\s*Milestone ativo\s*\n+[^`]*`([^`]+)`/im);
+  const activeMilestone = msMatch ? msMatch[1] : null;
+
+  return { phase, lastScanDate, nextStep, decisions, activeWorkstreams, activeMilestone };
+}
+
+/**
+ * Valida fidelidade entre decisões do DISCUSS.md e tarefas do PLAN.md.
+ * Retorna gaps onde decisões D-NN não têm tarefa vinculada.
+ *
+ * @param {string} discussMd - Conteúdo do DISCUSS.md.
+ * @param {string} planMd - Conteúdo do PLAN.md.
+ * @returns {{
+ *   ok: boolean,
+ *   gaps: Array<{ decisionId: string, decision: string }>,
+ *   covered: Array<{ decisionId: string, taskIds: string[] }>,
+ * }}
+ */
+function validateDecisionFidelity(discussMd, planMd) {
+  // Extrair decisões da tabela D-NN
+  const decisionRows = [];
+  const tableMatch = discussMd.match(/##\s*Decisões[\s\S]*?(\|[\s\S]*?)(?=\n##\s|\n#[^\#]|$)/im);
+  if (tableMatch) {
+    const rows = tableMatch[1].split('\n').filter((l) => l.startsWith('|'));
+    for (const row of rows) {
+      const cells = row.split('|').map((c) => c.trim()).filter(Boolean);
+      if (cells.length >= 2 && /^D-\d+$/i.test(cells[0])) {
+        decisionRows.push({ id: cells[0], text: cells[1] || '' });
+      }
+    }
+  }
+
+  if (!decisionRows.length) return { ok: true, gaps: [], covered: [] };
+
+  const { tasks } = parsePlan(planMd);
+
+  /** @type {ReturnType<typeof validateDecisionFidelity>['gaps']} */
+  const gaps = [];
+  /** @type {ReturnType<typeof validateDecisionFidelity>['covered']} */
+  const covered = [];
+
+  for (const dec of decisionRows) {
+    // Ignorar decisões revertidas
+    if (/revertida/i.test(dec.text)) continue;
+
+    const tasksCovering = tasks.filter((t) => t.decisions.includes(dec.id));
+    if (tasksCovering.length === 0) {
+      gaps.push({ decisionId: dec.id, decision: dec.text });
+    } else {
+      covered.push({ decisionId: dec.id, taskIds: tasksCovering.map((t) => t.id) });
+    }
+  }
+
+  return { ok: gaps.length === 0, gaps, covered };
+}
+
 /**
  * Verificações alinhadas ao `oxe-cc doctor`, com resultado estruturado (CI / gateways).
  *
@@ -47,6 +267,7 @@ function readMinNode(packageRoot) {
  *   nodeMajor?: number,
  *   includeWorkflowLint?: boolean,
  *   workflowLintOptions?: { maxBytesSoft?: number },
+ *   includeSecurity?: boolean,
  * }} args
  * @returns {{
  *   ok: boolean,
@@ -60,6 +281,7 @@ function readMinNode(packageRoot) {
  *   validation: ReturnType<typeof health.validateConfigShape>,
  *   healthReport: ReturnType<typeof health.buildHealthReport>,
  *   workflowShape: ReturnType<typeof workflows.validateWorkflowShapes> | null,
+ *   securityReport: { secretFiles: string[], pluginsValid: boolean } | null,
  * }}
  */
 function runDoctorChecks(args) {
@@ -157,6 +379,39 @@ function runDoctorChecks(args) {
     }
   }
 
+  // Verificações de segurança (opcional, ativado por padrão)
+  let securityReport = null;
+  if (args.includeSecurity !== false) {
+    const secretFiles = security.scanDirForSecretFiles(projectRoot, { maxDepth: 3 });
+    if (secretFiles.length > 0) {
+      warnings.push({
+        code: 'SECURITY_SECRET_FILES',
+        message: `Arquivos com nomes sensíveis detectados: ${secretFiles.join(', ')}`,
+        detail: { files: secretFiles },
+      });
+    }
+
+    // Verificar plugins se existirem
+    const pluginsDir = path.join(projectRoot, '.oxe', 'plugins');
+    let pluginsValid = true;
+    if (fs.existsSync(pluginsDir)) {
+      const pluginFiles = fs.readdirSync(pluginsDir).filter((f) => f.endsWith('.cjs'));
+      for (const pf of pluginFiles) {
+        const pluginPath = path.join(pluginsDir, pf);
+        const safetyCheck = security.checkPathSafety(pluginPath, projectRoot);
+        if (!safetyCheck.safe) {
+          pluginsValid = false;
+          warnings.push({
+            code: 'SECURITY_PLUGIN_PATH',
+            message: `Plugin com caminho inseguro: ${pf} — ${safetyCheck.reason}`,
+          });
+        }
+      }
+    }
+
+    securityReport = { secretFiles, pluginsValid };
+  }
+
   return {
     ok: errors.length === 0,
     errors,
@@ -169,6 +424,7 @@ function runDoctorChecks(args) {
     validation,
     healthReport,
     workflowShape,
+    securityReport,
   };
 }
 
@@ -184,6 +440,12 @@ module.exports = {
   readPackageMeta,
   readMinNode,
 
+  /** Parsing de artefatos OXE (PLAN, SPEC, STATE). */
+  parsePlan,
+  parseSpec,
+  parseState,
+  validateDecisionFidelity,
+
   /** Estado do projeto, SPEC/PLAN, fase, config. */
   health: {
     loadOxeConfigMerged: health.loadOxeConfigMerged,
@@ -200,7 +462,10 @@ module.exports = {
     planWaveWarningsFixed: health.planWaveWarningsFixed,
     planTaskAceiteWarnings: health.planTaskAceiteWarnings,
     verifyGapsWithoutSummaryWarning: health.verifyGapsWithoutSummaryWarning,
+    expandExecutionProfile: health.expandExecutionProfile,
     ALLOWED_CONFIG_KEYS: health.ALLOWED_CONFIG_KEYS,
+    EXECUTION_PROFILES: health.EXECUTION_PROFILES,
+    VERIFICATION_DEPTHS: health.VERIFICATION_DEPTHS,
     INSTALL_PROFILES: health.INSTALL_PROFILES,
     INSTALL_REPO_LAYOUTS: health.INSTALL_REPO_LAYOUTS,
     INSTALL_OBJECT_KEYS: health.INSTALL_OBJECT_KEYS,
@@ -238,6 +503,25 @@ module.exports = {
     parseCursorCommandFrontmatter: agentInstall.parseCursorCommandFrontmatter,
   },
 
+  /** Segurança: validação de caminhos e detecção de segredos. */
+  security: {
+    checkPathSafety: security.checkPathSafety,
+    scanFileForSecrets: security.scanFileForSecrets,
+    scanDirForSecretFiles: security.scanDirForSecretFiles,
+    validatePlanPaths: security.validatePlanPaths,
+    DEFAULT_SECRET_PATTERNS: security.DEFAULT_SECRET_PATTERNS,
+    DEFAULT_SECRET_CONTENT_PATTERNS: security.DEFAULT_SECRET_CONTENT_PATTERNS,
+    DEFAULT_DENIED_PATH_PATTERNS: security.DEFAULT_DENIED_PATH_PATTERNS,
+  },
+
+  /** Plugin system — hooks de ciclo de vida em `.oxe/plugins/*.cjs`. */
+  plugins: {
+    loadPlugins: plugins.loadPlugins,
+    runHook: plugins.runHook,
+    validatePlugins: plugins.validatePlugins,
+    initPluginsDir: plugins.initPluginsDir,
+  },
+
   /** Um único objeto com verificações tipo `doctor` + relatório de saúde. */
   runDoctorChecks,
 };