pumuki 6.3.26 → 6.3.28

package/docs/validation/p9-ruralgo-bug-registry.md

@@ -0,0 +1,607 @@
+# P9 — Registro Paralelo de Bugs (RuralGO)
+
+Registro oficial de bugs detectados durante la validación de Pumuki en `R_GO`/`ruralgo-fork`.
+Ámbito de este documento: solo Pumuki (no mezcla incidencias de Xcode).
+
+## Leyenda
+
+- ✅ Cerrado
+- 🚧 En construccion (maximo 1)
+- ⏳ Pendiente
+- ⛔ Bloqueado
+
+## Objetivo
+
+- Mantener trazabilidad de hallazgos reales sin mezclar backlog de producto (bugs Pumuki) con el plan operativo de ejecución (`p9-ruralgo-fork-validation-tracking.md`).
+- Priorizar y resolver en paralelo los bugs que distorsionan la señal de calidad (falsos positivos, scope de reglas, incompatibilidades de instalación).
+
+## Cola Operativa
+
+- ✅ `P9.BUG.T1` Consolidar intake inicial y clasificación de bugs detectados en la auditoría de RuralGO.
+- ✅ `P9.BUG.T2` Definir plan de remediación por prioridad (`P1/P2/P3`) y riesgo de regresión.
+- ✅ `P9.BUG.T3` Implementar fixes en Pumuki con TDD y validar en `R_GO` + `ruralgo-fork`.
+- ✅ `P9.BUG.T4` Cerrar bugs confirmados y consolidar evidencia final en este registro.
+- ✅ `P9.IMP.P0.T1` Blindar `install` + hooks resolubles en fresh repo (E2E install->hook execution).
+- ✅ `P9.IMP.P0.T2` Normalizar RC de `--help` y comandos informativos a `0`.
+- ✅ `P9.IMP.P0.T3` Forzar salida mínima de gate en hooks (`stage`, `policy`, `decision`, `evidence age`) con `--quiet` opcional.
+- ✅ `P9.IMP.P0.T4` Añadir `strict mode` fail-closed por defecto en enterprise para bloquear `green vacío` (`items=0`) y evidencia no determinista.
+- ✅ `P9.IMP.P0.T5` Exponer fuente real de evidencia (`source`, `path`, `digest`, `generated_at`).
+
+## Informe Único Consolidado (macheo completo)
+
+### 1) Resumen ejecutivo
+
+- Base funcional confirmada: `status/doctor/sdd status/sdd validate/hooks` operativos.
+- Bloqueos base confirmados: sesión SDD ausente y rama sin upstream en `pre-push`.
+- Riesgos críticos consolidados: instalación/hooks y consistencia gate/evidencia.
+- Madurez actual: media, con hardening pendiente para nivel enterprise alto.
+- Recomendación: cerrar `P0/P1` antes de considerar robustez enterprise.
+
+### 2) Lo que funciona bien (confirmado)
+
+- `pumuki doctor` y `pumuki status` devuelven estado útil y coherente.
+- `pumuki sdd session --open --change=<id>` funciona con trazabilidad de cambio.
+- `pumuki sdd validate --stage=PRE_WRITE` reporta `ai_gate` con `policy/evidence`.
+- `pumuki-pre-commit` y `pumuki-pre-push` bloquean con `SDD_SESSION_MISSING` cuando no hay sesión activa.
+- `pre-push` bloquea correctamente cuando falta upstream.
+
+### 3) Hallazgos consolidados por severidad (mapeados)
+
+- Crítico:
+  - Instalación/hook resoluble (`Issue 1`) -> `RG-BUG-010` + `P9.IMP.P0.T1`.
+- Alta:
+  - `--help` con `RC=1` -> `RG-BUG-005` + `P9.IMP.P0.T2`.
+  - `validate` con `items=0` -> `RG-BUG-007` + `P9.IMP.P0.T4`.
+  - evidencia AI no determinista/explicable -> `RG-BUG-008` + `P9.IMP.P0.T5`.
+- Media:
+  - hooks en verde sin resumen operativo -> `RG-BUG-006` + `P9.IMP.P0.T3`.
+  - casing inconsistente de `changeId` -> `RG-BUG-009` + `P9.IMP.P1.T5`.
+  - sin auto-sync documental SDD observable -> `RG-BUG-011` + `P9.IMP.P1.T3`.
+
+### 4) Respuesta directa a hipótesis (punto por punto)
+
+- MCP obligatorio: parcial; hay cadena `pumuki->mcp->ai_gate->ai_evidence`, pero sin hard-block observado por adapter MCP ausente.
+- Bloqueos en `PRE_WRITE/PRE_COMMIT/PRE_PUSH`: sí para sesión SDD ausente; además `pre-push` bloquea por upstream faltante.
+- Resumen de `ai_gate` por iteración: no obligatorio hoy en hooks exitosos.
+- Evidencia siempre fresca/estricta: parcial/inconsistente en local, falta mayor transparencia de fuente.
+- Skills en cada iteración: no hay enforcement hard nativo observado; depende del proceso/AGENTS.
+- SDD completo + auto-doc en MD: sesión sí se fuerza; auto-sync documental no está evidenciado.
+
+### 5) Criterio técnico para nivel enterprise fiable
+
+- `fail-closed` estricto por defecto en entornos enterprise.
+- `policy-as-code` versionada/firmada con hash visible en gate.
+- cadena de evidencia verificable y explicable (`source/path/digest/timestamp`).
+- enforcement real de skills por ámbito y tipo de cambio.
+- `DoD` de SDD automático (no solo sesión abierta).
+- salida mínima operativa obligatoria en hooks.
+- waivers formales (`TTL/owner/motivo`).
+- `doctor --deep` + contract tests sobre fixtures enterprise.
+
+## Matriz de Bugs (actualizada con informe ampliado)
+
+| ID | Prioridad | Tipo | Estado | Bug | Evidencia | Impacto | Próximo paso |
+| --- | --- | --- | --- | --- | --- | --- | --- |
+| `RG-BUG-001` | `P1` | Falso positivo | ✅ | Regla `ios.no-force-unwrap` reportada en archivo TypeScript (`apps/admin-dashboard/middleware.ts:8`) por uso de `!token` (negación lógica). | Corregido en matcher de `scope` con soporte de glob real para `**/*.swift`; test de no-regresión añadido en `core/gate/__tests__/evaluateRules.spec.ts` y `core/gate/__tests__/conditionMatches.spec.ts`. | Distorsionaba severidad y priorización de remediación. | Cerrado también en campo: en `R_GO` y `ruralgo-fork` ya no aparece `middleware.ts` en findings iOS tras ejecutar menú local completo. |
+| `RG-BUG-002` | `P1` | Scope ruleset | ✅ | Fuga de reglas de plataforma: reglas iOS aplicadas sobre código frontend/backend TypeScript (`ios.no-print`, `ios.no-force-unwrap`, etc). | Causa raíz confirmada: matcher de `scope` interpretaba `**/*.swift` como prefijo vacío y evaluaba cualquier archivo; corregido en `core/gate/scopeMatcher.ts` + adopción en `evaluateRules` y `conditionMatches`; además unificado matcher de `scope` en `integrations/git/findingTraceability.ts` para evitar anclaje erróneo de fichero/línea en trazabilidad. | Generaba falsos bloqueos y pérdida de confianza en el gate. | Cerrado operativo con smoke real en `R_GO` y `ruralgo-fork` (finding iOS queda anclado en `.swift`, no en `.ts`). |
+| `RG-BUG-003` | `P2` | Compatibilidad instalación | ✅ | `pumuki install` podía fallar en repos con `engine-strict` al intentar bootstrap OpenSpec/consumer package fuera de runtime requerido. | Revalidación real en `R_GO` con runtime no alineado (`node v25.6.1/npm 11.10.1`): `npx --yes --package pumuki@latest pumuki install` ya no falla; ejecuta modo tolerante (`npm-install-skipped:engine-mismatch`) y mantiene hooks instalados (`exit=0`). | Se elimina bloqueo operativo de instalación en entornos con runtime no alineado; el comportamiento queda explícito y fail-soft. | Cerrado. Mantener recomendación de runtime `20.20.0/10.8.2` para bootstrap completo (`openspec` + consumer package). |
+| `RG-BUG-004` | `P2` | Trazabilidad ruleset | ✅ | `unknown-ruleset` aparecía en cobertura sin clasificación clara. | Fix aplicado en source (`scripts/framework-menu-legacy-audit-lib.ts`): mapeo determinista para `common.*` -> `commonRuleSet (inferred)` y `workflow.*/sdd.*/generic_*` -> bundle de policy (`gate-policy.default.*` o `policyRuleSet (inferred)`), con test de no-regresión añadido (`scripts/__tests__/framework-menu-legacy-audit.test.ts`); validación de campo con bin local en `R_GO`: `printf '1\\n10\\n' | node .../bin/pumuki-framework.js` muestra `commonRuleSet (inferred): 75` y `gate-policy.default.PRE_COMMIT: 3`, sin `unknown-ruleset`. | Se normaliza trazabilidad de ruleset coverage y desaparece la etiqueta opaca en ejecución corregida. | Cerrado en source; siguiente paso operativo: propagar release npm para que `@latest` herede la normalización en consumer. |
+| `RG-BUG-005` | `P1` | CLI | ✅ | `pumuki --help` y `pumuki sdd --help` retornaban código de salida `1`. | Fix aplicado en parser/catch de CLI con salida explícita para `help`; tests de regresión añadidos en `integrations/lifecycle/__tests__/cli.test.ts`; verificación manual: `root_help_rc=0`, `sdd_help_rc=0`, `bad_rc=1`. | Se elimina rotura de scripts/automatizaciones para comandos informativos. | Cerrado; siguiente foco operativo en `strict mode` y “green vacío” (`RG-BUG-007`). |
+| `RG-BUG-006` | `P1` | Observabilidad gate | ✅ | `pumuki-pre-commit`/`pumuki-pre-push` en éxito no imprimían resumen mínimo de gate. | Fix aplicado en `stageRunners` con línea estable `[pumuki][hook-gate]` y campos `stage/policy_bundle/policy_hash/decision/evidence_age_seconds`; soporte `--quiet` implementado en `runCliCommand`; tests de regresión en `stageRunners.test.ts` y `runCliCommand.test.ts`. | Se recupera auditabilidad operativa de hooks sin perder salida silenciosa opcional. | Cerrado; siguiente foco operativo en `strict mode` (`RG-BUG-007`). |
+| `RG-BUG-007` | `P1` | Validación SDD | ✅ | `pumuki sdd validate` podía devolver `allowed=true` con `items=0`. | Fix aplicado en `integrations/sdd/policy.ts` con bloqueo explícito `SDD_VALIDATION_EMPTY` cuando `validation.ok=true` e `items<=0`; test de no-regresión en `integrations/sdd/__tests__/policy.test.ts`. | Se elimina el “green vacío” y se fuerza fail-closed para validación sin ítems. | Cerrado; siguiente foco operativo en trazabilidad estricta de evidencia (`RG-BUG-008`). |
+| `RG-BUG-008` | `P1` | Evidencia/consistencia | ✅ | La evidencia se reportaba con `kind` y `age`, pero sin trazabilidad explícita de origen. | Fix aplicado en `integrations/gate/evaluateAiGate.ts` y paneles (`integrations/lifecycle/cli.ts`, `scripts/framework-menu-consumer-preflight-lib.ts`) para exponer `evidence.source/path/digest/generated_at`; tests de no-regresión añadidos/actualizados. | Se elimina la opacidad operativa: ahora el gate expone fuente, ruta, huella y timestamp de generación de evidencia. | Cerrado; siguiente foco operativo en gobernanza de skills (`P9.IMP.P1.T1`). |
+| `RG-BUG-009` | `P2` | Canonicalización | ✅ | `changeId` de sesión SDD preservaba casing de entrada en lugar de resolver al identificador canónico del cambio OpenSpec. | Fix aplicado en `integrations/sdd/sessionStore.ts`: resolución case-insensitive con persistencia canónica + `changeAlias`; salida CLI actualizada en `integrations/lifecycle/cli.ts`; tests nuevos en `integrations/sdd/__tests__/sessionStore.test.ts` y `integrations/lifecycle/__tests__/cli.test.ts`. | Se evita fragmentación de trazabilidad/reporting por casing y queda visible el alias resuelto para auditoría. | Cerrado; siguiente foco operativo en `P9.IMP.P2.T1` (integridad criptográfica de evidencia). |
+| `RG-BUG-010` | `P1` | Lifecycle hooks | ✅ | Reporte histórico de hooks 404 (`npx --yes pumuki-pre-*`) tras `install` en iteraciones previas. | Fix aplicado en generación de bloque de hooks para ejecutar `npx --yes --package pumuki@latest pumuki-pre-*` + test E2E `install -> hook execution` con `npx` stub en verde. | Potencial regresión crítica mitigada con cobertura automatizada. | Cerrado; mantener vigilancia de regresión en `test:stage-gates`. |
+| `RG-BUG-011` | `P2` | Gap funcional SDD/docs | ✅ | No existía mecanismo oficial claro de auto-sync documental SDD (`sync-docs`) en flujo observado. | Revalidación en `R_GO` y `ruralgo-fork` con `pumuki@6.3.27`: `npx --yes --package pumuki@latest pumuki sdd sync-docs --dry-run --json` responde con contrato estable (`targetPath`, `stageChecks`, `diffPreview`, `changed`, `created`). | Se elimina el gap funcional de sincronización documental: ya existe comando oficial y machine-readable para pipelines. | Cerrado. Seguimiento futuro en mejoras DX (calidad del contenido sincronizado por stage). |
+| `RG-BUG-012` | `P1` | Falso positivo CI (`npm latest`) | ✅ | `pumuki-ci` de `pumuki@latest@6.3.26` llegó a bloquear `ruralgo-fork` con `ios.no-force-unwrap` en archivo TypeScript (`apps/admin-dashboard/playwright/e2e/critical-errors-verification.spec.ts:7`). | Repro CI controlada en clon temporal de `R_GO` con precondiciones conformes: OpenSpec instalado (`@fission-ai/openspec@1.2.0`), sesión SDD válida y cambio completo (`rgo-1200-03`), `sdd validate --stage=CI` en `ALLOWED` (`items=17`, `passed=17`, `failed=0`), y `GITHUB_BASE_REF=origin/develop npx --yes --package pumuki@latest pumuki-ci` => `decision=ALLOW outcome=PASS`; verificación de evidencia CI: `hits=[]` para `ios.no-force-unwrap` y para `apps/admin-dashboard/playwright/e2e/critical-errors-verification.spec.ts`. | Bajo condiciones CI conformes no se reproduce falso positivo iOS sobre `.ts`. | Cerrado; mantener monitorización de no-regresión en validación real post-release. |
+| `RG-BUG-013` | `P1` | Packaging/bin parity | ✅ | Los bins `pumuki-mcp-evidence-stdio` y `pumuki-mcp-enterprise-stdio` no existían en `pumuki@latest@6.3.26` publicado aunque sí estaban declarados en `package.json` local del repo. | Cierre E2E propagado: release npm `6.3.27` publicada y validada en `ruralgo-fork`; ambos bins presentes en `node_modules/.bin` (`ls -1 node_modules/.bin | rg '^pumuki-mcp-(enterprise|evidence)-stdio$'`). | Paridad de bins restablecida en `@latest` para consumidor real. | Cerrado end-to-end con propagación npm + validación de campo en consumer real. |
+| `RG-BUG-014` | `P2` | Gap consumer scripts | ✅ | Los scripts de `package.json` de `pumuki` no eran ejecutables de forma directa desde consumidor real tras `pumuki install`, porque el paquete no quedaba instalado como dependencia en `node_modules`. | Cierre E2E propagado: `pumuki@6.3.27` en `latest` + validación real en `ruralgo-fork` (`validation:p9:ruralgo-install-health` => `ready=true`); nota de contrato confirmada: si `pumuki` ya está declarado en consumer, `install` no fuerza upgrade y se usa `pumuki update --latest` para actualizar versión efectiva. | Ejecución de scripts internos y contrato lifecycle operativos en consumidor real con flujo explícito `install/update`. | Cerrado end-to-end con propagación npm + runbook real actualizado (`install` + `update --latest` cuando aplique). |
+| `RG-BUG-015` | `P1` | Packaging/exports runtime | ✅ | En consumidor real con `pumuki@latest@6.3.26`, los subpaths exportados (`core/*`, `integrations/*`) no eran importables en runtime aunque figuraban en `exports`. | Cierre E2E propagado: `pumuki@6.3.27` publicado con exports `.js`; validación en `ruralgo-fork` con `require/import` en verde para exports oficiales (`pumuki`, `pumuki/integrations/{git,lifecycle,sdd,mcp}`, `pumuki/core/gate/{evaluateGate,evaluateRules}`). | API pública de subpaths consumible en runtime desde `@latest`. | Cerrado end-to-end con propagación npm + validación real en consumer. |
+
+## Observaciones No-Bug (comportamiento esperado)
+
+- Opción `3` (Strict STAGING) y opción `4` (STAGED+UNSTAGED) retornan `PASS` con alcance vacío y muestran hint explícito:
+  - `Scope vacío (...) usa 1 o 2 para validar repo completo.`
+  - Clasificado como UX esperable, no bug.
+
+## Fase de Mejoras Enterprise (TODO)
+
+Aplica la leyenda canónica del documento:
+- ✅ Cerrado
+- 🚧 En construccion (maximo 1)
+- ⏳ Pendiente
+- ⛔ Bloqueado
+
+### P0 (0-30 días, bloqueo de riesgo)
+
+- ✅ `P9.IMP.P0.T1` Blindar `install` + hooks resolubles en fresh repo (E2E install->hook execution).
+- ✅ `P9.IMP.P0.T2` Normalizar RC de `--help` y comandos informativos a `0`.
+- ✅ `P9.IMP.P0.T3` Forzar salida mínima de gate en hooks (`stage`, `policy`, `decision`, `evidence age`) con `--quiet` opcional.
+- ✅ `P9.IMP.P0.T4` Añadir `strict mode` fail-closed por defecto en enterprise para bloquear `green vacío` (`items=0`) y evidencia no determinista.
+- ✅ `P9.IMP.P0.T5` Exponer fuente real de evidencia (`source`, `path`, `digest`, `generated_at`).
+
+### P1 (31-60 días, gobernanza y trazabilidad)
+
+- ✅ `P9.IMP.P1.T1` Implementar skill compliance engine por ámbito/archivo (`required -> applied -> evidence`).
+- ✅ `P9.IMP.P1.T2` Añadir gate de completitud SDD por cambio.
+- ✅ `P9.IMP.P1.T3` Crear comando oficial de sync documental (`pumuki sdd sync-docs`) con `dry-run` y diff preview.
+- ✅ `P9.IMP.P1.T4` Implementar `pumuki doctor --deep` con checks enterprise (hooks/upstream/adapters/policy/evidence drift).
+- ✅ `P9.IMP.P1.T5` Canonicalizar `changeId` de sesión SDD y exponer alias resuelto en salida.
+- ✅ `P9.IMP.P1.T6` Añadir `policy-as-code` versionada/firmada y hash de policy visible en ejecución de gate.
+
+### P2 (61-90 días, hardening enterprise)
+
+- ✅ `P9.IMP.P2.T1` Integridad criptográfica de evidencia (hash chain + firma opcional).
+- ✅ `P9.IMP.P2.T2` Sistema formal de waivers con TTL/owner/motivo/expiración.
+- ✅ `P9.IMP.P2.T3` Telemetría estructurada exportable (`JSONL`/`OpenTelemetry`).
+- ✅ `P9.IMP.P2.T4` Suite de contract tests sobre repos fixture enterprise.
+
+## Evidencia Operativa de Campo (RuralGO, sesión inicial)
+
+- Repositorio: `/Users/juancarlosmerlosalbarracin/Developer/Projects/R_GO`
+- Rama observada: `feature/rgo-1190-01-sdd-bootstrap`
+- Estado lifecycle reportado:
+  - `installed=true`, `version=6.3.26`
+  - hooks gestionados: `pre-commit`, `pre-push`
+  - `openSpecManagedArtifacts` presentes
+- Estado doctor:
+  - `doctor verdict: PASS`
+- Estado SDD:
+  - OpenSpec: `installed=true`, `projectInitialized=true`, `compatible=true`
+  - sesión inicial en reporte: `active=false`, `valid=false`
+- Estado loop:
+  - `loop list --json => []`
+- Evidencia JSON reportada por el usuario:
+  - `/Users/juancarlosmerlosalbarracin/Developer/Projects/R_GO/.ai_evidence.json`
+
+### Matriz de ejecución `pumenu` (captura de campo)
+
+| Opción | Contexto reportado | Resultado reportado | Observaciones |
+| --- | --- | --- | --- |
+| `2` Strict REPO+STAGING (PRE_PUSH) | `staged=1`, `unstaged=3`, upstream `none` | `Gate: ALLOWED (0 preflight)`, luego auditoría completa con `297` violaciones (`45` C / `223` H) y `BLOCK` | Comportamiento esperado: preflight y auditoría final pueden diferir por alcance/política. |
+| `3` Strict STAGING only (PRE_COMMIT) | alcance `staged` | `files scanned: 0`, `PASS`, mensaje `Scope vacío (staged)` | Clasificado como no-bug (UX esperable con hint explícito). |
+| `4` STAGED+UNSTAGED (PRE_PUSH policy) | alcance `working tree` | `files scanned: 0`, `PASS`, mensaje `Scope vacío (working tree)` | Clasificado como no-bug (UX esperable con hint explícito). |
+| `1` Full audit (repo analysis PRE_COMMIT) | repo completo | `297` violaciones (`45` C / `223` H), `BLOCK` | Señal consistente con opción `2` al evaluar repositorio completo. |
+
+## Roadmap 30/60/90 (trazado a tareas TODO)
+
+- `0-30 días` => `P9.IMP.P0.T1..T5`
+- `31-60 días` => `P9.IMP.P1.T1..T6`
+- `61-90 días` => `P9.IMP.P2.T1..T4`
+
+## Issue Pack Único (mapeado a este MD)
+
+| Issue pack consolidado | Cobertura en este registro |
+| --- | --- |
+| `Issue 1 [P0][BUG] install deja hooks no resolubles` | `RG-BUG-010` + `P9.IMP.P0.T1` |
+| `Issue 2 [P0][BUG] help retorna RC=1` | `RG-BUG-005` + `P9.IMP.P0.T2` |
+| `Issue 3 [P0][RULE] validate no debe pasar con items=0` | `RG-BUG-007` + `P9.IMP.P0.T4` |
+| `Issue 4 [P0][OBS] evidencia AI no determinista/explicable` | `RG-BUG-008` + `P9.IMP.P0.T5` |
+| `Issue 5 [P1][DX] hooks exitosos sin resumen operativo` | `RG-BUG-006` + `P9.IMP.P0.T3` |
+| `Issue 6 [P1][GOV] enforcement real de skills por ámbito` | `P9.IMP.P1.T1` |
+| `Issue 7 [P1][SDD] completitud SDD + sync documental` | `RG-BUG-011` + `P9.IMP.P1.T2` + `P9.IMP.P1.T3` |
+| `Issue 8 [P1][CONSISTENCY] normalización canónica changeId` | `RG-BUG-009` + `P9.IMP.P1.T5` |
+| `Issue 9 [P2][SEC] evidencia firmada y cadena de integridad` | `P9.IMP.P2.T1` |
+| `Issue 10 [P2][OPS] doctor --deep + suite contratos enterprise` | `P9.IMP.P1.T4` + `P9.IMP.P2.T4` |
+
+## Criterios de Cierre de Cada Bug
+
+- Reproducible con comando exacto.
+- Causa raíz documentada.
+- Fix con test de no-regresión en verde.
+- Revalidación en `R_GO` y `ruralgo-fork`.
+- Estado actualizado en esta tabla (`✅`).
+
+## Evidencia de esta ejecución (`P9.BUG.T3`)
+
+- Fix aplicado en:
+  - `core/gate/scopeMatcher.ts`
+  - `core/gate/evaluateRules.ts`
+  - `core/gate/conditionMatches.ts`
+  - `integrations/git/findingTraceability.ts`
+- RED reproducido:
+  - `npx jest --runInBand core/gate/__tests__/conditionMatches.spec.ts core/gate/__tests__/evaluateRules.spec.ts`
+  - fallo esperado: regla iOS también reportada sobre `apps/admin-dashboard/middleware.ts`.
+- GREEN validado:
+  - `npx jest --runInBand --coverage=false core/gate/__tests__/conditionMatches.spec.ts core/gate/__tests__/evaluateRules.spec.ts`
+  - `17 passed, 17 total`.
+- Regresión amplia:
+  - `npm run -s test:stage-gates` -> `PASS`.
+  - `npm run -s typecheck` -> `PASS`.
+- No-regresión adicional de trazabilidad:
+  - `npx --yes tsx@4.21.0 --test integrations/git/__tests__/findingTraceability.test.ts` -> `PASS`.
+  - Test nuevo: `attachFindingTraceability respeta scope glob y no ancla reglas iOS sobre TypeScript`.
+- Validación de campo con menú local:
+  - `R_GO`: `printf '1\\n10\\n' | node .../bin/pumuki-framework.js`
+    - `.ai_evidence.json`: sin findings para `apps/admin-dashboard/middleware.ts`.
+    - `ios.no-force-unwrap` queda anclado en `apps/ios/Application/SessionRefreshingAPIClient.swift:23`.
+  - `ruralgo-fork`: mismo comando y mismo resultado esperado (sin anclaje iOS en `.ts`).
+
+## Evidencia de cierre (`P9.BUG.T4`)
+
+- Estado de bugs confirmados:
+  - `RG-BUG-001` y `RG-BUG-002` cerrados con fix + no-regresión + validación de campo en `R_GO` y `ruralgo-fork`.
+- Criterios de cierre cumplidos para bugs confirmados:
+  - reproducibilidad documentada,
+  - causa raíz documentada,
+  - fix con tests en verde,
+  - revalidación en repos reales.
+- Consolidación final aplicada en este registro:
+  - matriz de bugs actualizada con estado y próximo paso por bug,
+  - issue pack único mapeado 1:1,
+  - roadmap 30/60/90 trazado a tareas `P9.IMP.*`.
+- Transición operativa aplicada:
+  - `P9.BUG.T4 => ✅`
+  - transición histórica: `P9.IMP.P0.T4 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P0.T1`)
+
+- RED (esperado):
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/hookBlock.test.ts integrations/lifecycle/__tests__/install.test.ts`
+  - fallos por contrato antiguo sin `--package` en hooks gestionados.
+- GREEN tras fix:
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/hookBlock.test.ts integrations/lifecycle/__tests__/install.test.ts` -> `17/17 PASS`.
+- No-regresión:
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s test:stage-gates` -> PASS (`925` pass, `0` fail, `4` skipped).
+- Cambios técnicos aplicados:
+  - `integrations/lifecycle/hookBlock.ts`: hooks gestionados ahora usan `npx --yes --package pumuki@latest pumuki-pre-*`.
+  - `integrations/lifecycle/__tests__/hookBlock.test.ts`: aserciones de contrato actualizado.
+  - `integrations/lifecycle/__tests__/install.test.ts`: test E2E nuevo de ejecución real del hook con `npx` stub y captura de argumentos.
+- Transición operativa:
+  - `P9.IMP.P0.T1 => ✅`
+  - transición histórica: `P9.IMP.P0.T4 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P0.T2`)
+
+- RED (repro inicial):
+  - `node bin/pumuki.js --help` -> `RC=1`.
+  - `node bin/pumuki.js sdd --help` -> `RC=1`.
+- GREEN tras fix:
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/cli.test.ts` -> `19/19 PASS`.
+  - Test nuevo: `runLifecycleCli retorna 0 para comandos help explícitos`.
+- Verificación manual de contrato CLI:
+  - `node bin/pumuki.js --help` -> `root_help_rc=0`.
+  - `node bin/pumuki.js sdd --help` -> `sdd_help_rc=0`.
+  - `node bin/pumuki.js --bad` -> `bad_rc=1` (sin regresión de errores reales).
+- No-regresión:
+  - `npm run -s typecheck` -> PASS.
+- Cambios técnicos aplicados:
+  - `integrations/lifecycle/cli.ts`: nuevo flujo de salida tipada para `help` explícito (`RC=0`) sin degradar errores (`RC=1`).
+  - `integrations/lifecycle/__tests__/cli.test.ts`: cobertura adicional para `--help` global y `sdd --help`.
+- Transición operativa:
+  - `P9.IMP.P0.T2 => ✅`
+  - transición histórica: `P9.IMP.P0.T4 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P0.T3`)
+
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/git/__tests__/runCliCommand.test.ts integrations/git/__tests__/stageRunners.test.ts` -> `20/20 PASS`.
+- No-regresión:
+  - `npm run -s typecheck` -> PASS.
+- Cobertura funcional añadida:
+  - `runPreCommitStage imprime resumen mínimo del gate con stage/policy/decision/evidence age`.
+  - `runPreCommitStage no imprime resumen cuando quiet mode está habilitado`.
+  - `runCliCommand activa quiet mode para hooks cuando recibe --quiet y restaura env`.
+- Cambios técnicos aplicados:
+  - `integrations/git/stageRunners.ts`: emisión del resumen mínimo `[pumuki][hook-gate]` en `PRE_COMMIT`/`PRE_PUSH` con `stage`, `policy_bundle`, `policy_hash`, `decision`, `outcome`, `evidence_kind`, `evidence_age_seconds`.
+  - `integrations/git/runCliCommand.ts`: soporte `--quiet` mediante `PUMUKI_HOOK_SUMMARY_QUIET=1` durante la ejecución del hook y restauración del entorno al finalizar.
+  - `integrations/git/__tests__/stageRunners.test.ts`: tests de resumen y supresión por quiet mode.
+  - `integrations/git/__tests__/runCliCommand.test.ts`: test de activación/restauración de quiet mode.
+- Transición operativa:
+  - `P9.IMP.P0.T3 => ✅`
+  - transición histórica: `P9.IMP.P0.T4 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P0.T4`)
+
+- RED (repro inicial):
+  - `pumuki sdd validate --stage=PRE_COMMIT --json` podía quedar `allowed=true` con `validation.totals.items=0`.
+- GREEN tras fix:
+  - `npx --yes tsx@4.21.0 --test integrations/sdd/__tests__/policy.test.ts` -> `13/13 PASS`.
+  - Test nuevo: `evaluateSddPolicy bloquea con SDD_VALIDATION_EMPTY cuando OpenSpec devuelve ok pero items=0`.
+- No-regresión:
+  - `npm run -s typecheck` -> PASS.
+- Cambios técnicos aplicados:
+  - `integrations/sdd/types.ts`: nuevo código de decisión `SDD_VALIDATION_EMPTY`.
+  - `integrations/sdd/policy.ts`: bloqueo fail-closed cuando `validation.ok=true` y `validation.totals.items<=0`.
+  - `integrations/lifecycle/cli.ts`: `resolveSddDecisionLocation` reconoce `SDD_VALIDATION_EMPTY`.
+  - `integrations/sdd/__tests__/policy.test.ts`: cobertura de no-regresión para `items=0`.
+- Transición operativa:
+  - `P9.IMP.P0.T4 => ✅`
+  - transición histórica: `P9.IMP.P0.T5 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P0.T5`)
+
+- RED (repro inicial):
+  - el pre-flight exponía `kind/age/max`, pero no publicaba fuente/ruta/huella/timestamp de evidencia.
+- GREEN tras fix:
+  - `npx --yes tsx@4.21.0 --test integrations/gate/__tests__/evaluateAiGate.test.ts integrations/lifecycle/__tests__/cli.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `32/32 PASS`.
+- No-regresión:
+  - `npm run -s typecheck` -> PASS.
+- Cambios técnicos aplicados:
+  - `integrations/gate/evaluateAiGate.ts`: añadido contrato de evidencia con `source`, `path`, `digest`, `generated_at` y cálculo de digest `sha256` sobre `.ai_evidence.json` cuando existe.
+  - `integrations/lifecycle/cli.ts`: panel `PRE-FLIGHT CHECK` ahora imprime `Evidence source` y `Evidence digest/generated_at`.
+  - `scripts/framework-menu-consumer-preflight-lib.ts`: panel de menú consumidor actualizado con las nuevas líneas de trazabilidad.
+  - `integrations/gate/__tests__/evaluateAiGate.test.ts`: aserciones nuevas para metadata de evidencia en casos `missing` y `valid`.
+  - `integrations/lifecycle/__tests__/cli.test.ts`: cobertura de render para `Evidence source` y `Evidence digest/generated_at`.
+  - `scripts/__tests__/framework-menu-consumer-preflight.test.ts`: contratos de stubs y render adaptados a la nueva metadata.
+- Transición operativa:
+  - `P9.IMP.P0.T5 => ✅`
+  - transición histórica: `P9.IMP.P1.T1 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T1`)
+
+- Implementación aplicada:
+  - motor de cumplimiento skills por ámbito/archivo en `integrations/config/skillsCompliance.ts` con salida explícita `required_rule_ids -> applied_rule_ids -> evidence_rule_ids` y `missing_rule_ids`.
+  - integración en evaluación de gate (`integrations/git/runPlatformGateEvaluation.ts`) para calcular `coverage.skillsCompliance` desde archivos observados + reglas skills activas.
+  - bloqueo hard en `PRE_COMMIT/PRE_PUSH/CI` cuando `skills_compliance.missing_rule_ids` no está vacío (`governance.skills.compliance.incomplete`, `SKILLS_COMPLIANCE_INCOMPLETE_HIGH`) en `integrations/git/runPlatformGate.ts`.
+  - persistencia en evidencia: `snapshot.rules_coverage.skills_compliance` en `integrations/evidence/schema.ts` + normalización en `integrations/evidence/rulesCoverage.ts`.
+- Cobertura de tests añadida/actualizada:
+  - nuevo: `integrations/config/__tests__/skillsCompliance.test.ts`.
+  - nuevo caso integración: `integrations/git/__tests__/runPlatformGateEvaluation.test.ts` (compliance por archivo).
+  - nuevo caso bloqueo: `integrations/git/__tests__/runPlatformGate.test.ts` (gate bloquea por `missing_rule_ids`).
+  - normalización evidencia: `integrations/evidence/__tests__/rulesCoverage.test.ts`.
+  - persistencia evidencia: `integrations/evidence/__tests__/buildEvidence.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/config/__tests__/skillsCompliance.test.ts integrations/git/__tests__/runPlatformGateEvaluation.test.ts integrations/git/__tests__/runPlatformGate.test.ts integrations/evidence/__tests__/rulesCoverage.test.ts integrations/evidence/__tests__/buildEvidence.test.ts` -> `56/56 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS (`in_progress_count=1` en tracking activos).
+- Transición operativa:
+  - `P9.IMP.P1.T1 => ✅`
+  - transición histórica: `P9.IMP.P1.T2 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T2`)
+
+- Implementación aplicada:
+  - nuevo gate de completitud SDD por cambio activo en `integrations/sdd/policy.ts` con evaluación por perfil:
+    - `spec-driven`: requiere `.openspec.yaml` + al menos un `.feature` con `Feature:` y `Scenario:`.
+    - `markdown`: requiere `proposal.md` y evidencia mínima de especificación (`Scenario` o checklist de tareas).
+  - enforcement por etapa: bloqueo en `PRE_PUSH`/`CI` cuando el cambio activo no está completo (`SDD_CHANGE_INCOMPLETE`).
+  - codepath de ubicación en CLI actualizado para el nuevo código en `integrations/lifecycle/cli.ts`.
+  - contrato tipado actualizado con el nuevo código en `integrations/sdd/types.ts`.
+- Cobertura de tests añadida/actualizada:
+  - `integrations/sdd/__tests__/policy.test.ts`:
+    - bloquea `SDD_CHANGE_INCOMPLETE` en `PRE_PUSH` para cambio incompleto.
+    - permite `PRE_PUSH` para cambio completo en perfil `spec-driven`.
+    - `CI` en verde ajustado para cambio completo.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/sdd/__tests__/policy.test.ts integrations/sdd/__tests__/types.test.ts integrations/lifecycle/__tests__/cli.test.ts` -> `36/36 PASS`.
+  - `npm run -s typecheck` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P1.T2 => ✅`
+  - transición histórica: `P9.IMP.P1.T3 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T3`)
+
+- Implementación aplicada:
+  - comando oficial `pumuki sdd sync-docs` integrado en `integrations/lifecycle/cli.ts` con soporte `--dry-run` y `--json`.
+  - nuevo módulo `integrations/sdd/syncDocs.ts` con:
+    - resolución de sesión/cambio activo,
+    - generación de documento sincronizado en `openspec/changes/<change-id>/pumuki-sdd-status.md`,
+    - cálculo de diff preview,
+    - comportamiento idempotente cuando no hay cambios.
+  - exports públicos actualizados en `integrations/sdd/index.ts`.
+- Cobertura de tests añadida/actualizada:
+  - nuevo test unitario: `integrations/sdd/__tests__/syncDocs.test.ts`.
+  - `integrations/lifecycle/__tests__/cli.test.ts` ampliado para parse + ejecución `sync-docs --dry-run --json`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/sdd/__tests__/syncDocs.test.ts integrations/lifecycle/__tests__/cli.test.ts integrations/sdd/__tests__/policy.test.ts integrations/sdd/__tests__/types.test.ts` -> `39/39 PASS`.
+  - `npm run -s typecheck` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P1.T3 => ✅`
+  - transición histórica: `P9.IMP.P1.T4 => ✅`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T4`)
+
+- Implementación aplicada:
+  - `runLifecycleDoctor` soporta modo profundo (`deep`) con reporte estructurado de checks enterprise en `integrations/lifecycle/doctor.ts`.
+  - checks incorporados en `doctor --deep`:
+    - `hooks`: presencia de bloque gestionado + ejecutable real del hook.
+    - `upstream`: rama actual, upstream y drift `ahead/behind`.
+    - `adapters`: detección/validez JSON y señal de bindings Pumuki.
+    - `policy_drift`: trazas de policy por stage y validación de `skills.policy.json`.
+    - `evidence_drift`: frescura/validez de `.ai_evidence.json` para baseline PRE_COMMIT.
+  - integración CLI en `integrations/lifecycle/cli.ts`:
+    - `pumuki doctor [--deep] [--json]` documentado en help.
+    - parse de `--deep` restringido al comando `doctor`.
+    - salida JSON soportada para `doctor`.
+  - suite de tests ampliada:
+    - `integrations/lifecycle/__tests__/doctor.test.ts` con cobertura de `--deep` (warnings + bloqueo por drift crítico en adapter inválido).
+    - `integrations/lifecycle/__tests__/cli.test.ts` con parse de `doctor --deep --json` y ejecución JSON con checks esperados.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/doctor.test.ts integrations/lifecycle/__tests__/cli.test.ts` -> `29/29 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P1.T4 => ✅`
+  - siguiente en curso: `P9.IMP.P1.T5`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T5`)
+
+- RED (TDD inicial):
+  - `npx --yes tsx@4.21.0 --test integrations/sdd/__tests__/sessionStore.test.ts integrations/lifecycle/__tests__/cli.test.ts` -> `2` fallos esperados:
+    - sesión SDD mantenía `changeId` en casing de entrada.
+    - `sdd session --open --json` no exponía `changeAlias` con canonicalización.
+- Implementación aplicada:
+  - `integrations/sdd/types.ts`: nuevo campo `changeAlias` en `SddSessionState`.
+  - `integrations/sdd/sessionStore.ts`:
+    - resolución case-insensitive de `changeId` contra `openspec/changes` y `openspec/changes/archive`,
+    - persistencia de `changeId` canónico en git config,
+    - persistencia opcional de `changeAlias` cuando la entrada difiere del canónico,
+    - lectura de sesión compatible con estado legacy (normaliza en runtime si detecta casing previo),
+    - limpieza de `changeAlias` al cerrar sesión.
+  - `integrations/lifecycle/cli.ts`:
+    - render unificado de descriptor de cambio SDD (`change=<canonical> alias=<input>` cuando aplica),
+    - salida actualizada en `sdd status`, `sdd session --open` y `sdd session --refresh`.
+  - tests nuevos:
+    - `integrations/sdd/__tests__/sessionStore.test.ts`: `openSddSession canonicaliza changeId y conserva alias cuando se abre con casing distinto`.
+    - `integrations/lifecycle/__tests__/cli.test.ts`: `runLifecycleCli sdd session --open expone change canonical y alias resuelto en json`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/sdd/__tests__/sessionStore.test.ts integrations/lifecycle/__tests__/cli.test.ts` -> `29/29 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P1.T5 => ✅`
+  - siguiente en curso: `P9.IMP.P1.T6`.
+
+## Evidencia de ejecución (`P9.IMP.P1.T6`)
+
+- Implementación aplicada:
+  - `integrations/gate/stagePolicies.ts`:
+    - policy trace extendido con metadatos de policy-as-code firmada/versionada (`version`, `signature`) para fuentes `default`, `skills.policy` y `hard-mode`.
+    - firma determinista `sha256` construida sobre `version/source/bundle/hash/sourcePolicyHash` para trazabilidad reproducible.
+  - `integrations/git/stageRunners.ts`:
+    - resumen de hooks enriquecido con `policy_version` y `policy_signature` además de `policy_bundle/policy_hash`.
+  - `integrations/lifecycle/cli.ts`:
+    - panel `PRE-FLIGHT CHECK` ahora muestra política activa con `source/bundle/hash` y su bloque de firma/versionado.
+  - `scripts/framework-menu-consumer-preflight-lib.ts`:
+    - panel de preflight en menú consumidor alineado con la nueva trazabilidad de policy-as-code.
+  - `integrations/lifecycle/doctor.ts`:
+    - check `policy_drift` endurecido para validar `trace.signature` y `trace.version` por stage.
+  - `integrations/gate/evaluateAiGate.ts`:
+    - contrato de salida enlazado al tipo de `policy.trace` del resolver de políticas.
+- Cobertura de tests:
+  - `integrations/gate/__tests__/stagePolicies.test.ts`.
+  - `integrations/gate/__tests__/stagePolicies-config-and-severity.test.ts`.
+  - `integrations/git/__tests__/stageRunners.test.ts`.
+  - `integrations/lifecycle/__tests__/cli.test.ts`.
+  - `scripts/__tests__/framework-menu-consumer-preflight.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/gate/__tests__/stagePolicies.test.ts integrations/gate/__tests__/stagePolicies-config-and-severity.test.ts integrations/git/__tests__/stageRunners.test.ts integrations/lifecycle/__tests__/cli.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `57/57 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P1.T6 => ✅`
+  - siguiente en curso: `P9.IMP.P2.T1`.
+
+## Evidencia de ejecución (`P9.IMP.P2.T1`)
+
+- Implementación aplicada:
+  - `integrations/evidence/integrity.ts`:
+    - módulo nuevo para integridad criptográfica de evidencia con:
+      - canonicalización determinista (`json-stable-v1`),
+      - `payload_hash` (`sha256`),
+      - `chain_hash` enlazado con `previous_chain_hash`,
+      - firma opcional `HMAC-SHA256` (`PUMUKI_EVIDENCE_SIGNING_KEY` / `PUMUKI_EVIDENCE_SIGNING_KEY_ID`),
+      - verificación estructural y criptográfica con códigos de error explícitos (`EVIDENCE_INTEGRITY_*`).
+  - `integrations/evidence/schema.ts`:
+    - nuevo bloque `integrity` en contrato `AiEvidenceV2_1`.
+  - `integrations/evidence/writeEvidence.ts`:
+    - escritura automática de `integrity`,
+    - encadenado con evidencia previa válida (`previous_chain_hash`),
+    - firma opcional por entorno.
+  - `integrations/gate/evaluateAiGate.ts`:
+    - verificación de integridad integrada en evaluación de gate,
+    - bloqueo fail-closed ante integridad ausente/inválida,
+    - salida enriquecida con resumen `evidence.integrity`.
+  - `integrations/lifecycle/doctor.ts`:
+    - `doctor --deep` ahora marca `error` en `evidence_drift` si falla integridad.
+  - `integrations/lifecycle/cli.ts` y `scripts/framework-menu-consumer-preflight-lib.ts`:
+    - paneles de pre-flight muestran estado de integridad (`status`, `chain_hash`, `prev`, firma).
+  - `integrations/git/stageRunners.ts`:
+    - resumen de hooks incluye `evidence_integrity` y `evidence_chain_hash`.
+- Cobertura de tests:
+  - nuevo: `integrations/evidence/__tests__/integrity.test.ts`.
+  - actualizado: `integrations/evidence/writeEvidence.test.ts`.
+  - actualizado: `integrations/gate/__tests__/evaluateAiGate.test.ts`.
+  - actualizado: `integrations/lifecycle/__tests__/doctor.test.ts`.
+  - actualizado: `integrations/lifecycle/__tests__/cli.test.ts`.
+  - actualizado: `integrations/git/__tests__/stageRunners.test.ts`.
+  - actualizado: `scripts/__tests__/framework-menu-consumer-preflight.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/evidence/__tests__/integrity.test.ts integrations/evidence/writeEvidence.test.ts integrations/gate/__tests__/evaluateAiGate.test.ts integrations/lifecycle/__tests__/doctor.test.ts integrations/lifecycle/__tests__/cli.test.ts integrations/git/__tests__/stageRunners.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `75/75 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P2.T1 => ✅`
+  - siguiente en curso: `P9.IMP.P2.T3`.
+
+## Evidencia de ejecución (`P9.IMP.P2.T2`)
+
+- Implementación aplicada:
+  - `integrations/gate/waivers.ts`:
+    - módulo nuevo de waivers formales para `ai_gate` con contrato `version=1`.
+    - schema validado con `zod`: `id`, `code`, `owner`, `reason`, `created_at`, `expires_at`, `stage?`, `branch?`.
+    - matching por `code` exacto o wildcard (`*`), con filtros por `stage` y `branch`.
+    - enforcement de expiración (`ttl_seconds`) y salida normalizada de waivers aplicados.
+  - `integrations/gate/evaluateAiGate.ts`:
+    - integración de waivers sobre violaciones base (`evidence + gitflow + mcp`).
+    - bloqueo fail-closed cuando el archivo de waivers es inválido con `WAIVER_POLICY_INVALID`.
+    - contrato de salida enriquecido con bloque `waivers` (`path/status/invalid_reason/applied`).
+  - `integrations/mcp/aiGateCheck.ts`:
+    - `result` del check enterprise ahora propaga también `waivers`.
+  - `integrations/lifecycle/cli.ts` y `scripts/framework-menu-consumer-preflight-lib.ts`:
+    - paneles de preflight muestran estado de waivers (`status/applied/path`).
+    - hint operativo añadido para `WAIVER_POLICY_INVALID`.
+  - `scripts/__tests__/framework-menu-consumer-preflight.test.ts`:
+    - contratos de test actualizados para el nuevo bloque `waivers`.
+- Cobertura de tests:
+  - actualizado: `integrations/gate/__tests__/evaluateAiGate.test.ts`.
+  - actualizado: `scripts/__tests__/framework-menu-consumer-preflight.test.ts`.
+  - actualizado: `integrations/lifecycle/__tests__/cli.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/gate/__tests__/evaluateAiGate.test.ts integrations/lifecycle/__tests__/cli.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `39/39 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P2.T2 => ✅`
+  - siguiente en curso: `P9.IMP.P2.T3`.
+
+## Evidencia de ejecución (`P9.IMP.P2.T3`)
+
+- Implementación aplicada:
+  - `integrations/telemetry/structuredTelemetry.ts`:
+    - exportador estructurado en `JSONL` con contrato estable `schema_version=1`.
+    - salida compatible OTel (`JSONL`) opcional, activable por entorno.
+    - rutas configurables por entorno:
+      - `PUMUKI_TELEMETRY_JSONL_PATH`
+      - `PUMUKI_TELEMETRY_OTEL_JSONL_PATH`
+    - toggles operativos:
+      - `PUMUKI_TELEMETRY_EXPORT`
+      - `PUMUKI_TELEMETRY_EXPORT_OTEL`
+  - `integrations/gate/evaluateAiGate.ts`:
+    - emisión de evento `ai_gate.evaluated` en cada evaluación (status/decision/policy/evidence/métricas/mcp/waivers).
+  - `integrations/git/stageRunners.ts`:
+    - emisión de evento `hook_gate.evaluated` para `PRE_COMMIT`, `PRE_PUSH` y `CI`.
+    - telemetría activa incluso con `PUMUKI_HOOK_SUMMARY_QUIET` para no perder trazabilidad.
+  - `package.json`:
+    - inclusión de `integrations/telemetry/*.ts` en `files` para distribución del paquete.
+- Cobertura de tests:
+  - nuevo: `integrations/telemetry/__tests__/structuredTelemetry.test.ts`.
+  - actualizado: `integrations/gate/__tests__/evaluateAiGate.test.ts`.
+  - actualizado: `integrations/git/__tests__/stageRunners.test.ts`.
+  - regresión cruzada: `integrations/lifecycle/__tests__/cli.test.ts`.
+  - regresión cruzada: `scripts/__tests__/framework-menu-consumer-preflight.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/telemetry/__tests__/structuredTelemetry.test.ts integrations/gate/__tests__/evaluateAiGate.test.ts integrations/git/__tests__/stageRunners.test.ts integrations/lifecycle/__tests__/cli.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `60/60 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P2.T3 => ✅`
+  - siguiente en curso: `P9.IMP.P2.T4`.
+
+## Evidencia de ejecución (`P9.IMP.P2.T4`)
+
+- Implementación aplicada:
+  - `integrations/lifecycle/__tests__/enterpriseFixtureContracts.test.ts` (nuevo):
+    - suite contractual multi-fixture para validar comportamiento enterprise sobre repos reales temporales.
+    - cobertura de contratos:
+      - fixture limpio: `install + PRE_COMMIT` con emisión de telemetría `hook_gate`.
+      - fixture con `engines` estrictos incompatibles: `install` en modo standalone (`ENGINE_MISMATCH`) sin `npm install`.
+      - fixture inseguro (`node_modules` trackeado): bloqueo hard de `install` por baseline safety.
+      - fixture con waiver inválido: bloqueo `PRE_WRITE` con `WAIVER_POLICY_INVALID` y telemetría `ai_gate`.
+- Cobertura de tests:
+  - nuevo: `integrations/lifecycle/__tests__/enterpriseFixtureContracts.test.ts`.
+  - regresión cruzada: `integrations/telemetry/__tests__/structuredTelemetry.test.ts`.
+  - regresión cruzada: `integrations/gate/__tests__/evaluateAiGate.test.ts`.
+  - regresión cruzada: `integrations/git/__tests__/stageRunners.test.ts`.
+  - regresión cruzada: `integrations/lifecycle/__tests__/cli.test.ts`.
+  - regresión cruzada: `scripts/__tests__/framework-menu-consumer-preflight.test.ts`.
+- GREEN:
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/enterpriseFixtureContracts.test.ts` -> `4/4 PASS`.
+  - `npx --yes tsx@4.21.0 --test integrations/lifecycle/__tests__/enterpriseFixtureContracts.test.ts integrations/telemetry/__tests__/structuredTelemetry.test.ts integrations/gate/__tests__/evaluateAiGate.test.ts integrations/git/__tests__/stageRunners.test.ts integrations/lifecycle/__tests__/cli.test.ts scripts/__tests__/framework-menu-consumer-preflight.test.ts` -> `64/64 PASS`.
+  - `npm run -s typecheck` -> PASS.
+  - `npm run -s validation:tracking-single-active` -> PASS.
+- Transición operativa:
+  - `P9.IMP.P2.T4 => ✅`
+  - siguiente en curso: `P9.F0.T3` (siguiente subtarea objetivo: `P9.F0.T3.ST2`) en `p9-ruralgo-fork-validation-tracking.md`.