sdd-es 2.0.0 → 2.6.0

package/claude-hooks/pre-tool-guard.js

@@ -14,6 +14,8 @@
  */
 
 import { createInterface } from "node:readline";
+import { existsSync, mkdirSync, appendFileSync } from "node:fs";
+import { join } from "node:path";
 
 const rl = createInterface({ input: process.stdin, terminal: false });
 let raw = "";
@@ -116,14 +118,36 @@ function main(raw) {
   const cmd = String(toolInput?.command ?? "").trim();
   if (!cmd) process.exit(0);
 
+  // ── 0. NUEVO: Verificar permisos por agente ─────────────────────────────
+  const agentName = process.env.CLAUDE_AGENT_NAME;
+  if (agentName) {
+    // Agentes read-only que NO pueden usar Write/Edit
+    const readOnlyAgents = [
+      'arquitecto', 'asesor-datos', 'critico', 'seguridad',
+      'investigador', 'revisor', 'disenador-api'
+    ];
+
+    // Si es agente read-only e intenta usar Write/Edit, bloquea
+    if (readOnlyAgents.includes(agentName) &&
+        (toolName === 'Write' || toolName === 'Edit')) {
+      process.stderr.write(
+        `FORGE detuvo esta acción: el agente "${agentName}" solo puede leer, no modificar archivos.\n` +
+        `Si necesitas que este agente escriba código, cambia su rol en la configuración.\n`
+      );
+      process.exit(2);
+    }
+
+    // Auditoría de intentos de tool por agente (log a .sdd/observabilidad/)
+    logAgentToolAttempt(agentName, toolName, cmd);
+  }
+
   // ── 1. Verificar prohibidos ─────────────────────────────────────────────
   for (const re of PROHIBIDOS) {
     if (re.test(cmd)) {
       process.stderr.write(
-        `🚫 BLOQUEADO por guardia de seguridad SDD-ES\n` +
-        `   Comando: ${cmd.slice(0, 120)}\n` +
-        `   Razón: coincide con patrón prohibido (${re.source.slice(0, 60)})\n` +
-        `   Esta operación nunca debe ejecutarse automáticamente.\n`
+        `FORGE evitó esta acción porque podría borrar o dañar archivos importantes de forma irreversible.\n` +
+        `Si estás completamente seguro de lo que haces, ejecuta el comando manualmente en tu terminal.\n` +
+        `Comando bloqueado: ${cmd.slice(0, 120)}\n`
       );
       process.exit(2);
     }
@@ -133,9 +157,9 @@ function main(raw) {
   for (const re of SECRET_PATTERNS) {
     if (re.test(cmd)) {
       process.stderr.write(
-        `🚫 BLOQUEADO — secret hardcodeado detectado en el comando\n` +
-        `   Patrón: ${re.source.slice(0, 60)}\n` +
-        `   Usa variables de entorno o un secret manager.\n`
+        `FORGE detectó que este comando incluye una contraseña o clave secreta escrita directamente.\n` +
+        `Para proteger tu seguridad, usa variables de entorno en lugar de escribir credenciales en el código.\n` +
+        `Ejemplo: usa process.env.MI_CLAVE en vez de escribir el valor directamente.\n`
       );
       process.exit(2);
     }
@@ -146,8 +170,8 @@ function main(raw) {
     if (re.test(cmd)) {
       // Escribir a stderr — Claude Code lo muestra como contexto antes de pedir permiso
       process.stderr.write(
-        `⚠️  Operación sensible detectada: ${msg}\n` +
-        `   Comando: ${cmd.slice(0, 120)}\n`
+        `Atención: esto va a realizar una acción que no se puede deshacer fácilmente (${msg}).\n` +
+        `Revisa el comando antes de confirmar: ${cmd.slice(0, 120)}\n`
       );
       // Exit 0 — dejamos que el flujo normal de permisos de Claude Code actúe
       process.exit(0);
@@ -157,3 +181,31 @@ function main(raw) {
   // Todo bien
   process.exit(0);
 }
+
+/**
+ * Registra intentos de tool por agente para auditoría
+ */
+function logAgentToolAttempt(agentName, toolName, cmd) {
+  try {
+    // Intenta grabar en .sdd/observabilidad/ en formato JSONL (append-only)
+    const auditDir = '.sdd/observabilidad';
+    const auditFile = join(auditDir, 'agent-tool-audit.jsonl');
+
+    // Crea dir si no existe
+    if (!existsSync(auditDir)) {
+      mkdirSync(auditDir, { recursive: true });
+    }
+
+    const record = {
+      timestamp: new Date().toISOString(),
+      agent: agentName,
+      tool: toolName,
+      cmd_preview: cmd.slice(0, 120),
+      pid: process.pid
+    };
+
+    appendFileSync(auditFile, JSON.stringify(record) + '\n', 'utf8');
+  } catch {
+    // Silenciosamente ignorar fallos de auditoría (no bloquear ejecución)
+  }
+}

package/cli/index.js

@@ -26,7 +26,6 @@ import { join, dirname } from "node:path";
 import { fileURLToPath } from "node:url";
 import { homedir } from "node:os";
 import { execSync } from "node:child_process";
-
 // ─── Paths ────────────────────────────────────────────────────────────────────
 
 const __dirname = dirname(fileURLToPath(import.meta.url));
@@ -355,7 +354,7 @@ function cmdDoctor() {
 
 function uso() {
   console.log(`
-SDD-ES — CLI de instalación (v${pluginVersion()})
+SDD-ES — CLI (v${pluginVersion()})
 
 Uso:
   npx sdd-es init [--global]   Instala el plugin (proyecto o global)

package/commands/sdd.adr.md

@@ -0,0 +1,196 @@
+---
+description: Indexar, listar y gestionar decisiones arquitectónicas (ADRs)
+allowed-tools: Read, Write, Bash
+---
+
+# /sdd.adr
+
+Gestiona Architecture Decision Records (ADRs) — registro de decisiones arquitectónicas.
+
+## Modos
+
+### `/sdd.adr list`
+
+Lista todas las decisiones registradas.
+
+```
+ID | DECISION                  | CONTEXT            | STATUS
+───┼───────────────────────────┼────────────────────┼──────────
+1  | Use PostgreSQL            | ACID needed        | accepted
+2  | Cache with Redis          | Performance        | accepted
+3  | JWT for auth              | Stateless API      | accepted
+4  | Validate user input       | Security           | accepted
+5  | HTTPS only                | Compliance         | accepted
+```
+
+**Opciones:**
+```
+/sdd.adr list --status=accepted      # Solo aceptadas
+/sdd.adr list --status=rejected       # Solo rechazadas
+/sdd.adr list --status=deprecated     # Obsoletas
+```
+
+---
+
+### `/sdd.adr new`
+
+Captura una nueva decisión de forma interactiva.
+
+```
+Pregunta 1: ¿Cuál es la decisión?
+> Use DynamoDB para analytics
+
+Pregunta 2: ¿Por qué? (contexto)
+> Scale infinitamente, baja latencia de queries
+
+Pregunta 3: ¿Qué alternativas consideraste?
+> PostgreSQL partitioning, BigQuery, Redshift
+
+Pregunta 4: ¿Status? (accepted/rejected/deprecated/superseded)
+> accepted
+
+✅ ADR guardado en .sdd/arquitectura/ADRs.jsonl
+```
+
+---
+
+### `/sdd.adr search "patrón"`
+
+Busca ADRs por palabra clave.
+
+```
+/sdd.adr search "database"
+
+RESULTADO:
+ID | DECISION              | CONTEXT
+───┼───────────────────────┼────────────────
+1  | Use PostgreSQL        | ACID needed
+2  | Use Redis cache       | Performance
+
+/sdd.adr search "security"
+
+RESULTADO:
+ID | DECISION                  | CONTEXT
+───┼───────────────────────────┼──────────────────
+3  | Validate user input       | Prevent injection
+4  | HTTPS only                | Compliance
+```
+
+---
+
+### `/sdd.adr edit [ID]`
+
+Editar una decisión existente.
+
+```
+/sdd.adr edit 1
+
+ADR #1: Use PostgreSQL
+Context: ACID needed
+Alternatives: MongoDB, Firebase
+Status: accepted
+
+¿Modificar? (y/n) > y
+Nuevo status: deprecated
+
+✅ ADR #1 actualizado
+```
+
+---
+
+## Ficheros
+
+**Ledger:** `.sdd/arquitectura/ADRs.jsonl` (append-only)
+
+Cada línea es un ADR en JSON:
+```json
+{
+  "ts": "2026-06-14T10:30:00Z",
+  "decision": "Use PostgreSQL",
+  "context": "ACID transactions required",
+  "alternatives": ["MongoDB", "Firebase"],
+  "status": "accepted",
+  "archivo": "src/database.ts",
+  "linea": 42,
+  "agente": "arquitecto"
+}
+```
+
+---
+
+## Uso en Auditoría
+
+**Para auditor externo:**
+
+```bash
+/sdd.adr list --status=accepted
+→ Todas las decisiones aceptadas documentadas
+
+/sdd.adr search "security"
+→ Todas las decisiones de seguridad con contexto
+
+/sdd.adr search "compliance"
+→ Todas las decisiones de compliance (GDPR, PCI-DSS, etc.)
+```
+
+**Resultado:** Auditor confía porque ve trazabilidad completa.
+
+---
+
+## Batch Scan
+
+Para proyectos existentes, scan automático:
+
+```bash
+node utils/adr-parser.js . src/**/*.ts --update-ledger
+→ Encuentra todos los ADRs en codebase
+→ Añade al ledger si no existen
+```
+
+---
+
+## Ejemplo Real
+
+### Código con ADR Incrustado
+
+```typescript
+// ADR: {"decision": "Use TypeScript", "context": "Type safety, IDE support", "status": "accepted"}
+import * as express from "express";
+
+// ADR: {"decision": "Use dependency injection", "context": "Testability", "status": "accepted"}
+class Database {
+  constructor(private config: Config) {}
+}
+
+// ADR: {"decision": "Validate all inputs with Zod", "context": "Security", "status": "accepted"}
+const userSchema = z.object({
+  email: z.string().email(),
+  password: z.string().min(8)
+});
+```
+
+### Ejecutar Scan
+
+```bash
+/sdd.adr new  (o node utils/adr-parser.js . src/**/*.ts)
+↓
+✅ 3 ADRs encontrados y registrados
+```
+
+### Verificar
+
+```bash
+/sdd.adr list
+→ Ver todas las decisiones documentadas
+```
+
+---
+
+## Notas
+
+- **Automático:** Hook captura ADRs al escribir código
+- **Manual:** `/sdd.adr new` para decisiones no en código
+- **Buscable:** `/sdd.adr search` por palabra clave
+- **Auditables:** Cada ADR tiene timestamp, autor, contexto
+- **Seguro:** JSON validado, error silencioso si inválido
+

package/commands/sdd.analizar.md

@@ -28,9 +28,20 @@ cat .sdd/dominio/glosario.md 2>/dev/null
 ls .sdd/arquitectura/ 2>/dev/null
 ```
 
-## PASO 1.5 — Despacho PTC de dimensiones
+## PASO 1.5 — Model routing para dimensiones
 
-Las 7 dimensiones de auditoría son **independientes entre sí** — cada una lee los mismos artefactos sin modificarlos. Esto las hace candidatas ideales para PTC (skill `orquestacion-ptc`).
+Aplica el mismo routing de modelos que `/sdd.implementar` al despachar las dimensiones de análisis:
+
+```
+Grupo OPUS → análisis de constitución, seguridad y arquitectura (D1, D5, D7)
+Grupo SONNET → análisis de spec, plan, tareas y glosario (D2, D3, D4, D6)
+```
+
+Cuando PTC está disponible, el routing se aplica a cada subagente en el bloque paralelo.
+
+## PASO 1.6 — Despacho PTC de dimensiones
+
+Las 7 dimensiones de auditoría son **independientes entre sí** — cada una lee los mismos artefactos sin modificarlos. Esto las hace candidatas ideales para PTC (skill `orquestacion-ptc`). El modelo de cada subagente sigue el routing del PASO 1.5.
 
 **Si hay ≥3 agentes disponibles para ejecutar el análisis en paralelo:**
 
@@ -237,5 +248,15 @@ Empieza con:
    /sdd.[comando del primer bloqueante]
 ```
 
+## Output styles
+
+Si el argumento contiene `pm`, `arq` o `dev`, adapta el reporte del PASO 3:
+
+**Modo `pm`:** Solo veredicto, número de bloqueantes y recomendación de acción. Sin dimensiones técnicas ni matrices.
+
+**Modo `arq`:** Enfatiza las dimensiones 1 (Constitución↔Plan) y 5 (Tareas internas). Incluye la matriz de cobertura CAs→Tareas y el grafo de dependencias.
+
+**Modo `dev`:** El reporte completo del PASO 3 con todas las dimensiones, matrices y distribución de agentes (comportamiento actual).
+
 ---
 **HOOK:** `.sdd/hooks/despues_analizar.sh`

package/commands/sdd.ayuda.md

@@ -61,12 +61,23 @@ Muestra esta guía formateada:
    /sdd.release --preview            Ver qué entraría sin modificar nada
 
 🏭 FÁBRICA (idea → producto instalable)
+   /sdd.interpretar [idea]           Interpretar idea en bruto y generar IR (Interpreted Requirement)
+   /sdd.diseñar                      Elegir dirección visual y generar ProductDesign
+   /sdd.construir                    Pipeline completo automático: diseño + código + deploy
+   /sdd.exportar                     Empaquetar el proyecto actual como bundle descargable
    /sdd.crear-app [idea]             Generar app web o CLI desde una descripción en lenguaje natural
    /sdd.crear-mcp [descripción]      Generar servidor MCP empaquetado (.mcpb) desde una descripción
 
+🏛️  CALIDAD Y COMPLIANCE
+   /sdd.compliance                   Reporte de cumplimiento regulatorio (GDPR, SOC2, ISO 27001, HIPAA)
+   /sdd.adr                          Registrar decisión de arquitectura (Architecture Decision Record)
+   /sdd.defect-report                Reporte de defectos y tasa de bugs del proyecto
+
 ⚙️  UTILIDADES
    /sdd.mapear                       Indexar estructura, símbolos y dependencias del proyecto
    /sdd.comprimir                    Comprimir archivos de memoria para ahorrar tokens
+   /sdd.optimizar                    Optimizar artefactos SDD para reducir uso de contexto
+   /sdd.optimizar-memoria            Compactar la memoria del agente activo
 
 ═══════════════════════════════════════════════════════════════════════
   🔄 FLUJOS RECOMENDADOS
@@ -110,6 +121,8 @@ FLUJO CALIDAD MÁXIMA (features grandes, producto enterprise)
 
 DISEÑO Y ARQUITECTURA
    arquitecto             Decisiones técnicas, diseño de alto nivel
+   product-designer       Diseño de producto: pantallas, user flow, MVP
+   architecture-designer  Stack técnico: frontend, backend, BD, deploy
    disenador-api          Contratos: OpenAPI, GraphQL, gRPC, eventos
    asesor-datos           Esquemas, queries, índices, migraciones