sdd-es 2.0.0

package/configuracion-ejemplo/hooks-ejemplo/guardia-seguridad.sh

@@ -0,0 +1,367 @@
+#!/bin/bash
+# ============================================================
+# guardia-seguridad.sh — Hook de seguridad SDD-ES
+# ============================================================
+# Bloquea operaciones destructivas, protege .env y archivos
+# sensibles, y requiere confirmación explícita antes de
+# cualquier acción irreversible.
+#
+# USO: cópialo a .sdd/hooks/ y hazlo ejecutable:
+#   cp guardia-seguridad.sh .sdd/hooks/
+#   chmod +x .sdd/hooks/guardia-seguridad.sh
+#
+# Se invoca desde los hooks antes_implementar.sh o como
+# wrapper de cualquier comando que el agente proponga ejecutar.
+#
+# Variables de entorno esperadas (opcionales):
+#   SDD_COMANDO    — el comando que está a punto de ejecutarse
+#   SDD_ARCHIVOS   — archivos que el agente quiere tocar
+#   SDD_TAREA_ID   — ID de la tarea actual (para el log)
+# ============================================================
+
+set -euo pipefail
+
+# ── Colores ─────────────────────────────────────────────────
+RED='\033[0;31m'
+YELLOW='\033[1;33m'
+GREEN='\033[0;32m'
+BOLD='\033[1m'
+NC='\033[0m'
+
+# ── Rutas ───────────────────────────────────────────────────
+CONFIG=".sdd/sdd.config.yaml"
+LOG=".sdd/guardia.log"
+
+log() {
+  local NIVEL="$1"
+  local MSG="$2"
+  echo "[$(date '+%Y-%m-%d %H:%M:%S')] [$NIVEL] ${SDD_TAREA_ID:-?} — $MSG" >> "$LOG" 2>/dev/null || true
+}
+
+bloquear() {
+  local RAZON="$1"
+  echo -e "${RED}${BOLD}🚫 BLOQUEADO${NC}: $RAZON"
+  log "BLOQUEO" "$RAZON"
+  exit 1
+}
+
+advertir() {
+  local RAZON="$1"
+  echo -e "${YELLOW}${BOLD}⚠️  ADVERTENCIA${NC}: $RAZON"
+  log "ADVERTENCIA" "$RAZON"
+}
+
+confirmar() {
+  local PREGUNTA="$1"
+  local ACCION="$2"
+  echo -e "${YELLOW}${BOLD}⚠️  REQUIERE CONFIRMACIÓN${NC}"
+  echo -e "   Acción: ${BOLD}${ACCION}${NC}"
+  echo -e "   $PREGUNTA"
+  echo -e "   Escribe ${BOLD}SI${NC} (en mayúsculas) para continuar, cualquier otra cosa cancela:"
+  read -r RESP
+  if [ "$RESP" != "SI" ]; then
+    bloquear "Acción cancelada por el usuario: $ACCION"
+  fi
+  log "CONFIRMADO" "$ACCION"
+}
+
+# ============================================================
+# BLOQUE 1 — Protección de archivos sensibles
+# ============================================================
+# Lee patrones de protecciones.no_tocar_archivos en config
+# Si el agente propone tocar alguno, bloquea.
+
+proteger_archivos_sensibles() {
+  # Patrones protegidos por defecto (sin config)
+  local PATRONES_DEFAULT=(
+    ".env"
+    ".env.*"
+    ".env.local"
+    ".env.production"
+    ".env.staging"
+    "*.pem"
+    "*.key"
+    "*.p12"
+    "*.pfx"
+    "id_rsa"
+    "id_ed25519"
+    "*credentials*"
+    "*secrets*"
+    "*secret*"
+    "*.secret"
+    ".netrc"
+    "*.kubeconfig"
+    "kubeconfig"
+    ".aws/credentials"
+    ".ssh/*"
+    "serviceAccountKey.json"
+    "firebase-adminsdk*.json"
+    "google-services.json"
+    "GoogleService-Info.plist"
+  )
+
+  # Si no hay archivos propuestos, saltar
+  [ -z "${SDD_ARCHIVOS:-}" ] && return 0
+
+  for PATRON in "${PATRONES_DEFAULT[@]}"; do
+    # shellcheck disable=SC2254
+    case "$SDD_ARCHIVOS" in
+      *$PATRON*)
+        bloquear "Intento de acceso a archivo sensible: '$SDD_ARCHIVOS' coincide con patrón protegido '$PATRON'. Los archivos de credenciales NUNCA deben ser leídos ni escritos por agentes."
+        ;;
+    esac
+  done
+
+  # También verificar contra archivos reales en el repo
+  # Detectar .env files que no estén en .gitignore y alertar
+  local ENV_FILES
+  ENV_FILES=$(find . -maxdepth 3 -name ".env*" ! -name ".env.example" ! -name ".env.template" \
+    ! -path "*/.git/*" ! -path "*/.sdd/*" ! -path "*/node_modules/*" 2>/dev/null)
+
+  if [ -n "$ENV_FILES" ]; then
+    # Verificar si están en .gitignore
+    for ENV_FILE in $ENV_FILES; do
+      local NOMBRE
+      NOMBRE=$(basename "$ENV_FILE")
+      if ! grep -q "$NOMBRE" .gitignore 2>/dev/null && ! grep -q ".env" .gitignore 2>/dev/null; then
+        advertir "Archivo '$ENV_FILE' existe pero NO está en .gitignore. Riesgo de exposición de credenciales."
+      fi
+    done
+  fi
+}
+
+# ============================================================
+# BLOQUE 2 — Comandos destructivos prohibidos
+# ============================================================
+
+COMANDOS_PROHIBIDOS=(
+  # Eliminación masiva
+  "rm -rf /"
+  "rm -rf ~"
+  "rm -rf \$HOME"
+  "rm -rf ."
+  "rm -rf .."
+  "rmdir /s"           # Windows
+  "rd /s"              # Windows
+  "del /f /s /q"       # Windows
+
+  # Base de datos destructiva
+  "DROP DATABASE"
+  "DROP SCHEMA"
+  "TRUNCATE DATABASE"
+
+  # Git irreversible en remoto
+  "git push --force"
+  "git push -f"
+  "git push --force-with-lease"   # requiere confirmación también
+  "git push origin :main"
+  "git push origin :master"
+
+  # Git destructivo local
+  "git reset --hard"
+  "git clean -fd"
+  "git clean -fxd"
+  "git reflog expire"
+  "git gc --prune=now"
+
+  # Credenciales y tokens en git
+  "git config --global credential"
+  "git config --global user.password"
+)
+
+COMANDOS_CONFIRMAR=(
+  # Eliminación de archivos (no masiva)
+  "rm -rf"
+  "rm -r"
+  "Remove-Item -Recurse"   # PowerShell
+
+  # Base de datos
+  "DROP TABLE"
+  "DROP INDEX"
+  "DELETE FROM"
+  "TRUNCATE TABLE"
+
+  # Git local reversible
+  "git reset"
+  "git stash drop"
+  "git branch -D"
+  "git tag -d"
+
+  # Publicación / deploy
+  "npm publish"
+  "pnpm publish"
+  "yarn publish"
+  "pip publish"
+  "cargo publish"
+  "docker push"
+  "terraform apply"
+  "terraform destroy"
+  "kubectl delete"
+  "helm uninstall"
+
+  # Otros
+  "pip uninstall"
+  "npm uninstall"
+)
+
+verificar_comandos() {
+  local CMD="${SDD_COMANDO:-}"
+  [ -z "$CMD" ] && return 0
+
+  # Prohibidos absolutos
+  for PROHIBIDO in "${COMANDOS_PROHIBIDOS[@]}"; do
+    if echo "$CMD" | grep -qi "$PROHIBIDO"; then
+      bloquear "Comando prohibido detectado: '$CMD' contiene '$PROHIBIDO'. Este comando puede causar daño irreversible y nunca debe ejecutarse automáticamente."
+    fi
+  done
+
+  # Requieren confirmación explícita
+  for PELIGROSO in "${COMANDOS_CONFIRMAR[@]}"; do
+    if echo "$CMD" | grep -qi "$PELIGROSO"; then
+      confirmar \
+        "El agente quiere ejecutar un comando potencialmente destructivo." \
+        "$CMD"
+      break
+    fi
+  done
+}
+
+# ============================================================
+# BLOQUE 3 — Protección de rama git
+# ============================================================
+
+RAMAS_PROTEGIDAS=("main" "master" "develop" "release" "production" "prod" "staging")
+
+verificar_rama_git() {
+  [ ! -d .git ] && return 0
+  [ "${SDD_SKIP_RAMA_CHECK:-}" = "true" ] && return 0
+
+  local RAMA
+  RAMA=$(git branch --show-current 2>/dev/null || echo "")
+  [ -z "$RAMA" ] && return 0
+
+  for PROTEGIDA in "${RAMAS_PROTEGIDAS[@]}"; do
+    if [ "$RAMA" = "$PROTEGIDA" ]; then
+      advertir "Estás en la rama protegida '${RAMA}'. Las implementaciones deberían hacerse en ramas de feature."
+      echo -e "   ¿Continuar implementando directamente en ${BOLD}${RAMA}${NC}? (s/N)"
+      read -r RESP
+      if [ "$RESP" != "s" ] && [ "$RESP" != "S" ]; then
+        bloquear "Implementación cancelada — rama protegida '$RAMA'. Crea una rama de feature primero."
+      fi
+      log "ADVERTENCIA" "Usuario eligió implementar en rama protegida: $RAMA"
+      break
+    fi
+  done
+}
+
+# ============================================================
+# BLOQUE 4 — Push automático bloqueado
+# ============================================================
+# SDD-ES nunca hace git push sin confirmación explícita.
+# Si el agente intenta un push, se intercepta aquí.
+
+verificar_push() {
+  local CMD="${SDD_COMANDO:-}"
+  [ -z "$CMD" ] && return 0
+
+  if echo "$CMD" | grep -q "git push"; then
+    # ¿Es un push sin --force?
+    if ! echo "$CMD" | grep -qE "\-\-force|\-f\b"; then
+      confirmar \
+        "El agente quiere hacer git push. ¿Confirmás que el código está listo para subir al remoto?" \
+        "$CMD"
+    fi
+    # Si tiene --force ya fue bloqueado en BLOQUE 2
+  fi
+}
+
+# ============================================================
+# BLOQUE 5 — Detección de secrets hardcodeados
+# ============================================================
+# Escaneo rápido de archivos que el agente generó/modificó.
+
+escanear_secrets() {
+  [ -z "${SDD_ARCHIVOS:-}" ] && return 0
+
+  local PATRONES_SECRET=(
+    "password\s*=\s*['\"][^'\"]{4,}"
+    "secret\s*=\s*['\"][^'\"]{4,}"
+    "api_key\s*=\s*['\"][^'\"]{4,}"
+    "apikey\s*=\s*['\"][^'\"]{4,}"
+    "token\s*=\s*['\"][^'\"]{10,}"
+    "private_key\s*=\s*['\"][^'\"]{10,}"
+    "BEGIN RSA PRIVATE KEY"
+    "BEGIN EC PRIVATE KEY"
+    "BEGIN OPENSSH PRIVATE KEY"
+    "AWS_SECRET_ACCESS_KEY"
+    "GITHUB_TOKEN\s*=\s*['\"][^'\"]"
+    "sk-[a-zA-Z0-9]{20,}"   # OpenAI key pattern
+    "xox[baprs]-[0-9]"      # Slack token pattern
+  )
+
+  for ARCHIVO in $SDD_ARCHIVOS; do
+    [ ! -f "$ARCHIVO" ] && continue
+    for PATRON in "${PATRONES_SECRET[@]}"; do
+      if grep -qiP "$PATRON" "$ARCHIVO" 2>/dev/null; then
+        bloquear "Secret hardcodeado detectado en '$ARCHIVO' (patrón: $PATRON). Usa variables de entorno o un secret manager — NUNCA valores reales en código."
+      fi
+    done
+  done
+}
+
+# ============================================================
+# BLOQUE 6 — Verificación de .gitignore para archivos nuevos
+# ============================================================
+# Si el agente crea un archivo que debería estar en .gitignore, advierte.
+
+verificar_gitignore() {
+  [ ! -d .git ] && return 0
+  [ -z "${SDD_ARCHIVOS:-}" ] && return 0
+
+  local DEBERIAN_IGNORARSE=(
+    ".env"
+    "*.key"
+    "*.pem"
+    "node_modules"
+    "dist"
+    "build"
+    "__pycache__"
+    "*.pyc"
+    "*.log"
+    ".DS_Store"
+    "Thumbs.db"
+  )
+
+  for ARCHIVO in $SDD_ARCHIVOS; do
+    local NOMBRE
+    NOMBRE=$(basename "$ARCHIVO")
+    for PATRON in "${DEBERIAN_IGNORARSE[@]}"; do
+      # shellcheck disable=SC2254
+      case "$NOMBRE" in
+        $PATRON)
+          if ! git check-ignore -q "$ARCHIVO" 2>/dev/null; then
+            advertir "'$ARCHIVO' debería estar en .gitignore pero no lo está."
+          fi
+          ;;
+      esac
+    done
+  done
+}
+
+# ============================================================
+# EJECUCIÓN EN ORDEN
+# ============================================================
+
+echo -e "${GREEN}🛡️  Guardia de seguridad SDD-ES${NC}"
+
+proteger_archivos_sensibles
+verificar_comandos
+verificar_rama_git
+verificar_push
+escanear_secrets
+verificar_gitignore
+
+echo -e "${GREEN}✅ Verificaciones de seguridad pasadas${NC}"
+log "OK" "Todas las verificaciones pasaron — ${SDD_COMANDO:-sin comando}"
+
+exit 0

package/configuracion-ejemplo/sdd.config.yaml

@@ -0,0 +1,310 @@
+# ============================================================
+# SDD-ES — Configuración del Plugin
+# ============================================================
+# Este archivo se copia a `.sdd/sdd.config.yaml` al inicializar.
+# Edítalo para personalizar el comportamiento del plugin.
+# ============================================================
+
+# IDIOMA — todos los artefactos generados estarán en este idioma
+idioma: español
+
+# PERFIL — cómo se conduce el flujo con el usuario
+#   experto → controla el stack y las decisiones técnicas (flujo normal)
+#   guiado  → no programa: el sistema decide lo técnico, explica sin jerga,
+#             confirma antes de actuar y encadena los pasos automáticamente.
+#             Lo establece /sdd.constitucion. El rigor del producto NO cambia.
+perfil: experto
+
+# ============================================================
+# AGENTES — activa/desactiva y asigna modelo a cada agente
+# ============================================================
+# Modelos recomendados (al momento, 2026):
+#   - opus      → Tareas complejas: razonamiento profundo, revisión, BD, arquitectura
+#   - sonnet    → Implementación: código, tests, docs, operaciones (uso general)
+#   - haiku     → Tareas simples: estados, verificaciones rápidas, formateo
+#
+# Recomendación de Anthropic: usa el modelo MÁS PEQUEÑO que resuelva el problema
+# bien. Subir de tier solo si el agente falla repetidamente.
+# ============================================================
+
+agentes:
+  # ---------- Diseño y arquitectura ----------
+  arquitecto:
+    activo: true
+    modelo: opus          # Recomendado: opus (decisiones difíciles de revertir)
+    descripcion: "Toma decisiones de arquitectura del sistema y diseño técnico de alto nivel."
+
+  disenador-api:
+    activo: true
+    modelo: sonnet        # Recomendado: sonnet (contratos estructurados)
+    descripcion: "Diseña contratos de API (OpenAPI, GraphQL, gRPC, eventos)."
+
+  asesor-datos:
+    activo: true
+    modelo: opus          # Recomendado: opus (errores en BD son costosos de revertir)
+    descripcion: "Diseño de esquemas, queries, índices, migraciones, performance de BD."
+
+  # ---------- Implementación ----------
+  desarrollador-backend:
+    activo: true
+    modelo: sonnet        # Recomendado: sonnet (codificación)
+    descripcion: "Implementa lógica de servidor: servicios, APIs, manejo de datos."
+
+  desarrollador-frontend:
+    activo: true
+    modelo: sonnet        # Recomendado: sonnet (codificación)
+    descripcion: "Implementa UI: componentes, vistas, estado del cliente."
+    # Desactívalo si tu proyecto es backend-only:
+    # activo: false
+
+  operaciones:
+    activo: true
+    modelo: sonnet        # Recomendado: sonnet
+    descripcion: "CI/CD, despliegues, infraestructura, configuración."
+
+  # ---------- Calidad ----------
+  tester:
+    activo: true
+    modelo: sonnet        # Recomendado: sonnet (genera tests útiles)
+    descripcion: "Genera y ejecuta tests unitarios, integración y E2E."
+
+  revisor:
+    activo: true
+    modelo: opus          # Recomendado: opus (revisión profunda atrapa más bugs)
+    descripcion: "Revisa código contra spec, calidad y constitución."
+
+  critico:
+    activo: true
+    modelo: opus          # Recomendado: opus (encontrar puntos ciegos requiere abstracción)
+    descripcion: "Identifica riesgos, puntos ciegos y asunciones del plan."
+
+  seguridad:
+    activo: true
+    modelo: opus          # Recomendado: opus (auditoría de seguridad seria)
+    descripcion: "Audita vulnerabilidades en cambios sensibles."
+
+  documentador:
+    activo: false         # Desactivado por defecto — actívalo si tu proyecto requiere docs formales
+    modelo: sonnet
+    descripcion: "Genera documentación técnica útil (no obvia)."
+
+  investigador:
+    activo: true          # Recopila contexto técnico antes de especificar
+    modelo: sonnet
+    descripcion: "Analiza el proyecto existente — stack, patrones, deuda técnica — antes de especificar."
+
+# ============================================================
+# RUTAS — dónde se generan los artefactos SDD
+# ============================================================
+rutas:
+  raiz_sdd: ".sdd"                           # Raíz del estado SDD
+  constitucion: ".sdd/memoria/constitucion.md"
+  estado_global: ".sdd/estado.json"
+  especificaciones: ".sdd/especificaciones"  # specs/YYYY-MM-DD-slug/
+  cambios: ".sdd/cambios"                    # Registro cronológico
+  arquitectura: ".sdd/arquitectura"          # ADRs (Decisiones)
+  dominio: ".sdd/dominio"                    # Glosario y definiciones
+  indice: ".sdd/INDICE.md"
+  snapshot: ".sdd/SNAPSHOT.md"
+
+# ============================================================
+# COMPORTAMIENTO — cómo opera el flujo
+# ============================================================
+comportamiento:
+  # Detección automática del tamaño del cambio
+  deteccion_tamano_automatica: true
+
+  # Para cambios micro (≤3 archivos, <10 líneas), generar spec+plan+tareas en un paso
+  ruta_rapida_micro: true
+
+  # Marcadores que se insertan cuando la información es ambigua
+  marcador_clarificacion: "[NECESITA_ACLARACION]"
+  marcador_pendiente: "[PENDIENTE]"
+  marcador_decidir: "[POR_DECIDIR]"
+
+  # Numeración automática de especificaciones
+  numeracion_especificaciones: "fecha"   # "fecha" | "secuencial" | "ambos"
+  # fecha:       YYYY-MM-DD-nombre-slug
+  # secuencial:  001-nombre-slug
+  # ambos:       2026-06-08-001-nombre-slug
+
+  # Confirmación antes de implementar
+  requerir_aprobacion_plan: true
+  requerir_aprobacion_tareas: false
+
+  # Versionado semántico de la constitución
+  versionado_constitucion: true
+
+# ============================================================
+# CONTROL DE VERSIONES — completamente opcional
+# ============================================================
+# SDD-ES NO se acopla a Git, GitLab, ni ningún VCS.
+# Esta sección es solo para que TUS hooks personalizados
+# puedan leer la preferencia.
+control_versiones:
+  sistema: "git"      # "git" | "mercurial" | "ninguno" | "otro"
+  crear_ramas: false  # Si tu flujo usa una rama por feature, escribe tu propio hook
+  hacer_commits: false
+
+# ============================================================
+# CALIDAD — umbrales que el agente revisor aplica
+# ============================================================
+calidad:
+  cobertura_tests_minima: 80
+  permitir_warnings_lint: false
+  permitir_codigo_comentado: false
+  longitud_funcion_maxima: 50
+  longitud_archivo_maxima: 400
+
+# ============================================================
+# PROTECCIONES — archivos/comandos que SDD no toca
+# ============================================================
+# Esta sección es DECLARATIVA — los valores son leídos por
+# guardia-seguridad.sh (hooks-ejemplo/guardia-seguridad.sh).
+# Para activar las protecciones, copia ese hook a .sdd/hooks/.
+# ============================================================
+protecciones:
+  # Archivos que los agentes NUNCA deben leer ni escribir
+  no_tocar_archivos:
+    - ".env*"
+    - "*.pem"
+    - "*.key"
+    - "*.p12"
+    - "secrets/**"
+    - "**/credentials*"
+    - "**/*secret*"
+    - ".aws/credentials"
+    - ".ssh/*"
+    - ".sdd/memoria/constitucion.md"   # solo /sdd.constitucion lo edita
+
+  # Comandos que se bloquean sin excepción (nunca se ejecutan)
+  comandos_prohibidos:
+    - "rm -rf /"
+    - "rm -rf ~"
+    - "rm -rf ."
+    - "DROP DATABASE"
+    - "DROP SCHEMA"
+    - "git push --force"
+    - "git push -f"
+    - "git reset --hard"
+    - "git clean -fxd"
+
+  # Comandos que requieren confirmación explícita del usuario (escribir "SI")
+  requerir_confirmacion:
+    - "rm -rf"
+    - "DROP TABLE"
+    - "DELETE FROM"
+    - "TRUNCATE"
+    - "git reset"
+    - "git branch -D"
+    - "git push"
+    - "npm publish"
+    - "pip uninstall"
+    - "terraform apply"
+    - "terraform destroy"
+    - "kubectl delete"
+    - "helm uninstall"
+    - "docker push"
+
+  # Ramas protegidas — requieren confirmación para implementar directamente
+  ramas_protegidas:
+    - main
+    - master
+    - develop
+    - release
+    - production
+    - staging
+
+# ============================================================
+# FIGMA — integración con el MCP sdd-figma-mcp
+# ============================================================
+# Si tu proyecto tiene diseños en Figma, define aquí el file_key.
+# El orquestador de /sdd.implementar lo usa automáticamente
+# cuando detecta tareas de tipo UI/frontend.
+#
+# Para obtener el file_key: abre el archivo en Figma → URL:
+#   figma.com/file/ESTE_ES_EL_FILE_KEY/nombre-del-archivo
+# ============================================================
+figma:
+  # Activa la integración con Figma en tareas de frontend
+  # Requiere: FIGMA_PAT en variables de entorno
+  enabled: false
+
+  # Clave del archivo principal de diseño del proyecto
+  # file_key: "REEMPLAZA_CON_TU_FILE_KEY"
+
+  # Si quieres un archivo diferente por sección (opcional)
+  # archivos:
+  #   componentes: "KEY_DEL_ARCHIVO_DE_COMPONENTES"
+  #   pantallas:   "KEY_DEL_ARCHIVO_DE_PANTALLAS"
+
+  # Comportamiento automático en /sdd.implementar
+  auto_analizar_sistema_diseño: true   # Siempre analiza antes de implementar UI
+  auto_mapear_si_file_key: true        # Mapea estilos si file_key está definido
+  bloquear_si_tokens_sin_mapear: false # Si true, pide confirmación antes de continuar
+
+# ============ MAPAS Y INDEXACIÓN ============
+mapeos:
+  enabled: true
+  # Modo de actualización: "manual" | "perezoso" | "automático"
+  modo_actualizacion: perezoso
+  
+  # Detecta archivos nuevos automáticamente
+  validacion_perezosa: true
+  
+  # Lenguajes a indexar
+  lenguajes:
+    - typescript
+    - javascript
+    - python
+    - rust
+    - go
+    - java
+    - csharp
+    - ruby
+    - php
+  
+  # Directorios a ignorar (como .gitignore)
+  ignorar:
+    - node_modules
+    - dist
+    - build
+    - target
+    - vendor
+    - __pycache__
+    - .git
+    - .sdd
+
+# ============ COMPRESIÓN DE TOKENS ============
+compresion:
+  # Activar compresión
+  enabled: true
+  
+  # Modo global de salida
+  # "normal" | "lite" | "full" | "ultra"
+  modo_salida_usuario: lite
+  
+  # Modo de comunicación entre agentes (usuario no ve)
+  # "normal" | "lite" | "full" | "ultra"
+  modo_agentes_internos: ultra
+  
+  # Comprimir archivos internos del plugin (commands, agents, skills)
+  # CUIDADO: hace menos legibles para editar
+  comprimir_plugin: false
+  
+  # Términos técnicos que NUNCA se abrevian
+  preservar_terminos:
+    - autenticación
+    - autorización
+    - verificación
+    - base de datos
+    - algoritmo
+  
+  # Patrones que NUNCA se comprimen (regex)
+  patrones_protegidos:
+    - PELIGRO
+    - CUIDADO
+    - "NO USAR EN PRODUCCIÓN"
+    - ELIMINAR
+    - BORRAR
+    - irreversible