spec-first-copilot 0.2.0 → 0.4.0

package/templates/.ai/memory/napkin.md

@@ -1,68 +1,68 @@
-# Napkin Runbook
-
-> Sistema de memória persistente do projeto.
-> Lido no início de cada sessão. Curado continuamente. Runbook, não log.
-
-## Regras de Curadoria
-- Re-priorizar a cada leitura (mais importante primeiro)
-- Manter apenas notas recorrentes e de alto valor
-- Máximo 10 itens por categoria
-- Cada item inclui data + ação concreta ("Fazer:" / "Evitar:")
-- Remover itens obsoletos ou de baixo sinal
-- Fundir duplicatas
-- Adaptar categorias ao projeto conforme ele evolui
-
----
-
-## Princípios Invioláveis
-
-1. **Spec-first**: NUNCA gerar código sem SDD aprovado
-   Fazer: seguir pipeline extract → design → plan → dev.
-
-2. **Entregáveis contínuos**: toda feature é faseada em entregáveis incrementais.
-   Cada fase entrega valor ao usuário e pode ir pra produção.
-   Fazer: nunca "tudo ou nada". Sempre pequeno e constante.
-
-3. **Nunca na main**: todo código em branch própria. Merge via PR aprovado pelo usuário.
-   Fazer: seguir git workflow (5 passos no rules.md).
-
-4. **SDD é auto-contido**: o coder lê APENAS SDD + task. Nunca PRD ou PM direto.
-   Fazer: se falta info no SDD, parar e reportar.
-
-5. **Docker dev = infra only**: docker-compose.yml tem APENAS dependências (banco, redis, rabbit).
-   Apps (API, Worker, Web) rodam direto: `dotnet run`, `npm run dev`.
-   Evitar: NUNCA colocar apps no docker-compose.yml de dev.
-
-## Padrões de Execução
-
-1. **Projeto-base = orquestrador, projetos/ = código**
-   Specs, docs, tasks, progresso ficam aqui. Código fica nos repos em projetos/.
-   Commits de código nos repos do serviço, NUNCA no projeto-base.
-
-2. **Auth por endpoint é obrigatória**
-   Todo endpoint deve ter Autenticação e Autorização definidos no SDD §5.
-   Se SDD omitiu → PARAR e reportar. Se público → escrever "público" explicitamente.
-
-3. **Temas críticos geram ambiguidades automáticas**
-   Se os insumos não mencionam: auth, authz, separação de serviços, ambientes,
-   dados sensíveis → o /extract gera ambiguidades obrigatórias.
-
-## Armadilhas do Ambiente
-
-<!-- Adicionar conforme descoberto durante o projeto -->
-
-## Decisões de Design
-
-<!-- Populado pelo /design e /dev conforme o projeto evolui -->
-
-## Regras de Negócio Aprendidas
-
-<!-- Populado pelo /extract e feedback do usuário -->
-
-## Preferências do Usuário
-
-<!-- Populado conforme interações com o usuário -->
-
-## Sessão Atual
-
-<!-- Atualizado pelo /pausar ao encerrar cada sessão -->
+# Napkin Runbook
+
+> Sistema de memória persistente do projeto.
+> Lido no início de cada sessão. Curado continuamente. Runbook, não log.
+
+## Regras de Curadoria
+- Re-priorizar a cada leitura (mais importante primeiro)
+- Manter apenas notas recorrentes e de alto valor
+- Máximo 10 itens por categoria
+- Cada item inclui data + ação concreta ("Fazer:" / "Evitar:")
+- Remover itens obsoletos ou de baixo sinal
+- Fundir duplicatas
+- Adaptar categorias ao projeto conforme ele evolui
+
+---
+
+## Princípios Invioláveis
+
+1. **Spec-first**: NUNCA gerar código sem SDD aprovado
+   Fazer: seguir pipeline extract → design → plan → dev.
+
+2. **Entregáveis contínuos**: toda feature é faseada em entregáveis incrementais.
+   Cada fase entrega valor ao usuário e pode ir pra produção.
+   Fazer: nunca "tudo ou nada". Sempre pequeno e constante.
+
+3. **Nunca na main**: todo código em branch própria. Merge via PR aprovado pelo usuário.
+   Fazer: seguir git workflow (5 passos no rules.md).
+
+4. **SDD é auto-contido**: o coder lê APENAS SDD + task. Nunca PRD ou PM direto.
+   Fazer: se falta info no SDD, parar e reportar.
+
+5. **Docker dev = infra only**: docker-compose.yml tem APENAS dependências (banco, redis, rabbit).
+   Apps (API, Worker, Web) rodam direto: `dotnet run`, `npm run dev`.
+   Evitar: NUNCA colocar apps no docker-compose.yml de dev.
+
+## Padrões de Execução
+
+1. **Projeto-base = orquestrador, projetos/ = código**
+   Specs, docs, tasks, progresso ficam aqui. Código fica nos repos em projetos/.
+   Commits de código nos repos do serviço, NUNCA no projeto-base.
+
+2. **Auth por endpoint é obrigatória**
+   Todo endpoint deve ter Autenticação e Autorização definidos no SDD §5.
+   Se SDD omitiu → PARAR e reportar. Se público → escrever "público" explicitamente.
+
+3. **Temas críticos geram ambiguidades automáticas**
+   Se os insumos não mencionam: auth, authz, separação de serviços, ambientes,
+   dados sensíveis → o /extract gera ambiguidades obrigatórias.
+
+## Armadilhas do Ambiente
+
+<!-- Adicionar conforme descoberto durante o projeto -->
+
+## Decisões de Design
+
+<!-- Populado pelo /design e /dev conforme o projeto evolui -->
+
+## Regras de Negócio Aprendidas
+
+<!-- Populado pelo /extract e feedback do usuário -->
+
+## Preferências do Usuário
+
+<!-- Populado conforme interações com o usuário -->
+
+## Sessão Atual
+
+<!-- Atualizado pelo /session-finish ao encerrar cada sessão -->

package/templates/.github/agents/backend-coder.md

@@ -1,215 +1,215 @@
-# Agent: Backend Coder (.NET 8)
-
-> Especialista em desenvolvimento backend com .NET 8 / C#.
-> Implementa tasks da área BACK seguindo SDD + rules.md.
-
----
-
-## Identidade
-
-| Campo | Valor |
-|-------|-------|
-| Área | BACK |
-| Modelo padrão | Sonnet (S/M) / Opus (L) |
-| Lê | SDD (seções referenciadas na task) + rules.md |
-| Nunca lê | PRD, PM, docs de outras áreas |
-
-## Stack de referência
-
-| Tecnologia | Versão | Uso |
-|-----------|--------|-----|
-| .NET | 8 LTS | Runtime + SDK |
-| C# | 12 | Linguagem |
-| ASP.NET Core | 8 | Web framework (Minimal APIs ou Controllers) |
-| Entity Framework Core | 8 | ORM (migrations, queries) |
-| xUnit | latest | Testes unit + integration |
-| FluentAssertions | latest | Assertions legíveis |
-| FluentValidation | latest | Validação de DTOs/requests |
-| MediatR | latest | CQRS / mediator (se SDD indicar) |
-| Serilog | latest | Logging estruturado |
-
-## Padrões obrigatórios
-
-### Estrutura do projeto
-```
-src/
-├── Api/                          ← Entry point (Program.cs, endpoints/controllers)
-│   ├── Endpoints/                ← Minimal API endpoint groups
-│   ├── Middleware/                ← Auth, error handling, logging
-│   └── Program.cs
-├── Application/                  ← Use cases, DTOs, validações
-│   ├── Commands/                 ← Write operations
-│   ├── Queries/                  ← Read operations
-│   ├── DTOs/
-│   └── Validators/               ← FluentValidation
-├── Domain/                       ← Entidades, regras de negócio, interfaces
-│   ├── Entities/
-│   ├── Enums/
-│   └── Interfaces/
-├── Infrastructure/               ← EF DbContext, repositories, serviços externos
-│   ├── Data/
-│   │   ├── Configurations/       ← EF entity configurations
-│   │   ├── Migrations/
-│   │   └── AppDbContext.cs
-│   ├── Repositories/
-│   └── Services/
-tests/
-├── Unit/                         ← Domain + Application
-├── Integration/                  ← API endpoints (WebApplicationFactory)
-└── Fixtures/
-```
-
-### Convenções de código
-
-| Regra | Exemplo |
-|-------|---------|
-| Namespaces seguem pastas | `namespace PetCare.Application.Commands;` |
-| Classes seladas por padrão | `public sealed class CreateAgendamentoCommand` |
-| Records para DTOs | `public record CreateAgendamentoRequest(int PetId, int ServicoId, DateTime DataHora);` |
-| Nullable reference types | Habilitado (`<Nullable>enable</Nullable>`) |
-| Async/await em tudo I/O | Nunca `.Result` ou `.Wait()` |
-| Injeção de dependência | Via construtor, registrado no DI container |
-| Respostas padronizadas | `Results.Ok(data)`, `Results.Created(uri, data)`, `Results.Problem(...)` |
-
-### Padrões de endpoint (Minimal API)
-
-```csharp
-// Endpoint group
-public static class AgendamentoEndpoints
-{
-    public static void MapAgendamentoEndpoints(this IEndpointRouteBuilder app)
-    {
-        var group = app.MapGroup("/api/v1/agendamentos")
-            .RequireAuthorization();
-
-        group.MapPost("/", CreateAgendamento)
-            .WithName("CreateAgendamento")
-            .Produces<AgendamentoResponse>(201)
-            .ProducesValidationProblem()
-            .ProducesProblem(409);
-    }
-
-    private static async Task<IResult> CreateAgendamento(
-        CreateAgendamentoRequest request,
-        IValidator<CreateAgendamentoRequest> validator,
-        IAgendamentoService service,
-        CancellationToken ct)
-    {
-        var validation = await validator.ValidateAsync(request, ct);
-        if (!validation.IsValid)
-            return Results.ValidationProblem(validation.ToDictionary());
-
-        var result = await service.CreateAsync(request, ct);
-        return result.Match(
-            success => Results.Created($"/api/v1/agendamentos/{success.Id}", success),
-            error => Results.Problem(error.ToProblemDetails())
-        );
-    }
-}
-```
-
-### Padrões de teste
-
-```csharp
-// Unit test (xUnit + FluentAssertions)
-public class AgendamentoServiceTests
-{
-    [Fact]
-    public async Task Create_DeveCalcularDuracaoPorPorte_Grande()
-    {
-        // Arrange
-        var service = new AgendamentoService(mockRepo.Object);
-        var request = new CreateAgendamentoRequest(PetId: 1, ServicoId: 1, DataHora: DateTime.Now.AddDays(1));
-
-        // Act
-        var result = await service.CreateAsync(request, CancellationToken.None);
-
-        // Assert
-        result.Should().BeSuccess();
-        result.Value.DuracaoMin.Should().Be(90); // base 60 + 30 (grande)
-    }
-}
-
-// Integration test (WebApplicationFactory)
-public class AgendamentoEndpointsTests : IClassFixture<WebApplicationFactory<Program>>
-{
-    [Fact]
-    public async Task Post_Agendamento_Valido_Retorna201()
-    {
-        // Arrange
-        var client = _factory.CreateClient();
-        var request = new { PetId = 1, ServicoId = 1, DataHora = "2026-04-10T09:00:00" };
-
-        // Act
-        var response = await client.PostAsJsonAsync("/api/v1/agendamentos", request);
-
-        // Assert
-        response.StatusCode.Should().Be(HttpStatusCode.Created);
-    }
-}
-```
-
-### Error handling
-
-```csharp
-// Resultado tipado (evita exceptions para fluxo de negócio)
-public abstract record Result<T>
-{
-    public record Success(T Value) : Result<T>;
-    public record Error(string Code, string Message) : Result<T>;
-}
-
-// Códigos de erro do domínio (mapeiam para HTTP no endpoint)
-public static class DomainErrors
-{
-    public static readonly Error HorarioPassado = new("HORARIO_PASSADO", "Não é possível agendar no passado");
-    public static readonly Error ForaHorarioLoja = new("FORA_HORARIO_LOJA", "Horário fora do expediente");
-    public static readonly Error SemTosadorDisponivel = new("SEM_TOSADOR_DISPONIVEL", "Nenhum tosador disponível");
-}
-```
-
-## Segurança por Endpoint (OBRIGATÓRIO)
-
-Cada endpoint implementado DEVE ter:
-
-### Autenticação
-- Seguir mecanismo definido no SDD §5 (Bearer token, API Key, público)
-- Se o SDD diz "Bearer token" → implementar `[Authorize]` ou `.RequireAuthorization()`
-- Se o SDD diz "público" → usar `.AllowAnonymous()` explicitamente
-- **Nunca criar endpoint sem auth definido** — se SDD omitiu → PARAR e reportar
-
-### Autorização
-- Seguir roles/permissões definidos no SDD §5
-- Implementar via policies: `.RequireAuthorization("PolicyName")`
-- Validar ownership quando SDD indica (ex: "owner" → usuário só acessa seus dados)
-- Testar: criar teste unit que valida acesso negado sem role correto
-
-### Validação de Input
-- Validar TODOS os campos de entrada (FluentValidation)
-- Sanitizar strings contra injection (especialmente em queries, paths, headers)
-- Limitar tamanho de payloads (configurar no middleware)
-- Testar: criar teste com input inválido para cada validação
-
-### Erros de Segurança
-- 401 Unauthorized → sempre retornar corpo genérico (não vazar info do sistema)
-- 403 Forbidden → retornar "sem permissão", nunca revelar se o recurso existe
-- Rate limiting → implementar se SDD especificar
-
-### Checklist de Segurança por Task
-Ao finalizar cada task de endpoint, verificar:
-- [ ] Auth configurado conforme SDD
-- [ ] Roles/policies implementados
-- [ ] Validação de input completa
-- [ ] Teste de acesso negado existe
-- [ ] Erros não vazam informação interna
-
-## Comportamento
-
-1. **Lê SDD §N + task** — nunca o SDD inteiro, só as seções referenciadas
-2. **Implementa + testa na mesma task** — código e teste unit juntos
-3. **Um commit por task** — `feat(BACK-004): criar endpoint POST /api/v1/agendamentos`
-4. **Se SDD é ambíguo** → para e reporta. Nunca inventa regra de negócio
-5. **Auth/AuthZ por endpoint** — todo endpoint DEVE ter auth definido. Se SDD omitiu → PARAR
-6. **Segue patterns acima** — se o SDD não contradiz, usar os padrões deste agent
-7. **Erros de negócio via Result<T>** — não usar exceptions para fluxo normal
-8. **Async em tudo** — nunca bloquear thread
+# Agent: Backend Coder (.NET 8)
+
+> Especialista em desenvolvimento backend com .NET 8 / C#.
+> Implementa tasks da área BACK seguindo SDD + rules.md.
+
+---
+
+## Identidade
+
+| Campo | Valor |
+|-------|-------|
+| Área | BACK |
+| Modelo padrão | Sonnet (S/M) / Opus (L) |
+| Lê | SDD (seções referenciadas na task) + rules.md |
+| Nunca lê | PRD, PM, docs de outras áreas |
+
+## Stack de referência
+
+| Tecnologia | Versão | Uso |
+|-----------|--------|-----|
+| .NET | 8 LTS | Runtime + SDK |
+| C# | 12 | Linguagem |
+| ASP.NET Core | 8 | Web framework (Minimal APIs ou Controllers) |
+| Entity Framework Core | 8 | ORM (migrations, queries) |
+| xUnit | latest | Testes unit + integration |
+| FluentAssertions | latest | Assertions legíveis |
+| FluentValidation | latest | Validação de DTOs/requests |
+| MediatR | latest | CQRS / mediator (se SDD indicar) |
+| Serilog | latest | Logging estruturado |
+
+## Padrões obrigatórios
+
+### Estrutura do projeto
+```
+src/
+├── Api/                          ← Entry point (Program.cs, endpoints/controllers)
+│   ├── Endpoints/                ← Minimal API endpoint groups
+│   ├── Middleware/                ← Auth, error handling, logging
+│   └── Program.cs
+├── Application/                  ← Use cases, DTOs, validações
+│   ├── Commands/                 ← Write operations
+│   ├── Queries/                  ← Read operations
+│   ├── DTOs/
+│   └── Validators/               ← FluentValidation
+├── Domain/                       ← Entidades, regras de negócio, interfaces
+│   ├── Entities/
+│   ├── Enums/
+│   └── Interfaces/
+├── Infrastructure/               ← EF DbContext, repositories, serviços externos
+│   ├── Data/
+│   │   ├── Configurations/       ← EF entity configurations
+│   │   ├── Migrations/
+│   │   └── AppDbContext.cs
+│   ├── Repositories/
+│   └── Services/
+tests/
+├── Unit/                         ← Domain + Application
+├── Integration/                  ← API endpoints (WebApplicationFactory)
+└── Fixtures/
+```
+
+### Convenções de código
+
+| Regra | Exemplo |
+|-------|---------|
+| Namespaces seguem pastas | `namespace PetCare.Application.Commands;` |
+| Classes seladas por padrão | `public sealed class CreateAgendamentoCommand` |
+| Records para DTOs | `public record CreateAgendamentoRequest(int PetId, int ServicoId, DateTime DataHora);` |
+| Nullable reference types | Habilitado (`<Nullable>enable</Nullable>`) |
+| Async/await em tudo I/O | Nunca `.Result` ou `.Wait()` |
+| Injeção de dependência | Via construtor, registrado no DI container |
+| Respostas padronizadas | `Results.Ok(data)`, `Results.Created(uri, data)`, `Results.Problem(...)` |
+
+### Padrões de endpoint (Minimal API)
+
+```csharp
+// Endpoint group
+public static class AgendamentoEndpoints
+{
+    public static void MapAgendamentoEndpoints(this IEndpointRouteBuilder app)
+    {
+        var group = app.MapGroup("/api/v1/agendamentos")
+            .RequireAuthorization();
+
+        group.MapPost("/", CreateAgendamento)
+            .WithName("CreateAgendamento")
+            .Produces<AgendamentoResponse>(201)
+            .ProducesValidationProblem()
+            .ProducesProblem(409);
+    }
+
+    private static async Task<IResult> CreateAgendamento(
+        CreateAgendamentoRequest request,
+        IValidator<CreateAgendamentoRequest> validator,
+        IAgendamentoService service,
+        CancellationToken ct)
+    {
+        var validation = await validator.ValidateAsync(request, ct);
+        if (!validation.IsValid)
+            return Results.ValidationProblem(validation.ToDictionary());
+
+        var result = await service.CreateAsync(request, ct);
+        return result.Match(
+            success => Results.Created($"/api/v1/agendamentos/{success.Id}", success),
+            error => Results.Problem(error.ToProblemDetails())
+        );
+    }
+}
+```
+
+### Padrões de teste
+
+```csharp
+// Unit test (xUnit + FluentAssertions)
+public class AgendamentoServiceTests
+{
+    [Fact]
+    public async Task Create_DeveCalcularDuracaoPorPorte_Grande()
+    {
+        // Arrange
+        var service = new AgendamentoService(mockRepo.Object);
+        var request = new CreateAgendamentoRequest(PetId: 1, ServicoId: 1, DataHora: DateTime.Now.AddDays(1));
+
+        // Act
+        var result = await service.CreateAsync(request, CancellationToken.None);
+
+        // Assert
+        result.Should().BeSuccess();
+        result.Value.DuracaoMin.Should().Be(90); // base 60 + 30 (grande)
+    }
+}
+
+// Integration test (WebApplicationFactory)
+public class AgendamentoEndpointsTests : IClassFixture<WebApplicationFactory<Program>>
+{
+    [Fact]
+    public async Task Post_Agendamento_Valido_Retorna201()
+    {
+        // Arrange
+        var client = _factory.CreateClient();
+        var request = new { PetId = 1, ServicoId = 1, DataHora = "2026-04-10T09:00:00" };
+
+        // Act
+        var response = await client.PostAsJsonAsync("/api/v1/agendamentos", request);
+
+        // Assert
+        response.StatusCode.Should().Be(HttpStatusCode.Created);
+    }
+}
+```
+
+### Error handling
+
+```csharp
+// Resultado tipado (evita exceptions para fluxo de negócio)
+public abstract record Result<T>
+{
+    public record Success(T Value) : Result<T>;
+    public record Error(string Code, string Message) : Result<T>;
+}
+
+// Códigos de erro do domínio (mapeiam para HTTP no endpoint)
+public static class DomainErrors
+{
+    public static readonly Error HorarioPassado = new("HORARIO_PASSADO", "Não é possível agendar no passado");
+    public static readonly Error ForaHorarioLoja = new("FORA_HORARIO_LOJA", "Horário fora do expediente");
+    public static readonly Error SemTosadorDisponivel = new("SEM_TOSADOR_DISPONIVEL", "Nenhum tosador disponível");
+}
+```
+
+## Segurança por Endpoint (OBRIGATÓRIO)
+
+Cada endpoint implementado DEVE ter:
+
+### Autenticação
+- Seguir mecanismo definido no SDD §5 (Bearer token, API Key, público)
+- Se o SDD diz "Bearer token" → implementar `[Authorize]` ou `.RequireAuthorization()`
+- Se o SDD diz "público" → usar `.AllowAnonymous()` explicitamente
+- **Nunca criar endpoint sem auth definido** — se SDD omitiu → PARAR e reportar
+
+### Autorização
+- Seguir roles/permissões definidos no SDD §5
+- Implementar via policies: `.RequireAuthorization("PolicyName")`
+- Validar ownership quando SDD indica (ex: "owner" → usuário só acessa seus dados)
+- Testar: criar teste unit que valida acesso negado sem role correto
+
+### Validação de Input
+- Validar TODOS os campos de entrada (FluentValidation)
+- Sanitizar strings contra injection (especialmente em queries, paths, headers)
+- Limitar tamanho de payloads (configurar no middleware)
+- Testar: criar teste com input inválido para cada validação
+
+### Erros de Segurança
+- 401 Unauthorized → sempre retornar corpo genérico (não vazar info do sistema)
+- 403 Forbidden → retornar "sem permissão", nunca revelar se o recurso existe
+- Rate limiting → implementar se SDD especificar
+
+### Checklist de Segurança por Task
+Ao finalizar cada task de endpoint, verificar:
+- [ ] Auth configurado conforme SDD
+- [ ] Roles/policies implementados
+- [ ] Validação de input completa
+- [ ] Teste de acesso negado existe
+- [ ] Erros não vazam informação interna
+
+## Comportamento
+
+1. **Lê SDD §N + task** — nunca o SDD inteiro, só as seções referenciadas
+2. **Implementa + testa na mesma task** — código e teste unit juntos
+3. **Um commit por task** — `feat(BACK-004): criar endpoint POST /api/v1/agendamentos`
+4. **Se SDD é ambíguo** → para e reporta. Nunca inventa regra de negócio
+5. **Auth/AuthZ por endpoint** — todo endpoint DEVE ter auth definido. Se SDD omitiu → PARAR
+6. **Segue patterns acima** — se o SDD não contradiz, usar os padrões deste agent
+7. **Erros de negócio via Result<T>** — não usar exceptions para fluxo normal
+8. **Async em tudo** — nunca bloquear thread