npm - the-frame-ai - Versions diffs - 0.3.1 → 0.7.0 - Mend

the-frame-ai 0.3.1 → 0.7.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (15) hide show

package/README.de.md +40 -7
package/README.es.md +40 -7
package/README.hi.md +40 -7
package/README.ja.md +40 -7
package/README.md +42 -7
package/README.ru.md +40 -7
package/README.zh.md +40 -7
package/package.json +14 -5
package/templates/agents/security.md +558 -0
package/templates/commands/frame:daily.md +20 -0
package/templates/commands/frame:research.md +6 -0
package/templates/commands/frame:security.md +416 -0
package/templates/commands/frame:ship.md +15 -0
package/templates/project/CLAUDE.md +1 -0
package/templates/project/config.json +10 -0

package/README.de.md CHANGED Viewed

@@ -17,9 +17,10 @@ Wenn du alleine mit Claude Code ein Produkt baust und wie ein Team arbeiten möc
 | Kontextverlust zwischen Sitzungen | Projektgedächtnis und automatischer Statusdump beim Sitzungsstart |
 | Chaos bei Aufgaben und Prioritäten | 6-Phasen-Workflow: Recherche → Plan → Build → Review → Ship → Reflect |
 | Angst, etwas Wichtiges zu zerstören | Safety-Hooks blockieren destruktive Befehle vor der Ausführung |
-| Sich wiederholende Routineaufgaben | 34 fertige Befehle für den vollständigen Entwicklungszyklus |
+| Sich wiederholende Routineaufgaben | 35 fertige Befehle für den vollständigen Entwicklungszyklus |
 | Komplexe Features mit Abhängigkeiten | Parallele Subagenten für unabhängige Aufgaben |
 | Keine Struktur für Solo-Arbeit | Roadmap, STATE.md, MAP.md — immer wissen, wo du bist und was als nächstes kommt |
+| Sicherheitslücken beim Deployment | Security-Agent prüft OWASP Top 10, Secrets, Infrastruktur, KI-Risiken |
 ## Wie man mit FRAME arbeitet
@@ -108,7 +109,37 @@ Führe `/frame:research <Thema>` aus — Claude erkundet die Codebasis, externe
 /frame:ship
 ```
-### Verbesserung: Dashboard-Laden beschleunigen
+### Sicherheit: Audit vor dem Launch
+```
+/frame:daily
+# → Briefing zeigt: "Security: ⚠️ never run" — Zeit das zu beheben
+/frame:security
+# → vollständiger Projektscan über alle Kategorien:
+#   - Secrets: AWS-Keys, GitHub-Tokens, Stripe-Keys, Private Keys, .env in Git
+#   - OWASP Top 10: SQL-Injection, XSS, CSRF, Path Traversal, SSRF, Command Injection
+#   - Infrastruktur: Dockerfile (Root-User, :latest), Debug-Endpunkte
+#   - KI/LLM: Prompt Injection, unsichere Ausgabeverarbeitung, System-Prompt-Leak
+#   - Abhängigkeiten: bekannte CVEs via npm audit
+# → Bericht gespeichert unter .planning/reports/security/security-{date}.md
+# → STATE.md mit Security Status aktualisiert
+# Bei CRITICAL-Befunden:
+# ⛔ Ship BLOCKIERT. Kritische Befunde vor /frame:ship beheben.
+# → Bericht öffnen, jeden CRITICAL-Punkt beheben, /frame:security erneut ausführen
+# Wenn alles sauber:
+# ✓ Keine kritischen Probleme. Sicher fortzufahren.
+/frame:ship
+# → Sicherheitsprüfung bestanden, commit und push
+# Gezielte Scans wenn du weißt wonach du suchst:
+/frame:security secrets          # nur Secrets (~30 Sekunden)
+/frame:security src/api/         # bestimmtes Verzeichnis scannen
+```
 ```
 /frame:daily
@@ -141,10 +172,11 @@ Führe `/frame:research <Thema>` aus — Claude erkundet die Codebasis, externe
 FRAME bietet:
 - **6-Phasen-Workflow**: Recherche → Plan → Build → Review → Ship → Reflect
-- **34 Befehle**: von schnellen Aufgaben bis zum vollständigen Feature-Entwicklungszyklus
-- **5 KI-Agenten**: Researcher, Planner, Builder, Reviewer, Devil's Advocate
+- **35 Befehle**: von schnellen Aufgaben bis zum vollständigen Feature-Entwicklungszyklus
+- **6 KI-Agenten**: Researcher, Planner, Builder, Reviewer, Devil's Advocate, Security
 - **Safety-Hooks**: blockieren destruktive Operationen, erzwingen Quality-Gates
 - **Git-Sicherheit**: Checkpoints, Rollback, Worktrees, Pause/Resume
+- **Sicherheitsaudit**: OWASP Top 10, Secret-Erkennung, Infrastruktur-Checks, KI/LLM-Risiken
 ## Voraussetzungen
@@ -222,6 +254,7 @@ Diese 7 Befehle decken 90% der Solo-Dev-Arbeit ab:
 | Befehl | Wann verwenden |
 |--------|---------------|
 | `/frame:review` | Vor dem Deployment — automatisierte Prüfungen + Checkliste |
+| `/frame:security` | Tiefer Sicherheitsaudit: Secrets, OWASP, Infrastruktur, KI/LLM-Risiken |
 | `/frame:health` | Vollständiger Projekt-Gesundheitscheck |
 | `/frame:check-deps` | Sicherheitsaudit + veraltete Pakete |
 | `/frame:performance` | Bundle-Größe und Lighthouse-Audit |
@@ -315,8 +348,8 @@ npx the-frame-ai version               # CLI-Version anzeigen
 ```
 .claude/
-  commands/          # 34 FRAME-Befehle
-  agents/            # 5 KI-Agenten
+  commands/          # 35 FRAME-Befehle
+  agents/            # 6 KI-Agenten
   hooks/             # 4 Safety-Hooks
 .frame/
   config.json        # FRAME-Konfiguration
@@ -327,7 +360,7 @@ npx the-frame-ai version               # CLI-Version anzeigen
   memory/            # Projektgedächtnis
   specs/             # Feature-Spezifikationen
   reviews/           # Review-Ergebnisse
-  reports/           # Berichte (täglich, Deps, Qualität, Sprint)
+  reports/           # Berichte (täglich, Deps, Qualität, Sprint, Sicherheit)
 ```
 ## Lizenz

package/README.es.md CHANGED Viewed

@@ -17,9 +17,10 @@ Si estás construyendo un producto solo con Claude Code y quieres trabajar como
 | Perder contexto entre sesiones | Memoria del proyecto y volcado automático de estado al inicio de sesión |
 | Caos en tareas y prioridades | Flujo de trabajo de 6 fases: Investigar → Planificar → Construir → Revisar → Publicar → Reflexionar |
 | Miedo a romper algo importante | Los safety hooks bloquean comandos destructivos antes de ejecutarse |
-| Tareas rutinarias repetitivas | 34 comandos listos para usar para el ciclo completo de desarrollo |
+| Tareas rutinarias repetitivas | 35 comandos listos para usar para el ciclo completo de desarrollo |
 | Funcionalidades complejas con dependencias | Subagentes paralelos para tareas independientes |
 | Sin estructura para el trabajo en solitario | Roadmap, STATE.md, MAP.md — siempre saber dónde estás y qué sigue |
+| Vulnerabilidades de seguridad al publicar | El agente de seguridad audita OWASP Top 10, secretos, infraestructura, riesgos de IA |
 ## Cómo trabajar con FRAME
@@ -108,7 +109,37 @@ Ejecuta `/frame:research <tema>` — Claude explora la base de código, fuentes
 /frame:ship
 ```
-### Mejora: acelerar la carga del dashboard
+### Seguridad: auditoría antes del lanzamiento
+```
+/frame:daily
+# → el briefing muestra: "Security: ⚠️ never run" — hora de solucionarlo
+/frame:security
+# → escaneo completo del proyecto en todas las categorías:
+#   - secretos: claves AWS, tokens GitHub, claves Stripe, claves privadas, .env en git
+#   - OWASP Top 10: inyección SQL, XSS, CSRF, path traversal, SSRF, inyección de comandos
+#   - infraestructura: Dockerfile (usuario root, :latest), endpoints de debug
+#   - IA/LLM: inyección de prompts, manejo inseguro de salida, filtración de system prompt
+#   - dependencias: CVEs conocidos via npm audit
+# → informe guardado en .planning/reports/security/security-{date}.md
+# → STATE.md actualizado con Security Status
+# Si hay hallazgos CRITICAL:
+# ⛔ Ship BLOQUEADO. Corrige los hallazgos críticos antes de /frame:ship.
+# → abre el informe, corrige cada punto CRITICAL, vuelve a ejecutar /frame:security
+# Si todo está limpio:
+# ✓ Sin problemas críticos. Seguro para continuar.
+/frame:ship
+# → verificación de seguridad superada, commit y push
+# Escaneos específicos cuando sabes qué buscar:
+/frame:security secrets          # solo secretos (~30 segundos)
+/frame:security src/api/         # escanear directorio específico
+```
 ```
 /frame:daily
@@ -141,10 +172,11 @@ Ejecuta `/frame:research <tema>` — Claude explora la base de código, fuentes
 FRAME proporciona:
 - **Flujo de trabajo de 6 fases**: Investigar → Planificar → Construir → Revisar → Publicar → Reflexionar
-- **34 comandos**: desde tareas rápidas hasta el ciclo completo de desarrollo de funcionalidades
-- **5 agentes de IA**: Investigador, Planificador, Constructor, Revisor, Abogado del Diablo
+- **35 comandos**: desde tareas rápidas hasta el ciclo completo de desarrollo de funcionalidades
+- **6 agentes de IA**: Investigador, Planificador, Constructor, Revisor, Abogado del Diablo, Seguridad
 - **Safety Hooks**: bloquean operaciones destructivas, aplican quality gates
 - **Git Safety**: checkpoints, rollback, worktrees, pausa/reanudación
+- **Auditoría de seguridad**: OWASP Top 10, detección de secretos, verificaciones de infraestructura, riesgos de IA/LLM
 ## Requisitos previos
@@ -222,6 +254,7 @@ Estos 7 comandos cubren el 90% del trabajo de desarrollo en solitario:
 | Comando | Cuándo usarlo |
 |---------|--------------|
 | `/frame:review` | Antes de desplegar — verificaciones automatizadas + lista de comprobación |
+| `/frame:security` | Auditoría de seguridad profunda: secretos, OWASP, infraestructura, riesgos IA/LLM |
 | `/frame:health` | Verificación completa del estado del proyecto |
 | `/frame:check-deps` | Auditoría de seguridad + paquetes desactualizados |
 | `/frame:performance` | Auditoría de tamaño de bundle y Lighthouse |
@@ -315,8 +348,8 @@ npx the-frame-ai version               # Mostrar versión del CLI
 ```
 .claude/
-  commands/          # 34 comandos FRAME
-  agents/            # 5 agentes de IA
+  commands/          # 35 comandos FRAME
+  agents/            # 6 agentes de IA
   hooks/             # 4 safety hooks
 .frame/
   config.json        # Configuración de FRAME
@@ -327,7 +360,7 @@ npx the-frame-ai version               # Mostrar versión del CLI
   memory/            # Memoria del proyecto
   specs/             # Especificaciones de funcionalidades
   reviews/           # Resultados de revisiones
-  reports/           # Informes (diario, deps, calidad, sprint)
+  reports/           # Informes (diario, deps, calidad, sprint, seguridad)
 ```
 ## Licencia

package/README.hi.md CHANGED Viewed

@@ -17,9 +17,10 @@ FRAME — AI-सहायता प्राप्त एकल विकास
 | सत्रों के बीच संदर्भ खोना | प्रोजेक्ट मेमोरी और सत्र शुरू होने पर स्वचालित स्थिति डंप |
 | कार्यों और प्राथमिकताओं में अव्यवस्था | 6-चरण वर्कफ़्लो: अनुसंधान → योजना → निर्माण → समीक्षा → शिप → प्रतिबिंब |
 | कुछ महत्वपूर्ण तोड़ने का डर | सेफ्टी हुक्स विनाशकारी कमांड को चलने से पहले ब्लॉक करते हैं |
-| दोहराव वाले नियमित कार्य | पूर्ण विकास चक्र के लिए 34 तैयार कमांड |
+| दोहराव वाले नियमित कार्य | पूर्ण विकास चक्र के लिए 35 तैयार कमांड |
 | निर्भरताओं वाली जटिल सुविधाएं | स्वतंत्र कार्यों के लिए समानांतर सब-एजेंट |
 | एकल कार्य के लिए कोई संरचना नहीं | Roadmap, STATE.md, MAP.md — हमेशा जानें आप कहां हैं और आगे क्या है |
+| डिप्लॉय पर सुरक्षा कमजोरियां | Security एजेंट OWASP Top 10, secrets, infrastructure, AI risks की जांच करता है |
 ## FRAME के साथ कैसे काम करें
@@ -108,7 +109,37 @@ FRAME — AI-सहायता प्राप्त एकल विकास
 /frame:ship
 ```
-### सुधार: डैशबोर्ड लोडिंग तेज करें
+### सुरक्षा: लॉन्च से पहले ऑडिट
+```
+/frame:daily
+# → ब्रीफिंग दिखाता है: "Security: ⚠️ never run" — इसे ठीक करने का समय
+/frame:security
+# → सभी श्रेणियों में पूर्ण प्रोजेक्ट स्कैन:
+#   - secrets: AWS keys, GitHub tokens, Stripe keys, private keys, git में .env
+#   - OWASP Top 10: SQL injection, XSS, CSRF, path traversal, SSRF, command injection
+#   - infrastructure: Dockerfile (root user, :latest), debug endpoints
+#   - AI/LLM: prompt injection, असुरक्षित output handling, system prompt leakage
+#   - dependencies: npm audit के माध्यम से ज्ञात CVE
+# → रिपोर्ट .planning/reports/security/security-{date}.md में सहेजी जाती है
+# → STATE.md Security Status के साथ अपडेट होता है
+# CRITICAL निष्कर्ष होने पर:
+# ⛔ Ship BLOCKED. /frame:ship से पहले critical findings ठीक करें।
+# → रिपोर्ट खोलें, प्रत्येक CRITICAL आइटम ठीक करें, /frame:security फिर चलाएं
+# सब कुछ साफ होने पर:
+# ✓ कोई critical समस्या नहीं। आगे बढ़ना सुरक्षित है।
+/frame:ship
+# → security check पास, commit और push
+# जब आप जानते हों क्या खोजना है तो targeted scans:
+/frame:security secrets          # केवल secrets (~30 सेकंड)
+/frame:security src/api/         # specific directory स्कैन करें
+```
 ```
 /frame:daily
@@ -141,10 +172,11 @@ FRAME — AI-सहायता प्राप्त एकल विकास
 FRAME प्रदान करता है:
 - **6-चरण वर्कफ़्लो**: अनुसंधान → योजना → निर्माण → समीक्षा → शिप → प्रतिबिंब
-- **34 कमांड**: त्वरित कार्यों से लेकर पूर्ण सुविधा विकास चक्र तक
-- **5 AI एजेंट**: शोधकर्ता, योजनाकार, निर्माता, समीक्षक, शैतान का वकील
+- **35 कमांड**: त्वरित कार्यों से लेकर पूर्ण सुविधा विकास चक्र तक
+- **6 AI एजेंट**: शोधकर्ता, योजनाकार, निर्माता, समीक्षक, शैतान का वकील, सुरक्षा
 - **सेफ्टी हुक्स**: विनाशकारी ऑपरेशन ब्लॉक करते हैं, गुणवत्ता गेट लागू करते हैं
 - **Git सुरक्षा**: चेकपॉइंट, रोलबैक, वर्कट्री, पॉज/रिज्यूम
+- **Security Auditing**: OWASP Top 10, secret detection, infrastructure checks, AI/LLM risks
 ## पूर्वापेक्षाएं
@@ -222,6 +254,7 @@ npx the-frame-ai init
 | कमांड | कब उपयोग करें |
 |-------|--------------|
 | `/frame:review` | डिप्लॉय करने से पहले — स्वचालित जांच + चेकलिस्ट |
+| `/frame:security` | गहरा सुरक्षा ऑडिट: secrets, OWASP, infrastructure, AI/LLM risks |
 | `/frame:health` | पूर्ण प्रोजेक्ट स्वास्थ्य जांच |
 | `/frame:check-deps` | सुरक्षा ऑडिट + पुराने पैकेज |
 | `/frame:performance` | Bundle आकार और Lighthouse ऑडिट |
@@ -315,8 +348,8 @@ npx the-frame-ai version               # CLI संस्करण दिखा
 ```
 .claude/
-  commands/          # 34 FRAME कमांड
-  agents/            # 5 AI एजेंट
+  commands/          # 35 FRAME कमांड
+  agents/            # 6 AI एजेंट
   hooks/             # 4 सेफ्टी हुक्स
 .frame/
   config.json        # FRAME कॉन्फ़िगरेशन
@@ -327,7 +360,7 @@ npx the-frame-ai version               # CLI संस्करण दिखा
   memory/            # प्रोजेक्ट मेमोरी
   specs/             # सुविधा विशिष्टताएं
   reviews/           # समीक्षा परिणाम
-  reports/           # रिपोर्ट (दैनिक, deps, गुणवत्ता, स्प्रिंट)
+  reports/           # रिपोर्ट (दैनिक, deps, गुणवत्ता, स्प्रिंट, सुरक्षा)
 ```
 ## लाइसेंस

package/README.ja.md CHANGED Viewed

@@ -17,9 +17,10 @@ Claude Codeで一人でプロダクトを作っていて、チームのように
 | セッション間でコンテキストを失う | プロジェクトメモリとセッション開始時の自動状態ダンプ |
 | タスクと優先順位の混乱 | 6フェーズワークフロー：調査 → 計画 → 構築 → レビュー → リリース → 振り返り |
 | 重要なものを壊す恐れ | セーフティフックが破壊的コマンドを実行前にブロック |
-| 繰り返しのルーティンタスク | 完全な開発サイクルに対応した34の既製コマンド |
+| 繰り返しのルーティンタスク | 完全な開発サイクルに対応した35の既製コマンド |
 | 依存関係のある複雑な機能 | 独立したタスクのための並列サブエージェント |
 | ソロ作業の構造不足 | Roadmap、STATE.md、MAP.md — 現在地と次のステップを常に把握 |
+| デプロイ時のセキュリティ脆弱性 | セキュリティエージェントがOWASP Top 10、シークレット、インフラ、AIリスクを監査 |
 ## FRAMEの使い方
@@ -108,7 +109,37 @@ Claude Codeで一人でプロダクトを作っていて、チームのように
 /frame:ship
 ```
-### 改善：ダッシュボードの読み込みを高速化する
+### セキュリティ：リリース前の監査
+```
+/frame:daily
+# → ブリーフィングに表示："Security: ⚠️ never run" — 対処する時です
+/frame:security
+# → 全カテゴリにわたるプロジェクト全体のスキャン：
+#   - シークレット：AWSキー、GitHubトークン、Stripeキー、秘密鍵、gitの.env
+#   - OWASP Top 10：SQLインジェクション、XSS、CSRF、パストラバーサル、SSRF、コマンドインジェクション
+#   - インフラ：Dockerfile（rootユーザー、:latest）、デバッグエンドポイント
+#   - AI/LLM：プロンプトインジェクション、安全でない出力処理、システムプロンプト漏洩
+#   - 依存関係：npm auditによる既知のCVE
+# → レポートは .planning/reports/security/security-{date}.md に保存
+# → STATE.md が Security Status で更新
+# CRITICAL な発見がある場合：
+# ⛔ Ship がブロックされました。/frame:ship の前に重大な発見を修正してください。
+# → レポートを開き、各 CRITICAL 項目を修正し、/frame:security を再実行
+# クリーンな場合：
+# ✓ 重大な問題なし。安全に進められます。
+/frame:ship
+# → セキュリティチェック通過、コミットとプッシュ
+# 何を探すか分かっている場合のターゲットスキャン：
+/frame:security secrets          # シークレットのみ（約30秒）
+/frame:security src/api/         # 特定ディレクトリをスキャン
+```
 ```
 /frame:daily
@@ -141,10 +172,11 @@ Claude Codeで一人でプロダクトを作っていて、チームのように
 FRAMEが提供するもの：
 - **6フェーズワークフロー**：調査 → 計画 → 構築 → レビュー → リリース → 振り返り
-- **34コマンド**：クイックタスクから完全な機能開発サイクルまで
-- **5つのAIエージェント**：リサーチャー、プランナー、ビルダー、レビュアー、悪魔の代弁者
+- **35コマンド**：クイックタスクから完全な機能開発サイクルまで
+- **6つのAIエージェント**：リサーチャー、プランナー、ビルダー、レビュアー、悪魔の代弁者、セキュリティ
 - **セーフティフック**：破壊的操作をブロック、品質ゲートを強制
 - **Git安全機能**：チェックポイント、ロールバック、ワークツリー、一時停止/再開
+- **セキュリティ監査**：OWASP Top 10、シークレット検出、インフラチェック、AI/LLMリスク
 ## 前提条件
@@ -222,6 +254,7 @@ npx the-frame-ai init
 | コマンド | 使用タイミング |
 |---------|-------------|
 | `/frame:review` | デプロイ前 — 自動チェック + チェックリスト |
+| `/frame:security` | 深度セキュリティ監査：シークレット、OWASP、インフラ、AI/LLMリスク |
 | `/frame:health` | プロジェクト全体のヘルスチェック |
 | `/frame:check-deps` | セキュリティ監査 + 古いパッケージ |
 | `/frame:performance` | バンドルサイズとLighthouse監査 |
@@ -315,8 +348,8 @@ npx the-frame-ai version               # CLIバージョンを表示
 ```
 .claude/
-  commands/          # 34のFRAMEコマンド
-  agents/            # 5つのAIエージェント
+  commands/          # 35のFRAMEコマンド
+  agents/            # 6つのAIエージェント
   hooks/             # 4つのセーフティフック
 .frame/
   config.json        # FRAME設定
@@ -327,7 +360,7 @@ npx the-frame-ai version               # CLIバージョンを表示
   memory/            # プロジェクトメモリ
   specs/             # 機能仕様
   reviews/           # レビュー結果
-  reports/           # レポート（日次、deps、品質、スプリント）
+  reports/           # レポート（日次、deps、品質、スプリント、セキュリティ）
 ```
 ## ライセンス

package/README.md CHANGED Viewed

@@ -17,9 +17,10 @@ If you're building a product alone with Claude Code and want to work like a team
 | Losing context between sessions | Project memory and automatic state dump on session start |
 | Chaos in tasks and priorities | 6-phase workflow: Research → Plan → Build → Review → Ship → Reflect |
 | Fear of breaking something important | Safety hooks block destructive commands before they run |
-| Repetitive routine tasks | 34 ready-made commands for the full development cycle |
+| Repetitive routine tasks | 35 ready-made commands for the full development cycle |
 | Complex features with dependencies | Parallel subagents for independent tasks |
 | No structure for solo work | Roadmap, STATE.md, MAP.md — always know where you are and what's next |
+| Shipping code with security holes | Security agent audits OWASP Top 10, secrets, infra, AI risks before deploy |
 ## How to work with FRAME
@@ -136,15 +137,48 @@ Run `/frame:research <topic>` — Claude explores the codebase, external sources
 /frame:ship
 ```
+### Security: audit before launch
+```
+/frame:daily
+# → briefing shows: "Security: ⚠️ never run" — time to fix that
+/frame:security
+# → full project scan across all categories:
+#   - secrets: AWS keys, GitHub tokens, Stripe keys, private keys, .env in git
+#   - OWASP Top 10: SQL injection, XSS, CSRF, path traversal, SSRF, command injection
+#   - infrastructure: Dockerfile (root user, :latest), debug endpoints, missing .dockerignore
+#   - AI/LLM: prompt injection, insecure output handling, system prompt leakage
+#   - dependencies: known CVEs via npm audit
+# → report saved to .planning/reports/security/security-{date}.md
+# → STATE.md updated with Security Status
+# If CRITICAL findings:
+# ⛔ Ship BLOCKED. Fix critical findings before /frame:ship.
+# → open the report, fix each CRITICAL item, re-run /frame:security
+# If clean:
+# ✓ No critical issues. Safe to proceed.
+/frame:ship
+# → security check passes, commit and push
+# Targeted scans when you know what to look for:
+/frame:security secrets          # secrets-only scan (~30 seconds)
+/frame:security src/api/         # scan specific directory
+```
 ## What's inside
 FRAME provides:
 - **6-phase workflow**: Research → Plan → Build → Review → Ship → Reflect
-- **34 commands**: from quick tasks to full feature development cycle
-- **5 AI agents**: Researcher, Planner, Builder, Reviewer, Devil's Advocate
+- **35 commands**: from quick tasks to full feature development cycle
+- **6 AI agents**: Researcher, Planner, Builder, Reviewer, Devil's Advocate, Security
 - **Safety Hooks**: block destructive operations, enforce quality gates
 - **Git Safety**: checkpoints, rollback, worktrees, pause/resume
+- **Security Auditing**: OWASP Top 10, secret detection, infrastructure checks, AI/LLM risks
 ## Prerequisites
@@ -222,8 +256,9 @@ These 7 commands cover 90% of solo dev work:
 | Command | When to use |
 |---------|-------------|
 | `/frame:review` | Before deploying — automated checks + checklist |
+| `/frame:security` | Deep security audit: secrets, OWASP, infra, AI/LLM risks |
 | `/frame:health` | Full project health check |
-| `/frame:check-deps` | Security audit + outdated packages |
+| `/frame:check-deps` | Dependency vulnerabilities + outdated packages |
 | `/frame:performance` | Bundle size and Lighthouse audit |
 </details>
@@ -315,8 +350,8 @@ npx the-frame-ai version               # Show CLI version
 ```
 .claude/
-  commands/          # 34 FRAME commands
-  agents/            # 5 AI agents
+  commands/          # 35 FRAME commands
+  agents/            # 6 AI agents
   hooks/             # 4 safety hooks
 .frame/
   config.json        # FRAME configuration
@@ -327,7 +362,7 @@ npx the-frame-ai version               # Show CLI version
   memory/            # Project memory
   specs/             # Feature specs
   reviews/           # Review results
-  reports/           # Reports (daily, deps, quality, sprint)
+  reports/           # Reports (daily, deps, quality, sprint, security)
 ```
 ## License

package/README.ru.md CHANGED Viewed

@@ -15,9 +15,10 @@
 | Потеря контекста между сессиями | Память проекта и автоматический дамп состояния при старте |
 | Хаос в задачах и приоритетах | 6-фазный воркфлоу: Research → Plan → Build → Review → Ship → Reflect |
 | Страх сломать что-то важное | Safety-хуки блокируют деструктивные команды до их выполнения |
-| Долгие однотипные задачи | 34 готовые команды для всего цикла разработки |
+| Долгие однотипные задачи | 35 готовых команд для всего цикла разработки |
 | Сложные фичи с зависимостями | Параллельные субагенты для независимых задач |
 | Нет структуры для соло-работы | Роадмап, STATE.md, MAP.md — всегда знаешь где ты и что дальше |
+| Уязвимости в коде при деплое | Security-агент проверяет OWASP Top 10, секреты, инфраструктуру, AI-риски |
 ## Как работать с FRAME
@@ -106,7 +107,37 @@ Research → Plan → Build → Review → Ship → Reflect
 /frame:ship
 ```
-### Улучшение: ускорить загрузку дашборда
+### Безопасность: аудит перед запуском
+```
+/frame:daily
+# → в брифинге видишь: "Security: ⚠️ never run" — пора исправить
+/frame:security
+# → полное сканирование проекта по всем категориям:
+#   - секреты: AWS-ключи, GitHub-токены, Stripe-ключи, приватные ключи, .env в git
+#   - OWASP Top 10: SQL-инъекции, XSS, CSRF, path traversal, SSRF, command injection
+#   - инфраструктура: Dockerfile (root-пользователь, :latest), debug-эндпоинты
+#   - AI/LLM: prompt injection, небезопасная обработка вывода, утечка system prompt
+#   - зависимости: известные CVE через npm audit
+# → отчёт сохраняется в .planning/reports/security/security-{date}.md
+# → STATE.md обновляется с Security Status
+# Если найдены CRITICAL-проблемы:
+# ⛔ Ship ЗАБЛОКИРОВАН. Исправь критические находки перед /frame:ship.
+# → открой отчёт, исправь каждый CRITICAL-пункт, запусти /frame:security снова
+# Если всё чисто:
+# ✓ Критических проблем нет. Можно продолжать.
+/frame:ship
+# → проверка безопасности пройдена, коммит и пуш
+# Точечные сканирования когда знаешь что искать:
+/frame:security secrets          # только секреты (~30 секунд)
+/frame:security src/api/         # сканировать конкретную директорию
+```
 ```
 /frame:daily
@@ -139,10 +170,11 @@ Research → Plan → Build → Review → Ship → Reflect
 FRAME даёт:
 - **6-фазный воркфлоу**: Research → Plan → Build → Review → Ship → Reflect
-- **34 команды**: от быстрых задач до полного цикла разработки фичи
-- **5 AI-агентов**: Researcher, Planner, Builder, Reviewer, Devil's Advocate
+- **35 команд**: от быстрых задач до полного цикла разработки фичи
+- **6 AI-агентов**: Researcher, Planner, Builder, Reviewer, Devil's Advocate, Security
 - **Safety Hooks**: блокируют деструктивные операции, запускают quality gates
 - **Git Safety**: чекпоинты, откат, worktrees, пауза/возобновление
+- **Security Auditing**: OWASP Top 10, обнаружение секретов, проверки инфраструктуры, AI/LLM-риски
 ## Требования
@@ -220,6 +252,7 @@ npx the-frame init
 | Команда | Когда использовать |
 |---------|-------------------|
 | `/frame:review` | Перед деплоем — автоматические проверки + чеклист |
+| `/frame:security` | Глубокий аудит безопасности: секреты, OWASP, инфра, AI/LLM-риски |
 | `/frame:health` | Полная проверка здоровья проекта |
 | `/frame:check-deps` | Аудит безопасности + устаревшие пакеты |
 | `/frame:performance` | Размер бандла и Lighthouse-аудит |
@@ -313,8 +346,8 @@ npx the-frame version                  # Показать версию CLI
 ```
 .claude/
-  commands/          # 34 команды FRAME
-  agents/            # 5 AI-агентов
+  commands/          # 35 команд FRAME
+  agents/            # 6 AI-агентов
   hooks/             # 4 safety-хука
 .frame/
   config.json        # Конфигурация FRAME
@@ -325,7 +358,7 @@ npx the-frame version                  # Показать версию CLI
   memory/            # Память проекта
   specs/             # Спецификации фич
   reviews/           # Результаты ревью
-  reports/           # Отчёты (daily, deps, quality, sprint)
+  reports/           # Отчёты (daily, deps, quality, sprint, security)
 ```
 ## Лицензия

package/README.zh.md CHANGED Viewed

@@ -17,9 +17,10 @@ FRAME — 面向 AI 辅助独立开发的框架
 | 会话之间丢失上下文 | 项目记忆和会话开始时自动状态转储 |
 | 任务和优先级混乱 | 6 阶段工作流：研究 → 计划 → 构建 → 审查 → 发布 → 反思 |
 | 害怕破坏重要内容 | 安全钩子在运行前阻止破坏性命令 |
-| 重复性日常任务 | 34 个现成命令覆盖完整开发周期 |
+| 重复性日常任务 | 35 个现成命令覆盖完整开发周期 |
 | 具有依赖关系的复杂功能 | 并行子代理处理独立任务 |
 | 独立工作缺乏结构 | Roadmap、STATE.md、MAP.md——始终知道你在哪里以及下一步是什么 |
+| 发布时存在安全漏洞 | 安全代理审计 OWASP Top 10、密钥泄露、基础设施、AI 风险 |
 ## 如何使用 FRAME
@@ -108,7 +109,37 @@ FRAME — 面向 AI 辅助独立开发的框架
 /frame:ship
 ```
-### 改进：加速仪表板加载
+### 安全：发布前审计
+```
+/frame:daily
+# → 简报显示："Security: ⚠️ never run" — 是时候解决了
+/frame:security
+# → 全项目扫描，覆盖所有类别：
+#   - 密钥：AWS 密钥、GitHub 令牌、Stripe 密钥、私钥、git 中的 .env
+#   - OWASP Top 10：SQL 注入、XSS、CSRF、路径遍历、SSRF、命令注入
+#   - 基础设施：Dockerfile（root 用户、:latest）、调试端点
+#   - AI/LLM：提示注入、不安全的输出处理、系统提示泄露
+#   - 依赖项：通过 npm audit 检查已知 CVE
+# → 报告保存至 .planning/reports/security/security-{date}.md
+# → STATE.md 更新 Security Status
+# 如果发现 CRITICAL 问题：
+# ⛔ Ship 已阻止。在 /frame:ship 之前修复严重发现。
+# → 打开报告，修复每个 CRITICAL 项，重新运行 /frame:security
+# 如果一切正常：
+# ✓ 没有严重问题。可以安全继续。
+/frame:ship
+# → 安全检查通过，提交并推送
+# 当你知道要找什么时进行针对性扫描：
+/frame:security secrets          # 仅扫描密钥（约 30 秒）
+/frame:security src/api/         # 扫描特定目录
+```
 ```
 /frame:daily
@@ -141,10 +172,11 @@ FRAME — 面向 AI 辅助独立开发的框架
 FRAME 提供：
 - **6 阶段工作流**：研究 → 计划 → 构建 → 审查 → 发布 → 反思
-- **34 个命令**：从快速任务到完整功能开发周期
-- **5 个 AI 代理**：研究员、规划师、构建者、审查员、魔鬼代言人
+- **35 个命令**：从快速任务到完整功能开发周期
+- **6 个 AI 代理**：研究员、规划师、构建者、审查员、魔鬼代言人、安全审计员
 - **安全钩子**：阻止破坏性操作，强制执行质量门控
 - **Git 安全**：检查点、回滚、工作树、暂停/恢复
+- **安全审计**：OWASP Top 10、密钥检测、基础设施检查、AI/LLM 风险
 ## 前提条件
@@ -222,6 +254,7 @@ npx the-frame-ai init
 | 命令 | 使用时机 |
 |------|---------|
 | `/frame:review` | 部署前——自动化检查 + 清单 |
+| `/frame:security` | 深度安全审计：密钥、OWASP、基础设施、AI/LLM 风险 |
 | `/frame:health` | 完整项目健康检查 |
 | `/frame:check-deps` | 安全审计 + 过时包 |
 | `/frame:performance` | Bundle 大小和 Lighthouse 审计 |
@@ -315,8 +348,8 @@ npx the-frame-ai version               # 显示 CLI 版本
 ```
 .claude/
-  commands/          # 34 个 FRAME 命令
-  agents/            # 5 个 AI 代理
+  commands/          # 35 个 FRAME 命令
+  agents/            # 6 个 AI 代理
   hooks/             # 4 个安全钩子
 .frame/
   config.json        # FRAME 配置
@@ -327,7 +360,7 @@ npx the-frame-ai version               # 显示 CLI 版本
   memory/            # 项目记忆
   specs/             # 功能规格
   reviews/           # 审查结果
-  reports/           # 报告（日常、依赖、质量、冲刺）
+  reports/           # 报告（日常、依赖、质量、冲刺、安全）
 ```
 ## 许可证