npm - timsquad - Versions diffs - 3.3.0 → 3.5.0 - Mend

timsquad 3.3.0 → 3.5.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (196) hide show

package/templates/base/skills/mobile/flutter/security/rules/ssl-pinning.md ADDED Viewed

@@ -0,0 +1,197 @@
+---
+title: SSL Pinning
+impact: HIGH
+impactDescription: "미적용 → MITM 공격에 API 통신 노출, 토큰/데이터 탈취"
+tags: ssl, tls, certificate-pinning, public-key-pinning, dio, mitm
+---
+## SSL Pinning
+**Impact: HIGH (미적용 → MITM 공격에 API 통신 노출, 토큰/데이터 탈취)**
+Dio SecurityContext 기반 인증서/공개키 pinning.
+프록시 도구(Charles, mitmproxy)를 통한 API 통신 감청 방지.
+### 의존성
+```yaml
+# pubspec.yaml
+dependencies:
+  dio: ^5.7.0
+```
+### 인증서 Pinning
+**Incorrect (pinning 없이 기본 HTTP 클라이언트 사용):**
+```dart
+final dio = Dio(BaseOptions(baseUrl: 'https://api.example.com'));
+// → 루팅 기기 + Charles Proxy → 모든 API 통신 감청 가능
+// → 사용자 토큰, 개인정보 탈취
+```
+**Correct (인증서 pinning 적용):**
+```dart
+class PinnedHttpClient {
+  /// 인증서 pinning이 적용된 Dio 인스턴스 생성
+  static Dio create({required String baseUrl}) {
+    final securityContext = SecurityContext(withTrustedRoots: false);
+    // 서버 인증서를 앱에 번들
+    // assets/certificates/api_cert.pem
+    final certData = rootBundle.load('assets/certificates/api_cert.pem');
+    return Dio(BaseOptions(baseUrl: baseUrl))
+      ..httpClientAdapter = IOHttpClientAdapter(
+        createHttpClient: () {
+          final client = HttpClient(context: securityContext);
+          client.badCertificateCallback = (cert, host, port) {
+            // 핀 검증 실패 → 연결 거부
+            return false;
+          };
+          return client;
+        },
+      );
+  }
+}
+```
+### 공개키 Pinning (권장)
+```dart
+/// 공개키 pinning — 인증서 갱신 시에도 공개키가 동일하면 동작
+class PublicKeyPinnedClient {
+  // SHA-256 공개키 해시 (base64)
+  // openssl 명령어로 추출:
+  // openssl s_client -connect api.example.com:443 | \
+  //   openssl x509 -pubkey -noout | \
+  //   openssl pkey -pubin -outform der | \
+  //   openssl dgst -sha256 -binary | base64
+  static const _pinnedKeys = [
+    'AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=', // 현재 키
+    'BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB=', // 백업 키
+  ];
+  static Dio create({required String baseUrl}) {
+    return Dio(BaseOptions(baseUrl: baseUrl))
+      ..httpClientAdapter = IOHttpClientAdapter(
+        createHttpClient: () {
+          final client = HttpClient();
+          client.badCertificateCallback = (X509Certificate cert, String host, int port) {
+            // 공개키 해시 비교
+            final certHash = sha256
+                .convert(cert.der)
+                .toString();
+            // 핀 목록에 포함되어 있으면 허용
+            return _pinnedKeys.contains(certHash);
+          };
+          return client;
+        },
+      );
+  }
+}
+```
+### 핀 업데이트 전략
+```dart
+/// 원격 핀 설정 — 인증서 만료 시 앱 업데이트 없이 핀 교체
+class RemotePinManager {
+  final SecureStorageService _storage;
+  final Dio _bootstrapDio; // pinning 없는 초기 요청용 (최초 1회)
+  RemotePinManager({
+    required SecureStorageService storage,
+    required Dio bootstrapDio,
+  })  : _storage = storage,
+        _bootstrapDio = bootstrapDio;
+  /// 앱 시작 시 핀 목록 갱신
+  Future<List<String>> fetchPins() async {
+    // 1. 로컬 캐시 확인
+    final cached = await _storage.getPinnedKeys();
+    if (cached != null && cached.isNotEmpty) {
+      return cached;
+    }
+    // 2. 서버에서 핀 목록 가져오기 (최초 또는 캐시 만료)
+    try {
+      final response = await _bootstrapDio.get('/security/pins');
+      final pins = (response.data['pins'] as List).cast<String>();
+      await _storage.savePinnedKeys(pins);
+      return pins;
+    } catch (e) {
+      // 3. 하드코딩 폴백 (앱 번들)
+      return PublicKeyPinnedClient._pinnedKeys;
+    }
+  }
+}
+```
+### 디버그/개발 환경 처리
+```dart
+/// 개발 환경에서만 pinning 비활성화
+Dio createApiClient({required String baseUrl}) {
+  if (kDebugMode) {
+    // 개발 환경: Charles Proxy 등 디버깅 도구 허용
+    return Dio(BaseOptions(baseUrl: baseUrl));
+  }
+  // 프로덕션: pinning 적용
+  return PublicKeyPinnedClient.create(baseUrl: baseUrl);
+}
+// 주의: kDebugMode가 아닌 커스텀 플래그 사용 시
+// Release 빌드에서 실수로 pinning 비활성화 위험
+// → kDebugMode (컴파일 타임 상수) 사용 권장
+```
+### 플랫폼별 고려사항
+```
+iOS:
+- App Transport Security (ATS) → TLS 1.2 이상 강제 (기본)
+- NSAllowsArbitraryLoads: false 유지 (HTTP 차단)
+- 개발 서버 예외: NSExceptionDomains에 로컬 서버만 추가
+Android:
+- Network Security Config (res/xml/network_security_config.xml)
+- 기본: 시스템 CA만 신뢰 (Android 7+)
+- 사용자 CA 차단: <trust-anchors><certificates src="system"/></trust-anchors>
+- 디버그 빌드 예외: <debug-overrides><trust-anchors><certificates src="user"/></trust-anchors></debug-overrides>
+```
+```xml
+<!-- android/app/src/main/res/xml/network_security_config.xml -->
+<?xml version="1.0" encoding="utf-8"?>
+<network-security-config>
+  <base-config cleartextTrafficPermitted="false">
+    <trust-anchors>
+      <certificates src="system"/>
+    </trust-anchors>
+  </base-config>
+  <debug-overrides>
+    <trust-anchors>
+      <certificates src="user"/>
+    </trust-anchors>
+  </debug-overrides>
+</network-security-config>
+```
+### 규칙
+- 프로덕션 → SSL pinning 필수 (인증서 또는 공개키)
+- 공개키 pinning 권장 → 인증서 갱신 시에도 동일 키면 동작
+- 백업 핀 최소 1개 → 키 롤오버 시 앱 업데이트 없이 전환
+- `badCertificateCallback` → 핀 불일치 시 `return false` (연결 거부)
+- 디버그 모드 → `kDebugMode`로 pinning 비활성화 (프록시 디버깅용)
+- `kDebugMode` 외 커스텀 플래그 → Release에서 실수로 비활성화 위험
+- Android → `network_security_config.xml` 에서 cleartext 차단 + 사용자 CA 차단
+- iOS → ATS 기본 유지, `NSAllowsArbitraryLoads: false`
+- 핀 만료 대비 → 원격 핀 업데이트 또는 하드코딩 백업 핀
+- 인증서 교체 주기 → 핀 업데이트 배포 일정과 동기화

package/templates/base/skills/stability-verification/SKILL.md ADDED Viewed

@@ -0,0 +1,64 @@
+---
+name: stability-verification
+description: |
+  프로젝트 안정성 검증 스킬. 릴리스/스프린트 완료 전 6-Layer 자동+수동 검증 수행.
+  L0(정적분석) → L1(유닛테스트) → L2(보안스캔) → L3(쉘스크립트) → L4(통합) → L5(패키지).
+  각 레이어는 fail-closed(기본) 또는 fail-open 정책 적용.
+  사용 시점: 릴리스 전, 스프린트 완료 시, 보안 감사 요청 시.
+version: "1.0.0"
+tags: [verification, security, quality, release]
+user-invocable: false
+---
+# Stability Verification
+프로젝트 안정성을 6-Layer 피라미드로 검증한다. 빠르고 저렴한 검사부터 실행하여 초기 실패를 빠르게 잡는다.
+## Philosophy
+- **빠른 것부터**: L0(5초) → L5(30초) 순서로 실행, 첫 실패 시 멈춤
+- **Fail-closed 기본**: 모든 레이어는 기본 차단, 명시적 opt-out만 허용
+- **자동 + 수동 병행**: L0~L5는 스크립트 자동화, L6는 사람이 확인
+## Resources
+| Priority | Type | Resource | Description |
+|----------|------|----------|-------------|
+| CRITICAL | script | [verify.sh](scripts/verify.sh) | 전체 레이어 오케스트레이터 |
+| CRITICAL | rule | [verification-layers](rules/verification-layers.md) | 6-Layer 정의 + 실패 정책 |
+| HIGH | rule | [verification-workflow](rules/verification-workflow.md) | 검증 실행 워크플로우 패턴 |
+| HIGH | ref | [security-fix-patterns](references/security-fix-patterns.md) | 취약점별 수정 패턴 모음 |
+| MEDIUM | ref | [release-checklist](references/release-checklist.md) | L6 수동 릴리스 체크리스트 |
+## Quick Rules
+### 검증 실행
+- `bash .claude/skills/stability-verification/scripts/verify.sh` 로 전체 실행
+- `--layer L0` 으로 특정 레이어만 실행
+- `--skip L3` 으로 특정 레이어 건너뛰기
+### Fail Policy
+- L0(정적분석), L1(유닛테스트), L5(패키지): **항상 fail-closed**
+- L2(보안): critical/high = fail-closed, moderate/low = fail-open
+- L3(쉘테스트), L4(통합): fail-closed, `--skip` 가능
+### 이슈 발견 시 수정 워크플로우
+1. 이슈 분류 (CRITICAL > HIGH > MEDIUM > LOW)
+2. 수정 패턴 리서치 (스킬 검색 + 웹 참조)
+3. 수정 계획 수립 (패턴 기반)
+4. 수정 적용 + 재검증
+## Checklist
+| Priority | Item |
+|----------|------|
+| CRITICAL | `tsc --noEmit` 에러 0개 |
+| CRITICAL | `npm run test:unit` 전체 통과 |
+| CRITICAL | `execSync` 대신 `execFileSync` (커맨드 인젝션 방지) |
+| HIGH | `shellcheck --severity=warning` 모든 .sh 경고 0개 |
+| HIGH | `npm audit --audit-level=high` 취약점 0개 |
+| HIGH | JSON 출력은 `jq -n --arg` 사용 (문자열 보간 금지) |
+| HIGH | jq 호출에 `|| echo ""` fail-open 폴백 |
+| MEDIUM | `npm pack --dry-run` 의도한 파일만 포함 |
+| MEDIUM | `.gitignore`에 .env, *.pem, *.key 포함 |
+| MEDIUM | `grep -- "$var"` 분리자 사용 |

package/templates/base/skills/stability-verification/references/release-checklist.md ADDED Viewed

@@ -0,0 +1,34 @@
+---
+title: Release Checklist
+category: guide
+---
+# L6: 릴리스 체크리스트 (수동)
+릴리스 전 사람이 확인하는 항목. `verify.sh`가 커버하지 않는 영역.
+## 버전 관리
+- [ ] `package.json` version이 의도한 릴리스 버전과 일치
+- [ ] CHANGELOG.md에 모든 변경사항 반영
+- [ ] Breaking changes 별도 섹션에 기술
+## 문서
+- [ ] README.md에 새 기능/명령 반영
+- [ ] PRD.md 버전 히스토리 업데이트
+- [ ] 메모리 파일 현재 상태 반영
+## Git
+- [ ] `main` 브랜치에서 릴리스 (clean working tree)
+- [ ] 모든 변경이 커밋됨 (`git status` clean)
+- [ ] 릴리스 태그 생성 (`git tag v{version}`)
+## npm 배포
+- [ ] `npm run build` 성공
+- [ ] `npm pack --dry-run` 검토 — 의도한 파일만 포함
+- [ ] `templates/domains/` 미포함 (유료 콘텐츠)
+- [ ] `.env`, `*.key` 등 민감 파일 미포함
+- [ ] `npm publish` 실행
+## 배포 후
+- [ ] `npm info timsquad version` 으로 배포 확인
+- [ ] GitHub Release 생성 (해당 시)

package/templates/base/skills/stability-verification/references/security-fix-patterns.md ADDED Viewed

@@ -0,0 +1,112 @@
+---
+title: Security Fix Patterns
+category: reference
+---
+# 보안 수정 패턴 모음
+출처: OWASP Node.js Cheat Sheet, ShellCheck Wiki, BashFAQ/048, Shellharden
+## 1. 커맨드 인젝션 (Node.js)
+### Incorrect
+```typescript
+execSync(`git clone "${url}" "${dir}"`);
+const sanitized = input.replace(/["`$\\]/g, '');
+execSync(`command "${sanitized}"`);
+```
+### Correct
+```typescript
+import { execFileSync } from 'child_process';
+execFileSync('git', ['clone', url, dir]);  // shell: false (기본값)
+```
+**원칙**: `execSync` → `execFileSync` 배열 기반. 새니타이징은 불완전하므로 의존하지 않는다.
+## 2. JSON 구성 (Shell Script)
+### Incorrect
+```bash
+echo "{\"key\":\"$VAR\"}"           # $VAR에 " 포함 시 깨짐
+cat > file.json << EOF
+{"key": "$VAR"}
+EOF
+```
+### Correct
+```bash
+jq -n --arg key "$VAR" '{"key": $key}'
+jq -n --arg k1 "$A" --arg k2 "$B" '{a: $k1, b: $k2}'
+jq -n --argjson num "$NUMBER" '{count: $num}'  # 숫자/불린
+```
+## 3. jq + set -e Fail-Open
+### Incorrect
+```bash
+set -e
+VAR=$(echo "$INPUT" | jq -r '.field' 2>/dev/null)  # jq 실패 시 스크립트 종료
+```
+### Correct
+```bash
+set -e
+VAR=$(echo "$INPUT" | jq -r '.field // ""' 2>/dev/null || echo "")
+```
+## 4. source 대신 안전한 설정 읽기
+### Incorrect
+```bash
+source "$HOME/.config"  # 임의 코드 실행 가능
+```
+### Correct
+```bash
+VALUE=$(grep -m1 '^KEY=' "$HOME/.config" 2>/dev/null | cut -d'=' -f2- | tr -d '"')
+```
+## 5. grep 변수 안전 사용
+### Incorrect
+```bash
+grep "$var" file          # $var가 "-e ..."이면 플래그로 해석
+grep "^${file}" output    # $file에 . + [ 등 regex 특수문자
+```
+### Correct
+```bash
+grep -- "$var" file       # -- 로 옵션 종료
+grep -F -- "$file" output # -F 로 리터럴 매칭
+```
+## 6. 사용자 입력 검증
+### Incorrect
+```bash
+PROJECT_NAME="$1"
+echo "name: $PROJECT_NAME" > config.yaml  # 인젝션 가능
+```
+### Correct
+```bash
+if [[ ! "$1" =~ ^[a-zA-Z][a-zA-Z0-9_-]{0,63}$ ]]; then
+  echo "Error: invalid name" >&2; exit 1
+fi
+PROJECT_NAME="$1"
+```
+## 7. .gitignore 보안 항목
+```gitignore
+.env
+.env.*
+!.env.example
+*.pem
+*.key
+*.p12
+*.pfx
+credentials.json
+service-account*.json
+```

package/templates/base/skills/stability-verification/rules/verification-layers.md ADDED Viewed

@@ -0,0 +1,67 @@
+---
+title: Verification Layers
+description: 6-Layer 안정성 검증 정의. 각 레이어의 검사 항목, 도구, 실패 정책.
+globs:
+  - "**/*"
+---
+# Verification Layers
+## L0: 정적 분석 (Syntax/Lint) — ~5초, Fail-Closed
+| 검사 | 명령 | 대상 |
+|------|------|------|
+| TypeScript 컴파일 | `tsc --noEmit` | src/**/*.ts |
+| ShellCheck | `shellcheck --severity=warning` | **/*.sh |
+| Bash 구문 | `bash -n` | **/*.sh |
+| JSON 유효성 | `jq empty < file.json` | **/*.json |
+## L1: 유닛 테스트 — ~10초, Fail-Closed
+| 검사 | 명령 |
+|------|------|
+| 전체 유닛 테스트 | `npm run test:unit` |
+| 신규 모듈 테스트 존재 확인 | 수동 확인 |
+## L2: 보안 스캔 — ~15초, Critical=Fail-Closed
+| 검사 | 명령 | 실패 정책 |
+|------|------|-----------|
+| npm 취약점 | `npm audit --audit-level=high` | critical/high: 차단, moderate/low: 경고 |
+| execSync 인젝션 | `grep -rn 'execSync(' src/` → 변수 보간 확인 | Fail-closed |
+| eval 사용 | `grep -rn 'eval ' **/*.sh` | Fail-closed |
+| 하드코딩 시크릿 | `check-secrets.sh` 또는 수동 검색 | Fail-closed |
+| JSON 문자열 보간 | 쉘 스크립트에서 `echo "{...\"$VAR\"}"` 패턴 확인 | HIGH |
+| .gitignore 보안 | .env, *.pem, *.key 항목 존재 확인 | MEDIUM |
+## L3: 쉘 스크립트 테스트 — ~10초, Fail-Closed
+| 검사 | 방법 |
+|------|------|
+| 빈 stdin → fail-open | `echo "" \| bash script.sh` |
+| malformed JSON → fail-open | `echo "not json" \| bash script.sh` |
+| 정상 입력 → 기대 출력 | 정상 JSON 파이프 |
+| 특수문자 입력 → JSON 무결성 | 인용부호/개행 포함 입력 |
+| jq fallback 동작 확인 | `|| echo ""` 패턴 존재 확인 |
+## L4: 통합/E2E 테스트 — ~30초, Fail-Closed
+| 검사 | 명령 |
+|------|------|
+| 통합 테스트 | `npm run test:integration` (있을 경우) |
+| E2E 테스트 | `npm run test:e2e` (있을 경우) |
+| CLI 스모크 테스트 | `node bin/tsq.js --version` |
+## L5: 패키지 무결성 — ~10초, Fail-Closed
+| 검사 | 명령 |
+|------|------|
+| 빌드 성공 | `npm run build` |
+| 버전 출력 | `node bin/tsq.js --version` |
+| 패키지 내용물 | `npm pack --dry-run` |
+| 민감 파일 미포함 | grep .env/.key/.pem in pack output |
+| 유료 콘텐츠 미포함 | `templates/domains/` 미포함 확인 |
+## L6: 릴리스 준비 (수동) — Fail-Closed
+`references/release-checklist.md` 참조.

package/templates/base/skills/stability-verification/rules/verification-workflow.md ADDED Viewed

@@ -0,0 +1,69 @@
+---
+title: Verification Workflow
+description: 안정성 검증 실행 워크플로우. 검증→발견→리서치→수정→재검증 사이클.
+globs:
+  - "**/*"
+---
+# Verification Workflow
+## 전체 사이클
+```
+1. 리서치 → 2. 계획 → 3. 스킬 생성/갱신 → 4. 검증 실행 → 5. 이슈 수정 → 6. 재검증
+     ↑                                                              |
+     └──────────────────── 이슈 발견 시 수정 패턴 리서치 ──────────────┘
+```
+## Phase 1: 리서치
+검증 시작 전 반드시 수행:
+1. **스킬 검색**: `npx skills find "code quality verification"` 등으로 관련 스킬 탐색
+2. **웹 참조**: OWASP, ShellCheck Wiki, npm security best practices 등 참조
+3. **기존 스킬 확인**: `stability-verification` 스킬이 이미 있으면 갱신 여부 판단
+## Phase 2: 계획
+리서치 결과를 바탕으로 검증 계획 수립:
+- 어떤 레이어를 실행할 것인가 (L0~L5 중 해당되는 것)
+- 각 레이어의 fail policy (closed/open)
+- 검증 대상 범위 (전체 프로젝트 vs 변경분)
+## Phase 3: 검증 실행
+`verify.sh` 또는 수동으로 각 레이어 순차 실행.
+## Phase 4: 이슈 발견 시 수정 워크플로우
+**중요**: 발견 즉시 수정하지 않는다. 리서치 먼저.
+### 수정 프로세스
+```
+이슈 분류 (CRITICAL/HIGH/MEDIUM/LOW)
+  → 수정 패턴 리서치
+    - 스킬 검색: `npx skills find "{issue-type} prevention"`
+    - 웹 검색: OWASP, ShellCheck wiki, 전문가 가이드
+  → 수정 계획 수립 (리서치 기반)
+  → 수정 적용
+  → 해당 레이어 재검증
+```
+### 수정 패턴 참조
+`references/security-fix-patterns.md` — 발견 빈도 높은 취약점별 수정 패턴 모음.
+## Phase 5: 재검증
+모든 수정 후 전체 레이어 재실행하여 regression 없음을 확인.
+## 검증 시점
+| 시점 | 레이어 | 범위 |
+|------|--------|------|
+| 커밋 전 | L0, L1 | 변경 파일 |
+| 스프린트 완료 | L0~L5 | 전체 프로젝트 |
+| 릴리스 전 | L0~L6 | 전체 프로젝트 |
+| 보안 감사 요청 | L2 집중 | 전체 프로젝트 |