timsquad 3.4.0 → 3.6.0

package/templates/base/skills/controller/triggers/sequence-complete.md

@@ -0,0 +1,15 @@
+# Sequence Complete Trigger
+
+시퀀스 내 모든 태스크 완료 시 controller가 수행하는 행동 규칙.
+
+## 행동
+
+1. **통합 테스트**: `npm run test:integration` 실행 확인
+2. **빌드 검증**: `tsc --noEmit` 타입 체크 확인
+3. **L2 로그**: 데몬이 L2 시퀀스 로그를 자동 생성했는지 확인
+4. **다음 시퀀스**: 동일 Phase 내 다음 시퀀스가 있으면 위임 준비
+
+## 게이트 조건
+
+- 통합 테스트 실패 시: 다음 시퀀스 진행 차단 + 수정 안내
+- 빌드 실패 시: 다음 시퀀스 진행 차단

package/templates/base/skills/controller/triggers/ssot-changed.md

@@ -0,0 +1,14 @@
+# SSOT Changed Trigger
+
+SSOT 문서가 변경되었을 때 controller가 수행하는 행동 규칙.
+
+## 행동
+
+1. **자동 컴파일 확인**: 데몬이 `tsq compile build` 자동 실행했는지 확인
+2. **Stale 체크**: `.compile-manifest.json` hash가 최신인지 확인
+3. **영향 분석**: 변경된 SSOT 문서가 현재 작업 중인 태스크에 영향을 미치는지 판단
+
+## 데몬 역할
+
+- 데몬이 SSOT 파일 변경을 감지하면 `tsq compile build` 자동 실행 (기계적)
+- Controller는 컴파일 결과만 확인하고, AI 판단이 필요한 문서 갱신은 Librarian에게 위임

package/templates/base/skills/controller/triggers/task-complete.md

@@ -0,0 +1,14 @@
+# Task Complete Trigger
+
+태스크 완료 시 controller가 수행하는 행동 규칙.
+
+## 행동
+
+1. **Unit Test 확인**: 변경 파일에 대한 단위 테스트가 실행되었는지 확인
+2. **L1 로그 확인**: 데몬이 L1 태스크 로그를 자동 생성했는지 확인
+3. **다음 태스크 확인**: 동일 시퀀스 내 다음 태스크가 있으면 위임 준비
+
+## 게이트 조건
+
+- 단위 테스트 미실행 시: 경고 메시지 + 테스트 실행 안내
+- L1 로그 미생성 시: `tsq log enrich` 수동 실행 안내

package/templates/base/skills/database/SKILL.md

@@ -11,6 +11,12 @@ user-invocable: false
 
 # Database Methodology
 
+## Resources
+
+| Priority | Type | Resource | Description |
+|----------|------|----------|-------------|
+| HIGH | rule | [supabase-patterns](rules/supabase-patterns.md) | JSONB, RLS, Edge Runtime, USE_MOCK, 커넥션 풀링 |
+
 ## 정규화 기준
 
 | 정규형 | 적용 기준 | 예외 허용 조건 |
@@ -39,32 +45,9 @@ user-invocable: false
 - 대응: [트리거/애플리케이션 로직]
 ```
 
-## 쿼리 최적화 프로세스
-
-### 1. 분석
-
-```sql
-EXPLAIN (ANALYZE, BUFFERS, FORMAT TEXT) SELECT ...;
-```
-
-### 2. 체크리스트
-
-| 항목 | 확인 내용 |
-|-----|----------|
-| Seq Scan | 대용량 테이블에 순차 스캔? |
-| Index 사용 | 적절한 인덱스 사용 중? |
-| Join 순서 | 작은 테이블 먼저 조인? |
-| N+1 | 루프 내 쿼리 실행? |
-| 불필요 컬럼 | SELECT * 사용? |
-
-### 3. 최적화 기법
+## 쿼리 최적화
 
-| 문제 | 해결책 |
-|-----|-------|
-| 느린 조인 | 인덱스 추가, 조인 순서 변경 |
-| N+1 | Eager Loading, JOIN |
-| 대용량 스캔 | 파티셔닝, 커버링 인덱스 |
-| 동시성 | 적절한 격리 수준 |
+상세 프로세스(EXPLAIN 분석, 체크리스트, 기법)는 `rules/query-optimization.md` 참조.
 
 ## 마이그레이션 규칙
 

package/templates/base/skills/database/rules/query-optimization.md

@@ -0,0 +1,32 @@
+---
+title: Query Optimization Process
+impact: MEDIUM
+tags: database, query, optimization, explain
+---
+
+# Query Optimization Process
+
+## 1. 분석
+
+```sql
+EXPLAIN (ANALYZE, BUFFERS, FORMAT TEXT) SELECT ...;
+```
+
+## 2. 체크리스트
+
+| 항목 | 확인 내용 |
+|-----|----------|
+| Seq Scan | 대용량 테이블에 순차 스캔? |
+| Index 사용 | 적절한 인덱스 사용 중? |
+| Join 순서 | 작은 테이블 먼저 조인? |
+| N+1 | 루프 내 쿼리 실행? |
+| 불필요 컬럼 | SELECT * 사용? |
+
+## 3. 최적화 기법
+
+| 문제 | 해결책 |
+|-----|-------|
+| 느린 조인 | 인덱스 추가, 조인 순서 변경 |
+| N+1 | Eager Loading, JOIN |
+| 대용량 스캔 | 파티셔닝, 커버링 인덱스 |
+| 동시성 | 적절한 격리 수준 |

package/templates/base/skills/database/rules/supabase-patterns.md

@@ -0,0 +1,94 @@
+---
+title: Supabase Patterns
+impact: HIGH
+tags: supabase, database, edge-runtime, rls
+---
+
+# Supabase Patterns
+
+## JSONB 쿼리
+
+```sql
+-- .contains() 사용 시 주의: GIN 인덱스 필수
+CREATE INDEX idx_data_gin ON records USING GIN (data);
+
+-- 올바른 사용
+SELECT * FROM records WHERE data @> '{"status": "active"}'::jsonb;
+
+-- 피해야 할 패턴: 중첩 키 직접 접근 (인덱스 미사용)
+-- SELECT * FROM records WHERE data->'nested'->'key' = '"value"';
+-- 대안: jsonb_path_query 또는 표현식 인덱스
+```
+
+## RLS (Row Level Security)
+
+```sql
+-- 항상 RLS 활성화
+ALTER TABLE user_data ENABLE ROW LEVEL SECURITY;
+
+-- 서비스 키와 anon 키 구분
+-- anon: 클라이언트 사이드, RLS 적용
+-- service_role: 서버 사이드, RLS 바이패스
+
+-- 정책 패턴
+CREATE POLICY "Users can view own data"
+  ON user_data FOR SELECT
+  USING (auth.uid() = user_id);
+
+CREATE POLICY "Users can insert own data"
+  ON user_data FOR INSERT
+  WITH CHECK (auth.uid() = user_id);
+```
+
+## Edge Runtime 초기화
+
+```typescript
+// Edge Runtime에서 Supabase 클라이언트 초기화
+// 반드시 함수 내부에서 생성 (모듈 레벨 싱글톤 금지)
+import { createClient } from '@supabase/supabase-js';
+
+export function getSupabase() {
+  return createClient(
+    process.env.SUPABASE_URL!,
+    process.env.SUPABASE_ANON_KEY!
+  );
+}
+```
+
+## USE_MOCK 패턴
+
+```typescript
+// 테스트/개발 환경에서 Supabase Mock
+const USE_MOCK = process.env.USE_MOCK_DB === 'true';
+
+function getClient() {
+  if (USE_MOCK) {
+    return createMockClient(); // 인메모리 구현
+  }
+  return createClient(SUPABASE_URL, SUPABASE_KEY);
+}
+```
+
+## Edge Runtime 커넥션 풀링
+
+- Supabase는 PgBouncer 내장 (포트 6543)
+- Edge Functions에서는 항상 풀링 URL 사용
+- `connection_limit=1` 설정 권장 (Edge 인스턴스별)
+- 장기 트랜잭션 피하기 (풀 고갈 방지)
+
+```
+# 직접 연결 (마이그레이션용)
+DATABASE_URL=postgres://...@db.xxx.supabase.co:5432/postgres
+
+# 풀링 연결 (애플리케이션용)
+DATABASE_URL=postgres://...@db.xxx.supabase.co:6543/postgres?pgbouncer=true
+```
+
+## 소유권 경계
+
+| 영역 | 담당 | 설명 |
+|------|------|------|
+| 스키마 설계 | Database 스킬 | 테이블, 인덱스, RLS |
+| Prisma 스키마 | Prisma 스킬 | schema.prisma, 마이그레이션 |
+| 쿼리 로직 | Coding 스킬 | 비즈니스 로직 내 DB 호출 |
+| 성능 튜닝 | Database 스킬 | EXPLAIN, 인덱스 최적화 |

package/templates/base/skills/librarian/SKILL.md

@@ -0,0 +1,53 @@
+---
+name: librarian
+description: |
+  Phase 종합 기록, SSOT 상태 갱신, 문서 작성 전담 스킬.
+  Phase 완료 시 controller가 호출하여 종합 리포트를 생성한다.
+  Use when: Phase 완료 후 기록, 리포트 작성, SSOT 상태 점검, 문서 갱신, 로그 정리 시.
+version: "1.0.0"
+tags: [librarian, recording, documentation, phase-report]
+depends_on: [tsq-protocol]
+conflicts_with: []
+user-invocable: false
+context: fork
+allowed-tools: Read, Write, Edit, Grep, Glob, Bash
+---
+
+# Librarian (Phase 기록 전담)
+
+Phase 종합 기록 전담. 문서 작성/갱신만 수행하고 소스 코드를 수정하지 않는다.
+
+## Contract
+
+- **Trigger**: Phase 완료 시 controller가 호출 (triggers/phase-complete.md)
+- **Input**: L1/L2/L3 로그 + SSOT 현재 상태 + Phase 정보
+- **Output**: Phase 종합 리포트 + SSOT stale 보고 + context note
+- **Error**: 기록 실패 시 에러 리포트만 생성 (프로세스 차단 안 함)
+- **Dependencies**: tsq-protocol
+
+## Protocol
+
+1. **L1/L2 로그 수집**: `.timsquad/logs/` 하위 해당 Phase 로그 전체 읽기
+2. **SSOT 상태 확인**: `.compile-manifest.json` hash 비교 → stale 목록 식별
+3. **종합 리포트 작성**: `.timsquad/reports/{phase}-report.md` 생성
+   - 완료된 시퀀스/태스크 요약
+   - 에이전트별 기여 분석
+   - 발견된 이슈 및 피드백 분류
+4. **Context Note 생성**: `docs/sprint/` 하위에 다음 Phase 맥락 문서
+   - 이번 Phase 핵심 결정사항
+   - 미해결 항목 (carry-over)
+   - 다음 Phase 주의사항
+
+## Constraints
+
+- **소스 코드(src/, lib/, app/) 수정 절대 금지**
+- `.timsquad/` 및 `docs/` 내 문서 작성·갱신만 허용
+- 기록, 분석, 리포트 작성만 수행
+
+## Verification
+
+| Check | Command | Pass Criteria |
+|-------|---------|---------------|
+| 리포트 생성 | `ls .timsquad/reports/{phase}-report.md` | 파일 존재 |
+| SSOT stale | `.compile-manifest.json` 확인 | stale 목록 출력 |
+| 소스 무변경 | `git diff --name-only src/ lib/ app/` | 변경 없음 |

package/templates/base/skills/main-session-constraints/SKILL.md

@@ -0,0 +1,62 @@
+---
+name: main-session-constraints
+description: |
+  메인세션(PM 역할) 제약 스킬. 메인세션에서의 작업 원칙, 금지사항, 위임 규칙을 정의한다.
+  CLAUDE.md에서 분리된 작업 원칙을 포함. 메인세션 시작 시 자동 매칭.
+  Use when: 메인세션(PM), 요구사항 분석, 작업 위임, 프로젝트 관리
+version: "1.0.0"
+tags: [constraints, main-session, pm, rules]
+depends_on: [tsq-protocol, controller]
+conflicts_with: []
+user-invocable: false
+---
+
+# Main Session Constraints
+
+메인세션(PM 역할)에서의 작업 원칙과 제약사항.
+
+## Philosophy
+
+- 메인세션은 PM 역할: 분석, 계획, 위임이 핵심
+- 구현은 서브에이전트에게 위임 (직접 구현 최소화)
+- 요구사항에 여러 해석이 있으면 선택지를 제시
+
+## Contract
+
+- **Trigger**: 메인세션 시작 시 자동 활성
+- **Input**: 사용자 요구사항
+- **Output**: 분석 결과 + 위임 계획 또는 직접 수행
+- **Error**: 요구사항 모호 시 선택지 제시
+- **Dependencies**: tsq-protocol, controller
+
+## Protocol
+
+1. **요구사항 분석**: 사용자 요구 파악 + 모호함 해소
+2. **스킬 확인**: 관련 스킬 존재 여부 확인
+3. **위임 판단**: 서브에이전트 위임 vs 직접 수행 결정
+4. **실행**: controller 스킬 기반 위임 또는 직접 수행
+
+## Verification
+
+| Check | Command | Pass Criteria |
+|-------|---------|---------------|
+| spec 존재 | SSOT 확인 | 관련 스펙 존재 |
+| 검증 기준 | 테스트/확인 방법 | 구현 전 명시됨 |
+| SCR 준수 | 코드 리뷰 | 단일 책임 원칙 |
+
+## Quick Rules
+
+### 작업 원칙
+- 구현 전에 검증 기준(테스트 or 확인 방법)을 먼저 명시
+- 요구사항 모호 시 조용히 선택하지 말고 선택지 제시
+- Quick Mode(`tsq q`)와 Full Mode(`tsq f`) 적절히 구분
+
+### 위임 규칙
+- 구현/테스트/리뷰는 서브에이전트에게 Task()로 위임
+- 간단한 수정(Quick Mode)은 직접 수행 가능
+- 위임 시 controller 스킬의 Delegation Process 준수
+
+### 금지사항
+- 스펙 없이 대규모 구현 시작
+- 서브에이전트 결과를 검증 없이 수용
+- Phase gate 조건 미충족 시 다음 Phase 진행

package/templates/base/skills/methodology/tdd/SKILL.md

@@ -4,6 +4,12 @@ description: Test-Driven Development 방법론 가이드라인
 version: "1.0.0"
 tags: [tdd, methodology, testing]
 user-invocable: false
+hooks:
+  PreToolUse:
+    - matcher: "Write|Edit"
+      hooks:
+        - type: prompt
+          prompt: "TDD: 이 파일에 대한 테스트가 먼저 작성되었는지 확인하라. 테스트 없이 구현 코드를 작성하면 Red-Green-Refactor 사이클을 위반한다."
 ---
 
 # TDD (Test-Driven Development)

package/templates/base/skills/product-audit/SKILL.md

@@ -0,0 +1,115 @@
+---
+name: product-audit
+description: |
+  통합 제품 감사 스킬. 7개 영역(Security, Performance, SEO, Accessibility, UI/UX, Architecture, Functional)을
+  정량 스코어링으로 평가하고, 6단계 사이클(Plan→Audit→Report→Remediation Plan→Fix→Re-audit)로 운영한다.
+  Use when: Phase gate 전 품질 확인, 보안 감사, 성능 리뷰, 접근성 점검, 릴리스 전 최종 검증, 코드 감사 요청 시.
+version: "2.0.0"
+tags: [audit, quality, security, performance, accessibility, seo]
+depends_on: [coding, testing]
+conflicts_with: []
+user-invocable: false
+---
+
+# Product Audit
+
+7개 영역을 체계적으로 평가하고, 정량 스코어와 개선 사이클로 품질을 추적한다.
+
+## Philosophy
+
+- 정량 70% + 정성 30% 가중 평균으로 객관적 평가
+- 모든 항목에 `source: estimated | measured` 명시
+- False Positive는 FP Registry로 관리하여 재감사 시 노이즈 제거
+- Closed-loop: 감사 → 개선 → 재감사 사이클로 품질 수렴
+
+## Contract
+
+- **Trigger**: 감사 태스크, Phase gate 전, 릴리스 전 검증
+- **Input**: 감사 범위 + FP Registry + 이전 리포트 (재감사 시)
+- **Output**: 정량 스코어 보고서 + severity 분류 + 개선 계획
+- **Error**: Critical 항목 존재 시 gate 차단
+- **Dependencies**: coding, testing
+
+## Protocol — 6단계 사이클
+
+### Phase 1: Plan (감사 계획)
+감사 범위, 대상 영역, 기준을 결정하고 계획을 저장한다.
+- 프로젝트 타입에 따라 영역별 가중치 조정
+- FP Registry 로딩, baseline(이전 감사 결과) 확인
+- 계획을 문서로 저장 → 유저 컨펌 후 진행
+
+### Phase 2: Audit (감사 실행)
+계획에 따라 7개 영역을 순회하며 체크리스트 기반 평가.
+- 각 항목: pass / fail / warning / skip + source 명시
+- 자동화 가능 항목은 도구 실행 (Lighthouse, axe-core, eslint 등)
+- 수동 항목은 코드 리뷰로 판정
+
+### Phase 3: Report (보고)
+감사 결과를 정량 스코어로 집계하고 개선점을 보고한다.
+- 영역별 점수 + 가중 평균 종합 점수 산출
+- severity별 finding 분류 (Critical/High/Medium/Low)
+- 이전 감사 대비 diff (개선/악화 추적)
+
+### Phase 4: Remediation Plan (개선 계획)
+보고서를 토대로 개선 계획을 수립한다.
+- severity 기준 우선순위 정렬
+- 개선 계획 문서 작성 → 유저 컨펌 → 저장
+- 컨펌 없이 개선 실시하지 않음
+
+### Phase 5: Fix (개선 실시)
+컨펌된 계획에 따라 개선을 실행하고 테스트한다.
+- 개선 완료 후 관련 테스트 실행 (unit + integration)
+- E2E 테스트까지 통과 확인
+- 테스트 실패 시 수정 반복
+
+### Phase 6: Re-audit (재감사)
+개선 완료 후 동일 기준으로 재감사를 실시한다.
+- Phase 2와 동일 절차, 이전 결과와 diff 비교
+- Gate 기준 충족 시 완료, 미충족 시 Phase 4로 복귀
+
+## Verification
+
+| Check | Method | Pass Criteria |
+|-------|--------|---------------|
+| 종합 점수 | 가중 평균 | >= 60점 (gate) |
+| Critical 항목 | severity 확인 | 0건 |
+| source 필드 | 리포트 확인 | 모든 항목 존재 |
+| 재감사 diff | 이전 대비 비교 | PASS→FAIL 전환 0건 |
+
+## 7개 감사 영역
+
+| # | 영역 | 핵심 기준 | 체크리스트 |
+|---|------|-----------|-----------|
+| 01 | Security | OWASP Top 10:2025, ASVS v5, CWE Top 25, CVSS 4.0 | [01-security](checklists/01-security.md) |
+| 02 | Performance | Core Web Vitals (LCP/INP/CLS), Lighthouse v12 | [02-performance](checklists/02-performance.md) |
+| 03 | SEO | E-E-A-T, AI Overview, Schema.org, Mobile-first | [03-seo](checklists/03-seo.md) |
+| 04 | Accessibility | WCAG 2.2 AA, EAA 2025, WAI-ARIA APG | [04-accessibility](checklists/04-accessibility.md) |
+| 05 | UI/UX | Nielsen 10 Heuristics, 반응형, 디자인 시스템 | [05-ui-ux](checklists/05-ui-ux.md) |
+| 06 | Architecture & DB | ISO 25010:2023, 데이터 아키텍처, API 설계 | [06-architecture](checklists/06-architecture.md) |
+| 07 | Functional & Requirements | RTM, 테스트 커버리지, 요구사항 추적 | [07-functional-requirements](checklists/07-functional-requirements.md) |
+
+## Severity & SLA
+
+| Severity | Action | SLA |
+|----------|--------|-----|
+| Critical | 즉시 수정, 배포 차단 | 같은 Phase |
+| High | 다음 시퀀스 내 수정 | 현재 Phase |
+| Medium | 백로그 등록 | 다음 Phase |
+| Low | 선택적 개선 | 스프린트 내 |
+
+## Resources
+
+| Priority | Type | Resource | Description |
+|----------|------|----------|-------------|
+| HIGH | rule | [audit-protocol](rules/audit-protocol.md) | 6단계 절차 상세, 입출력, 도구 연동 |
+| HIGH | rule | [scoring-criteria](rules/scoring-criteria.md) | 영역별 가중치, 점수 산출, gate 기준 |
+| HIGH | rule | [false-positive-guard](rules/false-positive-guard.md) | FP Registry, 오탐 방지 규칙, 계층적 검증 |
+| MEDIUM | checklist | [01-security](checklists/01-security.md) | OWASP 2025 + ASVS v5 + CWE Top 25 |
+| MEDIUM | checklist | [02-performance](checklists/02-performance.md) | CWV 2026 + Lighthouse v12 |
+| MEDIUM | checklist | [03-seo](checklists/03-seo.md) | E-E-A-T + AI Overview + Schema |
+| MEDIUM | checklist | [04-accessibility](checklists/04-accessibility.md) | WCAG 2.2 AA + EAA 2025 |
+| MEDIUM | checklist | [05-ui-ux](checklists/05-ui-ux.md) | Nielsen Heuristics + 반응형 + 디자인 시스템 |
+| MEDIUM | checklist | [06-architecture](checklists/06-architecture.md) | ISO 25010 + DB + API 설계 |
+| MEDIUM | checklist | [07-functional-requirements](checklists/07-functional-requirements.md) | RTM + 테스트 커버리지 |
+| LOW | template | [report-template](templates/report-template.md) | 감사 보고서 양식 |
+| LOW | template | [improvement-plan-template](templates/improvement-plan-template.md) | 개선 계획 양식 |

package/templates/base/skills/product-audit/checklists/01-security.md

@@ -0,0 +1,86 @@
+---
+title: Security Checklist
+area: "01"
+tags: security, owasp, asvs, cwe
+standards: OWASP Top 10:2025, ASVS v5.0, CWE Top 25 2025, CVSS 4.0
+---
+
+# 01. Security Checklist
+
+## A. Access Control & Authorization
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | 서버 측 접근 제어 — 모든 요청에 적용, 클라이언트 측 검증에 의존하지 않음 | CRITICAL | OWASP A01, CWE-862 |
+| A-2 | Deny-by-default — 명시적 허용만 접근 가능 | CRITICAL | OWASP A01, ASVS v5 V4 |
+| A-3 | 객체 수준 권한 검증 (BOLA/IDOR 방지) — 모든 API 엔드포인트 | CRITICAL | API1:2023, CWE-639 |
+| A-4 | 함수 수준 권한 검증 (BFLA 방지) — admin vs user 분리 | CRITICAL | API5:2023, CWE-284 |
+| A-5 | 속성 수준 권한 검증 — mass assignment / 과도한 데이터 노출 방지 | HIGH | API3:2023 |
+| A-6 | CORS 명시적 allowlist — 인증 엔드포인트에 wildcard origin 금지 | HIGH | OWASP A01, CWE-352 |
+| A-7 | CSRF 방어 — 상태 변경 요청에 토큰 또는 SameSite 쿠키 | HIGH | CWE-352 |
+| A-8 | 경로 탐색 방지 — 파일 경로 검증 및 정규화 | HIGH | CWE-22 |
+
+## B. Authentication & Session
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | 비밀번호 정책: 최소 8자, 유출 DB 대조, 구성 규칙 강제 금지 | CRITICAL | NIST SP 800-63B, ASVS v5 V2 |
+| B-2 | MFA 구현 — 피싱 저항 방식 우선 (passkeys, 하드웨어 키) | CRITICAL | NIST SP 800-63-4 |
+| B-3 | JWT 검증: 만료, 발급자, 대상 확인, algorithm "none" 거부 | CRITICAL | API2:2023 |
+| B-4 | 민감 작업 시 재인증 (비밀번호 변경, 결제 등) | HIGH | ASVS v5 V2 |
+| B-5 | 인증 실패 시 계정 잠금 / 속도 제한 | HIGH | CWE-306 |
+| B-6 | 세션 토큰: 암호학적 무작위 생성, Secure·HttpOnly·SameSite 플래그 | HIGH | ASVS v5 V3 |
+| B-7 | OAuth 2.1 + PKCE 필수, implicit/hybrid flow 제거 | HIGH | OAuth 2.1 |
+| B-8 | 짧은 수명 access token (5-15분) + refresh token rotation | HIGH | OAuth 2.1, ASVS v5 |
+
+## C. Injection Prevention
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | Parameterized query / prepared statement — 모든 DB 접근 | CRITICAL | CWE-89 |
+| C-2 | 컨텍스트 인식 출력 인코딩 — HTML/JS/CSS 내 사용자 데이터 | CRITICAL | CWE-79 |
+| C-3 | 서버 측 입력 검증 — allowlist 기반 | CRITICAL | OWASP A05, ASVS v5 V5 |
+| C-4 | OS 명령 삽입 방지 — 사용자 입력 포함 쉘 명령 금지, 안전한 API 사용 | CRITICAL | CWE-78 |
+| C-5 | 코드 삽입 방지 — eval() 등에 사용자 데이터 금지 | CRITICAL | CWE-94 |
+| C-6 | 역직렬화 공격 방지 — 신뢰하지 않는 직렬화 데이터 거부, JSON 사용 | HIGH | CWE-502 |
+| C-7 | Content Security Policy (CSP) 헤더 설정 | HIGH | OWASP A05 |
+| C-8 | 파일 업로드 제한 — 타입·크기·내용 검증, 웹루트 외부 저장, 파일명 변경 | HIGH | CWE-434 |
+
+## D. Security Misconfiguration
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 기본 자격증명, 샘플 앱, 불필요 기능 프로덕션에서 제거 | CRITICAL | OWASP A02, API8:2023 |
+| D-2 | 디렉토리 목록, 스택 트레이스, 상세 오류 메시지 비활성화 | HIGH | OWASP A02 |
+| D-3 | HTTPS 전면 적용 + HSTS (includeSubDomains, preload) | HIGH | OWASP A02 |
+| D-4 | 보안 헤더: X-Content-Type-Options, X-Frame-Options, Referrer-Policy | MEDIUM | OWASP A02 |
+| D-5 | 클라우드 스토리지/버킷 권한 최소화, IAM least-privilege | CRITICAL | OWASP A02 |
+
+## E. Cryptography
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| E-1 | 민감 데이터 암호화 — 저장: AES-256, 전송: TLS 1.2+ (1.3 권장) | CRITICAL | OWASP A04 |
+| E-2 | 비밀번호 해싱: Argon2id, bcrypt, scrypt (적절한 work factor) | CRITICAL | ASVS v5 V2 |
+| E-3 | 민감 데이터를 로그·URL·클라이언트 저장소에 저장 금지 | HIGH | CWE-200 |
+| E-4 | 보안 관련 값은 암호학적 난수 생성기 사용 | HIGH | OWASP A04 |
+| E-5 | 폐기된 프로토콜 비활성화 (SSLv3, TLS 1.0/1.1, 약한 암호 스위트) | HIGH | OWASP A04 |
+
+## F. Supply Chain
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| F-1 | 의존성 버전 고정 + lock 파일 + 체크섬/서명 검증 | HIGH | OWASP A03 |
+| F-2 | 의존성 취약점 지속 스캔 (Dependabot, Snyk 등) | HIGH | OWASP A03 |
+| F-3 | Typosquatting 및 dependency confusion 공격 모니터링 | HIGH | OWASP A03 |
+| F-4 | SBOM 생성 (SPDX 또는 CycloneDX) — 빌드마다 | HIGH | CISA 2025, EU CRA |
+| F-5 | 서드파티 API 무결성 검증 — upstream 무조건 신뢰 금지 | HIGH | API10:2023 |
+
+## G. Error Handling & Logging
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| G-1 | 안전한 실패 — 오류 시 접근 거부, "fail open" 금지 | CRITICAL | OWASP A10 |
+| G-2 | 예외 시 민감 정보 노출 방지 (스택 트레이스, 내부 경로, SQL) | HIGH | OWASP A10, CWE-200 |
+| G-3 | 인증 이벤트, 접근 제어 실패, 입력 검증 실패 로깅 | HIGH | OWASP A09 |
+| G-4 | 로그 무결성 보호 — 로그 삽입 방지 | MEDIUM | OWASP A09 |

package/templates/base/skills/product-audit/checklists/02-performance.md

@@ -0,0 +1,67 @@
+---
+title: Performance Checklist
+area: "02"
+tags: performance, core-web-vitals, lighthouse
+standards: Core Web Vitals 2026, Lighthouse v12
+---
+
+# 02. Performance Checklist
+
+## Core Web Vitals 기준값
+
+| Metric | Good | Needs Improvement | Poor |
+|--------|:----:|:------------------:|:----:|
+| LCP (Largest Contentful Paint) | <= 2.5s | 2.5s - 4.0s | > 4.0s |
+| INP (Interaction to Next Paint) | <= 200ms | 200ms - 500ms | > 500ms |
+| CLS (Cumulative Layout Shift) | <= 0.1 | 0.1 - 0.25 | > 0.25 |
+
+측정: 75th percentile, 28일 필드 데이터 기준.
+
+## A. Core Web Vitals
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | LCP <= 2.5s (모바일 75th percentile) | CRITICAL | CWV — 모바일 페이지 38% 미통과 |
+| A-2 | INP <= 200ms — 모든 인터랙션 응답 | CRITICAL | CWV — 43% 사이트 미통과, 가장 빈번한 실패 |
+| A-3 | CLS <= 0.1 — 이미지/광고 공간 예약 (width/height, aspect-ratio) | CRITICAL | CWV |
+| A-4 | Long task (>50ms) 분할 — `scheduler.yield()` 또는 Web Worker 활용 | HIGH | INP 최적화 |
+| A-5 | 페이지 로드 중 인터랙션 INP 특별 관리 (로드 후 대비 2.6배 악화) | HIGH | CWV 필드 데이터 |
+
+## B. Bundle & Loading
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | 초기 JS 번들 (gzip): <= 300-350KB | HIGH | 100KB당 3G에서 +3.2s |
+| B-2 | Critical-path 리소스: <= 170KB | HIGH | 제한된 네트워크 기준 |
+| B-3 | Code splitting + tree-shaking 적용 | HIGH | 번들 최적화 |
+| B-4 | Below-the-fold 컴포넌트 lazy loading | HIGH | 초기 로딩 최적화 |
+| B-5 | 서드파티 스크립트 지연 로딩 (Partytown 등) | MEDIUM | TBT 감소 |
+| B-6 | SSR/RSC 적용 (콘텐츠 중심 페이지) — RSC는 클라이언트 JS 40-60% 감소 | MEDIUM | TTI 최적화 |
+
+## C. Rendering
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | 불필요한 리렌더 방지 (React.memo, useMemo, useCallback) | MEDIUM | 렌더링 성능 |
+| C-2 | DOM 복잡도 관리 — 과도한 DOM은 스타일 재계산·페인트 지연 | MEDIUM | 렌더링 성능 |
+| C-3 | 이벤트 핸들러 최적화 — debounce, layout thrashing 방지 | MEDIUM | INP 최적화 |
+| C-4 | 이미지 최적화 — WebP/AVIF, srcset, lazy loading | MEDIUM | LCP + 대역폭 |
+
+## D. Monitoring & Budget
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | CI에 성능 예산 설정 (경고: 500KB, 에러: 1MB) | MEDIUM | 성능 회귀 방지 |
+| D-2 | RUM (Real User Monitoring) 사용 — 랩 데이터만으로 불충분 | LOW | 필드 vs 랩 괴리 |
+
+## Lighthouse v12 점수 가중치 참고
+
+| Metric | Weight |
+|--------|:------:|
+| Total Blocking Time (TBT) | 30% |
+| Largest Contentful Paint (LCP) | 25% |
+| Cumulative Layout Shift (CLS) | 25% |
+| First Contentful Paint (FCP) | 10% |
+| Speed Index (SI) | 10% |
+
+Target: 90+ (green).

package/templates/base/skills/product-audit/checklists/03-seo.md

@@ -0,0 +1,46 @@
+---
+title: SEO Checklist
+area: "03"
+tags: seo, e-e-a-t, structured-data, ai-overview
+standards: Google Search Guidelines 2025-2026, Schema.org
+---
+
+# 03. SEO Checklist
+
+## A. Technical SEO
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | Core Web Vitals 통과 (LCP/INP/CLS) — 랭킹 시그널 | CRITICAL | Google 2025-26 |
+| A-2 | Mobile-first 준수 — 터치 타겟 >= 48×48px, 본문 >= 16px, 수평 스크롤 없음 | CRITICAL | Google 모바일 인덱싱 |
+| A-3 | HTTPS 전면 적용 | CRITICAL | 랭킹 시그널 |
+| A-4 | 크롤 가능성 — robots.txt, sitemap.xml, 95%+ 인덱스율 목표 | HIGH | 기술적 SEO |
+| A-5 | Canonical URL 설정 — 중복 콘텐츠 방지 | HIGH | 기술적 SEO |
+| A-6 | JavaScript 렌더링 비용 관리 — SSR/SSG 우선, CSR은 SEO 위험 | HIGH | Google 렌더링 |
+
+## B. Structured Data
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | JSON-LD 구조화 데이터 구현 (Article, Product, FAQ, HowTo 등) | CRITICAL | AI Overview 선정률 73% 향상 |
+| B-2 | Schema.org 마크업 유효성 검증 (Google Rich Results Test) | HIGH | 구조화 데이터 |
+| B-3 | 멀티모달 콘텐츠: 텍스트 + 이미지 + 비디오 + 스키마 조합 | HIGH | AI Overview 선정률 317% 향상 |
+
+## C. Content & E-E-A-T
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | E-E-A-T 시그널 — 경험·전문성·권위·신뢰도 명확히 표현 | CRITICAL | Google 2025-26 핵심 |
+| C-2 | 콘텐츠 최신성 — 3개월 이내 업데이트 시 AI 인용 6건 vs 구 콘텐츠 3.6건 | HIGH | AI Overview 인용 |
+| C-3 | 헤딩 간 120-180 단어 구조화 — ChatGPT 인용 70% 향상 | HIGH | AI 인용 최적화 |
+| C-4 | 실시간 팩트 검증 지원 — 최신 통계, 권위 있는 출처 인용 | HIGH | AI Overview 선정 89% 향상 |
+| C-5 | 직접 경험 시그널 포함 (Helpful Content System) | HIGH | E-E-A-T |
+
+## D. Meta & Accessibility
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 고유한 title, meta description — 페이지별 | MEDIUM | 기본 SEO |
+| D-2 | 의미 있는 링크 텍스트 — "여기 클릭" 금지 | MEDIUM | SEO + A11y |
+| D-3 | 접근성 명세 게시 (EAA 요구사항, 신뢰 시그널) | MEDIUM | EAA 2025 |
+| D-4 | "People Also Ask" 테마 최적화 | LOW | SERP 노출 |