timsquad 3.5.0 → 3.6.0

package/templates/base/skills/product-audit/templates/report-template.md

@@ -0,0 +1,88 @@
+---
+title: Audit Report Template
+category: template
+source: internal
+---
+
+# Audit Report
+
+## 개요
+
+- **프로젝트**: {프로젝트명}
+- **감사일**: {날짜}
+- **범위**: {대상 모듈/페이지}
+- **감사 유형**: 최초 감사 / 재감사
+- **이전 감사일**: {재감사 시}
+
+## 종합 결과
+
+| 항목 | 값 |
+|------|:--:|
+| **종합 점수** | {점수}/100 |
+| **등급** | {A/B/C/D/F} |
+| **Gate 통과** | {PASS/FAIL} |
+
+## 영역별 점수
+
+| # | 영역 | 점수 | 가중치 | 가중 점수 |
+|---|------|:----:|:------:|:---------:|
+| 01 | Security | {점수} | {%} | {가중점수} |
+| 02 | Performance | {점수} | {%} | {가중점수} |
+| 03 | SEO | {점수} | {%} | {가중점수} |
+| 04 | Accessibility | {점수} | {%} | {가중점수} |
+| 05 | UI/UX | {점수} | {%} | {가중점수} |
+| 06 | Architecture & DB | {점수} | {%} | {가중점수} |
+| 07 | Functional & Requirements | {점수} | {%} | {가중점수} |
+| | **합계** | | **100%** | **{종합}** |
+
+## Severity 분포
+
+| Severity | 건수 | 해결 | 미해결 |
+|----------|:----:|:----:|:------:|
+| Critical | {n} | {n} | {n} |
+| High | {n} | {n} | {n} |
+| Medium | {n} | {n} | {n} |
+| Low | {n} | {n} | {n} |
+
+## Findings
+
+### Critical
+
+| # | 영역 | 항목 | Source | 설명 |
+|---|------|------|:------:|------|
+| 1 | {영역} | {항목 ID} | {measured/estimated} | {상세 설명} |
+
+### High
+
+| # | 영역 | 항목 | Source | 설명 |
+|---|------|------|:------:|------|
+| 1 | {영역} | {항목 ID} | {measured/estimated} | {상세 설명} |
+
+### Medium / Low
+
+| # | 영역 | 항목 | Severity | Source | 설명 |
+|---|------|------|:--------:|:------:|------|
+| 1 | {영역} | {항목 ID} | {M/L} | {measured/estimated} | {상세 설명} |
+
+## False Positives (점수 산출 제외)
+
+| FP ID | 영역 | 항목 | Reason |
+|-------|------|------|--------|
+| FP-{n} | {영역} | {항목} | {근거} |
+
+## 재감사 Diff (재감사 시)
+
+| 변환 | 건수 | 비고 |
+|------|:----:|------|
+| FAIL → PASS | {n} | 개선됨 |
+| PASS → PASS | {n} | 유지됨 |
+| PASS → FAIL | {n} | 회귀 — 즉시 대응 |
+| FAIL → FAIL | {n} | 미해결 |
+
+## 품질 지표
+
+| 지표 | 값 | 기준 |
+|------|:--:|:----:|
+| estimated 비율 | {%} | < 50% |
+| FP 비율 | {%} | < 20% |
+| 항목 적용률 | {%} | - |

package/templates/base/skills/prompt-engineering/SKILL.md

@@ -1,35 +1,63 @@
 ---
 name: prompt-engineering
-description: 프롬프트 최적화, 템플릿 관리, 회고 기반 개선 가이드라인
+description: |
+  에이전트/스킬 프롬프트 최적화, 템플릿 관리, 회고 기반 개선 가이드라인.
+  Use when: 프롬프트 작성·수정, 스킬 템플릿 작성, 회고에서 프롬프트 개선 대상이 발견됐을 때,
+  에이전트 응답 품질이 낮을 때, SKILL.md나 에이전트 .md 파일을 편집할 때.
 version: "1.0.0"
 tags: [prompt, optimization, retrospective]
 user-invocable: false
 ---
 
-<skill name="prompt-engineering">
-  <purpose>에이전트/스킬 프롬프트 최적화 및 품질 개선</purpose>
-
-  <optimization-principles>
-    <principle name="구조화">
-      역할 → 페르소나 → 작업 전 필수 → 핵심 원칙 → 작업 프로세스 → 출력 형식 → 금지 사항 → 예시
-    </principle>
-    <principle name="명확성">
-      | Bad | Good |
-      |-----|------|
-      | "잘 작성해" | "3문장 이내로 요약해" |
-      | "좋은 코드" | "테스트 커버리지 80%" |
-      | 나열만 | "필수/권장/선택" 분류 |
-    </principle>
-    <principle name="컨텍스트">
-      프로젝트 정보, 참조 문서 경로, 제약 사항을 명시적으로 주입
-    </principle>
-    <principle name="예시 포함">
-      Good/Bad 예시를 함께 제공하여 기대 품질 수준 명확화
-    </principle>
-  </optimization-principles>
-
-  <template-format>
-    <![CDATA[
+# Prompt Engineering
+
+에이전트와 스킬 프롬프트의 품질을 체계적으로 개선하기 위한 가이드라인.
+
+## 최적화 원칙
+
+### 구조화
+역할 → 페르소나 → 작업 전 필수 → 핵심 원칙 → 작업 프로세스 → 출력 형식 → 금지 사항 → 예시
+
+### 명확성
+
+| Bad | Good |
+|-----|------|
+| "잘 작성해" | "3문장 이내로 요약해" |
+| "좋은 코드" | "테스트 커버리지 80%" |
+| 나열만 | "필수/권장/선택" 분류 |
+
+모호한 표현은 측정 가능한 기준으로 바꾼다. 모델은 명확한 기준이 있을 때 더 일관된 결과를 낸다.
+
+### 컨텍스트
+프로젝트 정보, 참조 문서 경로, 제약 사항을 명시적으로 주입한다. 모델이 추측해야 하는 정보가 줄어들수록 정확도가 올라간다.
+
+### 예시 포함
+Good/Bad 예시를 함께 제공하여 기대 품질 수준을 명확화한다.
+
+## 개선 매핑 프로세스
+
+패턴에서 프롬프트 개선으로 이어지는 흐름:
+
+1. 실패/성공 패턴 식별 (회고 스킬에서)
+2. 대상 에이전트/스킬 .md 파일 특정
+3. 변경 전/후 diff 작성
+4. 기대 효과 및 검증 방법 명시
+5. 사용자 승인 후 적용
+
+## 품질 체크리스트
+
+| 항목 | 검증 내용 |
+|-----|----------|
+| 명확성 | 모호한 표현이 없는가? |
+| 완전성 | 필요한 정보가 모두 있는가? |
+| 구조화 | 논리적 순서로 구성되었는가? |
+| 예시 | Good/Bad 예시가 있는가? |
+| 제약 | 금지 사항이 명시되었는가? |
+| 출력 | 기대 출력 형식이 정의되었는가? |
+
+## 템플릿 형식
+
+```markdown
 ---
 name: {template-name}
 version: 1.0.0
@@ -53,51 +81,4 @@ task_type: {implementation|review|analysis}
 
 ## 검증 기준
 {{VALIDATION_CRITERIA}}
-    ]]>
-  </template-format>
-
-  <version-management>
-    | 변경 유형 | 버전 증가 | 예시 |
-    |---------|----------|------|
-    | 구조 변경 | Major (x.0.0) | 섹션 추가/삭제 |
-    | 내용 수정 | Minor (0.x.0) | 규칙 추가, 예시 수정 |
-    | 오타 수정 | Patch (0.0.x) | 단순 수정 |
-  </version-management>
-
-  <rollback-conditions>
-    | 조건 | 액션 |
-    |-----|------|
-    | 성공률 10% 하락 | 이전 버전 롤백 |
-    | Critical 피드백 발생 | 즉시 롤백 + 분석 |
-    | A/B 테스트 실패 | 기존 버전 유지 |
-  </rollback-conditions>
-
-  <improvement-mapping>
-    패턴 → 프롬프트 개선 매핑 프로세스:
-    1. 실패/성공 패턴 식별 (회고 스킬에서)
-    2. 대상 에이전트/스킬 .md 파일 특정
-    3. 변경 전/후 diff 작성
-    4. 기대 효과 및 검증 방법 명시
-    5. 사용자 승인 후 적용
-  </improvement-mapping>
-
-  <quality-checklist>
-    | 항목 | 검증 내용 |
-    |-----|----------|
-    | 명확성 | 모호한 표현이 없는가? |
-    | 완전성 | 필요한 정보가 모두 있는가? |
-    | 구조화 | 논리적 순서로 구성되었는가? |
-    | 예시 | Good/Bad 예시가 있는가? |
-    | 제약 | 금지 사항이 명시되었는가? |
-    | 출력 | 기대 출력 형식이 정의되었는가? |
-  </quality-checklist>
-
-  <effectiveness-metrics>
-    | 메트릭 | 측정 방법 | 목표 |
-    |-------|----------|:----:|
-    | 작업 성공률 | 성공 작업 / 전체 작업 | 90%+ |
-    | 수정 횟수 | 평균 수정 횟수 | 2 미만 |
-    | 피드백 레벨 | Level 2+ 피드백 비율 | 10% 미만 |
-    | SSOT 정합성 | SSOT 불일치 건수 | 0 |
-  </effectiveness-metrics>
-</skill>
+```

package/templates/base/skills/retrospective/SKILL.md

@@ -1,102 +1,77 @@
 ---
 name: retrospective
-description: 회고 분석, 패턴 식별, 개선 제안 가이드라인
+description: |
+  회고 분석, 패턴 식별, 개선 제안 가이드라인.
+  Use when: tsq retro 명령 실행 시, Phase 완료 후 회고 수집 시, 패턴 분석이 필요할 때,
+  KPT 프레임워크로 피드백 정리할 때, 메트릭 기반 개선 방안을 도출할 때.
 version: "1.0.0"
 tags: [retrospective, analysis, improvement]
 user-invocable: false
 ---
 
-<skill name="retrospective">
-  <purpose>프로젝트 회고를 위한 분석 프레임워크와 개선 프로세스</purpose>
-
-  <tsq-cli priority="critical">
-    <instruction>
-      로그 기록, 피드백, 메트릭, 회고 등 TSQ CLI가 제공하는 기능은 반드시 CLI 커맨드를 사용하세요.
-      직접 파일을 조작하지 마세요. CLI를 사용해야 구조화된 데이터가 자동 저장됩니다.
-    </instruction>
-    <commands>
-      | 시점 | 커맨드 |
-      |-----|--------|
-      | 회고 시작 | `tsq retro start` |
-      | Phase별 회고 | `tsq retro phase {phase}` |
-      | 메트릭 수집 | `tsq retro collect` 또는 `tsq metrics collect` |
-      | 로그 확인 | `tsq log list` / `tsq log today` |
-      | 리포트 생성 | `tsq retro report` (GitHub Issue 포함) |
-      | 로컬 리포트만 | `tsq retro report --local` |
-      | 사이클 완료 | `tsq retro apply` |
-    </commands>
-  </tsq-cli>
-
-  <references>
-    <reference path=".timsquad/retrospective/metrics/">메트릭 데이터</reference>
-    <reference path=".timsquad/logs/">작업 로그</reference>
-    <reference path=".timsquad/retrospective/patterns/">기존 패턴</reference>
-    <reference path=".timsquad/state/workspace.xml">작업 이력</reference>
-  </references>
-
-  <kpt-framework>
-    <description>Keep-Problem-Try 회고 프레임워크</description>
-    <category name="Keep">무엇이 잘 되었나? 계속해야 할 것은?</category>
-    <category name="Problem">무엇이 문제였나? 장애물은?</category>
-    <category name="Try">다음에 시도해볼 것은?</category>
-  </kpt-framework>
-
-  <pattern-classification>
-    <failure-pattern id="FP-XXX">
-      <criteria>3회 이상 반복, 작업 지연 유발, 품질 저하 원인</criteria>
-    </failure-pattern>
-    <success-pattern id="SP-XXX">
-      <criteria>효과 검증됨, 효율성 향상, 품질 향상</criteria>
-    </success-pattern>
-  </pattern-classification>
-
-  <metrics>
-    | 메트릭 | 계산 방법 |
-    |-------|----------|
-    | 작업 수 | 완료된 작업 개수 |
-    | 성공률 | (성공 작업 / 전체 작업) x 100 |
-    | 평균 수정 횟수 | 총 수정 횟수 / 작업 수 |
-    | 점수 | 가중 평균 (성공률 x 0.4 + (1 - 수정률) x 0.3 + 기타 x 0.3) |
-  </metrics>
-
-  <improvement-format>
-    <![CDATA[
-## IMP-XXX: {개선 제목}
-
-**대상**: {에이전트/스킬}.md
-**관련 패턴**: FP-XXX / SP-XXX
-
-### 현재 문제
-{문제 설명}
-
-### 제안 변경
-```diff
-- 현재 내용
-+ 개선된 내용
-```
-
-### 기대 효과
-{개선 효과}
-    ]]>
-  </improvement-format>
-
-  <report-sections>
-    1. 메트릭 요약
-    2. 에이전트별 성과
-    3. 피드백 분석
-    4. 발견된 패턴
-    5. 개선 조치
-    6. 다음 사이클 목표
-  </report-sections>
-
-  <principles>
-    <principle>객관적 데이터 우선 - 주관적 평가보다 수치 기반</principle>
-    <principle>구체적 예시 - 추상적 서술 지양</principle>
-    <principle>실행 가능한 개선안 - "더 잘하자" 대신 구체적 액션</principle>
-    <principle>균형 잡힌 시각 - 문제점만이 아닌 성공 사례도 포함</principle>
-  </principles>
-
-  <apply-process>
-    제안된 개선 → 사용자 검토/승인 → SKILL.md 업데이트 → 템플릿 업데이트 → lessons.md 기록 → 다음 사이클에서 효과 측정
-  </apply-process>
-</skill>
+# Retrospective
+
+프로젝트 회고를 위한 분석 프레임워크와 개선 프로세스.
+
+## TSQ CLI 사용
+
+로그, 피드백, 메트릭, 회고는 CLI 커맨드를 사용한다.
+직접 파일을 조작하면 구조화된 데이터가 깨질 수 있다.
+
+| 시점 | 커맨드 |
+|-----|--------|
+| 회고 시작 | `tsq retro start` |
+| Phase별 회고 | `tsq retro phase {phase}` |
+| 메트릭 수집 | `tsq retro collect` 또는 `tsq metrics collect` |
+| 로그 확인 | `tsq log list` / `tsq log today` |
+| 리포트 생성 | `tsq retro report` (GitHub Issue 포함) |
+| 로컬 리포트만 | `tsq retro report --local` |
+| 사이클 완료 | `tsq retro apply` |
+
+## 데이터 소스
+
+| 경로 | 내용 |
+|------|------|
+| `.timsquad/retrospective/metrics/` | 메트릭 데이터 |
+| `.timsquad/logs/` | 작업 로그 |
+| `.timsquad/retrospective/patterns/` | 기존 패턴 |
+
+## KPT 프레임워크
+
+- **Keep**: 무엇이 잘 되었나? 계속해야 할 것은?
+- **Problem**: 무엇이 문제였나? 장애물은?
+- **Try**: 다음에 시도해볼 것은?
+
+## 패턴 분류
+
+- **실패 패턴 (FP)**: 3회 이상 반복, 작업 지연 유발, 품질 저하 원인
+- **성공 패턴 (SP)**: 효과 검증됨, 효율성 향상, 품질 향상
+
+## 메트릭
+
+| 메트릭 | 계산 방법 |
+|-------|----------|
+| 작업 수 | 완료된 작업 개수 |
+| 성공률 | (성공 작업 / 전체 작업) x 100 |
+| 평균 수정 횟수 | 총 수정 횟수 / 작업 수 |
+
+## 리포트 구성
+
+1. 메트릭 요약
+2. 에이전트별 성과
+3. 피드백 분석
+4. 발견된 패턴
+5. 개선 조치
+6. 다음 사이클 목표
+
+## 원칙
+
+- **객관적 데이터 우선** — 주관적 평가보다 수치 기반. 데이터가 있어야 개선 효과를 측정할 수 있다.
+- **구체적 예시** — 추상적 서술 지양. "더 잘하자"가 아닌 실행 가능한 액션.
+- **균형 잡힌 시각** — 문제점만이 아닌 성공 사례도 포함.
+
+## 개선 적용 흐름
+
+제안된 개선 → 사용자 검토/승인 → SKILL.md 업데이트 → 템플릿 업데이트 → lessons.md 기록 → 다음 사이클에서 효과 측정
+
+개선 제안 형식은 `references/improvement-template.md` 참조.

package/templates/base/skills/retrospective/references/improvement-template.md

@@ -0,0 +1,26 @@
+---
+title: Improvement Template
+category: template
+source: internal
+---
+
+# Improvement Template
+
+개선 제안 시 아래 형식을 사용한다.
+
+## IMP-XXX: {개선 제목}
+
+**대상**: {에이전트/스킬}.md
+**관련 패턴**: FP-XXX / SP-XXX
+
+### 현재 문제
+{문제 설명}
+
+### 제안 변경
+```diff
+- 현재 내용
++ 개선된 내용
+```
+
+### 기대 효과
+{개선 효과}

package/templates/base/skills/review/SKILL.md

@@ -0,0 +1,72 @@
+---
+name: review
+description: |
+  교차 리뷰(Cross-Review) 스킬. 별도 서브에이전트(Task)로 코드 리뷰를 수행하여
+  구조화된 리포트를 반환한다. 6가지 관점(보안, 타입, 에러, API, 테스트, 성능)으로 분석.
+  `/review`로 호출하면 현재 변경 사항에 대한 교차 리뷰를 실행한다.
+version: "1.0.0"
+tags: [review, code-review, cross-review, quality]
+depends_on: [coding, testing, security]
+conflicts_with: []
+user-invocable: true
+context: fork
+agent: Explore
+allowed-tools: Read, Grep, Glob, Bash
+argument-hint: "[파일패턴] — 변경 사항 교차 리뷰"
+---
+
+# Cross-Review
+
+별도 서브에이전트로 교차 리뷰를 수행하여 자기검증의 맹점을 보완한다.
+
+## Contract
+
+- **Trigger**: `/review` 명시적 호출 시에만 실행 (자동 실행 아님)
+- **Input**: `git diff` 변경 내용 또는 staged changes
+- **Output**: severity별 구조화된 리뷰 리포트 (파일:라인 참조 포함)
+- **Error**: 리뷰 대상 없음 시 "변경 사항 없음" 안내
+- **Dependencies**: coding, testing, security
+
+## Protocol
+
+1. **변경 수집**: `git diff` 또는 staged changes로 리뷰 대상 수집
+2. **격리 실행**: 별도 컨텍스트에서 리뷰 수행 (context: fork)
+   - 리뷰어는 구현자와 독립된 컨텍스트에서 판단
+   - 6가지 관점 체크리스트 기반 분석
+3. **6가지 관점 분석**:
+   - **보안**: OWASP Top 10, 시크릿 노출, injection, XSS
+   - **타입 안전성**: any 타입, 타입 단언(as), 미검증 캐스팅
+   - **에러 핸들링**: catch 누락, 에러 무시, 불완전한 에러 처리
+   - **API 호환성**: 기존 인터페이스 변경, breaking changes
+   - **테스트 커버리지**: 변경 코드의 테스트 존재 여부
+   - **성능**: N+1 쿼리, 불필요한 리렌더링, 메모리 누수
+4. **리포트 생성**: severity별 구조화된 결과 출력
+
+## Verification
+
+| Check | Method | Pass Criteria |
+|-------|--------|---------------|
+| 리뷰 실행 | 격리 컨텍스트 (fork) | 리포트 반환 |
+| 관점 커버리지 | 6가지 관점 체크 | 모든 관점 포함 |
+| severity 분류 | 구조화 리포트 | severity 태그 존재 |
+| 파일/라인 참조 | 코드 위치 명시 | 정확한 위치 참조 |
+
+## Quick Rules
+
+### Report Format
+```
+## Review Report
+### CRITICAL (즉시 수정)
+- [CRITICAL] src/auth.ts:42 — SQL injection 가능성
+### HIGH (머지 전 수정)
+- [HIGH] src/api.ts:15 — 에러 핸들링 누락
+### MEDIUM (개선 권장)
+- [MEDIUM] src/utils.ts:8 — any 타입 사용
+### LOW (참고)
+- [LOW] src/config.ts:3 — 매직넘버 사용
+```
+
+### 원칙
+- `/review` 명시 호출만 실행 (토큰 절약)
+- critical 발견 시 즉시 알림
+- 리뷰어는 구현자와 다른 컨텍스트(fork)에서 수행

package/templates/base/skills/security/SKILL.md

@@ -1,55 +1,68 @@
 ---
 name: security
-description: 보안 검토 및 취약점 탐지 가이드라인
+description: |
+  보안 검토 및 취약점 탐지 가이드라인.
+  OWASP Top 10, 시크릿 관리, Rate Limiting, CSRF 방지를 다룸.
+  Use when: "보안 검토, 취약점, OWASP, XSS, injection, 시크릿, 인증"
 version: "1.0.0"
 tags: [security, owasp, vulnerability]
+depends_on: []
+conflicts_with: []
 user-invocable: false
 ---
 
 # Security Guidelines (OWASP Top 10)
 
-## OWASP Top 10 요약
+보안 취약점을 사전에 방지하고 체계적으로 검토한다.
 
-| # | 취약점 | 핵심 방어 |
-|---|--------|----------|
-| 1 | Injection | Parameterized Query, ORM 사용 |
-| 2 | Broken Authentication | 강력한 패스워드 정책, bcrypt(12+) |
-| 3 | Sensitive Data Exposure | DTO로 민감 정보 제외, 로그 마스킹 |
-| 5 | Broken Access Control | authenticate + authorize 미들웨어 |
-| 6 | Security Misconfiguration | helmet(), CORS 제한 |
-| 7 | XSS | textContent 사용, innerHTML 금지 |
-| 8 | Insecure Deserialization | Zod 스키마 검증 |
-| 9 | Known Vulnerabilities | npm audit, 정기 업데이트 |
-| 10 | Insufficient Logging | 로그인 실패, 브루트포스 로깅 |
+## Philosophy
 
-## 추가 보안 체크
+- 모든 외부 입력은 검증한다 (Trust Nothing)
+- 시크릿은 코드에 절대 포함하지 않는다
+- 보안은 사후 점검이 아닌 설계 단계부터 고려한다
 
-### 시크릿 관리
-- **금지**: 하드코딩 (`const apiKey = 'sk-...'`)
-- **필수**: 환경변수 (`process.env.API_KEY`)
-- **권장**: 시크릿 매니저
-
-### Rate Limiting
-- API 엔드포인트에 rate limiter 적용
-
-### CSRF 방지
-- csrf 토큰 사용
-
-## Checklist
-- [ ] SQL/NoSQL Injection 방지
-- [ ] 강력한 인증 구현
-- [ ] 민감 정보 보호
-- [ ] 접근 제어 구현
-- [ ] XSS 방지
-- [ ] 입력 검증 (Zod)
-- [ ] 의존성 취약점 확인
-- [ ] 보안 로깅 구현
-- [ ] 시크릿 안전하게 관리
-- [ ] Rate Limiting 적용
+## Contract
+
+- **Trigger**: 보안 관련 코드 변경 (인증, 권한, 입력 처리, API)
+- **Input**: 변경 코드 + 보안 컨텍스트
+- **Output**: OWASP 준수 코드 + 시크릿 미노출
+- **Error**: 취약점 발견 시 즉시 수정 + 보안 로그
+- **Dependencies**: 없음
+
+## Protocol
+
+1. **위협 모델링**: 공격 표면 식별
+2. **구현**: OWASP 가이드 준수 코딩
+3. **OWASP 체크**: Top 10 항목별 검증
+4. **시크릿 스캔**: 하드코딩 시크릿 탐색
+
+## Verification
+
+| Check | Command | Pass Criteria |
+|-------|---------|---------------|
+| 셸 스크립트 | `shellcheck *.sh` | exit code 0 |
+| 의존성 취약점 | `npm audit` | critical 0건 |
+| 시크릿 스캔 | `bash scripts/check-secrets.sh` | 0건 |
+| 입력 검증 | 수동 검증 | 모든 외부 입력 Zod 검증 |
 
 ## Resources
 
 | Priority | Type | Resource | Description |
 |----------|------|----------|-------------|
 | CRITICAL | rule | [owasp-examples](rules/owasp-examples.md) | 취약점별 Bad/Good 코드 예시 |
-| HIGH | script | [check-secrets](scripts/check-secrets.sh) | 하드코딩된 시크릿 자동 스캔 |
+| HIGH | script | [check-secrets](scripts/check-secrets.sh) | 하드코딩 시크릿 자동 스캔 |
+
+## Quick Rules
+
+### OWASP Top 10 핵심
+| # | 취약점 | 방어 |
+|---|--------|------|
+| 1 | Injection | Parameterized Query, ORM |
+| 2 | Broken Auth | bcrypt(12+), 강력한 패스워드 |
+| 3 | Data Exposure | DTO로 민감 정보 제외 |
+| 5 | Access Control | authenticate + authorize |
+| 7 | XSS | textContent, innerHTML 금지 |
+
+### 시크릿 관리
+- **금지**: 하드코딩 (`const apiKey = 'sk-...'`)
+- **필수**: 환경변수 (`process.env.API_KEY`)

package/templates/base/skills/security/rules/auth-patterns.md

@@ -0,0 +1,62 @@
+---
+title: Authentication Patterns
+impact: CRITICAL
+tags: security, authentication, jwt, session, password, mfa
+---
+
+# Authentication Patterns
+
+## Password Hashing
+```typescript
+// Bad: plain text or weak hashing
+const hash = md5(password);
+
+// Good: bcrypt with sufficient rounds
+import bcrypt from 'bcrypt';
+const SALT_ROUNDS = 12;
+const hash = await bcrypt.hash(password, SALT_ROUNDS);
+const isValid = await bcrypt.compare(password, hash);
+```
+
+## JWT Best Practices
+```typescript
+// Sign with short expiry and explicit algorithm
+const token = jwt.sign({ sub: user.id, role: user.role }, SECRET, {
+  algorithm: 'HS256',
+  expiresIn: '15m',
+});
+
+// Verify with algorithm restriction
+const payload = jwt.verify(token, SECRET, { algorithms: ['HS256'] });
+```
+
+- Use short-lived access tokens (15m) + long-lived refresh tokens (7d)
+- Store refresh tokens server-side; revoke on logout
+- Never store sensitive data (password, PII) in JWT payload
+- Rotate signing keys periodically
+
+## Session Management
+- Regenerate session ID after login to prevent fixation
+- Set secure cookie flags: `httpOnly`, `secure`, `sameSite: 'strict'`
+- Enforce idle and absolute timeout
+```typescript
+app.use(session({
+  secret: process.env.SESSION_SECRET,
+  resave: false,
+  saveUninitialized: false,
+  cookie: { httpOnly: true, secure: true, sameSite: 'strict', maxAge: 3600000 },
+}));
+```
+
+## Multi-Factor Authentication (MFA)
+- Offer TOTP (e.g., Google Authenticator) as a second factor
+- Provide recovery codes at enrollment; hash them before storage
+- Rate-limit MFA verification attempts to prevent brute force
+
+## Checklist
+- Hash passwords with bcrypt (rounds >= 12) or argon2
+- Enforce minimum password length of 12 characters
+- Lock accounts or add delays after repeated failed attempts
+- Use short-lived JWTs with explicit algorithm; never use `alg: none`
+- Regenerate session IDs on privilege changes
+- Implement MFA for admin and sensitive operations