timsquad 3.5.0 → 3.6.0

package/templates/base/skills/security/rules/dependency-security.md

@@ -0,0 +1,69 @@
+---
+title: Dependency Security
+impact: HIGH
+tags: security, dependencies, npm-audit, supply-chain, license
+---
+
+# Dependency Security
+
+## npm audit
+```bash
+# Check for known vulnerabilities
+npm audit
+
+# Fix automatically where possible
+npm audit fix
+
+# Fail CI on critical/high vulnerabilities
+npm audit --audit-level=high
+```
+
+- Run `npm audit` in CI pipelines; block merges on high/critical findings
+- Review advisories before applying `npm audit fix --force` (may include breaking changes)
+- Use tools like `socket.dev` or `snyk` for deeper analysis
+
+## Lockfile Integrity
+- Always commit `package-lock.json` to version control
+- Use `npm ci` in CI/CD (respects lockfile exactly, fails on mismatch)
+- Review lockfile diffs in PRs for unexpected changes
+```bash
+# CI install — strict, reproducible
+npm ci
+
+# Never use `npm install` in CI — it can modify the lockfile
+```
+
+## Supply Chain Attack Prevention
+- Pin exact versions for critical dependencies
+- Verify package provenance when available (`npm audit signatures`)
+- Be cautious with post-install scripts; audit new dependencies before adding
+```bash
+# Check what scripts a package runs
+npm explain <package>
+npm pack <package> --dry-run  # inspect contents before install
+
+# Disable scripts for untrusted packages
+npm install --ignore-scripts <package>
+```
+
+- Prefer well-maintained packages with large user bases
+- Monitor for typosquatting (e.g., `lodash` vs `l0dash`)
+- Use `npm-shrinkwrap.json` for published packages requiring locked deps
+
+## License Compliance
+```bash
+# Check licenses of all dependencies
+npx license-checker --summary
+npx license-checker --failOn 'GPL-3.0;AGPL-3.0'
+```
+
+- Define an allowlist of acceptable licenses for the project
+- Block copyleft licenses (GPL, AGPL) in proprietary codebases
+- Document license policy and automate checks in CI
+
+## Checklist
+- `npm audit` runs in CI; high/critical findings block deployment
+- `package-lock.json` committed; CI uses `npm ci`
+- New dependencies reviewed for maintenance status, size, and scripts
+- License compliance checked automatically; policy documented
+- Lockfile diffs reviewed in pull requests

package/templates/base/skills/security/rules/input-validation.md

@@ -0,0 +1,68 @@
+---
+title: Input Validation
+impact: CRITICAL
+tags: security, validation, sanitization, injection
+---
+
+# Input Validation
+
+## Principle
+Never trust user input. Validate, sanitize, and constrain all external data before processing.
+
+## Allowlist Over Denylist
+```typescript
+// Bad: denylist — easy to bypass
+const forbidden = ['<script>', 'onclick', 'onerror'];
+if (forbidden.some(f => input.includes(f))) throw new Error('Invalid');
+
+// Good: allowlist — only permit known-safe values
+const ALLOWED_ROLES = ['admin', 'editor', 'viewer'] as const;
+if (!ALLOWED_ROLES.includes(role)) throw new Error('Invalid role');
+```
+
+## Schema Validation
+```typescript
+import { z } from 'zod';
+
+const UserInput = z.object({
+  name: z.string().min(1).max(100).trim(),
+  email: z.string().email().max(254),
+  age: z.number().int().min(0).max(150),
+});
+
+// Validate at boundary (controller/handler)
+const data = UserInput.parse(req.body);
+```
+
+## Parameterized Queries
+```typescript
+// Bad: string interpolation — SQL injection risk
+const q = `SELECT * FROM users WHERE id = '${id}'`;
+
+// Good: parameterized query
+const q = 'SELECT * FROM users WHERE id = $1';
+await db.query(q, [id]);
+
+// Good: ORM with type-safe parameters
+await userRepo.findOneBy({ id: parseInt(id, 10) });
+```
+
+## Sanitize HTML Output
+```typescript
+// Bad
+element.innerHTML = userInput;
+
+// Good: escape or use textContent
+element.textContent = userInput;
+
+// Good: DOMPurify for rich content
+import DOMPurify from 'dompurify';
+element.innerHTML = DOMPurify.sanitize(userInput);
+```
+
+## Checklist
+- Validate type, length, format, and range at the application boundary
+- Use allowlists for enumerated values (roles, statuses, types)
+- Use parameterized queries or ORM — never interpolate user input into SQL
+- Sanitize output based on context (HTML, URL, SQL, shell)
+- Reject unexpected fields; do not pass raw request bodies to business logic

package/templates/base/skills/security/rules/secrets-management.md

@@ -0,0 +1,65 @@
+---
+title: Secrets Management
+impact: HIGH
+tags: security, secrets, env, gitignore, rotation
+---
+
+# Secrets Management
+
+## Never Hardcode Secrets
+```typescript
+// Bad: hardcoded secret
+const API_KEY = 'sk-1234567890abcdef';
+const DB_URL = 'postgres://admin:password@db:5432/prod';
+
+// Good: environment variables
+const API_KEY = process.env.API_KEY;
+const DB_URL = process.env.DATABASE_URL;
+
+// Better: secret manager for production
+const API_KEY = await secretManager.getSecret('api-key');
+```
+
+## Environment Variables
+- Use `.env` files for local development only
+- Load with `dotenv` at application entry point, not in library code
+- Validate required env vars at startup
+```typescript
+const required = ['DATABASE_URL', 'JWT_SECRET', 'API_KEY'];
+for (const key of required) {
+  if (!process.env[key]) throw new Error(`Missing env var: ${key}`);
+}
+```
+
+## .gitignore Rules
+```gitignore
+# Must be in .gitignore — never commit secrets
+.env
+.env.local
+.env.*.local
+*.pem
+*.key
+```
+
+- Use `.env.example` with placeholder values for documentation
+- Run `git log --all -p -- .env` to verify secrets were never committed
+- If a secret was committed, rotate it immediately — git history persists
+
+## Secret Rotation
+- Rotate secrets on a regular schedule (90 days recommended)
+- Support dual-read during rotation (accept old + new key simultaneously)
+- Automate rotation via secret manager (AWS Secrets Manager, Vault, etc.)
+- Revoke old secrets after confirming the new ones work
+
+## Production Practices
+- Use a dedicated secret manager (AWS Secrets Manager, HashiCorp Vault, GCP Secret Manager)
+- Grant least-privilege access to secrets per service
+- Audit secret access logs regularly
+- Never log secret values; mask them in error output
+
+## Checklist
+- No secrets in source code, config files, or container images
+- `.env` and key files listed in `.gitignore`
+- Required env vars validated at startup with clear error messages
+- Secrets rotated on schedule; old secrets revoked
+- Production uses a secret manager, not plain env vars

package/templates/base/skills/spec/SKILL.md

@@ -0,0 +1,60 @@
+---
+name: spec
+description: |
+  SSOT(Single Source of Truth) 문서 존재 여부를 확인하고, 미존재 시 구현 전 스펙 작성을 안내한다.
+  `/spec <기능명>`으로 호출하면 해당 기능의 SSOT 문서를 찾아 상태를 보고한다.
+  스펙 없이 구현하는 것을 방지하여 문서-코드 일관성을 유지한다.
+version: "1.0.0"
+tags: [spec, ssot, gate, documentation]
+depends_on: [tsq-protocol]
+conflicts_with: []
+user-invocable: true
+argument-hint: "[기능명] — SSOT 문서 존재 여부 확인"
+---
+
+# Spec Gate
+
+SSOT 문서 존재 여부를 확인하여 스펙 없는 구현을 방지한다.
+
+## Contract
+
+- **Trigger**: `/spec` 호출 또는 구현 시작 전 자동 확인
+- **Input**: `$ARGUMENTS` (기능명) 또는 미지정 시 전체 SSOT 상태
+- **Output**: SSOT 상태 리포트 (존재/stale/미존재) + 권장 액션
+- **Error**: SSOT 디렉토리 자체가 없을 경우 "NOT FOUND" 안내
+- **Dependencies**: tsq-protocol
+
+## Protocol
+
+1. **SSOT 검색**: `$ARGUMENTS`로 전달된 기능명으로 `.timsquad/ssot/` 디렉토리 탐색
+2. **존재 확인**: 해당 기능의 스펙 문서(PRD, 설계문서, API 스펙) 존재 여부 판단
+3. **상태 판정**:
+   - **존재 + 최신**: 스펙 요약 출력 + "구현 가능" 안내
+   - **존재 + stale**: "스펙 갱신 필요" + `tsq compile` 재실행 안내
+   - **미존재**: advisory 경고 + 스펙 작성 가이드 제공
+4. **결과 리포트**: 상태 + 권장 액션을 구조화하여 출력
+
+## Verification
+
+| Check | Method | Pass Criteria |
+|-------|--------|---------------|
+| SSOT 파일 존재 | `.timsquad/ssot/` 탐색 | 관련 문서 1개 이상 |
+| stale 여부 | compile-manifest hash 비교 | hash 일치 |
+| 스펙 커버리지 | 기능 키워드 매칭 | 해당 기능 언급 존재 |
+
+## Quick Rules
+
+### Gate 동작
+- **미존재 시**: advisory 경고 (차단 아님)
+  ```
+  [SPEC GATE] 기능 "{name}"에 대한 SSOT 문서가 없습니다.
+  스펙 먼저 작성하세요: .timsquad/ssot/{name}.md
+  가이드: PRD → 설계문서 → Compiled Spec 순서
+  ```
+- **stale 시**: `tsq compile` 재실행 안내
+  ```
+  [SPEC GATE] SSOT 문서가 최신이 아닙니다. `tsq compile` 재실행 필요.
+  ```
+- **Phase gate에서만 실제 차단** (일반 사용 시 advisory)
+- `$ARGUMENTS` 미지정 시 전체 SSOT 상태 요약
+- PRD, 설계문서, API 스펙 모두 SSOT로 인정

package/templates/base/skills/testing/SKILL.md

@@ -6,6 +6,8 @@ description: |
   Use when: "테스트 작성, TDD, 단위 테스트, 통합 테스트, E2E, 커버리지"
 version: "1.0.0"
 tags: [testing, tdd, quality]
+depends_on: []
+conflicts_with: []
 user-invocable: false
 ---
 
@@ -19,45 +21,51 @@ user-invocable: false
 - 테스트 피라미드: Unit(다수) > Integration(중간) > E2E(소수)
 - 행동(behavior) 테스트 — 구현 디테일이 아닌 결과 검증
 
+## Contract
+
+- **Trigger**: 테스트 작성/수정 태스크, 코드 변경 후 테스트 필요 시
+- **Input**: 테스트 대상 코드 + 요구사항
+- **Output**: Given-When-Then 패턴 테스트 + 커버리지 기준 충족
+- **Error**: 커버리지 미달 시 추가 테스트 작성
+- **Dependencies**: 없음
+
+## Protocol
+
+1. **Red**: 실패하는 테스트 작성
+2. **Green**: 테스트를 통과하는 최소 코드 작성
+3. **Refactor**: 코드 정리 (테스트는 계속 통과)
+4. **Coverage 확인**: 기준 충족 여부 점검
+
+## Verification
+
+| Check | Command | Pass Criteria |
+|-------|---------|---------------|
+| 테스트 실행 | `npm test` | exit code 0 |
+| 라인 커버리지 | coverage report | >= 80% |
+| 브랜치 커버리지 | coverage report | >= 70% |
+| 3카테고리 | 수동 검증 | Happy/Edge/Error 포함 |
+
 ## Resources
 
 | Priority | Type | Resource | Description |
 |----------|------|----------|-------------|
-| HIGH | ref | [testing-patterns](references/testing-patterns.md) | Given-When-Then, Mock 가이드, 카테고리별 예시 |
+| HIGH | ref | [testing-patterns](references/testing-patterns.md) | Given-When-Then, Mock 가이드 |
+| HIGH | ref | [e2e-stability](references/e2e-stability.md) | E2E Viewport, Wait, Retry 가이드 |
 
 ## Quick Rules
 
-### TDD Cycle
-1. **Red** — 실패하는 테스트 작성
-2. **Green** — 테스트를 통과하는 최소 코드 작성
-3. **Refactor** — 코드 정리 (테스트는 계속 통과)
-
 ### Test Naming
 - 형식: `should {expected behavior} when {condition}`
-- Good: `should return null when user is not found`
 - Bad: `test getUser`, `works correctly`
 
 ### Test Categories
-모든 테스트는 3가지 카테고리 커버:
 - **Happy Path** — 정상 흐름
 - **Edge Cases** — 경계 조건 (빈 문자열, 0, null, 최대값)
 - **Error Cases** — 오류 상황
 
 ### Coverage Standards
-
-| Metric | Minimum | Recommended |
-|--------|---------|-------------|
-| Line Coverage | 80% | 90% |
-| Branch Coverage | 70% | 80% |
-| Function Coverage | 80% | 90% |
-
-## Checklist
-
-| Priority | Item |
-|----------|------|
-| CRITICAL | Given-When-Then 패턴을 따르는가 |
-| CRITICAL | Happy path, Edge case, Error case 커버하는가 |
-| HIGH | 테스트 이름이 `should...when...` 형식인가 |
-| HIGH | 커버리지 기준을 충족하는가 |
-| MEDIUM | Mock이 적절히 사용되었는가 (외부 서비스만) |
-| MEDIUM | 테스트가 독립적인가 (순서 무관) |
+| Metric | Min | Recommended |
+|--------|-----|-------------|
+| Line | 80% | 90% |
+| Branch | 70% | 80% |
+| Function | 80% | 90% |

package/templates/base/skills/testing/references/e2e-stability.md

@@ -0,0 +1,33 @@
+---
+title: E2E Stability Guide
+category: reference
+---
+
+# E2E Stability Guide
+
+## Viewport & Selectors
+- 테스트 전 `page.setViewportSize({ width: 1280, height: 720 })` 고정
+- `data-testid` 셀렉터 사용 — CSS 클래스/태그 기반 셀렉터 금지
+- `getByRole`, `getByText` 등 의미 기반 셀렉터 우선
+
+## Serial Execution
+- E2E 테스트는 `describe.serial` 또는 `--shard` 사용
+- 상태 의존 테스트는 반드시 순서 보장 (`test.describe.configure({ mode: 'serial' })`)
+
+## Wait Strategy
+- `waitForSelector` 대신 `waitForLoadState('networkidle')` + assertion
+- 하드코딩 `sleep`/`setTimeout` 절대 사용 금지
+- 동적 콘텐츠: `expect(locator).toBeVisible({ timeout: 10000 })`
+
+## Retry & Flakiness
+- Playwright `retries: 2` 설정 (CI 환경)
+- flaky 테스트 발견 시 `test.fixme()` 마킹 후 원인 분석
+- 재시도 성공도 flaky로 기록 → `.e2e-passed` 마커에 `flaky` 카운트 포함
+
+## Timeout Standards
+
+| Category | Timeout | Rationale |
+|----------|---------|-----------|
+| Unit Test | 120s | 빠른 피드백 |
+| E2E Test | 300s | 네트워크/렌더링 대기 |
+| Build | 180s | 컴파일 + 번들링 |

package/templates/base/skills/tsq-cli/SKILL.md

@@ -0,0 +1,73 @@
+---
+name: tsq-cli
+description: |
+  TimSquad CLI(tsq) 사용 가이드. 모든 TSQ 커맨드의 인덱스와 사용법을 제공한다.
+  에이전트가 TSQ CLI 커맨드를 사용해야 할 때 이 스킬을 참조한다.
+  상세 커맨드 레퍼런스는 references/cli-reference.md 참조.
+version: "1.0.0"
+tags: [tsq, cli, commands, reference]
+depends_on: [tsq-protocol]
+conflicts_with: []
+user-invocable: false
+---
+
+# TSQ CLI Reference
+
+TimSquad CLI 커맨드 인덱스. 상세 옵션은 `references/cli-reference.md` 참조.
+
+## Core Commands
+
+| Command | Description |
+|---------|-------------|
+| `tsq init` | 프로젝트 초기화 |
+| `tsq status` | 현재 상태 확인 |
+| `tsq q "task"` | Quick 모드 (간단한 작업) |
+| `tsq f "task"` | Full 모드 (SSOT 기반) |
+| `tsq retro` | 회고 실행 |
+| `tsq metrics` | 메트릭 확인 |
+
+## Meta Index
+
+| Command | Description |
+|---------|-------------|
+| `tsq mi rebuild` | 전체 코드+UI 인덱스 재구축 |
+| `tsq mi update` | 변경분만 반영 |
+| `tsq mi stats` | 통계 (Health Score) |
+| `tsq mi stage <file>` | semantic 데이터 추가 |
+| `tsq mi query` | 인덱스 조회 |
+| `tsq mi validate` | semantic 완성도 검증 |
+
+## Log System
+
+| Command | Description |
+|---------|-------------|
+| `tsq log add <agent> <type> "msg"` | 로그 추가 |
+| `tsq log enrich <agent> --json` | semantic 데이터 병합 |
+| `tsq log task list` | L1 태스크 로그 목록 |
+| `tsq log sequence create` | L2 시퀀스 로그 생성 |
+| `tsq log phase create` | L3 페이즈 로그 생성 |
+| `tsq log phase gate <id>` | L3 전환 게이트 |
+
+## Workflow
+
+| Command | Description |
+|---------|-------------|
+| `tsq wf set-phase <id>` | 현재 Phase 설정 |
+| `tsq wf add-sequence <id>` | 시퀀스 등록 |
+| `tsq wf status` | 워크플로우 상태 |
+| `tsq wf config <key> <on\|off>` | 자동화 토글 |
+
+## Knowledge & Audit
+
+| Command | Description |
+|---------|-------------|
+| `tsq knowledge validate` | 지식 파일 검증 |
+| `tsq knowledge list` | 지식 파일 목록 |
+| `tsq audit validate` | 감사 리포트 검증 |
+| `tsq audit diff` | 감사 전후 비교 |
+
+## Resources
+
+| Priority | Type | Resource | Description |
+|----------|------|----------|-------------|
+| HIGH | ref | [cli-reference](references/cli-reference.md) | 전체 커맨드 상세 옵션 |

package/templates/base/skills/tsq-cli/references/cli-reference.md

@@ -0,0 +1,92 @@
+---
+title: TSQ CLI Full Reference
+category: reference
+---
+
+# TSQ CLI Full Reference
+
+## tsq init
+```bash
+tsq init --type web-service   # 프로젝트 초기화
+tsq init -n my-project -t web-app -l 2 --domain general-web
+tsq init --stack react,node,prisma --workspaces "packages/*"
+tsq init -y                   # 대화형 프롬프트 스킵
+```
+
+Options:
+- `-n, --name <name>` — 프로젝트명
+- `-t, --type <type>` — web-service|web-app|api-backend|platform|fintech|infra|mobile-app
+- `-l, --level <level>` — 1(MVP)|2(Standard)|3(Enterprise)
+- `--domain <domain>` — general-web|ml-engineering|fintech|mobile|gamedev|systems
+- `--stack <items>` — 기술 스택 (콤마 구분)
+- `--workspaces <pattern>` — 모노레포 워크스페이스 glob
+- `-y, --yes` — 확인 프롬프트 스킵
+
+## tsq status
+```bash
+tsq status                    # 프로젝트 상태 확인
+```
+
+## tsq q / tsq f
+```bash
+tsq q "버튼 색상 변경"          # Quick 모드 — 간단한 작업
+tsq f "새 기능 추가"            # Full 모드 — SSOT 기반 작업
+```
+
+## Meta Index (tsq mi)
+```bash
+tsq mi rebuild                # 전체 코드+UI 인덱스 재구축
+tsq mi update                 # 변경분만 반영
+tsq mi stats                  # 통계 (Health Score, UI Health)
+tsq mi stage <file> [options] # semantic 데이터 추가
+tsq mi query [options]        # 인덱스 조회
+tsq mi validate               # semantic 완성도 검증
+```
+
+## Log (L1/L2/L3)
+```bash
+tsq log add <agent> work "msg"         # 작업 로그 추가
+tsq log add <agent> decision "msg"     # 결정 로그 추가
+tsq log enrich <agent> --json '{...}'  # semantic 데이터 병합
+tsq log task list [--agent <name>]     # L1 태스크 로그 목록
+tsq log task view <file>               # L1 태스크 로그 상세
+tsq log task stats                     # L1 통계
+tsq log sequence create <seq-id> --phase <id> --report <path>  # L2 생성
+tsq log sequence list                  # L2 목록
+tsq log sequence check <seq-id>        # L1 완성도 확인
+tsq log phase create <phase-id> --sequences "..."  # L3 생성
+tsq log phase gate <phase-id>          # L3 전환 게이트
+```
+
+## Knowledge
+```bash
+tsq knowledge create <category> <name> # 지식 파일 생성
+tsq knowledge validate                 # 지식 파일 검증
+tsq knowledge list                     # 지식 파일 목록
+```
+
+## Workflow (tsq wf)
+```bash
+tsq wf set-phase <phase-id>                           # Phase 설정
+tsq wf add-sequence <seq-id> --agents "developer,dba"  # 시퀀스 등록
+tsq wf remove-sequence <seq-id>                        # 시퀀스 제거
+tsq wf status                                          # 상태 확인
+tsq wf config <key> <on|off>                           # 자동화 토글
+# keys: sequence_log, phase_log, phase_gate, metrics, retro
+```
+
+## Audit
+```bash
+tsq audit validate <report>            # 감사 리포트 검증
+tsq audit diff <before> <after>        # 감사 전후 비교
+tsq audit fp list                      # FP Registry 목록
+tsq audit fp add <item> --reason "msg" # FP 등록
+```
+
+## Other
+```bash
+tsq feedback "이슈 설명"               # 피드백 제출
+tsq commit -m "메시지"                 # 커밋 (developer/dba만)
+tsq retro                              # 회고 실행
+tsq metrics                            # 메트릭 확인
+```

package/templates/base/skills/tsq-protocol/SKILL.md

@@ -6,46 +6,62 @@ description: |
   자동 주입 스킬 — 직접 호출하지 마세요.
 version: "1.0.0"
 tags: [tsq, protocol, agent]
+depends_on: []
+conflicts_with: []
 user-invocable: false
 ---
 
 # TSQ Agent Protocol
 
-## File Access
-코드 탐색 시 `.timsquad/.daemon/task-context.json`을 **먼저** 확인하세요.
-이 파일에 작업 범위의 파일/메서드/클래스 위치가 정리되어 있습니다.
-context 파일이 없거나 범위 밖 파일이 필요할 때만 Grep/Glob을 사용하세요.
+에이전트가 TimSquad 시스템 내에서 따라야 하는 공통 프로토콜.
 
-## TSQ CLI (Required)
+## Philosophy
 
-모든 로그/피드백/커밋은 TSQ CLI를 통해서만 수행합니다. 직접 파일 조작 금지.
+- TSQ CLI를 통해서만 로그/피드백/커밋 수행
+- task-context.json을 우선 탐색하여 불필요한 탐색 최소화
+- 피드백은 반드시 Level 분류를 명시
 
+## Contract
+
+- **Trigger**: 모든 에이전트 세션 (자동 활성)
+- **Input**: 태스크 지시 + task-context.json
+- **Output**: TSQ 프로세스 준수 작업 결과
+- **Error**: 프로토콜 위반 시 경고 + 수정 안내
+- **Dependencies**: 없음
+
+## Protocol
+
+1. **task-context 확인**: `.timsquad/.daemon/task-context.json` 우선 읽기
+2. **TSQ CLI 사용**: 로그/피드백/커밋 모두 CLI 경유
+3. **피드백 라우팅**: Level 분류 후 적절한 대상에 전달
+
+## Verification
+
+| Check | Command | Pass Criteria |
+|-------|---------|---------------|
+| TSQ CLI 사용 | `tsq log` 사용 여부 | 직접 파일 조작 0건 |
+| 피드백 Level | 피드백 내용 확인 | L1/L2/L3 분류 존재 |
+| task-context | 탐색 순서 확인 | context 우선 사용 |
+
+## Quick Rules
+
+### CLI Commands
 | 이벤트 | 커맨드 |
 |--------|--------|
 | 작업 시작 | `tsq log add {agent} work "TASK-XXX 시작: {설명}"` |
 | 결정 기록 | `tsq log add {agent} decision "{결정 근거}"` |
 | 이슈 발견 | `tsq feedback "{이슈 설명}"` |
 | 작업 완료 | `tsq log add {agent} work "TASK-XXX 완료: {결과}"` |
-| semantic 보강 | `tsq log enrich {agent} --json '{...}'` |
 | 커밋 | `tsq commit -m "{메시지}"` (developer/dba만) |
 
 ### Forbidden
-- 직접 `.timsquad/logs/` 파일 생성/수정 금지 → `tsq log` 사용
-- 직접 `.timsquad/feedback/` 파일 생성 금지 → `tsq feedback` 사용
-- 직접 `git commit` 금지 → `tsq commit` 사용 (해당 역할만)
-
-## Output Format
-작업 결과는 `knowledge/templates/task-result.md` 형식으로 리턴하세요.
-
-## Feedback Routing
-
-| Level | 심각도 | 기준 | 라우팅 |
-|-------|--------|------|--------|
-| L1 | Minor | 즉시 수정 가능 (린트, 타입, 스타일) | 자체 수정 또는 @tsq-developer |
-| L2 | Major | 설계 변경 필요 (API 불일치, 성능 구조) | 메인세션(PM) 보고 |
-| L3 | Critical | 요구사항 오류, 스코프 변경, 데이터 손실 위험 | 메인세션(PM) → 사용자 승인 |
-
-모든 피드백에 Level 분류와 심각도를 반드시 명시하세요.
+- 직접 `.timsquad/logs/` 파일 조작 → `tsq log` 사용
+- 직접 `.timsquad/feedback/` 파일 조작 → `tsq feedback` 사용
+- 직접 `git commit` → `tsq commit` 사용
 
-## Mandatory Skills
-작업 시작 전 에이전트 frontmatter에 지정된 스킬 파일을 반드시 읽고 가이드라인을 준수하세요.
+### Feedback Routing
+| Level | 기준 | 라우팅 |
+|-------|------|--------|
+| L1 | 즉시 수정 가능 (린트, 타입) | 자체 수정 |
+| L2 | 설계 변경 필요 | 메인세션(PM) 보고 |
+| L3 | 요구사항 오류, 스코프 변경 | 메인세션 → 사용자 승인 |

package/templates/base/skills/typescript/SKILL.md

@@ -1,6 +1,8 @@
 ---
 name: typescript
-description: TypeScript 개발 가이드라인
+description: |
+  TypeScript 개발 가이드라인. strict 모드, 타입 패턴, Zod 검증, Branded Types.
+  Use when: .ts/.tsx 파일 작성·수정, tsconfig 설정, 타입 안전성 이슈, any 제거, 외부 입력 검증 시.
 version: "1.0.0"
 tags: [typescript, types, strict]
 user-invocable: false
@@ -54,14 +56,6 @@ user-invocable: false
 - `@ts-ignore`, `@ts-expect-error` 남용
 - `!` non-null assertion 남용
 
-## Checklist
-- [ ] strict 모드 활성화
-- [ ] any 타입 없음
-- [ ] 함수 반환 타입 명시
-- [ ] 외부 입력 Zod 검증
-- [ ] Discriminated Union으로 상태 표현
-- [ ] Branded Types로 ID 구분
-
 ## 참조
 - `rules/type-patterns.md` — 각 패턴의 코드 예시
 - `rules/utility-types.md` — DTO 조합, DeepPartial, 타입 안전 API 클라이언트

package/templates/base/timsquad/ssot/test-spec.template.md

@@ -178,7 +178,17 @@ describe('UserService', () => {
 
 ---
 
-## 5. 테스트 자동화
+## 5. 테스트 게이트
+
+TimSquad 워크플로우에서 자동 실행되는 테스트 게이트 설정.
+
+### 5.0 게이트별 실행 명령
+
+| 게이트 | 실행 시점 | 명령 | 타임아웃 |
+|--------|----------|------|---------|
+| Task (Unit) | Task 완료 시 | `npm run test:unit` | 120s |
+| Sequence (Integration + Build) | Sequence 완료 시 | `npm run test:integration` + `tsc --noEmit` | 300s |
+| Phase (E2E) | Phase 완료 시 | `npm run test:e2e` | 300s |
 
 ### 5.1 CI 파이프라인