timsquad 3.5.0 → 3.7.0

package/templates/base/skills/{frontend/nextjs → tsq-nextjs}/SKILL.md

@@ -1,8 +1,10 @@
 ---
-name: nextjs
-description: Next.js App Router 개발 가이드라인
+name: tsq-nextjs
+description: |
+  Next.js App Router 개발 가이드라인. Server/Client Components, Server Actions, 캐싱 전략.
+  Use when: Next.js 프로젝트 개발, App Router 라우팅, Server Component 설계, Server Actions 구현 시.
 version: "1.0.0"
-tags: [nextjs, react, frontend]
+tags: [tsq, nextjs, react, frontend]
 user-invocable: false
 ---
 
@@ -48,12 +50,15 @@ user-invocable: false
 - 동적 import: 무거운 컴포넌트 지연 로딩
 
 ## Checklist
-- [ ] Server Component 기본 사용
-- [ ] 'use client' 최소화
-- [ ] Server Actions로 mutation
-- [ ] 적절한 캐싱 전략
-- [ ] loading.tsx, error.tsx 구현
-- [ ] Metadata 설정
+
+| Priority | Item |
+|----------|------|
+| CRITICAL | Server Component 기본 사용 |
+| CRITICAL | 'use client' 최소화 |
+| HIGH | Server Actions로 mutation |
+| HIGH | 적절한 캐싱 전략 |
+| MEDIUM | loading.tsx, error.tsx 구현 |
+| MEDIUM | Metadata 설정 |
 
 ## 참조
 - `rules/app-router.md` — 디렉토리 구조, Server/Client 예시, Data Fetching, Metadata, Loading/Error 패턴

package/templates/base/skills/{planning → tsq-planning}/SKILL.md

@@ -1,11 +1,11 @@
 ---
-name: planning
+name: tsq-planning
 description: |
   기획 및 요건 정의 가이드라인.
   PRD, 요구사항 정의, 문서 구조화, 대용량 문서 분할 전략을 다룸.
   Use when: "기획, PRD, 요구사항, 요건 정의, 스코프, 마일스톤"
 version: "1.0.0"
-tags: [planning, prd, requirements]
+tags: [tsq, planning, prd, requirements]
 user-invocable: false
 ---
 

package/templates/base/skills/{database/prisma → tsq-prisma}/SKILL.md

@@ -1,8 +1,10 @@
 ---
-name: prisma
-description: Prisma ORM 개발 가이드라인
+name: tsq-prisma
+description: |
+  Prisma ORM 개발 가이드라인. 스키마 설계, 쿼리 최적화, 마이그레이션 관리, Repository 패턴.
+  Use when: Prisma 스키마 작성·수정, 마이그레이션 생성, ORM 쿼리 작성, 데이터 모델 설계 시.
 version: "1.0.0"
-tags: [prisma, orm, database]
+tags: [tsq, prisma, orm, database]
 user-invocable: false
 ---
 
@@ -45,13 +47,17 @@ user-invocable: false
 - **금지**: 프로덕션에서 `db push`
 
 ## Checklist
-- [ ] 싱글톤 인스턴스 사용
-- [ ] 마이그레이션으로 스키마 관리
-- [ ] 트랜잭션으로 데이터 정합성
-- [ ] select로 필요한 필드만 조회
-- [ ] 인덱스 적절히 설정
-- [ ] Repository 패턴 적용
+
+| Priority | Item |
+|----------|------|
+| CRITICAL | 싱글톤 인스턴스 사용 |
+| CRITICAL | 마이그레이션으로 스키마 관리 |
+| HIGH | 트랜잭션으로 데이터 정합성 |
+| HIGH | select로 필요한 필드만 조회 |
+| MEDIUM | 인덱스 적절히 설정 |
+| MEDIUM | Repository 패턴 적용 |
 
 ## 참조
 - `rules/schema-design.md` — 모델 정의, 공통 필드, 소프트 삭제 패턴
 - `rules/queries.md` — 싱글톤, CRUD, Relations, 트랜잭션, Repository 패턴
+- **tsq-database** — DB 설계 원칙, 쿼리 최적화, raw SQL 마이그레이션은 tsq-database 참조

package/templates/base/skills/tsq-product-audit/SKILL.md

@@ -0,0 +1,113 @@
+---
+name: tsq-product-audit
+description: |
+  통합 제품 감사 스킬. 7개 영역(Security, Performance, SEO, Accessibility, UI/UX, Architecture, Functional)을
+  정량 스코어링으로 평가하고, 6단계 사이클(Plan→Audit→Report→Remediation Plan→Fix→Re-audit)로 운영한다.
+  Use when: Phase gate 전 품질 확인, 보안 감사, 성능 리뷰, 접근성 점검, 릴리스 전 최종 검증, 코드 감사 요청 시.
+version: "2.0.0"
+tags: [tsq, audit, quality, security, performance, accessibility, seo]
+user-invocable: false
+---
+
+# Product Audit
+
+7개 영역을 체계적으로 평가하고, 정량 스코어와 개선 사이클로 품질을 추적한다.
+
+## Philosophy
+
+- 정량 70% + 정성 30% 가중 평균으로 객관적 평가
+- 모든 항목에 `source: estimated | measured` 명시
+- False Positive는 FP Registry로 관리하여 재감사 시 노이즈 제거
+- Closed-loop: 감사 → 개선 → 재감사 사이클로 품질 수렴
+
+## Contract
+
+- **Trigger**: 감사 태스크, Phase gate 전, 릴리스 전 검증
+- **Input**: 감사 범위 + FP Registry + 이전 리포트 (재감사 시)
+- **Output**: 정량 스코어 보고서 + severity 분류 + 개선 계획
+- **Error**: Critical 항목 존재 시 gate 차단
+- **Dependencies**: coding, testing
+
+## Protocol — 6단계 사이클
+
+### Phase 1: Plan (감사 계획)
+감사 범위, 대상 영역, 기준을 결정하고 계획을 저장한다.
+- 프로젝트 타입에 따라 영역별 가중치 조정
+- FP Registry 로딩, baseline(이전 감사 결과) 확인
+- 계획을 문서로 저장 → 유저 컨펌 후 진행
+
+### Phase 2: Audit (감사 실행)
+계획에 따라 7개 영역을 순회하며 체크리스트 기반 평가.
+- 각 항목: pass / fail / warning / skip + source 명시
+- 자동화 가능 항목은 도구 실행 (Lighthouse, axe-core, eslint 등)
+- 수동 항목은 코드 리뷰로 판정
+
+### Phase 3: Report (보고)
+감사 결과를 정량 스코어로 집계하고 개선점을 보고한다.
+- 영역별 점수 + 가중 평균 종합 점수 산출
+- severity별 finding 분류 (Critical/High/Medium/Low)
+- 이전 감사 대비 diff (개선/악화 추적)
+
+### Phase 4: Remediation Plan (개선 계획)
+보고서를 토대로 개선 계획을 수립한다.
+- severity 기준 우선순위 정렬
+- 개선 계획 문서 작성 → 유저 컨펌 → 저장
+- 컨펌 없이 개선 실시하지 않음
+
+### Phase 5: Fix (개선 실시)
+컨펌된 계획에 따라 개선을 실행하고 테스트한다.
+- 개선 완료 후 관련 테스트 실행 (unit + integration)
+- E2E 테스트까지 통과 확인
+- 테스트 실패 시 수정 반복
+
+### Phase 6: Re-audit (재감사)
+개선 완료 후 동일 기준으로 재감사를 실시한다.
+- Phase 2와 동일 절차, 이전 결과와 diff 비교
+- Gate 기준 충족 시 완료, 미충족 시 Phase 4로 복귀
+
+## Verification
+
+| Check | Method | Pass Criteria |
+|-------|--------|---------------|
+| 종합 점수 | 가중 평균 | >= 60점 (gate) |
+| Critical 항목 | severity 확인 | 0건 |
+| source 필드 | 리포트 확인 | 모든 항목 존재 |
+| 재감사 diff | 이전 대비 비교 | PASS→FAIL 전환 0건 |
+
+## 7개 감사 영역
+
+| # | 영역 | 핵심 기준 | 체크리스트 |
+|---|------|-----------|-----------|
+| 01 | Security | OWASP Top 10:2025, ASVS v5, CWE Top 25, CVSS 4.0 | [01-security](checklists/01-security.md) |
+| 02 | Performance | Core Web Vitals (LCP/INP/CLS), Lighthouse v12 | [02-performance](checklists/02-performance.md) |
+| 03 | SEO | E-E-A-T, AI Overview, Schema.org, Mobile-first | [03-seo](checklists/03-seo.md) |
+| 04 | Accessibility | WCAG 2.2 AA, EAA 2025, WAI-ARIA APG | [04-accessibility](checklists/04-accessibility.md) |
+| 05 | UI/UX | Nielsen 10 Heuristics, 반응형, 디자인 시스템 | [05-ui-ux](checklists/05-ui-ux.md) |
+| 06 | Architecture & DB | ISO 25010:2023, 데이터 아키텍처, API 설계 | [06-architecture](checklists/06-architecture.md) |
+| 07 | Functional & Requirements | RTM, 테스트 커버리지, 요구사항 추적 | [07-functional-requirements](checklists/07-functional-requirements.md) |
+
+## Severity & SLA
+
+| Severity | Action | SLA |
+|----------|--------|-----|
+| Critical | 즉시 수정, 배포 차단 | 같은 Phase |
+| High | 다음 시퀀스 내 수정 | 현재 Phase |
+| Medium | 백로그 등록 | 다음 Phase |
+| Low | 선택적 개선 | 스프린트 내 |
+
+## Resources
+
+| Priority | Type | Resource | Description |
+|----------|------|----------|-------------|
+| HIGH | rule | [audit-protocol](rules/audit-protocol.md) | 6단계 절차 상세, 입출력, 도구 연동 |
+| HIGH | rule | [scoring-criteria](rules/scoring-criteria.md) | 영역별 가중치, 점수 산출, gate 기준 |
+| HIGH | rule | [false-positive-guard](rules/false-positive-guard.md) | FP Registry, 오탐 방지 규칙, 계층적 검증 |
+| MEDIUM | checklist | [01-security](checklists/01-security.md) | OWASP 2025 + ASVS v5 + CWE Top 25 |
+| MEDIUM | checklist | [02-performance](checklists/02-performance.md) | CWV 2026 + Lighthouse v12 |
+| MEDIUM | checklist | [03-seo](checklists/03-seo.md) | E-E-A-T + AI Overview + Schema |
+| MEDIUM | checklist | [04-accessibility](checklists/04-accessibility.md) | WCAG 2.2 AA + EAA 2025 |
+| MEDIUM | checklist | [05-ui-ux](checklists/05-ui-ux.md) | Nielsen Heuristics + 반응형 + 디자인 시스템 |
+| MEDIUM | checklist | [06-architecture](checklists/06-architecture.md) | ISO 25010 + DB + API 설계 |
+| MEDIUM | checklist | [07-functional-requirements](checklists/07-functional-requirements.md) | RTM + 테스트 커버리지 |
+| LOW | template | [report-template](templates/report-template.md) | 감사 보고서 양식 |
+| LOW | template | [improvement-plan-template](templates/improvement-plan-template.md) | 개선 계획 양식 |

package/templates/base/skills/tsq-product-audit/checklists/01-security.md

@@ -0,0 +1,86 @@
+---
+title: Security Checklist
+area: "01"
+tags: security, owasp, asvs, cwe
+standards: OWASP Top 10:2025, ASVS v5.0, CWE Top 25 2025, CVSS 4.0
+---
+
+# 01. Security Checklist
+
+## A. Access Control & Authorization
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | 서버 측 접근 제어 — 모든 요청에 적용, 클라이언트 측 검증에 의존하지 않음 | CRITICAL | OWASP A01, CWE-862 |
+| A-2 | Deny-by-default — 명시적 허용만 접근 가능 | CRITICAL | OWASP A01, ASVS v5 V4 |
+| A-3 | 객체 수준 권한 검증 (BOLA/IDOR 방지) — 모든 API 엔드포인트 | CRITICAL | API1:2023, CWE-639 |
+| A-4 | 함수 수준 권한 검증 (BFLA 방지) — admin vs user 분리 | CRITICAL | API5:2023, CWE-284 |
+| A-5 | 속성 수준 권한 검증 — mass assignment / 과도한 데이터 노출 방지 | HIGH | API3:2023 |
+| A-6 | CORS 명시적 allowlist — 인증 엔드포인트에 wildcard origin 금지 | HIGH | OWASP A01, CWE-352 |
+| A-7 | CSRF 방어 — 상태 변경 요청에 토큰 또는 SameSite 쿠키 | HIGH | CWE-352 |
+| A-8 | 경로 탐색 방지 — 파일 경로 검증 및 정규화 | HIGH | CWE-22 |
+
+## B. Authentication & Session
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | 비밀번호 정책: 최소 8자, 유출 DB 대조, 구성 규칙 강제 금지 | CRITICAL | NIST SP 800-63B, ASVS v5 V2 |
+| B-2 | MFA 구현 — 피싱 저항 방식 우선 (passkeys, 하드웨어 키) | CRITICAL | NIST SP 800-63-4 |
+| B-3 | JWT 검증: 만료, 발급자, 대상 확인, algorithm "none" 거부 | CRITICAL | API2:2023 |
+| B-4 | 민감 작업 시 재인증 (비밀번호 변경, 결제 등) | HIGH | ASVS v5 V2 |
+| B-5 | 인증 실패 시 계정 잠금 / 속도 제한 | HIGH | CWE-306 |
+| B-6 | 세션 토큰: 암호학적 무작위 생성, Secure·HttpOnly·SameSite 플래그 | HIGH | ASVS v5 V3 |
+| B-7 | OAuth 2.1 + PKCE 필수, implicit/hybrid flow 제거 | HIGH | OAuth 2.1 |
+| B-8 | 짧은 수명 access token (5-15분) + refresh token rotation | HIGH | OAuth 2.1, ASVS v5 |
+
+## C. Injection Prevention
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | Parameterized query / prepared statement — 모든 DB 접근 | CRITICAL | CWE-89 |
+| C-2 | 컨텍스트 인식 출력 인코딩 — HTML/JS/CSS 내 사용자 데이터 | CRITICAL | CWE-79 |
+| C-3 | 서버 측 입력 검증 — allowlist 기반 | CRITICAL | OWASP A05, ASVS v5 V5 |
+| C-4 | OS 명령 삽입 방지 — 사용자 입력 포함 쉘 명령 금지, 안전한 API 사용 | CRITICAL | CWE-78 |
+| C-5 | 코드 삽입 방지 — eval() 등에 사용자 데이터 금지 | CRITICAL | CWE-94 |
+| C-6 | 역직렬화 공격 방지 — 신뢰하지 않는 직렬화 데이터 거부, JSON 사용 | HIGH | CWE-502 |
+| C-7 | Content Security Policy (CSP) 헤더 설정 | HIGH | OWASP A05 |
+| C-8 | 파일 업로드 제한 — 타입·크기·내용 검증, 웹루트 외부 저장, 파일명 변경 | HIGH | CWE-434 |
+
+## D. Security Misconfiguration
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 기본 자격증명, 샘플 앱, 불필요 기능 프로덕션에서 제거 | CRITICAL | OWASP A02, API8:2023 |
+| D-2 | 디렉토리 목록, 스택 트레이스, 상세 오류 메시지 비활성화 | HIGH | OWASP A02 |
+| D-3 | HTTPS 전면 적용 + HSTS (includeSubDomains, preload) | HIGH | OWASP A02 |
+| D-4 | 보안 헤더: X-Content-Type-Options, X-Frame-Options, Referrer-Policy | MEDIUM | OWASP A02 |
+| D-5 | 클라우드 스토리지/버킷 권한 최소화, IAM least-privilege | CRITICAL | OWASP A02 |
+
+## E. Cryptography
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| E-1 | 민감 데이터 암호화 — 저장: AES-256, 전송: TLS 1.2+ (1.3 권장) | CRITICAL | OWASP A04 |
+| E-2 | 비밀번호 해싱: Argon2id, bcrypt, scrypt (적절한 work factor) | CRITICAL | ASVS v5 V2 |
+| E-3 | 민감 데이터를 로그·URL·클라이언트 저장소에 저장 금지 | HIGH | CWE-200 |
+| E-4 | 보안 관련 값은 암호학적 난수 생성기 사용 | HIGH | OWASP A04 |
+| E-5 | 폐기된 프로토콜 비활성화 (SSLv3, TLS 1.0/1.1, 약한 암호 스위트) | HIGH | OWASP A04 |
+
+## F. Supply Chain
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| F-1 | 의존성 버전 고정 + lock 파일 + 체크섬/서명 검증 | HIGH | OWASP A03 |
+| F-2 | 의존성 취약점 지속 스캔 (Dependabot, Snyk 등) | HIGH | OWASP A03 |
+| F-3 | Typosquatting 및 dependency confusion 공격 모니터링 | HIGH | OWASP A03 |
+| F-4 | SBOM 생성 (SPDX 또는 CycloneDX) — 빌드마다 | HIGH | CISA 2025, EU CRA |
+| F-5 | 서드파티 API 무결성 검증 — upstream 무조건 신뢰 금지 | HIGH | API10:2023 |
+
+## G. Error Handling & Logging
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| G-1 | 안전한 실패 — 오류 시 접근 거부, "fail open" 금지 | CRITICAL | OWASP A10 |
+| G-2 | 예외 시 민감 정보 노출 방지 (스택 트레이스, 내부 경로, SQL) | HIGH | OWASP A10, CWE-200 |
+| G-3 | 인증 이벤트, 접근 제어 실패, 입력 검증 실패 로깅 | HIGH | OWASP A09 |
+| G-4 | 로그 무결성 보호 — 로그 삽입 방지 | MEDIUM | OWASP A09 |

package/templates/base/skills/tsq-product-audit/checklists/02-performance.md

@@ -0,0 +1,67 @@
+---
+title: Performance Checklist
+area: "02"
+tags: performance, core-web-vitals, lighthouse
+standards: Core Web Vitals 2026, Lighthouse v12
+---
+
+# 02. Performance Checklist
+
+## Core Web Vitals 기준값
+
+| Metric | Good | Needs Improvement | Poor |
+|--------|:----:|:------------------:|:----:|
+| LCP (Largest Contentful Paint) | <= 2.5s | 2.5s - 4.0s | > 4.0s |
+| INP (Interaction to Next Paint) | <= 200ms | 200ms - 500ms | > 500ms |
+| CLS (Cumulative Layout Shift) | <= 0.1 | 0.1 - 0.25 | > 0.25 |
+
+측정: 75th percentile, 28일 필드 데이터 기준.
+
+## A. Core Web Vitals
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | LCP <= 2.5s (모바일 75th percentile) | CRITICAL | CWV — 모바일 페이지 38% 미통과 |
+| A-2 | INP <= 200ms — 모든 인터랙션 응답 | CRITICAL | CWV — 43% 사이트 미통과, 가장 빈번한 실패 |
+| A-3 | CLS <= 0.1 — 이미지/광고 공간 예약 (width/height, aspect-ratio) | CRITICAL | CWV |
+| A-4 | Long task (>50ms) 분할 — `scheduler.yield()` 또는 Web Worker 활용 | HIGH | INP 최적화 |
+| A-5 | 페이지 로드 중 인터랙션 INP 특별 관리 (로드 후 대비 2.6배 악화) | HIGH | CWV 필드 데이터 |
+
+## B. Bundle & Loading
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | 초기 JS 번들 (gzip): <= 300-350KB | HIGH | 100KB당 3G에서 +3.2s |
+| B-2 | Critical-path 리소스: <= 170KB | HIGH | 제한된 네트워크 기준 |
+| B-3 | Code splitting + tree-shaking 적용 | HIGH | 번들 최적화 |
+| B-4 | Below-the-fold 컴포넌트 lazy loading | HIGH | 초기 로딩 최적화 |
+| B-5 | 서드파티 스크립트 지연 로딩 (Partytown 등) | MEDIUM | TBT 감소 |
+| B-6 | SSR/RSC 적용 (콘텐츠 중심 페이지) — RSC는 클라이언트 JS 40-60% 감소 | MEDIUM | TTI 최적화 |
+
+## C. Rendering
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | 불필요한 리렌더 방지 (React.memo, useMemo, useCallback) | MEDIUM | 렌더링 성능 |
+| C-2 | DOM 복잡도 관리 — 과도한 DOM은 스타일 재계산·페인트 지연 | MEDIUM | 렌더링 성능 |
+| C-3 | 이벤트 핸들러 최적화 — debounce, layout thrashing 방지 | MEDIUM | INP 최적화 |
+| C-4 | 이미지 최적화 — WebP/AVIF, srcset, lazy loading | MEDIUM | LCP + 대역폭 |
+
+## D. Monitoring & Budget
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | CI에 성능 예산 설정 (경고: 500KB, 에러: 1MB) | MEDIUM | 성능 회귀 방지 |
+| D-2 | RUM (Real User Monitoring) 사용 — 랩 데이터만으로 불충분 | LOW | 필드 vs 랩 괴리 |
+
+## Lighthouse v12 점수 가중치 참고
+
+| Metric | Weight |
+|--------|:------:|
+| Total Blocking Time (TBT) | 30% |
+| Largest Contentful Paint (LCP) | 25% |
+| Cumulative Layout Shift (CLS) | 25% |
+| First Contentful Paint (FCP) | 10% |
+| Speed Index (SI) | 10% |
+
+Target: 90+ (green).

package/templates/base/skills/tsq-product-audit/checklists/03-seo.md

@@ -0,0 +1,46 @@
+---
+title: SEO Checklist
+area: "03"
+tags: seo, e-e-a-t, structured-data, ai-overview
+standards: Google Search Guidelines 2025-2026, Schema.org
+---
+
+# 03. SEO Checklist
+
+## A. Technical SEO
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | Core Web Vitals 통과 (LCP/INP/CLS) — 랭킹 시그널 | CRITICAL | Google 2025-26 |
+| A-2 | Mobile-first 준수 — 터치 타겟 >= 48×48px, 본문 >= 16px, 수평 스크롤 없음 | CRITICAL | Google 모바일 인덱싱 |
+| A-3 | HTTPS 전면 적용 | CRITICAL | 랭킹 시그널 |
+| A-4 | 크롤 가능성 — robots.txt, sitemap.xml, 95%+ 인덱스율 목표 | HIGH | 기술적 SEO |
+| A-5 | Canonical URL 설정 — 중복 콘텐츠 방지 | HIGH | 기술적 SEO |
+| A-6 | JavaScript 렌더링 비용 관리 — SSR/SSG 우선, CSR은 SEO 위험 | HIGH | Google 렌더링 |
+
+## B. Structured Data
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | JSON-LD 구조화 데이터 구현 (Article, Product, FAQ, HowTo 등) | CRITICAL | AI Overview 선정률 73% 향상 |
+| B-2 | Schema.org 마크업 유효성 검증 (Google Rich Results Test) | HIGH | 구조화 데이터 |
+| B-3 | 멀티모달 콘텐츠: 텍스트 + 이미지 + 비디오 + 스키마 조합 | HIGH | AI Overview 선정률 317% 향상 |
+
+## C. Content & E-E-A-T
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | E-E-A-T 시그널 — 경험·전문성·권위·신뢰도 명확히 표현 | CRITICAL | Google 2025-26 핵심 |
+| C-2 | 콘텐츠 최신성 — 3개월 이내 업데이트 시 AI 인용 6건 vs 구 콘텐츠 3.6건 | HIGH | AI Overview 인용 |
+| C-3 | 헤딩 간 120-180 단어 구조화 — ChatGPT 인용 70% 향상 | HIGH | AI 인용 최적화 |
+| C-4 | 실시간 팩트 검증 지원 — 최신 통계, 권위 있는 출처 인용 | HIGH | AI Overview 선정 89% 향상 |
+| C-5 | 직접 경험 시그널 포함 (Helpful Content System) | HIGH | E-E-A-T |
+
+## D. Meta & Accessibility
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 고유한 title, meta description — 페이지별 | MEDIUM | 기본 SEO |
+| D-2 | 의미 있는 링크 텍스트 — "여기 클릭" 금지 | MEDIUM | SEO + A11y |
+| D-3 | 접근성 명세 게시 (EAA 요구사항, 신뢰 시그널) | MEDIUM | EAA 2025 |
+| D-4 | "People Also Ask" 테마 최적화 | LOW | SERP 노출 |

package/templates/base/skills/tsq-product-audit/checklists/04-accessibility.md

@@ -0,0 +1,66 @@
+---
+title: Accessibility Checklist
+area: "04"
+tags: accessibility, wcag, eaa, aria
+standards: WCAG 2.2 AA, EAA 2025, WAI-ARIA APG
+---
+
+# 04. Accessibility Checklist
+
+## A. Perceivable (인식 가능)
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | 모든 이미지에 의미 있는 alt 텍스트 (장식용은 alt="") | CRITICAL | WCAG 1.1.1 |
+| A-2 | 색상 대비: 일반 텍스트 >= 4.5:1, 대형 텍스트 >= 3:1 | CRITICAL | WCAG 1.4.3 |
+| A-3 | 정보를 색상만으로 전달하지 않음 (패턴, 레이블 병행) | HIGH | WCAG 1.4.1 |
+| A-4 | 미디어 대안 제공 — 자막, 오디오 설명 | MEDIUM | WCAG 1.2 |
+| A-5 | `prefers-reduced-motion` 미디어 쿼리로 애니메이션 제어 | MEDIUM | WCAG 2.3.3 |
+
+## B. Operable (조작 가능)
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | 전체 키보드 탐색 — 모든 인터랙티브 요소 접근·조작 가능 | CRITICAL | WCAG 2.1.1 |
+| B-2 | 포커스 표시기 — 모든 포커스 가능 요소에 시각적 표시 | CRITICAL | WCAG 2.4.7 |
+| B-3 | Focus Not Obscured — 포커스 요소가 sticky 헤더·모달에 가려지지 않음 | CRITICAL | WCAG 2.4.11 (2.2 신규) |
+| B-4 | Target Size >= 24×24 CSS px (Google 권장 48×48px) | HIGH | WCAG 2.5.8 (2.2 신규) |
+| B-5 | 드래그 대안 — 모든 drag-and-drop에 클릭 기반 대안 제공 | HIGH | WCAG 2.5.7 (2.2 신규) |
+| B-6 | Skip navigation 링크 | MEDIUM | WCAG 2.4.1 |
+| B-7 | 적절한 헤딩 계층 (h1-h6), 페이지당 h1 하나 | HIGH | WCAG 1.3.1 |
+
+## C. Understandable (이해 가능)
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | Accessible Authentication — 비밀번호 붙여넣기 허용, 인지 기능 테스트 대안 | CRITICAL | WCAG 3.3.8 (2.2 신규) |
+| C-2 | Consistent Help — 도움말 위치 페이지 간 일관 | HIGH | WCAG 3.2.6 (2.2 신규) |
+| C-3 | Redundant Entry — 이전 입력 정보 재입력 요구 금지 | HIGH | WCAG 3.3.7 (2.2 신규) |
+| C-4 | 폼 입력에 연결된 `<label>` — 오류 메시지 프로그래밍적 연결 | HIGH | WCAG 3.3.2 |
+| C-5 | `lang` 속성 — `<html>`에 설정, 언어 변경 부분에 `lang` 마킹 | MEDIUM | WCAG 3.1.1 |
+| C-6 | 오류 메시지: 평문, 해결책 포함 | MEDIUM | WCAG 3.3.3 |
+
+## D. Robust (견고)
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | ARIA "철칙": 네이티브 HTML 우선 (`<button>`, `<a>`, `<input>`), ARIA는 HTML 불가 시만 | HIGH | WAI-ARIA APG |
+| D-2 | ARIA roles/states/properties — APG 패턴 준수, 잘못된 ARIA > 없는 ARIA | HIGH | WAI-ARIA 1.2 |
+| D-3 | Live region (`aria-live`) — 동적 콘텐츠 업데이트 (토스트, 알림, 로딩) | MEDIUM | WAI-ARIA |
+| D-4 | 의미 있는 링크 텍스트 — "더 보기" 단독 금지 | MEDIUM | WCAG 2.4.4 |
+
+## E. Testing
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| E-1 | axe-core 자동 검사 통과 (WCAG 이슈 ~57% 탐지) | HIGH | 자동화 기준선 |
+| E-2 | 스크린 리더 테스트 (NVDA+Firefox 또는 VoiceOver+Safari) | MEDIUM | 수동 검증 필수 |
+| E-3 | CI에 axe-core 통합 | LOW | 회귀 방지 |
+
+## 법적 참고
+
+| 규정 | 기준 | 발효 |
+|------|------|------|
+| EAA (European Accessibility Act) | WCAG 2.1 AA + EN 301 549 | 2025.06.28 |
+| ADA (US) | WCAG 2.2 AA (사실상 표준) | 지속 |
+| Section 508 | WCAG 2.2 AA | 업데이트됨 |

package/templates/base/skills/tsq-product-audit/checklists/05-ui-ux.md

@@ -0,0 +1,50 @@
+---
+title: UI/UX Checklist
+area: "05"
+tags: ui, ux, heuristics, responsive, design-system
+standards: Nielsen 10 Heuristics, Responsive Design Best Practices
+---
+
+# 05. UI/UX Checklist
+
+## A. Nielsen 10 Usability Heuristics
+
+| # | 항목 | 점검 질문 | Severity |
+|---|------|-----------|:--------:|
+| A-1 | 시스템 상태 가시성 | 로딩·진행·확인 상태가 표시되는가? | HIGH |
+| A-2 | 현실 세계 부합 | 내부 용어 대신 사용자 언어를 사용하는가? | HIGH |
+| A-3 | 사용자 통제와 자유 | 실행취소·뒤로가기·취소가 명확한가? | HIGH |
+| A-4 | 일관성과 표준 | 버튼·레이블·패턴이 전체적으로 일관된가? | HIGH |
+| A-5 | 오류 예방 | 입력 검증, 비활성화, 파괴적 작업 확인이 있는가? | HIGH |
+| A-6 | 인식 > 회상 | 필요한 정보가 보이는가, 기억을 요구하지 않는가? | MEDIUM |
+| A-7 | 유연성과 효율 | 키보드 단축키, 파워 유저 기능이 있는가? | MEDIUM |
+| A-8 | 미적·미니멀 디자인 | 불필요한 요소 없이 목적에 집중하는가? | MEDIUM |
+| A-9 | 오류 인식·진단·복구 | 오류 메시지가 평문이고 해결책을 제시하는가? | HIGH |
+| A-10 | 도움과 문서 | 검색 가능하고, 작업 지향적이며, 간결한가? | LOW |
+
+평가: 3-5명 평가자 권장 (1인은 ~35% 이슈만 발견).
+Severity: 1(외형) ~ 4(재앙) 스케일.
+
+## B. Responsive Design
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | Mobile-first 접근 — 모바일 트래픽 > 70% | CRITICAL | 웹 트래픽 통계 |
+| B-2 | 터치 타겟 >= 44×44px, 적절한 간격, hover-only 인터랙션 없음 | CRITICAL | 모바일 UX |
+| B-3 | 본문 텍스트 >= 16px — 줌 없이 읽기 가능 | CRITICAL | 가독성 |
+| B-4 | 수평 스크롤 없음 — 모든 뷰포트에서 콘텐츠가 화면 안에 | HIGH | 레이아웃 |
+| B-5 | 콘텐츠 기반 breakpoint — 임의 픽셀 값이 아닌 콘텐츠 기준 | HIGH | 반응형 설계 |
+| B-6 | 유동 타이포그래피 — `clamp()` 활용 | MEDIUM | 가독성 |
+| B-7 | 실제 기기 테스트 (iOS + Android) + DevTools 에뮬레이션 | HIGH | 디바이스 호환 |
+| B-8 | 느린 네트워크 테스트 (3G 스로틀링) | MEDIUM | 저사양 환경 |
+
+## C. Design System
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | 컴포넌트가 디자인 토큰 준수 (색상, 간격, 타이포, 그림자) | HIGH | 일관성 |
+| C-2 | 하드코딩된 색상/간격 없음 — 모두 토큰 참조 | HIGH | 유지보수 |
+| C-3 | 일관된 타이포 스케일 적용 | HIGH | 시각적 위계 |
+| C-4 | 일관된 간격 시스템 (4px/8px 기반 그리드) | MEDIUM | 레이아웃 |
+| C-5 | 인터랙티브 상태 정의 — default, hover, focus, active, disabled, loading, error | MEDIUM | 상호작용 |
+| C-6 | 아이콘 세트 통일 — 일관된 크기와 스타일 | MEDIUM | 시각적 통일 |

package/templates/base/skills/tsq-product-audit/checklists/06-architecture.md

@@ -0,0 +1,53 @@
+---
+title: Architecture & DB Checklist
+area: "06"
+tags: architecture, database, api, iso-25010
+standards: ISO/IEC 25010:2023, OWASP API Security, Data Architecture Best Practices
+---
+
+# 06. Architecture & DB Checklist
+
+## A. 코드 아키텍처 (ISO 25010:2023 기반)
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | 관심사 분리 — 프레젠테이션·비즈니스·데이터 계층 분리 | HIGH | Maintainability |
+| A-2 | 의존성 방향 — 상위 계층이 하위 계층에만 의존 (역방향 금지) | HIGH | Maintainability |
+| A-3 | 순환 의존성 없음 — 모듈 간 순환 참조 금지 | HIGH | Maintainability |
+| A-4 | 단일 책임 원칙 — 모듈/클래스당 하나의 변경 사유 | MEDIUM | Maintainability |
+| A-5 | 인터페이스 분리 — 불필요한 의존성 강제 금지 | MEDIUM | Flexibility (신규) |
+| A-6 | 설정 외부화 — 하드코딩된 설정값, 시크릿 금지 | HIGH | Security + Flexibility |
+| A-7 | 에러 경계 — 장애 전파 차단, graceful degradation | HIGH | Reliability |
+
+## B. API 설계
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | API 버전 관리 — 명시적 버전, 이전 버전 폐기 계획 | HIGH | API9:2023 |
+| B-2 | Rate limiting — 모든 API 엔드포인트에 리소스 소비 제어 | HIGH | API4:2023 |
+| B-3 | 입력 검증 — content-type, 크기, 스키마 검증 | HIGH | API8:2023 |
+| B-4 | 응답 최소화 — 필요한 필드만 반환 (과도한 데이터 노출 방지) | MEDIUM | API3:2023 |
+| B-5 | API 인벤토리 — 모든 API, 서비스, 버전 목록 유지 | MEDIUM | API9:2023 |
+| B-6 | SSRF 방지 — 서버 측 아웃바운드 URL allowlist | HIGH | API7:2023, CWE-918 |
+
+## C. 데이터베이스
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | 정규화 기준 충족 (3NF 기본, 비정규화 시 ADR 문서) | HIGH | 데이터 무결성 |
+| C-2 | 인덱스 전략 — 쿼리 패턴 기반, 불필요 인덱스 없음 | HIGH | Performance |
+| C-3 | N+1 쿼리 방지 — Eager loading 또는 JOIN 사용 | HIGH | Performance |
+| C-4 | 마이그레이션 롤백 스크립트 존재 | HIGH | Reliability |
+| C-5 | 민감 데이터 암호화 — at rest (AES-256), in transit (TLS) | CRITICAL | Security |
+| C-6 | Least-privilege 접근 — 역할 기반 DB 권한 | HIGH | Security |
+| C-7 | 감사 로깅 — 변조 방지 저장소 | MEDIUM | Compliance |
+| C-8 | 커넥션 풀 관리 — 누수 없음, 적절한 pool size | MEDIUM | Reliability |
+
+## D. 인프라 & 확장성
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 환경 분리 — dev/staging/production 격리 | HIGH | Safety (ISO 25010 신규) |
+| D-2 | 헬스체크 엔드포인트 존재 | MEDIUM | Reliability |
+| D-3 | 수평 확장 가능 설계 — stateless 서비스, 세션 외부화 | MEDIUM | Scalability |
+| D-4 | 장애 복구 계획 — 백업, 복구 절차 문서화 | MEDIUM | Reliability |

package/templates/base/skills/tsq-product-audit/checklists/07-functional-requirements.md

@@ -0,0 +1,55 @@
+---
+title: Functional & Requirements Checklist
+area: "07"
+tags: functional, requirements, rtm, coverage
+standards: ISO 29119, Requirements Traceability Matrix
+---
+
+# 07. Functional & Requirements Checklist
+
+## A. Requirements Traceability
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| A-1 | 양방향 추적성 — 요구사항 → 테스트 → 결함, 역방향도 가능 | HIGH | RTM 핵심 |
+| A-2 | 모든 요구사항에 대응하는 테스트 케이스 존재 | HIGH | 요구사항 커버리지 |
+| A-3 | 모든 기능에 대한 인수 조건 명시 | HIGH | 검증 가능성 |
+| A-4 | RTM 최신 상태 유지 — 스프린트마다 갱신 | MEDIUM | Living document |
+| A-5 | 미구현 요구사항 식별 및 사유 기록 | MEDIUM | 추적성 |
+
+## B. Functional Testing
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| B-1 | Happy path 테스트 — 모든 핵심 기능의 정상 흐름 | CRITICAL | 기본 품질 |
+| B-2 | Edge case 테스트 — 경계 조건 (빈 값, 0, null, 최대값) | HIGH | 견고성 |
+| B-3 | Error case 테스트 — 오류 상황, 네트워크 장애, 잘못된 입력 | HIGH | 안정성 |
+| B-4 | 기능당 5-7개 핵심 테스트 + 3-5개 엣지 케이스 | MEDIUM | 적정 커버리지 |
+| B-5 | 자동화 + 탐색적 테스트 병행 | MEDIUM | ISO 29119 |
+
+## C. Test Coverage
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| C-1 | 라인 커버리지 >= 80% | HIGH | 커버리지 기준 |
+| C-2 | 브랜치 커버리지 >= 70% | HIGH | 커버리지 기준 |
+| C-3 | 함수 커버리지 >= 80% | MEDIUM | 커버리지 기준 |
+| C-4 | 커버리지 리포트 CI 통합 — 회귀 감지 | MEDIUM | 자동화 |
+| C-5 | 커버리지 하락 시 PR 차단 또는 경고 | MEDIUM | 품질 게이트 |
+
+## D. Integration & E2E
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| D-1 | 핵심 사용자 여정(Critical User Journey) E2E 테스트 | HIGH | 통합 품질 |
+| D-2 | API 통합 테스트 — 외부 서비스 연동 검증 | HIGH | 호환성 |
+| D-3 | E2E 안정성 — flaky test 비율 < 5% | MEDIUM | 테스트 신뢰도 |
+| D-4 | 테스트 데이터 관리 — 독립적, 재현 가능한 테스트 환경 | MEDIUM | 테스트 품질 |
+
+## E. Regression
+
+| # | 항목 | Severity | 근거 |
+|---|------|:--------:|------|
+| E-1 | 변경 영향 분석 — 코드 변경과 테스트 케이스 매핑 | HIGH | 회귀 방지 |
+| E-2 | 회귀 테스트 스위트 CI 통합 | HIGH | 자동화 |
+| E-3 | 이전 감사 finding에 대한 회귀 테스트 존재 | MEDIUM | 재발 방지 |