vibe-commander 0.1.0 → 0.2.0

package/dist/core/validators/input-validator.js

@@ -0,0 +1,174 @@
+/**
+ * 입력 검증 순수 함수 — Layer 1 (Core)
+ *
+ * 에이전트 환각(hallucination) 방어를 위한 입력 검증 유틸리티.
+ * 제어 문자, URL 인코딩, 경로 순회, 쿼리 파라미터 등 위험한 입력을 거부하고,
+ * 유사 유닛 ID를 레벤슈타인 거리 기반으로 제안한다.
+ *
+ * I/O 없는 순수 함수만 포함 (Core Layer 1 규칙 준수).
+ *
+ * @module
+ */
+// ── 공개 API ──
+/**
+ * 유닛 ID의 안전성과 형식을 검증한다
+ *
+ * 검증 순서:
+ * 1. 빈 값 체크
+ * 2. 제어 문자 (ASCII < 0x20) 거부
+ * 3. URL 인코딩 (% 포함) 거부
+ * 4. 경로 순회 (../, ..\) 거부
+ * 5. 쿼리 파라미터 (?, #) 거부
+ * 6. knownIds 제공 시 매칭 실패하면 유사 ID 제안
+ *
+ * @param id - 검증할 유닛 ID
+ * @param knownIds - 알려진 유닛 ID 목록 (fuzzy match에 사용, 선택)
+ * @returns 검증 결과
+ */
+export function validateUnitId(id, knownIds) {
+    if (!id || id.trim().length === 0) {
+        return { valid: false, error: '유닛 ID가 비어 있습니다' };
+    }
+    const dangerCheck = checkDangerousInput(id);
+    if (!dangerCheck.valid)
+        return dangerCheck;
+    if (knownIds && knownIds.length > 0 && !knownIds.includes(id)) {
+        const suggestions = findSimilarIds(id, knownIds);
+        return {
+            valid: false,
+            error: `유닛 ID를 찾을 수 없습니다: ${id}`,
+            ...(suggestions.length > 0 && { suggestions }),
+        };
+    }
+    return { valid: true };
+}
+/**
+ * Git SHA의 형식을 검증한다
+ *
+ * 유효한 SHA 형식: 7~40자리 16진수 문자열
+ *
+ * @param sha - 검증할 SHA 문자열
+ * @returns 검증 결과
+ */
+export function validateSha(sha) {
+    if (!sha || sha.trim().length === 0) {
+        return { valid: false, error: 'SHA가 비어 있습니다' };
+    }
+    const dangerCheck = checkDangerousInput(sha);
+    if (!dangerCheck.valid)
+        return dangerCheck;
+    if (!/^[0-9a-fA-F]+$/.test(sha)) {
+        return {
+            valid: false,
+            error: `유효하지 않은 SHA 형식입니다: ${sha}`,
+        };
+    }
+    if (sha.length < 7 || sha.length > 40) {
+        return {
+            valid: false,
+            error: `SHA 길이가 올바르지 않습니다 (7~40자 필요, 현재 ${String(sha.length)}자): ${sha}`,
+        };
+    }
+    return { valid: true };
+}
+/**
+ * 경로 문자열의 안전성을 검증한다
+ *
+ * @param pathStr - 검증할 경로 문자열
+ * @returns 검증 결과
+ */
+export function validatePath(pathStr) {
+    if (!pathStr || pathStr.trim().length === 0) {
+        return { valid: false, error: '경로가 비어 있습니다' };
+    }
+    return checkDangerousInput(pathStr);
+}
+// ── 내부 함수 ──
+/**
+ * 위험한 입력 패턴을 검사한다
+ *
+ * 에이전트가 생성할 수 있는 위험한 패턴:
+ * - 제어 문자 (ASCII < 0x20): 터미널 이스케이프 공격
+ * - URL 인코딩 (%XX): 필터 우회
+ * - 경로 순회 (../, ..\\): 디렉토리 탈출
+ * - 쿼리/프래그먼트 (?, #): URL 혼입
+ * - 널 바이트 (\x00): 문자열 절단 공격
+ */
+function checkDangerousInput(input) {
+    // 널 바이트
+    if (input.includes('\x00')) {
+        return { valid: false, error: '입력에 널 바이트가 포함되어 있습니다' };
+    }
+    // 제어 문자 (ASCII 0x01-0x1f, 널 바이트는 위에서 별도 체크)
+    // eslint-disable-next-line no-control-regex
+    if (/[\x01-\x1f]/.test(input)) {
+        return { valid: false, error: '입력에 제어 문자가 포함되어 있습니다' };
+    }
+    // URL 인코딩 (%XX 패턴)
+    if (/%[0-9a-fA-F]{2}/.test(input)) {
+        return { valid: false, error: '입력에 URL 인코딩 문자가 포함되어 있습니다 (예: %2e)' };
+    }
+    // 경로 순회
+    if (input.includes('../') || input.includes('..\\')) {
+        return { valid: false, error: '입력에 경로 순회 패턴이 포함되어 있습니다 (../)' };
+    }
+    // 쿼리 파라미터 / 프래그먼트
+    if (input.includes('?') || input.includes('#')) {
+        return {
+            valid: false,
+            error: '입력에 쿼리 파라미터 또는 프래그먼트가 포함되어 있습니다 (?, #)',
+        };
+    }
+    return { valid: true };
+}
+/**
+ * 레벤슈타인 거리를 계산한다
+ *
+ * 동적 프로그래밍 기반 O(n*m) 구현.
+ * 외부 의존성 없이 직접 구현 (최소 의존성 원칙).
+ */
+function levenshteinDistance(a, b) {
+    const m = a.length;
+    const n = b.length;
+    if (m === 0)
+        return n;
+    if (n === 0)
+        return m;
+    let prev = Array.from({ length: n + 1 }, (_, i) => i);
+    let curr = new Array(n + 1).fill(0);
+    for (let i = 1; i <= m; i++) {
+        curr[0] = i;
+        for (let j = 1; j <= n; j++) {
+            const cost = a[i - 1] === b[j - 1] ? 0 : 1;
+            const del = (prev[j] ?? 0) + 1;
+            const ins = (curr[j - 1] ?? 0) + 1;
+            const sub = (prev[j - 1] ?? 0) + cost;
+            curr[j] = Math.min(del, ins, sub);
+        }
+        [prev, curr] = [curr, prev];
+    }
+    return prev[n] ?? m;
+}
+/**
+ * 입력 ID와 유사한 알려진 ID를 찾아 반환한다
+ *
+ * 레벤슈타인 거리 기반으로 가장 유사한 ID를 최대 3개까지 반환.
+ * 거리가 maxDistance 이하인 후보만 반환.
+ *
+ * @param id - 검색할 ID
+ * @param knownIds - 알려진 ID 목록
+ * @param maxDistance - 최대 허용 거리 (기본: 5)
+ * @param maxResults - 최대 반환 수 (기본: 3)
+ */
+function findSimilarIds(id, knownIds, maxDistance = 5, maxResults = 3) {
+    const candidates = [];
+    for (const knownId of knownIds) {
+        const distance = levenshteinDistance(id.toLowerCase(), knownId.toLowerCase());
+        if (distance <= maxDistance && distance > 0) {
+            candidates.push({ id: knownId, distance });
+        }
+    }
+    candidates.sort((a, b) => a.distance - b.distance);
+    return candidates.slice(0, maxResults).map((c) => c.id);
+}
+//# sourceMappingURL=input-validator.js.map

package/dist/types/tool-result.d.ts

@@ -19,6 +19,8 @@ export interface ToolError {
     message: string;
     /** 추가 디버깅 정보 (선택) */
     details?: string;
+    /** 에이전트/사용자에게 제안할 유사 값 목록 (선택) */
+    suggestions?: string[];
 }
 /**
  * 도구 실행 결과 (Discriminated Union)
@@ -71,5 +73,5 @@ export declare function ok<T>(data: T): ToolResult<T>;
  * return fail('PLAN_NOT_FOUND', '계획서를 찾을 수 없음', `경로: ${planPath}`);
  * ```
  */
-export declare function fail(code: string, message: string, details?: string): ToolResult<never>;
+export declare function fail(code: string, message: string, details?: string, suggestions?: string[]): ToolResult<never>;
 //# sourceMappingURL=tool-result.d.ts.map

package/dist/types/tool-result.js

@@ -34,7 +34,15 @@ export function ok(data) {
  * return fail('PLAN_NOT_FOUND', '계획서를 찾을 수 없음', `경로: ${planPath}`);
  * ```
  */
-export function fail(code, message, details) {
-    return { success: false, error: { code, message, details } };
+export function fail(code, message, details, suggestions) {
+    return {
+        success: false,
+        error: {
+            code,
+            message,
+            ...(details !== undefined && { details }),
+            ...(suggestions !== undefined && suggestions.length > 0 && { suggestions }),
+        },
+    };
 }
 //# sourceMappingURL=tool-result.js.map

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "vibe-commander",
-  "version": "0.1.0",
+  "version": "0.2.0",
   "type": "module",
   "description": "Unit-based vibe coding workflow automation CLI — automate context collection from unit ID to command file in 10 seconds",
   "license": "MIT",
@@ -26,14 +26,15 @@
     "claude"
   ],
   "bin": {
-    "vc": "./dist/adapters/cli/index.js",
-    "vibe-commander": "./dist/adapters/cli/index.js"
+    "vc": "dist/adapters/cli/index.js",
+    "vibe-commander": "dist/adapters/cli/index.js"
   },
   "files": [
     "dist/**/*.js",
     "dist/**/*.d.ts",
     "!dist/**/*.d.ts.map",
     "skills/",
+    "AGENTS.md",
     "LICENSE",
     "README.md"
   ],
@@ -48,7 +49,14 @@
     "format": "prettier --write \"src/**/*.ts\"",
     "format:check": "prettier --check \"src/**/*.ts\"",
     "typecheck": "tsc --noEmit",
-    "check": "npm run typecheck && npm run lint && npm run format:check && npm run test"
+    "check": "npm run typecheck && npm run lint && npm run format:check && npm run test",
+    "preversion": "git diff --exit-code && git diff --cached --exit-code && npm run check",
+    "prepublishOnly": "npm run build",
+    "postversion": "git push && git push --tags",
+    "release:patch": "npm version patch -m \"release: v%s\" && npm publish --access public",
+    "release:minor": "npm version minor -m \"release: v%s\" && npm publish --access public",
+    "release:major": "npm version major -m \"release: v%s\" && npm publish --access public",
+    "release:dry": "npm run check && npm run build && npm pack --dry-run"
   },
   "dependencies": {
     "zod": "^4.3.6"