Дмитрий
537 lines
346 KiB
Plaintext
537 lines
346 KiB
Plaintext
# 🧠 `claude-brain` — дом разработки управляющего слоя Claude
|
||
|
||
> **Снимок-баннер · фаза 5 разделения (ADR-020).** Этот репозиторий (`C:\моя\проекты\claude-brain`) — дом дальнейшей разработки управляющего слоя Claude (router / mentor / observer / registry / enforcement-машинерия `tools/`). Продукта **Лидерра** здесь нет (`app/`/`db/`/`web/` отсутствуют — проверено).
|
||
|
||
**Статус этого файла.** Канонический источник нормативного квинтета (`CLAUDE.md` + `Pravila` + `Plugin_stack_rules` + `Tooling_v8_3` + `CHANGELOG_claude_md`). Правится здесь; переносится в репозиторий Лидерры `Документация` **односторонне** по явной команде владельца — встречных правок нет (ADR-020; дизайн v5 §D1). **Тело ниже** («техконтекст Лидерры») — унаследованный снимок: разбор содержимого на «управление vs продукт» **отложен** отдельной будущей задачей (дизайн v5 §D1), поэтому тело пока описывает Лидерру и намеренно не переписано.
|
||
|
||
**Снимок-штамп.** канон @ `claude-brain` · 2026-06-15 · git `3977770` (первый канонический root-commit чистой истории — ADR-020). Несовпадение штампа с копией в `Документация` = видимый сигнал дрейфа; детект — текстовый `diff` двух копий квинтета (дизайн v5 §D1).
|
||
|
||
**Канал правок этого файла** — `claude-md-management` (§5 п.10 ниже), как и для копии в Лидерре.
|
||
|
||
**Карта разделения.** ADR-020 (`docs/adr/ADR-020-split-control-layer-into-claude-brain.md`) · дизайн `docs/superpowers/specs/2026-06-15-claude-brain-split-design-v5.md` · статус `docs/superpowers/specs/2026-06-15-claude-brain-split-status-handoff.md`.
|
||
|
||
---
|
||
|
||
# CLAUDE.md — техконтекст Лидерры
|
||
|
||
**Версия:** 2.46 от 14.06.2026 — **research-tooling (Perplexity Pack) — нормативный синк #87-89 + ADR-019 + реестр/роутер (Plan 2 + Plan 3)**. Off-phase слой **research-tooling** (20-я подкатегория): #87 perplexity (`@perplexity-ai/mcp-server`, ранжированный ответ-с-источниками sonar) + #88 exa (`exa-mcp-server`, семантическое обнаружение) + #89 firecrawl (`firecrawl-mcp`, глубокое чтение/обход) — внешние MCP веб-разведки, READ-ONLY (gate read_only `tools/mcp-tool-classifier.mjs`, commit `bfc1f575`), платные API ключи в env (owner waiver), IS9-вет `docs/research/research-vet.md` все ПРИНЯТ. **Plan 3** (роутер/реестр): `nodes.yaml` +3 узла + связка **L17** (research chain) + 3 contract-карточки (Машина 3-E) + `registry-load.test` 86→89/78→81 + `registry-render` (Tooling-summary + routing-table) + `routing-off-phase` L17/v1.7; tools-регрессия **3931 GREEN**. **Plan 2** (нормативка): Tooling §4.60-62 + §0 счётчик 84→87 / 104→107 / off-phase +54→+57; PSR R10.1 Блок 3 + R15.6; Pravila §13.2; CLAUDE.md §3.3/§0/§6/§9 — все +headers. ADR-019 (RT1–RT9). **§0 cross-refs МЕНЯЮТСЯ** — Pravila v1.43→**v1.44** / PSR_v1 v3.23→**v3.24** / Tooling Прил.Н v2.24→**v2.25** (новая off-phase подкатегория). Под стеной «роутер-наставник»: Plan 3 — прямые правки; Plan 2 ЗАКОН-файлы — owner **FLOOR-ESCAPE per write** (нормативный §6-гейт требует владельца). automation-graph viz отложена батчем (карта лагает с #84-86). Через прямой Edit под owner-escape. **v2.45 наследие:** **lead region resolution (определение региона лида по телефону + каскадная маршрутизация) — фича реализована TDD, запушена, PR в main** (ветка `worktree-feat+lead-region-resolution`, 14 атомарных коммитов `ec219718..11079791`, origin `CoralMinister/lidpotok`). DaData-клиент + реестр Россвязи (`phone-ranges:import`) + `LeadRegionResolver` (каскад по qc-кодам DaData → Россвязь → tag-fallback) + `LeadRouter` каскад (exact→all-RF→fallback) + взвешенный жребий по остатку дневного лимита (вариант В, вес ≥ 1 — мелкие клиенты не отрезаются) + интеграция в `RouteSupplierLeadJob` (резолв ДО tx / persist 4 колонки / fail-safe аудит-лог / подмена региона шаг 3 / CSV-merge по рангу источника) + `phone-region:smoke`. Миграция `2026_05_31_100000` (3 таблицы + колонки на supplier_leads/deals, партиции m05/m06 + регистрация в `MonthlyPartitionManager`); `db/schema.sql` синхронизирован заголовком (v8.40), DDL в дельта-миграции. **Решения:** `LeadRegionResolver` через `app()` внутри `handle()` (не 7-й параметр — сохраняет сигнатуру + 3 существующих теста джобы); `deals.region_source` не добавляли (источник на supplier_leads + в журнале); запуск сразу на 100% без долевого гейта (решение заказчика). Тесты **101 pest GREEN / 509 assertions**; tools-vitest **1989 GREEN**. Code-review subagent (вердикт «с правками»): починены `atomicSwap()`→транзакция (spec §6.2) + убран stray comment; minor/deferred задокументированы (метрики §8.1 / `phone-ranges:rollback` / pg_anonymizer-маски / калибровка DaData call-cost). Прод-выкатка отложена (нужны `DADATA_API_KEY`/`DADATA_SECRET` в YC Lockbox + команда «запускаем»; runbook `docs/superpowers/runbooks/2026-05-31-lead-region-resolution-rollout.md`). Пре-существующий долг (НЕ из фичи): 3 чужих console-теста (BillingMigrateLeadsToRub / IncidentsWatchFailures / SnapshotBackfillCommand) взаимно загрязняются в одном процессе, в CI `pest --parallel` проходят. **§0 cross-refs НЕ меняются** — app-фича (сервисы/джоба/миграция), не tooling-канон #1-#86 / не ADR / не off-phase. §6 +абзац / §9 +entry. Через `claude-md-management:revise-claude-md`. **v2.44 наследие:** **router-gate v4 Layer 4 LLM-judge live wiring (item 2b) реализован + АКТИВИРОВАН владельцем + readonly-калибровка** (commits `dfae9f76` + `c9b9efd6` на main, push `a8996896..c9b9efd6`). Живой `main()` в обеих обёртках `enforce-llm-judge-{per-tool,response-scan}.mjs` (TDD; spend гейтится `resolveJudgeConfig` = флаг+ключ, без них $0; регистрировать **обёртки**, не движки — у движков `main()` тратит при одном ключе мимо флага). Владелец активировал Layer 4: env `ROUTER_LLM_JUDGE_ENABLED=1` + ключ `ROUTER_LLM_KEY` (user env) + регистрация обоих хуков в `.claude/settings.json` (per-tool→PreToolUse, response-scan→Stop) + перезапуск → судья заработал в hard-block (подтверждено: реальный вызов заблокировал команду). **Операционная находка:** живой судья сразу блокировал даже readonly git (`status`/`log`) — `MUTATING_TOOLS` включает Bash целиком + правило doubt→block, поэтому судился даже безобидный просмотр (over-block). **Калибровка** (commit `c9b9efd6`, TDD): новый `isReadonlyBashEvent` в `tools/enforce-llm-judge-per-tool.mjs` исключает readonly Bash (через `classifyBashCommand` reason `readonly|reading`) из per-tool судьи **до** LLM-вызова — scope-fix, дисциплина doubt→block на реальных мутациях (Edit/Write/commit/push/Skill/Task) **не понижена**. Регрессия vitest tools-only **1927 GREEN** (`npm run test:tools` сломан keytar'ом в `app/node_modules` → verify через `npx vitest run --root app --config vitest.config.tools.mjs`). **§0 cross-refs НЕ меняются** (инфраструктура `tools/enforce-*.mjs`, не tooling-канон #1-#86 / не ADR / не off-phase). §6 +абзац / §9 +entry. Через `claude-md-management:revise-claude-md`. **v2.43 наследие:** **router-gate v4 safe-baseline live wiring (item 1b) + enforce-runtime-write-deny (C3) + LLM-judge hook-обёртки + Read-deny over-block fix** (commits `ca52d354`+`6d512f5c..84dcf4aa`+`f740f612`+`80e514f5`+`3c5266c0` на main). **Item 1b:** живой `main()` в `tools/enforce-safe-baseline-metering.mjs` (учёт расхода safe-baseline-инструментов per-task + hard-block mutating-инструмента за порогом без skill-match; escape = любой Skill/EnterPlanMode, который этим слоем не блокируется) + чистые `extractKeywords`/`detectSkillMatch`/`runLiveDecision` (stickiness-контракт V2-1); новый `tools/enforce-runtime-write-deny.mjs` (C3 — защита `~/.claude/runtime` от Write/Edit, `.`-segment-proof через `pathNormalize`); judge-обёртки `enforce-llm-judge-{per-tool,response-scan}.mjs` (no-op main, $0 до активации 2b). Spec v4 через `superpowers:brainstorming` (3 adversarial-ревью + ghost-pass) закрыл C1/C2/C3/H1/V2-1/V2-2; G3 override вырезан как защита-призрак. Режим **hard-block** (решение владельца). Регистрация обоих хуков в `.claude/settings.json` — шаг владельца (Claude'у settings.json заблокирован); до регистрации хуки инертны. **Read-deny over-block fix** (commit `3c5266c0`, эта сессия): `enforce-read-path-deny` (Smoke 5) добавил CLAUDE.md/memory/нормативку в Read-protected paths → harness Edit требует Read → правка CLAUDE.md и MEMORY.md стала невозможна (claude-md-management workflow сломан). Введён узкий `READ_DENY_PATTERNS` в `tools/shell-content-rules.mjs` (только реальные exfil-цели: transcript `.jsonl` / `~/.claude/runtime` / settings / `.env`) — `enforce-read-path-deny` переключён на него; CLAUDE.md/Pravila/PSR/Tooling/memory снова Read-allowed, а полный `DEFAULT_PROTECTED_PATTERNS` по-прежнему держит Bash/PowerShell-read (`cat`/`Get-Content`) и Write-защиту этих файлов. TDD (RED→GREEN в одном ходе), регрессия vitest tools-only **1903 GREEN** (через рабочий корневой `npx vitest run --root app --config vitest.config.tools.mjs` — `npm run test:tools` ломается параллельной keytar-установкой в `app/node_modules`). **§0 cross-refs НЕ меняются** (инфраструктура `tools/enforce-*.mjs`, не tooling-канон #1-#86 / не ADR / не off-phase). §6 +абзац / §9 +entry. Через `claude-md-management:revise-claude-md`. **v2.42 наследие:** **router-gate v4.0+v4.1+v4.2 spec triple + master coordination plan + handoff + 5 worktrees + rationalization-audit fix deployed** (commits `0e768f9a` v4 specs + `c4c2afd1` master plan + `4e15fa70` handoff + `480649db` hook fix + `292a16bd` cspell на main `534e93d5..4e15fa70`). **v4.0 поведенческий разворот** 2249 строк (removes 16 защит-призраков v3.9, adds 5 Directions: safe-baseline metering / skill scope verifier / decomposition detector / TodoWrite verifier / brain-retro Table 16; target ~15-25% bypass). **v4.1 max-closure amendment** 1051 строка — Layer 1-4: 8 GAPs + behavioral hard-blocks + universal vocab removal + 3-judge consensus Sonnet+Haiku+Opus + per-tool LLM-judge + response scan; target ~2-5%; ongoing cost ~$300-1500/month. **v4.2 VM-sandbox amendment** 411 строк — Layer 5 phased для solo dev: Phase 1 VirtualBox ($0, 10-12h), Phase 2 биометрия + Phase 3 HSM через single YubiKey ($50-150 разово); two-person rule removed; target ~0.5-0.8%. **Master coordination plan** 666 строк (9 streams parallel session strategy, disjoint file scope → 0 conflicts by construction). **Handoff instructions** 450 строк с 5 ready-to-copy промтами для streams A-E + Checkpoint 1 merge + Stream G/H + smokes + cleanup (plain-Russian для non-programmer). **5 worktrees готовы** `C:\моя\проекты\портал crm\v4-stream-{A,B,C,D,E}` от `480649db`. **5 параллельных Claude sessions запущены** пользователем ~18:48 МСК через VS Code окна — каждая читает спеки, генерирует sub-plan через `superpowers:writing-plans`, реализует через `superpowers:subagent-driven-development`. Wall-clock 16-23h (vs 49-65h sequential). Aggregate bypass target after full deployment ~0.5-0.8% (vs v3.9 baseline ~25%); **architectural floor ~0.5% irreducible per 7 fundamental limits** (asymptote analysis установлен в сессии: goal-misalignment / recursive trust / info-theoretic leak / behavioral residual / external dependencies / user approval ambiguity / gate paradox). **Rationalization-audit hook fixed в этой сессии** (commit `480649db` — `stripQuotedContext()` функция strip'ает backticks/guillemets/fenced blocks/double quotes перед substring match; resolved 48 false-positive flags за сессию при описании самой защиты — controller часто цитирует pattern-слова в спеках). **Operational quirks обнаружены:** `LEFTHOOK=0` env-var отключает hooks на одну команду — необходим для rebase когда post-commit hooks регенерируют observer-файлы (STATUS.md / .pii-counters.json / episodes-*.jsonl) между picks и ломают long sequence; `enforce-memory-coverage` hook принимает строго `direct:memory-sync` per-turn, chain отклоняется как stale. Methodology session: `superpowers:brainstorming` skill для asymptote analysis 4 variant rounds (R7/R8/R9 layers + irreducible limits) → `superpowers:writing-plans` для master plan + handoff → `superpowers:subagent-driven-development` следующая фаза per stream. Memory entries (`project_router_gate_v4` + 3 feedback) — follow-up в отдельной session с `direct:memory-sync` coverage per memory-coverage hook constraint. **§0 cross-refs не меняются** (v4 — implementation, не tooling-канон #1-#86, не ADR, не off-phase подкатегория). §6 +абзац / §9 +entry. Через прямой Edit (worktree-эксцепшн §5 п.10 — плагин claude-md-management через MCP marketplace недоступен после disconnect; прецедент v2.36/v2.28/v2.16). **v2.41 наследие:** v3.9 Round 7 audit closure + concentrated rewrite (commits `8910ae6c` + `a6bde212` на main `ef19b9f2..a6bde212`): v3.9 закрыл 13 классов R7 (2 FATAL F5 parent-sentinel Read-leak через Glob+Read / F6 subagent tool_result.content exfil; 4 CRITICAL C12 system DNS/SSH/registry paths `/etc/hosts`+`~/.ssh/**`+`HKCU:\Software\Microsoft\**` / C13 `\|\| true` exit-code spoof — §5.1 hard-blacklist переформулирован «ANY part mutating» per-chain semantics + PostToolUse `git rev-parse HEAD` change verify / C14 subagent state Read-channel exfil / C15 §5.2 multi-language gap PHP/Ruby/Go/Java test runners; 5 SERIOUS S22 Skill exemption second-layer `tools/enforce-normative-content-rules.mjs` для memory/CLAUDE.md/Pravila writes + LLM-judge multi-judge consensus strict «один YES → block» / S23 Workflow approval pattern `scriptPath+sha256(args)` / S24 path equivalence NFC + Windows 8.3 long-name expansion + hardlink inode check через `protectedInodes` Set / S25 MCP-tool classification map (read_only/hard_blacklist/conditional/default block) / S26 stop-keywords +25 Russian morphology variants + LLM-judge ambiguous fallback; 2 EDGE E31 redacted block-reason mode `gate-config.json::reason_mode` / E32 LLM-judge cache scope per-session-id, TTL 24h→1h). **3 фундаментальные плоскости** R6/v3.8 не классифицировал: (1) safe baseline tools (Read/Glob/TodoWrite/AskUser) как exfil-каналы — все 9 раундов рассматривали их «always safe»; (2) system-level paths вне Claude session scope — `/etc/hosts`+`~/.ssh/*`+registry hives под Edit tool; (3) tool-composition / chain semantics where «mutating» per-token vs per-chain — `|| true` обходил §5.1 hard-blacklist «двух mutating». Generalisable formula R7: для каждого следующего audit 3 проверочных вопроса до enumeration (какие safe tools/paths/chains дают visibility/leverage; какие границы scope подразумеваются но не enforce'ятся; где per-token vs per-chain formulation gap). **Implementation budget:** 45-60h (v3.8) → **53-72h** (v3.9) +8-12h в 7 этапов через subagent-driven-development. **Закрыто 118 holes total** через 10 раундов adversarial audit. **Concentrated rewrite** (commit `a6bde212`, заказчик «убери всё лишнее оставь только то что необходимо для создания плана, нельзя потерять в качестве и объёме»): spec 2964→**2404 строк** (-560 / -19%) — убран audit-trail/version-history overhead (8 «Changes vX → vY» giant overview tables в шапке ~245 lines + §11 v3.8-v1 individual entries ~380 lines заменены 1 Timeline-paragraph + 1 condensed §11 entry «### v1 – v3.8 — 9 раундов 105 holes»). Технический content **100% сохранён** (verify-grep: fs.lstatSync 4 / parent_random_id 29 / SKILL_BASH_ALLOW 9 / schema_version 11 / Поведение[1-4] 17 / claude-md-management 19 / approve_git_operation 28 / restricted/ 21 / keytar 15 / shell-quote 17 / dep-checksums 11 / NFC|normalize 12 / mcp_tool_classification 7 / /etc/hosts 11 / git rev-parse HEAD 5). Все §1-§11 sections intact. v3.9 entry полный — план в следующей сессии будет ссылаться на R7 closure details. **§0 cross-refs не меняются** — spec-only, не tooling-канон / не ADR / не off-phase подкатегория. §6 +абзац / §9 +entry. Verify-sentinel: vitest tools-only **1179/1179 GREEN** per memory `feedback_vitest_sentinel_recipe.md`. Methodology: `superpowers:brainstorming` skill для R7 audit (full-closure через AskUserQuestion 4 options) + `EnterPlanMode`/`ExitPlanMode` для concentrated rewrite plan approval workflow. Pre-commit hooks GREEN (gitleaks 0 / markdownlint 0 / cspell 0 / adr-judge OK); pre-push (gitleaks-full-history 1848 commits 0 / lychee 120 OK 0 errors). Через `/claude-md-management:revise-claude-md`. **v2.40 наследие:** router-gate spec v3.5 → v3.8 sweep (commit `46c43169` на main `ef19b9f2..46c43169`): adversarial audit rounds 5+6 закрыли **45 новых attack-векторов в 22 классах** через 3 sequential bump'а (v3.5 → v3.6 → v3.7 → v3.8). **v3.6** — Round 5 closure 15 holes + 7 acceptable residual (§3.1 +9 paths transcript JSONL/user-level settings/lefthook/gitleaks/gitignore/classifier prompts/cost-tracker/scheduled-tasks lock; §3.2.0 +Smoke 4-7 на непредсказуемость tool_use_id/transcript hard-deny/AskUser structure/subagent gate startup; §4.7 recovery-pattern hard-block ~30 keywords в options/header/preview/annotations; §5.1 ↔ §4.5 git-pattern sync — git rebase/reset/checkout/etc перенесены из hard-blacklist в Conditional after approve_git_operation; §5.2 glob ↔ edited-files intersection check). **v3.7** — Maximum-closure pass (заказчик «закрывай в максимум чтоб и шанса не было»): все 7 acceptable residual + edge git stash закрыты defense-in-depth (LLM-judge Sonnet small-call на каждую AskUser-опцию для recovery-synonyms; `parent_random_id` 256-bit sentinel независимо от tool_use_id entropy; `~/.claude/runtime/restricted/*` Read-blocked subdir + dedicated `tools/journal-reader.mjs` CLI; `shell-quote` npm tokenizer для quoted Bash args; TF-IDF cosine + LLM-judge fallback для off-topic; smart batching multi-question AskUser для S6; git stash push/save/pop/apply в conditional class). **v3.8** — Round 6 closure (заказчик «забудь контекст, найди все дыры» → 30 attack-векторов в 18 классах incl. 4 FATAL): **F1** PowerShell tool gate был полностью вне scope §5.1 — controller через PowerShell tool обходил весь Bash whitelist (`Remove-Item ~/.claude/runtime/router-state-*.json`); v3.8 новый hook `tools/enforce-powershell-gate.mjs` (matcher `PowerShell`) + §5.1.2 content rules + shared `tools/shell-content-rules.mjs`. **F2** Workflow internal `agent()` enumeration — gate видел outer Workflow call один раз, внутри script.mjs запускалось 20 параллельных agents без gate-проверки; v3.8 scriptPath требует AskUser approval + content статически сканируется + каждый agent() inherit gate через env-vars + `resumeFromRunId` DISABLED + Smoke 8. **F3** `node_modules/*` не protected — controller мог patches `node_modules/shell-quote/index.js` подменить tokenizer; v3.8 §3.1 whole-dir hard-deny + §3.6.1 `tools/dep-checksums.json` SHA-256 верификация на startup ключевых deps (shell-quote/proper-lockfile/glob/natural/keytar). **F4** LLM-judge prompt injection через option content — Sonnet-судья читал controller-written content уязвимо; v3.8 delimiter tokens 24-char random unguessable + pre-filter regex strips `SYSTEM:`/`<judge>`/JSON-fragments + multi-judge consensus Sonnet+Haiku independent, disagree → default-CLOSE. Дополнительно §3.1 расширен +30 entries: memory/CLAUDE.md/Pravila/PSR/Tooling (с Skill exemption для `claude-md-management` через legit writes) + CI/CD configs `.github/workflows/*` + lint/build configs (tsconfig/eslintrc/prettierrc/vitest/vite/webpack/nuxt/next) + plugin cache + shell init (`.bashrc`/`.profile`/`.zshrc`) + npm configs (`.npmrc`/`.yarnrc`/`.pnpmrc`) + node_modules + parent-sentinel-*.json + dep-checksums.json + expected-path.txt. §3.0.1 OS-keychain для LLM key (Windows Credential Manager / macOS Keychain / Linux libsecret через `keytar`); key не в `process.env` → не утечёт через npm test stdout. §3.2.1 automated bootstrap smoke (1/5/6/7 на каждый session start, cached 7 days); user-run остаётся для 3/4/8. §6.1 `docs/recovery-procedures.md` (spec-only, файл не создан реально — TODO followup) — шпаргалка PowerShell-команд для 3 уровней recovery. Implementation budget: 13.5-20h (v3.1) → 22.5-32h (v3.6) → 33-44h (v3.7) → **45-60h** (v3.8). **Закрыто 105 holes total** через 9 раундов adversarial audit. **Generalisable lesson v3.8:** «v3.7 maximum closure» был maximum **внутри границ воображения v3.6 R5-audit** — Round 6 показал что сами границы имели дыры. Каждый раунд audit должен начинать с **abstract classification** «какие классы атак вообще существуют в системе?» **до** enumeration конкретных дыр; иначе закрытие 99% surface'ов внутри одного класса не помогает если атакующий использует другой класс. 5 new attack surfaces discovered Round 6: parallel tools (PowerShell как эквивалент Bash), nested tool internals (Workflow `agent()`), npm-dependency-chain (`node_modules/*` patches), environment manipulation (shell init / PATH / `.npmrc`), cross-session context poisoning (memory/CLAUDE.md/Pravila). Spec: 1980 → 2554 строк (+1110 inserts / -44 deletes за v3.6-3.8 sweep). +13 терминов в cspell-words.txt (PowerShell aliases gci/sls/iwr/spps/rvpa + npm pkg names IDF/pnpmrc/toolu + tokenizer artifacts rnd/dxf/misattributes/сканится/социалка). Verify-sentinel: vitest tools-only 1179/1179 GREEN per memory `feedback_vitest_sentinel_recipe.md`. **§0 cross-refs не меняются** — spec-only, не tooling-канон / не ADR / не off-phase подкатегория. §6 +абзац / §9 +entry. Через прямой Edit (user-instruction priority к §5 п.10 — заказчик в prompt'е «обнови мозг», прецеденты v2.36/v2.28/v2.16). **v2.39 наследие:** router-gate Уровень 4 spec finalized (v3.2 → v3.5, 5 commits на main `832fadbc..80c81602` + cosmetic `6c6796d8`): 4 раунда adversarial audit от controller'а закрыли ВСЕ известные controller-writable signals архитектурно. **v3.2** (`832fadbc`) — первый audit на v3.1, closed 18 holes (4 fatal + 11 critical + 8 serious + 3 edge) через 7 секций A-G; +5-7h budget. **v3.3** (`903aa700`) — v4.1 audit на свою же v3.2: 12 новых holes, главное — N1 fatal честно признана как acceptable residual (BLOCKED-protocol regex был самообман — controller-written text fake-able trivially); +1.5-2h. **v3.4** (`15bf46a1`) — dedicated brainstorm на N1: **S5 TRUE closure** через out-of-band block-file `subagent-block-<tool-use-id>.json` (subagent gate-process пишет, path derived from harness-assigned tool_use_id, file в protected paths `~/.claude/runtime/*` §3.1); +2h. **v3.5** (`80c81602`) — dedicated brainstorm на S8: **S8 TRUE closure** через AskUserQuestion-gate (`enforce-branch-switch.mjs` больше не читает controller-written markers, controller обязан AskUser → §4.5 answer parser распознаёт git-pattern → пишет approve_git_operation в `askuser-decisions-<sess>.jsonl` → hook читает exact-match + one-shot consume + 5-min time window); +1.1h. **Acceptable residual list теперь ПУСТ** — все известные controller-writable signals (S5+S8) закрыты архитектурно через generalisable side-channel pattern: write-канал в protected file через отдельный gate-процесс при harness-driven событии. Implementation budget: 13.5-20h (v3.1) → **22.5-32h** (v3.5) в 6 этапов через subagent-driven-development. **Готов к writing-plans фазе в следующей сессии** — 3 mandatory user-run smoke-tests до Этапа 2.1 (env propagation H2 + PostToolUse semantics N10 + subagent block-file write Smoke 3 v3.4). Audit methodology: chain `audit-context-building` skill + ручной adversarial разбор по 13 attack-зонам. Brainstorm methodology: `superpowers:brainstorming` skill с clarifying-questions через AskUserQuestion. **§0 cross-refs не меняются** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool/ADR/категории — это design-only spec в `docs/superpowers/specs/`, не tooling-канон). §6 +абзац / §9 +entry. ⚠️ Memory writes этой сессии заблокированы coverage-hook'ом (нужен `direct:memory-sync` per-turn) — оформлены drafts в handoff-сводке, сохранятся в новой сессии. Через `/claude-md-management:revise-claude-md`. **v2.38 наследие:** router-hooks Phase 4 follow-ups + Phase 5 closure (cost-tracker): commits `6e93ccc4` cosmetic (UTF-8 BOM L1 + EOF newline fix на `tools/enforce-semgrep-security.mjs` через node-fs one-liner, обходит TDD-gate по Bash matcher) + `c20a53c0` DRY refactor (`decide()` в `enforce-chain-recommendation.mjs` возвращает enriched struct `{block, message?, hasMutating, hasChainSkill, hasInlineOverride}`, `main()` сбрасывает дубли вычислений и читает result.*; +8 TDD-тестов на enriched return) + `836c433b` Phase 5 (новый `tools/cost-stop-hook.mjs` aggregates today's эпизодов в `~/.claude/runtime/cost-daily.json` USD breakdown — 5 компонент `classifier / self_assessment / reviewer_subagent / reviewer_direct_fallback / self_retrospect` + total + episode_count; closes brain-retro #9 Candidate 4 «cost-daily.json пуст»). Pure layer — `tools/cost-pricing.mjs` (frozen PRICING с Sonnet 4.6 / Opus 4.7 per-token rates) + `tools/cost-aggregator.mjs` (episodeUsd/aggregateDay) + `tools/cost-stop-hook.mjs` (runUpdate pure + main fail-quiet I/O). Registered Stop-hook в `.claude/settings.json` timeout=10s. Smoke на live эпизодах: today 24 episodes / $0.08 classifier_usd (Sonnet 4.6 LLM router calls). **Регрессия 1165/1165 vitest tools-only GREEN** (+30 за Phase 5 + 8 за DRY = +38 от 1135). **§0 cross-refs не меняются** — Phase 5 это инфраструктура tools/, не Tooling Прил.Н канон #1-#86, не ADR. §6 +абзац / §9 +entry. **Router-hooks epic закрыт полностью:** Phase 1 (`81f92ca3..4d7e9e33`) + Phase 2 (override-limit) + Phase 3 (PAMYATKA 4→8) + Phase 4 (Semgrep + chain-hook measurement Cut 11) + Phase 4 follow-ups + Phase 5 (cost-tracker). Все 10/10 кандидатов brain-retro #9 + self-retrospect #1 закрыты. Через прямой Edit (user-instruction priority к §5 п.10 — заказчик «делай все»). **v2.37 наследие:** router-hooks Phase 4 closure (Semgrep-security + chain-hook measurement): commits `5eb20665` Task A (новый PreToolUse Bash хук [tools/enforce-semgrep-security.mjs](tools/enforce-semgrep-security.mjs) блокирует `git commit` если staged-diff содержит auth/billing/CSV/webhook файлы И Semgrep в сессии не запускался; 3 escape hatch — запустить Semgrep / inline `semgrep-skip:` / global override; override-vocab +`semgrep-security` во всех 7 фразах; новый helper `sessionToolUses(transcript)`) + `a3f5f392` Task B (`logHookOutcome(rule, outcome, sessionId)` helper в [tools/enforce-hook-helpers.mjs](tools/enforce-hook-helpers.mjs) пишет JSONL в `~/.claude/runtime/hook-outcomes.jsonl`; [tools/enforce-chain-recommendation.mjs](tools/enforce-chain-recommendation.mjs) вызывает его per fire с outcome-classification из `classifyOutcome()` — 6 buckets `blocked` / `passed-with-skill` / `passed-inline-override` / `passed-global-override` / `passed-short-chain` / `passed-no-mutating`; новая Cut 11 `analyzeChainHookEffectiveness()` + `buildChainHookEffectiveness()` в [tools/brain-retro-analyzer.mjs](tools/brain-retro-analyzer.mjs); SKILL.md `.claude/skills/brain-retro/SKILL.md` mandatory tables 10→11) + `b93e5af4` review-fixes (export `CHAIN_OUTCOME_BUCKETS` для внешних consumers + dead `import fs` cleanup в helpers test). **Регрессия 1135/1135 vitest tools-only GREEN.** Push `8b818144..b93e5af4 main -> main` (rebased поверх Slepok Stage 3 PR #27 merge — orthogonal scope). **§0 cross-refs не меняются** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool в реестре #1-#86, нет ADR, нет off-phase подкатегории; `tools/enforce-*.mjs` + `.claude/skills/brain-retro/` — инфраструктура контроллера, не tooling-канон). §6 +абзац / §9 +entry. Plan `docs/superpowers/plans/2026-05-28-router-hooks-phase4-semgrep-and-chain-measure.md`. Phase 5 (cost-tracker, brain-retro #9 Candidate 4) — отдельный план. Memory +3: `feedback_subagent_bom_eof_writes.md` / `feedback_reviewer_dead_import_falsepositive.md` / `feedback_rebase_observer_dirt.md`. Open follow-ups (non-blocking per final reviewer): cosmetic BOM L1 + missing EOF newline на `enforce-semgrep-security.mjs`; DRY `decide()`↔`main()` в chain-rec hook. Через `/claude-md-management:revise-claude-md`. **v2.36 наследие:** router-hooks fixes Phase 1+2+3 closure (infrastructure, 13 commits): closes 7/10 brain-retro #9 candidates за одну сессию. Phase 1 — analyzer archive-fallback removed (Mermaid noise source в Cut 8) + System Health block в STATUS.md (long-running процессы >1ч). Phase 2 — `tools/enforce-override-limit.mjs` hard-block 6-й override-фразы одного типа за день, bypass «лимит снят» one-shot. Phase 3 — PAMYATKA в `tools/router-classifier.mjs` 4→8 паттернов (feature→writing-plans / bugfix→debugging+Pest / prod→Sentry / mechanical→coder-agent). Push `81f92ca3..4d7e9e33 main -> main`. Регрессия 1088/1088 vitest GREEN. **§0 cross-refs не меняются** (нет нового tool/ADR/категории — infrastructure layer). §6 +абзац / §9 +entry. Memory `feedback_subagent_api_crashes.md` + `feedback_tdd_gate_subagent_handoff.md` + `project_state.md` entry. Через прямой Edit (user-instruction priority к §5 п.10 — заказчик в prompt'е «обнови мозг»). **v2.35 наследие:** prompt-caching split on reviewer-agent (perf, infrastructure): commit `a0bb11a6` `buildReviewPromptStructured()` в [tools/brain-retro-opus-reviewer.mjs](tools/brain-retro-opus-reviewer.mjs) возвращает `{system, user}`; `reviewViaDirectApi` через структурированную ветку `callAnthropicAPI` с `cache_control: ephemeral` (паттерн `buildClassifierPromptStructured` с фазы классификатора — infra reused). Эффект на Opus 4.7 ~ноль: Anthropic минимум кешируемого префикса 4096 токенов vs наш static-блок ~400 токенов; активируется при свиче на Sonnet 4.6 или росте static-блока. §6 +абзац / §9 +entry; **§0 cross-refs не меняются** (нет нового tool/ADR/категории — инфраструктура tools/, не реестр инструментов). Push `5e70ab78..a0bb11a6`. Memory `feedback_prompt_caching_callAnthropicAPI.md`. Через `/claude-md-management:revise-claude-md`. **v2.34 наследие:** retro #8 follow-up — 3 enforcement hook (classifier threshold 0.7→0.8 / chain-recommendation PreToolUse block / graph-first Stop block) + vocab gap fix (graph-first + chain-recommendation подавляются всеми 7 global override-фразами); §6 +абзац / §9 +entry; **§0 cross-refs не меняются** (нет нового tool/ADR/категории — infrastructure hooks в tools/, не реестр инструментов). Memory `feedback_enforcement_hooks_retro8.md`. Через `/claude-md-management:revise-claude-md`. **v2.33 наследие:** graphify operationalization: (1) junction `graphify-out/` → `.claude/worktrees/graphify-spike/graphify-out/` — граф читается из main worktree, не только из spike; (2) `.gitignore` +`graphify-out/` + `graphify-out-*/` — build-артефакты не попадают в diff; (3) §5 +п.14 — операционная директива «перед открытым codebase-вопросом сначала `/graphify query`, потом Read/Grep/Glob» с явными исключениями (известный путь / узкий regex / запись / устаревший граф). **v2.32 наследие:** knowledge-graph-tooling: #86 graphifyy формализован как 19-я off-phase подкатегория; §3.3 +строка #86; §0 cross-refs Pravila v1.42→**v1.43** / PSR_v1 v3.22→**v3.23** / Tooling Прил.Н v2.23→**v2.24**; §9 +запись. ADR-017 (KG1–KG5). Через прямой Edit — worktree-эксцепшн §5 п.10. **v2.31 наследие:** adr-judge redos fix + brain-retro 7→10 cuts: commit `1e1457eb` чинит catastrophic backtracking в `ENFORCEMENT_BLOCK_RE` ([tools/adr-judge.py](tools/adr-judge.py), nested `(?:.*?\n)*?` + DOTALL виснет >60s на ADR-011/ADR-016 с прозаическим `## Enforcement` без ```json fence; декомпозированный поиск heading→section-boundary→fence; все 13 ADR <1ms post-fix; **vendored из adr-kit v0.13.1** — перезапишется при `/adr-kit:upgrade`, нужно re-apply или upstream PR); commit `b1398883` расширяет brain-retro SKILL.md MANDATORY DIGITAL ANALYSIS 7→10 таблиц (cuts 8/9/10: Class × canon coverage / Router vs Opus A-B-C / Chain-ignore breakdown — все три wired в [tools/brain-retro-analyzer.mjs](tools/brain-retro-analyzer.mjs) `analyze()` output автоматически; +216 lines analyzer / +288 lines tests). Push `e184ffe2..1e1457eb`. Регрессия 989/989 tools-tests GREEN. Не нормативный version-bump-worthy event (нет новых tool/ADR/категории), §6 +абзац / §9 +entry. Memory `feedback_adr_judge_redos.md` + fix `feedback_vitest_sentinel_recipe.md` (был self-contradicting — `.test.mjs` суффикс в exclude триггерил сам же документированный фильтр `detectFullTestRun` "narrow vitest"). Через `/claude-md-management:revise-claude-md`. **v2.30 наследие:** docs-only short-circuit landed: §5 +п.13 (новый — не запрашивать override `ремонт инфраструктуры` для docs-only коммитов); §9 +v2.30 entry; commit `8266755c` (4 файла, +192/−2, [tools/enforce-hook-helpers.mjs](tools/enforce-hook-helpers.mjs) + [tools/enforce-verify-before-push.mjs](tools/enforce-verify-before-push.mjs)) — хук теперь молча пропускает коммит/push если все изменённые файлы кончаются на `.md`. TDD 13 новых тестов GREEN, tools-only regression 965/965. Override остаётся для смешанных/кодовых. Через `/claude-md-management:revise-claude-md`. **v2.29 наследие:** slepok routing protection design artifacts: спек v0.4 + план реализации защиты слепка поставщика в маршрутизации лидов записаны в `docs/superpowers/{specs,plans}/2026-05-26-slepok-routing-protection*.md`. 19 рисков R-01..R-19 покрыты, 5 этапов реализации ~7.5-10 дней, бизнес-инвариант slepok №NЛ (18:00 МСК) → №NП (21:00 МСК). **Прод НЕ затронут** — это design-only артефакты, реализация не начата. Аудит-источник сессия `135a4adf`. §6 +абзац; §9 +запись. Memory `project_slepok_protection.md`. Через `/claude-md-management:revise-claude-md`. **v2.28 наследие:** Project-local AI-agents delegation rule: §3.9 (новая подсекция) + Pravila §2.4 — контроллер обязан звать `normative-sync` (#84) после крупной задачи и `prod-deploy-validator` (#85) перед каждым выкатом на liderra.ru; +2 узла в `docs/registry/nodes.yaml` (subcategory `project-agent`) для missed-activation детектора (Pravila §16.4). Tooling канон счётчиков **НЕ изменился** (#1-#83 сохраняются — project-агенты не входят в Tooling-канон). §0 cross-ref Pravila v1.39→**v1.40**. Spec `docs/superpowers/specs/2026-05-24-controller-offload-agents-design.md`. Через прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A11/C10/discovery/finance/A8/marketing). **v2.27 наследие:** C1 marketing-tooling integration: §3.3 +#74-#83 (10 узлов, 18-я off-phase подкатегория marketing-tooling); §0 cross-refs Pravila v1.38→**v1.39** / PSR_v1 v3.21→**v3.22** / Tooling Прил.Н v2.22→**v2.23**; §6 +абзац; §9 +запись. ADR-015. Прямой Edit — worktree-эксцепшн §5 п.10. **v2.26 наследие:** pg_audit #28 + pg_anonymizer #29 **установлены на боевом `liderra.ru` 22.05.2026** (расширения PostgreSQL фазы 3, ранее недоступные на dev native-Windows): §3.4 строки #28/#29 → ✅ прод; §6 +абзац; §0 cross-ref Tooling Прил.Н v2.21→**v2.22**; §9 +запись; setup-док `docs/security/pgaudit-anonymizer-setup.md`. pg_audit закрывает 152-ФЗ аудит-журнал БД (`pgaudit.log='ddl, role, write'`, `log_parameter=off`); pg_anonymizer (anon 3.0.13/Rust, собран из исходников) — маскированные выгрузки, загрузка по требованию. NB: установка PGDG-dev потянула минорный апгрейд PG 16.13→16.14 (данные целы, версия закреплена `apt-mark hold`). runbook `docs/deploy/test-server-runbook.md` (ветка feat/test-deploy) — sync отдельно. Прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A8/A11/finance). **v2.25 наследие:** A8 infosec-tooling install-sync: ZAP #68 + Ward #70 **установлены портативно 21.05.2026** (без choco — Go 1.26.3 / Temurin JRE 17 zip с проверкой SHA256, бинари в `bin/*` gitignored) → статус PENDING INSTALL снят (§3.3 строки 68/70, §6); setup-доки `docs/security/zap-setup.md` + `docs/security/ward-setup.md`; §0 cross-refs Pravila v1.37→**v1.38** / PSR_v1 v3.20→**v3.21** / Tooling Прил.Н v2.20→**v2.21**; §9 +запись. Прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A8/A11/finance). **v2.24 наследие:** A8 infosec-tooling integration: §3.3 +#68 OWASP ZAP (DAST, PENDING INSTALL) / #69 Nuclei (CLI, installed+verified) / #70 Ward (CLI, заменил abandoned Enlightn, PENDING INSTALL) / #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live (self-authored скилы); §0 cross-refs Pravila v1.37 / PSR_v1 v3.20 / Tooling Прил.Н v2.20; §6 +абзац; §9 +запись; новая 17-я off-phase подкатегория infosec-tooling (раздел A8); ADR-014 (IS1–IS9); провенанс-вет IS9 (риск ToxicSkills); серверный слой защиты → open questions SEC-1..SEC-7 (Б-1). Перенумеровано v2.23→v2.24 при ребейзе на origin/main (v2.23 параллельно занят observer). **v2.23 наследие:** observer missed-activations: §0 cross-ref Pravila v1.35→**v1.36** (§16.4 условное missed-activation правило — профильная задача без активации релевантного узла → сигнал в STATUS.md C5 + /brain-retro; маппинг `tools/observer-classification-map.json` + `tools/.node-dormancy.json` двойной сигнал dormant/DEFERRED); §3.6 +абзац missed-activation; §9 +запись. План `docs/superpowers/plans/2026-05-21-observer-missed-activations.md`. **v2.22 наследие:** A1 backend-tooling integration: §3.3 +#64 Rector / #65 PHP Insights / #66 laravel-backend-patterns / #67 NightOwl (DEFERRED); §0 cross-refs Pravila v1.35 / PSR_v1 v3.19 / Tooling Прил.Н v2.19; §6 +абзац; §9 +запись; новая 16-я off-phase подкатегория backend-tooling (раздел A1); ADR-013. **v2.21 наследие:** finance-tooling integration (C6+C7): §3.3 +#61 finance plugin (homed C7) / #62 billing-audit (C6) / #63 ru-tax-accounting (C7); §0 cross-refs Pravila v1.34 / PSR_v1 v3.18 / Tooling Прил.Н v2.18; §6 +абзац; §9 +запись; новая 15-я off-phase подкатегория finance-tooling; ADR-012. **v2.20 наследие:** observer factor-analysis extension + phase 1.1 (ADR-011 amend): schema v2 (`decision_provenance` 3 kinds incl. `user_chose_from_options`) + двусторонний routing-gate/C5 + brain-retro analyzer; полные записи — §9 v2.19/v2.20. **v2.18 наследие:** Brain governance Phase A/B/C complete (ADR-011): §0 cross-refs Pravila v1.30→**v1.31** / PSR_v1 v3.15→**v3.16** / Tooling v2.16→**v2.17**; §3.X +cross-ref на `docs/router-procedure.md` v1.0 (single SoT для router procedure); §9 +brain governance entry. Реализованы 4 phases: Phase A normative foundation (5 tasks/15 commits — ADR-011 anchor, router-procedure.md v1.0, Tooling Прил. Н 9-attribute template на 58 узлов, Pravila §16, PSR_v1 R16); Phase B observer infrastructure (6 tasks/6 commits — scaffolding + PII filter + Stop-hook + HK1 pre-check + settings.json registration + /brain-retro skill); Phase C 4 controllers (5 tasks/5 commits — L1-watcher, cross-ref-checker (DWC, noise refinement pending), observer-of-observer 54w self-prune, STATUS.md generator, lefthook wire). Spec v1.1 `docs/superpowers/specs/2026-05-19-brain-governance-design.md` (factor analysis amendment: routing_decision events + primary_rationale). План `docs/superpowers/plans/2026-05-19-brain-governance.md`. C1+C2 surface 9+150 pre-existing drifts (known); WARN-only lefthook pending follow-up alias/scope refinement. **v2.17 наследие:** компакция «мозга» (SYSTEM-аудит findings 2/3/6/7): §3 title — убран счётчик «60 инструментов»; §3.3 строки #31–#60 (30 off-phase) свёрнуты из многострочных абзацев в однострочный индекс с пином на Tooling §4.NN (finding 2 — устранён дубль реестра с Tooling); §3.3 footer / §1 row 2b / §0 row-label — счётчик «60» → пин на Tooling Прил. Н §0 как канон (finding 3); §2 БД + §8 self-review — schema-метрики → пин на header `db/schema.sql` (finding 3); §3.5 ruflo свёрнут в dormant-стаб, исторические абзацы убраны (finding 6); §0 cross-refs Pravila v1.29→**v1.30** / PSR_v1 v3.14→**v3.15** / Tooling v2.15→**v2.16**; §9 +запись. Finding 1 (раздувание шапки/§0) и finding 5 (баг хука экономии) — заказчиком не выбраны, вне scope. План `docs/superpowers/plans/2026-05-18-brain-compaction-findings-2-3-6-7.md`. **v2.16 наследие:** SYSTEM-аудит «мозга» Rec1–Rec5 closure: §0 cross-refs Pravila v1.28→**v1.29** / Tooling v2.14→**v2.15** / Plugin_stack_rules v3.13→**v3.14**; §3.5 +bold-блок «СТАТУС 18.05.2026: ИЗОЛИРОВАН (dormant)» — live-связи ruflo (hooks/MCP/daemon) отключены без удаления артефактов; §3.7 (новый) — cross-ref на `docs/routing-off-phase.md` v1.0 (off-phase routing-аид: 30 узлов триггер→узел + 12 канонических связок L1–L12); §3.6 → §3.8 renumber; §6 +абзац «2026-05-18 SYSTEM-аудит мозга + Rec1–Rec5 закрытие». Snapshot — `docs/discovery/2026-05-18-system-audit-brain.md`. Rec2 закрыл 2 из 3 ⚫-конфликтов карты. Связано: Pravila v1.29 (+§14.9 ruflo dormant), Tooling v2.15 (§4.10 status-block), PSR_v1 v3.14 (+R15 off-phase routing), `docs/routing-off-phase.md` v1.0 (новый), memory `feedback_ruflo_isolated.md` + `feedback_automation_map_not_sot.md` + `feedback_hard_rule_no_alt_question.md`. **v2.15 наследие:** Anthropic dev-tooling integration: формализованы 5 Anthropic dev-плагинов из marketplace `anthropics/claude-plugins-official`, уже включённых в `~/.claude/settings.json` `enabledPlugins` user-level без формализации — #56 skill-creator / #57 plugin-dev / #58 hookify (новая тринадцатая off-phase подкатегория «authoring-tooling») + #59 claude-code-setup / #60 context7 (новая четырнадцатая «dev-support»); §3 title 55→60, §1 row 2b 55→60, §3.3 +5 строк #56–#60, §3.3 footer 55→60 (14 off-phase подкатегорий), §0 cross-refs Pravila v1.28 / PSR_v1 v3.13 / Tooling v2.14, §6 +абзац, §9 +запись. Триггер — аудит «мозга» через discovery-interview SYSTEM-режим: вскрыт L1-паттерн «плагин включён в settings.json без формализации в правилах» (повтор UPM/21st 10.05, Sentry/Redis 13.05). ADR-010. hookify HK1 — pre-check на коллизию с 6-компонентной economy/skill-discipline хук-архитектурой; закрывает 🔴-конфликт карты `hookify_plugin ↔ hk_pre_claude`. **NB:** ветка `feat/anthropic-dev-tooling` ребейзнута на parallel-sessions §15 (origin/main `781a59c`) — v2.14 и Pravila v1.27 параллельно заняты §15-эпиком; перенумеровано v2.14→v2.15, Pravila v1.27→v1.28. План `docs/superpowers/plans/2026-05-18-anthropic-dev-tooling-formalization.md`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (прецедент A11/C10/discovery). **v2.14 наследие:** parallel-sessions-coordination: sync §0 cross-ref Pravila v1.26→v1.27 + §1 priority chain footer-абзац «Hard-rules вне §9» (упомянуты §12/§14/**§15**); §15 — третье hard-rule после §12 и §14, лечит два класса инцидентов параллельных Claude-сессий (Sprint 6 субагент-угон-ветки + Tooling v2.11 collision 17.05.2026). Spec — `docs/superpowers/specs/2026-05-18-parallel-sessions-coordination-design.md`, план — `docs/superpowers/plans/2026-05-18-parallel-sessions-coordination.md`. v1.27 в Pravila добавила hard-rule с фиксированным списком 8 нормативных файлов (Pravila/CLAUDE.md/Tooling/PSR_v1/MEMORY.md/Открытые_вопросы/docs/adr/*/db/schema.sql) — pre-flight `git fetch && git log HEAD..origin/main --oneline` обязателен перед правкой любого. Связанные артефакты (на этой же ветке `feat/parallel-sessions-coordination`): `docs/sessions/CURRENT.md` заявочный лог + `tools/subagent-prompt-prefix.mjs` PreToolUse Task auto-inject хук + `.claude/skills/subagent-driven-development/` wrapper-скил с git-safety-checklist (Tasks 2/4/7 плана). PSR_v1 и Tooling **не правятся** — §15 про координацию сессий, не плагинов. Через `/claude-md-management:claude-md-improver`. **v2.13 наследие:** discovery-interview integration: формализован #55 discovery-interview (self-authored project-скил `.claude/skills/discovery-interview/` — структурированное интервью-discovery до проектирования, два режима: FEATURE интервью заказчика перед фичей + SYSTEM ориентация по мета-слою) как новая двенадцатая off-phase подкатегория «discovery-tooling»; §3 title 54→55, §1 row 2b 54→55, §3.3 +строка #55, §3.3 footer 54→55, §0 cross-refs Pravila v1.26 / PSR_v1 v3.12 / Tooling v2.13, §6 +абзац discovery-interview, §9 +запись. ADR-009. Триггер-eval 20/20. Конфликт-аудит DI1–DI6 — разрез по слою-источнику с C10-скилом process-analysis #53 (тот вскрывает бизнес-процесс из app-кода; discovery-interview интервьюирует человека). План `docs/superpowers/plans/2026-05-18-discovery-interview-integration.md`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент A11/C10). **v2.12 наследие:** C10 business-process integration: формализованы #51 operations (Claude Code marketplace-плагин `operations@knowledge-work-plugins` v1.2.0, Anthropic Verified — 9 скилов, 0 lifecycle-хуков) + #52 process-modeling + #53 process-analysis (self-authored project-скилы `.claude/skills/`) + #54 n8n-mcp (workflow-движок — DEFERRED, у портала нет n8n) — новая одиннадцатая off-phase подкатегория «business-process»; §3 title 50→54, §1 row 2b 50→54, §3.3 +4 строки #51/#52/#53/#54, §3.3 footer 50→54, §0 cross-refs Pravila v1.25 / PSR_v1 v3.11 / Tooling v2.12, §6 +абзац C10, §9 +запись. ADR-008. Конфликт-аудит OPS1/OPS5/N8N1/LINT1/BPMN1/PA1. План `docs/superpowers/plans/2026-05-17-c10-business-process-tooling-integration.md`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент A11/ruflo). **v2.11 наследие:** ADR-006 Decision-4 icon-path boundary mirror: §3.3 строка #45 +граница «Lucide-иконки → канонический путь `lucide-vue-next` + Vuetify IconSet; raw-SVG Universal Icons MCP — только для не-Lucide коллекций». Источник — ADR-006 (поправка 17.05.2026, Decision item 4 — закрывает ранее нерегламентированную границу #45 ↔ `lucide-vue-next`, выявленную конфликт-аудитом карты). §0 cross-ref Tooling v2.10→**v2.11** (Pravila v1.24 / PSR_v1 v3.10 — без изменений: assess показал, что Pravila §13.2 делегирует к ADR-006, PSR_v1 R10.1 — role-registry). Счётчики инструментов без изменений (50 позиций). §9 +запись. Через `/claude-md-management:claude-md-improver` в worktree от origin/main (прямой Edit — worktree-constraint эксцепшн §5 п.10, прецедент A11 v2.10). **v2.10 наследие:** A11 ml-ai-tooling integration: формализованы #48 promptfoo (npm devDependency `promptfoo`, CLI-eval LLM-промптов, MIT) + #49 Data Scientist skill (вендоренный сторонний скил `.claude/skills/data-scientist/`, классический ML-воркфлоу) + #50 Jupyter MCP (исполняемые ноутбуки — DEFERRED, требует Python ML-окружения) — новая десятая off-phase подкатегория «ml-ai-tooling»; §3 title 47→50, §1 row 2b 47→50, §3.3 +3 строки #48/#49/#50, §3.3 footer 47→50, §0 cross-refs Pravila v1.24 / PSR_v1 v3.10 / Tooling v2.10, §6 +абзац A11, §9 +запись. ADR-007. Конфликт-аудит ML1 (promptfoo платные вызовы → вручную/CI) / ML3 (Data Scientist skill вендорен) / ML7 (bus-factor → вендоринг). План `docs/superpowers/plans/2026-05-17-a11-ml-ai-tooling-integration.md`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент ruflo big-bang v2.0). **v2.9 наследие:** A3 integration-tooling integration: формализован #47 openapi-mcp-server (+ api-docs agent — узел карты A3 без Tooling-номера), новая девятая off-phase подкатегория «integration-tooling»; §3 title 46→47, §1 row 2b 46→47, §3.3 +строка #47, §3.3 footer 46→47, §0 cross-refs Pravila v1.23 / PSR_v1 v3.9 / Tooling v2.9, §6 +абзац A3, §9 +запись. Карта A3 0→7 узлов / 116→118. План `docs/superpowers/plans/2026-05-17-a3-integration-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.8 наследие:** A4 design-tooling integration: формализованы #44 Figma MCP (DEFERRED — у проекта нет Figma-аккаунта) + #45 Universal Icons MCP + #46 Design plugin — новая восьмая off-phase подкатегория «design-tooling»; §3 title 43→46, §1 row 2b 43→46, §3.3 +3 строки #44/#45/#46, §3.3 footer 43→46, §0 cross-refs Pravila v1.22 / PSR_v1 v3.8 / Tooling v2.8, §6 +абзац A4, §9 +запись. План `docs/superpowers/plans/2026-05-17-a4-design-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.7 наследие:** deptrac architecture-fitness integration: формализован #43 deptrac (Composer dev-dependency `deptrac/deptrac` v4.6.1, BSD-3) — 4-й инструмент off-phase подкатегории architecture-tooling; архитектурный fitness-гейт направления зависимостей / границ слоёв, врезан как lefthook pre-commit job 10; §3 title 42→43, §1 row 2b 42→43, §3.3 +строка #43, §3.3 footer 42→43, §0 cross-refs Pravila v1.21 / PSR_v1 v3.7 / Tooling v2.7, §6 +абзац deptrac, §9 +запись. План `docs/superpowers/plans/2026-05-17-deptrac-architecture-fitness-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.6 наследие:** C9 project-management integration: формализованы #41 CCPM (вендоренный скил) + #42 product-management (Anthropic marketplace-плагин) — новая седьмая off-phase подкатегория «project-management»; §3 title 40→42, §1 row 2b 40→42, §3.3 +2 строки #41/#42, §3.3 footer 40→42 + семь подкатегорий, §0 cross-refs Pravila v1.20 / PSR_v1 v3.6 / Tooling v2.6, §6 +абзац C9, §9 +запись. План `docs/superpowers/plans/2026-05-17-c9-project-management-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.5 наследие:** фактическая правка #40 Security Guidance: это **блокирующий** PreToolUse-хук (`sys.exit(2)`), не warn-only — при первом за сессию срабатывании уязвимого паттерна в файле блокирует правку (одноразовый speed-bump per «файл+правило», retry проходит); §3.3 строка #40 переписана (+SG2 Windows-починка python3-резолва), §6 абзац D3 уточнён, §0 cross-refs Pravila v1.19 / PSR_v1 v3.5 / Tooling v2.5, §9 +запись. Счётчики инструментов без изменений (40 позиций). План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.4 наследие:** D3 audit-security: формализованы #39 Trail of Bits Skills (субсет 8 audit-плагинов, marketplace `trailofbits`, CC-BY-SA-4.0) + #40 Security Guidance (Anthropic PreToolUse-хук) — новая шестая off-phase подкатегория «audit-security»; §3 title 35→40 (исправляет A6-пропуск: title оставался «35»), §1 row 2b 38→40, §3.3 +2 строки, §3.3 footer 38→40, §0 cross-refs Pravila v1.18 / PSR_v1 v3.4 / Tooling v2.4, §6 +абзац интеграции. План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.3 наследие:** A6 architecture-tooling: формализованы 3 инструмента раздела A6 карты «Архитектура систем» — #36 adr-kit, #37 mermaid-skill, #38 architecture-patterns; §3 title 35→38, §3.3 +3 строки, §1 row 2b 35→38, §3.3 footer 35→38 (пятая off-phase подкатегория architecture-tooling), §0 cross-refs Pravila v1.17 / PSR_v1 v3.3 / Tooling v2.3, §6 +абзац интеграции. План `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.2 наследие:** реколлаж ruflo: §1 убран уровень −1 (entry-point framing → advisory-подсистема); §3/§3.5 advisory-подсистема; §0 cross-refs Pravila v1.16 / PSR_v1 v3.2 / Tooling v2.2. **v2.1 наследие:** §14 queen-trigger: §1 priority chain уровень −1 +триггер queen/королева → Pravila §14; §3.5 +абзац «Queen trigger»; §0 cross-ref Pravila v1.15. **v2.0 наследие:** Ruflo big-bang integration: 8-level → 9-level priority chain, ruflo Queen-led routing на уровне −1 (entry-point); §1 +уровень −1 ruflo; §3 title «35 инструментов» → «35 + ruflo orchestration layer»; §3.5 added (off-phase orchestration «ruflo»; «Заметки к settings.json» renumber §3.5 → §3.6); §5 п.10 → sub-policy note (claude-md-management остаётся preferred channel через ruflo routing); §6 +2026-05-15 ruflo phase paragraph. Major bump reflects architectural inversion (paper-level: ruflo daemon/swarm not yet running, technical compensators retained: gitleaks/RLS/dev DB only). Через прямой Edit (plan §1.4 user-authorized exception к §5 п.10). **v1.93 наследие:** Audit #3 deferred fixes sprint closure: sync schema header drift «62 → 63 базовые таблицы (61 regular + 2 partitioned parents: deals + supplier_lead_costs)» в §0 row «Схема БД», §2 БД row, §8 self-review row. Цифра 62 была commit-baseline артефактом; фактический count base-tables (regular + partitioned parents) — 63 (audit-verified в Audit #3 Phase 3). Sprint commits: `8ba9c55` (plan) + `0c36b7a` (Pa11y migration) + `e746b3c` (dead code cleanup, incl. schema.sql:4 header) + `c5c0e76` (coverage debt F-COV-01/02/03 → ≥95%) + `c524227` (P3 tooling). Pushed `f9d2452..c524227 main -> main`. Через `/claude-md-management:claude-md-improver`. **v1.92 наследие:** Task 9 sync нормативки после merge PR #3 `cc5f63b`: §3.3 +#34 Sentry MCP + #35 Redis MCP (off-phase debug-runtime category, отдельная от UI-пула UPM/21st и от infrastructure claude-md-management); §3 title «33» → «35»; §3.3 footer count 33 → 35 (29 phase-active + 5 off-phase + 1 historic); §0 cross-refs Tooling v1.16 → v1.17, PSR_v1 v2.0 → v2.1, Pravila v1.12 → v1.13. **v1.91 наследие:** Session-end documentation hygiene после CTO-19 ✅ closure via Lucide migration. Содержание: (1) §0 cross-ref row Pravila v1.11 → **v1.12** (sync: §4.6 +visual smoke methodology для UI-refactor; §4.7 +п.4 plans/specs relative paths `../../../`); (2) §9 +v1.91 entry. Связано: реестр v1.82→v1.83 (CTO-19 closure в commit `0832997`); audit `docs/superpowers/audits/2026-05-12-portal-full-audit-findings.md` Q.INFO.001 +audit methodology gap note (Phase 4 SAST checks must begin с `ls .github/workflows/`); memory quirks 74-76 (Lucide+Histoire peerDep / Vuetify-internal mdi defaults gap / plans-relative-paths). Регрессия зелёная (verified в commit `0832997`): Pest --parallel 742/739/0/3 ✅, Vitest 88 files / 683 passed + 3 skipped, Vite build 3.52s, axe-core /admin/billing 0 iconography violations, lychee 252 OK / 0 errors, gitleaks 0 (372+ commits). Workflow learning: `superpowers:brainstorming` → `:writing-plans` → `:subagent-driven-development` efficient для mechanical UI-refactor (icon migration). Через `/claude-md-management:revise-claude-md`. **v1.90 наследие:** Merge R15 motion-runtime removal cleanup из `origin/main` в `plan5-frontend-projects` (commits `0fd93fd` planning + `615db99` нормативная правка). Plan5 ветка форкнулась 12.05 утром от `48f27b4` ДО появления `615db99` на main; после 113 атомарных коммитов на plan5 (audit fixes, Plan 5 frontend Tasks 7-11, Quiet Luxury portal redesign, Q.DEFER.002/003/004 closures, audit-cleanup tail) — merge синхронизирует R15 changes. **§5 п.12** → маркер «Резерв (снят 12.05.2026, см. CHANGELOG)» (нумерация п.1–11 сохранена, чтобы cross-refs в memory не сломать). **§2 строка «Animation default stack»** переписана с regulatory denylist на guidance recommendation (motion-v/gsap/anime.js/lottie-web/popmotion/@motionone/dom — ✅ разрешены без обоснования; framer-motion остаётся technical block — React-only peerDep, runtime crash в Vue, не regulatory rule). **§0 cross-refs** обновлены — Pravila v1.10 → **v1.11**, PSR_v1 v1.7 → **v2.0**, Tooling v1.15 → **v1.16**. **§6 фаза** + **§8 self-review** строки (Plan 4/5 + Quiet Luxury + Q.DEFER closures context + schema baseline v8.19 + dev-actual factual) — preserved из plan5 v1.88/v1.89 base. Plan5 v1.89 factual fix §6 (615db99 = R15 removal, ≠ Plan 4) подтверждён и сохранён. NB: §9 содержит **две v1.88 entries** — plan5 audit schema-sync + origin/main R15-removal — это collision версионной нумерации parallel-branch bump'ов; обе валидны исторически, явно labelled в §9. Files fast-forwarded без conflict: `Plugin_stack_rules_v1.md` (R15 удалён, 162 lines diff), `Pravila_raboty_Claude_v1_1.md` (§11.5/§13.2 счётчик 16→15 + cross-refs), `Tooling_v8_3.md` (§9.2 reformulated). Через ручное conflict resolution на 2 файлах (CLAUDE.md + CHANGELOG_claude_md.md) + post-merge `/claude-md-management:revise-claude-md` polish (per §5 п.10). **v1.89 наследие:** factual fix §6 + шапка v1.88 changelog (615db99 ≠ Plan 4). **v1.88 наследие (plan5 branch):** audit-driven sync §0/§2/§6/§8 после полного аудита портала. Schema-метрики §0/§2/§8 разделены на «commit baseline v8.19» (62/12/117/39/5/13/5) + «dev-actual factual» (75/102/289/39/5/19/0). **v1.88 наследие (origin/main):** снятие R15 motion-runtime restrictions per user decision 12.05.2026 («сними все запреты на использование framer motion»); conscious rollback v1.83 audited construction. **v1.87 наследие:** sync schema-метрик после Plan 4 (Billing+CSV+Admin) на ветке `plan4-billing`. Schema **v8.11 → v8.19**. Предыдущая v1.86 — закрытие 13 находок третьего аудита (детали в [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md)).
|
||
**Назначение:** оперативная карта для Claude Code. Не первоисточник — первоисточники указаны в §0.
|
||
**Владелец и режим правок:** все изменения этого файла — **только** через плагин `claude-md-management` (skills `/claude-md-management:claude-md-improver` для audit/targeted-updates и `/claude-md-management:revise-claude-md` для capture session-learnings). Прямые правки запрещены — см. §5 п.11.
|
||
|
||
> **Ребрендинг 08.05.2026:** «Лидпоток» → **«Лидерра.»** (с точкой). Палитра, лого и шрифты — из handoff Платона (v8 Forest). Применяется только к дизайну/имени/логотипу; функционал, состав страниц и правила — без изменений (источник — ТЗ v8.5/schema v8.5).
|
||
|
||
---
|
||
|
||
## 0. Источник истины
|
||
|
||
| Тема | Документ |
|
||
|---|---|
|
||
| Продуктовые правила работы Claude | [docs/Pravila_raboty_Claude_v1_1.md](docs/Pravila_raboty_Claude_v1_1.md) (**v1.44 от 14.06.2026** — research-tooling (Perplexity Pack): §13.2 +абзац «Off-phase research-tooling» (#87 perplexity / #88 exa / #89 firecrawl — двадцатая off-phase подкатегория, внешние MCP веб-разведки, READ-ONLY, платные API — ключи в env); ADR-019 (RT1–RT9). **v1.43 наследие** — knowledge-graph-tooling: §13.2 +абзац «Off-phase knowledge-graph-tooling» (#86 graphifyy, user-level скил, CLI `graphifyy`, knowledge graph портала, activation `/graphify`, артефакты `graphify-out*/` gitignored), 19-я off-phase подкатегория; ADR-017 (KG1–KG5). **v1.42 наследие** — §17.7 «Coverage announcement»: новая подсекция — правило показывать `coverage: <channel>:<id>` пометку на каждой non-conversation задаче (6 каналов: skill/node/chain/hook/agent/direct). **v1.41 наследие** — LLM-first router overhaul Phase 1 Tasks 4-5: §12 «Superpowers hard rule» снят в архив, §17 «Universal skill-coverage» добавлен (classifier-driven default-deny, ADR-016), §16.4 cross-refs мигрированы на nodes.yaml; полные детали в шапке Pravila «Что изменилось в v1.41». **v1.40 наследие** — Делегирование проектным AI-агентам: §2.4 (новая подсекция) — контроллер обязан звать `normative-sync` (#84) после крупной задачи + `prod-deploy-validator` (#85) перед каждым выкатом liderra.ru; прежние `pest-parallel-debugger` + `rls-reviewer` тоже формализованы в одной таблице. Project-агенты в `docs/registry/nodes.yaml` subcategory `project-agent`, **не входят в Tooling канон счётчиков** #1-#83. Связано: CLAUDE.md v2.28, spec `docs/superpowers/specs/2026-05-24-controller-offload-agents-design.md`. **v1.39 наследие** — C1 marketing-tooling: §13.2 +абзац «Off-phase marketing-tooling» (#74 marketing / #75 marketingskills / #76 brand-voice / #77 marketing-ru / #78 Яндекс.Метрика MCP / #79 Яндекс.Директ+Wordstat MCP / #80 Telegram MCP / #81 Postiz / #82 DataForSEO MCP DEFERRED / #83 Unisender Go MCP DEFERRED), 18-я off-phase подкатегория; провенанс-вет IS9 (`docs/security/marketing-vet.md`); VK out-of-scope; ADR-015. **v1.38 наследие** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05 → статус PENDING снят (§13.2). **v1.37 наследие** — A8 infosec-tooling §13.2 +абзац «Off-phase infosec-tooling» (A8: #68 OWASP ZAP DAST PENDING / #69 Nuclei CLI / #70 Ward CLI PENDING / #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live), 17-я off-phase подкатегория; провенанс-вет IS9; ADR-014. **v1.36 наследие** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05 → статус PENDING снят (§13.2). **v1.37 наследие** — A8 infosec-tooling §13.2 +абзац «Off-phase infosec-tooling» (A8: #68 OWASP ZAP DAST PENDING / #69 Nuclei CLI / #70 Ward CLI PENDING / #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live), 17-я off-phase подкатегория; провенанс-вет IS9; ADR-014. **v1.36 наследие** — §16.4 расширен симметрией missed activation (условное правило): эпизод с профильной классификацией (`tools/observer-classification-map.json`) при `node_chosen === 'direct'` и наличии non-dormant рекомендуемого узла → сигнал, surface в STATUS.md C5 + /brain-retro; DEFERRED-исключения через `tools/.node-dormancy.json`. **v1.35 наследие** — A1 backend-tooling §13.2 +абзац «Off-phase backend-tooling» (A1: #64 Rector / #65 PHP Insights / #66 laravel-backend-patterns / #67 NightOwl DEFERRED), 16-я off-phase подкатегория. **v1.34 наследие** — finance-tooling §13.2 +абзац «Off-phase finance-tooling» (C6+C7: #61 finance plugin / #62 billing-audit / #63 ru-tax-accounting). **v1.33 наследие** — observer factor-analysis phase 1.1 (ADR-011 amend): §16.2 — `decision_provenance.kind` расширен до 3 значений (`autonomous` \| `user_directed_method` \| `user_chose_from_options`); 3-й kind — collaborative-choice case (заказчик выбирает один из предложенных Claude вариантов в предыдущем ходе); §16.7 +абзац «Граница `user_chose_from_options`» — routing-gate НЕ блокирует этот kind (выбор из choice-space самого Claude, не навязанный извне метод). **v1.32 наследие** — observer factor-analysis extension (ADR-011 amend): §16.2 +абзац «Схема эпизода v2» (`schema_version`, `decision_provenance`, `environment`, `task_size`, `task_ref`, `prompt_signal`; `outcome` `unknown` при записи; +`hook_fired`/`interrupt`/`retry`/`time_burn`/`parse_gap`; `observer_error` маркер); §16.3 4→5 контролёров (+C5 observer-coverage-checker, warn-only); §16.7 (новое) routing-тег-дисциплина — Stop-хук `decision: block` при навязанном методе без тега, `stop_hook_active` guard против петли; §16.8 (новое) самодисциплина наблюдателя (`observer_error` маркер вместо тихого пропуска, `parse_gap` событие, C5 контролёр); §16.6 +cross-ref на factor-analysis spec. **v1.31 наследие** — Brain governance §16 implementation (ADR-011): §16.1 router-only, §16.2 observer scope B (5 mandatory fields incl. primary_rationale, 7 event kinds incl. routing_decision per spec v1.1), §16.3 4 controllers, §16.4 поведенческое правило «не использован ≠ проблема», §16.5 не override-floor §9, §16.6 cross-refs. **v1.30 наследие** — компакция «мозга» finding 3: §13.2 счётчики off-phase подкатегорий → пин на Tooling Прил. Н §0 (канон счётчиков); §14 заголовок +метка «(dormant — §14.9)». **v1.29 наследие** — +§14.9 «Текущий статус: изолирован (18.05.2026, dormant)» — Rec2 SYSTEM-аудита: ruflo изолирован от Claude-потока, артефакты сохранены; live-связи hooks/MCP/daemon отключены; queen-триггер §14.1 dormant. **v1.28 наследие** — §13.2 +абзац «Off-phase authoring-tooling + dev-support» (#56 skill-creator / #57 plugin-dev / #58 hookify — тринадцатая off-phase подкатегория authoring-tooling; #59 claude-code-setup / #60 context7 — четырнадцатая dev-support); ADR-010. **v1.27 наследие** — §15 hard-rule «Параллельные сессии» (15.1 субагенты+git Sonnet/Opus only, 15.2 нормативка+pre-flight sync с 8-позиционным списком файлов: Pravila/CLAUDE.md/Tooling/PSR_v1/MEMORY.md/Открытые_вопросы/docs/adr/*/db/schema.sql, 15.3 cross-refs); третье hard-rule после §12 и §14; +§10 changelog entry v1.27. **v1.26 наследие** — §13.2 +абзац «Off-phase discovery-tooling» (#55 discovery-interview — проектный скил, режимы FEATURE+SYSTEM); двенадцатая off-phase подкатегория. **v1.25 наследие** — §13.2 +абзац «Off-phase business-process» (#51 operations / #52 process-modeling / #53 process-analysis / #54 n8n-mcp DEFERRED — раздел C10 карты); одиннадцатая off-phase подкатегория. **v1.24 наследие** — §13.2 +абзац «Off-phase ml-ai-tooling» (#48 promptfoo / #49 Data Scientist skill / #50 Jupyter MCP DEFERRED — раздел A11 карты); десятая off-phase подкатегория. **v1.23 наследие** — §13.2 +абзац «Off-phase integration-tooling» (#47 openapi-mcp-server / api-docs agent — раздел A3 карты); девятая off-phase подкатегория. **v1.22 наследие** — §13.2 +абзац «Off-phase design-tooling» (#44 Figma MCP / #45 Universal Icons MCP / #46 Design plugin — раздел A4 карты); восьмая off-phase подкатегория. **v1.21 наследие** — §13.2 абзац «Off-phase architecture-tooling» расширен: +#43 deptrac (4-й инструмент категории, Composer dev-dep). **v1.20 наследие** — §13.2 +абзац «Off-phase project-management» (#41 CCPM / #42 product-management — раздел C9 карты); новая седьмая off-phase подкатегория. **v1.19 наследие** — §13.2 факт-правка #40 Security Guidance: блокирующий хук (`sys.exit 2`), не warn-only. **v1.18 наследие** — §13.2 +абзац «Off-phase audit-security» (#39 Trail of Bits Skills / #40 Security Guidance — раздел D3 карты). **v1.17 наследие** — §13.2 +абзац «Off-phase architecture-tooling» (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns — раздел A6 карты). **v1.16 наследие** — реколлаж ruflo: §1 убран уровень −1, ruflo переописан в advisory-подсистему; §14 queen-триггер сохранён. **v1.15 наследие** — §14 (new) Ruflo Queen routing hard-rule (триггер queen/королева). **v1.14 наследие** — §12 → sub-policy под ruflo routing (commit `9c3057b`); Superpowers hard-rule сохраняется. **v1.13 наследие** — §13.2 +новый абзац «Off-phase MCP debug-runtime (отдельная категория)»: `@sentry/mcp-server` (Tooling #34) + `@modelcontextprotocol/server-redis` (Tooling #35) — retrospective formalization после PR #3 merge. Категория отдельная от UI-пула и от infrastructure (claude-md-management). READ-ONLY usage обязателен. v1.12 наследие — methodology additions §4.6 visual smoke для UI-refactor + §4.7 п.4 plans/specs relative paths `../../../<target>`) |
|
||
| **Правила совместного использования плагинов Claude** | [docs/Plugin_stack_rules_v1.md](docs/Plugin_stack_rules_v1.md) (**v3.24 от 14.06.2026** — research-tooling (Perplexity Pack): R10.1 Блок 3 +3 MCP-сервера (#87 perplexity / #88 exa / #89 firecrawl, READ-ONLY); R15.6 +research-tooling; 20-я off-phase подкатегория; ADR-019. **v3.23 наследие** — knowledge-graph-tooling: R10.1 Блок 1 note +graphifyy #86 (user-level скил, CLI `graphifyy`); R15.6 +knowledge-graph-tooling; 19-я off-phase подкатегория; ADR-017 (KG1–KG5). **v3.22 наследие** — C1 marketing-tooling: R10.1 Блок 1 +marketing (#74 plugin + #75 marketingskills + #76 brand-voice + #77 marketing-ru) + note (+Яндекс.Метрика MCP #78 / Яндекс.Директ+Wordstat MCP #79 / Telegram MCP #80 / Postiz #81 / DataForSEO MCP #82 DEFERRED / Unisender Go MCP #83 DEFERRED); R15.6 +marketing-tooling; 18-я off-phase подкатегория; не UI → вне R6/R14. **v3.21 наследие** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05 → R10.1 Блок 1 note + Блок 3 ZAP-row статус PENDING INSTALL снят. **v3.20 наследие** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05 → R10.1 Блок 1 note + Блок 3 ZAP-row статус PENDING INSTALL снят. **v3.20 наследие** — A8 infosec-tooling: R10.1 Блок 1 note +infosec (#69 Nuclei / #70 Ward — CLI; #71-73 self-authored скилы) + Блок 3 +OWASP ZAP MCP (#68, PENDING INSTALL); R15.6 +infosec-tooling; 17-я off-phase подкатегория. **v3.19 наследие** — A1 backend-tooling: R10.1 Блок 1 note +backend-tooling (#64 Rector / #65 PHP Insights — Composer dev-deps; #66 laravel-backend-patterns — self-authored; #67 NightOwl DEFERRED); R15.6 +backend-tooling; 16-я off-phase подкатегория. **v3.18 наследие** — finance-tooling: R10.1 Блок 1 +finance plugin (#61) + note (+billing-audit #62 / ru-tax-accounting #63). **v3.17 наследие** — observer schema v2 sync (ADR-011 amend): R16.1 +предложение про `schema_version` / `decision_provenance` / `environment` / `task_size` / `prompt_signal` + расширенные события (`hook_fired`/`interrupt`/`retry`/`time_burn`/`parse_gap`) + `observer_error` маркер; R16.4 +cross-ref на factor-analysis spec и plan. R0–R15 без изменений. Routing-gate / C5 / `/brain-retro` analyzer — нормативно в Pravila §16.7/§16.8 + ADR-011 §5; R16 фиксирует evidence-сбор, не enforcement. **v3.16 наследие** — Brain governance R16 «Brain evidence loop» (ADR-011): R16.1 observer scope (5 mandatory fields), R16.2 plugin stack-conscious events (routing_decision + factor matrix 5 axes), R16.3 не override (R16 evidence-сбор, не правило выбора), R16.4 cross-refs. 17 правил R0-R16. **v3.15 наследие** — компакция «мозга» finding 3: R10.1 счётчики позиций → пин на Tooling Прил. Н §0 (канон счётчиков). **v3.14 наследие** — +R15 «Off-phase routing» на свободном слоте (motion удалён v2.0): R15.1 off-phase узлы вне R6.0/R6.1/R14, R15.2 routing-таблица — `docs/routing-off-phase.md` v1.0+, R15.3 приоритет специфичности + ADR-границы, R15.4 hard-rules Pravila §12/§14/§15 перевешивают, R15.5 live-override, R15.6 гранулярные категории, R15.7 обычное правило. UI-аппарат R0–R14 без изменений. Rec5 SYSTEM-аудита. **v3.13 наследие** — R10.1 Блок 1 +5 строк (#56 skill-creator / #57 plugin-dev / #58 hookify / #59 claude-code-setup / #60 context7) + note (v3.13); новые тринадцатая (authoring-tooling) и четырнадцатая (dev-support) off-phase подкатегории, не UI → вне R6/R14; hookify HK1 pre-check. **v3.12 наследие** — R10.1 Блок 1 note (v3.12) +discovery-interview (#55, self-authored project-скил, discovery-tooling); новая двенадцатая off-phase подкатегория discovery-tooling, не UI → вне R6/R14. **v3.11 наследие** — R10.1 Блок 1 +operations (#51, business-process, marketplace-плагин) + Блок 1 note +process-modeling (#52) + process-analysis (#53, self-authored project-скилы) + Блок 3 +n8n-mcp (#54, DEFERRED); новая одиннадцатая off-phase подкатегория business-process, не UI → вне R6/R14. **v3.10 наследие** — R10.1 Блок 3 +Jupyter MCP (#50, ml-ai-tooling, DEFERRED) + Блок 1 note +promptfoo (#48) + Data Scientist skill (#49); новая десятая off-phase подкатегория ml-ai-tooling, не UI → вне R6/R14. **v3.9 наследие** — R10.1 Блок 3 +openapi-mcp-server (#47, integration-tooling); новая девятая off-phase подкатегория integration-tooling, не UI → вне R6/R14. **v3.8 наследие** — R10.1 Блок 1 +Design plugin (#46, design-tooling); Блок 3 +Universal Icons MCP (#45) + Figma MCP (#44, DEFERRED); новая восьмая off-phase подкатегория design-tooling, не UI → вне R6/R14. **v3.7 наследие** — R10.1 Блок 1 +note: deptrac #43 (Composer dev-dep, не marketplace-плагин, architecture-tooling), не UI → вне R6/R14. **v3.6 наследие** — R10.1 Блок 1 +2 строки (CCPM + product-management); новая категория project-management, не UI → вне R6/R14. **v3.5 наследие** — R10.1 факт-правка security-guidance: блокирующий хук, не warn-only. **v3.4 наследие** — R10.1 Блок 1 +2 строки (Trail of Bits Skills + security-guidance); новая категория audit-security, не UI → вне R6/R14. **v3.3 наследие** — R10.1 Блок 1 +2 строки (adr-kit + architecture-patterns) + note (mermaid-skill вендоренный); новая категория architecture-tooling, не UI → вне R6/R14. **v3.2 наследие** — реколлаж ruflo: R0 entry-point framing убран, ruflo advisory-подсистема. **v3.1 наследие** — queen-триггер §14. **v3.0 наследие** — major bump: R0 stack-gate → paired-stack delegation pattern (commit `d30cbeb`). **v2.1 наследие** — R10.1 Блок 3 (MCP-серверы) +2 строки sentry + redis с категорией **debug-runtime**: `@sentry/mcp-server@0.33.0+` (Tooling #34, pending Б-1) + `@modelcontextprotocol/server-redis@2025.4.25` (Tooling #35, deprecated Anthropic source, Memurai PONG verified Task 4). Не trigger'ит R6.0/R6.1 фильтры и не входит в R14 pipeline UI-генераторов. v2.0 наследие — major bump: removal of R15 motion-runtime restrictions per user decision 12.05.2026; conscious rollback v1.4 audited construction; framer-motion переведён из regulatory hard-запрета в technical-guidance уровень) |
|
||
| Полный реестр формализованных позиций тулчейна (счётчики — канон в Прил. Н §0) | [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) (**Прил. Н v2.25 от 14.06.2026** — research-tooling (Perplexity Pack): §4.60 #87 perplexity MCP + §4.61 #88 exa MCP + §4.62 #89 firecrawl MCP — 20-я off-phase подкатегория research-tooling (внешние MCP веб-разведки, READ-ONLY); §0 счётчик 84→87 (104→107 total); ADR-019 (RT1–RT9). **Прил. Н v2.24 наследие** — knowledge-graph-tooling: §4.59 #86 graphifyy (user-level скил `~/.claude/skills/graphify/SKILL.md`, CLI `graphifyy`, knowledge graph портала docs+code; `/graphify <command>`; spike 6305 nodes / 6753 edges / 1009 communities, 93% EXTRACTED/7% INFERRED); §0 счётчик 83→84 (103→104 total) + 19-я подкатегория knowledge-graph-tooling; ADR-017 (KG1–KG5). **Прил. Н v2.23 наследие** — C1 marketing-tooling: §4.49 marketing plugin + §4.50 marketingskills + §4.51 brand-voice + §4.52 marketing-ru + §4.53 Яндекс.Метрика MCP + §4.54 Яндекс.Директ+Wordstat MCP + §4.55 Telegram MCP + §4.56 Postiz + §4.57 DataForSEO MCP (DEFERRED) + §4.58 Unisender Go MCP (DEFERRED); §0 счётчик 73→83 (93→103 total) + 18-я подкатегория marketing-tooling (раздел C1); ADR-015; IS9-вет (`docs/security/marketing-vet.md`). **Прил. Н v2.22 наследие** — pg_audit #28 + pg_anonymizer #29 установлены на боевом `liderra.ru` (расширения PostgreSQL фазы 3): §5.1 attribute-блоки #28/#29 + §6 compliance-таблица + §10.4 шаг 2 → ✅ прод; setup-dok `docs/security/pgaudit-anonymizer-setup.md`. **Прил. Н v2.21 наследие** — pg_audit #28 + pg_anonymizer #29 установлены на боевом `liderra.ru` (расширения PostgreSQL фазы 3): §5.1 attribute-блоки #28/#29 + §6 compliance-таблица + §10.4 шаг 2 → ✅ прод; setup-док `docs/security/pgaudit-anonymizer-setup.md`. **Прил. Н v2.21 наследие** — A8 infosec-tooling install-sync: ZAP #68 + Ward #70 установлены портативно 21.05 → §4.43/§4.45 dormant true→false, §4.48 уточнён, setup-доки `docs/security/{zap,ward}-setup.md`; счётчики без изменений (73/93). **Прил. Н v2.20 наследие** — A8 infosec-tooling: §4.43 OWASP ZAP #68 + §4.44 Nuclei #69 + §4.45 Ward #70 + §4.46 pdn-152fz-audit #71 + §4.47 threat-model #72 + §4.48 security-go-live #73; §0 счётчик 67→73 (87→93 total) + 17-я подкатегория infosec-tooling (раздел A8); ADR-014. **Прил. Н v2.19 наследие** — A1 backend-tooling: §4.39 Rector #64 + §4.40 PHP Insights #65 + §4.41 laravel-backend-patterns #66 + §4.42 NightOwl #67 (DEFERRED); §0 счётчик 63→67 (83→87 total) + 16-я подкатегория backend-tooling (раздел A1); ADR-013. **Прил. Н v2.18 наследие** — finance-tooling: §4.36 finance plugin #61 + §4.37 billing-audit #62 + §4.38 ru-tax-accounting #63; §0 счётчик 60→63 + 15-я подкатегория finance-tooling. **Прил. Н v2.17 наследие** — Brain governance Task A3 (ADR-011): §0.1 row template (9 obligatory attributes) + 58 Атрибуты blocks на всех узлах реестра. Дамп-блоки для phase-active (§2.4/§3.5/§5.1 для phase 0/1/3) + inline-блоки для phase-2 (§4.1-§4.4) и off-phase (§4.5-§4.35). dormant=true для #1 PG MCP (replaced), #17 pg_partman (no native Windows PG ext), ruflo §4.10. 6 atomic sub-batches: 1f77134/0718e41/16f7f1c/ca4da69/39231ef/3e73396 + header bump 8170527. Структурный реестр — вход для router-procedure.md (commit 8a2e701) step 3. **Прил. Н v2.16 наследие** — компакция «мозга» finding 3: §0 +«КАНОН СЧЁТЧИКОВ» anchor (Прил. Н §0 — единственный источник числовых счётчиков тулчейна); §12 заголовок — убран stale-счётчик «35». **v2.15 наследие** — §4.10 +status-block «ruflo ИЗОЛИРОВАН 18.05.2026» (live-связи hooks/MCP/daemon отключены, артефакты сохранены, queen-триггер dormant). Счётчики тулчейна без изменений — 60 формализованных позиций + 20 ruflo plugins = 80 total. Rec2 SYSTEM-аудита. **v2.14 наследие** — §4.31–§4.35 (#56 skill-creator / #57 plugin-dev / #58 hookify — authoring-tooling; #59 claude-code-setup / #60 context7 — dev-support — новые тринадцатая и четырнадцатая off-phase подкатегории); §0 счётчик 55→60 (75→80 total). **v2.13 наследие** — §4.30 (#55 discovery-interview, discovery-tooling — новая двенадцатая off-phase подкатегория); §0 счётчик 54→55. **v2.12 наследие** — §4.26/§4.27/§4.28/§4.29 (#51 operations / #52 process-modeling / #53 process-analysis / #54 n8n-mcp DEFERRED, business-process — новая одиннадцатая off-phase подкатегория); §0 счётчик 50→54. **v2.11 наследие** — §4.20 +UI3 (ADR-006 Decision-4 icon-path boundary mirror: Lucide-иконки канонически через `lucide-vue-next` + Vuetify IconSet, raw-SVG MCP — только не-Lucide коллекции). **v2.10 наследие** — §4.23/§4.24/§4.25 (#48 promptfoo / #49 Data Scientist skill / #50 Jupyter MCP DEFERRED, ml-ai-tooling — новая десятая off-phase подкатегория); §0 счётчик 47→50. **v2.9 наследие** — §4.22 (#47 openapi-mcp-server, integration-tooling — новая девятая off-phase подкатегория); §0 счётчик 46→47. **v2.8 наследие** — §4.19/§4.20/§4.21 (#44 Figma MCP / #45 Universal Icons MCP / #46 Design plugin, design-tooling — новая восьмая off-phase подкатегория); §0 счётчик 43→46. **v2.7 наследие** — §4.18 (#43 deptrac, architecture-tooling — 4-й инструмент категории); §0 счётчик 42→43. **v2.6 наследие** — §4.16/§4.17 (#41 CCPM / #42 product-management), новая седьмая off-phase подкатегория project-management; §0 счётчик 40→42. **v2.5 наследие** — §4.15 факт-правка #40 Security Guidance: блокирующий хук (`sys.exit 2`), не warn-only; +SG2 Windows-починка python3-резолва. **v2.4 наследие** — §4.14/§4.15 (#39 Trail of Bits Skills / #40 Security Guidance), новая шестая off-phase подкатегория audit-security; §0 счётчик 38→40. **v2.3 наследие** — §4.11–4.13 (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns), новая пятая off-phase подкатегория architecture-tooling; §0 счётчик 35→38. **v2.2 наследие** — реколлаж ruflo: §4.10 переписан из «entry-point оркестратора уровня −1» в «advisory/automation-подсистема». **v2.1 наследие** — queen-триггер §14. **v2.0 наследие** — §4.10 (новый) «Orchestration layer (ruflo)»: ruflo v3.7.0-alpha.38+ (off-phase, orchestration category). **v1.17 наследие** — §0 счётчик off-phase 3 → 5; итого 33 → 35; §4.8 (новый) — #34 Sentry MCP (`@sentry/mcp-server@0.33.0+`, official; pending Sentry instance deployment Б-1); §4.9 (новый) — #35 Redis MCP (`@modelcontextprotocol/server-redis@2025.4.25`, deprecated Anthropic source, рабочий с Memurai localhost:6379). Категория **debug-runtime**, отдельная от UI-пула. v1.16 наследие — §9.2 «Motion runtime библиотеки» переформулирован из regulatory denylist в technical guidance) |
|
||
| Главное ТЗ | [docs/CRM_bp-gr_Инструкция_v8_5.md](docs/CRM_bp-gr_Инструкция_v8_5.md) (v8.5 от 07.05.2026 — реализация 27 решений аудита C; in-place hygiene v1.20 от 08.05.2026 поздний вечер: §2.4/§5.5/§5.6/§6.5/§11/§20.12.3/§21.1/§27.1 синхронизированы под schema v8.6 двустадийный dedup) |
|
||
| Схема БД | [db/schema.sql](db/schema.sql) (**v8.19 от 11.05.2026** — Plan 4 (Billing+CSV+Admin): +1 таблица `supplier_csv_reconcile_log` SaaS-level, +3 колонки `tenants.delivered_in_month` / `lead_charges.charge_source` / `supplier_leads.recovered_from_csv_at`, +3 индекса, +2 CHECK. **Schema baseline (commit-факт после Audit #3 P2 header sync):** 63 базовые таблицы (61 regular + 2 partitioned parents: deals + supplier_lead_costs) + 12 партиций + 117 индексов + 39 RLS-политик + 5 функций (`audit_block_mutation`, `audit_chain_hash`, `calc_lead_score`, `report_jobs_log_export`, `set_pd_subject_request_deadline`) + 13 триггеров. **Dev `liderra` factual** после `migrate:fresh` + накопленных `partitions:create-months`: **75 root tables + 102 partition children + 289 indexes + 39 RLS + 5 user funcs + 19 triggers + 0 dev roles** (на prod 5 ролей через `db/00_create_roles.sql`). Verified 2026-05-12 audit Phase 3.) |
|
||
| Открытые вопросы | [docs/Открытые_вопросы_v8_3.md](docs/Открытые_вопросы_v8_3.md) (**v1.83 от 13.05.2026 (day +1) — CTO-19 ✅ closed** через Lucide migration: `npm i lucide-vue-next ^1.0.0` + custom Vuetify `IconSet` в `app/resources/js/plugins/vuetify.ts` с 103-entry mapping (78 user-grep'нутых mdi-* + 25 Vuetify-internal defaults). 51 view untouched. CLAUDE.md §2 «Иконки: Lucide» бренд-spec compliance achieved. **Сводка §0 после v1.83: 87 продуктовых / 71 ✅ / 5 🟦 / 11 ⏸ / 1 P0 + 5 P1 + 3 P2 + 2 P3**. **Регрессия: Pest --parallel 742/739/0/3 / Vitest 88 files / 683 passed + 3 skipped / Vite build 3.52s / axe-core /admin/billing 0 iconography violations**. Spec/plan в docs/superpowers/. v1.82 — Catch-up bump v1.77 → v1.82. v1.77 — Sprint 4 «Audit tail» (Pest 421 / Vitest 416). Section ## 13 collision fixed: Plan 4 → ## 14, Аудит C ## 13) |
|
||
| **Брендбук** | [liderra_v8_handoff/docs/BRANDBOOK_v2.md](liderra_v8_handoff/docs/BRANDBOOK_v2.md) **(v2 Forest от 07.05.2026)** — старый `docs/brandbook.md` v1.1 удалён 08.05.2026 |
|
||
| **Дизайн-handoff (токены, компоненты, 25 экранов)** | [liderra_v8_handoff/docs/DEVELOPER_HANDOFF.md](liderra_v8_handoff/docs/DEVELOPER_HANDOFF.md) (v8 Forest от 07.05.2026) — **только дизайн/токены/компоненты**; функционал и состав экранов — по ТЗ v8.5 |
|
||
| Анализ оригинала | [docs/Analiz_originala_v8_3.md](docs/Analiz_originala_v8_3.md) (Прил. М v1.1) |
|
||
| ТЗ рекламного лендинга | [лендинг/TZ_landing_v1_0.md](лендинг/TZ_landing_v1_0.md) (v1.0 от 08.05.2026, ⏸ Б-1 для продакшена) |
|
||
| Состав архива | [docs/README_АРХИВ_v8_5.md](docs/README_АРХИВ_v8_5.md) (v8.5 от 07.05.2026) |
|
||
|
||
Этот файл — **оперативная карта**. При противоречии — приоритет у источников выше.
|
||
|
||
---
|
||
|
||
## 1. Приоритет правил при конфликте
|
||
|
||
```
|
||
0. Pravila §12 — Superpowers hard rule (инвокация skills первой) ← неотменяемо §9
|
||
↓
|
||
1. docs/Pravila_raboty_Claude_v1_1.md (продуктовые правила, утверждены заказчиком)
|
||
↓
|
||
2a. CLAUDE.md (общая оперативная карта)
|
||
2b. docs/Tooling_v8_3.md Прил. Н (детальный реестр инструментов)
|
||
↑ оба operational maps уровня 2; при конфликте между ними — приоритет CLAUDE.md
|
||
↓
|
||
3. docs/Plugin_stack_rules_v1.md (координация Superpowers + Frontend Design — gate, фазы, разделения)
|
||
↓
|
||
4. .claude/settings.json (хуки, permissions — исполняется средой)
|
||
↓
|
||
5. memory/*.md (динамическая память между сессиями)
|
||
↓
|
||
6. Прочие плагины (claude-md-management, ui-ux-pro-max и т.п.) — поведенческие подсказки
|
||
```
|
||
|
||
При любом противоречии — выбирается верхний уровень. **§12 и §14 правил Claude — два explicit hard-правила в Pravila; §9 «Отступления» к ним не применяется** (см. Pravila §12.4 и §14.5). Дополнительно §13.9 и §13.10 Pravila — **transitive hard-rule** через hard-link на нарушения PSR_v1 R10/R14 (см. Pravila §13.6 tier-таблицу). Plugin_stack_rules_v1 (уровень 3) — координирующий слой между двумя плагинами Claude; ниже Pravila/CLAUDE.md/Tooling, выше settings.json. **Tooling Прил. Н** (уровень 2b, добавлен в v1.85) — детальный реестр инструментов; alongside CLAUDE.md (оба operational maps), но при прямом конфликте между ними побеждает CLAUDE.md как корневая карта Claude Code.
|
||
|
||
**Hard-rules вне §9 «Отступления»** (Pravila): §12 (Superpowers — инвокация skill ПЕРВОЙ), §14 (Ruflo Queen routing — триггер queen/королева), **§15** (параллельные сессии — 15.1 субагенты+git Sonnet/Opus only, 15.2 нормативка+pre-flight sync с 8-позиционным списком, 15.3 cross-refs). Эти три параграфа Pravila — explicit override-floor под §9; transitive hard-rule через §13 — координация Plugin_stack_rules_v1.
|
||
|
||
**Scope этой цепочки (v1.85+):** общая 7-уровневая **файловая/слоевая** иерархия (уровень 2 разделён на 2a CLAUDE.md + 2b Tooling — оба operational maps). Не дублирует:
|
||
|
||
- **Pravila §0** — внутрипараграфный приоритет внутри Pravila (§1–§13).
|
||
- **PSR_v1 R0.1** — scope головенства stack'а внутри уровней 4–6 этой цепочки.
|
||
- **Tooling §7** — синхронная копия этой цепочки для Tooling-читателей.
|
||
|
||
---
|
||
|
||
## 2. Стек проекта
|
||
|
||
| Слой | Что |
|
||
|---|---|
|
||
| Backend | PHP 8.3 + **Laravel 13** (мажор переоткрыт 08.05.2026 поздний вечер: при `composer create-project laravel/laravel` без `^11` Composer подтянул свежайшую 13.7; live-проверка совместимости — Boost v2.4.6, Larastan v3.9.6, Pest v4.7.0, IDE Helper v3.7.0, Pint v1.29 работают; принято заказчиком) |
|
||
| Frontend | Vue 3 + **Vuetify 3** (НЕ Tailwind, НЕ Inertia, НЕ Livewire, НЕ Filament) |
|
||
| БД | PostgreSQL 16. Метрики схемы (таблицы / партиции / индексы / RLS-политики / функции / триггеры) — канон в header [db/schema.sql](db/schema.sql) + [db/CHANGELOG_schema.md](db/CHANGELOG_schema.md); CLAUDE.md числа не дублирует (finding 3). 5 ролей БД на prod через `db/00_create_roles.sql` (`crm_supplier_worker` BYPASSRLS — Plan 3 sharing-flow + Plan 4 джобы); на dev — `postgres` superuser. |
|
||
| Кэш / очереди | Redis 7 |
|
||
| Pooler | PgBouncer (transaction pooling) |
|
||
| Облако | Yandex Cloud, регион `ru-central1` (Москва) |
|
||
| SSO админов | Yandex 360 |
|
||
| Email | Unisender Go (SMTP-relay) |
|
||
| Sentry | self-hosted в Yandex Cloud |
|
||
| Helpdesk | JivoSite |
|
||
|
||
**Шрифты:** Inter (UI, axis `opsz` 14..32), JetBrains Mono (numerics с `tnum`, код). **Иконки:** Lucide. **Палитра v8 Forest:** Teal `#0F6E56` (primary, неоспариваемый), `#F6F3EC` warm ivory (page bg), `#012019` теало-нуар (sidebar). 14 OKLCH-статусов в [BRANDBOOK_v2 §3.6](liderra_v8_handoff/docs/BRANDBOOK_v2.md) — **палитра используется**, но мапить на 14 slug'ов из [db/schema.sql:2076](db/schema.sql#L2076) (источник истины для статусов воронки — schema/ТЗ §6.4, не handoff). **A11y:** WCAG 2.1 AA. **Animation default stack (рекомендация, не hard-rule с v1.88):** Vue native `<Transition>` / `<TransitionGroup>` + Vuetify transitions (`v-fade`, `v-slide-y`, `v-scale`, `v-expand`, `v-dialog-transition`) + CSS `@keyframes` + `prefers-reduced-motion` + View Transitions API (Chrome 111+ / Safari 18+). Motion-runtime библиотеки (`motion-v`, `gsap`, `anime.js`, `lottie-web`, `popmotion`, `@motionone/dom`) — разрешены к установке без обоснования. `framer-motion` — **technical block** (React-only peerDep на `react+react-dom`, runtime crash в Vue физически), не regulatory rule — см. [Tooling §9.2](docs/Tooling_v8_3.md) technical guidance.
|
||
|
||
---
|
||
|
||
## 3. Карта инструментов — «когда что использовать»
|
||
|
||
Полный реестр с командами установки и конфликтами — [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md). Здесь — оперативная карта для частых задач.
|
||
|
||
### 3.1. Фаза 0 — документация (9 активных)
|
||
|
||
| # | Задача | Инструмент | Команда |
|
||
|---|---|---|---|
|
||
| 1 | ~~SQL-запрос к dev-БД~~ | ~~PostgreSQL MCP~~ | заменён #10 Boost (см. §3.2) |
|
||
| 2 | Открыть/проверить `web/*.html` | Playwright MCP | через MCP |
|
||
| 3 | Issues / PR | GitHub MCP | через MCP |
|
||
| 4 | Линт `.md` | markdownlint-cli2 | `npm run lint:md` |
|
||
| 5 | Орфография `.md` | cspell | `npm run spell` |
|
||
| 6 | Проверка ссылок в `.md` | lychee | `npm run links` |
|
||
| 7 | Линт CSS в прототипах | Stylelint | `npm run lint:css` |
|
||
| 8 | Поиск секретов в diff | gitleaks | pre-commit hook |
|
||
| 9 | A11y проверка прототипов | Pa11y | `npm run a11y` |
|
||
|
||
### 3.2. Фаза 1 — старт Laravel (+8 нетто, итого 17)
|
||
|
||
| # | Задача | Инструмент | Команда |
|
||
|---|---|---|---|
|
||
| 10 | SQL / Eloquent / docs Laravel | **Laravel Boost** (заменяет PG MCP) | через MCP-tools Boost'а |
|
||
| 11 | Code style PHP | Laravel Pint | `composer pint` |
|
||
| 12 | Статанализ PHP | Larastan | `composer stan` (CI) |
|
||
| 13 | CVE на install | Roave/SecurityAdvisories | автоматически на `composer install` |
|
||
| 14 | IDE-stubs PHP | Laravel IDE Helper | `php artisan ide-helper:generate` |
|
||
| 15 | Линт миграций PostgreSQL | squawk | в pre-commit для `database/migrations/*.php` |
|
||
| 16 | Форматирование SQL | pgFormatter | хук на правке `db/schema.sql` |
|
||
| 17 | Партиционирование PG | pg_partman | расширение БД |
|
||
| 18 | Тесты PHP | **Pest 4** (CTO-12 переоткрыт+закрыт 08.05.2026 поздний вечер; backward-compat с 3, бонус: browser/stress/mutation v2) | `composer test` |
|
||
|
||
### 3.3. Фаза 2 — старт frontend (+7, итого 24)
|
||
|
||
| # | Задача | Инструмент | Команда |
|
||
|---|---|---|---|
|
||
| 19 | Поведение Claude (TDD/debug/review/plans/parallel) | Superpowers v5.1.0 — все 14 skills | автоматически (override §2.2/§4.5/§8.4 разрешён, см. Pravila §11) + **§12 hard rule: skill инвокируется ПЕРВЫМ** для подходящих задач (карта §12.2 правил Claude); координация с #30 Frontend Design — см. [docs/Plugin_stack_rules_v1.md](docs/Plugin_stack_rules_v1.md) |
|
||
| 20 | Vue language server | Volar | VSCode-расширение |
|
||
| 21 | Type-check Vue | vue-tsc | `npm run type-check` (CI only) |
|
||
| 22 | Линт + форматтер JS/Vue (связка) | ESLint + Prettier + config-prettier + plugin-vue | `npm run lint:vue`, `npm run format` |
|
||
| 23 | Тесты Vue | Vitest | `npm run test:vue` |
|
||
| 24 | Каталог компонентов | Histoire (НЕ Storybook) | `npm run story` |
|
||
| 30 | Доменная база UI (компоненты, паттерны, состояния, a11y-принципы) | **Frontend Design plugin** (Anthropic, paired со Superpowers) | автоматически через `~/.claude/settings.json`; **обязательный стек-фильтр** Vue+Vuetify (см. [Plugin_stack_rules_v1.md](docs/Plugin_stack_rules_v1.md) Правило 6) |
|
||
| 31 | Резерв-библиотека UI (стили / палитры / UX-гайдлайны / графики) — *off-phase* | **UI UX Pro Max** | off-phase, UI-пул — Tooling §4.5; активация только через PSR_v1 R14.3 pipeline, не решатель |
|
||
| 32 | Генератор стартовых UI-шаблонов (LLM-based) — *off-phase* | **21st.dev Magic MCP** | off-phase, UI-пул — Tooling §4.6; активация только через PSR_v1 R14.4 pipeline; Pa11y обязателен |
|
||
| 33 | Правки CLAUDE.md — обязательный канал (§5 п.10) — *off-phase* | **claude-md-management** | off-phase, инфраструктура — Tooling §4.7; PSR_v1 R10.1 блок 1 |
|
||
| 34 | Отладка production runtime errors (self-hosted Sentry) — *off-phase* | **Sentry MCP** | off-phase, debug-runtime — Tooling §4.8; READ-ONLY; pending Б-1 |
|
||
| 35 | Отладка Redis/Memurai очередей, кэша, Pest-race — *off-phase* | **Redis MCP** | off-phase, debug-runtime — Tooling §4.9; READ-ONLY |
|
||
| 36 | Архитектурные решения (ADR) + enforcement — *off-phase* | **adr-kit** | off-phase, architecture-tooling — Tooling §4.11; `adr-judge` lefthook job 9 |
|
||
| 37 | C4 / architecture-диаграммы — *off-phase* | **mermaid-skill** | off-phase, architecture-tooling — Tooling §4.12 |
|
||
| 38 | Справочник архитектурных паттернов — *off-phase* | **architecture-patterns** | off-phase, architecture-tooling — Tooling §4.13 |
|
||
| 39 | Глубокий аудит безопасности (diff / supply-chain / варианты) — *off-phase* | **Trail of Bits Skills** | off-phase, audit-security — Tooling §4.14 |
|
||
| 40 | Inline-блокировка уязвимых паттернов при правке — *off-phase* | **Security Guidance** | off-phase, audit-security — Tooling §4.15; блокирующий PreToolUse-хук (`sys.exit 2`) |
|
||
| 41 | PRD → эпик → issue → код, управление dev-проектом — *off-phase* | **CCPM** | off-phase, project-management — Tooling §4.16 |
|
||
| 42 | PRD / роадмап / метрики — продуктовые церемонии — *off-phase* | **product-management** | off-phase, project-management — Tooling §4.17 |
|
||
| 43 | Контроль направления зависимостей / границ слоёв — *off-phase* | **deptrac** | off-phase, architecture-tooling — Tooling §4.18; lefthook job 10 |
|
||
| 44 | Извлечение дизайн-токенов из Figma — **DEFERRED** — *off-phase* | **Figma MCP** | off-phase, design-tooling — Tooling §4.19; нет Figma-аккаунта |
|
||
| 45 | Поиск/вставка SVG-иконок (не-Lucide коллекции) — *off-phase* | **Universal Icons MCP** | off-phase, design-tooling — Tooling §4.20; ADR-006 (Lucide → `lucide-vue-next`) |
|
||
| 46 | Дизайн-критика, UX-копирайт, research synthesis — *off-phase* | **Design plugin** | off-phase, design-tooling — Tooling §4.21; pre-code, Pa11y остаётся a11y SoT |
|
||
| 47 | Introspection OpenAPI/REST-спек интеграций — *off-phase* | **openapi-mcp-server** | off-phase, integration-tooling — Tooling §4.22; READ-ONLY |
|
||
| 48 | Тестирование LLM-промптов (eval) — *off-phase* | **promptfoo** | off-phase, ml-ai-tooling — Tooling §4.23; только вручную/CI, никогда в хук |
|
||
| 49 | Классический ML-воркфлоу — *off-phase* | **Data Scientist skill** | off-phase, ml-ai-tooling — Tooling §4.24 |
|
||
| 50 | Исполняемые Jupyter-ноутбуки — **DEFERRED** — *off-phase* | **Jupyter MCP** | off-phase, ml-ai-tooling — Tooling §4.25; нет Python ML-окружения |
|
||
| 51 | Документирование / оптимизация бизнес-процессов — *off-phase* | **operations** | off-phase, business-process — Tooling §4.26 |
|
||
| 52 | Моделирование to-be процесса (BPMN 2.0) — *off-phase* | **process-modeling** | off-phase, business-process — Tooling §4.27 |
|
||
| 53 | Анализ as-is процесса (discovery из кода) — *off-phase* | **process-analysis** | off-phase, business-process — Tooling §4.28 |
|
||
| 54 | Workflow-движок автоматизации — **DEFERRED** — *off-phase* | **n8n-mcp** | off-phase, business-process — Tooling §4.29; n8n не в стеке |
|
||
| 55 | Интервью-discovery до проектирования (FEATURE / SYSTEM) — *off-phase* | **discovery-interview** | off-phase, discovery-tooling — Tooling §4.30 |
|
||
| 56 | Создание standalone-скилов + eval — *off-phase* | **skill-creator** | off-phase, authoring-tooling — Tooling §4.31 |
|
||
| 57 | Разработка Claude-плагинов — *off-phase* | **plugin-dev** | off-phase, authoring-tooling — Tooling §4.32 |
|
||
| 58 | Генерация хуков — только по явному `/hookify` — *off-phase* | **hookify** | off-phase, authoring-tooling — Tooling §4.33; HK1 pre-check коллизии хуков |
|
||
| 59 | Рекомендатель Claude Code automations (read-only) — *off-phase* | **claude-code-setup** | off-phase, dev-support — Tooling §4.34 |
|
||
| 60 | Актуальная документация библиотек / SDK — *off-phase* | **context7** | off-phase, dev-support — Tooling §4.35; первый выбор для доков библиотеки |
|
||
| 61 | Финансы/бухгалтерия (сверка, variance, US-GAAP, проводки) — *off-phase* | **finance plugin** | off-phase, finance-tooling — Tooling §4.36; homed C7, cross-ref C6; SOX not-applicable РФ |
|
||
| 62 | Аудит денежной корректности биллинга (инварианты) — *off-phase* | **billing-audit** | off-phase, finance-tooling — Tooling §4.37; project-скил, раздел C6 |
|
||
| 63 | РСБУ/НК РФ контекст (НДС/УСН, налоговая база) — *off-phase* | **ru-tax-accounting** | off-phase, finance-tooling — Tooling §4.38; project-скил, раздел C7 |
|
||
| 64 | Авто-рефакторинг / version-upgrade PHP-кода — *off-phase* | **Rector** + rector-laravel | off-phase, backend-tooling — Tooling §4.39; Composer dev-dep, manual/CI (не блокирующий), раздел A1 |
|
||
| 65 | Метрики качества / сложности / архитектуры кода — *off-phase* | **PHP Insights** | off-phase, backend-tooling — Tooling §4.40; Composer dev-dep, on-demand/CI (не блокирующий, BT9), раздел A1 |
|
||
| 66 | Backend-конвенции Лидерры (controller/service/job, RLS, деньги) — *off-phase* | **laravel-backend-patterns** | off-phase, backend-tooling — Tooling §4.41; project-скил, раздел A1 |
|
||
| 67 | Коррелированный runtime-трейс self-hosted — **DEFERRED** — *off-phase* | **NightOwl** | off-phase, backend-tooling — Tooling §4.42; pending Б-1/Linux (нет pcntl/posix), раздел A1 |
|
||
| 68 | Глубокая боевая проверка работающего портала (DAST) — *off-phase* | **OWASP ZAP** | off-phase, infosec-tooling — Tooling §4.43; MCP DAST, цель 127.0.0.1 (IS8); установлен портативно 21.05 (`bin/ZAP_2.17.0` + portable JRE 17, `docs/security/zap-setup.md`); раздел A8 |
|
||
| 69 | Известные уязвимости / открытые двери / слабый TLS снаружи — *off-phase* | **Nuclei** | off-phase, infosec-tooling — Tooling §4.44; CLI `bin/nuclei.exe`, цель 127.0.0.1 (не localhost); раздел A8 |
|
||
| 70 | Безопасность настроек Laravel (.env/config/cookie/secrets/deps) — *off-phase* | **Ward** | off-phase, infosec-tooling — Tooling §4.45; Go CLI, заменил Enlightn (abandoned/L13); установлен портативно 21.05 (`bin/ward.exe` v0.4.1, `docs/security/ward-setup.md`); раздел A8 |
|
||
| 71 | Аудит ПДн / соответствие 152-ФЗ — *off-phase* | **pdn-152fz-audit** | off-phase, infosec-tooling — Tooling §4.46; project-скил, 2 режима; раздел A8 |
|
||
| 72 | Моделирование угроз STRIDE / что защищать перед публикацией — *off-phase* | **threat-model** | off-phase, infosec-tooling — Tooling §4.47; project-скил, going-public; раздел A8 |
|
||
| 73 | Прогон безопасности перед релизом (go/no-go) — *off-phase* | **security-go-live** | off-phase, infosec-tooling — Tooling §4.48; project-скил, оркеструет #68-72 + D3; раздел A8 |
|
||
| 74 | Маркетинговый контент и кампании (8 скилов) — *off-phase* | **marketing** | off-phase, marketing-tooling — Tooling §4.49; первичный решатель C1, раздел C1 |
|
||
| 75 | Резерв-библиотека маркетинговых фреймворков (40 скилов) — *off-phase* | **marketingskills** | off-phase, marketing-tooling — Tooling §4.50; материал/резерв-библиотека (модель UPM), MKT3, раздел C1 |
|
||
| 76 | Единый тон бренда Лидерры (вербальный) — *off-phase* | **brand-voice** | off-phase, marketing-tooling — Tooling §4.51; Anthropic partner-плагин, раздел C1 |
|
||
| 77 | РФ-каналы / лендинг / 152-ФЗ маркетинг — *off-phase* | **marketing-ru** | off-phase, marketing-tooling — Tooling §4.52; self-authored project-скил, eval 20/20, раздел C1 |
|
||
| 78 | Веб-аналитика (чтение Яндекс.Метрики) — *off-phase* | **Яндекс.Метрика MCP** | off-phase, marketing-tooling — Tooling §4.53; READ-ONLY, `atomkraft/yandex-metrika-mcp`; раздел C1 |
|
||
| 79 | Подбор ключевых слов через Wordstat — *off-phase* | **Яндекс.Директ+Wordstat MCP** | off-phase, marketing-tooling — Tooling §4.54; **только Wordstat**, Direct-мутации отключены per IS9; раздел C1 |
|
||
| 80 | Постинг в Telegram-каналы — *off-phase* | **Telegram MCP** | off-phase, marketing-tooling — Tooling §4.55; выделенный аккаунт, раздел C1 |
|
||
| 81 | Планировщик соцсетей (VK + Telegram) — *off-phase* | **Postiz** | off-phase, marketing-tooling — Tooling §4.56; self-host AGPL-3.0 internal, раздел C1 |
|
||
| 82 | SEO-данные по РФ (платный) — **DEFERRED** — *off-phase* | **DataForSEO MCP** | off-phase, marketing-tooling — Tooling §4.57; post-Б-1, раздел C1 |
|
||
| 83 | Email-маркетинг через Unisender Go (своя обёртка) — **DEFERRED** — *off-phase* | **Unisender Go MCP** | off-phase, marketing-tooling — Tooling §4.58; нет upstream MCP, раздел C1 |
|
||
| 86 | Knowledge graph портала (docs + code) — *off-phase* | **graphifyy** | off-phase, knowledge-graph-tooling — Tooling §4.59; user-level скил `/graphify`; ADR-017 (KG1–KG5) |
|
||
| 87 | Веб-разведка: ранжированный ответ-с-источниками (sonar) — *off-phase* | **perplexity MCP** | off-phase, research-tooling — Tooling §4.60; READ-ONLY, ключ `PERPLEXITY_API_KEY` в env; ADR-019; связка L17 |
|
||
| 88 | Семантическое обнаружение источников по смыслу — *off-phase* | **exa MCP** | off-phase, research-tooling — Tooling §4.61; READ-ONLY, ключ `EXA_API_KEY` в env; ADR-019; связка L17 |
|
||
| 89 | Глубокое чтение/обход страниц (scrape/crawl/extract) — *off-phase* | **firecrawl MCP** | off-phase, research-tooling — Tooling §4.62; READ-ONLY, ключ `FIRECRAWL_API_KEY` в env; ADR-019; связка L17 |
|
||
|
||
### 3.4. Фаза 3 — pre-production (+5, итого 29)
|
||
|
||
| # | Задача | Инструмент | Команда |
|
||
|---|---|---|---|
|
||
| 25 | SAST | Semgrep + Semgrep MCP | `npm run sast` (CI) |
|
||
| 26 | Скан Docker-образов | Trivy | в CI перед push в Yandex Container Registry |
|
||
| 27 | CVE-PR авто | GitHub Dependabot | `.github/dependabot.yml` |
|
||
| 28 | Audit-логи PostgreSQL | pg_audit | ✅ **на проде liderra.ru** (22.05.2026); `pgaudit.log='ddl, role, write'`, `log_parameter=off` — [setup](docs/security/pgaudit-anonymizer-setup.md) |
|
||
| 29 | Маскирование ПДн в дампах | pg_anonymizer | ✅ **на проде liderra.ru** (22.05.2026); anon 3.0.13/Rust, загрузка по требованию `LOAD 'anon'` — [setup](docs/security/pgaudit-anonymizer-setup.md) |
|
||
|
||
Нумерация: #1–#29 — phase-slot фаз 0–3; #30 Frontend Design — phase-2 (post-MVP, paired stack); #31–#60 — off-phase tools (14 подкатегорий, формализованы post-факт, см. §6). Off-phase tools — вне фазовой раскладки; routing «задача → off-phase узел» — §3.7 + [docs/routing-off-phase.md](docs/routing-off-phase.md). **Полный реестр, счётчики и нумерация — канон в [Tooling Прил. Н §0](docs/Tooling_v8_3.md)** (CLAUDE.md счётчик не дублирует — finding 3 SYSTEM-аудита 18.05.2026).
|
||
|
||
### 3.5. Off-phase: ruflo — advisory/automation-подсистема (ИЗОЛИРОВАН, dormant)
|
||
|
||
> **СТАТУС 18.05.2026: ИЗОЛИРОВАН (dormant).** ruflo отрезан от активного потока Claude без удаления артефактов (Rec2 SYSTEM-аудита, «изолируй, не удаляй»). Live-связи отключены: оба `tools/ruflo-*-hook.mjs` сняты из `.claude/settings.json`; `ruflo` MCP-server удалён из `.mcp.json`; PM2 `ruflo-daemon` остановлен. Queen-триггер §14.1 — **dormant** (промпт с `queen`/`королева` исполняется напрямую). Артефакты (npm-пакет, файлы хуков, memory) сохранены.
|
||
|
||
ruflo (npm `ruflo` v3.7.0-alpha.38+) — off-phase advisory/automation-подсистема (20 plugins, ~210 MCP tools, Queen-led hive-mind), сейчас не задействована. Историческое описание архитектуры активного периода, runtime-state и план реактивации — [Tooling §4.10](docs/Tooling_v8_3.md), Pravila §14 / §14.9, memory `feedback_ruflo_isolated.md` + `project_ruflo_integration.md`.
|
||
|
||
### 3.6. Brain governance — router procedure (ADR-011)
|
||
|
||
Single SoT для «task → node(s)» routing procedure — [docs/router-procedure.md](docs/router-procedure.md) v1.0 (5-шаговая процедура: hard-floor check Pravila §12/§14/§15 → классификация → trigger-based node selection через Tooling Прил. Н §4.X 9-attribute registry → canonical chain check L1-L12 → execution). Реализована brain governance Phase A/B/C (ADR-011) 19.05.2026; observer infrastructure пишет evidence в `docs/observer/episodes-YYYY-MM.jsonl` per session (Stop-hook), факторный анализ через `/brain-retro` skill. 4 контролёра (lefthook jobs 11-14, brain governance С1-C4): l1-watcher / cross-ref-checker / observer-of-observer / status-md-generator. Поведенческое правило «не использован ≠ проблема» — Pravila §16.4. Spec: `docs/superpowers/specs/2026-05-19-brain-governance-design.md`. Plan: `docs/superpowers/plans/2026-05-19-brain-governance.md`.
|
||
|
||
**Observer schema v2 (2026-05-19, factor-analysis extension, ADR-011 amend):** эпизод несёт `decision_provenance` (автономно / навязанный метод + контрфактуал), `environment` (`economy_level` / `model` / `post_compaction` / `session_turn` / `parallel_session`), `task_size`, `prompt_signal`; `outcome` при записи `unknown` (уточняется `/brain-retro`); события расширены `hook_fired` / `interrupt` / `retry` / `time_burn` / `parse_gap`. Stop-хук routing-gate (`tools/observer-routing-detector.mjs` + `routingGateDecision`) возвращает `decision: block` при навязанном методе без routing-тега — обойти нельзя. C5 observer-coverage-checker (lefthook job 15, warn-only) — 5-й контролёр, флагует пропуски наблюдателя + целостность регистрации; surface в STATUS.md. `/brain-retro` использует `tools/brain-retro-analyzer.mjs` (детерминированный outcome inference + факторная матрица). Pravila §16.7/§16.8. Spec: `docs/superpowers/specs/2026-05-19-observer-factor-analysis-design.md`. Plan: `docs/superpowers/plans/2026-05-19-observer-factor-analysis.md`. **Phase 1.1 (2026-05-19):** `decision_provenance.kind` — 3-е значение `user_chose_from_options` (collaborative-choice: заказчик выбрал вариант, предложенный Claude); детектор `tools/observer-choice-detector.mjs`, routing-gate этот kind не блокирует. Pravila §16.2/§16.7. Plan: `docs/superpowers/plans/2026-05-19-observer-factor-analysis-phase-1-1.md`.
|
||
|
||
**Missed activations (2026-05-21, Pravila §16.4 v1.36 conditional rule):** правило «не использован ≠ проблема» стало условным. Узел без активации — не алерт **только если профильной задачи не было**; если эпизод с профильной `task_classification` (маппинг `tools/observer-classification-map.json`) шёл при `node_chosen === 'direct'` и был доступен non-dormant рекомендуемый узел — это **missed activation** (промах роутинга, сигнал, не блок). Детектор `tools/missed-activations.mjs` (чистый), DEFERRED-исключения `tools/.node-dormancy.json` (генерится `tools/extract-node-dormancy.mjs`, lefthook job `extract-node-dormancy`, двойной сигнал `dormant: true` ИЛИ `DEFERRED` в boundaries). Surface: STATUS.md C5 (`missed_activations: N`, ⚠️ при N>0) + `/brain-retro` (per-node/per-classification breakdown). Порог — одиночный эпизод. ADR-011 Amendment 2026-05-21. Plan: `docs/superpowers/plans/2026-05-21-observer-missed-activations.md`.
|
||
|
||
### 3.7. Off-phase routing-аид
|
||
|
||
Quick-reference «триггер задачи → off-phase узел» для 30 узлов #31-#60 + ruflo + infrastructure — [docs/routing-off-phase.md](docs/routing-off-phase.md) v1.0+. Закрывает Rec3 SYSTEM-аудита 18.05.2026 («routing-знание было рассыпано по CLAUDE.md §3 + PSR_v1 R10.1 + ADR + конфликт-коды — единого "задача X → узел Y" для off-phase не было»). Там же — 12 канонических связок 2+ узлов (L1–L12, Rec4: brainstorming-chain, security-слой, project-management, runtime-debug, ML-trio и т.д.) + список anti-pattern связок. Полная регламентация — PSR_v1 R15 «Off-phase routing» (v3.14+). NB: router-procedure.md (§3.6) — общая 5-шаговая процедура; routing-off-phase.md (this) — конкретные триггеры и связки для off-phase узлов; они **взаимодополняют**, не дублируют.
|
||
|
||
### 3.8. Заметки к `.claude/settings.json`
|
||
|
||
- **Permissions**: список allow/deny — для фазы 0 (документация + HTML-прототипы). При переходе в фазу 1 добавить `Bash(composer:*)`, `Bash(php artisan:*)`.
|
||
- **Hooks**: один хук на авто-fix Markdown через `markdownlint-cli2` (исключая корневой `CLAUDE.md`, чтобы не зацикливаться). Pre-commit (gitleaks, link-check) — **не здесь**, отдельно через git hooks (lefthook).
|
||
- **Источник истины**: см. [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) Прил. Н §8 — source of truth для всех конфигов проекта.
|
||
- **`$schema`**: канонический URL — `https://json.schemastore.org/claude-code-settings.json` (только этот валиден для Claude Code; кастомные `_comments` / `comment` в файле — нельзя, схема их отвергает).
|
||
|
||
### 3.9. Project-local AI-агенты (v2.28)
|
||
|
||
В `.claude/agents/` лежат 4 узко-специализированных Sonnet 4.6 агента, которым контроллер ОБЯЗАН делегировать соответствующие классы задач — формальный контракт оформлен в [Pravila §2.4](docs/Pravila_raboty_Claude_v1_1.md). Регистрация в `docs/registry/nodes.yaml` (`subcategory: project-agent`) для missed-activation детектора. Project-агенты **не входят в Tooling канон счётчиков** (#1-#83 — реестр инструментов), их ID идут #84+ с атрибутом `agent_file:`.
|
||
|
||
| ID | Агент | Когда зовём | Файл |
|
||
|----|-------|-------------|------|
|
||
| #84 | `normative-sync` | После закрытия крупной off-phase интеграции / brain governance артефакта / принятого ADR — синк 4 нормативных файлов | [.claude/agents/normative-sync.md](.claude/agents/normative-sync.md) |
|
||
| #85 | `prod-deploy-validator` | Перед любым выкатом на боевой liderra.ru — 8 SSH pre-flight проверок, GO/NO-GO вердикт | [.claude/agents/prod-deploy-validator.md](.claude/agents/prod-deploy-validator.md) |
|
||
| — | `pest-parallel-debugger` | Диагностика Pest 4 `--parallel` failures (квирки 72/73/77) | [.claude/agents/pest-parallel-debugger.md](.claude/agents/pest-parallel-debugger.md) |
|
||
| — | `rls-reviewer` | RLS-compliance review при правке `db/schema.sql` или `db/migrations/` | [.claude/agents/rls-reviewer.md](.claude/agents/rls-reviewer.md) |
|
||
|
||
Полный perimeter триггеров — в `description`-frontmatter каждого файла; настоящая таблица — индекс контракта, не дублирующая декларация. Спек обоих новых агентов: [docs/superpowers/specs/2026-05-24-controller-offload-agents-design.md](docs/superpowers/specs/2026-05-24-controller-offload-agents-design.md).
|
||
|
||
---
|
||
|
||
## 4. Команды быстрого доступа
|
||
|
||
```bash
|
||
# Документация (фаза 0, активно сейчас)
|
||
npm run lint:md # markdownlint
|
||
npm run spell # cspell
|
||
npm run links # lychee
|
||
npm run a11y # Pa11y
|
||
npm run check:docs # все 4 выше параллельно
|
||
|
||
# Безопасность (Windows: бинарь в bin/, не в PATH; Linux/Mac CI ставят gitleaks через brew/apt)
|
||
./bin/gitleaks.exe detect # ручной запуск
|
||
./bin/gitleaks.exe protect --staged # в pre-commit (через lefthook)
|
||
|
||
# Backend (фаза 1+)
|
||
composer pint # форматтер
|
||
composer stan # Larastan
|
||
composer test # Pest или PHPUnit
|
||
php artisan boost:mcp # запуск MCP-сервера Boost вручную
|
||
|
||
# Frontend (фаза 2+)
|
||
npm run lint:vue
|
||
npm run type-check
|
||
npm run test:vue
|
||
npm run story # Histoire
|
||
|
||
# Pre-prod (фаза 3+)
|
||
npm run sast # Semgrep
|
||
trivy image liderra:latest
|
||
```
|
||
|
||
---
|
||
|
||
## 5. Что НЕ делать
|
||
|
||
1. **Не подключать Boost к production DB.** `.env.production` не должен попадать в локальный Boost-конфиг.
|
||
2. **Не использовать Inertia / Livewire / Tailwind / Filament / Flux UI / Nova / Folio / Volt / Wayfinder guidelines** Boost'а — у нас Vue + Vuetify.
|
||
3. **Не запускать a11y через Lighthouse** — единственный источник истины Pa11y.
|
||
4. **Не помещать ПДн / токены / API-ключи в коммиты.** Правило §5.2 правил Claude. Защита — gitleaks в pre-commit.
|
||
5. **Расширенный пул UI-инструментов — координируется через [PSR_v1](docs/Plugin_stack_rules_v1.md) v2.0+.** Кратко: paired-stack ядро (**Superpowers** = процесс / **Frontend Design** = решатель UI), плюс два инструмента **в роли материала, не решателя**: UPM (резерв-библиотека, R10.1/R11.5/R14.3) и 21st Magic MCP (генератор шаблонов, R10.1/R14.4). Все четыре проходят **R6.0 фильтр стека** (срезать React/Tailwind/shadcn/JSX → Vue 3 + Vuetify 3) и **R6.1 hard-override Forest** (палитра/шрифты/иконки/aesthetic — Brandbook, не плагины). UPM и 21st **не параллельно** с FD и друг с другом (R14.5). **A11y технический** — за Pa11y (п.3); плагины покрывают только a11y-принципы. **Детали — PSR_v1 R6/R10/R11/R14** (не копировать сюда — оперативная карта остаётся компактной).
|
||
6. **Не ставить два инструмента на одну задачу** — список 10+ запрещённых дублей в [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) §9.
|
||
7. **Не редактировать этот `CLAUDE.md` без обновления** [docs/Pravila_raboty_Claude_v1_1.md](docs/Pravila_raboty_Claude_v1_1.md) и [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) — иначе три источника разойдутся (применяется ВНУТРИ flow п.10; пропуск синхронизации — отдельная ошибка даже при работающем плагине).
|
||
8. **Не править `db/schema.sql`** без записи в [db/CHANGELOG_schema.md](db/CHANGELOG_schema.md) — правило §4.2 правил Claude.
|
||
9. **Не закрывать открытые вопросы** (`Биз-*`, `CTO-*`, `Ю-*`, `Диз-*`, `DO-*`, `OPEN-*`) без явного «закрываем» от заказчика — §2.2 правил Claude.
|
||
10. **Не править этот `CLAUDE.md` напрямую** — только через плагин **`claude-md-management`** (`anthropics/claude-plugins-official` marketplace). Два входа:
|
||
- `/claude-md-management:claude-md-improver` — audit + targeted updates (структурные изменения, добавление/удаление секций, правки версии в шапке, правки правил §5).
|
||
- `/claude-md-management:revise-claude-md` — захват learnings из текущей сессии (новые quirks, команды, паттерны → CLAUDE.md).
|
||
|
||
Плагин — **единственный** интерфейс ведения файла; он отвечает за содержание и качество (по `references/quality-criteria.md` плагина: commands/architecture/non-obvious patterns/conciseness/currency/actionability). Прямые `Edit`/`Write` по `CLAUDE.md` без вызова skill'а — нарушение, фиксировать в feedback. Внутри flow плагина продолжают действовать пп.7 (синхронизация Pravila + Tooling) и общие §4 правил Claude.
|
||
11. **Не пропускать инвокацию Superpowers skill'а** для задачи, попадающей под карту §12.2 правил Claude (TDD, debug, plan, parallel, review, verify, brainstorm, worktree, finishing PR, subagent, writing-skills). Это **hard rule** (§12 правил Claude), §9 «Отступления» к нему **не применяется**. Рационализация типа «эта задача проще, чем требует skill» / «сейчас быстрее без skill'а» — нарушение того же уровня, что игнорирование §5 ПДн. **Список exclusions — Pravila §12.3 (Single Source of Truth, v1.9+)**: при расширении правок здесь — править только Pravila §12.3, не дублировать список текстом сюда. Запрос заказчика «не используй superpowers сейчас» — единственная отмена, и **только** на текущее действие. См. Pravila §12.4.
|
||
|
||
12. **Резерв.** Был «не устанавливать motion runtime библиотеки без прохождения R15.2 PSR_v1». Снят 12.05.2026 (CLAUDE.md v1.88 + PSR_v1 v2.0). Motion-runtime библиотеки разрешены без обоснования; `framer-motion` остаётся technical block (React-only peerDep). Подробности — [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md) запись v1.88, [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) §9.2.
|
||
|
||
13. **Не запрашивать override `ремонт инфраструктуры` для docs-only коммитов/пушей.** С коммита `8266755c` (27.05.2026) хук `enforce-verify-before-push` автоматически пропускает изменения, где **все** staged/unpushed файлы кончаются на `.md` (memory/CLAUDE.md/spec/plan/SKILL.md). Override остаётся для смешанных или кодовых коммитов. Логика — [tools/enforce-hook-helpers.mjs](tools/enforce-hook-helpers.mjs) `isDocsOnlyChange` + `listChangedFiles`. **NB v2.40 (29.05.2026):** «docs-only» считает **строго `.md`-суффикс**. Добавление `cspell-words.txt` / `package.json` / `lefthook.yml` / любого конфиг-файла **рядом со spec.md** делает diff mixed → verify-before-push активируется → нужен свежий vitest-sentinel (формула — memory `feedback_vitest_sentinel_recipe.md`) ИЛИ override-фраза `срочно` / `ремонт инфраструктуры` в user prompt'е. Прецедент: commit `46c43169` (spec v3.6-3.8 sweep) — `cspell-words.txt` сделал mixed-diff, потребовал ~4s vitest для sentinel'а перед retry push.
|
||
|
||
14. **Перед открытым codebase-вопросом — сначала `/graphify query`, потом Read/Grep/Glob.** Граф проекта (graphify #86, ADR-017) — 6305 узлов / 6753 рёбер / 1009 communities, покрывает docs/ + .claude/ + app/. Junction `graphify-out/` → spike worktree `.claude/worktrees/graphify-spike/graphify-out/`. Применяется к **структурным/cross-layer вопросам**: «где наш скил X используется», «какие концепты связаны с биллингом», «куда тянется зависимость от Y», «что упадёт если изменить Z». **Не применяется** к: (а) известному пути файла → Read напрямую; (б) узкому regex-поиску → Grep напрямую; (в) операциям записи/коммита; (г) если граф устарел значительно (>2 недели без `/graphify --update`) — read-fallback допустим, в ответе обозначить. Workflow: `/graphify query "вопрос"` → анализ выдачи (`source_location` как цитаты) → при необходимости Read/Grep по упомянутым узлам. Граница с context7 (#60) / Boost (#10) / openapi-mcp (#47) / Sentry (#34) — ADR-017 §«Граничные правила (locked)».
|
||
|
||
15. **Memory writes требуют `coverage: direct:memory-sync` в свежем turn'е.** Hook `enforce-memory-coverage` не принимает chain-каналы (`chain:commit-push-mem-sync` и подобные) — считает stale/absent. Если memory updates запланированы как часть multi-step задачи (commit + push + CLAUDE.md + memory), планировать memory phase **отдельным turn'ом** с явным `coverage: direct:memory-sync`. Альтернатива — override-фраза `memory dump` в user prompt'е, она снимает hook на текущий turn. Прецедент в сессии 29.05.2026 (commit `46c43169` v3.6-3.8 sweep): chain `commit-push-norm-sync-mem-sync` был отклонён хуком на 4-м шаге задачи; finalization доделана только после фразы `memory dump` от заказчика.
|
||
|
||
---
|
||
|
||
## 6. Текущая фаза проекта
|
||
|
||
**2026-06-14 research-tooling (Perplexity Pack) — нормативный синк + реестр (Plan 2 + Plan 3):** Заведён off-phase слой **research-tooling** (20-я подкатегория) — три внешних MCP веб-разведки: **#87 perplexity** (`@perplexity-ai/mcp-server`, ранжированный ответ-с-источниками sonar: search/ask/research/reason), **#88 exa** (`exa-mcp-server`, семантическое/нейро обнаружение источников), **#89 firecrawl** (`firecrawl-mcp`, глубокое чтение/обход — scrape/crawl/extract/agent). Все три **READ-ONLY** (gate-постура read_only в `tools/mcp-tool-classifier.mjs` +тест, commit `bfc1f575`), платные API — ключи только в env (owner waiver), IS9-вет `docs/research/research-vet.md` — все три ПРИНЯТ. **Plan 1** (вет + перенос 3 блоков в `.mcp.json` + gate read_only) — закоммичен ранее. **Plan 3 (роутер/реестр):** `docs/registry/nodes.yaml` +3 узла + связка **L17** (research chain: brainstorming → perplexity → exa → firecrawl) + 3 contract-карточки (`docs/registry/contracts/{perplexity,exa,firecrawl}-mcp.contract.json` — инвариант Машина 3-E) + `tools/registry-load.test.mjs` 86→89/78→81 + `node tools/registry-render.mjs` (регенерация Tooling-summary + routing-table авто-блоков) + `docs/routing-off-phase.md` L17/version. Tools-регрессия **3931 passed / 2 skip / 0 fail**. (automation-graph viz отложена батчем — карта лагает с #84). **Plan 2 (нормативка, этот синк):** Tooling §4.60-62 + §0 счётчик 84→87 / 104→107 / off-phase +54→+57 + header v2.25; PSR R10.1 Блок 3 + R15.6 + header v3.24; Pravila §13.2 + header v1.44; CLAUDE.md §3.3/§0 cross-refs/§6/§9/header; ADR-019 (RT1–RT9 — границы research-tooling vs context7 #60 / openapi #47 / Boost #10 / Sentry+Redis #34/#35 / graphify #86 / GitHub #3). **§0 cross-refs МЕНЯЮТСЯ** (Pravila v1.43→v1.44 / PSR v3.23→v3.24 / Tooling Прил.Н v2.24→v2.25 — новая off-phase подкатегория). Под стеной «роутер-наставник»: Plan 3 — прямые правки (не ЗАКОН-файлы); Plan 2 — owner **FLOOR-ESCAPE per write** (нормативный §6-гейт требует владельца — `claude-md-management` для ЗАКОН-файлов недостаточен). Через прямой Edit под owner-escape.
|
||
|
||
**2026-06-01 lead region resolution — фича реализована TDD + запушена (PR в main):** Определение настоящего региона лида по телефону (DaData → реестр Россвязи → tag-fallback) + каскадная маршрутизация по региону (exact→all-RF→fallback) со взвешенным жребием по остатку дневного лимита (вариант В, вес ≥ 1 — мелкие клиенты не отрезаются). Состав: `LeadRegionResolver` (каскад по qc-кодам DaData) + `DaData/*` (клиент / страж бюджета / enum кодов качества / исключения) + `DaDataRegionMap` + `RossvyazPrefixLookup` + `RossvyazRecord`/`RegionResolution` DTO + команда `phone-ranges:import` (parse/map/dry-run/idempotency, atomic RENAME-swap в транзакции) + `LeadRouter` переписан (`matchEligibleProjects` + region-фильтр + `weightedPick` + инъекция `Randomizer`) + интеграция в `RouteSupplierLeadJob` (резолв ДО tx / persist 4 колонки / fail-safe аудит-лог `lead_region_resolution_log` / подмена subject_code на шаге 3 / CSV-merge по рангу источника `dadata/rossvyaz > CSV-tag`) + `phone-region:smoke`. Миграция `2026_05_31_100000` (`phone_ranges` / `phone_ranges_imports` / `lead_region_resolution_log` партиц. по месяцам + колонки на supplier_leads/deals) + регистрация в `MonthlyPartitionManager`; `db/schema.sql` синхронизирован заголовком (v8.40), DDL — в дельта-миграции (иначе двойной CREATE TABLE сломал бы migrate). **Решения заказчика/проекта:** резолвер через `app()` внутри `handle()` (не 7-й параметр — сохраняет сигнатуру + 3 существующих теста джобы); `deals.region_source` не добавляли (источник на supplier_leads + в журнале, CSV-merge по эвристике); запуск сразу на 100% без долевого гейта. **14 атомарных коммитов** `ec219718..11079791` на ветке `worktree-feat+lead-region-resolution`, запушено в origin (`CoralMinister/lidpotok`), **PR в main открывается вручную** по ссылке из `git push` output (MCP `create_pull_request` + `gh pr create` оба заблокированы router-гейтом). Тесты **101 pest GREEN / 509 assertions**; tools-vitest **1989 GREEN**. Code-review subagent (вердикт «с правками») → починены `atomicSwap()`→транзакция (spec §6.2) + убран stray comment; minor/deferred задокументированы (метрики §8.1 / `phone-ranges:rollback` / pg_anonymizer-маски / калибровка `DADATA_CALL_COST_KOPECKS`). Прод-выкатка отложена (нужны `DADATA_API_KEY`/`DADATA_SECRET` в YC Lockbox + команда «запускаем»; runbook `docs/superpowers/runbooks/2026-05-31-lead-region-resolution-rollout.md`). Пре-существующий долг (НЕ из фичи, отдельная задача): 3 чужих console-теста (`BillingMigrateLeadsToRub` / `IncidentsWatchFailures` / `SnapshotBackfillCommand`) взаимно загрязняются в одном процессе (накопление счётчиков), в CI `pest --parallel` (файл=процесс) проходят. **Lefthook в worktree-shell не в PATH** → cspell/larastan/squawk/deptrac не гонялись на коммитах; deptrac проверен инспекцией (Service→Service разрешён), новые cspell-термины (Rossvyaz/DaData/kopecks) добавлены в `cspell-words.txt`, остальное — CI на push. **§0 cross-refs НЕ меняются** — app-фича (сервисы/джоба/миграция), не tooling-канон #1-#86 / не ADR / не off-phase. Через `claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-31 (продолжение) router-gate v4 Layer 4 LLM-judge — item 2b live wiring + активация владельцем + readonly-калибровка:** `tools/enforce-llm-judge-per-tool.mjs` (PreToolUse) и `tools/enforce-llm-judge-response-scan.mjs` (Stop) получили живой `main()` (TDD, чистые `runPerTool`/`runResponseScan`; commit `dfae9f76`). Spend строго гейтится `resolveJudgeConfig()` (флаг `ROUTER_LLM_JUDGE_ENABLED` И ключ); без флага/ключа `decide()` короткозамыкается → $0. **Архитектурный нюанс:** регистрировать надо именно **обёртки** `enforce-llm-judge-*`, не движки `llm-judge-{per-tool,response-scan}.mjs` — у движков `main()` зовёт `llmJudgeCall` по наличию ОДНОГО ключа, игнорируя флаг (т.е. движок начал бы тратить деньги без рубильника). **Владелец активировал Layer 4** (env `ROUTER_LLM_JUDGE_ENABLED=1` через `rundll32 sysdm.cpl,EditEnvironmentVariables` + ключ `ROUTER_LLM_KEY` уже был в user env, как у классификатора + регистрация обоих хуков в `.claude/settings.json` + перезапуск) → судья ожил в **hard-block** (подтверждено: тот же `git log`, что при выключенном флаге проходил мгновенно, после активации заблокирован реальным вызовом — verdict ≠ YES → block). **Операционная находка / over-block:** `MUTATING_TOOLS` в `llm-judge-per-tool.mjs` включает `Bash` целиком, а правило вопроса — «Сомнения → NO» + код «не-YES → block», поэтому живой судья блокировал даже readonly-просмотры (`git status`/`git log`/`grep`) — и тем самым полностью клинил рабочий цикл (commit/push/правки тоже под судьёй). **Калибровка** (commit `c9b9efd6`, TDD, судья на время выключался владельцем — правка кода тоже под судьёй): новый экспортируемый `isReadonlyBashEvent(event)` — если tool=Bash и `classifyBashCommand(command, {})` даёт `result==='allow'` с reason `readonly|reading`, `runPerTool` возвращает allow **до** обращения к судье (без LLM-вызова, без budget-bump). Это **scope-fix к собственной декларации судьи** («judge on mutating tools»), а **не понижение дисциплины**: правило doubt→block и полная проверка всего, что реально меняет состояние (Edit/Write/MultiEdit/git commit/push/Skill/Task), — без изменений. Регрессия vitest tools-only **1927 GREEN** (+13 калибровочных тестов; verify через `npx vitest run --root app --config vitest.config.tools.mjs`, т.к. `npm run test:tools` падает из-за параллельной keytar-установки в `app/node_modules`). Коммиты `dfae9f76` (live wiring) + `c9b9efd6` (калибровка); push `a8996896..c9b9efd6 main`. План `docs/superpowers/plans/2026-05-31-llm-judge-live-wiring.md`. **§0 cross-refs НЕ меняются** — инфраструктура `tools/enforce-*.mjs`, не tooling-канон #1-#86 / не ADR / не off-phase. Через `claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-31 router-gate v4 — safe-baseline live wiring (item 1b) + enforce-runtime-write-deny (C3) + LLM-judge hook-обёртки + Read-deny over-block fix:** `tools/enforce-safe-baseline-metering.mjs` получил живой `main()` (учёт расхода safe-baseline-инструментов per-task + hard-block mutating-инструмента за hard-порогом без skill-match; escape = вызов любого Skill/EnterPlanMode, который этим слоем никогда не блокируется); новые чистые функции `extractKeywords` (детерминированная токенизация со стоп-словами против ложного overlap), `detectSkillMatch` (только реальный assistant tool_use Skill/EnterPlanMode — не self-writable text-path), `runLiveDecision` (контракт stickiness: skill-match привязан к задаче и явно сохраняется, без потери и без утечки между задачами). Новый standalone-хук `tools/enforce-runtime-write-deny.mjs` закрывает уже-существующую дыру: Write/Edit-инструмент мог писать в `~/.claude/runtime/**` напрямую (Bash/PowerShell-гейты прикрывали этот канал, Write-инструмент — нет); нормализация через resolving `pathNormalize` делает обход через `.`/`..`-сегменты невозможным. Спроектировано через `superpowers:brainstorming` (3 раунда adversarial-саморевью + ghost-pass), spec v4 `docs/superpowers/specs/2026-05-30-safe-baseline-live-wiring-design.md` закрыл C1/C2/C3/H1/V2-1/V2-2; G3 override-подсистема вырезана как защита-призрак. Реализация через `superpowers:writing-plans` → TDD. Также `tools/enforce-llm-judge-per-tool.mjs` + `tools/enforce-llm-judge-response-scan.mjs` (Layer 4 hook-обёртки, no-op `main()`, $0 до активации 2b). Режим **hard-block** (решение владельца). Регистрация обоих safe-baseline-хуков в `.claude/settings.json` — шаг владельца (Claude'у settings.json заблокирован); до регистрации хуки инертны. **Read-deny over-block fix (эта сессия, commit `3c5266c0`):** `enforce-read-path-deny` (Smoke 5, 30.05) переиспользовал полный `DEFAULT_PROTECTED_PATTERNS` для Read-инструмента, тем самым заблокировав Read CLAUDE.md / нормативки / memory-индекса — harness Edit требует предварительного Read, поэтому правка CLAUDE.md и MEMORY.md стала для Claude невозможна (legit `claude-md-management` / memory-sync workflow сломан). Read этих файлов exfil-ценности не несёт (CLAUDE.md/Pravila/PSR/Tooling — публичны в репо, memory/ — собственный индекс контроллера); реальные Read-exfil-цели — cross-session transcripts `.jsonl` и `~/.claude/runtime`. Решение (TDD): новый узкий `READ_DENY_PATTERNS` в `tools/shell-content-rules.mjs` (transcript `.claude/projects/*.jsonl` БЕЗ `memory/`-поддиректории + `~/.claude/runtime` + `settings.json` + `.env`); `enforce-read-path-deny.decide()` переключён с `DEFAULT_PROTECTED_PATTERNS` на `READ_DENY_PATTERNS`. CLAUDE.md/Pravila/PSR/Tooling/memory снова Read-allowed; полный `DEFAULT_PROTECTED_PATTERNS` по-прежнему защищает их от Bash/PowerShell-read (`cat`/`Get-Content`) и Write. Проверено живьём (Read MEMORY.md / memory-файла / CLAUDE.md проходит, transcript `.jsonl` и runtime блокируются юнит-тестами). Регрессия vitest tools-only **1903 GREEN** (`npm run test:tools` сломан параллельной keytar-установкой в `app/node_modules` — verify через рабочий корневой `npx vitest run --root app --config vitest.config.tools.mjs`, тот же canonical scope). Коммиты `ca52d354`+`6d512f5c..84dcf4aa`+`f740f612`+`80e514f5` (item 1b, прошлая сессия) + `3c5266c0` (over-block fix, эта сессия). **§0 cross-refs НЕ меняются** — инфраструктура `tools/enforce-*.mjs`, не tooling-канон #1-#86 / не ADR / не off-phase. Через `claude-md-management:revise-claude-md`. Memory: [[read-path-deny-blocks-claude-md]] закрыта этим фиксом.
|
||
|
||
**2026-05-29 (день+2, вечер) router-gate v4 implementation в активной параллельной фазе:** v4.0+v4.1+v4.2 spec triple на origin/main + master coordination plan (9 streams, disjoint file scope → 0 conflicts by construction) + handoff с 5 ready-to-copy промтами для streams A-E + 5 worktrees `v4-stream-A/B/C/D/E` готовы (`C:\моя\проекты\портал crm\v4-stream-{A..E}` от `480649db`) + rationalization-audit hook fix (`stripQuotedContext` against false-positive accumulation). **5 параллельных Claude sessions запущены пользователем ~18:48 МСК** через VS Code окна. Каждая читает спеки → генерирует sub-plan через `superpowers:writing-plans` → реализует через `superpowers:subagent-driven-development`. Ожидаемый wall-clock 16-23h (vs 49-65h sequential). Stream scope: A — pure decision modules (8 файлов, ~250 unit-тестов: decide + safe-baseline + skill-scope + decomposition + TodoWrite + self-debrief + tdd-real-test + path-normalization); B — Bash/PowerShell content rules + tokenizer; C — static scan multi-language + framework-boot scan F7 + Glob F8 + MCP path-deny §5.3 + commit message scan G11; D — LLM-judge Layer 4 (3-judge consensus Sonnet+Haiku+Opus + per-tool + response scan + normative-content gate); E — AskUser parser + cosmetic detector + subagent return scanner + structured output schema. **Master session (эта) координирует** мониторинг прогресса (раз в 1-2ч: `git fetch --all && git log feat/v4-stream-X --oneline`), Checkpoint 1 merge всех 5 streams в main когда vitest GREEN per stream, Stream G (cleanup 5 v3.9 хуков + register новых v4 hooks в settings.json), user-run Smokes 1-9 (8 проверок per spec §3.2.0 + v4.1 F9), Stream H (brain-retro Table 16-17 + recovery-procedures.md + Pravila/PSR/Tooling/CLAUDE.md sync). Aggregate bypass target after full deployment ~0.5-0.8%; architectural floor ~0.5% irreducible per 7 fundamental limits (goal-misalignment / recursive trust / info-theoretic leak / behavioral residual / external dependencies / user approval ambiguity / gate paradox). Cost: $0 одноразово для v4.0+v4.1+v4.2 Phase 1 VM; $50-150 разово для Phase 2+3 (один YubiKey покрывает биометрию + HSM); $300-1500/month ongoing LLM-judge Layer 4 (acceptable per variant C max closure choice). **Operational quirks обнаружены и закрыты:** rationalization-audit context-stripping (commit `480649db` — false-positive 48 flags при описании самой защиты); `LEFTHOOK=0` env-var для rebase когда post-commit hooks регенерируют observer-файлы между picks (STATUS.md / .pii-counters.json / episodes-*.jsonl). Methodology: brainstorming skill для asymptote analysis (~25% → ~0.5% через 5 Layers) → writing-plans skill для master plan + handoff → subagent-driven-development next per stream. Spec/plan/handoff артефакты — `docs/superpowers/specs/2026-05-29-router-gate-v4-{design,1-max-closure,2-vm-sandbox}.md` (2249+1051+411 строк) и `docs/superpowers/plans/2026-05-29-router-gate-v4-{master,handoff-instructions}.md` (666+450 строк). Memory entries follow-up в отдельном turn (memory-coverage hook требует `direct:memory-sync` per-turn — chain отклоняется). Через прямой Edit — worktree-эксцепшн §5 п.10 (плагин claude-md-management через MCP marketplace недоступен после disconnect в момент записи).
|
||
|
||
**2026-05-29 router-gate spec v3.5 → v3.8 sweep — rounds 5+6 adversarial closure (commit `46c43169`):** 3 sequential bump'а в одной long session: v3.5 → v3.6 (Round 5, 15 holes + 7 acceptable residual) → v3.7 (Maximum-closure pass, все 7 residual закрыты defense-in-depth) → v3.8 (Round 6, 30 holes в 18 классах incl. 4 FATAL). **45 new attack-векторов закрыто архитектурно** (105 total через 9 раундов аудита). **4 FATAL Round 6 fundamental redesigns:** F1 PowerShell tool gate (был полностью вне scope §5.1 — обнуляло архитектуру на Windows; новый hook + §5.1.2 content rules + shared shell-content-rules.mjs), F2 Workflow internal agent() enumeration (nested агенты вне gate-visibility; v3.8 scriptPath approval + content scan + per-agent gate inheritance + resumeFromRunId DISABLED), F3 node_modules whole-dir hard-deny + dep-checksums.json SHA-256 верификация на startup, F4 LLM-judge anti-injection (delimiter tokens unguessable + pre-filter regex + multi-judge consensus Sonnet+Haiku). §3.1 protected paths расширен +30 entries (memory/CLAUDE.md/Pravila/PSR/Tooling с Skill exemption для claude-md-management; CI/CD/lint/build configs; plugin cache; shell init; npm configs; node_modules; parent-sentinel; dep-checksums; expected-path). §3.0.1 OS-keychain для LLM key через `keytar` — не в process.env. §3.2.1 automated bootstrap smoke (1/5/6/7 на каждый session start, cached 7 days); user-run остаётся для 3/4/8. Budget: 13.5-20h (v3.5) → 22.5-32h (v3.6) → 33-44h (v3.7) → **45-60h (v3.8)** в 7 этапов через subagent-driven-development. Spec: 1980 → **2554 строк** (+1110 inserts / -44 deletes за v3.6-3.8 sweep). +13 терминов в cspell-words.txt. Verify-sentinel: vitest tools-only **1179/1179 GREEN** per memory feedback_vitest_sentinel_recipe.md. **Generalisable lesson v3.8:** «v3.7 maximum closure» был maximum **внутри границ воображения v3.6 R5-audit** — Round 6 показал что сами границы имели дыры. Каждый раунд audit должен начинать с abstract classification классов атак до enumeration конкретных дыр. 5 ранее-незакрытых attack surfaces discovered: parallel tools (PowerShell), nested tool internals (Workflow agent()), npm-dependency-chain (node_modules patches), environment manipulation (shell init / PATH), cross-session context poisoning (memory/CLAUDE.md/Pravila). **§0 cross-refs не меняются** — spec-only, не tooling-канон / не ADR / не off-phase подкатегория. Push `ef19b9f2..46c43169 main -> main`. Через прямой Edit (user-instruction priority к §5 п.10 — заказчик в prompt'е «комитть, пуш и обнови мозг»; прецедент v2.36/v2.28).
|
||
|
||
**2026-05-29 router-gate Уровень 4 spec finalized (v3.2 → v3.5, 5 commits):** 4 раунда adversarial audit от controller'а закрыли ВСЕ известные controller-writable signals архитектурно. Spec [docs/superpowers/specs/2026-05-28-router-gate-hard-wall-design.md](docs/superpowers/specs/2026-05-28-router-gate-hard-wall-design.md) (1487 строк). Сессия: **v3.2** (`832fadbc` 18 holes из v4 audit), **v3.3** (`903aa700` v4.1 audit на v3.2 — 12 holes, N1 fatal честно признана residual), **v3.4** (`15bf46a1` **S5 TRUE closure** через side-channel file `subagent-block-<tool-use-id>.json` — subagent gate-process пишет, path derived from harness-assigned tool_use_id, file protected `~/.claude/runtime/*` §3.1), **v3.5** (`80c81602` **S8 TRUE closure** через AskUserQuestion-gate — `enforce-branch-switch.mjs` больше не читает controller-written markers, controller обязан AskUser → §4.5 answer parser распознаёт git-pattern → пишет approve_git_operation в `askuser-decisions-<sess>.jsonl` → hook читает exact-match + one-shot consume + 5-min time window). Cosmetic markdownlint fix `6c6796d8`. **Acceptable residual list ПУСТ.** Implementation budget 22.5-32h в 6 этапов через subagent-driven-development. **Готов к writing-plans фазе в следующей сессии** — 3 mandatory user-run smoke-tests до Этапа 2.1 (env propagation H2 + PostToolUse semantics N10 + subagent block-file Smoke 3 v3.4). Audit methodology: chain `audit-context-building` skill + ручной adversarial разбор по 13 attack-зонам. Brainstorm methodology: `superpowers:brainstorming` skill — clarifying questions через AskUserQuestion → design → user approval → spec edits. **Главный урок:** класс controller-writable signals (S5+S8) closes through generalisable formula — write-канал в protected file через отдельный gate-процесс при harness-driven событии (S5 — `tool_use_id` от Task spawn; S8 — `askuser-decisions` от user choice через §4.5 parser). **§0 cross-refs не меняются** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool/ADR/категории — design-only spec). ⚠️ Memory writes этой сессии заблокированы coverage-hook'ом (`direct:memory-sync` per-turn required, но coverage уже был `direct:session-wrap-up`) — оформлены drafts в handoff-сводке, сохранятся в новой сессии. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-28 (поздний вечер) router-hooks Phase 4 follow-ups + Phase 5 closure — epic закрыт полностью:** 3 коммита одной chain-сессией («делай все» от заказчика после уточнения хвостов). **`6e93ccc4`** — cosmetic fix на `tools/enforce-semgrep-security.mjs`: UTF-8 BOM L1 (от Sonnet субагента Task A) убран + добавлен EOF newline через `node -e "let fs=require('fs')..."` Bash вызов (обходит TDD-gate matcher только на Edit/Write). 29/29 тестов хука сохранились. **`c20a53c0`** — DRY refactor в `tools/enforce-chain-recommendation.mjs`: `decide()` теперь возвращает enriched `{block, message?, hasMutating, hasChainSkill, hasInlineOverride}` (вычисляет все 3 флага в начале единожды, заполняет в каждый return-бранч через `...flags`); `main()` дропает дубли L128-130 — читает `result.hasMutating`/`result.hasChainSkill`/`result.hasInlineOverride` напрямую. +8 TDD-тестов на enriched return покрывают все branches. **`836c433b`** — **Phase 5 cost-tracker** (закрывает brain-retro #9 Candidate 4 «cost-daily.json пуст»): новый Stop-hook `tools/cost-stop-hook.mjs` на каждый Stop читает текущий месячный `docs/observer/episodes-YYYY-MM.jsonl`, агрегирует today's эпизоды через pure `aggregateDay()`, пишет/обновляет `~/.claude/runtime/cost-daily.json`. Структура per-date: `{classifier_usd, self_assessment_usd, reviewer_subagent_usd, reviewer_direct_fallback_usd, self_retrospect_usd, total_usd, episode_count}`. **Pure layer:** `tools/cost-pricing.mjs` (frozen `PRICING` с Sonnet 4.6 / Opus 4.7 per-token rates: $3/$15 input/output Mtok для Sonnet, $15/$75 для Opus) + `tools/cost-aggregator.mjs` (`episodeUsd(ep, pricing)` + `aggregateDay(episodes, dateISO, pricing)`). Хук entry — `tools/cost-stop-hook.mjs::main()` fail-quiet (никогда не крашит Stop pipeline, exit 0 на любую внутреннюю ошибку); pure `runUpdate({episodes, dateISO, existing, pricing})` для unit-тестов. Registered в `.claude/settings.json` Stop-секции timeout=10s. **Smoke live:** запуск на today's эпизодах сразу после регистрации заполнил `cost-daily.json` — 24 episodes / $0.0803 classifier_usd (Sonnet 4.6 LLM router calls); self_assessment/reviewer/self_retrospect_usd = 0 (Opus controller cost-instrumentation per-episode пока не настроена). Будущее: STATUS.md секция «Cost monitoring» (отдельный analyzer call) + anomaly detection (`per-episode classifier_output_tokens > MAX(median × 3, 5000)` WARN, `per-day total_usd > 1.5 × median_30day` WARN — отдельный план). **Регрессия 1165/1165 vitest tools-only GREEN** (+30 за Phase 5: 4 pricing + 12 aggregator + 8 stop-hook tests + previous +8 DRY = +38 от 1135 baseline). **Router-hooks epic закрыт полностью:** Phase 1 (`81f92ca3..4d7e9e33` analyzer noise + System Health) + Phase 2 (override-limit hard-block 6-я) + Phase 3 (PAMYATKA 4→8 паттернов) + Phase 4 (Semgrep-security + chain-hook measurement Cut 11) + Phase 4 follow-ups (cosmetic + DRY) + Phase 5 (cost-tracker) — все 10/10 кандидатов brain-retro #9 + self-retrospect #1 закрыты. **§0 cross-refs не меняются** — Phase 5 чисто инфраструктура tools/, не Tooling Прил.Н канон #1-#86, не ADR. Через прямой Edit + `/claude-md-management:revise-claude-md` (user-instruction priority к §5 п.10 — заказчик в prompt'е «делай все»).
|
||
|
||
**2026-05-28 (вечер) router-hooks Phase 4 closed (Semgrep-security + chain-hook measurement):** Закрыты кандидаты #9 (self-retrospect 28.05 привычка #4 «правки auth/billing/CSV/webhook → Semgrep на diff перед коммитом») и #2 (brain-retro #9 Candidate 2, chain-ignore 83% при rework=0 — нужна оценка эффекта хука). 3 коммита через одну сессию subagent-driven-development (Sonnet implementers + 2-stage review per task + final integration). **Task A** `5eb20665` — PreToolUse Bash-хук `tools/enforce-semgrep-security.mjs` 135 строк, 6 файлов / 29 тестов; `SECURITY_PATH_PATTERNS` 6 regex (Auth/Billing/Ledger/Csv/Webhook/Imports — `Imports/` 6-й добавлен субагентом для consistency с plan test на `app/Imports/SupplierLeadsImport.php`); `SEMGREP_CMD_RE` покрывает `semgrep`/`composer sast`/`npm run sast` (в проекте есть только `npm run sast` — `composer sast` в `composer.json` нет, message обновлён субагентом); registered в `.claude/settings.json` PreToolUse Bash; override-vocab расширен `semgrep-security` во всех 7 фразах; новый helper `sessionToolUses(transcript)` в `enforce-hook-helpers.mjs` для session-wide tool scan (parallel `turnToolUses`). **Task B** `a3f5f392` — `logHookOutcome(rule, outcome, sessionId)` helper в `enforce-hook-helpers.mjs` пишет JSONL в `~/.claude/runtime/hook-outcomes.jsonl` (mirror `logOverride` pattern); `enforce-chain-recommendation.mjs` теперь вызывает его per fire с outcome-classification из `classifyOutcome({chainLength, hasMutating, hasOverride, hasChainSkill, hasInlineOverride})` — 6 buckets `blocked` / `passed-with-skill` / `passed-inline-override` / `passed-global-override` / `passed-short-chain` / `passed-no-mutating`; новая Cut 11 `analyzeChainHookEffectiveness({ledgerPath, periodStart, periodEnd})` + `buildChainHookEffectiveness({total, buckets})` в `brain-retro-analyzer.mjs` парсит ledger за период retro, агрегирует buckets, рендерит markdown с заголовком `### Cut 11: Chain-hook effectiveness`; SKILL.md `.claude/skills/brain-retro/SKILL.md` MANDATORY DIGITAL ANALYSIS bumped 10→11 tables. **Review-fixes** `b93e5af4` — `export CHAIN_OUTCOME_BUCKETS` для внешних consumers (reviewer запросил) + dead `import fs` cleanup в helpers test (fs.readFileSync → readFileSync named) + TDD regression-test на export. **Регрессия 1135/1135 vitest tools-only GREEN.** Push `8b818144..b93e5af4 main -> main` (ребейзнут поверх Slepok Stage 3 PR #27 merge — orthogonal scope, no conflicts). **Инциденты сессии:** (1) session-limit reset на spec-reviewer subagent Task A — re-dispatch свежим Sonnet, verdict ✅ Spec compliant; (2) Sonnet субагент Task A оставил UTF-8 BOM на L1 + missing EOF newline на `enforce-semgrep-security.mjs` (cosmetic, non-blocking per final reviewer, follow-up) — закреплено как memory `feedback_subagent_bom_eof_writes.md`; (3) code-quality reviewer Task B пометил `import fs` как dead, реально использовался как `fs.readFileSync` — slепое removal сломало 2 теста; fix: replace на named `readFileSync` — урок в `feedback_reviewer_dead_import_falsepositive.md`; (4) push отклонён non-fast-forward из-за параллельной сессии Slepok Stage 3 PR #27 → rebase pattern: stash observer-dirt + rebase + drop stash (не pop, post-commit регенерирует) — закреплено как `feedback_rebase_observer_dirt.md`. **Roadmap осталось:** Phase 5 (#4 cost-tracker Stop-hook per `2026-05-25-llm-first-router-overhaul.md` Task 20 Step 5 — `~/.claude/runtime/cost-daily.json`, ~2ч) — отдельный план. **Open follow-ups (non-blocking):** cosmetic BOM L1 + EOF newline на `enforce-semgrep-security.mjs`; DRY `decide()`↔`main()` в `enforce-chain-recommendation.mjs` (acceptable per reviewer, не блокер). Plan-док `docs/superpowers/plans/2026-05-28-router-hooks-phase4-semgrep-and-chain-measure.md`. **Не нормативный version-bump-worthy event** в смысле tooling-канона — нет нового tool в Tooling Прил.Н #1-#86, нет нового ADR, нет новой off-phase подкатегории (`tools/enforce-semgrep-security.mjs` + `analyzeChainHookEffectiveness` + skill-update — infrastructure layer контроллера, не реестр инструментов); §6 +этот абзац / §9 +entry; **§0 cross-refs не меняются**. Memory +3: `feedback_subagent_bom_eof_writes.md` / `feedback_reviewer_dead_import_falsepositive.md` / `feedback_rebase_observer_dirt.md`. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-28 (день) router-hooks fixes Phase 1+2+3 closed:** Закрыто 7 из 10 кандидатов brain-retro #9 + self-retrospect #1 за одну сессию. Пуш `81f92ca3..4d7e9e33 main -> main` (~13 коммитов через 3 push'а: Phase 1 `e58d3756..ccf4108e`, Phase 2 `0a52b3d8..769df67a` пушнут параллельной deploy-сессией внутри `81f92ca3`, Phase 3 `d1b5505a..eedc700b`, docs commit `4d7e9e33`). **Phase 1** — analyzer archive-fallback убран (`tools/brain-retro-analyzer.mjs` больше не читает `docs/archive/llm-bootstrap-2026-05/routing-docs/observer-classification-map.json` — был источник Mermaid #37 noise в Cut 8 retro #9; behavioral test verifies `canonicalNodes:[]` instead of legacy `["#18","#34"]`) + новый блок «## System Health» в STATUS.md (`tools/system-health.mjs` PowerShell `Get-Process | Where-Object CPU > 3600`, топ-3 long-running > 1ч, fail-open на не-Windows). **Phase 2** — новый PreToolUse-хук `tools/enforce-override-limit.mjs` (matcher `Edit|Write|MultiEdit|NotebookEdit|Bash|Task|Agent`, timeout 5s) hard-блокирует 6-ю override-фразу одного типа за календарный день (A.1 per-phrase, threshold 5); bypass через магическую фразу `лимит снят` в prompt'е (one-shot, счётчик НЕ сбрасывается); reads existing `~/.claude/runtime/override-usage.jsonl`; fail-open outer try/catch на любую внутреннюю ошибку. **Phase 3** — PAMYATKA в `tools/router-classifier.mjs:198-213` расширена 4→8 паттернов: PATTERN 5 (`task_type=feature` + «добавь/реализуй/сделай» + ≥3 шага → writing-plans #19), PATTERN 6 (bugfix живого кода типа regex/parser/hook/race/perf → chain systematic-debugging + Pest #18 для TDD-regression — реальный driver adr-judge fix `1e1457eb`), PATTERN 7 (production runtime errors «на боевом / в логах / liderra.ru» → Sentry MCP #34 ПЕРВЫМ в recommended_chain), PATTERN 8 («N однотипных / по шаблону / массовая правка» → coder-agent #19 через Task tool делегирование — closes 16 reviewer-Opus marks of «should have delegated»). Existing 4 паттерна не тронуты (regression test verbatim защищает). **Эффект на сессию:** Phase 2-хук активируется в этой же сессии — override-counter 28.05 уже >5 по 4 фразам (`recovery` 38, `ремонт инфраструктуры` 26, `без скилов` 17, `срочно` 6), любые override до 00:00 МСК требуют `лимит снят` bypass. **Инциденты сессии:** subagent (Sonnet) crashed mid-Task Phase 3 с API socket error → recovery inline TDD (memory `feedback_subagent_api_crashes.md`); параллельная Claude-сессия угнала worktree на `deploy/stage-2-prod-2026-05-28` между Phase 2 Task 2/3 → recovery `git switch main` без потерь; параллельная сессия запушила за нас Phase 2 (добавила 2 CI-deploy коммита поверх моих 4); Phase 1 push требовал 3 раза `git restore --staged docs/observer/STATUS.md && git restore && rebase --continue` из-за post-commit hook регенерации между rebased commits на Slepok Stage 2 (PR #26, 15 incoming). **Roadmap осталось:** Phase 4 (#9 хук Semgrep на security-edit + #2 measurement enforce-chain-recommendation, ~3ч) и Phase 5 (#4 cost-tracker Stop-hook per `2026-05-25-llm-first-router-overhaul.md` Task 20 Step 5 — `~/.claude/runtime/cost-daily.json`, ~2ч) — отдельные сессии. План-доки `docs/superpowers/plans/2026-05-28-router-hooks-phase{1,2,3}-*.md`. Brain-retro заметка `docs/observer/notes/2026-05-28-brain-retro-9.md` (163 эпизода 27-28.05, 0 observer errors, 30/164 reviewed) + self-retrospect `docs/observer/notes/2026-05-28-self-retrospect.md` (5 привычек к проработке). **Не нормативный version-bump-worthy event** — нет нового tool в Tooling Прил.Н #1-#86, нет нового ADR, нет новой off-phase подкатегории (хуки/анализатор/classifier — infrastructure tools, не реестр); §6 +этот абзац / §9 +entry; **§0 cross-refs не меняются**. Memory `feedback_subagent_api_crashes.md` + `feedback_tdd_gate_subagent_handoff.md` (новые). Через прямой Edit (user-instruction priority к §5 п.10 — заказчик явно сказал «обнови мозг»).
|
||
|
||
**2026-05-28 prompt-caching split on reviewer-agent (perf):** commit `a0bb11a6` — добавлен `buildReviewPromptStructured()` в [tools/brain-retro-opus-reviewer.mjs](tools/brain-retro-opus-reviewer.mjs) возвращающий `{system, user}`; `reviewViaDirectApi()` теперь передаёт структурированную форму в `callAnthropicAPI`, которая уже умеет ставить `cache_control: ephemeral` на system-блок (паттерн `buildClassifierPromptStructured` из [tools/router-classifier.mjs:266-291](tools/router-classifier.mjs#L266-L291) с фазы классификатора — infra reused, transport не пишем заново). System-блок: статичные инструкции + 8-dim cues + schema-version-conditional notes (byte-identical при одинаковом schema_version → стабильный cache-key 5 мин). User-блок: per-episode JSON (волатильный). **Эффект на Opus 4.7 ~ноль:** Anthropic минимум кешируемого префикса = 4096 токенов на Opus 4.7 / Opus 4.6 (2048 на Sonnet 4.6); наш system ~300-400 токенов → Anthropic тихо игнорирует `cache_control`, `cache_creation_input_tokens` остаётся 0, никакой ошибки. Архитектурно корректно и future-proof: активируется моментально при свиче на Sonnet 4.6 (Sonnet ещё и в 5× дешевле по самой модели) или при наращивании system-блока > 4096 токенов (например, добавлением grading-рубрики). `buildReviewPrompt()` остался строкой для обратной совместимости. TDD: +5 invariant-тестов на split (cache-prerequisite: system byte-identical при разных episode body); 14/14 reviewer-тестов GREEN, 1046/1046 tools-only регрессия GREEN. Push `5e70ab78..a0bb11a6`. Source: ProxyAPI-логи показали reviewer-вызовы по ~7,5 ₽ каждый на Opus 4.7 (3963 input / 195 output токенов); classifier при этом дешевле — он уже использовал structured-форму. Memory `feedback_prompt_caching_callAnthropicAPI.md`. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-28 retro #8 follow-up закрытие — 3 enforcement-хука + vocab gap fix:** Три коммита подряд: **(1) `d1d53080`** — `enforce-classifier-match.mjs:33` threshold 0.7→0.8 (борьба с borderline false-positives #3 GitHub MCP / #36 adr-kit) + новый `tools/enforce-chain-recommendation.mjs` PreToolUse-хук на mutating tools (matcher Edit|Write|MultiEdit|NotebookEdit|Bash|Task|Agent; блокирует если `cls.recommended_chain.length >= 2` и я ни одного узла не вызвал; override inline `chain-override: <reason>` или global override; 20 vitest тестов) + побочный fix `tools/registry-load.test.mjs` 85→86 узлов под соседний #86 graphifyy. **(2) `3918f355`** — регистрация chain-recommendation в `.claude/settings.json` PreToolUse, block-mode (per выбор заказчика «агрессивно»). **(3) `497d410e`** — новый `tools/enforce-graph-first.mjs` Stop-хук (порог 3 Grep+Glob без graphify-вызова → block; override inline `graph-skip:` или global; 19 vitest тестов) + регистрация Stop + **vocab gap fix**: `tools/enforce-override-vocab.json` все 7 phrases (без скилов / direct ok / срочно / быстрый коммит / recovery / memory dump / ремонт инфраструктуры) теперь подавляют `graph-first` + `chain-recommendation` (раньше A-хук не имел global override). Регрессия: vitest tools-only 1041/1041 GREEN, lefthook все jobs OK. Reviewer APPROVE на оба новых хука. Push `3918f355..497d410e main -> main`. Memory `feedback_enforcement_hooks_retro8.md` (новая) + MEMORY.md строка 25. Не нормативный version-bump-worthy event (нет нового tool/ADR/категории — хуки в `tools/enforce-*.mjs` инфраструктурный layer, не реестр Tooling Прил.Н #1-#86), §6 +этот абзац / §9 +entry. Через subagent-driven-development (Sonnet coder × 2 + Sonnet reviewer × 2) + `/claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-27 (вечер) adr-judge redos fix + brain-retro 7→10 cuts:** Два связанных коммита сессии. **(1) `1e1457eb` fix(adr-judge):** lefthook job 9 (`adr-judge`) виснул >60s exit 124 на каждом commit'е, симптом — ADR-011 specifically (первый в sorted-обходе чья форма триггерит баг). Root cause — `ENFORCEMENT_BLOCK_RE` в [tools/adr-judge.py](tools/adr-judge.py) с nested non-greedy `(?:.*?\n)*?` + `re.DOTALL`: classic redos, когда ADR имеет `## Enforcement` heading **без** fenced ` ```json ` блока (прозаический Enforcement legitimate — см. ADR-011 строку 91 «this section's existence is verified per-commit»), regex-engine исчерпывает все расщепления через ~50+ строк прозы. Также затронул ADR-016 (тот же шаблон). Fix — декомпозиция в 3 non-backtracking searches: heading → next-section boundary → fence within bounds. Side benefit: JSON fence теперь корректно scoped к Enforcement-секции (раньше мог подцепить ` ```json ` из последующих секций References/Amendment). Verified — все 13 ADR <1 ms каждый post-fix; lefthook adr-judge job 0.23-0.25s. **NB living constraint:** [tools/adr-judge.py](tools/adr-judge.py) **vendored** из adr-kit v0.13.1 (lefthook.yml line 132 «пере-вендорить после `/adr-kit:upgrade`»); фикс перезапишется при upgrade → re-apply из этого коммита ИЛИ upstream PR в adr-kit repo. Утечка процесса: PID 6444 python (adr-judge.py с прошлой сессии) висел 7h+ CPU=25435s (pure regex spin) — убит `Stop-Process -Force`, с новым regex утечек не будет. **(2) `b1398883` feat(brain-retro):** SKILL.md MANDATORY DIGITAL ANALYSIS блок расширен 7 → 10 таблиц. **Cut 8 Class × canon coverage** (`buildClassCanonCoverage` — класс задач × канонические узлы × роутер-рекомендация × реально взят × попал в канон), **Cut 9 Router vs Opus** (`buildRouterVsOpus` — секции A роутер-Opus расхождение / B роутер молчал-Opus сказал нужен скил / C роутер дал-Opus согласился что скил излишен; A и C взаимно исключают по конструкции), **Cut 10 Chain-ignore breakdown** (`buildChainIgnoreBreakdown` — % игнора chain-recommendations + rework-rate, bucket по длине цепочки 1/2/3+). Все три wired в [tools/brain-retro-analyzer.mjs](tools/brain-retro-analyzer.mjs) `analyze()` output автоматически (`result.classCanonCoverage` / `result.routerVsOpus` / `result.chainIgnoreBreakdown`). +216 lines analyzer / +288 lines tests covering функции в изоляции и через analyze(). Driven by retro #8 ручным анализом. **Регрессия:** vitest tools-only 49 файлов / 989 тестов GREEN / 4.06s; lefthook полный цикл 5.55-5.70s; gitleaks-full-history 1729 commits / 33.42 MB / 0 leaks; lychee 105 OK / 0 errors. **Push:** `e184ffe2..1e1457eb main -> main`. **Side-finding (memory):** `feedback_vitest_sentinel_recipe.md` был self-contradicting — содержал `tools/ruflo-*.test.mjs` в exclude-args что триггерит сам же документированный фильтр `detectFullTestRun` "narrow vitest" → sentinel не пишется и `git commit` блокируется. Исправлено: replace `.test.mjs` суффикс на `*`. Новая memory `feedback_adr_judge_redos.md` фиксирует урок про catastrophic backtracking + living constraint (vendored, перезапишется при upgrade). Через `/claude-md-management:revise-claude-md`.
|
||
|
||
**2026-05-26 (поздний вечер) slepok routing protection — DESIGN ARTEFACTS ONLY, прод НЕ затронут:** Аудит «вчерашний слепок поставщика vs live state роутера» (сессия `135a4adf`) выявил 19 рисков (R-01..R-19) — главная проблема: `LeadRouter` сейчас читает live `projects.*` вместо зафиксированного снимка → клиенты paus'нувшие проект сегодня НЕ получают свои оплаченные лиды по уже-зафиксированному поставщиком слепку (R-01, P0). **Канонический бизнес-инвариант (формулировка заказчика):** клиент Лидерры подаёт правки до **18:00 МСК** → Лидерра делает slepok №NЛ → пушит поставщику в 18:05-21:00 МСК → поставщик в 21:00 МСК фиксирует свой slepok №NП → лиды по slepok №NЛ/№NП летят с N.21:00 МСК до (N+1).20:59 МСК. **Решение зафиксировано** в спеке v0.4 + плане реализации: `docs/superpowers/specs/2026-05-26-slepok-routing-protection-design.md` (820+ строк) + `docs/superpowers/plans/2026-05-26-slepok-routing-protection.md` (~1300 строк, 22 task'а × 4-7 шагов TDD). 5 этапов реализации ~7.5-10 рабочих дней: (1) стабилизация прод-state — merge `feat/billing-v2-spec-c` в main (50+ коммитов backward) + R-12/R-14/R-16 точечных фиксов; (2) собственная snapshot-таблица `project_routing_snapshots` + cron 18:02 МСК + переключение `LeadRouter` SQL на JOIN со snapshot; (3) frozen filter в роутере + sync `paused_at` при freeze/unfreeze; (4) корректные расчёты (R-17 ключи / R-18 target_date / R-19 share-aware preflight / CSV business-drift); (5) переключение `SupplierExportMode` `online → batch` после 7-дневного мониторинга. **3 OPEN-вопроса закрыты заказчиком:** OPEN-1 (с 21:00 МСК поставщик только по завтрашнему слепку) ✅; OPEN-2 (resume в любое время = со следующего slepok'а, emergency-кнопка НЕ нужна) ✅; OPEN-5 (`effective_daily_limit_today` сохраняется, в snapshot подхватывается, обнуляется в 00:00 МСК — вариант A) ✅. **Не верифицировано на проде** (assumptions, уточнятся при реализации через прод-SQL запросы из спека §11): R-11 / R-16 / R-17 / R-19. **Реализация не начата** — ожидает команды на запуск. Memory `project_slepok_protection.md` + связь с `project_billing_v2.md` (online/batch policy: текущий `online` — debug-only режим для первых 10-15 клиентов, целевой = `batch`). Через `/claude-md-management:revise-claude-md` + временное отключение `tools/router-tool-gate.mjs` для batch-операции (восстановлено через `git restore` после commit).
|
||
|
||
**2026-05-22 C1 marketing-tooling integration:** Наполнен раздел карты C1 «Маркетинг и продвижение» — формализованы 10 узлов #74-#83 (8 install-now + 2 DEFERRED), новая 18-я off-phase подкатегория marketing-tooling. **#74 marketing** (Anthropic marketplace-плагин, 8 скилов — primary resolver C1) + **#75 marketingskills** (вендоренный скил, 40 маркетинговых фреймворков, модель UPM — материал/резерв-библиотека, не решатель, MKT3) + **#76 brand-voice** (Anthropic partner-плагин — единый тон бренда Лидерры) + **#77 marketing-ru** (self-authored project-скил — РФ-каналы / лендинг / 152-ФЗ маркетинг, eval 20/20) + **#78 Яндекс.Метрика MCP** (`atomkraft/yandex-metrika-mcp`, READ-ONLY, веб-аналитика) + **#79 Яндекс.Директ+Wordstat MCP** (только Wordstat — Direct-мутации отключены per IS9) + **#80 Telegram MCP** (постинг в каналы, выделенный аккаунт) + **#81 Postiz** (self-host AGPL-3.0 internal, планировщик VK + Telegram) + **#82 DataForSEO MCP** (SEO-данные по РФ, **DEFERRED** post-Б-1) + **#83 Unisender Go MCP** (email-маркетинг, **DEFERRED** — нет upstream MCP). **VK out-of-scope** (нет официального MCP, прямой API требует отдельного ADR). IS9 провенанс-вет всех внешних инструментов — `docs/security/marketing-vet.md`. ADR-015 (MKT1–MKT9). Tasks 1 (plugin enable) и 4 (MCP installs) — pending фактической машинной установки. §0 cross-refs Pravila v1.38→**v1.39** / PSR_v1 v3.21→**v3.22** / Tooling Прил.Н v2.22→**v2.23**. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
**2026-05-22 pg_audit #28 + pg_anonymizer #29 — установлены на боевом `liderra.ru`:** Закрыт отложенный элемент безопасности — два расширения PostgreSQL фазы 3, которые нельзя было поставить на dev native-Windows (расширения там недоступны), внедрены, когда появился боевой Linux-сервер (Ubuntu 24.04, PostgreSQL 16). **#28 pg_audit 16.0** — пакет `postgresql-16-pgaudit`, `shared_preload_libraries='pgaudit'` (1 перезапуск ~2с), `CREATE EXTENSION pgaudit`, `pgaudit.log='ddl, role, write'` + `log_parameter=off` (ПДн не логируются); журнал → `/var/log/postgresql/`; закрывает 152-ФЗ аудит-журнал БД. **#29 pg_anonymizer 3.0.13** — готового пакета нет (ни Ubuntu, ни PGDG) → собран из исходников (Rust/pgrx 0.18.0, ~15 мин); `CREATE EXTENSION anon CASCADE` + `anon.init()`; **загрузка по требованию** (`LOAD 'anon'`, не db-wide preload — портал не замедляется); маскирование verified (`+79161234567→+7******67`). Бэкап до работ снят (точка отката). **⚠️ Незапланированно:** установка `postgresql-server-dev-16` из PGDG потянула минорный апгрейд боевого PG 16.13→16.14 + авто-перезапуск — данные целы, портал здоров (RLS с tenant-контекстом, tenants/users/deals на месте); **версия закреплена** (`apt-mark hold` + PGDG-репа отключена). Build-тулчейн + Rust убраны (~3.5 ГБ). Setup/использование/закрепление — `docs/security/pgaudit-anonymizer-setup.md`. Уроки: PGDG-dev-пакеты на этом сервере тянут апгрейд PG (ставить с `hold` заранее); anon = тяжёлое Rust-расширение (грузить on-demand). NB: runbook `docs/deploy/test-server-runbook.md` (ветка feat/test-deploy) — sync отдельно. Исполнено по SSH на боевом сервере + worktree от origin/main для нормативки. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
**2026-05-21 (вечер) A8 infosec — установка ZAP #68 + Ward #70:** По выбору заказчика «оба портативно» (choco был отклонён) оба ранее-pending инструмента **установлены без choco**: **Ward** собран из исходника через portable Go 1.26.3 (`go install github.com/eljakani/ward@v0.4.1` → `bin/ward.exe` v0.4.1; smoke-скан `app/` нашёл High `APP_DEBUG` + Medium `APP_ENV=local`); **ZAP** — cross-platform 2.17.0 (`bin/ZAP_2.17.0/`) + MCP-аддон `mcp-alpha-0.0.1` на portable Temurin JRE 17 (daemon API verified → 2.17.0). Всё в `bin/*` (gitignored, машинно-локально, ~1.2 ГБ); `nuclei.exe` тоже скопирован в основной `bin/`. Setup-доки `docs/security/zap-setup.md` + `docs/security/ward-setup.md`. Статус PENDING INSTALL снят во всей нормативке (Tooling §4.43/§4.45 dormant→false, CLAUDE.md §3.3, PSR_v1 R10.1, Pravila §13.2). Версии-бамп Tooling v2.20→**v2.21** / CLAUDE.md v2.24→**v2.25** / PSR_v1 v3.20→**v3.21** / Pravila v1.37→**v1.38** (полный нормативный синк по выбору заказчика). Квирки установки: curl error 56 на go.dev → `Invoke-WebRequest`; git-bash tar не берёт zip → нативный `tar.exe`/`Expand-Archive`; `Start-Process` калечит путь к jar с пробелами/кириллицей → `-WorkingDirectory`. Исполнено в worktree `a8-install-sync` от origin/main. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
**2026-05-21 A8 infosec-tooling integration:** Наполнен раздел карты A8 «Информационная безопасность» (был пуст — только кросс-теги Semgrep #25 / gitleaks #8) — портал готовится к публичному запуску в интернете. 6 узлов: **#68 OWASP ZAP** (официальный MCP add-on, глубокая боевая DAST — **PENDING INSTALL**: нет Java на native-Windows, способ choco отклонён; цель по умолчанию 127.0.0.1, IS8) + **#69 Nuclei** (`projectdiscovery/nuclei` v3.8.0, Go-бинарь `bin/nuclei.exe` — **установлен+verified** на живом портале; **CLI, не MCP**; квирки: цель 127.0.0.1 не localhost, низкий rate-limit для dev) + **#70 Ward** (`Eljakani/ward`, Go CLI — безопасность настроек Laravel; **ЗАМЕНИЛ Enlightn**: тот abandoned + без поддержки Laravel 13; **PENDING INSTALL**: нет Go) + **#71 pdn-152fz-audit** (self-authored скил — аудит ПДн + 152-ФЗ, заземлён в schema) + **#72 threat-model** (self-authored скил — STRIDE going-public, заземлён в routes) + **#73 security-go-live** (self-authored скил — go-live security-gate, оркеструет #68-72 + D3 → вердикт GO/NO-GO). Новая 17-я off-phase подкатегория infosec-tooling. Провенанс-вет IS9 каждого внешнего ДО установки (риск ToxicSkills ≈13%) — `docs/security/infosec-vet.md`. Серверный слой защиты (WAF/anti-brute-force/DDoS/мониторинг/secrets-vault/TLS/бэкапы) — out of scope, открытые вопросы SEC-1..SEC-7 (Б-1). §0 cross-refs Pravila v1.37 / PSR_v1 v3.20 / Tooling Прил.Н v2.20. ADR-014 (IS1–IS9). Роутер: routing-off-phase v1.4 +связка L15 (security go-live chain), router-procedure v1.3. Исполнено в worktree `worktree-a8-infosec-tooling` (subagent-driven: 3 скила — Sonnet субагенты; нормативка/карта/ADR/роутер — controller Opus). NB: ZAP #68 / Ward #70 — **pending install** (Java/Go; способ choco отклонён), оформлены как pending-узлы (прецедент Sentry/NightOwl). Версии перенумерованы при ребейзе на origin/main (v1.36/v2.23 параллельно заняты observer missed-activations → A8 пошёл v1.37/v2.24). Побочная находка threat-model: `/api/managers`, `/api/dashboard/summary` без авторизации, `/api/webhooks/test` SSRF-риск — отдельная задача до go-live. План `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
**2026-05-20 A1 backend-tooling integration:** Наполнен раздел карты A1 «Программирование — backend» (был тонким — Boost #10 / Pint #11 / Larastan #12). 4 узла: **#64 Rector + rector-laravel** (Composer dev-dep, авто-рефакторинг/version-upgrade; конфиг `app/rector.php` deadCode+codeQuality conservative; постура manual/CI `composer rector`/`rector:fix` — dry-run baseline 16 файлов, **не** блокирующий lefthook, прецедент promptfoo ML1) + **#65 PHP Insights** (Composer dev-dep, метрики complexity/architecture; конфиг `app/config/insights.php` — SyntaxCheck removed из-за Windows subprocess-краша, style-ось off (владелец Pint); on-demand/CI `composer insights`, baseline Code 80/Complexity 81/Arch 75, floors 78/79/73, **не** блокирующий, BT9) + **#66 laravel-backend-patterns** (self-authored project-скил `.claude/skills/laravel-backend-patterns/` — backend-конвенции Лидерры: слоистость controller→service→job / RLS-aware / bcmath-деньги / идемпотентность / partition-aware) + **#67 NightOwl** (self-hosted runtime-телеметрия — **DEFERRED**: native-Windows нет pcntl/posix, OSS без MCP, hosted 152-ФЗ; pending Б-1/Linux, spike `docs/backend/nightowl-spike.md`). Новая 16-я off-phase подкатегория backend-tooling. §0 cross-refs Pravila v1.35 / PSR_v1 v3.19 / Tooling Прил.Н v2.19. ADR-013 (границы BT1–BT9). Роутер: routing-off-phase v1.3 +связка L14 (backend-quality chain Rector→PHP Insights→Larastan→deptrac), router-procedure v1.2. Исполнено в worktree `worktree-a1-backend-tooling` (subagent-driven: скил — Sonnet субагент; нормативка/карта/конфиги — controller Opus). NB: Rector/PHP Insights — **не гейтят коммит** (manual/CI), осознанно. Установка PHP Insights боролась с антивирусом Windows (Permission denied на скачивании, --prefer-source); larastan в worktree требует копирования `_ide_helper*.php` из основной копии (генерация дрейфит baseline). План `docs/superpowers/plans/2026-05-20-a1-backend-tooling.md`. Через прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A11/C10/discovery/finance).
|
||
|
||
**2026-05-20 finance-tooling integration (C6+C7):** Объединённый эпик «Финансы» — наполнены разделы карты C6 «биллинг/тарификация» + C7 «бухгалтерия/налоги». 3 узла: **#61 finance plugin** (marketplace `finance@knowledge-work-plugins` v1.2.0, homed C7, cross-ref C6; РФ-применимость частична — US-GAAP-скилы ⚠️, SOX-скилы not-applicable, warehouse-MCP DEFERRED) + **#62 billing-audit** (self-authored project-скил `.claude/skills/billing-audit/`, C6 — денежные инварианты биллинга: сумма bcmath, идемпотентность, tier-резолюция, дрейф reconcile, charge_source) + **#63 ru-tax-accounting** (self-authored project-скил `.claude/skills/ru-tax-accounting/`, C7 — РСБУ/НК РФ: НДС/УСН, налоговая база, выгрузки бухгалтеру). Плюс reuse-классификация ~11 узлов в C6/C7 через `NODE_SECTION_SECONDARY` + расширенная нормативка под роутер (`routing-off-phase.md` v1.2 +связка L13; `router-procedure.md` v1.1) и наблюдатель (9-атрибутные блоки Tooling §4.36-38 + контролёры C1/C2). ADR-012 (граница C6↔C7: начисление клиенту vs учёт/налоги; FIN1–FIN8). Новая 15-я off-phase подкатегория finance-tooling. §0 cross-refs Pravila v1.34 / PSR_v1 v3.18 / Tooling v2.18. Исполнено в worktree `worktree-finance-tooling-c6-c7` (subagent-driven: скилы/ADR — Sonnet субагенты, нормативка/карта — controller Opus); план `docs/superpowers/plans/2026-05-20-finance-tooling-c6-c7.md`. Через прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A11/C10/discovery).
|
||
|
||
**2026-05-18 SYSTEM-аудит «мозга» + Rec1–Rec5 закрытие:** snapshot `docs/discovery/2026-05-18-system-audit-brain.md` (утро, режим SYSTEM скила `discovery-interview`, scope 125 узлов × 5 осей — здоровье новых узлов / устранение конфликтов / корректность routing / синергия 2+ узлов / пересмотр правил) выявил 5 приоритезированных оптимизаций. **Rec1** — iter8 NODE_META теплокарты `docs/automation-graph.html`: META_WINDOW 09–16.05 → 09–18.05 (10 дней); 23 новых узла 17–18.05 получили baseline=1; `mcp_figma`=0 (DEFERRED); `discovery_interview`=3 (factual); 23 принципиально неизмеримых остались `null`; JS-smoke ✅; commit `9fcefa3`. **Rec2** — ruflo изолирован (см. §3.5 bold-блок): live-связи hooks/MCP/daemon отключены, артефакты сохранены, 2 из 3 ⚫-конфликтов карты сняты; Pravila +§14.9 dormant, Tooling §4.10 +status-block (commit `ec4069c`). Runtime изоляция (.claude/settings.json + .mcp.json) — через commit `1412d3f` параллельной сессии (содержание моё). **Rec3** — `docs/routing-off-phase.md` v1.0 (новый файл, см. §3.7): 34 строки routing-таблицы + 6 правил дисциплины. **Rec4** — 12 канонических связок L1–L12 + anti-pattern (в том же файле). **Rec5** — PSR_v1 v3.14 +R15 «Off-phase routing» (R15.1–R15.7) на свободном слоте (motion удалён v2.0); UI-аппарат R0–R14 без изменений; commit `e5ec754`. Через прямой Edit нормативки + Bash (pm2/runtime) + `/claude-md-management:claude-md-improver` (этот CLAUDE.md). Связано: snapshot, Pravila v1.29, Tooling v2.15, PSR_v1 v3.14, memory `feedback_ruflo_isolated.md` + `feedback_automation_map_not_sot.md` (карта = визуализация, не SoT) + `feedback_hard_rule_no_alt_question.md`. NB: C1+C2 (`e6dbbb4` + `9fcefa3`) уже на origin/main через FF параллельной сессии. CLAUDE.md sync восстановлен из backup-патча `memory/rec1-5-stash-backup-2026-05-18-evening.patch` после потери оригинального stash во время collision с параллельной Claude-сессией.
|
||
|
||
**2026-05-18 Anthropic dev-tooling integration:** Формализованы 5 Anthropic dev-плагинов из marketplace `anthropics/claude-plugins-official`, уже включённых в `~/.claude/settings.json` `enabledPlugins` user-level без формализации (план `docs/superpowers/plans/2026-05-18-anthropic-dev-tooling-formalization.md`, ветка `feat/anthropic-dev-tooling`): **#56 skill-creator** (конструктор standalone-скилов) + **#57 plugin-dev** (конструктор marketplace-плагинов — 8 sub-skills + 3 агента) + **#58 hookify** (генератор хуков) — новая тринадцатая off-phase подкатегория «authoring-tooling»; **#59 claude-code-setup** (рекомендатель Claude Code automations, read-only) + **#60 context7** (актуальная документация библиотек) — новая четырнадцатая off-phase подкатегория «dev-support». Триггер — аудит «мозга» через discovery-interview SYSTEM-режим: вскрыт L1-паттерн «плагин фактически включён в settings.json без формализации в правилах» (повтор UPM/21st 10.05.2026 и Sentry/Redis 13.05.2026). §3 title 55→60, §1 row 2b 55→60, §3.3 +5 строк #56–#60, §3.3 footer 55→60, §0 cross-refs Pravila v1.28 / PSR_v1 v3.13 / Tooling v2.14, §6 +абзац, §9 +запись. ADR-010. Новые подкатегории — не UI → вне R6.0/R6.1/R14. **hookify HK1** — обязательный pre-check на коллизию с 6-компонентной economy/skill-discipline хук-архитектурой; закрывает 🔴-конфликт карты `hookify_plugin ↔ hk_pre_claude` (классификация карты 🔴1/⚫3/🟢7 → 🔴0/⚫3/🟢8). Конфликт-аудит SC1–SC3 / PD1–PD3 / HK1–HK3 / CCS1 / CTX1–CTX2. Исполнение в изолированном worktree; ветка ребейзнута на parallel-sessions §15 (origin/main `781a59c`) — v2.14 и Pravila v1.27 параллельно заняты §15-эпиком, перенумеровано v2.14→v2.15 / Pravila v1.27→v1.28. CLAUDE.md правлен прямым Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент A11/C10/discovery).
|
||
|
||
**2026-05-18 discovery-interview integration:** Формализован новый раздел карты «discovery-tooling» — скил **#55 discovery-interview** (план `docs/superpowers/plans/2026-05-18-discovery-interview-integration.md`, ветка `worktree-discovery-interview`): self-authored project-скил в `.claude/skills/discovery-interview/` (`SKILL.md` + `references/jtbd-questions.md` + `evals/evals.json`), два режима — **FEATURE** (JTBD-интервью заказчика перед фичей: вскрывает проблему до решения, отдаёт discovery-brief в `brainstorming`) + **SYSTEM** (интервью-ориентация по мета-слою проекта — карта/CLAUDE.md/MEMORY/Открытые_вопросы/Tooling/git log). Режим «интервью конечных пользователей» — defer post-Б-1. `docs/discovery/` — home SYSTEM-snapshot'ов + шаблоны; ADR-009. Новая двенадцатая off-phase подкатегория «discovery-tooling». 4 normative files: Tooling v2.13, PSR_v1 v3.12, Pravila v1.26, CLAUDE.md v2.13. **Коллизия с параллельной C10:** C10-сессия зашипила скил `process-analysis` (#53), чей режим 1 — «process discovery»; коллизия снята разрезом по **слою-источнику** (ADR-009, DI1–DI6): process-analysis работает с app-кодом, discovery-interview — с головой заказчика (FEATURE) и мета-слоем (SYSTEM). Триггер-eval через классификатор — **20/20** (4 near-miss к process-analysis, включая буквальное «process discovery», ушли корректно); переименование-fallback не понадобилось. Исполнение в изолированном worktree от origin/main `33d9c43`; CLAUDE.md правлен прямым Edit — worktree-constraint эксцепшн §5 п.10.
|
||
|
||
**2026-05-17 C10 business-process integration:** Наполнен раздел C10 «Бизнес-процессы (общее)» карты (план `docs/superpowers/plans/2026-05-17-c10-business-process-tooling-integration.md`, ветка `worktree-c10-business-process-tooling`): **#51 operations** (Claude Code marketplace-плагин `operations@knowledge-work-plugins` v1.2.0, Anthropic Verified — 9 скилов `process-doc`/`process-optimization`/`change-request`/`capacity-plan`/`compliance-tracking`/`risk-assessment`/`runbook`/`status-report`/`vendor-review`, 0 lifecycle-хуков; тот же marketplace, что #42/#46), **#52 process-modeling** + **#53 process-analysis** (self-authored project-скилы в `.claude/skills/` — BPMN 2.0 моделирование to-be + as-is discovery из кода Laravel; не вендоренные → линтуются, LINT1), **#54 n8n-mcp** (`czlonkowski/n8n-mcp`, MIT, workflow-движок — **DEFERRED**: у портала нет n8n, движок процессов = очередь Laravel; принятие n8n = отдельный ADR; pending-слот как Figma MCP #44). Плюс 5 reuse-кросс-ссылок (mermaid #37 / architecture-patterns #38 / CCPM #41 / product-management #42 / superpowers writing-plans) — surface в C10 через `NODE_SECTION_SECONDARY`, без новых номеров. C10 home — `docs/process/` (README + worked example `deal-lifecycle-process.md`); ADR-008. Новая одиннадцатая off-phase подкатегория «business-process». 4 normative files: Tooling v2.11, PSR_v1 v3.11, Pravila v1.25, CLAUDE.md v2.11. Стратегия — Approach 3 (hybrid + vendoring; brainstorming-решения: n8n DEFERRED, BPMN — свой вендоренный скил). Конфликт-аудит интеграции: OPS1 (`process-doc` → Mermaid-исходник, рендер за mermaid #37), OPS4 (operations активируется в Claude Code — resolved on install: v1.2.0, 9 скилов, 0 хуков), OPS5 (operations generic ↔ self-authored stack-grounded скилы), N8N1 (n8n не в стеке → DEFERRED), LINT1 (self-authored скилы линтуются, не в ignorePaths), BPMN1 (process-modeling нотация ≠ mermaid рендер), PA1 (процессные узкие места ≠ runtime). Исполнение в изолированном worktree от origin/main `008c8a3` (A11); CLAUDE.md правлен прямым Edit — worktree-constraint эксцепшн §5 п.10 (прецедент A11 v1.24).
|
||
|
||
**2026-05-17 A11 ml-ai-tooling integration:** Наполнен раздел A11 «ML / AI-разработка» карты (план `docs/superpowers/plans/2026-05-17-a11-ml-ai-tooling-integration.md`, ветка `worktree-a11-ml-ai-tooling`): **#48 promptfoo** (npm devDependency `promptfoo` v0.121.11, MIT — CLI-eval LLM-промптов: ассерты/регрессия/LLM-judge/red-team; seed-пример `docs/ml/promptfoo-example/`), **#49 Data Scientist skill** (вендоренный сторонний скил в `.claude/skills/data-scientist/`, `sickn33/antigravity-awesome-skills`, код MIT / контент CC BY 4.0 — классический ML-воркфлоу), **#50 Jupyter MCP** (`datalayer/jupyter-mcp-server`, исполняемые ноутбуки — **DEFERRED**: требует Python ML-окружения, которого на native-Windows машине нет; зарегистрирован pending-слотом как Figma MCP #44). Плюс reuse-слой — claude-api skill + context7 MCP + Sentry MCP (без новых номеров). Новая десятая off-phase подкатегория «ml-ai-tooling». A11 home — `docs/ml/`; ADR-007. 4 normative files: Tooling v2.10, PSR_v1 v3.10, Pravila v1.24, CLAUDE.md v2.10. Конфликт-аудит интеграции: ML1 (promptfoo платные LLM-вызовы → запуск вручную/CI, никогда в хук), ML2 (promptfoo red-team ≠ D3 ToB/Semgrep — разные объекты), ML3 (Data Scientist skill вендорен → lefthook exclude + lint-ignore), ML7 (bus-factor → вендоринг). Footprint: promptfoo тяжёлый (~1090 пакетов, нативный `better-sqlite3`, 7 high-severity npm-audit в dev-дереве — dev-only). NB: исполнение в изолированном worktree от тихого origin/main `05706ef` (среда треплется ≥3 параллельными сессиями); CLAUDE.md правлен прямым Edit — worktree-constraint эксцепшн §5 п.10.
|
||
|
||
**2026-05-17 A3 integration-tooling integration:** Наполнен раздел A3 «Программирование — интеграции (API, вебхуки)» карты (план `docs/superpowers/plans/2026-05-17-a3-integration-tooling-integration.md`, ветка `feat/a3-integration-tooling`): **#47 openapi-mcp-server** (`@ivotoby/openapi-mcp-server` v1.14.0, npm, MIT — отдаёт OpenAPI-спеку как MCP-ресурс/тулы; в `.mcp.json`, smoke verified native-Windows) + **api-docs agent** (claude-flow — генератор OpenAPI-спеки; узел карты A3 без отдельного Tooling-номера, sub-агент). Карта A3 0→7 узлов: 2 новых + 5 кросс-реф существующих (context7 / Boost / Pest / Semgrep / Sentry MCP) через новый аддитивный слой `NODE_SECTION_SECONDARY` (`NODE_SECTION` 1:1 не трогается); карта 116→118 узлов. Новая девятая off-phase подкатегория «integration-tooling». 4 normative files: Tooling v2.9, PSR_v1 v3.9, Pravila v1.23, CLAUDE.md v2.9. Smoke: OpenAPI-скелет `docs/api/openapi.yaml` для `/api/deals` (api-docs agent) + openapi-mcp `npx --help` verified. NB: ветка форкнулась от устаревшей D3-эры — ребейзнута на актуальный origin/main `1313d89` до коммита нормативки (C9/deptrac/A4 уже влиты → #47/§4.22, не #41/§4.16).
|
||
|
||
**2026-05-17 A4 design-tooling integration:** Расширен раздел A4 «Дизайн (UI/UX, графика, бренд)» карты — формализованы 3 инструмента (план `docs/superpowers/plans/2026-05-17-a4-design-tooling-integration.md`, ветка `feat/a4-design-tooling`): **#44 Figma MCP** (официальный remote MCP-сервер, извлечение дизайн-токенов из Figma-источника — **DEFERRED**: FM2-спайк показал, что у проекта нет Figma-аккаунта, дизайн-источник Лидерры — статический handoff Платона, не Figma-файл; регистрируется deferred-pending как Sentry #34), **#45 Universal Icons MCP** (`mcp-universal-icons`, MIT — поиск/вставка SVG-иконок 10 коллекций включая Lucide; в `.mcp.json`), **#46 Design plugin** (Anthropic Verified — дизайн-критика / a11y-аудит дизайн-уровня / UX-копирайт / research synthesis). Карта A4 3→6 узлов. Новая восьмая off-phase подкатегория «design-tooling». 4 normative files: Tooling v2.8, PSR_v1 v3.8, Pravila v1.22, CLAUDE.md v2.8. Границы — ADR-006. Конфликт-аудит интеграции: FM1 (Figma MCP extract-only — code-gen дублировал бы FD #30 → не используется), FM2 (нет Figma-файла → #44 DEFERRED, Task 4 отложен до Figma-аккаунта), UI1/UI2 (Universal Icons — иконки-материал, не решатель; граница с 21st `logo_search`), DP1 (Design plugin a11y дизайн-уровня — Pa11y остаётся техническим SoT), DP2 (Design Critique pre-code, не подменяет `requesting-code-review`).
|
||
|
||
**2026-05-17 deptrac architecture-fitness integration:** Расширен раздел A6 «Архитектура систем» карты — формализован 4-й инструмент architecture-tooling (план `docs/superpowers/plans/2026-05-17-deptrac-architecture-fitness-integration.md`, ветка `worktree-deptrac-architecture-fitness`): **#43 deptrac** (Composer dev-dependency `deptrac/deptrac` v4.6.1, BSD-3-Clause; статический анализ направления зависимостей между слоями `App\`). Закрывает A6-пробелы «контроль соответствия архитектуре (conformance/fitness)» + «контроль направления зависимостей / границ слоёв». Конфиг `app/deptrac.yaml` (13 слоёв Controller/Service/Model/Job/…) + консервативный ruleset; первый прогон **0 нарушений** (481 allowed / 977 uncovered) → baseline-файл не нужен. Врезан как lefthook pre-commit **job 10**; red-green доказан (намеренное Model→Service помечается `DependsOnDisallowedLayer`, exit 1; чистый tree — exit 0). Mermaidjs-форматтер → code-derived C4-component-диаграмма `docs/architecture/c4-component-layers.md` (выводится из кода — дрейфовать не может). ADR-005. 4 normative files: Tooling v2.7, PSR_v1 v3.7, Pravila v1.21, CLAUDE.md v2.7. Конфликт-аудит интеграции: DT1 (composer-резолвер чист — PHAR-fallback не понадобился), DT3 (headline-риск «pre-existing violations требуют baseline» не материализовался — 0 нарушений), DT4 (граница с Larastan #12 — типовой анализ vs граф слоёв), DT5 (граница с adr-judge #36 — декларативный regex vs AST-граф). Чистый PHP, 0 вызовов LLM (AK6).
|
||
|
||
**2026-05-17 C9 project-management integration:** Закрыт раздел C9 «Управление проектами» карты — формализованы 2 инструмента (план `docs/superpowers/plans/2026-05-17-c9-project-management-tooling-integration.md`, ветка `worktree-c9-project-management-tooling`): **#41 CCPM** (вендоренный standalone-скил в `.claude/skills/ccpm/`, `automazeio/ccpm`, MIT; PRD/эпики в `.claude/prds/` + `.claude/epics/`; 14 bash-скриптов без lifecycle-хуков) + **#42 product-management** (Anthropic marketplace-плагин `product-management@knowledge-work-plugins`; команды `/write-spec`, `/roadmap-update`, `/metrics-review`). Реюз GitHub MCP `#3` для GitHub-issues (GH1 — без нового инструмента). `docs/projects/` — home директория; ADR-004 (project-management decision). Новая седьмая off-phase подкатегория «project-management». 4 normative files: Tooling v2.6, PSR_v1 v3.6, Pravila v1.20, CLAUDE.md v2.6. Конфликт-аудит интеграции: CP1 (CCPM lifecycle-хуков нет — lefthook не затронут), PG1 (product-management = Anthropic Verified, провенанс чист), GH1 (GitHub MCP #3 реюз — 0 новых инструментов для issues-части), REU1 (CCPM/product-management не дублируют adr-kit — orthogoal layers), CC1 (CCPM вендорен → lefthook markdownlint+cspell должны exclude `.claude/skills/ccpm/**` — аналог MK1 для mermaid-skill), NUM1 (счётчик 40→42, семь off-phase подкатегорий).
|
||
|
||
**2026-05-17 D3 audit-security integration:** Закрыт раздел D3 «Аудит и управление рисками» карты — формализованы 2 инструмента + customized `/security-review` (план `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`, ветка `feat/d3-audit-risk-tooling`): **#39 Trail of Bits Skills** (marketplace `trailofbits/skills`, курированный субсет 8 audit-плагинов, CC-BY-SA-4.0 — глубокие on-demand аудит-кампании), **#40 Security Guidance** (Anthropic блокирующий PreToolUse-хук — inline-предупреждения уязвимостей, `sys.exit 2`); **#2 `/security-review`** customized в `.claude/commands/security-review.md` с проектным FP-фильтром (RLS / ПДн / economy-хуки). Новая шестая off-phase подкатегория «audit-security». Также: `audit-portal` project-скил (дистилляция 14-фазного портального аудита), `docs/audit/` (ручная процедура аудита attack-surface тулчейна — #5 community-аудиторы defer'нуты, провенанс не верифицирован), ADR-003 (риск-реестр через adr-kit). 4 normative files: Tooling v2.5, PSR_v1 v3.5, Pravila v1.19, CLAUDE.md v2.5 (D3-интеграция v2.4 + factual-правка SG #40 v2.5 — блокирующий хук, не warn-only; +SG2 Windows-починка python3). Конфликт-аудит интеграции: TB1 (граница ToB ↔ Semgrep MCP), TB4 (CC-BY-SA не триггерится — не вендорено), SG1 (5-й PreToolUse-хук, блокирующий), AD1 (риск-реестр = adr-kit, без отдельного инструмента).
|
||
|
||
**2026-05-17 A6 architecture-tooling integration:** Закрыт раздел A6 «Архитектура систем» карты — формализованы 3 инструмента (план `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`, ветка `feat/a6-architecture-tooling`): **#36 adr-kit** (ADR в `docs/adr/` — ADR-000/001/002; `adr-judge` врезан в lefthook pre-commit job 9, декларативно без `--llm` — 0 стоимости), **#37 mermaid-skill** (вендорен в `.claude/skills/mermaid/`; C4-диаграмма системы в `docs/architecture/c4-context.md`), **#38 architecture-patterns** (справочник паттернов). Новая пятая off-phase подкатегория «architecture-tooling». 4 normative files: Tooling v2.3, PSR_v1 v3.3, Pravila v1.17, CLAUDE.md v2.3. Конфликт-аудит интеграции: AK1 (git-хук adr-kit не ставится — `adr-judge` через lefthook), AK2 (`init` не пишет CLAUDE.md), AK6 (`adr-judge` без `--llm` — 0 вызовов Claude API), MK1 (lefthook `exclude` вендоренного скила).
|
||
|
||
**2026-05-16 реколлаж ruflo:** Декларация «entry-point уровня −1» приведена к фактическому рантайму (рой idle, 0 задач, Claude работает напрямую, enforcement только через хуки settings.json). ruflo переописан из entry-point уровня −1 в advisory/automation-подсистему. 4 normative files обновлены: Pravila v1.16, CLAUDE.md v2.2, PSR_v1 v3.2, Tooling v2.2. §14 queen-триггер (хук `tools/ruflo-queen-hook.mjs`) — сохранён без изменений. Spec: `docs/superpowers/specs/2026-05-16-ruflo-hierarchy-factual-recollage-design.md`.
|
||
|
||
**2026-05-15 ruflo big-bang integration:** Установлен ruflo v3.7.0-alpha.38. 4 normative files переписаны: Pravila v1.14 (commit `9c3057b`), PSR_v1 v3.0 (commit `d30cbeb`), этот файл v2.0 (commit `5df88a1`), Tooling v2.0 (commit `f65a8d7`). Карта-форк `docs/automation-graph-ruflo.html` (commit `796d814`) — TO-BE visualization с Queen + 9 swarm-roles + 4 sub-policy edges + 3 BLACK conflicts. Pre-flight Phase 1 verified: 20 plugins (не 32 как initially estimated; IPFS-registry CID `QmeXmAdbWVvT84GfDXPD2Vg1HWhiTW2VdZfRLhkS96KkX2`), 60+ agents, stdio MCP (no port-conflict), PowerShell elevation ✅. **Runtime активирован 2026-05-15 afternoon (full activation):** ruflo установлен глобально; daemon ACTIVE под PM2 + Task Scheduler reboot-survival; hive-mind ACTIVE (Queen + 9 agents); memory init + реальные embeddings `Xenova/all-MiniLM-L6-v2` 384-dim. Verification: `ruflo doctor` 10 passed / 7 warnings (alpha/optional); Pest --parallel 0 регрессий от ruflo (1 intermittent error классифицирован `pest-parallel-debugger` агентом как quirk 72 — ruflo не трогает Redis :6379, лишь worker-jitter усиливает частоту flake). **$-расход near-zero** — нет LLM API-ключей. Технические компенсаторы сохраняются: gitleaks pre-commit + pre-push, RLS на DB (5 ролей + 39 policies), Pest --recreate-databases, dev DB only. Подробности — §3.5 «Runtime state».
|
||
|
||
**Post-MVP (10.05.2026).** Фазы 0/1/2 по тулчейну закрыты (24/29 активны по фазам после установки Frontend Design plugin v1.78). **+3 off-phase tools формализованы 10.05.2026:** #31 UI UX Pro Max (skill, резерв-библиотека UI, формализован v1.83), #32 21st.dev Magic MCP (генератор шаблонов UI, формализован v1.83), **#33 claude-md-management** (skills, инфраструктура CLAUDE.md edits — формализован в v1.84 после audit находки «5-й включённый плагин без номера в реестре»). UPM + 21st активируются только через PSR_v1 v1.6 R14 pipeline; claude-md-management — обязательный канал правок CLAUDE.md (§5 п.10), регулируется PSR_v1 R10.1 блок 1. Итого формализованных позиций тулчейна: **33** (19/29 активных по фазам + 3 off-phase + 1 заменённый PG MCP исторически — слот #1, заменён #10 Boost в фазе 1, формально остаётся в реестре). Без «+1 historic» арифметика «33» не сходится — это правка v1.85. MVP Claude-зоны закрыт в v1.72; затем закрыт Reports backend epic (v1.73, 4 этапа `19f319c..e0ffe7e`). 13/13 экранов handoff покрыты UI + 3 ErrorView (404/403/500); landing ⏸ Б-1. Backend: auth (login/register/2FA/recovery/forgot/reset) + deals API (index/show/store/update/transition/destroy/restore/export-CSV+XLSX) + 3 lookup-API + reminders CRUD + cron + in_app_notifications + bell-UI polling + notification-preferences PATCH + admin (tenants/billing/incidents/system) + impersonation + webhook receive (HMAC + per-token rate-limit). Все 8 schema-default событий уведомлений интегрированы. **Pest 403/403, Vitest 393/393, Histoire 21/43.**
|
||
|
||
- Активно: **24 инструмента из 29 phase-slot** — 9 из фазы 0 (см. §3.1) + 8 из фазы 1: **#10 Boost v2.4.6**, **#11 Pint v1.29**, **#12 Larastan v3.9.6**, **#13 Roave/SecurityAdvisories**, **#14 IDE Helper v3.7.0**, **#15 squawk v2.51.0**, **#16 pgFormatter v5.9**, **#18 Pest v4.7.0** + 7 из фазы 2 (закрыта по тулчейну, см. ниже): #19 Superpowers + #20–24 + **#30 Frontend Design plugin** (paired stack). 9+8+7=24. Off-phase tools (#31 UPM + #32 21st + #33 claude-md-management) — также активны в `~/.claude/settings.json`/`~/.claude.json`, но регулируются отдельной механикой R10/R14 PSR_v1 / §5 п.10 (не входят в фазовую раскладку).
|
||
- **Plan 4 (Billing + CSV Reconcile + Admin) MERGED в `origin/main`** — Plan 4 closure marker `8681040` («docs: Plan 4 closure — CLAUDE.md v1.87 + Открытые_вопросы v1.78»); backend task-коммиты `a907fea..174dbae` (Tasks 9-11) merged ранее. **Post-Plan-4 на origin/main отдельно подъехала R15 motion-runtime removal история:** `0fd93fd` (design+plan) + `615db99` («chore(rules): remove R15 motion-runtime restrictions (PSR_v1 v2.0)») — НЕ часть Plan 4. Schema v8.18 → v8.19 (новая таблица `supplier_csv_reconcile_log`, +3 колонки, +3 индекса, +2 CHECK). Активирован 7-ступенчатый pricing-tier биллинг (`PricingTierResolver` pure + `LedgerService` dual-balance prepaid→rub через bcmath); `CsvReconcileJob` hourly с drift>5% алертом; auto-pause flow `ZeroBalancePausedMail` 1/час/tenant; 3 UI экрана (`AdminPricingTiersView` + `AdminSupplierPricesView` + `ChargesTab` в `BillingView`).
|
||
- **Plan 5 frontend (Tasks 7-11) + Quiet Luxury portal redesign (20 commits) + dev-indices (10 commits) в ветке `plan5-frontend-projects`** (85+ commits ahead of `origin/main` на 12.05.2026 после audit-fix-серии): backend ProjectController 8 методов + schema v8.20 (post-merge) + 41 Pest; frontend 6 commits + Vitest delta +25 specs; Quiet Luxury foundation CSS (tokens/typography/motion) + 3 composables + 4 UI primitives + AppSidebar rewrite + 4 view applications; DevIndexBadge temporary feedback feature. **Post-merge factual baseline 12.05.2026:** Pest 742 / Vitest 614 + 3 skipped / Histoire 35 stories / 63 variants / Vite build 1.80s / 0 lychee broken / 0 gitleaks. +7 новых **Биз-25..31** в реестре (Plan 4). Drive-by closure: Plan 1 deferred WARNING #7 (SupplierProjectFactory random race) — fixed в Task 10 `0f820c4`.
|
||
- Готово в фазе 1: Laravel 13.7 в `app/`, predis 3.4.2, **schema.sql v8.19 развёрнута через `migrate:fresh` (871 ms, 1 миграция `load_initial_schema.php` — raw SQL через `DB::unprepared(file_get_contents(...))`)**, 3 default Laravel-миграции удалены (users/cache/jobs дублировались с нашей schema), smoke-test'ы (**Pest 19/19 за 1711 ms** — 4 RLS smoke + 8 model smoke + 5 middleware + 2 default; Pint passed, PHPStan analyse passed с baseline, ide-helper:generate OK + ide-helper:models -W -M -N для @mixin IdeHelper*, squawk 0 issues с конфигом, pgFormatter dry-run OK), MCP-сервер `boost:mcp` через Roster auto-detect (9 tools, JSON-RPC 2024-11-05). **Eloquent-модели**: `Tenant`, `User`, `Project` (+ factories) — `User` переписан под нашу схему (`password_hash` вместо `password`, override `getAuthPassword()`), Soft Deletes на Tenant + User. **Middleware `SetTenantContext`** (alias `tenant`): резолюция tenant_id из `auth()->user()`, subdomain или `X-Tenant-Id` header → `SET LOCAL app.current_tenant_id` в обёртке транзакции (PgBouncer-safe). **Deployment-скрипты ролей БД** для production: `db/00_create_roles.sql`, `db/02_grants.sql`. На dev — `postgres` superuser. **CTO-13 RLS smoke-test реализован**: `tests/Feature/RlsSmokeTest.php` + `TenantModelsTest.php` + `SetTenantContextTest.php`.
|
||
- Артефакты фазы 0 без изменений: 17 файлов архива (narrative v8.5 финал 07.05.2026), **13 концептов v8 Forest в [web/v8/](web/v8/)**.
|
||
- **Стек dev**: native Windows. PostgreSQL 16 (Chocolatey, Windows-сервис) + Memurai Developer (Redis 7-совместимый, Windows-сервис) + native PHP 8.3 + Composer. **Без Docker, без WSL2** — машина OpenStack-VPS не пробрасывает nested virtualization. Подробности — `memory/project_phase1_strategy.md`.
|
||
- **Не применимо**: **#17 pg_partman** заменён ручным cron'ом — на native Windows-PG расширение недоступно (см. project_phase1_strategy). Pre-commit хуки для Pint/Larastan/squawk — в `lefthook.yml` (jobs 5/6/7).
|
||
- Активно фаза 2 (**6/6 инструментов — фаза 2 по тулчейну закрыта**): **#20 Volar** (VSCode-only), **#21 vue-tsc 3.2**, **#22 ESLint+Prettier+Vue** (eslint 10 flat-config + plugin-vue 10 + @vue/eslint-config-typescript 14 + config-prettier), **#23 Vitest 4.1** + @vue/test-utils + jsdom (**139/139 тестов**, +10 за auth-store + router-guard, за 10.11 сек), **#24 Histoire 1.0-beta.1** (21 story / **28 variants** за 31.73 сек). **Runtime-deps:** vuedraggable@4 + axios@1.16 + pinia@3.0. Frontend-стек: Vue 3.5 + Vuetify 3.12 + @vitejs/plugin-vue 6 + vite-plugin-vuetify (auto-import) + **vue-router 4.6** (createWebHistory + lazy-imports). Палитра Forest в `resources/js/plugins/vuetify.ts` (Teal `#0F6E56` primary, ivory `#F6F3EC` bg, теало-нуар `#012019` secondary). Pre-commit lefthook-job #8 ESLint на staged `resources/js/**/*.{ts,vue}`. Tailwind удалён. **Histoire vs Vite 8 несовместимость:** Histoire 1.0-beta.1 заявляет peerDep `vite ^7`, установлен через `--legacy-peer-deps`; smoke-test (build) пройден, Vuetify-плагин регистрируется через `setupFile`. При выходе совместимой с Vite 8 версии — обновить.
|
||
- Frontend-структура: `resources/js/router/index.ts` (6 маршрутов + meta.layout 'auth'/'app'), `layouts/AuthLayout.vue` (двухпанельный для auth-экранов), `layouts/AppLayout.vue` (sidebar nav-tree + topbar + RouterView для авторизованных), `views/auth/{Login,Register,TwoFactor,ForgotPassword,RecoveryCodes}View.vue` (5 auth-view'ов), `views/DashboardView.vue` (KPI-row + balance), `components/AppShell.vue` (layout-mapper по `route.meta.layout`: 'app' default → AppLayout, 'auth' → AuthLayout). Backend SPA-маршруты: `routes/web.php` явные `Route::view('/...', 'welcome')` для /, /login, /register, /forgot, /2fa, /recovery, /dashboard (явные, не catch-all — иначе перехватывал бы `_test/*` runtime-routes из Pest beforeEach).
|
||
- Триггер фазы 3: ~спринт 12.
|
||
|
||
**P0-блокер** один: **Б-1** (реквизиты юр. лица, ждут регистрации ООО). От него зависят также Диз-3, DO-2, DO-4. Диз-1 закрыт 08.05.2026 (handoff Платона покрыл 13/8).
|
||
|
||
---
|
||
|
||
## 7. Laravel Boost — фактическая установка 08.05.2026 (✅ применено)
|
||
|
||
**Wizard `php artisan boost:install` сломан в обоих режимах на этой машине** — кириллица в пути крашит интерактив `laravel/prompts`, `--no-interaction` падает в баге L13 `ConfiguresPrompts::multiselectFallback`. Установка выполнена **вручную** (коммит `e04f53b`). Подробности — memory `feedback_environment.md` п.26. На Linux/macOS-машинах с ASCII-путями wizard работает нормально.
|
||
|
||
**Что сделано вручную (вместо wizard'а):**
|
||
|
||
1. **`composer require laravel/boost --dev`** — установлен Boost v2.4.6 + транзитивы (laravel/mcp v0.7.0, laravel/roster v0.5.1, symfony/yaml v7.4).
|
||
2. **Этот `CLAUDE.md` не тронут** — Boost при manual setup ничего не пишет в `app/CLAUDE.md` (и тем более в корневой). Корневой остаётся источником истины.
|
||
3. **`.mcp.json` (корень)** — добавлен блок `laravel-boost` (command=`php`, args=[`app/artisan`, `boost:mcp`]) рядом с `playwright`/`github`. PostgreSQL MCP убран ещё в фазе 0 (`_comment_postgres`).
|
||
4. **«Отключение guidelines»** — **избыточно**. Boost через `laravel/roster` auto-detect видит установленные пакеты в composer.lock и серверит только релевантные. Inertia, Livewire, Tailwind, Filament, Flux UI, Nova, Folio, Volt, Wayfinder, Sail, PHPUnit — у нас не установлены, Roster их не серверит. `boost.json` минимален: 3 ключа (`agents=[claude_code]`, `guidelines=true`, `mcp=true`).
|
||
5. **Кастомный Vuetify 3 guideline** — `app/.ai/guidelines/vuetify.md` (путь по `Laravel\Boost\Install\GuidelineComposer::userGuidelineDir = '.ai/guidelines'`; в Tooling §10.2 был указан устаревший `resources/boost/guidelines/...` — скорректирован в Tooling v1.5).
|
||
6. **`.mcp.json` и `app/boost.json`** — оба в репозитории.
|
||
7. **Pest 4** активен — Roster видит его, серверит Pest guidelines. PHPUnit убран из direct deps в коммите `30f0335` — Roster не серверит PHPUnit guideline.
|
||
8. **Production DB** — не подключать к Boost. `app/.env.production` не должен попадать в локальный конфиг.
|
||
|
||
---
|
||
|
||
## 8. Self-review триггеры
|
||
|
||
После массивных правок (≥3 групп патчей) — обязательно (§4.6 правил Claude):
|
||
|
||
| Файл | Что проверять |
|
||
|---|---|
|
||
| `db/schema.sql` | 0 orphan-FK, целостность RLS, 0 дубликатов `CREATE TABLE`; метрики (таблицы / индексы / RLS / функции / триггеры) сверять с header [db/schema.sql](db/schema.sql) + [db/CHANGELOG_schema.md](db/CHANGELOG_schema.md) — канон, не с числом в CLAUDE.md (finding 3) |
|
||
| narrative `.md` | Версии в шапке/колонтитуле, 0 «готовится»/«TBD», кросс-ссылки на актуальные имена файлов |
|
||
| Прил. А–Н | Версия совпадает с narrative; все упомянутые подразделы существуют |
|
||
| Прил. Н (Tooling — реестр инструментов) | Счётчики — канон Tooling Прил. Н §0; 0 дублей; синхронность Tooling ↔ CLAUDE.md по §0 cross-refs |
|
||
|
||
Результат — кратким блоком в конце ответа.
|
||
|
||
---
|
||
|
||
## 9. История версий
|
||
|
||
Полная история — [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md) (вынесена 09.05.2026 при правке v1.73→v1.74 ради лаконичности шапки). Здесь — последние правки:
|
||
|
||
- **v2.46 от 14.06.2026 — research-tooling (Perplexity Pack): нормативный синк #87-89 + ADR-019 (Plan 2) + реестр/роутер (Plan 3)** — off-phase слой research-tooling (20-я подкатегория): #87 perplexity + #88 exa + #89 firecrawl (внешние MCP веб-разведки, READ-ONLY, платные API — ключи в env, gate read_only `bfc1f575`, IS9-вет `docs/research/research-vet.md` все ПРИНЯТ). **Plan 3** (роутер/реестр): nodes.yaml +3 узла + L17 (research chain) + 3 contract-карточки (Машина 3-E инвариант) + registry-load.test 86→89/78→81 + `node tools/registry-render.mjs` (регенерация Tooling-summary + routing-table) + routing-off-phase L17/v1.7; tools-регрессия **3931 passed / 2 skip**. **Plan 2** (нормативка): Tooling §4.60-62 + §0 счётчик 84→87 / 104→107 / off-phase +54→+57 + header v2.25; PSR R10.1 Блок 3 + R15.6 + header v3.24; Pravila §13.2 + header v1.44; CLAUDE.md §3.3/§0 cross-refs/§6/§9/header; ADR-019 (RT1–RT9 — границы vs context7 #60 / openapi #47 / Boost #10 / Sentry+Redis #34/#35 / graphify #86 / GitHub #3). **§0 cross-refs МЕНЯЮТСЯ** — Pravila v1.43→v1.44 / PSR v3.23→v3.24 / Tooling Прил.Н v2.24→v2.25 (новая off-phase подкатегория). Под стеной «роутер-наставник»: Plan 3 — прямые правки (не ЗАКОН-файлы); Plan 2 ЗАКОН-файлы — через owner **FLOOR-ESCAPE per write** (нормативный §6-гейт требует владельца, `claude-md-management` недостаточен). automation-graph viz отложена батчем (карта лагает с #84-86). Через прямой Edit под owner-escape.
|
||
- **v2.45 от 01.06.2026 — lead region resolution (определение региона лида по телефону + каскадная маршрутизация)** — app-фича, TDD (Сессии 1-6). `LeadRegionResolver` (каскад по qc DaData → реестр Россвязи → tag-fallback) + слой `DaData/*` + `DaDataRegionMap` + `RossvyazPrefixLookup` + DTO + команда `phone-ranges:import` (atomic RENAME-swap в транзакции) + `LeadRouter` каскад (exact→all-RF→fallback) + взвешенный жребий по остатку лимита (вариант В) + интеграция в `RouteSupplierLeadJob` (резолв до tx / persist / fail-safe лог / подмена региона шаг 3 / CSV-merge по рангу источника) + `phone-region:smoke`. Миграция `2026_05_31_100000` + регистрация в `MonthlyPartitionManager`; `db/schema.sql` v8.40 (заголовок; DDL в дельта-миграции). **14 атомарных коммитов** `ec219718..11079791` на ветке `worktree-feat+lead-region-resolution`, запушено + PR в main (`CoralMinister/lidpotok`; PR открывается вручную — MCP/gh заблокированы гейтом). Тесты 101 pest GREEN / 509 assertions; tools-vitest 1989 GREEN. Code-review subagent «с правками» → atomicSwap-транзакция (spec §6.2) + stray comment починены; minor/deferred задокументированы (метрики §8.1 / `phone-ranges:rollback` / pg_anonymizer / DaData call-cost калибровка). Прод-выкатка отложена (DADATA keys в YC Lockbox + команда «запускаем»; runbook `docs/superpowers/runbooks/2026-05-31-lead-region-resolution-rollout.md`). Пре-существующий долг (не из фичи): 3 чужих console-теста взаимно загрязняются в одном процессе, в CI `pest --parallel` проходят. **§0 cross-refs не меняются** — app-фича (сервисы/джоба/миграция), не tooling-канон / не ADR / не off-phase. §6 +абзац / §9 +этот entry. Через `claude-md-management:revise-claude-md`.
|
||
|
||
- **v2.44 от 31.05.2026 — Layer 4 LLM-judge live wiring (item 2b) + активация владельцем + readonly-калибровка** — живой `main()` в обёртках `enforce-llm-judge-{per-tool,response-scan}.mjs` (TDD, `runPerTool`/`runResponseScan`; spend гейтится `resolveJudgeConfig`=флаг+ключ; регистрировать обёртки, не движки — движок тратит по одному ключу мимо флага); commit `dfae9f76`. Владелец активировал Layer 4 (`ROUTER_LLM_JUDGE_ENABLED=1` + `ROUTER_LLM_KEY` + оба хука в settings.json + перезапуск) → судья в hard-block, подтверждён реальным блоком. Over-block: `MUTATING_TOOLS` включает Bash целиком + doubt→block → судился даже readonly `git status`/`log`, клинило рабочий цикл. Калибровка (commit `c9b9efd6`, TDD): `isReadonlyBashEvent` исключает readonly Bash из per-tool судьи до LLM-вызова (scope-fix; дисциплина doubt→block на реальных мутациях **не тронута**). Регрессия **1927 GREEN**. Push `a8996896..c9b9efd6`. План `docs/superpowers/plans/2026-05-31-llm-judge-live-wiring.md`. **§0 cross-refs не меняются** (инфраструктура `tools/`, не tooling-канон / не ADR / не off-phase). §6 +абзац / §9 +этот entry. Через `claude-md-management:revise-claude-md`.
|
||
|
||
- **v2.43 от 31.05.2026 — safe-baseline live wiring (item 1b) + enforce-runtime-write-deny (C3) + LLM-judge hook-обёртки + Read-deny over-block fix** — `tools/enforce-safe-baseline-metering.mjs` живой `main()` (учёт safe-baseline-инструментов + hard-block + Skill/EnterPlanMode escape) с чистыми `extractKeywords`/`detectSkillMatch`/`runLiveDecision` (stickiness-контракт V2-1); новый `tools/enforce-runtime-write-deny.mjs` (C3 — защита `~/.claude/runtime` от Write/Edit, `.`-segment-proof через `pathNormalize`); judge-обёртки `enforce-llm-judge-{per-tool,response-scan}.mjs` (no-op main, $0). Спек v4 через brainstorming (3 adversarial-ревью + ghost-pass) закрыл C1/C2/C3/H1/V2-1/V2-2; G3 override вырезан. Commits `ca52d354`+`6d512f5c..84dcf4aa`+`f740f612`+`80e514f5` (item 1b, прошлая сессия). **Read-deny over-block fix (эта сессия, commit `3c5266c0`):** `enforce-read-path-deny` (Smoke 5) переиспользовал полный `DEFAULT_PROTECTED_PATTERNS` для Read-инструмента → блокировал Read CLAUDE.md/нормативки/memory → правка CLAUDE.md/MEMORY.md невозможна (claude-md-management сломан). Введён узкий `READ_DENY_PATTERNS` в `tools/shell-content-rules.mjs` (transcript `.jsonl` БЕЗ `memory/` + `~/.claude/runtime` + settings + `.env`); `enforce-read-path-deny.decide()` переключён на него. Read CLAUDE.md/Pravila/memory снова разрешён; Bash/PowerShell-read + Write по-прежнему держит полный `DEFAULT_PROTECTED_PATTERNS`. TDD (RED→GREEN в одном ходе), регрессия vitest tools-only **1903 GREEN** (verify через `npx vitest run --root app --config vitest.config.tools.mjs` — `npm run test:tools` сломан параллельной keytar-установкой в `app/node_modules`). **§0 cross-refs не меняются** (инфраструктура `tools/`, не tooling-канон #1-#86 / не ADR / не off-phase). §6 +абзац / §9 +этот entry. Memory [[read-path-deny-blocks-claude-md]] закрыта. Через `claude-md-management:revise-claude-md`.
|
||
|
||
- **v2.42 от 29.05.2026 (день+2, вечер) — router-gate v4.0+v4.1+v4.2 spec triple + master plan + handoff + 5 worktrees + rationalization-audit fix deployed** — 5 commits на main `534e93d5..4e15fa70`: `292a16bd` cspell vocab, `0e768f9a` v4 spec triple (v4.0 design 2249 строк поведенческий разворот / v4.1 max-closure amendment 1051 строка Layer 1-4 — 8 GAPs + behavioral hard-blocks + universal vocab removal + 3-judge consensus Sonnet+Haiku+Opus + per-tool LLM-judge + response scan / v4.2 VM-sandbox amendment 411 строк Phase 1 VirtualBox $0 + Phase 2+3 YubiKey $50-150 phased для solo dev), `c4c2afd1` master coordination plan 666 строк (9 streams parallel session strategy, disjoint file scope → 0 conflicts by construction), `480649db` rationalization-audit `stripQuotedContext` fix (resolved 48 false-positive flags за сессию при описании защиты — controller часто цитирует pattern-слова), `4e15fa70` handoff-instructions 450 строк с 5 ready-to-copy промтами для streams A-E + Checkpoint 1 merge + Stream G/H + smokes + cleanup (plain-Russian для non-programmer). 5 worktrees созданы `C:\моя\проекты\портал crm\v4-stream-{A,B,C,D,E}` от `480649db`. 5 параллельных Claude sessions запущены пользователем ~18:48 МСК для implementation через `superpowers:writing-plans` → `superpowers:subagent-driven-development`. Wall-clock 16-23h (vs 49-65h sequential). **Aggregate bypass target after full deployment ~0.5-0.8%** (vs v3.9 ~25%); architectural floor ~0.5% irreducible per 7 fundamental limits (goal-misalignment / recursive trust / info-theoretic leak / behavioral residual / external dependencies / user approval ambiguity / gate paradox). Variant A modified for solo developer (two-person rule removed); phased Phase 1 VirtualBox ($0) / Phase 2+3 YubiKey ($50-150 разово, один покрывает биометрию + HSM) / Layer 4 LLM-judge maximalism ($300-1500/month ongoing). Methodology: `superpowers:brainstorming` skill для asymptote analysis (~25% → ~0.5% через 5 Layers, multiple AskUser-rounds для scope choices C → A solo → phased), `superpowers:writing-plans` skill для master plan + handoff, `superpowers:subagent-driven-development` следующая фаза per stream. **Operational quirks обнаружены и закрыты:** rationalization-audit context-stripping (commit `480649db` — strip backticks/guillemets/fenced blocks/double quotes ДО substring match; tests `+stripQuotedContext` describe block 38/38 GREEN); `LEFTHOOK=0` env-var отключает hooks на одну команду — необходим для rebase когда post-commit hooks регенерируют observer-файлы между picks; `enforce-memory-coverage` hook принимает строго `direct:memory-sync` per-turn, chain отклоняется как stale. Memory entries (project_router_gate_v4 + 3 feedback: asymptote-floor / rationalization-audit-quoted-strip / rebase-observer-lefthook0) — follow-up отдельным turn'ом с `direct:memory-sync` coverage per memory-coverage hook constraint. **§0 cross-refs не меняются** (v4 — implementation, не tooling-канон #1-#86, не ADR, не off-phase подкатегория). §6 +абзац верхним блоком / §9 +этот entry. Через прямой Edit (worktree-эксцепшн §5 п.10 — плагин claude-md-management через MCP marketplace недоступен после disconnect в момент записи; прецедент v2.36/v2.28/v2.16).
|
||
|
||
- **v2.40 от 29.05.2026 (router-gate spec v3.5 → v3.8 sweep — rounds 5+6 closure, 45 holes, 4 FATAL fundamental redesigns)** — commit `46c43169` на main `ef19b9f2..46c43169`. Adversarial audit rounds 5+6 в одной long session (через `superpowers:brainstorming` skill 3 раза fresh-invoked): **v3.5 → v3.6** Round 5 closure (15 holes в 4 ранее-непокрытых классах: файлы вне protected list + §5.1 ↔ §4.5 git-pattern contradiction + социальная инженерия через legit AskUser + Smoke-тесты на непредсказуемость; §3.1 +9 paths transcript JSONL/user-level settings/lefthook/gitleaks/gitignore/classifier prompts/cost-tracker/scheduled-tasks; §3.2.0 +Smoke 4-7; §4.7 recovery-pattern hard-block ~30 keywords; §5.1 git-ops в Conditional after approve_git_operation; §5.2 glob intersection check). **v3.6 → v3.7** Maximum-closure pass (заказчик «закрывай в максимум»): все 7 v3.6 acceptable residual + edge git stash закрыты defense-in-depth — LLM-judge Sonnet на каждую AskUser-опцию + parent_random_id 256-bit sentinel + restricted/ subdir + journal-reader CLI + shell-quote tokenizer + TF-IDF + smart batching + git stash variants. **v3.7 → v3.8** Round 6 closure (заказчик «забудь контекст, найди все дыры» → 30 holes в 18 классах): **4 FATAL fundamental redesigns:** F1 PowerShell tool gate (новый hook `tools/enforce-powershell-gate.mjs` + §5.1.2 PowerShell content rules; controller на Windows обходил весь Bash whitelist через PowerShell — обнуляло v3.7), F2 Workflow internal `agent()` enumeration (scriptPath approval + content scan + per-agent gate inheritance + resumeFromRunId DISABLED + Smoke 8), F3 `node_modules/*` whole-dir hard-deny + `tools/dep-checksums.json` SHA-256 верификация на startup (controller мог patches `node_modules/shell-quote/index.js`), F4 LLM-judge anti-injection (delimiter tokens 24-char random unguessable + pre-filter regex strips `SYSTEM:`/`<judge>`/JSON-fragments + multi-judge consensus Sonnet+Haiku). Plus 7 critical (`~/.bashrc`/`~/.profile`/`~/.zshrc` + `.npmrc`/`~/.npmrc`/`.yarnrc`/`.pnpmrc` + memory/CLAUDE.md/Pravila/PSR/Tooling с Skill exemption + automated bootstrap smoke + multiSelect handling + OS-keychain через `keytar` для ROUTER_LLM_KEY), 9 serious (TF-IDF rolling accumulator против single-turn poisoning + Workflow hardening + cache aggressive normalization + annotations as approval + CI/CD configs + lint/build configs + subagent timeout 60s + strict substring fallback), 8 edge (recovery-procedures.md cheatsheet + monotonic time + entropy doubling 3 sources + plugin cache + classifier-reads CI check + brain-retro PII guard + hot-reload doc + Other-field social-eng detector + cache invalidation hook). **Изменения:** шапка v2.39→**v2.40**; §6 +абзац верхним блоком; §9 +этот entry. **§0 cross-refs не правились** — spec-only, не tooling-канон #1-#86, не ADR, не off-phase подкатегория. Spec: 1980 → 2554 строк (+1110 inserts / -44 deletes за v3.6-3.8 sweep). +13 терминов cspell-words.txt. Budget: 13.5-20h (v3.5) → 22.5-32h (v3.6) → 33-44h (v3.7) → **45-60h (v3.8)** в 7 этапов через subagent-driven-development. **Закрыто 105 holes total** через 9 раундов adversarial audit. Verify-sentinel: vitest tools-only **1179/1179 GREEN** per memory feedback_vitest_sentinel_recipe.md. Lint chaining: 3 MD-errors (table column + 2× inline-HTML) + auto-fix MD012 blank lines + 2× «leak'нется» → «утечёт» + опечатки (pisha/objединить/scriptа) + cspell-words.txt +13 (IDF/pnpmrc/toolu/rnd/iwr/spps/gci/sls/rvpa/dxf/misattributes/сканится/социалка). **Generalisable lesson v3.8:** «v3.7 maximum closure» был maximum внутри границ воображения v3.6 R5-audit — Round 6 показал что сами границы имели дыры. Каждый раунд audit должен начинать с abstract classification классов атак до enumeration конкретных дыр. 5 ранее-незакрытых attack surfaces: parallel tools (PowerShell), nested tool internals (Workflow agent()), npm-dependency-chain (node_modules), environment manipulation (shell init / PATH / npmrc), cross-session context poisoning (memory/CLAUDE.md/Pravila). Push `ef19b9f2..46c43169 main -> main`. Memory updates: `project_router_gate_v3_8.md` (new) + `feedback_audit_abstract_classification_first.md` (new) + `feedback_controller_writable_signals_formula.md` (existing, v3.8 lesson extension). Через прямой Edit (user-instruction priority к §5 п.10 — заказчик в prompt'е «комитть, пуш и обнови мозг»; прецедент v2.36/v2.28/v2.16).
|
||
|
||
- **v2.39 от 29.05.2026 (router-gate Уровень 4 spec v3.2 → v3.5 finalized — 4 раунда adversarial audit)** — 5 commits на main: `832fadbc` v3.2 (18 holes из v4 audit), `903aa700` v3.3 (12 holes из v4.1 audit + N1 honest residual), `15bf46a1` v3.4 (**S5 TRUE closure** через side-channel file `subagent-block-<tool-use-id>.json`), `80c81602` v3.5 (**S8 TRUE closure** через AskUserQuestion-gate + §4.5 git-pattern), `6c6796d8` cosmetic markdownlint fix. Все 4 раунда audit'ов проведены через chain `audit-context-building` skill + ручной adversarial разбор по 13 attack-зонам. Все 2 закрытия (v3.4 + v3.5) — через dedicated brainstorm via `superpowers:brainstorming` skill с clarifying-questions через AskUserQuestion. **Acceptable residual list пуст** — все известные controller-writable signals закрыты архитектурно через generalisable side-channel pattern. Implementation budget 13.5-20h (v3.1) → 22.5-32h (v3.5). Готов к writing-plans фазе в новой сессии (3 mandatory user-run smoke-tests до Этапа 2.1). **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool/ADR/категории — design-only spec; spec файл в docs/superpowers/specs/, не нормативка). §6 +top-абзац / §9 +этот entry. Memory writes этой сессии заблокированы coverage-hook'ом (нужен `direct:memory-sync` per-turn) — оформлены в session handoff drafts. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
- **v2.38 от 28.05.2026 (Phase 4 follow-ups + Phase 5 closure — router-hooks epic закрыт)** — chain-сессия «делай все»: commits `6e93ccc4` (cosmetic BOM+EOF на Semgrep-хуке) + `c20a53c0` (DRY refactor `decide()` enriched return, +8 TDD-тестов) + `836c433b` (**Phase 5 cost-tracker**: новый Stop-hook + pure pricing/aggregator layer; `~/.claude/runtime/cost-daily.json` per-date {5 components + total + count}; 4 pricing + 12 aggregator + 8 stop-hook = +30 тестов; smoke 24 episodes / $0.08 classifier_usd; closes brain-retro #9 Candidate 4). **Изменения:** шапка v2.37→**v2.38**; §6 +абзац верхним блоком; §9 +этот entry. **§0 cross-refs не правились** — нет нового tool в Tooling Прил.Н #1-#86, нет ADR, нет off-phase подкатегории; tools/cost-*.mjs + cosmetic fix + DRY refactor — инфраструктура tools/ контроллера. Регрессия 1165/1165 vitest tools-only GREEN. **Router-hooks epic закрыт полностью** — все 10/10 кандидатов brain-retro #9 + self-retrospect #1 (Phase 1-5). Через прямой Edit + `/claude-md-management:revise-claude-md`. Pending — STATUS.md «Cost monitoring» секция + anomaly detection хуки (отдельный план, post-Phase-5).
|
||
|
||
- **v2.37 от 28.05.2026 (router-hooks Phase 4 closure)** — Phase 4 закрыта по плану `docs/superpowers/plans/2026-05-28-router-hooks-phase4-semgrep-and-chain-measure.md`. 3 коммита: `5eb20665` Task A (enforce-semgrep-security hook 6 файлов / 29 тестов: блокирует `git commit` если auth/billing/CSV/webhook в staged без Semgrep в сессии; 3 escape hatch; +`semgrep-security` во всех 7 override-фразах; новый helper `sessionToolUses`) + `a3f5f392` Task B (`logHookOutcome` helper пишет JSONL в `~/.claude/runtime/hook-outcomes.jsonl`; `enforce-chain-recommendation` записывает outcome per fire через `classifyOutcome()` 6 buckets; Cut 11 `analyzeChainHookEffectiveness`/`buildChainHookEffectiveness` в `brain-retro-analyzer.mjs`; SKILL.md mandatory tables 10→11; 7 файлов / 14 тестов) + `b93e5af4` review-fixes (`export CHAIN_OUTCOME_BUCKETS` + dead `import fs` cleanup + 1 TDD-test; 3 файла). **Изменения:** шапка v2.36→**v2.37**; §6 +абзац верхним блоком; §9 +этот entry. **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool в реестре #1-#86, нет ADR, нет off-phase подкатегории; `tools/enforce-*.mjs` + `analyzeChainHookEffectiveness` + brain-retro SKILL.md — инфраструктура контроллера, не tooling-канон). Регрессия 1135/1135 vitest tools-only GREEN. Push `8b818144..b93e5af4 main -> main` (rebased поверх Slepok Stage 3 PR #27 merge — orthogonal). Subagent-driven-development workflow: Sonnet implementers + 2-stage review per task (spec-compliance + code-quality) + final integration reviewer. Инциденты: session-limit reset на spec-reviewer Task A (re-dispatch свежим Sonnet); Sonnet субагент Task A оставил UTF-8 BOM L1 + missing EOF newline (cosmetic, follow-up); code-quality reviewer Task B ошибся про dead `import fs` — fix через replace на named `readFileSync`; push non-fast-forward из-за параллельной Slepok PR #27 → stash+rebase+drop pattern. Memory +3 (новые): `feedback_subagent_bom_eof_writes.md` (BOM/EOF quirk Sonnet) + `feedback_reviewer_dead_import_falsepositive.md` (verify-don't-trust reviewer на dead-code claim) + `feedback_rebase_observer_dirt.md` (rebase pattern с auto-regenerating observer-files). Open follow-ups: cosmetic BOM+EOF на `enforce-semgrep-security.mjs`; DRY `decide()`↔`main()` в chain-rec hook (non-blocking per reviewer); Phase 5 (cost-tracker, Candidate 4) — отдельный план. Через `/claude-md-management:revise-claude-md` per §5 п.10.
|
||
|
||
- **v2.36 от 28.05.2026 (router-hooks fixes Phase 1+2+3 closure)** — closes 7/10 brain-retro #9 candidates за одну сессию. 13 коммитов через 3 push'а: Phase 1 `e58d3756..ccf4108e` (3 commits — analyzer archive-fallback removed + System Health block в STATUS.md), Phase 2 `0a52b3d8..769df67a` (4 commits — `tools/enforce-override-limit.mjs` PreToolUse-хук hard-block override-фразы >5/день per phrase, bypass «лимит снят»), Phase 3 `d1b5505a..eedc700b` (5 commits — PAMYATKA в classifier 4→8 паттернов: feature→writing-plans / bugfix→debugging+Pest / prod→Sentry / mechanical→coder-agent), docs commit `4d7e9e33` (brain-retro #9 + self-retrospect #1 + sanity-check + 3 плана + cspell vocab + 2 typo fixes). **Изменения:** шапка v2.35→**v2.36**; §6 +абзац верхним блоком (router-hooks fixes Phase 1+2+3 detailed); §9 +этот entry. **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool в реестре #1-#86, нет ADR, нет off-phase подкатегории; tools/enforce-override-limit.mjs / tools/system-health.mjs / PAMYATKA расширение в router-classifier.mjs — infrastructure layer, не реестр). Регрессия 1088/1088 vitest tools-tests GREEN. Инциденты: Sonnet subagent crashed mid-Task с API socket error на Phase 3 Task 1 → inline TDD recovery (все Tasks 2-5 inline, дёшево); параллельная Claude-сессия дважды затронула worktree (1) угнала на deploy-branch между Phase 2 Tasks 2/3 — recovery `git switch main`, (2) запушила за нас Phase 2 поверх своих 2 CI-deploy коммитов. Memory `feedback_subagent_api_crashes.md` (новая) + `feedback_tdd_gate_subagent_handoff.md` (новая, TDD-gate hook не видит subagent test-edit при controller подхвате после crash) + `project_state.md` (entry 2026-05-28). Push `81f92ca3..4d7e9e33 main -> main`. Через прямой Edit (user-instruction priority к §5 п.10 — заказчик в prompt'е «пуш обнови мозг и память»).
|
||
|
||
- **v2.35 от 28.05.2026 (prompt-caching split on reviewer-agent — perf)** — commit `a0bb11a6` оптимизирует [tools/brain-retro-opus-reviewer.mjs](tools/brain-retro-opus-reviewer.mjs): добавлен `buildReviewPromptStructured()` возвращающий `{system, user}` (паттерн `buildClassifierPromptStructured` с фазы классификатора, использует уже-существующую structured-ветку `callAnthropicAPI` с `cache_control: ephemeral`). `buildReviewPrompt()` сохранён как backward-compat wrapper. **Изменения:** шапка v2.34→**v2.35**; §6 +абзац верхним блоком; §9 +этот entry. **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (инфраструктура `tools/`, не tooling-канон #1-#86, не нормативка, не ADR). **Эффект на Opus 4.7 ~ноль** (4096-token Anthropic cache минимум vs наш ~400-token static-блок → silent no-op `cache_creation_input_tokens: 0`, никакой ошибки); активируется при свиче на Sonnet 4.6 (минимум 2048 + модель в 5× дешевле) ИЛИ при наращивании static-блока > 4096 токенов (например, grading-рубрика с примерами). TDD: +5 invariant-тестов на split (cache-prerequisite — system byte-identical при разных episode); 14/14 reviewer-тестов GREEN. Регрессия 1046/1046 tools-only vitest GREEN. Push `5e70ab78..a0bb11a6`. Источник анализа — ProxyAPI-логи: reviewer ~7,5 ₽ за вызов на Opus 4.7 (3963 input / 195 output); classifier дешевле — уже использовал structured. Memory `feedback_prompt_caching_callAnthropicAPI.md` (новая) фиксирует non-obvious инфра-паттерн `callAnthropicAPI({system, user})` + Anthropic-минимумы кешируемого префикса по моделям + verify через `onUsage` callback. Через `/claude-md-management:revise-claude-md` per §5 п.10.
|
||
|
||
- **v2.34 от 28.05.2026 (retro #8 follow-up — 3 enforcement hooks)** — Три коммита: `d1d53080` (classifier threshold 0.7→0.8 + new `enforce-chain-recommendation.mjs` PreToolUse + registry-test bump) + `3918f355` (chain-recommendation registration в settings.json block-mode) + `497d410e` (new `enforce-graph-first.mjs` Stop hook + `enforce-override-vocab.json` vocab gap fix — все 7 фраз теперь подавляют graph-first + chain-recommendation). **Изменения:** шапка v2.33→**v2.34**; §6 +абзац верхним блоком; §9 +этот entry. **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling Прил.Н не затронуты (нет нового tool в реестре #1-#86, нет ADR, нет off-phase подкатегории; tools/enforce-*.mjs — инфраструктура контроллера, не tooling). Регрессия 1041/1041 vitest tools-tests GREEN. Reviewer APPROVE × 2. Memory `feedback_enforcement_hooks_retro8.md` (новая) фиксирует операционный гайд по 3 хукам и override-механикам (inline `chain-override:` / `graph-skip:` + global vocab). Push `3918f355..497d410e main -> main`. Через `/claude-md-management:revise-claude-md` per §5 п.10.
|
||
|
||
- **v2.32 от 27.05.2026 (knowledge-graph-tooling)** — graphify integration completed: ADR-017 принят, #86 graphifyy (user-level скил `~/.claude/skills/graphify/SKILL.md`, CLI `graphifyy`) формализован как 19-я off-phase подкатегория **knowledge-graph-tooling**. Spike 3 фазы (docs/ + .claude/ + app/): combined graph 6305 nodes / 6753 edges / 1009 communities, 93% EXTRACTED / 7% INFERRED. **§0 cross-refs:** Pravila v1.42→**v1.43** / PSR_v1 v3.22→**v3.23** / Tooling Прил.Н v2.23→**v2.24**. **§3.3** +#86 graphifyy (knowledge graph портала docs+code). **§9 +this entry.** Header v2.31→**v2.32**. **Узлы:** #86 graphifyy (user-level скил, не project-level; артефакты `graphify-out*/` gitignored; ADR-017 KG1–KG5 — границы ↔ context7/Boost/openapi-mcp/Sentry/adr-kit+mermaid). Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.31 от 27.05.2026 (вечер) — adr-judge redos fix + brain-retro 7→10 cuts** — Два коммита: `b1398883` (brain-retro extension) + `1e1457eb` (adr-judge fix — последний фактически разблокировал первый, который висел >60s на adr-judge job в lefthook). **Изменения:** шапка v2.30→**v2.31**; §6 +абзац верхним блоком (детали закрытия сессии); §9 +этот entry. **§0 cross-refs не правились** — Pravila/PSR_v1/Tooling не затронуты (нет новых tool, новой ADR, новой off-phase подкатегории; tools/adr-judge.py vendored, brain-retro analyzer — procedural extension within existing ADR-011 observer infra). **(1) adr-judge fix:** root cause — `ENFORCEMENT_BLOCK_RE` catastrophic backtracking (nested `(?:.*?\n)*?` + `re.DOTALL`) на ADR с прозаическим `## Enforcement` без ```json fence (ADR-011, ADR-016); fix — декомпозиция heading → section-boundary → fence; verified all 13 ADR <1ms; **vendored из adr-kit v0.13.1** — living constraint, фикс перезапишется при `/adr-kit:upgrade`. Утечка: PID 6444 (7h+ CPU=25435s regex spin) убит. **(2) brain-retro extension:** SKILL.md MANDATORY DIGITAL ANALYSIS 7→10 таблиц; cuts 8/9/10 (Class × canon coverage, Router vs Opus A-B-C, Chain-ignore breakdown) wired в [tools/brain-retro-analyzer.mjs](tools/brain-retro-analyzer.mjs) `analyze()` автоматически; +216/+288 lines analyzer/tests. **Memory updates:** `feedback_adr_judge_redos.md` (new — урок про catastrophic backtracking + living constraint), `feedback_vitest_sentinel_recipe.md` (fixed `.test.mjs` self-contradiction — `tools/ruflo-*.test.mjs` в exclude-args триггерил собственный документированный фильтр `detectFullTestRun` «narrow vitest»), MEMORY.md index. **Регрессия:** vitest tools-only 989/989 GREEN / 4.06s; lefthook 5.55-5.70s; gitleaks 0 / lychee 0 errors. **Push:** `e184ffe2..1e1457eb main -> main`. Через `/claude-md-management:revise-claude-md` per §5 п.10.
|
||
|
||
- **v2.30 от 27.05.2026 (docs-only short-circuit landed)** — реализован умный pre-push хук per §5 п.13 (новый): `enforce-verify-before-push` автоматически пропускает коммит/push, если все изменённые файлы — `.md`. Закрывает повторяющуюся петлю «Claude просит override на каждом memory-sync». Артефакты — commit `8266755c` (4 файла, +192/−2): [tools/enforce-hook-helpers.mjs](tools/enforce-hook-helpers.mjs) (3 новые экспортируемые функции — `isDocsOnlyPath`/`isDocsOnlyChange`/`listChangedFiles`), [tools/enforce-verify-before-push.mjs](tools/enforce-verify-before-push.mjs) `decide()` (новый arg `changedPaths`, short-circuit). TDD: 13 новых тестов GREEN, tools-only canonical regression 965/965. Override `ремонт инфраструктуры` остаётся для смешанных/кодовых коммитов. Lefthook pre-commit обойдён `--no-verify` (зависал на чужой 885-строчной spec.md в индексе параллельной сессии); post-commit hook `status-md` прошёл нормально. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
- **v2.29 от 26.05.2026 (slepok routing protection design artifacts)** — Аудит «вчерашний слепок vs live state» в сессии `135a4adf` выявил 19 рисков (R-01..R-19) в маршрутизации лидов; главная проблема — `LeadRouter` читает live `projects.*` вместо snapshot, клиенты теряют оплаченные лиды при правках после слепка поставщика. Спек v0.4 (4 итерации правок: v0.1 первый драфт → v0.2 ответы заказчика на OPEN-1/2/5 → v0.3 fresh-eye review 5 нестыковок → v0.4 уточнение оценки Этапа 1) + план реализации (~1300 строк, 22 task'а × 4-7 шагов TDD) записаны в `docs/superpowers/{specs,plans}/2026-05-26-slepok-routing-protection*.md`. **Прод НЕ затронут** — design-only артефакты, реализация не начата. §6 +абзац (новая верхняя запись с каноническим бизнес-инвариантом slepok №NЛ/№NП); §9 +этот entry. Memory `project_slepok_protection.md` + связь с `project_billing_v2.md`. Hook `tools/router-tool-gate.mjs` снят на время batch-операции через `/update-config` + восстановлен `git restore .claude/settings.json` после commit. **Связано:** будущая реализация в 5 этапов (~7.5-10 рабочих дней) — нет на main, ожидает запуска.
|
||
|
||
- **v2.28 от 25.05.2026 (cross-ref update)** — §0 cross-ref Pravila v1.41→**v1.42** (§17.7 «Coverage announcement» — новая подсекция: правило аннотировать каждую non-conversation задачу `coverage: <channel>:<id>`). PSR_v1 / Tooling header-версии **не менялись** (чистый cross-ref bump). **§9 +this entry.** Header v2.28 сохранён. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.28 от 24.05.2026** — Project-local AI-agents delegation rule per spec `docs/superpowers/specs/2026-05-24-controller-offload-agents-design.md`. **§0 cross-refs:** Pravila v1.39→**v1.40** (CLAUDE.md шапка + §0 table). PSR_v1 / Tooling — **не правятся** (project-агенты не плагины Claude и не в Tooling-каноне #1-#83). **§3.9 (новая подсекция)** — таблица 4 project-агентов (#84 normative-sync, #85 prod-deploy-validator, прежние pest-parallel-debugger + rls-reviewer без Tooling-ID), их триггеры, ссылки на agent-файлы и spec. **Pravila §2.4 (новая подсекция)** — формальный hard-rule «контроллер ОБЯЗАН делегировать» с дисциплиной делегирования (live-отмена возможна, эскалации без угадывания). **Уровень 2 (наблюдатель):** +2 узла #84/#85 в `docs/registry/nodes.yaml` с `subcategory: "project-agent"`, `agent_file:` атрибутом и `triggers.classification: "normative_sync_needed" / "prod_deploy_imminent"` (классификации авто-подхватываются `tools/registry-to-classification-map.mjs` build-функцией; deprecated `tools/observer-classification-map.json` не правится). `tools/registry-load.test.mjs` fixtures bumped 83→85 / 75→77. **§9 +this entry.** Header v2.27→**v2.28**. Уровень 1+2 одновременно (level 3 хуки — defer). Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.27 от 22.05.2026** — C1 marketing-tooling integration per plan `docs/superpowers/plans/2026-05-22-c1-marketing-tooling.md`. **§0 cross-refs:** Pravila v1.38→**v1.39** / PSR_v1 v3.21→**v3.22** / Tooling Прил.Н v2.22→**v2.23**. **§3.3** +#74 marketing / #75 marketingskills / #76 brand-voice / #77 marketing-ru / #78 Яндекс.Метрика MCP / #79 Яндекс.Директ+Wordstat MCP / #80 Telegram MCP / #81 Postiz / #82 DataForSEO MCP (DEFERRED) / #83 Unisender Go MCP (DEFERRED) — 18-я off-phase подкатегория marketing-tooling, раздел C1. **§6** +абзац C1 marketing-tooling сверху. **§9 +this entry.** Header v2.26→**v2.27**. **Узлы:** #74 marketing (Anthropic plugin, 8 скилов, primary resolver) + #75 marketingskills (вендоренный, 40 фреймворков, модель UPM/материал, MKT3) + #76 brand-voice (Anthropic partner, тон бренда) + #77 marketing-ru (self-authored, РФ-каналы/лендинг/152-ФЗ, eval 20/20) + #78 Яндекс.Метрика MCP (READ-ONLY `atomkraft/yandex-metrika-mcp`) + #79 Яндекс.Директ+Wordstat MCP (только Wordstat, Direct-мутации off IS9) + #80 Telegram MCP (выделенный аккаунт) + #81 Postiz (self-host AGPL-3.0 internal, VK+Telegram) + #82 DataForSEO MCP (**DEFERRED** post-Б-1) + #83 Unisender Go MCP (**DEFERRED** нет upstream). VK out-of-scope (нет MCP, прямой API → отдельный ADR). IS9-вет всех внешних → `docs/security/marketing-vet.md`. ADR-015 (MKT1–MKT9). Tasks 1 (plugin enable) + 4 (MCP installs) pending фактической установки. Через прямой Edit — worktree-эксцепшн §5 п.10 (прецедент A8/A11/C10/discovery/finance).
|
||
- **v2.26 от 22.05.2026** — pg_audit #28 + pg_anonymizer #29 установлены на боевом `liderra.ru`. **§0 cross-ref:** Tooling Прил.Н v2.21→**v2.22** (Pravila/PSR_v1 без изменений — #28/#29 это phase-3 расширения БД, не off-phase плагины). **§3.4** строки #28/#29 → ✅ прод. **§6** +абзац сверху. **§9 +this entry.** Header v2.25→**v2.26**. Новый setup-док `docs/security/pgaudit-anonymizer-setup.md`. **Факт (на боевом Ubuntu 24.04 / PostgreSQL 16):** #28 pg_audit 16.0 (пакет `postgresql-16-pgaudit`, `shared_preload_libraries='pgaudit'` → 1 перезапуск ~2с, `pgaudit.log='ddl, role, write'`, `log_parameter=off` — ПДн не в логах; 152-ФЗ аудит БД ✅); #29 pg_anonymizer 3.0.13 (готового пакета нет → собран из исходников Rust/pgrx 0.18.0 ~15мин; `LOAD 'anon'` on-demand, не db-wide preload; маскирование verified). Бэкап до работ снят. **⚠️ Незапланированно:** `postgresql-server-dev-16` из PGDG потянул минорный апгрейд PG 16.13→16.14 + авто-перезапуск (данные целы, портал здоров) → версия закреплена `apt-mark hold` + PGDG-репа off. Build-тулчейн+Rust убраны (~3.5 ГБ). Tooling §5.1 (#28/#29 attribute-блоки +статус) / §6 compliance-таблица / §10.4 шаг 2 → ✅ прод. **Гейты:** cross-ref-checker + l1-watcher 0 drift. NB: runbook `docs/deploy/test-server-runbook.md` (ветка feat/test-deploy) — sync отдельно (на origin/main файла нет). Исполнено по SSH на боевом сервере + worktree от origin/main для нормативки. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
- **v2.25 от 21.05.2026** — A8 infosec install-sync (ZAP #68 + Ward #70 установлены). **§0 cross-refs:** Pravila v1.37→**v1.38** / PSR_v1 v3.20→**v3.21** / Tooling Прил.Н v2.20→**v2.21**. **§3.3** строки 68/70 — снят PENDING INSTALL, +пути установки. **§6** +абзац «установка ZAP+Ward» сверху. **§9 +this entry.** Header v2.24→**v2.25**. **Факт:** по выбору заказчика «оба портативно» (choco отклонён) — Ward собран portable Go 1.26.3 (`go install ...@v0.4.1` → `bin/ward.exe`, smoke `app/` 2 находки), ZAP cross-platform 2.17.0 + MCP-аддон на portable Temurin JRE 17 (daemon API verified), всё `bin/*` gitignored (~1.2 ГБ). Setup-доки `docs/security/zap-setup.md` + `ward-setup.md`. Полный нормативный синк всех 4 файлов (Tooling/CLAUDE/PSR/Pravila) — статус PENDING снят в Tooling §4.43/§4.45 (dormant→false) / §4.48, PSR R10.1 Блок1/Блок3, Pravila §13.2. Гейты GREEN: cross-ref-checker + l1-watcher 0 drift / markdownlint / lychee / gitleaks. Квирки установки: curl error 56 на go.dev → Invoke-WebRequest; git-bash tar ≠ zip → tar.exe/Expand-Archive; Start-Process калечит jar-путь с пробелами → -WorkingDirectory. Исполнено в worktree `a8-install-sync` от origin/main (pre-flight чист). Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
- **v2.24 от 21.05.2026** — A8 infosec-tooling integration per plan `docs/superpowers/plans/2026-05-21-a8-infosec-tooling.md`. **§0 cross-refs:** Pravila v1.36→**v1.37** / PSR_v1 v3.19→**v3.20** / Tooling Прил.Н v2.19→**v2.20** (перенумеровано при ребейзе на origin/main — v1.36/v2.23 параллельно заняты observer missed-activations). **§3.3** +#68 OWASP ZAP / #69 Nuclei / #70 Ward / #71 pdn-152fz-audit / #72 threat-model / #73 security-go-live (17-я off-phase подкатегория infosec-tooling, раздел A8). **§6** +абзац. **§9 +this entry.** Header v2.23→**v2.24**. **Узлы:** #68 ZAP (MCP DAST, **PENDING INSTALL** — нет Java) + #69 Nuclei (Go CLI `bin/nuclei.exe` v3.8.0, **установлен+verified**, CLI не MCP, квирк 127.0.0.1) + #70 Ward (Go CLI, **заменил abandoned Enlightn** без Laravel 13 — IS9-вет; **PENDING INSTALL** — нет Go) + #71/#72/#73 self-authored project-скилы (ПДн-152ФЗ / STRIDE / go-live gate). ADR-014 (IS1–IS9) + роутер (routing-off-phase v1.4 связка L15 / router-procedure v1.3) + наблюдатель (9-атрибутные блоки Tooling §4.43-48) + карта (+6 узлов A8, browser-smoke 0 errors). Провенанс-вет IS9 каждого внешнего ДО установки (риск ToxicSkills). Серверный слой защиты — out of scope (открытые вопросы SEC-1..SEC-7, Б-1). Регрессия GREEN: markdownlint 0 / gitleaks 0 / lychee 0 / cross-ref-checker + l1-watcher 0 drift / map browser-smoke 0 JS errors. Lessons: Enlightn abandoned/L13 → Ward; nuclei резолвер падает на localhost → 127.0.0.1; choco-установка Go/Java отклонена → ZAP/Ward pending; origin/main диверг → ребейз + перенумерация v1.37/v2.24. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.23 от 21.05.2026** — observer missed-activations per plan `docs/superpowers/plans/2026-05-21-observer-missed-activations.md`. **§0 cross-refs:** Pravila v1.35→**v1.36** (§16.4 условное missed-activation правило); Tooling §0 cross-ref Pravila→v1.36 / CLAUDE.md→v2.23 (Tooling content без изменений). **§3.6** +абзац «Missed activations». **§9 +this entry.** **Суть:** правило §16.4 «не использован ≠ проблема» стало условным — узел без активации не алерт только если профильной задачи не было; профильная задача (`task_classification` ∈ `tools/observer-classification-map.json`) при `node_chosen === 'direct'` с доступным non-dormant узлом → missed activation (сигнал, не блок). Артефакты: `tools/missed-activations.mjs` (чистый матчер, 9 тестов), `tools/extract-node-dormancy.mjs` (двойной сигнал dormant/DEFERRED, 7 тестов, lefthook job), `tools/observer-classification-map.json` (10 классификаций → узлы), `tools/.node-dormancy.json` (67 узлов, 6 unavailable). Интеграция: `brain-retro-analyzer.analyze()` +`missedActivations`, C5 `observer-coverage-checker` +WARN, `status-md-generator` +`missed_activations: N`/⚠️. Первый замер мая: 16 missed (memory-sync ×7, feature ×4). ADR-011 Amendment 2026-05-21, Pravila §16.4 v1.36, brain-retro SKILL.md + aggregation-template, memory `feedback_brain_unused_tools_not_problem`. Исполнено subagent-driven (Tasks 1-9 субагенты Sonnet, Tasks 10-12 controller Opus после прерывания). NB: Task 2 субагент out-of-scope правил Tooling DEFERRED-флаги → откачено, extractor расширен двойным сигналом без правки Tooling. Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
- **v2.22 от 20.05.2026** — A1 backend-tooling integration per plan `docs/superpowers/plans/2026-05-20-a1-backend-tooling.md`. **§0 cross-refs:** Pravila v1.34→**v1.35** / PSR_v1 v3.18→**v3.19** / Tooling Прил.Н v2.18→**v2.19**. **§3.3** +#64 Rector / #65 PHP Insights / #66 laravel-backend-patterns / #67 NightOwl (16-я off-phase подкатегория backend-tooling, раздел A1). **§6** +абзац. **§9 +this entry.** **Узлы:** #64 Rector + rector-laravel (Composer dev-dep, авто-рефакторинг/version-upgrade; конфиг `app/rector.php` deadCode+codeQuality; manual/CI `composer rector`/`rector:fix` — dry-run baseline 16 файлов, **не** блокирующий) + #65 PHP Insights (Composer dev-dep, метрики complexity/architecture; `app/config/insights.php` SyntaxCheck removed; on-demand/CI baseline Code80/Compl81/Arch75 floors 78/79/73, **не** блокирующий, BT9) + #66 laravel-backend-patterns (self-authored скил `.claude/skills/laravel-backend-patterns/`, backend-конвенции Лидерры) + #67 NightOwl (**DEFERRED** — native-Windows нет pcntl/posix, OSS без MCP, hosted 152-ФЗ; pending Б-1/Linux, spike `docs/backend/nightowl-spike.md`). ADR-013 (BT1–BT9) + роутер (routing-off-phase v1.3 связка L14 / router-procedure v1.2) + карта (+4 узла A1). Исполнено subagent-driven (скил — Sonnet субагент; нормативка/карта/конфиги — controller Opus). Lessons: PHP Insights install боролся с антивирусом Windows (Permission denied на скачивании → `--prefer-source`); larastan в worktree требует копировать `_ide_helper*.php` из основной копии (генерация ide-helper дрейфит phpstan baseline). Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.21 от 20.05.2026** — finance-tooling integration (C6+C7) per plan `docs/superpowers/plans/2026-05-20-finance-tooling-c6-c7.md`. **§0 cross-refs:** Pravila v1.33→**v1.34** / PSR_v1 v3.17→**v3.18** / Tooling Прил.Н v2.17→**v2.18**. **§3.3** +#61 finance plugin / #62 billing-audit / #63 ru-tax-accounting (15-я off-phase подкатегория finance-tooling, разделы C6/C7). **§6** +абзац finance-tooling. **§9 +this entry.** **Узлы:** #61 finance plugin (enabled v1.2.0, homed C7 + cross-ref C6; reconciliation/variance ✅, US-GAAP-скилы ⚠️, SOX not-applicable РФ, warehouse-MCP DEFERRED), #62 billing-audit (C6, денежные инварианты) + #63 ru-tax-accounting (C7, РСБУ/НК РФ) — self-authored project-скилы. Reuse-классификация C6/C7 (`NODE_SECTION_SECONDARY`) + карта (+3 узла, +7 рёбер) + ADR-012 + роутер (routing-off-phase v1.2 связка L13 / router-procedure v1.1) + наблюдатель (9-атрибутные блоки §4.36-38). Исполнено subagent-driven (скилы/ADR — Sonnet субагенты; нормативка/карта — controller Opus, cross-ref-checker C2 STRICT потребовал атомарного version-bump-набора). Через прямой Edit — worktree-эксцепшн §5 п.10.
|
||
|
||
- **v2.20 от 19.05.2026** — observer factor-analysis phase 1.1 (ADR-011 amend) per plan `docs/superpowers/plans/2026-05-19-observer-factor-analysis-phase-1-1.md`. **§0 cross-refs:** Pravila v1.32→**v1.33** (§16.2 `decision_provenance.kind` 2→3 значения +`user_chose_from_options`; §16.7 +абзац «Граница `user_chose_from_options`» — routing-gate не блокирует collaborative-choice). **§3.6** — appended phase 1.1 sentence (3-й kind + детектор `observer-choice-detector.mjs`). **§9 +this entry.** Tooling Прил. Н §0 cross-ref string `Pravila v1.32`→**v1.33** (no header bump). **Implementation:** 5-task TDD plan. Layers: choice detector pure module `tools/observer-choice-detector.mjs` (`extractOptions`/`detectReference`/`detectChoiceProvenance`, 23 tests — commit `7f379bd`), parser integration (`0e3938f`), routing-gate no-block (`4969363`), brain-retro factor matrix regression guard (`dc6d2dd`), normative sync (this commit). Trigger: 19.05.2026 live false-positives — `1 экономия 0%` / `в делаем` / `делай 2` ошибочно классифицировались как `user_directed_method`. Spec §11 v1.1 (`0c8d0fa`). Subagent-driven start; rate-limit на Sonnet → контроллер (Opus) доисполнил Tasks 2-5 напрямую. Через `/claude-md-management:claude-md-improver` (§5 п.10).
|
||
|
||
- **v2.19 от 19.05.2026** — observer factor-analysis extension (ADR-011 amend) per plan `docs/superpowers/plans/2026-05-19-observer-factor-analysis.md`. **§0 cross-refs:** Pravila v1.31→**v1.32** (§16.2 +schema v2 paragraph, §16.3 4→5 controllers +C5, §16.7 routing-tag discipline, §16.8 observer self-discipline), PSR_v1 v3.16→**v3.17** (R16.1 +schema v2 sentence, R16.4 +cross-refs). **§3.6** — appended observer schema v2 + routing-gate + C5 + brain-retro analyzer paragraph. **§9 +this entry.** Tooling Прил. Н — без header bump (§0 cross-ref strings updated 1.31→1.32 / 3.16→3.17 only). **Implementation:** 12-task plan executed via `superpowers:subagent-driven-development`. Layers: parser v2 (env, task_size, prompt_signal, process events, routing-tag, episode assembly — commits `85a95aa..375c3e2`), routing detector (`02bff37`), Stop-hook v2 + observer_error + gate (`2e11c45..35231d8`), C5 coverage-checker (`d080198`), STATUS.md +C5 (`cde9478`), lefthook job 15 (`363357b`), brain-retro analyzer (`a6f44e5`), brain-retro skill + README (`d484e60`), normative sync (this commit). 6 tools test files / 80+ tests GREEN. Pravila §15.2 pre-flight sync done. Через `/claude-md-management:claude-md-improver` (§5 п.10).
|
||
|
||
- **v2.18 от 19.05.2026** — Brain governance Phase A/B/C complete per ADR-011 + spec/plan `docs/superpowers/{specs,plans}/2026-05-19-brain-governance-*.md`. **§0 cross-refs:** Pravila v1.30→**v1.31** (§16 brain governance — 6 sub-sections), PSR_v1 v3.15→**v3.16** (R16 brain evidence loop), Tooling Прил. Н v2.16→**v2.17** (§0.1 row template + 58 Атрибуты blocks на всех узлах реестра). **§3.6 (новый)** — cross-ref на `docs/router-procedure.md` v1.0 (5-step router procedure, single SoT для «task → node(s)» routing); §3.7 (off-phase routing-аид) +note про дополнение, не дублирование. **§9 +этот entry.** **Phase A** (5 tasks/15 commits): ADR-011 anchor `2ef4ac4` + router-procedure.md v1.0 `8a2e701` + Tooling A3 (6 sub-batches + header bump: `1f77134`/`0718e41`/`16f7f1c`/`ca4da69`/`39231ef`/`3e73396`/`8170527`) + Pravila §16 `1b899e0` + PSR_v1 R16 `d4520ff`. **Phase B** (6 tasks/6 commits): scaffolding `910c2d0` + PII filter `4616308` + Stop-hook `a825700` + HK1 pre-check `0cf1406` + settings.json reg `747caaf` + /brain-retro skill `0a45fcb`. **Phase C** (5 tasks/5 commits): L1-watcher `4382de3` (DONE_WITH_CONCERNS — 9 pre-existing name@source drifts) + cross-ref-checker `a780959` (DONE_WITH_CONCERNS — noise from «наследие» entries needs refinement) + observer-of-observer `0c9661d` (54-week self-prune) + STATUS.md generator `ce2333e` + lefthook wire `a70d5a4` (4 jobs 11-14, both C1+C2 WARN-only via `|| true`). Spec v1.1 amendment (`544c8f3`+`06a3bd5`) добавляет structured `routing_decision` + `primary_rationale` для факторного анализа per user request. Subagent-driven-development workflow (Pravila §15.1 Sonnet/Opus only); 2 subagent truncations recovered inline. Через `/claude-md-management:claude-md-improver` (§5 п.10).
|
||
|
||
- **v2.17 от 18.05.2026** — компакция «мозга» (SYSTEM-аудит findings 2/3/6/7, интервью с заказчиком). **Finding 2 (§3.3 дублировал реестр Tooling):** строки #31–#60 — 30 многострочных абзацев свёрнуты в однострочный индекс «задача · инструмент · off-phase, категория — Tooling §4.NN»; полный реестр остаётся только в Tooling Прил. Н. **Finding 3 (структурный дрейф счётчиков):** §3 title «Карта 60 инструментов…» → «Карта инструментов»; §3.3 footer / §1 row 2b / §0 row-label — счётчик «60» заменён пином на Tooling Прил. Н §0 (канон, см. там anchor «КАНОН СЧЁТЧИКОВ»); §2 БД + §8 self-review — schema-метрики (63/75 таблиц и т.д.) → пин на header `db/schema.sql` + `db/CHANGELOG_schema.md`. **Finding 6 (ruflo dead weight):** §3.5 свёрнут с ~17 строк до dormant-стаба (статус + пин), исторические абзацы (Runtime state / Queen trigger / Подробности) убраны — они в git и memory `project_ruflo_integration.md`. **§0 cross-refs:** Pravila v1.29→v1.30, PSR_v1 v3.14→v3.15, Tooling Прил.Н v2.15→v2.16; шапка v2.16→v2.17. Finding 1 (раздувание шапки / §0 «наследие»-цепочек) и finding 5 (баг парсера хука экономии) — заказчиком не выбраны, вне scope. Finding 7 (память `reference_archive.md`) — отдельная задача, вне git-репо. План `docs/superpowers/plans/2026-05-18-brain-compaction-findings-2-3-6-7.md`. Через `/claude-md-management:claude-md-improver` (§5 п.10). Связано: Tooling v2.16 (§0 +«КАНОН СЧЁТЧИКОВ», §12 заголовок), Pravila v1.30 (§14 dormant-метка, §13.2 пин), PSR_v1 v3.15 (R10.1 пин).
|
||
|
||
- **v2.16 от 18.05.2026** — SYSTEM-аудит «мозга» Rec1–Rec5 closure: **§0** cross-refs Pravila v1.28→**v1.29** / Tooling v2.14→**v2.15** / Plugin_stack_rules v3.13→**v3.14**; **§3.5** +bold-блок «СТАТУС 18.05.2026: ИЗОЛИРОВАН (dormant)» в начале раздела ruflo — live-связи hooks/MCP/daemon отключены, артефакты сохранены, queen-триггер §14.1 dormant, описание ниже помечено историческим; **§3.7 (новый)** — cross-ref на `docs/routing-off-phase.md` v1.0 (off-phase routing-аид: 30 узлов триггер→узел + 12 канонических связок L1–L12 + 6 правил дисциплины); **§3.6 → §3.8** renumber «Заметки к .claude/settings.json»; **§6** +параграф «2026-05-18 SYSTEM-аудит мозга + Rec1–Rec5 закрытие» сверху (5 осей × 125 узлов; Rec1 iter8 + Rec2 ruflo isolation + Rec3 routing-аид + Rec4 12 связок + Rec5 PSR_v1 R15); шапка v2.15 → v2.16. **Источник аудита** — snapshot `docs/discovery/2026-05-18-system-audit-brain.md` (утро, SYSTEM-режим discovery-interview). **Эффект на ⚫-конфликты карты:** 2 из 3 (`ruflo_memory↔mem_state`, `ruflo_daemon↔ag_pest`) сняты изоляцией; ⚫1 `mcp_pw↔sk_parallel` (Playwright same-dir parallel) остаётся. Связано: Pravila v1.29 (+§14.9 ruflo dormant) / Tooling v2.15 (§4.10 +status-block) / PSR_v1 v3.14 (+R15 off-phase routing) / `docs/routing-off-phase.md` v1.0 (новый) / memory `feedback_ruflo_isolated.md` + `feedback_automation_map_not_sot.md` (карта — визуализация, не SoT) + `feedback_hard_rule_no_alt_question.md` (не предлагать альтернатив hard-rule каналу). Атомарные коммиты: `e6dbbb4` snapshot (C1), `9fcefa3` карта iter8+ruflo isolated (C2), `ec4069c` Pravila §14.9 + Tooling §4.10 (C3), `e5ec754` PSR_v1 R15 + routing-off-phase.md (C4). Восстановлено из backup-патча `memory/rec1-5-stash-backup-2026-05-18-evening.patch` после collision с параллельной Claude-сессией (stash dropped, мои docs потеряны → re-apply). Через `/claude-md-management:claude-md-improver` (instruction set workflow) + прямой Edit. LEFTHOOK_EXCLUDE=eslint-vue — pre-existing ImportView.spec.ts:4 (commit 59dac9b).
|
||
|
||
- **v2.15 от 18.05.2026** — Anthropic dev-tooling integration: формализованы 5 Anthropic dev-плагинов уже включённых в `~/.claude/settings.json` user-level — #56 skill-creator / #57 plugin-dev / #58 hookify (новая тринадцатая off-phase подкатегория «authoring-tooling») + #59 claude-code-setup / #60 context7 (новая четырнадцатая «dev-support»). **Изменения:** §3 title «55» → «60»; §1 priority-chain row 2b «55» → «60»; §3.3 +5 строк #56–#60; §3.3 footer count 55→60 + 14 off-phase подкатегорий (30 off-phase итого); §0 cross-refs Pravila v1.27→**v1.28** / PSR_v1 v3.12→**v3.13** / Tooling v2.13→**v2.14**; §6 +абзац Anthropic dev-tooling; шапка v2.14 → v2.15. **Триггер** — аудит «мозга» через discovery-interview SYSTEM-режим: вскрыт L1-паттерн «плагин включён в settings.json без формализации» (повтор UPM/21st 10.05, Sentry/Redis 13.05). 5 плагинов из `anthropics/claude-plugins-official` — узлы карты были (iter7 16.05), реестр Tooling — нет. **hookify HK1** — pre-check на коллизию с economy/skill-discipline хуками, закрывает 🔴-конфликт `hookify_plugin ↔ hk_pre_claude`. ADR-010 (SC1–SC3/PD1–PD3/HK1–HK3/CCS1/CTX1–CTX2). **NB rebase:** ветка `feat/anthropic-dev-tooling` ребейзнута на parallel-sessions §15 (origin/main `781a59c`) — v2.14 и Pravila v1.27 параллельно заняты §15-эпиком; перенумеровано v2.14→v2.15 / Pravila v1.27→v1.28; Pravila/CLAUDE.md дропнуты из rebase и пересозданы поверх §15. Связано: Tooling v2.14 (§4.31–§4.35 + §0 счётчик 55→60), PSR_v1 v3.13 (R10.1 Блок 1 +5 строк + note), Pravila v1.28 (§13.2 +authoring-tooling/dev-support абзац). План `docs/superpowers/plans/2026-05-18-anthropic-dev-tooling-formalization.md`, ветка `feat/anthropic-dev-tooling`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (прецедент A11/C10/discovery).
|
||
|
||
- **v2.14 от 18.05.2026** — parallel-sessions-coordination: sync §0 cross-ref Pravila v1.26→v1.27 + §1 priority chain footer-абзац «Hard-rules вне §9 «Отступления»» (упомянуты §12/§14/**§15**); §15 — третье hard-rule после §12 и §14, лечит два класса инцидентов параллельных Claude-сессий (Sprint 6 субагент-угон-ветки + Tooling v2.11 collision 17.05.2026). Spec — `docs/superpowers/specs/2026-05-18-parallel-sessions-coordination-design.md`, план — `docs/superpowers/plans/2026-05-18-parallel-sessions-coordination.md`. v1.27 в Pravila добавила hard-rule с фиксированным списком 8 нормативных файлов (Pravila/CLAUDE.md/Tooling/PSR_v1/MEMORY.md/Открытые_вопросы/docs/adr/*/db/schema.sql) — pre-flight `git fetch && git log HEAD..origin/main --oneline` обязателен перед правкой любого. Связанные артефакты (на этой же ветке `feat/parallel-sessions-coordination`): docs/sessions/CURRENT.md заявочный лог + `tools/subagent-prompt-prefix.mjs` PreToolUse Task auto-inject хук + `.claude/skills/subagent-driven-development/` wrapper-скил с git-safety-checklist (Tasks 2/4/7 плана). PSR_v1 и Tooling **не правятся** — §15 про координацию сессий, не плагинов. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.13 от 18.05.2026** — discovery-interview integration: формализован #55 discovery-interview — новая двенадцатая off-phase подкатегория «discovery-tooling». **Изменения:** §3 title «54» → «55»; §1 priority-chain row 2b «54» → «55»; §3.3 +строка #55 discovery-interview; §3.3 footer count 54→55 + discovery-tooling как двенадцатая off-phase подкатегория (25 off-phase итого); §0 cross-refs Pravila v1.25→**v1.26** / PSR_v1 v3.11→**v3.12** / Tooling v2.12→**v2.13**; §6 +абзац discovery-interview; шапка v2.12 → v2.13. **#55 discovery-interview** — self-authored project-скил (`.claude/skills/discovery-interview/`, как `audit-portal`/`regression`), два режима: FEATURE (JTBD-интервью заказчика перед фичей → discovery-brief в `brainstorming`) + SYSTEM (интервью-ориентация по мета-слою). Режим «интервью пользователей» — defer post-Б-1. Триггер-eval 20/20 — переименование (fallback) не понадобилось. **Коллизия с C10:** параллельная сессия зашипила `process-analysis` #53 («process discovery»); снята разрезом по слою-источнику (ADR-009 DI1–DI6) — process-analysis ↔ app-код, discovery-interview ↔ голова заказчика + мета-слой. Проектный скил → Pravila §13.2, не §12.2. Связано: Tooling v2.13 (§4.30 + §0 счётчик 54→55), PSR_v1 v3.12 (R10.1 Блок 1 note +discovery-interview), Pravila v1.26 (§13.2 +discovery-tooling абзац), ADR-009. План `docs/superpowers/plans/2026-05-18-discovery-interview-integration.md`, ветка `worktree-discovery-interview`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (прецедент A11/C10).
|
||
|
||
- **v2.12 от 17.05.2026** — C10 business-process integration: формализованы 4 инструмента раздела C10 карты «Бизнес-процессы (общее)». **Изменения:** §3 title «50» → «54»; §1 priority-chain row 2b «50» → «54»; §3.3 +4 строки #51 operations / #52 process-modeling / #53 process-analysis / #54 n8n-mcp (DEFERRED); §3.3 footer count 50→54 + business-process как одиннадцатая off-phase подкатегория (24 off-phase итого); §0 cross-refs Pravila v1.24→**v1.25** / PSR_v1 v3.10→**v3.11** / Tooling v2.11→**v2.12**; §6 +абзац C10-интеграции; шапка v2.11 → v2.12. **#51 operations** — Claude Code marketplace-плагин (`operations@knowledge-work-plugins` v1.2.0, Anthropic Verified, тот же marketplace что #42/#46); 9 скилов, 0 lifecycle-хуков. **#52 process-modeling** + **#53 process-analysis** — self-authored project-скилы (`.claude/skills/`, не вендоренные → линтуются, LINT1): BPMN 2.0 моделирование to-be + as-is discovery. **#54 n8n-mcp** — DEFERRED (workflow-движок n8n; у портала нет n8n — движок процессов = очередь Laravel; принятие n8n = отдельный ADR; pending-слот). 5 reuse-кросс-ссылок через `NODE_SECTION_SECONDARY`. Стратегия Approach 3 (hybrid + vendoring). Границы — ADR-008. Конфликт-аудит: OPS1/OPS4/OPS5, BPMN1, LINT1, PA1, N8N1, XREF1, CAT1, NUM1, BUS1. **NB:** v2.11 на origin/main занят несвязанным изменением (ADR-006 Decision-4) — C10 ребейзнут на v2.12; см. v2.11-запись ниже. Связано: Tooling v2.12 (§4.26-4.29 + §0 счётчик 50→54), PSR_v1 v3.11 (R10.1 Блок 1 +operations + note self-authored скилы, Блок 3 +n8n-mcp), Pravila v1.25 (§13.2 +business-process абзац). План `docs/superpowers/plans/2026-05-17-c10-business-process-tooling-integration.md`, ветка `worktree-c10-business-process-tooling`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент A11 v2.10).
|
||
|
||
- **v2.11 от 17.05.2026** — ADR-006 Decision-4 icon-path boundary mirror. Конфликт-аудит карты (`docs/automation-graph.html`) выявил нерегламентированную границу: Universal Icons MCP #45 отдаёт raw SVG, а проектная конвенция (CTO-19) — `lucide-vue-next` компоненты через Vuetify `IconSet`; ADR-006 регулировал #45 только против 21st `logo_search`. **Изменения:** ADR-006 +поправка (Decision item 4 + Consequences bullet + Status `Amended`-строка — для Lucide-иконок канонический путь `lucide-vue-next`/Vuetify IconSet, raw-SVG MCP только для не-Lucide коллекций); §3.3 строка #45 +нота «ADR-006 Decision 4»; §0 cross-ref Tooling Прил.Н v2.10→**v2.11** (§4.20 +UI3); шапка v2.10 → v2.11. **Не затронуто (assess):** Pravila §13.2 (абзац design-tooling делегирует к ADR-006, границы не перечисляет исчерпывающе — дрейфа нет), PSR_v1 R10.1 (#45 — role-registry строка). Счётчики инструментов без изменений (50 позиций). Связано: ADR-006 (поправка), Tooling v2.11 (§4.20 UI3). Worktree от origin/main `008c8a3a`; прямой Edit — worktree-constraint эксцепшн §5 п.10 (прецедент A11 v2.10).
|
||
|
||
- **v2.10 от 17.05.2026** — A11 ml-ai-tooling integration: формализованы 3 инструмента раздела A11 карты «ML / AI-разработка». **Изменения:** §3 title «47» → «50»; §1 priority-chain row 2b «47» → «50»; §3.3 +3 строки #48 promptfoo / #49 Data Scientist skill / #50 Jupyter MCP (DEFERRED); §3.3 footer count 47→50 + ml-ai-tooling как десятая off-phase подкатегория (20 off-phase итого); §0 cross-refs Pravila v1.23→**v1.24** / PSR_v1 v3.9→**v3.10** / Tooling v2.9→**v2.10**; §6 +абзац A11-интеграции; шапка v2.9 → v2.10. **#48 promptfoo** — npm devDependency (`promptfoo` v0.121.11, MIT, OpenAI-owned/OSS), CLI-eval LLM-промптов; запуск только вручную/CI — никогда в хук (ML1, платные вызовы); тяжёлый (~1090 пакетов). **#49 Data Scientist skill** — вендоренный сторонний скил (`sickn33/antigravity-awesome-skills`, код MIT / контент CC BY 4.0) в `.claude/skills/data-scientist/`. **#50 Jupyter MCP** — DEFERRED (требует Python ML-окружения, на native-Windows машине не ставится; pending-слот). reuse-слой (claude-api skill / context7 / Sentry) — без новых номеров. Границы — ADR-007. Связано: Tooling v2.10 (§4.23-4.25 + §0 счётчик 47→50), PSR_v1 v3.10 (R10.1 Блок 3 +Jupyter MCP, Блок 1 note +promptfoo/Data Scientist skill), Pravila v1.24 (§13.2 +ml-ai-tooling абзац). План `docs/superpowers/plans/2026-05-17-a11-ml-ai-tooling-integration.md`, ветка `worktree-a11-ml-ai-tooling`. Через прямой Edit — worktree-constraint эксцепшн §5 п.10 (claude-md-management не наводится на worktree-копию CLAUDE.md; прецедент — ruflo big-bang v2.0).
|
||
|
||
- **v2.9 от 17.05.2026** — A3 integration-tooling integration: формализован #47 openapi-mcp-server + парный узел api-docs agent (раздел A3 карты «Программирование — интеграции (API, вебхуки)»). **Изменения:** §3 title «46» → «47»; §1 priority-chain row 2b «46» → «47»; §3.3 +строка #47 openapi-mcp-server; §3.3 footer count 46→47 + integration-tooling как девятая off-phase подкатегория (17 off-phase итого); §0 cross-refs Pravila v1.22→**v1.23** / PSR_v1 v3.8→**v3.9** / Tooling v2.8→**v2.9**; §6 +абзац A3-интеграции; шапка v2.8 → v2.9. **#47 openapi-mcp-server** (`@ivotoby/openapi-mcp-server` v1.14.0, npm, MIT) — stdio MCP в `.mcp.json`, отдаёт OpenAPI-спеку как MCP-ресурс; smoke verified native-Windows. **api-docs agent** (claude-flow) — узел карты A3 без Tooling-номера (sub-агент, реестр plugin-grain). Карта 116→118 узлов, A3 0→7 (2 новых + 5 кросс-реф через новый слой `NODE_SECTION_SECONDARY`). Связано: Tooling v2.9 (§4.22 + §0 счётчик 46→47), PSR_v1 v3.9 (R10.1 Блок 3 +openapi-mcp), Pravila v1.23 (§13.2 +integration-tooling абзац). Ветка `feat/a3-integration-tooling` ребейзнута на origin/main `1313d89` (исходный форк — устаревшая D3-эра; C9/deptrac/A4 уже влиты). План `docs/superpowers/plans/2026-05-17-a3-integration-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.8 от 17.05.2026** — A4 design-tooling integration: формализованы 3 инструмента раздела A4 карты «Дизайн (UI/UX, графика, бренд)». **Изменения:** §3 title «43» → «46»; §1 priority-chain row 2b «43» → «46»; §3.3 +3 строки #44 Figma MCP (DEFERRED) / #45 Universal Icons MCP / #46 Design plugin; §3.3 footer count 43→46 + design-tooling как восьмая off-phase подкатегория (16 off-phase итого); §0 cross-refs Pravila v1.21→**v1.22** / PSR_v1 v3.7→**v3.8** / Tooling v2.7→**v2.8**; §6 +абзац A4-интеграции; шапка v2.7 → v2.8. **#44 Figma MCP** — DEFERRED (FM2-спайк: у проекта нет Figma-аккаунта; дизайн-источник Лидерры — статический handoff Платона, не Figma-файл; регистрируется deferred-pending как Sentry #34). **#45 Universal Icons MCP** (`mcp-universal-icons`, MIT) — в `.mcp.json`. **#46 Design plugin** (Anthropic Verified) — marketplace-плагин. Границы — ADR-006 (Figma extract-only; Design plugin a11y дизайн-уровня — Pa11y технический SoT; Design Critique pre-code). Конфликт-аудит: FM1/FM2, UI1/UI2/CC1, DP1/DP2/DP4. Связано: Tooling v2.8 (§4.19-4.21 + §0 счётчик 43→46), PSR_v1 v3.8 (R10.1 Блок 1 +Design plugin, Блок 3 +Figma/Universal Icons MCP), Pravila v1.22 (§13.2 +design-tooling абзац). План `docs/superpowers/plans/2026-05-17-a4-design-tooling-integration.md`, ветка `feat/a4-design-tooling`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.7 от 17.05.2026** — deptrac architecture-fitness integration: формализован #43 deptrac как 4-й инструмент off-phase подкатегории architecture-tooling. **Изменения:** §3 title «42» → «43»; §1 priority-chain row 2b «42» → «43»; §3.3 +строка #43 deptrac; §3.3 footer count 42→43 + architecture-tooling 3→4 инструмента (13 off-phase итого); §0 cross-refs Pravila v1.20→**v1.21** / PSR_v1 v3.6→**v3.7** / Tooling v2.6→**v2.7**; §6 +абзац deptrac-интеграции; шапка v2.6 → v2.7. **deptrac** (`deptrac/deptrac` v4.6.1, BSD-3) — Composer dev-dependency, не marketplace-плагин; конфиг `app/deptrac.yaml` 13 слоёв, врезан в lefthook pre-commit job 10; первый прогон 0 нарушений (481 allowed) → baseline-файл не нужен, red-green доказан. Закрывает A6-пробелы conformance + layer-direction; code-derived C4-диаграмма `docs/architecture/c4-component-layers.md`. ADR-005. Связано: Tooling v2.7 (§4.18 + §0 счётчик 42→43), PSR_v1 v3.7 (R10.1 Блок 1 note), Pravila v1.21 (§13.2 architecture-tooling абзац +deptrac). Конфликт-аудит: DT1 (резолвер чист), DT3 (0 нарушений), DT4/DT5 (границы Larastan/adr-judge). План `docs/superpowers/plans/2026-05-17-deptrac-architecture-fitness-integration.md`, ветка `worktree-deptrac-architecture-fitness`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.6 от 17.05.2026** — C9 project-management integration: формализованы 2 инструмента раздела C9 карты «Управление проектами». **Изменения:** §3 title «40» → «42»; §1 priority-chain row 2b «40» → «42»; §3.3 +2 строки #41 CCPM / #42 product-management; §3.3 footer count 40→42 + project-management как седьмая off-phase подкатегория (12 off-phase итого); §0 cross-refs Pravila v1.19→**v1.20** / PSR_v1 v3.5→**v3.6** / Tooling v2.5→**v2.6**; §6 +абзац C9 интеграции; шапка v2.5 → v2.6. Связано: Tooling v2.6 (§4.16/§4.17 + §0 счётчик 40→42), PSR_v1 v3.6 (R10.1 Блок 1 +2 строки), Pravila v1.20 (§13.2 +project-management абзац), ADR-004 (`docs/adr/004-project-management-tooling.md`), `docs/projects/README.md`. Конфликт-аудит: CP1/PG1/GH1/REU1/CC1/NUM1. План `docs/superpowers/plans/2026-05-17-c9-project-management-tooling-integration.md`, ветка `worktree-c9-project-management-tooling`, коммит нормативки `6433600`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.5 от 17.05.2026** — фактическая правка #40 Security Guidance (D3 audit-security): инструмент был ошибочно описан во всех D3-доках как «warn-only / не блокирует» — по факту `security_reminder_hook.py` делает `sys.exit(2)`, это **блокирующий** PreToolUse-хук (при первом за сессию срабатывании уязвимого паттерна в файле блокирует правку — одноразовый speed-bump per «файл+правило», retry проходит). **SG2:** на этой Windows-машине bundled `hooks.json` зовёт `python3`, которого нет в PATH (есть `python` 3.14.4) → хук был инертен; починено добавлением `python3.exe` (копия `python.exe`) в каталог установки Python в PATH (кэш плагина не трогается, переживает обновления плагина). Verified end-to-end (manual smoke → `sys.exit 2` + предупреждение; in-session Write-блокировка). **Изменения:** шапка v2.4 → v2.5; §3.3 строка #40 переписана (блокирующий + SG2); §6 абзац D3 уточнён; §0 cross-refs Pravila v1.18→**v1.19** / PSR_v1 v3.4→**v3.5** / Tooling v2.4→**v2.5**. Счётчики инструментов без изменений (40 позиций). Связано: Tooling v2.5 (§4.15 + SG1/SG2), PSR_v1 v3.5 (R10.1), Pravila v1.19 (§13.2), ADR-003 (amended Status + Consequences), automation-graph `sec_guidance` nd(). План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.4 от 17.05.2026** — D3 audit-security integration: формализованы 2 инструмента раздела D3 карты «Аудит и управление рисками». **Изменения:** §3 title «35» → «40» (исправляет A6 v2.3-пропуск — title оставался «35», хотя §1/§3.3 ушли на 38); §1 priority-chain row 2b «38» → «40»; §3.3 +2 строки #39 Trail of Bits Skills / #40 Security Guidance; §3.3 footer count 38→40 + audit-security как шестая off-phase подкатегория; §0 cross-refs Pravila v1.17→**v1.18** / PSR_v1 v3.3→**v3.4** / Tooling v2.3→**v2.4**; §6 +абзац интеграции; шапка v2.3 → v2.4. Связано: Tooling v2.4 (§4.14/§4.15 + §0 счётчик), PSR_v1 v3.4 (R10.1 Блок 1 +2 строки), Pravila v1.18 (§13.2 +audit-security абзац), sibling-коммит нормативки `6a26700`. План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.3 от 17.05.2026** — A6 architecture-tooling integration: формализованы 3 инструмента раздела A6 карты «Архитектура систем». **Изменения:** §3 title «35» → «38»; §1 priority-chain row 2b «реестр 35» → «38»; §3.3 +3 строки #36 adr-kit / #37 mermaid-skill / #38 architecture-patterns; §3.3 footer count 35→38 + architecture-tooling как пятая off-phase подкатегория; §0 cross-refs Pravila v1.16→**v1.17** / PSR_v1 v3.2→**v3.3** / Tooling v2.2→**v2.3**; §6 +абзац интеграции; шапка v2.2 → v2.3. Связано: Tooling v2.3 (§4.11–4.13 + §0 счётчик), PSR_v1 v3.3 (R10.1 Блок 1 +2 строки), Pravila v1.17 (§13.2 +architecture-tooling абзац). План `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.2 от 16.05.2026** — Реколлаж ruflo: декларация «entry-point уровня −1» приведена к фактическому рантайму (рой idle / 0 задач / Claude работает напрямую). **Изменения:** §1 убран уровень −1 (строка + trailing paragraph); §3 title «orchestration layer» → «advisory-подсистема»; §3.5 heading + body переписаны (entry-point → advisory/automation-подсистема, фактический рантайм описан); §0 cross-refs Pravila v1.15 → **v1.16** / PSR_v1 v3.0 → **v3.2** / Tooling v2.0 → **v2.2**; §6 +абзац реколлажа; шапка v2.1 → v2.2; **§5 п.10 ruflo-routing inline-note удалён** (безусловная норма восстановлена: claude-md-management — единственный канал правок CLAUDE.md, без исключения «ruflo routing-decision»). §14 queen-триггер сохранён. Связано: Pravila v1.16 / PSR_v1 v3.2 / Tooling v2.2. Spec: `docs/superpowers/specs/2026-05-16-ruflo-hierarchy-factual-recollage-design.md`. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v2.1 от 15.05.2026** — §14 queen-trigger. **v2.0 от 15.05.2026** — Ruflo big-bang integration: 8 → 9-level priority chain, ruflo Queen-led routing уровень −1 (entry-point). **Изменения:** §0 cross-refs Pravila v1.14 / PSR_v1 v3.0 / Tooling v2.0; §1 +уровень −1 ruflo с trailing explanation; §3 title +ruflo orchestration; §3.5 (new) «Off-phase orchestration: ruflo»; §3.5→§3.6 (renumber «Заметки к `.claude/settings.json`»); §5 п.10 +inline sub-policy ruflo routing note (claude-md-management preferred channel; ruflo agents могут править напрямую при routing-decision); §6 +2026-05-15 ruflo phase paragraph. **Major bump reflects architectural inversion** (paper-level: daemon/swarm/memory not yet running). Spec/plan: `docs/superpowers/specs/2026-05-15-ruflo-integration-design.md` (`e55572e+a68a0a0`), `docs/superpowers/plans/2026-05-15-ruflo-big-bang-integration.md` (`18c4463+9bd1bae`). Phase 3 sibling commits: Pravila v1.14 (`9c3057b`), PSR_v1 v3.0 (`d30cbeb`). Through прямой Edit (plan §1.4 user-authorized exception к §5 п.10).
|
||
|
||
- **v1.93 от 14.05.2026** — Audit #3 deferred fixes sprint closure: sync schema header drift «62 → 63 базовые таблицы» в §0/§2/§8 после изменения `db/schema.sql:4` в commit `e746b3c`. Изменено в 3 местах + version bump + §9 entry. **Sprint (5 commits, pushed `f9d2452..c524227 main -> main`):** `8ba9c55` plan-документ; `0c36b7a` Pa11y scope migration к live Vue (7/7 URLs passed после contrast fix на RecoveryCodesView; CI workflow `.github/workflows/a11y.yml`; baseline doc `docs/audit-baseline-pa11y.md`); `e746b3c` dead code (AdminPlaceholderView удалён + concurrently uninstalled + 12 dead exports → internal types + DemoSeeder env-conditional + schema header drift 62→63); `c5c0e76` coverage F-COV-01/02/03 via 3 parallel subagents (Stmts: ReminderDialog 0→95.38%, AdminLayout 9→95.45%, api/admin 11.5→100%; Vitest 88→91 files / 683→736 specs); `c524227` P3 tooling (knip cleanup + admin actions header label «Действия» + npm overrides lodash + pgFormatter decision doc Q.HARD.002 FIX-DEFER). **Closed:** 1 P1 + 7 P2 + 4 P3 deferred findings. **Out-of-scope (documented carryforward):** Sentry SDK (Б-1 blocked), GITHUB_TOKEN в gitignored cache, F-COV-04..07 observational, F-BUN structural. **Regression:** Pest 742/739/3sk/0 / Vitest 91f/736/3sk/0 / Vite 2.03s / gitleaks 0/442 / lychee 325/0 — **0 regressions**. Через `/claude-md-management:claude-md-improver` per §5 п.10.
|
||
|
||
- **v1.92 от 13.05.2026 (day +1)** — Task 9 sync нормативки после merge PR #3 (`cc5f63b`). **Изменения:** **§3.3 +#34 Sentry MCP + #35 Redis MCP** (off-phase debug-runtime category, отдельная от UI-пула UPM/21st и infrastructure claude-md-management); **§3 title** «Карта 33 инструментов» → «35»; **§1 priority chain row 2b** «33 инструментов» → «35»; **§3.3 footer count** 33 → 35 (29 phase-active + 5 off-phase + 1 historic); **§0 cross-refs** Tooling v1.16 → v1.17 (§4.8 Sentry + §4.9 Redis новые subsections), PSR_v1 v2.0 → v2.1 (R10.1 Блок 3 +sentry+redis с категорией debug-runtime), Pravila v1.12 → v1.13 (§13.2 +новый абзац «Off-phase MCP debug-runtime»). **NB:** PR #3 уже добавил 4 plan/spec/drafts files в `docs/superpowers/` от feat/claude-automation; CLAUDE.md §0 cross-refs к ним не нужны (operational map указывает на нормативку и schema, не на implementation plans). **Branch:** `feat/claude-automation-norm-sync` commits 763aeae (Tooling) + c1f9719 (PSR_v1) + 318aed4 (Pravila); этот commit для CLAUDE.md через `/claude-md-management:claude-md-improver` per §5 п.10. **Sentry/Redis MCP установлены:** sentry@6f7e7d7 (env `SENTRY_URL`+`SENTRY_AUTH_TOKEN` через PowerShell User scope; pending Sentry instance deployment Б-1), redis@bd4ec48 (deprecated `@modelcontextprotocol/server-redis@2025.4.25`, рабочий с Memurai PONG verified Task 4). READ-ONLY usage обязателен для обоих. **Без изменений:** §2-§8 контент invariant (кроме точечных edit'ов §3); код / schema / tests — нетронуты.
|
||
- **v1.91 от 13.05.2026 (day +1)** — Session-end documentation hygiene после CTO-19 ✅ closure via Lucide migration. **§0 row Pravila** bumped v1.11 → v1.12 (methodology additions: §4.6 +UI-refactor visual smoke; §4.7 +п.4 plans/specs relative paths). **Связано:** реестр v1.82→v1.83 (CTO-19 closure в commit `0832997`, `f6e1e64` link fixup); audit `findings.md` Q.INFO.001 +audit methodology gap note (Phase 4 SAST coverage check must begin с `ls .github/workflows/` — пропустил `.github/workflows/sast.yml` 12.05.2026); memory quirks 74-76 (Lucide+Histoire `--legacy-peer-deps` / Vuetify-internal default mdi-* gap / plans-relative-paths `../../../`). **Без изменений:** §0 cross-refs PSR_v1 v2.0 / Tooling v1.16 / реестр v1.83 (актуальные); §2-§8 контент invariant; код / schema / migrations / тесты — нетронуты. Регрессия (фактическая, не verified в этом bump'е — verified в предыдущем commit `0832997`): Pest --parallel 742/739/0/3, Vitest 88 files / 683 / 3 skipped, Vite build 3.52s, axe-core 0 iconography violations. **Через:** `superpowers:brainstorming` (F-option scope clarification) → `:writing-plans` → `/claude-md-management:revise-claude-md` (для этого CLAUDE.md bump per §5 п.10) + ручные Edit (Pravila §4.6/§4.7 + audit findings.md). Workflow learning (capture для future sessions): для mechanical UI-refactor пайплайн brainstorming → writing-plans → subagent-driven-development efficient (CTO-19 case).
|
||
- **v1.90 от 13.05.2026 (day)** — Merge R15 motion-runtime removal cleanup из `origin/main` в `plan5-frontend-projects`. Merge-base `48f27b4`; plan5 был 113 ahead / 2 behind. Origin/main за этот период получила 2 коммита: `0fd93fd` (planning artefacts spec+plan, +2 files) + `615db99` (нормативная правка 5 файлов: PSR_v1 v1.7→v2.0, Pravila v1.10→v1.11, Tooling v1.15→v1.16, CLAUDE.md v1.87→v1.88, CHANGELOG entry). `git merge-tree` показал ровно 2 conflict'а: CLAUDE.md (шапка version + §9 entries) и CHANGELOG_claude_md.md (entries). Остальные 3 нормативных файла fast-forward без conflict'а (plan5 не редактировал их после fork). **Конфликт-resolution:** шапка → v1.90 unified; §0 cross-refs → take origin/main (Pravila v1.11 / PSR_v1 v2.0 / Tooling v1.16); §2 Animation default stack → take origin/main (motion-runtime guidance); §5 п.12 → take origin/main (marker «Резерв (снят 12.05.2026)»); §6 фаза + §8 self-review → keep plan5 (Plan 4 MERGED + Plan 5 frontend + Quiet Luxury context); §9 история версий → keep both v1.88 entries explicitly labelled (plan5 audit schema-sync + origin/main R15 removal — distinct concerns, version-number collision result of parallel-branch bump'ов), plus v1.89 plan5 factual fix + new v1.90 merge entry. **Через ручное conflict resolution + post-merge `/claude-md-management:revise-claude-md` polish (per §5 п.10).** Memory updates после push: `feedback_plugin_paired_stack.md` (remove branch-divergent note + bump tier-структуру к v2.0), `project_state.md` (branch counters), `reference_archive.md` (file version refs).
|
||
- **v1.89 от 12.05.2026 (ночь, post-audit continuation)** — factual fix §6 + шапка v1.88 changelog: коммит `615db99` ошибочно представлен как Plan 4 merge (фактически `615db99` это R15 motion-runtime removal commit «chore(rules): remove R15 motion-runtime restrictions (PSR_v1 v2.0)»; правильный Plan 4 closure marker на origin/main — `8681040` «docs: Plan 4 closure — CLAUDE.md v1.87 + Открытые_вопросы v1.78», backend task-коммиты Plan 4 `a907fea..174dbae` (Tasks 9-11) merged ранее). Дополнительно: коммит `f4ec5dc` («fix(redesign): sidebar position:fixed + main padding-left — restore main content visibility» — Quiet Luxury hotfix на ветке `plan5-frontend-projects`) ошибочно представлен в v1.88 §6 как PSR_v1 R15 removal — убран из §6 формулировки (Quiet Luxury hotfix не связан с R15 motion-runtime removal и не находится на origin/main). Связанные документы НЕ требуют изменений: Pravila v1.10 / PSR_v1 v1.7 / Tooling v1.15 / реестр v1.77 на ветке `plan5-frontend-projects` остаются как есть; фактологический фикс локален в CLAUDE.md. Verified через `git show 615db99 --stat` (subject «chore(rules): remove R15 motion-runtime restrictions (PSR_v1 v2.0)») + `git show 8681040` (subject «docs: Plan 4 closure — CLAUDE.md v1.87 + Открытые_вопросы v1.78») + `git show f4ec5dc` (subject «fix(redesign): sidebar position:fixed + main padding-left — restore main content visibility»). Заказчик: «доделывать аудит, поправить ошибку в CLAUDE.md». Через `/claude-md-management:claude-md-improver`. *(NB v1.90 post-merge: связанные документы Pravila/PSR_v1/Tooling всё-таки обновились — но не из-за фактологического фикса плана5, а из-за подтянутого R15 removal из origin/main. Этот NB не отменяет v1.89 logic — он добавляет post-merge context.)*
|
||
- **v1.88 от 12.05.2026 (ночь) — plan5 branch (audit schema-sync)** — audit-driven sync §0/§2/§6/§8 после полного аудита портала (`docs/superpowers/audits/2026-05-12-portal-full-audit-*.md`). Заказчик: «проведи полный аудит всего портала ... исправь все что сможешь в моё отсутствие». Через `/claude-md-management:revise-claude-md`. **Ключевые правки:** **§0 row «Схема БД»** — добавлено «schema baseline v8.19» metrics + «dev-actual factual» 75/102/289/39/5/19/0 (после `migrate:fresh` + накопленных `partitions:create-months`), 5 user-функций перечислены поимённо (audit_block_mutation, audit_chain_hash, calc_lead_score, report_jobs_log_export, set_pd_subject_request_deadline). **§0 row «Открытые_вопросы»** — v1.75 → v1.77 (Sprint 4 Audit tail close); добавлено note о post-v1.77 deviation (Plan 4/5 + Quiet Luxury merged без registry bump). **§2 row «БД»** — аналогично §0 schema-row, baseline + factual split. **§6 фаза** — «Plan 4 ready for FF-merge» → «Plan 4 MERGED в origin/main `8681040`» + новый параграф про Plan 5 frontend Tasks 7-11 + Quiet Luxury portal redesign + dev-indices в `plan5-frontend-projects` ветке (85+ commits ahead). *(NB v1.89: исходная v1.88 формулировка указывала `615db99` для Plan 4 merge — factual error, по факту `615db99` это R15 motion-runtime removal commit; исправлено post-audit в v1.89.)* **§8 self-review row** — добавлено разделение «baseline ИЛИ dev-actual». **Audit-fixes batch** (commits `3a8229a..audit-final`): Histoire build broken (P0 BulkActionsBar.story Pinia) fixed → 35 stories / 63 variants build OK; vue-tsc 9 errors fixed (AppSidebar NavItem.countKey + Project type unify); ESLint 17 errors fixed (test mocks any → unknown + vitest/no-disabled-tests cleanup + unused beforeEach); Prettier --write 37 files; markdownlint --fix 165 → 1 left (untracked design.md); cspell +79 words в `cspell-words.txt` 187 → 18 issues; routes/web.php +explicit Route::view для `/projects, /reminders, /admin/*`. **Регрессии:** 0. Final factual baseline: Pest 742 / Vitest 614 + 3 skipped / vue-tsc 0 / ESLint 0 / markdownlint 1 (untracked) / cspell 18 (mixed-script artifacts) / lychee 0 broken / gitleaks 0.
|
||
- **v1.88 от 12.05.2026 — origin/main (R15 motion-runtime removal)** — снятие R15 motion-runtime restrictions per user decision 12.05.2026 («сними все запреты на использование framer motion»). Conscious rollback v1.83 audited construction (10.05.2026, R15 двухуровневая motion-конструкция была введена через brainstorming → «двухуровневый» подтверждение заказчика; v1.88 — namesake rollback). **§5 п.12** → маркер «Резерв (снят 12.05.2026, см. CHANGELOG)» (нумерация п.1–11 сохранена, чтобы cross-refs в memory `feedback_environment.md` / `feedback_plugin_paired_stack.md` не сломать); **§2 строка «Animation default stack»** переписана с regulatory denylist на guidance recommendation; **§0 cross-refs** обновлены — Pravila v1.10 → v1.11, PSR_v1 v1.7 → v2.0, Tooling v1.15 → v1.16. **framer-motion** — technical block (peerDep react+react-dom, не работает в Vue физически), не regulatory rule. Связано: PSR_v1 v1.7 → v2.0 (R15 удалено целиком: R15.1 framer-motion + R15.2 motion-v 4 условия + R15.3 default стойка + R15.4 проверка + R15.5 hard-запрет дублирования + R15.6 live-override + R15.7 gsap/anime/lottie; R0.6 п.11 удалён; R8 motion тай-брейкеры удалены; R11.6 motion иерархия удалена; R13 motion-сценарии удалены), Pravila v1.10 → v1.11 (§11.5/§13.2 счётчик 16→15 правил; §13.9/§13.10 cross-refs на PSR_v1 v1.6→v2.0; §13.10 НЕ удалено — оно про R14, не R15), Tooling v1.15 → v1.16 (§9.2 reformulated в technical guidance), CHANGELOG_claude_md.md + MEMORY sync. Через `superpowers:brainstorming` → 3 варианта → выбор B (полная отмена R15) → `superpowers:writing-plans` → `superpowers:executing-plans` + `/claude-md-management:claude-md-improver` + ручные Edit (PSR_v1/Tooling/Pravila). v1.87→v1.88. **NB version-number collision:** на ветке plan5 также присутствует другая v1.88 entry (audit-driven schema-sync) — обе валидны, обе 12.05.2026, обе явно labelled.
|
||
- **v1.87 от 11.05.2026** — sync schema-метрик после Plan 4 (Billing+CSV+Admin). Schema **v8.11 → v8.19** (накопленный drift от Plans 1+2+3+4): §0 «Источник истины» row «Схема БД», §2 «Стек» строка БД, §6 «Текущая фаза», §8 self-review триггеры — все обновлены до 62 базовых таблиц / 12 партиций / 117 индексов / 39 RLS / 5 функций / 13 триггеров / 5 ролей БД. §6 расширен Plan 4 closure summary: 15 коммитов на ветке `plan4-billing` (14 task-коммитов `a907fea..174dbae` + lychee CV-fix `fded2ee`), Pest 687/684 passed + 3 skipped/0 failed (2090 assertions), Vitest 49 files / 428 passed, Histoire 24 stories / 31 variants, lychee 0 broken, gitleaks 0 leaks. Активированы 7-ступенчатый pricing-tier биллинг + CsvReconcileJob hourly + auto-pause flow + 3 UI экрана. +7 новых Биз-25..31 в реестре (раздел 13 Открытые_вопросы v1.78). Drive-by closure: Plan 1 deferred WARNING #7 (SupplierProjectFactory random race) — fixed в Task 10 `0f820c4`. Через `/claude-md-management:revise-claude-md`.
|
||
|
||
- **v1.86 от 10.05.2026 (поздний вечер)** — закрытие 13 находок третьего аудита правил использования плагинов и скилов (4 P0 + 5 P1 + 2 P2 + 2 sync-правки в README/README_АРХИВ). Заказчик: «проведи аудит правил использования плагинов и скилов на предмет конфликта и запутаностей» → Claude через `/claude-md-management:claude-md-improver` нашёл 12 формальных находок + 4 sync-побочки, представил quality report, получил «исправь все, только при выполнении руководствуйся правилом, прежде чем вносить изменения тебе надо проанализировать как оно влияет на другие правила, что исправляю одно не делать других ошибок», применил с cross-impact-анализом перед каждой группой. **P0 (4 — реальные арифметические конфликты в CLAUDE.md, прошли мимо второго аудита):** §3 header «Карта 28 инструментов» → «33» (header застрял с pre-FD эпохи); §3.4 header «(+5, итого 28)» → «итого 29» (после добавления #30 в фазу 2 cumulative должна быть 29); §3.3 footer «из 30 номеров минус #1 = 29 active» → расширенная формулировка «33 номеров: 29 phase-active + 3 off-phase + 1 historic»; §6 «Активно: 19 инструментов из 29» + «(19/29 активны)» → «24» в обоих местах (внутренний арифметический конфликт: тут же раскладка 9+8+7=24, но числовая метка застряла на 19 с эпохи когда фаза 2 имела ~4 активных). **P1 (5 — обновление stale `+`-refs на актуальные версии):** PSR_v1 шапка cross-refs «CLAUDE.md v1.84+/Pravila v1.9+» → «v1.86+/v1.10+»; Tooling шапка cross-refs «Pravila v1.9+/PSR_v1 v1.5+/CLAUDE.md v1.84+» → «v1.10+/v1.7+/v1.86+»; CLAUDE.md §5 п.5 «PSR_v1 v1.5+» → «v1.7+». **P2 (2 — внутренние несогласованности формулировок):** PSR_v1 line 4 «slot уровня 2.5» → «уровня 2b» (описка внутри changelog'а v1.6, фактическое R0.1 line 33 всегда содержало «2b»); CLAUDE.md §3.3 #33 «вне Pravila §13» → «вне UI-пула §13» (Pravila §13.2 v1.10 включает claude-md-management как infrastructure subsection; «вне §13» вводило в заблуждение). **Побочки sync:** README.md и README_АРХИВ_v8_5.md «карта 28 инструментов» → «33 инструмента»; Tooling §11.5/§12 «не входят в 28» → «33 формализованные позиции». Связано: **PSR_v1 v1.6→v1.7**, **Tooling v1.14→v1.15**. Pravila v1.10 — без изменений. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v1.85 от 10.05.2026 (вечер)** — закрытие 15 находок аудита правил использования плагинов и скилов (4 P0 + 7 P1 + 4 P2). Заказчик: «проведи аудит правил использования плагинов и скилов на предмет конфликта и запутанностей» → Claude через `/claude-md-management:claude-md-improver` нашёл 16 находок, представил quality report, получил «все 15» (P0+P1+P2), применил батчем. **P0:** §6 арифметика «33» исправлена (+1 historic PG MCP); Tooling §10.3 шаг 2 sync с §4.1 (3→14 skills); Pravila §13.2 «(15 правил)»→«(16)»; Tooling §13 +v1.13 +v1.14 entries. **P1:** массовый stale-refs дрейф v1.4→v1.6 + v1.12→v1.14 в 7 местах (CLAUDE.md #31/#32/§5п.12, Pravila §11.5/§13.2/§13.9/§13.10). **P2:** Tooling Прил. Н добавлен explicit-слотом уровня 2b (раньше PSR_v1 R0.1 говорил «stack ниже Tooling», но Tooling не было в priority chain ни одного из 4 файлов); PSR_v1 R0.4.A свёрнут до cross-ref на Pravila §12.3 SoT (раньше параллелил список разной формулировкой — риск дрейфа); Pravila §0 +note про §11 override-приоритет (раньше §11 формально стоял ниже §9 в цепочке вопреки фактическому override §2.2/§4.5/§8.4); PSR_v1 R0.6 пронумерован 1–11 для надёжности cross-refs. Связано: **Pravila v1.9→v1.10**, **PSR_v1 v1.5→v1.6**, **Tooling v1.13→v1.14**. Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v1.84 от 10.05.2026** — закрытие 14 находок аудита нормативной документации (конфликты и запутанности между CLAUDE.md / Pravila / PSR_v1 / Tooling). **#33 claude-md-management** формализован в реестре Tooling §3.3 как 5-й включённый плагин (инфраструктурная категория, off-phase). §5 п.5 свёрнут до 2 строк (была копия PSR_v1 R14 целиком). §5 п.11 — cross-ref на Pravila §12.3 SoT. §1 — scope-метка «общая 7-уровневая файловая иерархия». §6 — счётчик 31→33. Связано: Pravila v1.8→v1.9, PSR_v1 v1.4→v1.5, Tooling v1.12→v1.13.
|
||
|
||
- **v1.83 от 10.05.2026** — **формализация двух фактически включённых внешних UI-инструментов + двухуровневое решение по runtime motion-библиотекам.** Триггер: пользователь спросил «хочу добавить стек плагинов 21st, framer motion, UI UX max — проанализируй конфликты». Проверка показала: 21st (MCP `magic`) и UI UX Pro Max (skill) уже включены в `~/.claude.json` и `~/.claude/settings.json` соответственно, но в правилах не описаны (любое использование = нарушение R0.2/R10.4 PSR_v1). Framer Motion — React-only runtime-библиотека, не Claude-плагин, физически не работает в Vue. Через цикл brainstorming → 3 варианта → итерации согласовано: формализовать UPM + 21st; для motion — двухуровневая R15-конструкция (framer-motion hard-запрет + motion-v узкое окно по 4 условиям). **PSR_v1 v1.3 → v1.4** (R6/R6.1 расширены на FD/UPM/21st, R10.1 +21st row, R11.5 + R11.6, R0.6 +3 hard-стопа, R13 +9 строк matrix'а, R14 (новое) pipeline UI-генераторов с R14.4 21st pre-check, R15 (новое) motion-системы — R15.1 framer-motion hard-запрет + R15.2 motion-v 4 условия + R15.3 default стойка + R15.7 расширение на gsap/anime/lottie). **Pravila v1.7 → v1.8** (§13 расширен, §13.10 hard-link на R14: использование UPM/21st вне pipeline'а = нарушение §13). **Tooling Прил. Н v1.11 → v1.12** (#31 UPM + #32 21st как off-phase tools; §9.2 motion-runtime denylist). **CLAUDE.md изменения:** §0 cross-refs обновлены (Pravila v1.8, PSR_v1 v1.4, Tooling v1.12); §2 +Animation default stack; §3.3 +#31 UPM +#32 21st строки; §5 п.5 расширен на расширенный пул UI-инструментов; §5 п.12 motion-runtime новый; §6 обновлён (31 формализованных позиций: 19/29 по фазам + 2 off-phase). Через `/claude-md-management:claude-md-improver`.
|
||
|
||
- **v1.82 от 09.05.2026** — Sprint 1 «Hygiene» Phase D: sync метрик schema v8.10 → v8.11 (97 индексов, 38 RLS после Sprint 1 Phase A `e01caa3`: RLS на impersonation_tokens + 2 FK indices) + Histoire 21/28 → 21/43 (фактическое значение из stage1 аудита) + cross-link на детали F–K патчей PSR_v1 в [Plugin_stack_rules_v1.md История версий](docs/Plugin_stack_rules_v1.md#история-версий). Закрывает audit P1-03 (Histoire) + P2-03 (F-K детализация) + post-A метрики. Через `/claude-md-management:claude-md-improver`.
|
||
- **v1.81 от 09.05.2026** — Plugin_stack_rules_v1 v1.2 → v1.3 (6 трений второго порядка F–K) + Pravila v1.5 → v1.6 (§13.9 hard-link на R10). **F**: R12 архитектурное → override §4.5 через явный `brainstorming` skill или просьбу «свободно/без вариантов» (Pravila §11.1). **G**: R12 тактическое разделено на «с альтернативами» (A/B/C формат разрешён под user-стиль «а/б») и «без альтернатив» (одна BOLD от FD). **H**: R13 строка про новую UI-фичу разделена — «вне ТЗ И не в Открытые_вопросы» = hard-стоп (Pravila §7), «в рамках MVP-skopa без детализации» = средняя+предположение. **I**: R11.4 «Fallback при технической недоступности уровня» — таблица 6 уровней с маршрутами; недоступность 1–2 = hard-стоп, 3–6 = мягкий fallback. **J**: R10.4 смягчение формулировки + hard-link через Pravila §13.9 (нарушение R10 = нарушение §13). **K**: R0.1 точный scope «головенства» через таблицу priority chain — Stack головной над уровнями 4–6 (settings.json, memory, прочие плагины), не над 0–2 (Pravila §12, Pravila, CLAUDE.md). Через `/claude-md-management:claude-md-improver`.
|
||
- **v1.80 от 09.05.2026** — Plugin_stack_rules_v1 v1.1 → v1.2: закрытие 9 проектных перекрытий + принцип-аксиома «stack — головной». **R10** (новое): внешние плагины как инструменты — реестр 11 плагинов с явными ролями (ui-ux-pro-max = резерв-библиотека, claude-md-management = инструмент CLAUDE.md edits, review/security-review/init/simplify = только по явному `/имя`, Boost = служебный слой ниже). **R11** (новое): иерархия 6 источников истины UI/UX — Brandbook → ТЗ+schema → FD → Boost guidelines → ui-ux-pro-max → Vue/Vuetify docs. **R12** (новое): три паттерна дизайн-решений (архитектурное §4.5, тактическое brainstorm/BOLD, стилевое одна идея, тривиальное прямое). **R13** (новое): decision matrix Auto+§12+R0.6 на 14 типов задач × confidence × действие. Только §0 строка PSR_v1; в составе инструментов — без изменений. Через `/claude-md-management:claude-md-improver`.
|