diff --git a/CLAUDE.md b/CLAUDE.md index 6671527d..2e6ed43f 100644 --- a/CLAUDE.md +++ b/CLAUDE.md @@ -1,6 +1,6 @@ # CLAUDE.md — техконтекст Лидерры -**Версия:** 2.3 от 17.05.2026 — A6 architecture-tooling: формализованы 3 инструмента раздела A6 карты «Архитектура систем» — #36 adr-kit, #37 mermaid-skill, #38 architecture-patterns; §3 title 35→38, §3.3 +3 строки, §1 row 2b 35→38, §3.3 footer 35→38 (пятая off-phase подкатегория architecture-tooling), §0 cross-refs Pravila v1.17 / PSR_v1 v3.3 / Tooling v2.3, §6 +абзац интеграции. План `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.2 наследие:** реколлаж ruflo: §1 убран уровень −1 (entry-point framing → advisory-подсистема); §3/§3.5 advisory-подсистема; §0 cross-refs Pravila v1.16 / PSR_v1 v3.2 / Tooling v2.2. **v2.1 наследие:** §14 queen-trigger: §1 priority chain уровень −1 +триггер queen/королева → Pravila §14; §3.5 +абзац «Queen trigger»; §0 cross-ref Pravila v1.15. **v2.0 наследие:** Ruflo big-bang integration: 8-level → 9-level priority chain, ruflo Queen-led routing на уровне −1 (entry-point); §1 +уровень −1 ruflo; §3 title «35 инструментов» → «35 + ruflo orchestration layer»; §3.5 added (off-phase orchestration «ruflo»; «Заметки к settings.json» renumber §3.5 → §3.6); §5 п.10 → sub-policy note (claude-md-management остаётся preferred channel через ruflo routing); §6 +2026-05-15 ruflo phase paragraph. Major bump reflects architectural inversion (paper-level: ruflo daemon/swarm not yet running, technical compensators retained: gitleaks/RLS/dev DB only). Через прямой Edit (plan §1.4 user-authorized exception к §5 п.10). **v1.93 наследие:** Audit #3 deferred fixes sprint closure: sync schema header drift «62 → 63 базовые таблицы (61 regular + 2 partitioned parents: deals + supplier_lead_costs)» в §0 row «Схема БД», §2 БД row, §8 self-review row. Цифра 62 была commit-baseline артефактом; фактический count base-tables (regular + partitioned parents) — 63 (audit-verified в Audit #3 Phase 3). Sprint commits: `8ba9c55` (plan) + `0c36b7a` (Pa11y migration) + `e746b3c` (dead code cleanup, incl. schema.sql:4 header) + `c5c0e76` (coverage debt F-COV-01/02/03 → ≥95%) + `c524227` (P3 tooling). Pushed `f9d2452..c524227 main -> main`. Через `/claude-md-management:claude-md-improver`. **v1.92 наследие:** Task 9 sync нормативки после merge PR #3 `cc5f63b`: §3.3 +#34 Sentry MCP + #35 Redis MCP (off-phase debug-runtime category, отдельная от UI-пула UPM/21st и от infrastructure claude-md-management); §3 title «33» → «35»; §3.3 footer count 33 → 35 (29 phase-active + 5 off-phase + 1 historic); §0 cross-refs Tooling v1.16 → v1.17, PSR_v1 v2.0 → v2.1, Pravila v1.12 → v1.13. **v1.91 наследие:** Session-end documentation hygiene после CTO-19 ✅ closure via Lucide migration. Содержание: (1) §0 cross-ref row Pravila v1.11 → **v1.12** (sync: §4.6 +visual smoke methodology для UI-refactor; §4.7 +п.4 plans/specs relative paths `../../../`); (2) §9 +v1.91 entry. Связано: реестр v1.82→v1.83 (CTO-19 closure в commit `0832997`); audit `docs/superpowers/audits/2026-05-12-portal-full-audit-findings.md` Q.INFO.001 +audit methodology gap note (Phase 4 SAST checks must begin с `ls .github/workflows/`); memory quirks 74-76 (Lucide+Histoire peerDep / Vuetify-internal mdi defaults gap / plans-relative-paths). Регрессия зелёная (verified в commit `0832997`): Pest --parallel 742/739/0/3 ✅, Vitest 88 files / 683 passed + 3 skipped, Vite build 3.52s, axe-core /admin/billing 0 iconography violations, lychee 252 OK / 0 errors, gitleaks 0 (372+ commits). Workflow learning: `superpowers:brainstorming` → `:writing-plans` → `:subagent-driven-development` efficient для mechanical UI-refactor (icon migration). Через `/claude-md-management:revise-claude-md`. **v1.90 наследие:** Merge R15 motion-runtime removal cleanup из `origin/main` в `plan5-frontend-projects` (commits `0fd93fd` planning + `615db99` нормативная правка). Plan5 ветка форкнулась 12.05 утром от `48f27b4` ДО появления `615db99` на main; после 113 атомарных коммитов на plan5 (audit fixes, Plan 5 frontend Tasks 7-11, Quiet Luxury portal redesign, Q.DEFER.002/003/004 closures, audit-cleanup tail) — merge синхронизирует R15 changes. **§5 п.12** → маркер «Резерв (снят 12.05.2026, см. CHANGELOG)» (нумерация п.1–11 сохранена, чтобы cross-refs в memory не сломать). **§2 строка «Animation default stack»** переписана с regulatory denylist на guidance recommendation (motion-v/gsap/anime.js/lottie-web/popmotion/@motionone/dom — ✅ разрешены без обоснования; framer-motion остаётся technical block — React-only peerDep, runtime crash в Vue, не regulatory rule). **§0 cross-refs** обновлены — Pravila v1.10 → **v1.11**, PSR_v1 v1.7 → **v2.0**, Tooling v1.15 → **v1.16**. **§6 фаза** + **§8 self-review** строки (Plan 4/5 + Quiet Luxury + Q.DEFER closures context + schema baseline v8.19 + dev-actual factual) — preserved из plan5 v1.88/v1.89 base. Plan5 v1.89 factual fix §6 (615db99 = R15 removal, ≠ Plan 4) подтверждён и сохранён. NB: §9 содержит **две v1.88 entries** — plan5 audit schema-sync + origin/main R15-removal — это collision версионной нумерации parallel-branch bump'ов; обе валидны исторически, явно labelled в §9. Files fast-forwarded без conflict: `Plugin_stack_rules_v1.md` (R15 удалён, 162 lines diff), `Pravila_raboty_Claude_v1_1.md` (§11.5/§13.2 счётчик 16→15 + cross-refs), `Tooling_v8_3.md` (§9.2 reformulated). Через ручное conflict resolution на 2 файлах (CLAUDE.md + CHANGELOG_claude_md.md) + post-merge `/claude-md-management:revise-claude-md` polish (per §5 п.10). **v1.89 наследие:** factual fix §6 + шапка v1.88 changelog (615db99 ≠ Plan 4). **v1.88 наследие (plan5 branch):** audit-driven sync §0/§2/§6/§8 после полного аудита портала. Schema-метрики §0/§2/§8 разделены на «commit baseline v8.19» (62/12/117/39/5/13/5) + «dev-actual factual» (75/102/289/39/5/19/0). **v1.88 наследие (origin/main):** снятие R15 motion-runtime restrictions per user decision 12.05.2026 («сними все запреты на использование framer motion»); conscious rollback v1.83 audited construction. **v1.87 наследие:** sync schema-метрик после Plan 4 (Billing+CSV+Admin) на ветке `plan4-billing`. Schema **v8.11 → v8.19**. Предыдущая v1.86 — закрытие 13 находок третьего аудита (детали в [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md)). +**Версия:** 2.4 от 17.05.2026 — D3 audit-security: формализованы #39 Trail of Bits Skills (субсет 8 audit-плагинов, marketplace `trailofbits`, CC-BY-SA-4.0) + #40 Security Guidance (Anthropic warn-only PreToolUse-хук) — новая шестая off-phase подкатегория «audit-security»; §3 title 35→40 (исправляет A6-пропуск: title оставался «35»), §1 row 2b 38→40, §3.3 +2 строки, §3.3 footer 38→40, §0 cross-refs Pravila v1.18 / PSR_v1 v3.4 / Tooling v2.4, §6 +абзац интеграции. План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.3 наследие:** A6 architecture-tooling: формализованы 3 инструмента раздела A6 карты «Архитектура систем» — #36 adr-kit, #37 mermaid-skill, #38 architecture-patterns; §3 title 35→38, §3.3 +3 строки, §1 row 2b 35→38, §3.3 footer 35→38 (пятая off-phase подкатегория architecture-tooling), §0 cross-refs Pravila v1.17 / PSR_v1 v3.3 / Tooling v2.3, §6 +абзац интеграции. План `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. **v2.2 наследие:** реколлаж ruflo: §1 убран уровень −1 (entry-point framing → advisory-подсистема); §3/§3.5 advisory-подсистема; §0 cross-refs Pravila v1.16 / PSR_v1 v3.2 / Tooling v2.2. **v2.1 наследие:** §14 queen-trigger: §1 priority chain уровень −1 +триггер queen/королева → Pravila §14; §3.5 +абзац «Queen trigger»; §0 cross-ref Pravila v1.15. **v2.0 наследие:** Ruflo big-bang integration: 8-level → 9-level priority chain, ruflo Queen-led routing на уровне −1 (entry-point); §1 +уровень −1 ruflo; §3 title «35 инструментов» → «35 + ruflo orchestration layer»; §3.5 added (off-phase orchestration «ruflo»; «Заметки к settings.json» renumber §3.5 → §3.6); §5 п.10 → sub-policy note (claude-md-management остаётся preferred channel через ruflo routing); §6 +2026-05-15 ruflo phase paragraph. Major bump reflects architectural inversion (paper-level: ruflo daemon/swarm not yet running, technical compensators retained: gitleaks/RLS/dev DB only). Через прямой Edit (plan §1.4 user-authorized exception к §5 п.10). **v1.93 наследие:** Audit #3 deferred fixes sprint closure: sync schema header drift «62 → 63 базовые таблицы (61 regular + 2 partitioned parents: deals + supplier_lead_costs)» в §0 row «Схема БД», §2 БД row, §8 self-review row. Цифра 62 была commit-baseline артефактом; фактический count base-tables (regular + partitioned parents) — 63 (audit-verified в Audit #3 Phase 3). Sprint commits: `8ba9c55` (plan) + `0c36b7a` (Pa11y migration) + `e746b3c` (dead code cleanup, incl. schema.sql:4 header) + `c5c0e76` (coverage debt F-COV-01/02/03 → ≥95%) + `c524227` (P3 tooling). Pushed `f9d2452..c524227 main -> main`. Через `/claude-md-management:claude-md-improver`. **v1.92 наследие:** Task 9 sync нормативки после merge PR #3 `cc5f63b`: §3.3 +#34 Sentry MCP + #35 Redis MCP (off-phase debug-runtime category, отдельная от UI-пула UPM/21st и от infrastructure claude-md-management); §3 title «33» → «35»; §3.3 footer count 33 → 35 (29 phase-active + 5 off-phase + 1 historic); §0 cross-refs Tooling v1.16 → v1.17, PSR_v1 v2.0 → v2.1, Pravila v1.12 → v1.13. **v1.91 наследие:** Session-end documentation hygiene после CTO-19 ✅ closure via Lucide migration. Содержание: (1) §0 cross-ref row Pravila v1.11 → **v1.12** (sync: §4.6 +visual smoke methodology для UI-refactor; §4.7 +п.4 plans/specs relative paths `../../../`); (2) §9 +v1.91 entry. Связано: реестр v1.82→v1.83 (CTO-19 closure в commit `0832997`); audit `docs/superpowers/audits/2026-05-12-portal-full-audit-findings.md` Q.INFO.001 +audit methodology gap note (Phase 4 SAST checks must begin с `ls .github/workflows/`); memory quirks 74-76 (Lucide+Histoire peerDep / Vuetify-internal mdi defaults gap / plans-relative-paths). Регрессия зелёная (verified в commit `0832997`): Pest --parallel 742/739/0/3 ✅, Vitest 88 files / 683 passed + 3 skipped, Vite build 3.52s, axe-core /admin/billing 0 iconography violations, lychee 252 OK / 0 errors, gitleaks 0 (372+ commits). Workflow learning: `superpowers:brainstorming` → `:writing-plans` → `:subagent-driven-development` efficient для mechanical UI-refactor (icon migration). Через `/claude-md-management:revise-claude-md`. **v1.90 наследие:** Merge R15 motion-runtime removal cleanup из `origin/main` в `plan5-frontend-projects` (commits `0fd93fd` planning + `615db99` нормативная правка). Plan5 ветка форкнулась 12.05 утром от `48f27b4` ДО появления `615db99` на main; после 113 атомарных коммитов на plan5 (audit fixes, Plan 5 frontend Tasks 7-11, Quiet Luxury portal redesign, Q.DEFER.002/003/004 closures, audit-cleanup tail) — merge синхронизирует R15 changes. **§5 п.12** → маркер «Резерв (снят 12.05.2026, см. CHANGELOG)» (нумерация п.1–11 сохранена, чтобы cross-refs в memory не сломать). **§2 строка «Animation default stack»** переписана с regulatory denylist на guidance recommendation (motion-v/gsap/anime.js/lottie-web/popmotion/@motionone/dom — ✅ разрешены без обоснования; framer-motion остаётся technical block — React-only peerDep, runtime crash в Vue, не regulatory rule). **§0 cross-refs** обновлены — Pravila v1.10 → **v1.11**, PSR_v1 v1.7 → **v2.0**, Tooling v1.15 → **v1.16**. **§6 фаза** + **§8 self-review** строки (Plan 4/5 + Quiet Luxury + Q.DEFER closures context + schema baseline v8.19 + dev-actual factual) — preserved из plan5 v1.88/v1.89 base. Plan5 v1.89 factual fix §6 (615db99 = R15 removal, ≠ Plan 4) подтверждён и сохранён. NB: §9 содержит **две v1.88 entries** — plan5 audit schema-sync + origin/main R15-removal — это collision версионной нумерации parallel-branch bump'ов; обе валидны исторически, явно labelled в §9. Files fast-forwarded без conflict: `Plugin_stack_rules_v1.md` (R15 удалён, 162 lines diff), `Pravila_raboty_Claude_v1_1.md` (§11.5/§13.2 счётчик 16→15 + cross-refs), `Tooling_v8_3.md` (§9.2 reformulated). Через ручное conflict resolution на 2 файлах (CLAUDE.md + CHANGELOG_claude_md.md) + post-merge `/claude-md-management:revise-claude-md` polish (per §5 п.10). **v1.89 наследие:** factual fix §6 + шапка v1.88 changelog (615db99 ≠ Plan 4). **v1.88 наследие (plan5 branch):** audit-driven sync §0/§2/§6/§8 после полного аудита портала. Schema-метрики §0/§2/§8 разделены на «commit baseline v8.19» (62/12/117/39/5/13/5) + «dev-actual factual» (75/102/289/39/5/19/0). **v1.88 наследие (origin/main):** снятие R15 motion-runtime restrictions per user decision 12.05.2026 («сними все запреты на использование framer motion»); conscious rollback v1.83 audited construction. **v1.87 наследие:** sync schema-метрик после Plan 4 (Billing+CSV+Admin) на ветке `plan4-billing`. Schema **v8.11 → v8.19**. Предыдущая v1.86 — закрытие 13 находок третьего аудита (детали в [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md)). **Назначение:** оперативная карта для Claude Code. Не первоисточник — первоисточники указаны в §0. **Владелец и режим правок:** все изменения этого файла — **только** через плагин `claude-md-management` (skills `/claude-md-management:claude-md-improver` для audit/targeted-updates и `/claude-md-management:revise-claude-md` для capture session-learnings). Прямые правки запрещены — см. §5 п.11. @@ -12,9 +12,9 @@ | Тема | Документ | |---|---| -| Продуктовые правила работы Claude | [docs/Pravila_raboty_Claude_v1_1.md](docs/Pravila_raboty_Claude_v1_1.md) (**v1.17 от 17.05.2026** — §13.2 +абзац «Off-phase architecture-tooling» (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns — раздел A6 карты). **v1.16 наследие** — реколлаж ruflo: §1 убран уровень −1, ruflo переописан в advisory-подсистему; §14 queen-триггер сохранён. **v1.15 наследие** — §14 (new) Ruflo Queen routing hard-rule (триггер queen/королева). **v1.14 наследие** — §12 → sub-policy под ruflo routing (commit `9c3057b`); Superpowers hard-rule сохраняется. **v1.13 наследие** — §13.2 +новый абзац «Off-phase MCP debug-runtime (отдельная категория)»: `@sentry/mcp-server` (Tooling #34) + `@modelcontextprotocol/server-redis` (Tooling #35) — retrospective formalization после PR #3 merge. Категория отдельная от UI-пула и от infrastructure (claude-md-management). READ-ONLY usage обязателен. v1.12 наследие — methodology additions §4.6 visual smoke для UI-refactor + §4.7 п.4 plans/specs relative paths `../../../`) | -| **Правила совместного использования плагинов Claude** | [docs/Plugin_stack_rules_v1.md](docs/Plugin_stack_rules_v1.md) (**v3.3 от 17.05.2026** — R10.1 Блок 1 +2 строки (adr-kit + architecture-patterns) + note (mermaid-skill вендоренный); новая категория architecture-tooling, не UI → вне R6/R14. **v3.2 наследие** — реколлаж ruflo: R0 entry-point framing убран, ruflo advisory-подсистема. **v3.1 наследие** — queen-триггер §14. **v3.0 наследие** — major bump: R0 stack-gate → paired-stack delegation pattern (commit `d30cbeb`). **v2.1 наследие** — R10.1 Блок 3 (MCP-серверы) +2 строки sentry + redis с категорией **debug-runtime**: `@sentry/mcp-server@0.33.0+` (Tooling #34, pending Б-1) + `@modelcontextprotocol/server-redis@2025.4.25` (Tooling #35, deprecated Anthropic source, Memurai PONG verified Task 4). Не trigger'ит R6.0/R6.1 фильтры и не входит в R14 pipeline UI-генераторов. v2.0 наследие — major bump: removal of R15 motion-runtime restrictions per user decision 12.05.2026; conscious rollback v1.4 audited construction; framer-motion переведён из regulatory hard-запрета в technical-guidance уровень) | -| Полный реестр 38 формализованных позиций тулчейна (29 active + 8 off-phase + 1 historic) | [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) (**Прил. Н v2.3 от 17.05.2026** — §4.11–4.13 (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns), новая пятая off-phase подкатегория architecture-tooling; §0 счётчик 35→38. **v2.2 наследие** — реколлаж ruflo: §4.10 переписан из «entry-point оркестратора уровня −1» в «advisory/automation-подсистема». **v2.1 наследие** — queen-триггер §14. **v2.0 наследие** — §4.10 (новый) «Orchestration layer (ruflo)»: ruflo v3.7.0-alpha.38+ (off-phase, orchestration category). **v1.17 наследие** — §0 счётчик off-phase 3 → 5; итого 33 → 35; §4.8 (новый) — #34 Sentry MCP (`@sentry/mcp-server@0.33.0+`, official; pending Sentry instance deployment Б-1); §4.9 (новый) — #35 Redis MCP (`@modelcontextprotocol/server-redis@2025.4.25`, deprecated Anthropic source, рабочий с Memurai localhost:6379). Категория **debug-runtime**, отдельная от UI-пула. v1.16 наследие — §9.2 «Motion runtime библиотеки» переформулирован из regulatory denylist в technical guidance) | +| Продуктовые правила работы Claude | [docs/Pravila_raboty_Claude_v1_1.md](docs/Pravila_raboty_Claude_v1_1.md) (**v1.18 от 17.05.2026** — §13.2 +абзац «Off-phase audit-security» (#39 Trail of Bits Skills / #40 Security Guidance — раздел D3 карты). **v1.17 наследие** — §13.2 +абзац «Off-phase architecture-tooling» (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns — раздел A6 карты). **v1.16 наследие** — реколлаж ruflo: §1 убран уровень −1, ruflo переописан в advisory-подсистему; §14 queen-триггер сохранён. **v1.15 наследие** — §14 (new) Ruflo Queen routing hard-rule (триггер queen/королева). **v1.14 наследие** — §12 → sub-policy под ruflo routing (commit `9c3057b`); Superpowers hard-rule сохраняется. **v1.13 наследие** — §13.2 +новый абзац «Off-phase MCP debug-runtime (отдельная категория)»: `@sentry/mcp-server` (Tooling #34) + `@modelcontextprotocol/server-redis` (Tooling #35) — retrospective formalization после PR #3 merge. Категория отдельная от UI-пула и от infrastructure (claude-md-management). READ-ONLY usage обязателен. v1.12 наследие — methodology additions §4.6 visual smoke для UI-refactor + §4.7 п.4 plans/specs relative paths `../../../`) | +| **Правила совместного использования плагинов Claude** | [docs/Plugin_stack_rules_v1.md](docs/Plugin_stack_rules_v1.md) (**v3.4 от 17.05.2026** — R10.1 Блок 1 +2 строки (Trail of Bits Skills + security-guidance); новая категория audit-security, не UI → вне R6/R14. **v3.3 наследие** — R10.1 Блок 1 +2 строки (adr-kit + architecture-patterns) + note (mermaid-skill вендоренный); новая категория architecture-tooling, не UI → вне R6/R14. **v3.2 наследие** — реколлаж ruflo: R0 entry-point framing убран, ruflo advisory-подсистема. **v3.1 наследие** — queen-триггер §14. **v3.0 наследие** — major bump: R0 stack-gate → paired-stack delegation pattern (commit `d30cbeb`). **v2.1 наследие** — R10.1 Блок 3 (MCP-серверы) +2 строки sentry + redis с категорией **debug-runtime**: `@sentry/mcp-server@0.33.0+` (Tooling #34, pending Б-1) + `@modelcontextprotocol/server-redis@2025.4.25` (Tooling #35, deprecated Anthropic source, Memurai PONG verified Task 4). Не trigger'ит R6.0/R6.1 фильтры и не входит в R14 pipeline UI-генераторов. v2.0 наследие — major bump: removal of R15 motion-runtime restrictions per user decision 12.05.2026; conscious rollback v1.4 audited construction; framer-motion переведён из regulatory hard-запрета в technical-guidance уровень) | +| Полный реестр 40 формализованных позиций тулчейна (29 active + 10 off-phase + 1 historic) | [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md) (**Прил. Н v2.4 от 17.05.2026** — §4.14/§4.15 (#39 Trail of Bits Skills / #40 Security Guidance), новая шестая off-phase подкатегория audit-security; §0 счётчик 38→40. **v2.3 наследие** — §4.11–4.13 (#36 adr-kit / #37 mermaid-skill / #38 architecture-patterns), новая пятая off-phase подкатегория architecture-tooling; §0 счётчик 35→38. **v2.2 наследие** — реколлаж ruflo: §4.10 переписан из «entry-point оркестратора уровня −1» в «advisory/automation-подсистема». **v2.1 наследие** — queen-триггер §14. **v2.0 наследие** — §4.10 (новый) «Orchestration layer (ruflo)»: ruflo v3.7.0-alpha.38+ (off-phase, orchestration category). **v1.17 наследие** — §0 счётчик off-phase 3 → 5; итого 33 → 35; §4.8 (новый) — #34 Sentry MCP (`@sentry/mcp-server@0.33.0+`, official; pending Sentry instance deployment Б-1); §4.9 (новый) — #35 Redis MCP (`@modelcontextprotocol/server-redis@2025.4.25`, deprecated Anthropic source, рабочий с Memurai localhost:6379). Категория **debug-runtime**, отдельная от UI-пула. v1.16 наследие — §9.2 «Motion runtime библиотеки» переформулирован из regulatory denylist в technical guidance) | | Главное ТЗ | [docs/CRM_bp-gr_Инструкция_v8_5.md](docs/CRM_bp-gr_Инструкция_v8_5.md) (v8.5 от 07.05.2026 — реализация 27 решений аудита C; in-place hygiene v1.20 от 08.05.2026 поздний вечер: §2.4/§5.5/§5.6/§6.5/§11/§20.12.3/§21.1/§27.1 синхронизированы под schema v8.6 двустадийный dedup) | | Схема БД | [db/schema.sql](db/schema.sql) (**v8.19 от 11.05.2026** — Plan 4 (Billing+CSV+Admin): +1 таблица `supplier_csv_reconcile_log` SaaS-level, +3 колонки `tenants.delivered_in_month` / `lead_charges.charge_source` / `supplier_leads.recovered_from_csv_at`, +3 индекса, +2 CHECK. **Schema baseline (commit-факт после Audit #3 P2 header sync):** 63 базовые таблицы (61 regular + 2 partitioned parents: deals + supplier_lead_costs) + 12 партиций + 117 индексов + 39 RLS-политик + 5 функций (`audit_block_mutation`, `audit_chain_hash`, `calc_lead_score`, `report_jobs_log_export`, `set_pd_subject_request_deadline`) + 13 триггеров. **Dev `liderra` factual** после `migrate:fresh` + накопленных `partitions:create-months`: **75 root tables + 102 partition children + 289 indexes + 39 RLS + 5 user funcs + 19 triggers + 0 dev roles** (на prod 5 ролей через `db/00_create_roles.sql`). Verified 2026-05-12 audit Phase 3.) | | Открытые вопросы | [docs/Открытые_вопросы_v8_3.md](docs/Открытые_вопросы_v8_3.md) (**v1.83 от 13.05.2026 (day +1) — CTO-19 ✅ closed** через Lucide migration: `npm i lucide-vue-next ^1.0.0` + custom Vuetify `IconSet` в `app/resources/js/plugins/vuetify.ts` с 103-entry mapping (78 user-grep'нутых mdi-* + 25 Vuetify-internal defaults). 51 view untouched. CLAUDE.md §2 «Иконки: Lucide» бренд-spec compliance achieved. **Сводка §0 после v1.83: 87 продуктовых / 71 ✅ / 5 🟦 / 11 ⏸ / 1 P0 + 5 P1 + 3 P2 + 2 P3**. **Регрессия: Pest --parallel 742/739/0/3 / Vitest 88 files / 683 passed + 3 skipped / Vite build 3.52s / axe-core /admin/billing 0 iconography violations**. Spec/plan в docs/superpowers/. v1.82 — Catch-up bump v1.77 → v1.82. v1.77 — Sprint 4 «Audit tail» (Pest 421 / Vitest 416). Section ## 13 collision fixed: Plan 4 → ## 14, Аудит C ## 13) | @@ -36,7 +36,7 @@ 1. docs/Pravila_raboty_Claude_v1_1.md (продуктовые правила, утверждены заказчиком) ↓ 2a. CLAUDE.md (общая оперативная карта) -2b. docs/Tooling_v8_3.md Прил. Н (детальный реестр 38 инструментов) +2b. docs/Tooling_v8_3.md Прил. Н (детальный реестр 40 инструментов) ↑ оба operational maps уровня 2; при конфликте между ними — приоритет CLAUDE.md ↓ 3. docs/Plugin_stack_rules_v1.md (координация Superpowers + Frontend Design — gate, фазы, разделения) @@ -77,7 +77,7 @@ --- -## 3. Карта 35 инструментов + ruflo advisory-подсистема — «когда что использовать» +## 3. Карта 40 инструментов + ruflo advisory-подсистема — «когда что использовать» Полный реестр с командами установки и конфликтами — [docs/Tooling_v8_3.md](docs/Tooling_v8_3.md). Здесь — оперативная карта для частых задач. @@ -128,6 +128,8 @@ | 36 | Архитектурные решения (ADR) — фиксация + enforcement — *off-phase tool, architecture-tooling категория* | **adr-kit** (Claude Code plugin, marketplace `rvdbreemen/adr-kit`, plugin `adr-kit@rvdbreemen-adr-kit`, v0.13.1, MIT; 8 skills `/adr-kit:*` + агент `adr-generator`) | автоматически. ADR в `docs/adr/` (формат Nygard, 7 секций); решения с блоком `## Enforcement` проверяет `adr-judge` — врезан в lefthook pre-commit **job 9** (`python -X utf8`, **без `--llm`** → declarative regex, 0 вызовов Claude API). `init`/`install-hooks` НЕ запускаются (git-хук конфликтовал бы с lefthook; `init` пишет в CLAUDE.md — AK1/AK2). Не UI → вне R6.0/R6.1/R14. Регулируется PSR_v1 R10.1 блок 1. Tooling §4.11 | | 37 | C4 / architecture-диаграммы — *off-phase tool, architecture-tooling категория* | **mermaid-skill** (`WH-2099/mermaid-skill`, MIT — вендоренный standalone-скил в `.claude/skills/mermaid/`) | автоматически (скил `mermaid`, 23 типа диаграмм). C4-диаграммы → `docs/architecture/`. Генерирует Mermaid-исходник, рендера (`mmdc`/Chromium) не требует. lefthook markdownlint+cspell исключают `.claude/skills/mermaid/**` (вендоренные сторонние `.md` — MK1). Tooling §4.12 | | 38 | Справочник архитектурных паттернов — *off-phase tool, architecture-tooling категория* | **architecture-patterns** (Claude Code plugin, marketplace `secondsky/claude-skills`, plugin `architecture-patterns@claude-skills`, v3.3.1, MIT; 1 skill) | автоматически. Playbook паттернов: Clean / Hexagonal / layered architecture, Domain-Driven Design. Knowledge-only, не решатель. Не UI → вне R6.0/R6.1/R14. Регулируется PSR_v1 R10.1 блок 1. Tooling §4.13 | +| 39 | Аудит безопасности — security-аудит diff, supply-chain риск зависимостей, поиск вариантов уязвимостей — *off-phase tool, audit-security категория* | **Trail of Bits Skills** (Claude Code marketplace `trailofbits/skills`, имя marketplace `trailofbits`, CC-BY-SA-4.0; курированный субсет 8 плагинов: `differential-review`, `audit-context-building`, `supply-chain-risk-auditor`, `insecure-defaults`, `sharp-edges`, `static-analysis`, `variant-analysis`, `agentic-actions-auditor`) | автоматически. Глубокие on-demand аудит-кампании раздела D3 карты «Аудит и управление рисками». Все 8 — skill/agent-плагины, 0 lifecycle-хуков (`fp-check` исключён — единственный из рассмотренных с `hooks/`-папкой). TB1: `static-analysis` граница с Semgrep MCP (#25) — Semgrep = inline SAST, ToB = глубокие кампании. Не UI → вне R6.0/R6.1/R14. Регулируется PSR_v1 R10.1 блок 1. Tooling §4.14 | +| 40 | Inline-предупреждения уязвимостей при правке кода — *off-phase tool, audit-security категория* | **Security Guidance** (Claude Code plugin, marketplace `anthropics/claude-plugins-official`, plugin `security-guidance@claude-plugins-official`, Anthropic Verified) | автоматически. Один **warn-only** PreToolUse `Write\|Edit\|MultiEdit`-хук — печатает предупреждение об уязвимом паттерне (8 категорий) перед правкой, **не блокирует**. SG1: 5-й PreToolUse-хук, economy/ruflo-цепочка не нарушается, +~34 мс/правку. Не UI → вне R6.0/R6.1/R14. Регулируется PSR_v1 R10.1 блок 1. Tooling §4.15. Связано: `/security-review` (D3 #2, customized в `.claude/commands/security-review.md` с проектным FP-фильтром) | ### 3.4. Фаза 3 — pre-production (+5, итого 29) @@ -139,7 +141,7 @@ | 28 | Audit-логи PostgreSQL | pg_audit | расширение БД | | 29 | Маскирование ПДн в дампах | pg_anonymizer | расширение БД | -(Нумерация: #1–#29 — phase-slot (фазы 0–3) в порядке введения; #30 Frontend Design plugin добавлен post-MVP в фазу 2 после закрытия фазы 3 в реестре; #31 UPM, #32 21st Magic MCP, #33 claude-md-management, #34 Sentry MCP, #35 Redis MCP, #36 adr-kit, #37 mermaid-skill, #38 architecture-patterns — off-phase tools (формализованы post-факт, см. §6). **Phase-slot активных: 29** — из 30 phase-номеров минус #1 PostgreSQL MCP (заменён #10 Boost). Off-phase tools — отдельная категория, не входят в фазовую раскладку (UI-пул UPM #31 + 21st #32; infrastructure claude-md-management #33; debug-runtime Sentry #34 + Redis #35; architecture-tooling adr-kit #36 + mermaid-skill #37 + architecture-patterns #38 — пять подкатегорий off-phase). **Total формализованных позиций: 38** = 29 phase-active + 8 off-phase + 1 historic (#1).) +(Нумерация: #1–#29 — phase-slot (фазы 0–3) в порядке введения; #30 Frontend Design plugin добавлен post-MVP в фазу 2 после закрытия фазы 3 в реестре; #31 UPM, #32 21st Magic MCP, #33 claude-md-management, #34 Sentry MCP, #35 Redis MCP, #36 adr-kit, #37 mermaid-skill, #38 architecture-patterns, #39 Trail of Bits Skills, #40 Security Guidance — off-phase tools (формализованы post-факт, см. §6). **Phase-slot активных: 29** — из 30 phase-номеров минус #1 PostgreSQL MCP (заменён #10 Boost). Off-phase tools — отдельная категория, не входят в фазовую раскладку (UI-пул UPM #31 + 21st #32; infrastructure claude-md-management #33; debug-runtime Sentry #34 + Redis #35; architecture-tooling adr-kit #36 + mermaid-skill #37 + architecture-patterns #38; audit-security Trail of Bits Skills #39 + Security Guidance #40 — шесть подкатегорий off-phase). **Total формализованных позиций: 40** = 29 phase-active + 10 off-phase + 1 historic (#1).) ### 3.5. Off-phase: ruflo — advisory/automation-подсистема @@ -223,6 +225,8 @@ trivy image liderra:latest ## 6. Текущая фаза проекта +**2026-05-17 D3 audit-security integration:** Закрыт раздел D3 «Аудит и управление рисками» карты — формализованы 2 инструмента + customized `/security-review` (план `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`, ветка `feat/d3-audit-risk-tooling`): **#39 Trail of Bits Skills** (marketplace `trailofbits/skills`, курированный субсет 8 audit-плагинов, CC-BY-SA-4.0 — глубокие on-demand аудит-кампании), **#40 Security Guidance** (Anthropic warn-only PreToolUse-хук — inline-предупреждения уязвимостей); **#2 `/security-review`** customized в `.claude/commands/security-review.md` с проектным FP-фильтром (RLS / ПДн / economy-хуки). Новая шестая off-phase подкатегория «audit-security». Также: `audit-portal` project-скил (дистилляция 14-фазного портального аудита), `docs/audit/` (ручная процедура аудита attack-surface тулчейна — #5 community-аудиторы defer'нуты, провенанс не верифицирован), ADR-003 (риск-реестр через adr-kit). 4 normative files: Tooling v2.4, PSR_v1 v3.4, Pravila v1.18, CLAUDE.md v2.4. Конфликт-аудит интеграции: TB1 (граница ToB ↔ Semgrep MCP), TB4 (CC-BY-SA не триггерится — не вендорено), SG1 (5-й PreToolUse warn-хук), AD1 (риск-реестр = adr-kit, без отдельного инструмента). + **2026-05-17 A6 architecture-tooling integration:** Закрыт раздел A6 «Архитектура систем» карты — формализованы 3 инструмента (план `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`, ветка `feat/a6-architecture-tooling`): **#36 adr-kit** (ADR в `docs/adr/` — ADR-000/001/002; `adr-judge` врезан в lefthook pre-commit job 9, декларативно без `--llm` — 0 стоимости), **#37 mermaid-skill** (вендорен в `.claude/skills/mermaid/`; C4-диаграмма системы в `docs/architecture/c4-context.md`), **#38 architecture-patterns** (справочник паттернов). Новая пятая off-phase подкатегория «architecture-tooling». 4 normative files: Tooling v2.3, PSR_v1 v3.3, Pravila v1.17, CLAUDE.md v2.3. Конфликт-аудит интеграции: AK1 (git-хук adr-kit не ставится — `adr-judge` через lefthook), AK2 (`init` не пишет CLAUDE.md), AK6 (`adr-judge` без `--llm` — 0 вызовов Claude API), MK1 (lefthook `exclude` вендоренного скила). **2026-05-16 реколлаж ruflo:** Декларация «entry-point уровня −1» приведена к фактическому рантайму (рой idle, 0 задач, Claude работает напрямую, enforcement только через хуки settings.json). ruflo переописан из entry-point уровня −1 в advisory/automation-подсистему. 4 normative files обновлены: Pravila v1.16, CLAUDE.md v2.2, PSR_v1 v3.2, Tooling v2.2. §14 queen-триггер (хук `tools/ruflo-queen-hook.mjs`) — сохранён без изменений. Spec: `docs/superpowers/specs/2026-05-16-ruflo-hierarchy-factual-recollage-design.md`. @@ -282,6 +286,8 @@ trivy image liderra:latest Полная история — [docs/CHANGELOG_claude_md.md](docs/CHANGELOG_claude_md.md) (вынесена 09.05.2026 при правке v1.73→v1.74 ради лаконичности шапки). Здесь — последние правки: +- **v2.4 от 17.05.2026** — D3 audit-security integration: формализованы 2 инструмента раздела D3 карты «Аудит и управление рисками». **Изменения:** §3 title «35» → «40» (исправляет A6 v2.3-пропуск — title оставался «35», хотя §1/§3.3 ушли на 38); §1 priority-chain row 2b «38» → «40»; §3.3 +2 строки #39 Trail of Bits Skills / #40 Security Guidance; §3.3 footer count 38→40 + audit-security как шестая off-phase подкатегория; §0 cross-refs Pravila v1.17→**v1.18** / PSR_v1 v3.3→**v3.4** / Tooling v2.3→**v2.4**; §6 +абзац интеграции; шапка v2.3 → v2.4. Связано: Tooling v2.4 (§4.14/§4.15 + §0 счётчик), PSR_v1 v3.4 (R10.1 Блок 1 +2 строки), Pravila v1.18 (§13.2 +audit-security абзац), sibling-коммит нормативки `6a26700`. План `docs/superpowers/plans/2026-05-17-d3-audit-risk-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. + - **v2.3 от 17.05.2026** — A6 architecture-tooling integration: формализованы 3 инструмента раздела A6 карты «Архитектура систем». **Изменения:** §3 title «35» → «38»; §1 priority-chain row 2b «реестр 35» → «38»; §3.3 +3 строки #36 adr-kit / #37 mermaid-skill / #38 architecture-patterns; §3.3 footer count 35→38 + architecture-tooling как пятая off-phase подкатегория; §0 cross-refs Pravila v1.16→**v1.17** / PSR_v1 v3.2→**v3.3** / Tooling v2.2→**v2.3**; §6 +абзац интеграции; шапка v2.2 → v2.3. Связано: Tooling v2.3 (§4.11–4.13 + §0 счётчик), PSR_v1 v3.3 (R10.1 Блок 1 +2 строки), Pravila v1.17 (§13.2 +architecture-tooling абзац). План `docs/superpowers/plans/2026-05-17-a6-architecture-tooling-integration.md`. Через `/claude-md-management:claude-md-improver`. - **v2.2 от 16.05.2026** — Реколлаж ruflo: декларация «entry-point уровня −1» приведена к фактическому рантайму (рой idle / 0 задач / Claude работает напрямую). **Изменения:** §1 убран уровень −1 (строка + trailing paragraph); §3 title «orchestration layer» → «advisory-подсистема»; §3.5 heading + body переписаны (entry-point → advisory/automation-подсистема, фактический рантайм описан); §0 cross-refs Pravila v1.15 → **v1.16** / PSR_v1 v3.0 → **v3.2** / Tooling v2.0 → **v2.2**; §6 +абзац реколлажа; шапка v2.1 → v2.2; **§5 п.10 ruflo-routing inline-note удалён** (безусловная норма восстановлена: claude-md-management — единственный канал правок CLAUDE.md, без исключения «ruflo routing-decision»). §14 queen-триггер сохранён. Связано: Pravila v1.16 / PSR_v1 v3.2 / Tooling v2.2. Spec: `docs/superpowers/specs/2026-05-16-ruflo-hierarchy-factual-recollage-design.md`. Через `/claude-md-management:claude-md-improver`.