specforge

Spec-Driven RE mit skalierbarer Governance. Specs sind Verträge, keine Vorschläge. Enforcement ist automatisch, nicht optional.

SpecForge arbeitet ausschließlich mit: • Session-Kontext — aktuelle Konversation • Eigenrecherche via Web Search — regulatorische Vorgaben, Standards • Skill-eigene Referenzen — references/ (siehe Dispatch-Tabelle) • Projekt-Konfiguration — specforge.json (falls vorhanden) VERBOTEN: Memories, Vorwissen über Nutzer/Projekte, Annahmen ohne Session-Grundlage. ---

Maschinenlesbare Projektkonfiguration. Wird bei Projekt-Setup (Modus 1) erzeugt. Steuert das Verhalten aller Modi. Dient als deklaratives Manifest — beschreibt vollständig, was das Projekt erwartet, unabhängig von der Implementierung. `json { "project": "Projektname", "profile": "KRITIS | Standard | Startup", "perspective": null, "stack": { "framework": "...", "language": "...", "database": "..." }, "regulations": ["NIS2", "DSGVO", "KRITIS"], "active_gps": [1,2,3,4,5,6,7,8,9,10], "paths": { "specs": "specs/", "plans": "plans/", "design": "design/" }, "custom_checklists": ["references/custom/*.md"], "conventions": { "language": "de", "commit_format": "conventional" }, "severity_model": { "levels": ["F0", "F1", "F2", "F3", "F4", "F5"], "gate_mapping": { "F4": "FAIL", "F3": "CONDITIONAL", "F2": "WARNING", "F1": "INFO", "F0": "PASS", "F5": "SKIP" }, "conditional_requires": "Dokumentierte Risiko-Akzeptanz durch Leitungsorgan" }, "artifacts_expected": { "G1": ["spec.md", "constitution.md", "ARCHITECTURE.md"], "G2": ["spec.md"], "G3": ["plan.md", "tasks.md", "adr-*.md"], "G4": ["analyze-report.md"], "G5": ["*"] }, "checks_config": { "G1": { "ears_coverage": { "severity": "F4" }, "gherkin_minimum": { "severity": "F4" }, "constitution_exists": { "severity": "F4" }, "stride_complete": { "severity": { "_default": "F3", "regulated_entity": "F4", "ict_provider": "F3", "advisory": "F1" }, "skip_reason_required": true } } }, "extensions": ["@custom/*"], "audit": true } ` Feld-Erläuterungen: active_gps = GP-01 bis GP-10, profilabhängig aktiv. perspective = Rolle in der Wertschöpfungskette (freier String, von Extensions definiert; null = keine Perspektive). conventions = steuert Sprachverhalten und Commit-Konvention. severity_model = 6-stufiges Schweregrad-System (F0–F5) mit Gate-Mapping; fehlt dieses Feld, gilt Legacy-Verhalten (required: true → F4, required: false → F1). checks_config = Beispiel für G1 — severity kann ein String (gilt für alle Perspektiven) oder ein Objekt mit _default + perspektivenspezifischen Werten sein. artifacts_expected = pro Gate erwartete Artefakte; ["*"] bei G5 bedeutet: alle Artefakte aller vorherigen Gates müssen vorhanden sein (Vollständigkeitscheck). audit = Audit Trail aktivieren (bei KRITIS immer true).

| Aspekt | KRITIS | Standard | Startup | |--------|-----------|-------------|------------| | NFR-Scan | Alle 6 Kategorien Pflicht (AVA, SEC, AUD, PER, DAT, OPS) | SEC + PER + DAT empfohlen | Optional, bei Bedarf | | STRIDE | Pflicht für jede Story | Pflicht für SEC-Stories | Optional | | Clarify | Pflicht vor Plan | Empfohlen vor Plan | Optional | | Research | Pflicht bei Tech-Entscheidungen | Empfohlen | Optional | | GP-Scope | GP-01–10 alle aktiv | GP-01–08 (konfigurierbar) | GP-02 + GP-07 Minimum | | Phase Gates | Strikt, kein Skip ohne Protokoll | Skip mit Einzeiler-Begründung | Soft Gates, Empfehlungen | | Analyze | Pflicht, Loop bis Blocker-frei | Empfohlen nach Tasks | Optional | Kein Profil angegeben? → Resolution-Cascade anwenden (siehe unten). Falls keine Quelle greift → Standard. Explizit nachfragen, wenn regulatorischer Kontext erkennbar ist.