Claude Code / Codex
निर्देश प्रॉम्प्ट और टेम्पलेट संग्रह

उस निर्देश फ़ाइल को पढ़ें जिसे आप (यह एजेंट) लोड करते हैं (CLAUDE.md / AGENTS.md, आदि),
उन कमज़ोर बिंदुओं को इंगित करें जिन्हें AI एजेंट अक्सर अनदेखा करते हैं, और फिर इसे
एक प्रभावी रूप में फिर से लिखें।

देखने योग्य बातें:
- अस्पष्ट शब्दों को आदेशों में बदलें (हमेशा X करें / कभी Y न करें)
- एक "पूर्णता की परिभाषा" और सत्यापन चरण जोड़ें (lint / test चलाना)
- निषेधों को लक्ष्य तक ठोस बनाएँ (डायरेक्टरी नाम, कमांड नाम)
- अगर यह बहुत लंबा है, तो इसे केवल उस मूल तक छोटा करें जिसे आप लागू करवाना चाहते हैं

पहले कमज़ोर बिंदुओं को बुलेट पॉइंट के रूप में सूचीबद्ध करें, फिर पूरा फिर से लिखा गया
संस्करण आउटपुट करें और इसे उस निर्देश फ़ाइल पर लागू करें।

इस रिपॉज़िटरी के वास्तविक build / test / lint कमांड पहचानने के बाद,
उस निर्देश फ़ाइल में एक "Definition of Done" सेक्शन जोड़ें जिसे आप लोड करते हैं
(CLAUDE.md / AGENTS.md, आदि)।

आवश्यकताएँ:
- इसे इस रूप में एक चेकलिस्ट बनाएँ "जब तक निम्नलिखित सभी पूरे न हों तब तक done की रिपोर्ट न करें"
- असली lint और test कमांड को स्पष्ट रूप से बताएँ
- शामिल करें: बदली गई फ़ाइलों में कोई TODO या debug log न छोड़ें, और अपने diff को फिर से पढ़ें

मौजूदा सामग्री को न तोड़ें; केवल सेक्शन जोड़ें।

इस रिपॉज़िटरी की भाषा और फ़्रेमवर्क की स्वतः पहचान करें, और उससे संबंधित
सर्वोत्तम-अभ्यास नियमों को उस निर्देश फ़ाइल में जोड़ें जिसे आप लोड करते हैं
(CLAUDE.md / AGENTS.md, आदि)।

उदाहरण:
- Next.js: Server/Client सीमा (डिफ़ॉल्ट Server है, use client को न्यूनतम रखें)
- Laravel: Form Requests के माध्यम से validation, migration परंपराएँ
- Python: type annotations, raw data को कभी overwrite या मनगढ़ंत न करें

जोड़ने से पहले अपनी पहचान का आधार एक पंक्ति में बताएँ (आपने किन फ़ाइलों से निर्णय लिया)।
जो पहले से लिखा है उसे डुप्लिकेट न करें।

उस निर्देश फ़ाइल में निम्नलिखित "पूर्ण नियम" जोड़ें जिसे आप लोड करते हैं
(CLAUDE.md / AGENTS.md, आदि), इस रिपॉज़िटरी की सेटअप के अनुरूप।

- secrets, .env, या credentials कभी कमिट न करें
- जब तक कहा न जाए तब तक कभी push / force-push न करें
- input को boundary पर validate करें / authentication या authorization को खुद कभी ढीला न करें
- production DB पर कभी destructive कमांड (DROP / TRUNCATE / migrate:fresh, आदि) न चलाएँ
- जब भी आप behavior बदलें, हमेशा tests जोड़ें या अपडेट करें

अगर समान नियम पहले से मौजूद हैं, तो उन्हें डुप्लिकेट न करें; केवल जो कमी है उसे भरें।

इस `CLAUDE.md` की सामग्री को OpenAI Codex के लिए `AGENTS.md` फ़ॉर्मेट में
बदलें और इसे लिखकर दें।

- अर्थ बरकरार रखें, लेकिन इसे ऐसी संरचना में फिर से ढालें जो Codex के लिए
  पढ़ने में आसान हो (headings, bullet points)
- कमांड, पूर्ण नियम, और पूर्णता की परिभाषा को वैसे ही रखें
- इसे रूट में `AGENTS.md` के रूप में आउटपुट करें

इस `CLAUDE.md` की सामग्री को Cursor के Project Rules फ़ॉर्मेट में बदलें
(`.cursor/rules/` के अंतर्गत `.mdc` फ़ाइलें)।

- नियमों को सार्थक इकाइयों में विभाजित करें
- उन नियमों को अलग करें जो हमेशा लागू होने चाहिए उन नियमों से जो केवल विशिष्ट
  फ़ाइल प्रकारों पर लागू होते हैं
- प्रत्येक फ़ाइल के शीर्ष पर उपयुक्त लागू-शर्तें (globs, आदि) सेट करें

इस monorepo की संरचना की जाँच करें और वे निर्देश फ़ाइलें बनाएँ जिन्हें आप
(यह एजेंट) लोड करते हैं (Claude Code CLAUDE.md का उपयोग करता है, Codex AGENTS.md का, आदि),
इस प्रकार विभाजित करके।

- रूट में: पूरी रिपॉज़िटरी के लिए सामान्य नियम
  (commit परंपराएँ, secret सुरक्षा, समग्र पूर्णता की परिभाषा)
- प्रत्येक package/app डायरेक्टरी में: केवल उस स्टैक के विशिष्ट नियम और कमांड

डुप्लिकेशन से बचें, और प्रत्येक पैकेज में एक पंक्ति का नोट जोड़ें जिसमें लिखा हो "रूट के
सामान्य नियमों का पालन करें"। अंत में, यह रिपोर्ट करें कि आपने किस डायरेक्टरी में क्या रखा।

# Project: <name>

## यह क्या है
ऐप का एक-पैराग्राफ अवलोकन। यह क्या करता है, इसे कौन उपयोग करता है, और टेक
स्टैक (भाषा, फ़्रेमवर्क, DB, runtime)।

## कमांड
- Dev server: `npm run dev`
- Build:      `npm run build`
- Test:       `npm test`
- Lint:       `npm run lint`

## परंपराएँ
- भाषा TypeScript (strict) है। `any` का उपयोग न करें।
- उस फ़ाइल की शैली से मेल खाएँ जिसे आप वर्तमान में एडिट कर रहे हैं। समाप्त करने से पहले हमेशा Lint पास करें।
- बदलाव न्यूनतम रखें; असंबंधित लाइनों को न छुएँ (कोई असंबंधित re-formatting नहीं)।

## पूर्ण नियम (सख्ती से लागू)
- done की रिपोर्ट करने से पहले, हमेशा ऊपर के tests और Lint चलाएँ और उन्हें पास कराएँ।
- secrets, .env, या build artifacts कभी, कतई कमिट न करें।
- नई फ़ाइलें बनाने के बजाय मौजूदा फ़ाइलों को एडिट करना पसंद करें।
- जब आवश्यकताएँ अस्पष्ट हों, तो बड़ा बदलाव करने से पहले ठीक एक स्पष्टीकरण प्रश्न पूछें।

## सीमा से बाहर (जब तक अन्यथा न कहा जाए)
- CI config, dependency versions, infrastructure setup।

# <name>

- Stack: <उदाहरण: Next.js + TypeScript + PostgreSQL>
- समाप्त करने से पहले हमेशा चलाएँ: `npm run lint` और `npm test` (दोनों पास होने चाहिए)
- मौजूदा शैली से मेल खाएँ। असंबंधित लाइनों को re-format न करें।
- secrets या .env कमिट न करें। जब तक कहा न जाए तब तक push न करें।
- जब अस्पष्ट हो, तो अनुमान न लगाएँ; ठीक एक प्रश्न पूछें।

# Next.js (App Router) + TypeScript

## Stack
Next.js (App Router), TypeScript strict, Tailwind CSS, <your-ORM>

## कमांड
- Dev:   `npm run dev`
- Build: `npm run build`   # बिना type errors के पास होना चाहिए
- Lint:  `npm run lint`
- Test:  `npm test`

## आर्किटेक्चर नियम
- डिफ़ॉल्ट रूप से Server Components का उपयोग करें। "use client" केवल तब जोड़ें जब state, effects,
  या browser APIs की ज़रूरत हो। Client Components को छोटा और leaves पर रखें।
- डेटा Server Components या Route Handlers में fetch करें।
  शुरुआती डेटा useEffect में fetch न करें।
- components को उनके route segment के साथ co-locate करें। साझा UI `components/` में जाता है।
- बाहरी input को हमेशा boundary पर schema-validate करें (उदाहरण: Zod)।

## परंपराएँ
- कोई `any` नहीं। public functions को स्पष्ट return types दें।
- मौजूदा design tokens / Tailwind classes का उपयोग करें। खुद से रंग न जोड़ें।
- `page.tsx` को पतला रखें; logic को functions और components में डालें।

## पूर्णता की परिभाषा
`npm run build`, `npm run lint`, और `npm test` सभी exit code 0 के साथ पास होते हैं।
कोई `any` नहीं, कोई unused exports नहीं, कोई बचा हुआ console.log नहीं।

# React (Vite) + TypeScript

## कमांड
- Dev:   `npm run dev`
- Build: `npm run build`
- Lint:  `npm run lint`
- Test:  `npm test` (Vitest + Testing Library)

## नियम
- केवल function components और Hooks। class components का उपयोग न करें।
- state को न्यूनतम रखें, इस क्रम में "local -> Context -> state library"।
  state को बिना ज़रूरत global तक न उठाएँ।
- side effects को useEffect में सीमित करें, और dependency array को सही ढंग से लिखें।
- UI को logic से अलग करें। data fetching को समर्पित hooks (useXxx) में समूहित करें।
- Accessibility: interactive elements को उपयुक्त roles और keyboard संचालन दें।

## परंपराएँ
- कोई `any` नहीं। props को types के साथ परिभाषित करें।
- मौजूदा components और styles की शैली से मेल खाएँ।

## पूर्णता की परिभाषा
`npm run build`, `npm run lint`, और `npm test` exit code 0 के साथ पास होते हैं।

# Node.js API (Express / Hono) + TypeScript

## कमांड
- Dev:   `npm run dev`
- Build: `npm run build`
- Test:  `npm test`
- Lint:  `npm run lint`

## नियम
- सभी input (body, query, params, headers) को boundary पर schema-validate करें।
- errors को न दबाएँ। उन्हें एक central error handler के माध्यम से typed लौटाएँ।
- secrets को environment variables से पढ़ें। उन्हें code में hardcode न करें।
- DB access को layer करें (route -> service -> repository)।
- एक सुसंगत JSON shape लौटाएँ (success और failure के shapes को एकीकृत करें)।

## पूर्ण नियम
- authentication / authorization logic को खुद से skip या ढीला न करें।
- सार्वजनिक रूप से उजागर endpoint जोड़ते समय हमेशा authorization सत्यापित करें।
- log में personal information, tokens, या passwords न डालें।

## पूर्णता की परिभाषा
`npm test` (happy path + error cases) और `npm run lint` पास होते हैं।

# Laravel + PHP

## कमांड
- Serve:   `php artisan serve`
- Migrate: `php artisan migrate`
- Test:    `php artisan test`
- Format:  `./vendor/bin/pint`   # समाप्त करने से पहले चलाएँ

## परंपराएँ (Laravel के तरीके का पालन करें)
- Eloquent relations का उपयोग करें। स्पष्ट कारण के बिना raw SQL से बचें।
- input को Form Request classes में validate करें। इसे controllers के अंदर न करें।
- controllers को पतला रखें। business logic को Services / Actions में डालें।
- हर schema बदलाव को एक नया migration मिलता है। पहले से चल चुके migration एडिट न करें।
- named routes और route model binding का उपयोग करें।

## पूर्ण नियम
- `.env` या असली credentials कभी, कतई कमिट न करें।
- production DB के विरुद्ध `migrate:fresh` जैसे destructive कमांड न चलाएँ।
- जब भी आप behavior बदलें, हमेशा tests जोड़ें या अपडेट करें (`php artisan test`)।

## पूर्णता की परिभाषा
`php artisan test` और `./vendor/bin/pint --test` दोनों पास होते हैं।

# Python / data analysis

## परिवेश
- प्रोजेक्ट venv `.venv` का उपयोग करें। globally install न करें।
- Install: `pip install -r requirements.txt`
- Run: `python -m src.main`
- Test: `pytest`
- Format: `ruff check .` और `ruff format .`

## परंपराएँ
- हर function signature में type annotations जोड़ें। अगर configured हो तो `mypy src` चलाएँ।
- notebooks में logic न डालें। पुन: उपयोग योग्य code `src/` में जाता है।
- randomness का उपयोग करने वाली किसी भी चीज़ के लिए seed fix करें, ताकि परिणाम reproducible हों।

## पूर्ण डेटा नियम (सबसे महत्वपूर्ण)
- missing values को चुपचाप न भरें और न मनगढ़ंत करें। अगर missing
  values हों, तो उनकी रिपोर्ट करें और पुष्टि करें कि उन्हें कैसे संभालना है।
- raw data फ़ाइलों को overwrite न करें। output को `data/processed/` में लिखें।
- सभी assumptions (filters, excluded rows, units) को code comments में दर्ज करें।

## पूर्णता की परिभाषा
`pytest` पास होता है, `ruff check .` साफ़ है, और परिणाम एक साफ़ स्थिति से reproduce होते हैं।

# Go

## कमांड
- Build:  `go build ./...`
- Test:   `go test ./...`
- Format: `gofmt -w .` और `go vet ./...`

## परंपराएँ
- errors को न दबाएँ। हमेशा उन्हें `if err != nil` से संभालें, और
  उन्हें context के साथ लौटाएँ (`fmt.Errorf("...: %w", err)`)।
- early returns के साथ nesting को उथला रखें।
- concurrency का उपयोग केवल तब करें जब ज़रूरत हो। goroutine leaks और races के लिए सावधान रहें
  (`go test -race` को पास कराएँ)।
- exported symbols पर comment करें। standard library को प्राथमिकता दें।

## पूर्ण नियम
- अनावश्यक abstractions या interfaces न जोड़ें (ज़रूरत पड़ने पर बनाएँ)।
- एक dependency जोड़ने से पहले, पहले जाँचें कि क्या standard library पर्याप्त है।

## पूर्णता की परिभाषा
`go build ./...`, `go vet ./...`, और `go test -race ./...` सभी पास होते हैं।

# Rust

## कमांड
- Build:  `cargo build`
- Test:   `cargo test`
- Lint:   `cargo clippy -- -D warnings`
- Format: `cargo fmt`

## परंपराएँ
- production code में `unwrap()` / `expect()` का लापरवाही से उपयोग न करें।
  `Result` / `Option` को `?` या match के साथ सही ढंग से संभालें।
- `unsafe` सिद्धांत रूप में प्रतिबंधित है। अगर वास्तव में आवश्यक हो, तो कारण को comment में बताएँ।
- borrowing और lifetimes पर compiler का पालन करें। `clone()` के साथ बचने से पहले design पर
  फिर से विचार करें।
- error types को `thiserror` / `anyhow`, आदि के साथ सार्थक बनाएँ।

## पूर्णता की परिभाषा
`cargo build` और `cargo test` पास होते हैं, और
`cargo clippy -- -D warnings` शून्य warnings की रिपोर्ट करता है।

# Ruby on Rails

## कमांड
- Serve:   `bin/rails server`
- Migrate: `bin/rails db:migrate`
- Test:    `bin/rails test` (या `bundle exec rspec`)
- Format:  `bundle exec rubocop -A`

## परंपराएँ (Rails के तरीके का पालन करें)
- "convention over configuration" का सम्मान करें; अपनी खुद की संरचना न बनाएँ।
- fat controllers / models से बचें। logic को Services / Concerns में डालें।
- input को strong parameters से सीमित करें।
- N+1 से बचें (`includes` का उपयोग करें)।
- schema बदलावों को एक नया migration मिलता है। पहले से चल चुके migration एडिट न करें।

## पूर्ण नियम
- `.env` या credentials कभी, कतई कमिट न करें।
- production DB के विरुद्ध destructive कमांड न चलाएँ।
- जब आप behavior बदलें, tests जोड़ें या अपडेट करें।

## पूर्णता की परिभाषा
Tests और `bundle exec rubocop` पास होते हैं।

# SQL / database migrations

## पूर्ण नियम (डेटा सुरक्षा सबसे पहले आती है)
- production data के विरुद्ध destructive ऑपरेशन खुद से न चलाएँ
  (DROP / TRUNCATE / बिना शर्त DELETE या UPDATE)।
- migrations को केवल forward दिशा ही नहीं, बल्कि एक rollback प्रक्रिया भी देनी चाहिए।
- पहले से चल चुके migrations को एडिट न करें। हमेशा नए जोड़ें।
- columns को चरणों में drop या rename करें ("add -> migrate -> retire"); इसे एक झटके में न करें।

## query परंपराएँ
- `SELECT *` से बचें; उन columns को निर्दिष्ट करें जिनकी आपको ज़रूरत है।
- पुष्टि करें कि WHERE / JOIN conditions एक index का उपयोग कर सकती हैं।
- बड़े updates को batches में बाँटें ताकि lock time कम रहे।
- destructive सत्यापन queries के लिए, चलाने से पहले पहले एक `SELECT` से प्रभावित count की पुष्टि करें।

## पूर्णता की परिभाषा
एक staging-समकक्ष परिवेश में apply और rollback दोनों सफल होते हैं, और आपने
मौजूदा डेटा में कोई अनपेक्षित बदलाव न होने की पुष्टि कर ली है।

# Test-driven तरीका

जब behavior बदलें, तो हर बार इस लूप का पालन करें:
1. पहले एक "failing test" लिखें जो वांछित behavior को व्यक्त करता है।
2. test चलाएँ और पुष्टि करें कि यह सही कारण से fail होता है।
3. test को पास कराने के लिए न्यूनतम code लिखें।
4. पूरा test suite चलाएँ और पुष्टि करें कि सब कुछ हरा है।
5. हरा बनाए रखते हुए refactor करें।

## पूर्ण नियम
- suite पास कराने के लिए tests को delete या skip न करें।
- चीज़ों को हरा बनाने के लिए assertions को कमज़ोर न करें।
- अगर कोई test वास्तव में गलत है, तो इसे बदलने से पहले कारण समझाएँ।
- tests के बिना नया code "done" नहीं है।

## पूर्णता की परिभाषा
पूरा suite पास होता है, coverage गिरा नहीं है, और implementation को revert करने पर
नया test fail होता है (यानी यह एक सार्थक test है)।

# Debugging तरीका

इस क्रम में आगे बढ़ें। अनुमान लगाकर fix न करें:
1. reproduction steps स्थापित करें (bug को कैसे trigger करें)।
2. expected behavior और actual behavior को, एक-एक वाक्य में लिखें।
3. एक hypothesis बनाएँ। fix करने से पहले इसे logs या एक minimal repro से सत्यापित करें।
4. एक बार जब आप कारण पहचान लें, तो न्यूनतम fix लागू करें।
5. fix करने के बाद, पुष्टि करें कि repro steps के माध्यम से bug चला गया है और मौजूदा tests पास होते हैं।
6. अगर संभव हो, तो एक regression test जोड़ें जो इस bug को पकड़ता है।

## पूर्ण नियम
- कारण अज्ञात रहते हुए एक साथ कई जगहों को न बदलें।
- "अभी के लिए काम कर रहा है" पर न रुकें। समझाएँ कि यह क्यों ठीक हुआ।
- असंबंधित refactoring को debugging में न मिलाएँ।

# Refactoring तरीका

## मूल सिद्धांत
बाहर से दिखने वाले behavior को न बदलें। किसी भी input के लिए outputs या side
effects को बिल्कुल न बदलें।

## चरण
1. पहले पुष्टि करें कि target क्षेत्र के लिए tests मौजूद हैं और हरे हैं।
   अगर नहीं, तो पहले characterization tests लिखें जो वर्तमान behavior को तय करते हैं।
2. छोटे, single steps में बदलें, हर step के बाद tests चलाएँ।
3. एक commit = एक प्रकार का सुधार रखें।

## पूर्ण नियम
- feature additions या bug fixes को refactoring में न मिलाएँ (उन्हें अलग काम बनाएँ)।
- अगर कोई test लाल हो जाता है, तो वहीं रुक जाएँ। आगे न बढ़ें।
- public API signatures को खुद से न बदलें (ज़रूरत हो तो पहले पुष्टि करें)।

## पूर्णता की परिभाषा
सभी tests हरे रहते हैं, और code कम duplication के साथ अधिक पठनीय है।

# एक design document कैसे लिखें

implement करने से पहले, पहले निम्नलिखित को prose में लिखें (code न लिखें):

## 1. लक्ष्य
हल करने वाली समस्या, और इसे प्राप्त कहलाने की शर्तें (success criteria)।

## 2. वर्तमान स्थिति और बाधाएँ
मौजूदा setup, dependencies, और सम्मान करने योग्य बाधाएँ (performance, compatibility, deadline)।

## 3. design प्रस्ताव
- चुना गया approach, और वे approaches जिन पर आपने विचार किया और अस्वीकार किया (और क्यों)।
- data flow, मुख्य interfaces, और बदलने योग्य फ़ाइलें।

## 4. जोखिम और खुले प्रश्न
क्या टूट सकता है, पुष्टि की ज़रूरत वाली assumptions, और निर्णय की ज़रूरत वाले बिंदु।

## 5. योजना
implementation को छोटे steps में बाँटें, सत्यापन योग्य इकाइयों में क्रमबद्ध करें।

## नियम
- जब तक यह design अनुमोदित न हो जाए तब तक implement करना शुरू न करें।
- अज्ञात को "खुले प्रश्न" के अंतर्गत सूचीबद्ध करें; उन्हें अपनी assumptions से न भरें।

# बड़े बदलाव कैसे करें

## मूल सिद्धांत
एक विशाल बदलाव से बचें। इसे इस तरह बाँटें कि प्रत्येक step स्वतंत्र रूप से
समीक्षा योग्य, परीक्षण योग्य, और (आदर्श रूप से) deploy योग्य हो।

## चरण
1. अंतिम रूप तक ले जाने वाले बदलावों को छोटे, स्वतंत्र steps के अनुक्रम में
   विघटित करें, और इसे प्रस्तुत करें।
2. प्रत्येक step के लिए, "क्या / क्यों / प्रभाव का दायरा" 1-2 लाइनों में लिखें।
3. प्रत्येक step के बाद, पूरा test suite चलाएँ और आगे बढ़ने से पहले हरा पुष्टि करें।
4. backward compatibility बनाए रखते हुए आगे बढ़ें (add -> migrate -> पुराने path को retire करें)।

## पूर्ण नियम
- एक साथ एक विस्तृत क्षेत्र को फिर से न लिखें और "बाद में सब एक साथ test करना" न करें।
- अगर कोई step बहुत बड़ा हो जाए, तो इसे और बाँटें।
- प्रत्येक step को ऐसी granularity पर रखें जिसे revert किया जा सके।

## पूर्णता की परिभाषा
सभी steps पूरे होने के बाद tests हरे हैं, और हर intermediate commit भी टूटा हुआ नहीं है।

# Code review निर्देश

बदलावों की समीक्षा करें, उन्हें severity के अनुसार समूहित करें, और इस क्रम में रिपोर्ट करें:
1. CRITICAL - security holes, data loss, crashes, टूटा हुआ authentication
2. HIGH     - logic bugs, race conditions, गायब error handling
3. MEDIUM   - performance issues, गायब tests, भ्रमित करने वाले नाम
4. LOW      - छोटे style nitpicks (केवल तभी जब कोई उच्च-स्तरीय issue न हो)

## कैसे रिपोर्ट करें
- प्रत्येक finding के लिए: file:line / क्या गलत है / यह क्यों मायने रखता है / एक ठोस fix।
- केवल सबसे छोटा प्रासंगिक snippet quote करें। पूरी फ़ाइल paste न करें।
- अगर कोई बदलाव सही है, तो स्पष्ट रूप से कहें। समस्याओं को मनगढ़ंत न करें।

## न करने योग्य बातें
- असली bugs को LOW nitpicks के ढेर के नीचे न दबाएँ।
- पूरी फ़ाइलें फिर से न लिखें। सबसे छोटा diff प्रस्तावित करें।
- जब तक वास्तविक नुकसान न हो, diff के दायरे से बाहर की लाइनों को flag न करें।

## Output
एक-पंक्ति निर्णय के साथ समाप्त करें: APPROVE / REQUEST CHANGES / BLOCK, कारण सहित।

# Git / PR नियम

## Commits
- Conventional Commits का उपयोग करें: `type(scope): summary`
  type: feat, fix, refactor, test, docs, chore।
- एक commit = एक logical बदलाव। इसे छोटा और समीक्षा योग्य रखें।
- body में, "what" के बजाय "why" लिखें।

## पूर्ण नियम
- जब तक कहा न जाए तब तक `git push` न करें।
- shared branches / main पर force-push, rebase, या amend न करें।
- secrets, .env, credentials, या बड़े binaries कमिट न करें।
- फ़ाइलों को नाम से add करें। `git add -A` से सब कुछ एक साथ न लाएँ।

## Pull requests
- शीर्षक 70 अक्षरों के भीतर। body "Summary" + "Test plan (checklist)" है।
- किसी भी breaking changes को नोट करें।
- merge न करें। PR बनाएँ और URL रिपोर्ट करें।

# Security review निर्देश

बदलावों को निम्नलिखित angles के विरुद्ध क्रम में जाँचें, और पाई गई किसी भी
समस्या को एक severity rating के साथ रिपोर्ट करें:
- गायब input validation (injection: SQL / command / XSS / SSRF)
- authentication/authorization में अंतराल (गायब permission checks, privilege escalation)
- secret exposure (hardcoded keys/tokens, logs में output)
- insecure defaults (अत्यधिक exposure, ढीला CORS, बिना validate किए redirects)
- dependencies में ज्ञात vulnerabilities, insecure crypto / RNG उपयोग

## कैसे रिपोर्ट करें
- प्रत्येक finding के लिए: location / attack scenario (इसका कैसे शोषण किया जा सकता है) / एक ठोस fix।
- जिन संदेहों के बारे में आप निश्चित नहीं हैं उन्हें "needs confirmation" के रूप में flag करें (उन्हें चुपचाप skip न करें)।
- अगर कोई समस्या न हो, तो उन angles के साथ "no issues" बताएँ जिन्हें आपने जाँचा।

## न करने योग्य बातें
- असली attack code या exploitation steps generate न करें (केवल fixes दिखाएँ)।

# Docker / infrastructure कार्य नियम

## पूर्ण नियम (विनाश रोकना सबसे पहले आता है)
- production या shared परिवेशों के विरुद्ध destructive कमांड खुद से न चलाएँ
  (`docker system prune`, volumes हटाना, `down -v`, आदि)।
- images को fixed tags पर pin करें। `latest` पर निर्भर न रहें।
- secrets को environment variables / secret management के माध्यम से पास करें।
  उन्हें Dockerfile या image में bake न करें।
- exposed ports और privileges (privileged, आदि) को न्यूनतम आवश्यक तक रखें।

## परंपराएँ
- Dockerfiles को multi-stage builds के साथ छोटा रखें, layer caching के प्रति सचेत रहें।
- एक non-root user के रूप में चलाएँ।
- बदलावों के बाद, रिपोर्ट करने से पहले locally build और start करके सत्यापित करें।

## पूर्णता की परिभाषा
`docker build` पास होता है, container start होता है, और health check / basic
operation की पुष्टि की जा सकती है।

# Dependency नियम

## पूर्ण नियम
- एक dependency जोड़ने से पहले, जाँचें कि क्या standard library या एक मौजूदा
  dependency पर्याप्त है।
- एक नई dependency जोड़ते समय, इसके उद्देश्य, विकल्पों, और
  maintenance status पर एक पंक्ति का नोट जोड़ें।
- major versions को खुद से न बढ़ाएँ (केवल तब जब कहा जाए)।
- lock files (package-lock.json, आदि) को खुद से फिर से generate न करें।
- संदिग्ध मूल वाले या अत्यंत कम stars या खराब maintenance वाले packages से बचें।

## चरण
1. addition या update का कारण बताएँ।
2. इसे जोड़ने के बाद, पुष्टि करें कि build और tests पास होते हैं।
3. पुष्टि करें कि license आपके use case के साथ टकराता नहीं है।

## पूर्णता की परिभाषा
dependency बदलाव के बाद build और tests पास होते हैं, और आप lock file में diff समझा सकते हैं।