From 0c0a00a61860b6f3a6e19877bd8188b1844d9de2 Mon Sep 17 00:00:00 2001
From: Coden <ictechgy@gmail.com>
Date: Fri, 12 Jun 2026 17:01:20 +0900
Subject: [PATCH 1/4] =?UTF-8?q?feat(claude):=20git=20branch=EB=AA=85=20?=
 =?UTF-8?q?=EA=B8=B8=EC=9D=B4=20cap=EC=9C=BC=EB=A1=9C=20=EC=86=90=EC=83=81?=
 =?UTF-8?q?/=EC=A1=B0=EC=9E=91=EB=90=9C=20.git/HEAD=20=EB=B0=A9=EC=96=B4?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

read_branch_from_git_dir에 MAX_BRANCH_LEN(256B) 상한을 추가한다. loose ref는
파일시스템 경로 컴포넌트라 정상 branch명은 APFS NAME_MAX(255)를 넘을 수 없어
256B를 절대 초과하지 않는다. 따라서 256B 초과는 손상/조작 신호이므로 표시를
거부해 false-positive(틀린 branch)보다 false-negative(빈 pill)를 택한다(FP<FN).

byte length(.len())로 검사하며, stderr 로그는 추가하지 않는다(understatus는
status를 stdout에 쓰는 프로세스라 출력 오염 위험 — stdout/stderr 모두 침묵).

read_branch_from_git_dir doc도 갱신: None 반환 4원인 열거, 심볼릭 .git 추종이
표준 git 의도 동작임을 명시, 동기 fs read 트레이드오프(NFS 블록) 한 단락 추가.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 src/claude.rs | 29 +++++++++++++++++++++++------
 1 file changed, 23 insertions(+), 6 deletions(-)

diff --git a/src/claude.rs b/src/claude.rs
index 51c55fc..1d17698 100644
--- a/src/claude.rs
+++ b/src/claude.rs
@@ -364,19 +364,35 @@ fn is_safe_base_path(base_path: &str) -> bool {
         .any(|component| matches!(component, Component::ParentDir))
 }
 
+/// branch명 byte length 상한(방어적 상한, FP<FN).
+///
+/// loose ref는 파일시스템 경로 컴포넌트(`.git/refs/heads/<branch>`)로 저장되므로 정상 branch명은
+/// APFS NAME_MAX(255)를 넘을 수 없어 256B를 절대 초과하지 않는다. 따라서 256B 초과는 정상 git이
+/// 만들 수 없는 손상/조작된 `.git/HEAD` 신호이며, 표시를 거부해 false-positive(틀린 branch)보다
+/// false-negative(빈 pill)를 택하는 방어적 상한이다(FP<FN).
+const MAX_BRANCH_LEN: usize = 256;
+
 /// 주어진 git 작업트리 경로에서 `.git/HEAD`를 읽어 현재 브랜치명을 추출한다.
 ///
 /// # 인자
 /// - `base_path`: git 워크트리(또는 repo) 루트 경로.
 ///
 /// # 반환
-/// `ref: refs/heads/<branch>` 형식의 HEAD에서 추출한 `<branch>`. detached HEAD(직접 SHA)나
-/// 읽기 실패 시 `None`. 부재/실패에 안전(절대 패닉하지 않음).
+/// `ref: refs/heads/<branch>` 형식의 HEAD에서 추출한 `<branch>`. 다음 4원인 중 하나라도 해당하면
+/// `None`을 반환한다(부재/실패에 안전 — 절대 패닉하지 않음):
+/// 1. `.git/HEAD` 부재 또는 읽기 실패(canonicalize/read 실패).
+/// 2. detached HEAD(`ref:` 접두 없이 SHA 직접 기록).
+/// 3. 외부향 심볼릭 HEAD(canonicalize 결과가 `.git/HEAD`로 끝나지 않음 — 누출 방어 위반).
+/// 4. branch명이 비었거나 제어문자를 포함하거나 [`MAX_BRANCH_LEN`]을 초과.
 ///
 /// # 주의
-/// branch명은 제어문자 미포함만 허용한다(터미널/status 인젝션 방어). 신뢰 불가 `.git/HEAD`가
-/// ESC/개행/CR 등 제어문자가 섞인 branch명을 담으면 oneline SGR/cmux pill로 그대로 렌더돼
-/// 인젝션이 되므로, 정상 git branch명이 절대 갖지 않는 제어문자를 source chokepoint에서 거부한다.
+/// - branch명은 제어문자 미포함만 허용한다(터미널/status 인젝션 방어). 신뢰 불가 `.git/HEAD`가
+///   ESC/개행/CR 등 제어문자가 섞인 branch명을 담으면 oneline SGR/cmux pill로 그대로 렌더돼
+///   인젝션이 되므로, 정상 git branch명이 절대 갖지 않는 제어문자를 source chokepoint에서 거부한다.
+/// - 심볼릭 `.git` 추종은 의도된 표준 git 동작 — canonicalize 가드는 결과가 `.git/HEAD`로 끝나는지만
+///   확인(외부향 누출 차단), 추종 자체는 허용한다.
+/// - 동기 fs read는 의도적 — `<cwd>/.git/HEAD` 단일 소파일을 1회 read한다. 느린 네트워크 마운트
+///   (NFS 등)에서 status 렌더가 블록될 수 있다(알려진 트레이드오프). 완화(timeout/캐시)는 future work.
 fn read_branch_from_git_dir(base_path: &str) -> Option<String> {
     use std::path::Path;
     // 표준 워크트리는 `<base>/.git/HEAD`. (linked worktree의 gitfile 케이스는 v1 범위 밖.)
@@ -395,7 +411,8 @@ fn read_branch_from_git_dir(base_path: &str) -> Option<String> {
     let branch = trimmed.strip_prefix("ref: refs/heads/")?;
     // 인젝션 방어: 신뢰 불가 HEAD 내용에 제어문자(ESC/개행/CR/기타 C0·DEL)가 섞이면 거부한다.
     // 정상 git branch명은 제어문자를 절대 갖지 않으므로 정상 케이스 회귀는 0이다.
-    if branch.is_empty() || branch.chars().any(char::is_control) {
+    // SECURITY: 256B 초과 branch명 = 손상/조작된 .git/HEAD 신호 → 표시 거부(FP<FN)
+    if branch.is_empty() || branch.chars().any(char::is_control) || branch.len() > MAX_BRANCH_LEN {
         None
     } else {
         Some(branch.to_string())

From da1a6c08a7227af3599d3708123d116c3ec76e29 Mon Sep 17 00:00:00 2001
From: Coden <ictechgy@gmail.com>
Date: Fri, 12 Jun 2026 17:01:53 +0900
Subject: [PATCH 2/4] =?UTF-8?q?test(claude):=20=ED=85=8C=EC=8A=A4=ED=8A=B8?=
 =?UTF-8?q?=20=EC=9E=84=EC=8B=9C=20=EB=94=94=EB=A0=89=ED=84=B0=EB=A6=AC=20?=
 =?UTF-8?q?RAII=20=EA=B0=80=EB=93=9C=EB=A1=9C=20=ED=8C=A8=EB=8B=89=20?=
 =?UTF-8?q?=EB=88=84=EC=88=98=200=20+=20=EC=8B=A0=EA=B7=9C=20=ED=9A=8C?=
 =?UTF-8?q?=EA=B7=80=20=ED=85=8C=EC=8A=A4=ED=8A=B8?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

unique_test_dir를 TestDir 가드 struct 반환형으로 승격한다. Drop에서
remove_dir_all로 정리해 패닉(단언 실패) 시에도 temp 디렉터리 누수가 0이다.
Deref<Target=Path>로 기존 호출부의 .join()/.to_string_lossy()는 무변경 동작한다.
(주의: unwind 전제 — panic="abort" 도입 시 무효, 현재 Cargo.toml은 unwind 기본.)

- 구식 PID-only temp 경로 3곳(git-test/repoobj/detached)을 unique_test_dir로
  통일해 collision + panic-leak을 동시 해소한다.
- 말미 remove_dir_all 정리 라인은 전부 제거(이제 Drop이 처리).
- test_dir_guard_cleans_up_on_panic: catch_unwind로 의도적 panic을 감싼 뒤
  캡처한 경로 부재를 단언해 가드가 언와인딩에서도 cleanup함을 증명(AC-d1).
- derive_from_cwd_rejects_overlong_branch: 256B 초과 거부 + 정확히 256B 허용
  경계값을 고정(item a 회귀 가드).
- derive_from_cwd_symlink_git_dir_follows_to_some: 심볼릭 .git이 정상 ref를
  가리키면 Some(branch)를 반환해 표준 git symlink 추종이 의도 동작임을 고정.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 src/claude.rs | 152 +++++++++++++++++++++++++++++++++++++++++---------
 1 file changed, 126 insertions(+), 26 deletions(-)

diff --git a/src/claude.rs b/src/claude.rs
index 1d17698..796e2ae 100644
--- a/src/claude.rs
+++ b/src/claude.rs
@@ -637,23 +637,81 @@ struct RawLtermInput {
 mod tests {
     use super::*;
 
-    /// 호출마다 고유한 비존재 절대 temp 경로를 반환한다(테스트 격리).
+    /// 테스트용 고유 임시 디렉터리 경로 + RAII 정리 가드.
+    /// Drop에서 remove_dir_all로 정리해 패닉(단언 실패) 시에도 누수 0.
+    /// 주의: unwind 전제 — `[profile.test] panic="abort"` 도입 시 Drop 미실행으로 무효(현재 Cargo.toml은 unwind 기본).
+    struct TestDir(std::path::PathBuf);
+    impl Drop for TestDir {
+        fn drop(&mut self) {
+            let _ = std::fs::remove_dir_all(&self.0);
+        }
+    }
+    impl std::ops::Deref for TestDir {
+        type Target = std::path::Path;
+        fn deref(&self) -> &std::path::Path {
+            &self.0
+        }
+    }
+
+    /// 호출마다 고유한 비존재 절대 temp 경로를 RAII 가드로 감싸 반환한다(테스트 격리).
     ///
     /// # 인자
     /// - `label`: 경로를 사람이 식별하기 위한 라벨(테스트 의도 표시).
     ///
     /// # 반환
-    /// `<temp_dir>/understatus-<label>-<pid>-<seq>` 형태의 고유 절대 경로(미생성).
+    /// `<temp_dir>/understatus-<label>-<pid>-<seq>` 형태의 고유 절대 경로(미생성)를 담은 [`TestDir`].
+    /// `Deref<Target=Path>`로 `PathBuf`처럼 `.join()`/`.to_string_lossy()` 등을 그대로 쓸 수 있다.
     ///
     /// # 주의
     /// `process::id()` 단독은 같은 프로세스 내 스레드 병렬 실행 시 prefix가 같으면 충돌·stale
     /// 누수 위험이 있다. `AtomicU64` 정적 카운터를 조합해 호출마다 고유 경로를 보장한다.
     /// 경로는 생성하지 않으므로, `.git` 없는 비존재 경로가 필요한 negative 테스트에도 그대로 쓴다.
-    fn unique_test_dir(label: &str) -> std::path::PathBuf {
+    /// 반환된 [`TestDir`]가 drop될 때 디렉터리를 정리하므로 패닉(단언 실패) 시에도 누수가 없다.
+    fn unique_test_dir(label: &str) -> TestDir {
         use std::sync::atomic::{AtomicU64, Ordering};
         static COUNTER: AtomicU64 = AtomicU64::new(0);
         let seq = COUNTER.fetch_add(1, Ordering::Relaxed);
-        std::env::temp_dir().join(format!("understatus-{label}-{}-{seq}", std::process::id()))
+        TestDir(
+            std::env::temp_dir().join(format!("understatus-{label}-{}-{seq}", std::process::id())),
+        )
+    }
+
+    /// AC-d1: [`TestDir`] 가드가 panic 언와인딩 중에도 디렉터리를 정리함을 증명한다.
+    /// 클로저 안에서 디렉터리를 생성하고 경로를 외부 변수로 캡처한 뒤 의도적으로 panic을 일으키고,
+    /// `catch_unwind` 복귀 후 그 경로가 부재함(=Drop이 cleanup 실행)을 단언한다.
+    #[test]
+    fn test_dir_guard_cleans_up_on_panic() {
+        use std::sync::Mutex;
+        // 패닉 클로저 밖으로 경로를 빼기 위한 캡처 변수(Mutex로 AssertUnwindSafe 충족).
+        let captured_path: Mutex<Option<std::path::PathBuf>> = Mutex::new(None);
+
+        // 의도적 panic을 catch_unwind로 감싼다. 클로저 안에서 가드 생성 + 디렉터리 실생성 후 panic.
+        let result = std::panic::catch_unwind(std::panic::AssertUnwindSafe(|| {
+            let tmp = unique_test_dir("panic-cleanup");
+            std::fs::create_dir_all(&*tmp).expect("임시 디렉터리 생성 실패");
+            assert!(tmp.exists(), "panic 전엔 디렉터리가 존재해야 한다");
+            // 사후 검사를 위해 경로를 클로저 밖으로 캡처한다.
+            *captured_path.lock().expect("락 획득 실패") = Some(tmp.to_path_buf());
+            // 의도적 panic: 언와인딩이 시작되며 `tmp`(TestDir)의 Drop이 실행돼야 한다.
+            panic!("의도적 패닉 — 가드 cleanup 증명용");
+        }));
+
+        // catch_unwind는 panic을 잡아 Err를 반환해야 한다(테스트가 죽지 않음).
+        assert!(
+            result.is_err(),
+            "catch_unwind가 의도적 panic을 포착해야 한다"
+        );
+
+        // 캡처한 경로가 부재함을 단언 → Drop이 언와인딩에서도 cleanup을 실행했음을 증명.
+        let path = captured_path
+            .lock()
+            .expect("락 획득 실패")
+            .take()
+            .expect("패닉 전 경로가 캡처돼야 한다");
+        assert!(
+            !path.exists(),
+            "panic 언와인딩 후 가드 Drop이 디렉터리를 정리해 부재해야 한다: {path:?}"
+        );
     }
 
     /// 정상 JSON: 모든 필드가 올바르게 평탄화되어야 한다(AC2).
@@ -1174,7 +1232,7 @@ mod tests {
     fn derives_git_branch_from_head() {
         use std::io::Write;
         // 임시 워크트리에 .git/HEAD를 만들어 브랜치 파생을 검증한다.
-        let tmp = std::env::temp_dir().join(format!("understatus-git-test-{}", std::process::id()));
+        let tmp = unique_test_dir("git-test");
         let git_dir = tmp.join(".git");
         std::fs::create_dir_all(&git_dir).expect("임시 .git 생성 실패");
         let head = git_dir.join("HEAD");
@@ -1187,8 +1245,6 @@ mod tests {
         );
         let input = parse_claude_input(&raw);
         assert_eq!(input.git_branch.as_deref(), Some("feature/my-branch"));
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// repo가 객체(`{host,owner,name}`)로 드리프트해도 git_worktree가 정상이면 폴백 도출이 살아 있다.
@@ -1196,8 +1252,7 @@ mod tests {
     #[test]
     fn git_worktree_derives_branch_even_when_repo_is_object() {
         use std::io::Write;
-        let tmp =
-            std::env::temp_dir().join(format!("understatus-git-repoobj-{}", std::process::id()));
+        let tmp = unique_test_dir("git-repoobj");
         let git_dir = tmp.join(".git");
         std::fs::create_dir_all(&git_dir).expect("임시 .git 생성 실패");
         let mut file = std::fs::File::create(git_dir.join("HEAD")).expect("HEAD 생성 실패");
@@ -1213,15 +1268,12 @@ mod tests {
             Some("main"),
             "repo 객체여도 git_worktree로 브랜치 도출"
         );
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// detached HEAD(직접 SHA)는 브랜치명이 없으므로 None이어야 한다.
     #[test]
     fn detached_head_yields_no_branch() {
-        let tmp =
-            std::env::temp_dir().join(format!("understatus-git-detached-{}", std::process::id()));
+        let tmp = unique_test_dir("git-detached");
         let git_dir = tmp.join(".git");
         std::fs::create_dir_all(&git_dir).expect("임시 .git 생성 실패");
         std::fs::write(git_dir.join("HEAD"), "0123456789abcdef\n").expect("HEAD 쓰기 실패");
@@ -1232,8 +1284,6 @@ mod tests {
         );
         let input = parse_claude_input(&raw);
         assert_eq!(input.git_branch, None);
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// git_worktree 경로가 존재하지 않으면 브랜치 파생은 None으로 안전 저하한다.
@@ -1277,8 +1327,6 @@ mod tests {
 
         let branch = derive_git_branch_from_cwd(&tmp.to_string_lossy());
         assert_eq!(branch.as_deref(), Some("feature/x"));
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// detached HEAD(직접 SHA)는 브랜치명이 없으므로 None이어야 한다(AC2).
@@ -1290,19 +1338,15 @@ mod tests {
         std::fs::write(git_dir.join("HEAD"), "0123456789abcdef\n").expect("HEAD 쓰기 실패");
 
         assert_eq!(derive_git_branch_from_cwd(&tmp.to_string_lossy()), None);
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// `.git` 부재 cwd(존재하나 git이 아닌 디렉터리) → None(AC2).
     #[test]
     fn derive_from_cwd_no_git_dir_none() {
         let tmp = unique_test_dir("lterm-git-nogit");
-        std::fs::create_dir_all(&tmp).expect("임시 디렉터리 생성 실패");
+        std::fs::create_dir_all(&*tmp).expect("임시 디렉터리 생성 실패");
 
         assert_eq!(derive_git_branch_from_cwd(&tmp.to_string_lossy()), None);
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 
     /// traversal cwd(`..` 포함) → is_safe_base_path가 거부해 None이어야 한다(AC2).
@@ -1327,8 +1371,33 @@ mod tests {
 
         // canonicalize 결과가 `.git/HEAD`로 끝나지 않으므로(outside-ref로 해소) None.
         assert_eq!(derive_git_branch_from_cwd(&tmp.to_string_lossy()), None);
+    }
 
-        let _ = std::fs::remove_dir_all(&tmp);
+    /// 상보 테스트: `<cwd>/.git`이 심볼릭 디렉터리이고 그 실제 `.git/HEAD`가 정상 `ref:`이면
+    /// `Some("<branch>")`를 반환한다(표준 git symlink 추종이 의도된 동작임을 고정 — 동작 변경 0).
+    /// canonicalize 결과가 여전히 `.git/HEAD`로 끝나므로(실제 디렉터리도 `.git` 명) 누출 가드를 통과한다.
+    #[test]
+    #[cfg(unix)]
+    fn derive_from_cwd_symlink_git_dir_follows_to_some() {
+        use std::os::unix::fs::symlink;
+        // 실제 repo: `<real>/.git/HEAD`에 정상 ref를 둔다.
+        let real = unique_test_dir("lterm-git-symlink-real");
+        let real_git = real.join(".git");
+        std::fs::create_dir_all(&real_git).expect("실제 .git 생성 실패");
+        std::fs::write(real_git.join("HEAD"), "ref: refs/heads/feature/linked\n")
+            .expect("HEAD 쓰기 실패");
+
+        // cwd: `<cwd>/.git`을 실제 `.git` 디렉터리로 심볼릭 링크한다(표준 git symlink 추종 케이스).
+        let cwd = unique_test_dir("lterm-git-symlink-cwd");
+        std::fs::create_dir_all(&*cwd).expect("cwd 생성 실패");
+        symlink(&real_git, cwd.join(".git")).expect("심볼릭 .git 생성 실패");
+
+        // canonicalize가 실제 `.git/HEAD`로 해소되고 `.git/HEAD`로 끝나므로 추종이 허용된다.
+        assert_eq!(
+            derive_git_branch_from_cwd(&cwd.to_string_lossy()).as_deref(),
+            Some("feature/linked"),
+            "심볼릭 .git 추종은 표준 git 동작 — 정상 ref면 branch 도출"
+        );
     }
 
     /// BLOCKER 회귀 가드: 제어문자(ESC/개행)가 섞인 branch명은 거부돼 None이어야 한다.
@@ -1348,8 +1417,41 @@ mod tests {
         std::fs::write(git_dir.join("HEAD"), "ref: refs/heads/main\nINJECT\n")
             .expect("HEAD 쓰기 실패");
         assert_eq!(derive_git_branch_from_cwd(&tmp.to_string_lossy()), None);
+    }
 
-        let _ = std::fs::remove_dir_all(&tmp);
+    /// 방어적 상한(FP<FN): MAX_BRANCH_LEN(256B) 초과 branch명은 손상/조작 신호로 보고 거부돼
+    /// None이어야 한다. 경계값(정확히 256B는 허용, 257B는 거부)을 함께 고정한다.
+    #[test]
+    fn derive_from_cwd_rejects_overlong_branch() {
+        let tmp = unique_test_dir("lterm-git-overlong");
+        let git_dir = tmp.join(".git");
+        std::fs::create_dir_all(&git_dir).expect("임시 .git 생성 실패");
+
+        // 257B branch명(ASCII 1B/문자) → 상한 초과로 거부.
+        let overlong = "a".repeat(MAX_BRANCH_LEN + 1);
+        std::fs::write(
+            git_dir.join("HEAD"),
+            format!("ref: refs/heads/{overlong}\n"),
+        )
+        .expect("HEAD 쓰기 실패");
+        assert_eq!(
+            derive_git_branch_from_cwd(&tmp.to_string_lossy()),
+            None,
+            "256B 초과 branch명은 거부(FP<FN)"
+        );
+
+        // 정확히 256B branch명 → 허용(경계 미초과). 정상 케이스 회귀 0을 고정한다.
+        let boundary = "b".repeat(MAX_BRANCH_LEN);
+        std::fs::write(
+            git_dir.join("HEAD"),
+            format!("ref: refs/heads/{boundary}\n"),
+        )
+        .expect("HEAD 쓰기 실패");
+        assert_eq!(
+            derive_git_branch_from_cwd(&tmp.to_string_lossy()).as_deref(),
+            Some(boundary.as_str()),
+            "정확히 256B branch명은 허용(경계)"
+        );
     }
 
     /// 상대경로 cwd는 프로세스 cwd 기준 false-positive를 막기 위해 거부돼 None이어야 한다.
@@ -1576,7 +1678,5 @@ mod tests {
             Some("main"),
             "유효 git cwd → branch 도출"
         );
-
-        let _ = std::fs::remove_dir_all(&tmp);
     }
 }

From a8c9f7ca9e1fe4765d9bb6a554f1fe610313c096 Mon Sep 17 00:00:00 2001
From: Coden <ictechgy@gmail.com>
Date: Fri, 12 Jun 2026 17:02:13 +0900
Subject: [PATCH 3/4] =?UTF-8?q?test(render):=20cmux=20pill=20SF=20Symbol?=
 =?UTF-8?q?=20=ED=95=98=EC=9D=B4=ED=94=88-=EB=B6=80=EC=9E=AC=20=EA=B3=84?=
 =?UTF-8?q?=EC=95=BD=20=ED=85=8C=EC=8A=A4=ED=8A=B8=EB=A1=9C=20git-branch?=
 =?UTF-8?q?=20=ED=9A=8C=EA=B7=80=20=EC=B0=A8=EB=8B=A8?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

cmux는 SF Symbol 이름만 렌더하고 SF Symbol은 하이픈을 쓰지 않으므로(점·소문자)
icon에 `-`가 있으면 Lucide/nerd-font명이라 cmux가 silently drop한다. 과거
`git-branch` 회귀를 영구 차단하기 위해 교차-pill 불변식 테스트를 추가한다.

cmux_pill_icons_contain_no_hyphen: enrich-성공 시나리오(model+ctx+git+cpu+mem
5 pill)에서 모든 pill의 icon이 Some일 때 하이픈을 포함하지 않음을 단언한다.
model(sparkles)+git(arrow.triangle.branch)+미래 pill 전부 커버한다. 기존 git
pill 정확일치 단언(arrow.triangle.branch)은 positive 앵커로 유지한다.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
---
 src/render.rs | 21 +++++++++++++++++++++
 1 file changed, 21 insertions(+)

diff --git a/src/render.rs b/src/render.rs
index aa35b29..7e797e8 100644
--- a/src/render.rs
+++ b/src/render.rs
@@ -1385,6 +1385,27 @@ mod tests {
         );
     }
 
+    /// 교차-pill 불변식(SF Symbol 계약): cmux는 SF Symbol 이름만 렌더. SF Symbol은 하이픈을
+    /// 쓰지 않으므로(점·소문자) icon에 `-`가 있으면 Lucide/nerd-font명이라 drop됨. 과거
+    /// `git-branch` 회귀를 영구 차단하는 계약 테스트. model(sparkles)+git(arrow.triangle.branch)+
+    /// 미래 pill 전부 커버한다.
+    #[test]
+    fn cmux_pill_icons_contain_no_hyphen() {
+        // enrich-성공 시나리오(model+ctx+git+cpu+mem pill 5종) 재사용.
+        let mut cfg = Config::default();
+        cfg.color.mode = "none".to_string();
+        let out = render_cmux_pills(&sample_input(), &sample_snap(58.0), &cfg, 0, false);
+        for pill in &out.pills {
+            if let Some(icon) = pill.icon.as_deref() {
+                assert!(
+                    !icon.contains('-'),
+                    "pill {} 아이콘에 하이픈 포함(Lucide/nerd-font명 → cmux drop): {icon:?}",
+                    pill.key
+                );
+            }
+        }
+    }
+
     /// AC2(가용 집합): enrich-실패 상당(ctx None, model bare "codex") → pill key 집합 {model,cpu,mem}(3, ctx 부재).
     #[test]
     fn to_cmux_pills_unenriched_has_three_keys_no_ctx() {

From acae1ba9152f25f8066d6ff724ec32883b1df356 Mon Sep 17 00:00:00 2001
From: Coden <ictechgy@gmail.com>
Date: Fri, 12 Jun 2026 17:13:39 +0900
Subject: [PATCH 4/4] =?UTF-8?q?fix:=20quad-review=20=ED=95=A9=EC=9D=98=20f?=
 =?UTF-8?q?inding=20=EB=B0=98=EC=98=81=20-=20vacuous=20=ED=85=8C=EC=8A=A4?=
 =?UTF-8?q?=ED=8A=B8=20=EA=B0=80=EB=93=9C=20+=20=EA=B1=B0=EB=B6=80=20?=
 =?UTF-8?q?=EC=88=9C=EC=84=9C=20+=20AsRef?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

1. render.rs `cmux_pill_icons_contain_no_hyphen`: 루프 뒤에 하한 단언 추가.
   pill 0개 또는 icon 전부 None이면 위 루프가 조용히 통과(vacuous-pass)하는
   것을 차단 — pills.is_empty() 금지 + icons_checked >= 2 보장.

2. claude.rs `read_branch_from_git_dir`: O(1) 길이 검사를 O(n) 제어문자
   스캔보다 앞으로 재배치. 악의적 초대형 HEAD를 전량 스캔 후 거부하던
   비효율 제거(단락 평가로 즉시 탈출). SECURITY 주석 위치 유지.

3. claude.rs `TestDir`: `AsRef<std::path::Path>` impl 추가. 기존
   `Deref<Target=Path>`만으로는 `AsRef<Path>` 바운드 API에 `&tmp`를
   직접 전달 불가 — `&*tmp` footgun 해소. 기존 호출부 변경 없음.

quad-review-loop round 1, PR #22
---
 src/claude.rs |  7 ++++++-
 src/render.rs | 11 +++++++++++
 2 files changed, 17 insertions(+), 1 deletion(-)

diff --git a/src/claude.rs b/src/claude.rs
index 796e2ae..4b0e1dd 100644
--- a/src/claude.rs
+++ b/src/claude.rs
@@ -412,7 +412,7 @@ fn read_branch_from_git_dir(base_path: &str) -> Option<String> {
     // 인젝션 방어: 신뢰 불가 HEAD 내용에 제어문자(ESC/개행/CR/기타 C0·DEL)가 섞이면 거부한다.
     // 정상 git branch명은 제어문자를 절대 갖지 않으므로 정상 케이스 회귀는 0이다.
     // SECURITY: 256B 초과 branch명 = 손상/조작된 .git/HEAD 신호 → 표시 거부(FP<FN)
-    if branch.is_empty() || branch.chars().any(char::is_control) || branch.len() > MAX_BRANCH_LEN {
+    if branch.is_empty() || branch.len() > MAX_BRANCH_LEN || branch.chars().any(char::is_control) {
         None
     } else {
         Some(branch.to_string())
@@ -652,6 +652,11 @@ mod tests {
             &self.0
         }
     }
+    impl AsRef<std::path::Path> for TestDir {
+        fn as_ref(&self) -> &std::path::Path {
+            &self.0
+        }
+    }
 
     /// 호출마다 고유한 비존재 절대 temp 경로를 RAII 가드로 감싸 반환한다(테스트 격리).
     ///
diff --git a/src/render.rs b/src/render.rs
index 7e797e8..1181bb2 100644
--- a/src/render.rs
+++ b/src/render.rs
@@ -1404,6 +1404,17 @@ mod tests {
                 );
             }
         }
+        // vacuous-pass 방지: sample 시나리오는 pill을 방출하고 최소 model+git 2개 icon이 실제 검사돼야
+        // 회귀 가드가 의미를 가진다(pill 0개/icon 전부 None이면 위 루프가 조용히 통과하는 것을 차단).
+        assert!(
+            !out.pills.is_empty(),
+            "sample 시나리오는 pill을 방출해야 한다"
+        );
+        let icons_checked = out.pills.iter().filter(|p| p.icon.is_some()).count();
+        assert!(
+            icons_checked >= 2,
+            "최소 model(sparkles)+git(arrow.triangle.branch) 2개 icon이 검사돼야 한다(vacuous-pass 방지): {icons_checked}"
+        );
     }
 
     /// AC2(가용 집합): enrich-실패 상당(ctx None, model bare "codex") → pill key 집합 {model,cpu,mem}(3, ctx 부재).