feat: add Copilot agents, instructions, skills, and security fixes

- Add 5 custom agents (data-validator, doc-writer, documentor, error-handler, reviewer)
- Add 3 instruction files (python-style, test-standards, data-quality)
- Add 2 skills (security-audit, pr-review)
- Fix security issues in books.py (logging, encoding, temp file handling)
- Update test mock to match new tempfile.mkstemp usage

Co-authored-by: Copilot <223556219+Copilot@users.noreply.github.com>

Author: naoki1213mj

.github/agents/data-validator.agent.md

@@ -0,0 +1,11 @@
+---
+description: Analyzes JSON data files for missing or malformed entries
+---
+
+You analyze JSON data files for missing or malformed entries.
+
+**Focus areas:**
+- Empty or missing author fields
+- Invalid years (year=0, future years, negative years)
+- Missing required fields (title, author, year, read)
+- Duplicate entries

.github/agents/doc-writer.agent.md

@@ -0,0 +1,11 @@
+---
+description: Technical writer for clear Python documentation
+---
+
+You are a technical writer who creates clear Python documentation.
+
+**Standards:**
+- Google-style docstrings
+- Include parameter types and return values
+- Add usage examples for public methods
+- Note any exceptions raised

.github/agents/documentor.agent.md

@@ -0,0 +1,14 @@
+---
+name: documentor
+description: Technical writer for clear and complete documentation
+---
+
+# Documentation Agent
+
+You are a technical writer who creates clear documentation.
+
+**Documentation standards:**
+- Start with a one-sentence summary
+- Include usage examples
+- Document parameters and return values
+- Note any gotchas or limitations

.github/agents/error-handler.agent.md

@@ -0,0 +1,11 @@
+---
+description: Reviews Python code for error handling consistency
+---
+
+You review Python code for error handling consistency.
+
+**Standards:**
+- No bare except clauses
+- Use custom exceptions where appropriate
+- All file operations use context managers
+- Consistent return types for success/failure

.github/agents/reviewer.agent.md

@@ -0,0 +1,18 @@
+---
+name: reviewer
+description: Senior code reviewer focused on security and best practices
+---
+
+# Code Reviewer Agent
+
+You are a senior code reviewer focused on code quality.
+
+**Review priorities:**
+1. Security vulnerabilities
+2. Performance issues
+3. Maintainability concerns
+4. Best practice violations
+
+**Output format:**
+Provide issues as a numbered list with severity tags:
+[CRITICAL], [HIGH], [MEDIUM], [LOW]

.github/instructions/data-quality.instructions.md

@@ -0,0 +1,57 @@
+---
+description: JSON データエントリのバリデーション規約
+applyTo: "samples/**/data.json"
+---
+
+# データ品質ガイドライン
+
+`data.json` の書籍エントリは以下のバリデーション規約に従ってください。
+
+## 必須フィールド
+
+すべてのエントリに以下の4フィールドが必要です：
+
+| フィールド | 型 | 制約 |
+|---|---|---|
+| `title` | string | 空文字・空白のみは不可 |
+| `author` | string | 空文字・空白のみは不可 |
+| `year` | number (整数) | `0 ≤ year ≤ 現在年 + 1` |
+| `read` | boolean | `true` または `false` |
+
+## 有効なエントリの例
+
+```json
+{
+  "title": "1984",
+  "author": "George Orwell",
+  "year": 1949,
+  "read": true
+}
+```
+
+## 無効なエントリの例
+
+```json
+// ❌ 著者が空
+{ "title": "Unknown Book", "author": "", "year": 2020, "read": false }
+
+// ❌ 年が負数
+{ "title": "Bad Year", "author": "Author", "year": -1, "read": false }
+
+// ❌ 年が未来すぎる（現在年+1 を超える）
+{ "title": "Future Book", "author": "Author", "year": 2099, "read": false }
+
+// ❌ 必須フィールド（read）が欠落
+{ "title": "No Status", "author": "Author", "year": 2020 }
+```
+
+## バリデーションチェックリスト
+
+データファイルを編集・作成する際に確認すること：
+
+- [ ] すべてのエントリに `title`, `author`, `year`, `read` の4フィールドがある
+- [ ] `title` と `author` が空文字でない
+- [ ] `year` が 0 以上かつ来年以下の整数である
+- [ ] `read` が `true` または `false`（文字列ではなく boolean）である
+- [ ] 同一タイトルの重複エントリがない
+- [ ] ファイル全体が有効な JSON 配列 `[...]` である

.github/instructions/python-style.instructions.md

@@ -0,0 +1,71 @@
+---
+description: PEP 8 準拠と型ヒントの規約
+applyTo: "samples/**/*.py"
+---
+
+# Python スタイルガイド
+
+このプロジェクトの Python コードは以下の規約に従ってください。
+
+## インポート
+
+- ファイル先頭に `from __future__ import annotations` を記述する
+- 標準ライブラリ → サードパーティ → ローカルの順でグループ化する
+- 各グループ間は空行で区切る
+
+```python
+from __future__ import annotations
+
+import json
+from dataclasses import dataclass, asdict
+from datetime import datetime
+```
+
+## 型ヒント
+
+- すべての関数に引数の型と戻り値の型を注釈する
+- モダンな構文を使用する: `list[Book]`（`List[Book]` ではなく）
+- Union 型は `|` 演算子を使用する: `Book | None`（`Optional[Book]` ではなく）
+
+```python
+def find_by_title(self, title: str) -> Book | None:
+```
+
+## 命名規約
+
+- 定数: `UPPER_SNAKE_CASE`（例: `DATA_FILE`）
+- クラス: `PascalCase`（例: `BookCollection`）
+- 関数・メソッド: `snake_case`（例: `add_book`）
+- プライベートメソッド: `_` プレフィックス（例: `_read_json`）
+- 例外クラス: `<Domain>Error` パターン（例: `BookValidationError`）
+
+## ドキュメンテーション
+
+- Google スタイルの docstring を使用する
+- `Args:`, `Returns:`, `Raises:` セクションを含める
+- パブリックメソッドには `Example:` セクション（doctest 形式）を含める
+
+```python
+def add_book(self, title: str, author: str, year: int) -> Book:
+    """Add a new book to the collection and persist the change.
+
+    Args:
+        title: The book's title. Must not be empty.
+        author: The author's name. Must not be empty.
+        year: The publication year.
+
+    Returns:
+        The newly created Book instance.
+
+    Raises:
+        BookValidationError: If validation fails.
+
+    Example:
+        >>> collection.add_book("1984", "George Orwell", 1949)
+    """
+```
+
+## データモデル
+
+- データクラスには `@dataclass` デコレータを使用する
+- 例外は専用の基底クラスから継承する階層にする

.github/instructions/test-standards.instructions.md

@@ -0,0 +1,80 @@
+---
+description: テストファイルでの pytest 規約
+applyTo: "samples/**/test_*.py,samples/**/tests/**/*.py"
+---
+
+# テスト規約（pytest）
+
+このプロジェクトのテストコードは以下の pytest 規約に従ってください。
+
+## ファイル・関数の命名
+
+- テストファイル: `test_<module>.py`
+- テスト関数: `test_<feature>_<scenario>`（例: `test_add_book_empty_title`）
+- テストクラス: `Test<Feature><Scenario>`（関連シナリオのグループ化用）
+
+```python
+class TestFindByAuthorPartialMatch:
+    """Substring of the author name should still find matching books."""
+```
+
+## フィクスチャ
+
+- `@pytest.fixture()` を使用し、説明的な名前をつける
+- テストファイルの分離には `tmp_path` を使用する
+- フィクスチャの連鎖で複雑なセットアップを構築する
+
+```python
+@pytest.fixture()
+def collection(tmp_path):
+    """Create a BookCollection with temporary storage."""
+    temp_file = tmp_path / "data.json"
+    temp_file.write_text("[]")
+    return BookCollection(data_file=str(temp_file))
+
+@pytest.fixture()
+def orwell_collection(collection):
+    """Collection pre-loaded with two George Orwell books."""
+    collection.add_book("1984", "George Orwell", 1949)
+    collection.add_book("Animal Farm", "George Orwell", 1945)
+    return collection
+```
+
+## アサーション
+
+- シンプルな `assert` 文を使用する（`self.assertEqual` ではなく）
+- 例外テストには `pytest.raises` を `match` パラメータ付きで使用する
+- 出力キャプチャには `capsys` フィクスチャを使用する
+
+```python
+def test_add_book_empty_title(collection):
+    with pytest.raises(BookValidationError, match="Title cannot be empty"):
+        collection.add_book("", "Author", 2020)
+```
+
+```python
+def test_handle_add_output(mock_input, mock_collection, capsys):
+    book_app.handle_add()
+    output = capsys.readouterr().out
+    assert "Book added successfully" in output
+```
+
+## モック
+
+- `@patch()` デコレータで外部依存をモックする
+- `side_effect` でユーザー入力をシミュレーションする
+- `assert_called_once_with` で呼び出しを検証する
+
+```python
+@patch("book_app.collection")
+@patch("builtins.input", side_effect=["The Hobbit", "Tolkien", "1937"])
+def test_handle_add_valid_input(mock_input, mock_collection, capsys):
+    book_app.handle_add()
+    mock_collection.add_book.assert_called_once_with("The Hobbit", "Tolkien", 1937)
+```
+
+## テスト構成
+
+- 論理セクションをコメントで区切る: `# --- Adding Books ---`
+- 1テスト1アサーション（関連する検証はまとめてよい）
+- テスト間の状態汚染を防ぐため `tmp_path` で分離する

.github/skills/pr-review/SKILL.md

@@ -0,0 +1,37 @@
+---
+name: pr-review
+description: Team-standard PR review checklist
+---
+
+# PR Review
+
+Review code changes against team standards:
+
+## Security Checklist
+- [ ] No hardcoded secrets or API keys
+- [ ] Input validation on all user data
+- [ ] No bare except clauses
+- [ ] No sensitive data in logs
+
+## Code Quality
+- [ ] Functions under 50 lines
+- [ ] No print statements in production code
+- [ ] Type hints on public functions
+- [ ] Context managers for file I/O
+- [ ] No TODOs without issue references
+
+## Testing
+- [ ] New code has tests
+- [ ] Edge cases covered
+- [ ] No skipped tests without explanation
+
+## Documentation
+- [ ] API changes documented
+- [ ] Breaking changes noted
+- [ ] README updated if needed
+
+## Output Format
+Provide results as:
+- ✅ PASS: Items that look good
+- ⚠️ WARN: Items that could be improved
+- ❌ FAIL: Items that must be fixed before merge

.github/skills/security-audit/SKILL.md

@@ -0,0 +1,38 @@
+---
+name: security-audit
+description: Security-focused code review checking OWASP (Open Web Application Security Project) Top 10 vulnerabilities
+---
+
+# Security Audit
+
+Perform a security audit checking for:
+
+## Injection Vulnerabilities
+- SQL injection (string concatenation in queries)
+- Command injection (unsanitized shell commands)
+- LDAP injection
+- XPath injection
+
+## Authentication Issues
+- Hardcoded credentials
+- Weak password requirements
+- Missing rate limiting
+- Session management flaws
+
+## Sensitive Data
+- Plaintext passwords
+- API keys in code
+- Logging sensitive information
+- Missing encryption
+
+## Access Control
+- Missing authorization checks
+- Insecure direct object references
+- Path traversal vulnerabilities
+
+## Output
+For each issue found, provide:
+1. File and line number
+2. Vulnerability type
+3. Severity (CRITICAL/HIGH/MEDIUM/LOW)
+4. Recommended fix