npm - @blueking/bkui-knowledge - Versions diffs - 0.0.1-beta.1 → 0.0.1-beta.10 - Mend

@blueking/bkui-knowledge 0.0.1-beta.1 → 0.0.1-beta.10

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (50) hide show

package/knowledge/manifest.json CHANGED Viewed

@@ -107,6 +107,43 @@
         "category": "security",
         "path": "nodejs-security-check/SKILL.md",
         "tags": ["security", "nodejs", "backend", "ssrf", "sql-injection"]
+      },
+      {
+        "id": "bkui-quick-start",
+        "name": "BKUI 快速入门",
+        "category": "engineering",
+        "path": "bkui-quick-start/SKILL.md",
+        "tags": ["bkui", "规范", "索引", "入门"]
+      },
+      {
+        "id": "vue-best-practices",
+        "name": "Vue 3 开发最佳实践",
+        "category": "engineering",
+        "path": "external/vue-skills/skills/vue-best-practices/SKILL.md",
+        "tags": ["vue3", "typescript", "vue-tsc", "volar", "vite", "pinia"],
+        "external": true,
+        "source": "https://github.com/hyf0/vue-skills"
+      },
+      {
+        "id": "bk-skill-creator",
+        "name": "Skill 创建指南",
+        "category": "engineering",
+        "path": "bk-skill-creator/SKILL.md",
+        "tags": ["skill", "knowledge", "template", "guide"]
+      },
+      {
+        "id": "bk-security-redlines",
+        "name": "蓝鲸代码安全三大红线",
+        "category": "security",
+        "path": "bk-security-redlines/SKILL.md",
+        "tags": ["security", "input-validation", "auth", "encryption", "redlines"]
+      },
+      {
+        "id": "web-security-guide",
+        "name": "Web 安全漏洞学习指南",
+        "category": "security",
+        "path": "web-security-guide/SKILL.md",
+        "tags": ["security", "owasp", "vulnerability", "injection", "xss", "csrf", "ssrf"]
       }
     ]
   },
@@ -663,5 +700,5 @@
     ]
   },
-  "recommendedSkills": ["bkui-builder", "bkui-cheatsheet", "code-review", "js-security-check"]
+  "recommendedSkills": ["bkui-quick-start", "bkui-builder", "bkui-cheatsheet", "vue-best-practices", "code-review", "js-security-check"]
 }

package/knowledge/skills/.template/README.md CHANGED Viewed

@@ -23,7 +23,7 @@ wc -c knowledge/skills/your-skill-id/SKILL.md
 ## 文件说明
-- **SKILL.md**: 核心文档，**必须 ≤ 3KB**
+- **SKILL.md**: 核心文档，**必须 ≤ 2KB**
 - **references/**: 详细参考文档，按需加载
 - **assets/**: 代码模板、脚本等资产
 - **README.md**: 对内说明（不会被 AI 加载）

package/knowledge/skills/bk-security-redlines/SKILL.md ADDED Viewed

@@ -0,0 +1,47 @@
+---
+id: security/bk-security-redlines
+name: 蓝鲸代码安全三大红线
+category: security
+description: 基于 IEG 安全规范，覆盖输入校验、鉴权、数据加密三大高危领域
+tags: [security, input-validation, auth, encryption, redlines]
+updated_at: 2026-01-23
+---
+# 蓝鲸代码安全三大红线
+## ⚠️ 核心规则
+### 红线 1：外部输入未校验
+外部输入进入**高危操作**前，必须完成**服务端强约束校验**（类型/长度/格式/白名单），不可绕过。
+**高危操作**：命令执行、模板解释/eval、文件路径、请求目标、SQL/NoSQL 构造、渲染解析、协议输出
+### 红线 2：敏感接口未鉴权
+高危能力或敏感资源接口必须同时实施**身份认证 + 权限校验**，缺一即违规。
+**禁止**：接口无认证、仅登录不校验权限、依赖前端字段/URL/IP 判权、服务间调用无鉴权
+### 红线 3：敏感数据未加密
+敏感数据（密码/Token/AKSK/私钥/PII）在存储、传输、日志、导出任一环节保护不当即违规。
+**禁止**：硬编码凭证、明文存储、异常回显细节、日志记录敏感字段、URL 携带 token
+## 常见错误
+| 错误做法 | 正确做法 |
+|---------|---------|
+| ❌ 仅前端/网关校验 | ✅ 服务端强约束校验 |
+| ❌ 仅判空/黑名单 | ✅ 白名单 + 类型/长度/格式 |
+| ❌ 内网可达即放通 | ✅ 服务间调用也需鉴权 |
+| ❌ 日志记录完整请求 | ✅ 脱敏后记录 |
+## 📦 按需加载资源
+| 资源 | URI | 说明 |
+|-----|-----|------|
+| 输入校验详解 | `skill://bk-security-redlines/references/input-validation.md` | 7 类高危操作场景 |
+| 鉴权检查详解 | `skill://bk-security-redlines/references/auth-check.md` | 8 类鉴权缺失场景 |
+| 数据加密详解 | `skill://bk-security-redlines/references/data-encryption.md` | 8 类加密缺失场景 |

package/knowledge/skills/bk-security-redlines/references/auth-check.md ADDED Viewed

@@ -0,0 +1,73 @@
+# 红线 2：敏感接口未鉴权 - 详解
+## 定义
+凡提供高危能力或访问敏感资源的接口，必须在服务端实施完整鉴权：
+- **身份认证**：确认"你是谁"
+- **权限校验**：确认"你能做什么"
+任一缺失即违规。
+---
+## 8 类鉴权缺失场景
+### 2.1 接口缺失身份认证
+**业务场景**：
+- 新增 API
+- 后台管理接口
+- 内部运维接口
+- RPC/SDK 入口
+- 仅凭"内网可达"放通
+### 2.2 接口缺失权限校验
+**业务场景**：
+- 仅校验登录不校验角色/租户/项目/资源范围
+- 后台管理操作未做 RBAC/ABAC
+### 2.3 鉴权依赖不可信要素
+**业务场景**：
+- `is_admin` 等前端字段判权
+- URL 前缀隔离
+- 仅网关策略
+- 仅 IP 白名单
+### 2.4 服务间调用缺失鉴权
+**业务场景**：
+- 服务间调用
+- 内部 SDK
+- 代调用
+- 组件联动
+### 2.5 资源访问缺失对象鉴权
+**业务场景**：
+- 仅凭 id/task_id/file_id/cluster_id/app_id 直接读写资源
+- 未校验当前用户是否有权访问该资源
+### 2.6 回调消息缺失验源
+**业务场景**：
+- 回调接口
+- Webhook
+- 消息消费
+- 事件触发入口
+### 2.7 会话操作缺失 CSRF 防护
+**业务场景**：
+- Cookie 会话的敏感操作
+- 未使用 CSRF Token
+- 未校验 Origin/Referer
+### 2.8 调试运维缺失鉴权
+**业务场景**：
+- debug/admin/metrics/health 端点
+- 运维开关
+- 临时接口

package/knowledge/skills/bk-security-redlines/references/data-encryption.md ADDED Viewed

@@ -0,0 +1,78 @@
+# 红线 3：敏感数据未加密 - 详解
+## 定义
+敏感数据在代码、存储、传输、日志、异常输出、导出/备份等任一环节保护不当即违规。
+## 敏感数据范围
+- 密码/Token/AKSK/连接串/私钥/加密密钥
+- 权限票据
+- 个人敏感信息（PII）
+- 内部系统地址与关键配置
+---
+## 8 类加密缺失场景
+### 3.1 敏感信息硬编码暴露
+**业务场景**：
+- 代码常量/默认配置/示例文件/CI 脚本中写入：
+  - 密码
+  - Token
+  - AK/SK
+  - 连接串
+  - 私钥
+  - 加密密钥
+### 3.2 敏感信息明文存储
+**业务场景**：
+- 数据库字段明文存 token/密码/私钥
+- 配置文件明文凭证
+- 缓存/搜索系统写入明文敏感字段
+### 3.3 异常回显泄露细节
+**业务场景**：
+- API 返回堆栈、SQL、文件路径
+- API 返回内部域名、配置内容、密钥片段
+- 将异常信息原样透传给调用方
+### 3.4 日志链路泄露敏感
+**业务场景**：
+- 全量记录 request/response
+- 记录 Authorization/Cookie/Token
+- trace/span/metrics 写入 PII/凭证
+### 3.5 票据出现在 URL/前端
+**业务场景**：
+- token 放 query 参数
+- 跳转携带票据
+- localStorage/sessionStorage 存长效 token/敏感字段
+### 3.6 敏感传输缺少加密
+**业务场景**：
+- HTTP 明文传 token/凭证/PII
+- 跳过证书校验
+- RPC/MQ 链路未加密传输敏感字段
+### 3.7 导出备份暴露敏感
+**业务场景**：
+- 导出 zip/csv 含凭证/配置/PII
+- dump/日志包上传对象存储
+- 权限过宽、无过期控制或可公开访问
+### 3.8 密码学使用不规范
+**业务场景**：
+- 自研加密算法
+- 弱算法（MD5/SHA1 用于密码、DES/RC4 等）
+- 固定 IV/盐
+- 同密钥多用途
+- 密钥落配置/日志或在接口返回中泄漏

package/knowledge/skills/bk-security-redlines/references/input-validation.md ADDED Viewed

@@ -0,0 +1,96 @@
+# 红线 1：外部输入未校验 - 详解
+## 定义
+外部输入在进入**高危操作**之前，未完成合理校验即违规。
+## 外部输入范围
+- HTTP 请求参数/Header/Cookie/Body/JSON
+- 文件名及文件内容
+- 环境变量、配置下发内容
+- DB 可写字段
+- 蓝鲸其他产品/组件/平台通过服务间调用、回调/Webhook、MQ/事件总线、任务参数等传入的数据
+> ⚠️ **互信不等于可信**，一律视为外部输入
+## 合理校验标准
+必须同时满足：
+1. **服务端校验**：发生在服务端/执行端，且在高危使用点之前
+2. **强约束**：类型/长度/格式/范围/枚举或白名单/字符集与归一化一致性
+3. **不可绕过**：不得因编码差异、大小写、分隔符、重复参数、路径归一化差异等被绕过
+4. **不依赖外部假设**：不得以"内网/互信/网关/前端已校验/仅管理员可用"等作为免检理由
+## 不合理校验（视为违规）
+- 仅判空
+- 仅黑名单
+- 仅简单正则
+- 仅前端校验
+- 仅网关策略
+- 仅依赖来源 IP
+---
+## 7 类高危操作场景
+### 1.1 外部输入用于命令执行
+**业务场景**：
+- shell/exec/subprocess/Runtime.exec/ProcessBuilder/child_process
+- 任务调度执行
+- 脚本调用
+- 运维命令封装
+### 1.2 外部输入进入模板解释
+**业务场景**：
+- eval/exec
+- 脚本引擎
+- 动态 import/反射调用
+- 表达式引擎
+- 反序列化入口
+- 模版渲染
+### 1.3 外部输入影响文件路径
+**业务场景**：
+- 文件写入、文件读取/下载
+- 上传落盘、导出落盘
+- 临时文件、缓存文件
+- 移动/重命名
+- 解压/解包（zip/tar）
+- 符号链接/硬链接导致的覆盖写（symlink/link attack）
+### 1.4 外部输入控制请求目标
+**业务场景**：
+- http client 请求（URL/Host/Port 由输入影响）
+- 回调地址
+- 代理转发
+- 跳转地址
+### 1.5 外部输入参与查询构造
+**业务场景**：
+- 拼接 SQL/NoSQL 条件
+- 管道
+- 排序字段/表名等结构化查询构造
+### 1.6 外部输入进入渲染解析
+**业务场景**：
+- XML 解析（上传/导入 XML、SOAP、SAML、Office 文档内嵌 XML 等）并可触发外部实体/DTD
+- HTML/模板渲染
+- 富文本预览
+- Markdown 渲染
+- 前端危险渲染通道（存储型/反射型/DOM 型 XSS）
+### 1.7 外部输入注入协议输出
+**业务场景**：
+- HTTP Header/响应拼接（Response Splitting）
+- 正则/解析器导致 ReDoS
+- 解析歧义绕过校验（URL/路径/Header 解析差异）

package/knowledge/skills/bk-skill-creator/SKILL.md ADDED Viewed

@@ -0,0 +1,37 @@
+---
+id: engineering/bk-skill-creator
+name: Skill 创建指南
+category: engineering
+description: 指导如何创建符合渐进式披露架构的 skill 文档
+tags: [skill, knowledge, template, guide]
+updated_at: 2026-01-23
+---
+# Skill 创建指南
+## ⚠️ 核心规则
+1. **SKILL.md ≤ 2KB**: 超出内容必须移到 `references/`
+2. **必须包含 Front Matter**: id, name, category, description, tags, updated_at
+3. **按需加载引导**: 详细内容通过 `skill://` URI 引用
+4. **存放位置**: 所有 skill 必须放在 `bkui-knowledge/knowledge/skills/` 目录下
+## 快速开始
+```bash
+cp -r knowledge/skills/.template knowledge/skills/your-skill-id
+vim knowledge/skills/your-skill-id/SKILL.md
+bash scripts/validate-skill.sh your-skill-id
+```
+详细步骤: `skill://bk-skill-creator/references/quick-start.md`
+## 📦 按需加载资源
+| 资源 | URI |
+|-----|-----|
+| 快速开始 | `skill://bk-skill-creator/references/quick-start.md` |
+| 目录结构 | `skill://bk-skill-creator/references/structure-guide.md` |
+| 常见错误 | `skill://bk-skill-creator/references/common-mistakes.md` |
+| 检查清单 | `skill://bk-skill-creator/references/skill-checklist.md` |
+| 写作技巧 | `skill://bk-skill-creator/references/writing-tips.md` |

package/knowledge/skills/bk-skill-creator/references/common-mistakes.md ADDED Viewed

@@ -0,0 +1,43 @@
+# 常见错误
+## 错误对照表
+| 错误 | 正确做法 |
+|-----|---------|
+| ❌ SKILL.md 内容过多 | ✅ 只保留核心规则，详细内容移到 references/ |
+| ❌ 忘记更新索引 | ✅ 同时更新 manifest.json 和 README.md |
+| ❌ 缺少 Front Matter | ✅ 必须包含 YAML 头部元数据 |
+| ❌ 文件大小超限 | ✅ 使用 `bash scripts/validate-skill.sh` 验证 |
+| ❌ 缺少按需加载引导 | ✅ 在 SKILL.md 末尾添加资源列表 |
+## 详细说明
+### SKILL.md 内容过多
+**问题**: 将所有内容都放在 SKILL.md 中，导致文件超过 2KB 限制。
+**解决**:
+- 只保留核心规则和快速开始
+- 详细步骤、示例、错误说明等移到 `references/` 目录
+- 通过 `skill://` URI 引用详细内容
+### 忘记更新索引
+**问题**: 创建了 skill 但忘记在 manifest.json 和 README.md 中注册。
+**解决**:
+- 在 `knowledge/manifest.json` 的 `skills.items` 中添加条目
+- 在 `README.md` 的技能表格中添加一行
+- 使用验证脚本检查是否已正确注册
+### 缺少 Front Matter
+**问题**: SKILL.md 文件开头没有 YAML 格式的元数据。
+**解决**: 必须在文件开头添加 Front Matter，包含：
+- `id`: skill 的唯一标识符
+- `name`: skill 的显示名称
+- `category`: 分类（engineering/performance/quality）
+- `description`: 简短描述
+- `tags`: 标签数组
+- `updated_at`: 更新日期

package/knowledge/skills/bk-skill-creator/references/quick-start.md ADDED Viewed

@@ -0,0 +1,42 @@
+# 快速开始详细步骤
+## 完整流程
+```bash
+# 进入 bkui-knowledge 项目根目录
+cd /path/to/bkui-knowledge
+# 1. 复制模板到 knowledge/skills 目录
+cp -r knowledge/skills/.template knowledge/skills/your-skill-id
+# 2. 编辑 SKILL.md（保持精简）
+vim knowledge/skills/your-skill-id/SKILL.md
+# 3. 详细内容放 references/
+vim knowledge/skills/your-skill-id/references/advanced.md
+# 4. 更新索引
+vim knowledge/manifest.json  # skills.items 添加条目
+vim README.md                # 技能表格添加一行
+# 5. 验证
+bash scripts/validate-skill.sh your-skill-id
+```
+## 目录结构示例
+```
+bkui-knowledge/
+└── knowledge/
+    └── skills/
+        ├── .template/           # 模板目录
+        └── your-skill-id/       # 新 skill 放这里
+            ├── SKILL.md         # 主文件 (≤2KB)
+            └── references/      # 详细内容
+```
+## 注意事项
+- SKILL.md 必须控制在 2KB 以内
+- 详细内容应放在 references/ 目录
+- 创建后记得更新 manifest.json 和 README.md

package/knowledge/skills/bk-skill-creator/references/skill-checklist.md ADDED Viewed

@@ -0,0 +1,93 @@
+# Skill 提交检查清单
+## 自动验证
+使用验证脚本一键检查：
+```bash
+bash scripts/validate-skill.sh your-skill-id
+```
+**验证项**：
+- 文件大小是否 ≤ 2KB
+- 是否包含 Front Matter
+- 是否有按需加载引导
+- 是否在 manifest.json 中注册
+## 手动检查清单
+### 1. SKILL.md 文件
+- [ ] 文件大小 ≤ 2KB（`wc -c knowledge/skills/your-skill-id/SKILL.md`）
+- [ ] 包含完整 Front Matter：
+  ```yaml
+  ---
+  id: category/your-skill-id
+  name: 技能名称
+  category: engineering | performance | quality | security
+  description: 一句话描述
+  tags: [tag1, tag2]
+  updated_at: YYYY-MM-DD
+  ---
+  ```
+- [ ] 包含"核心规则"章节
+- [ ] 包含"快速开始"章节
+- [ ] 如有 references/ 或 assets/，包含按需加载资源列表
+### 2. 索引更新
+- [ ] `manifest.json` 已添加条目：
+  ```json
+  {
+    "id": "your-skill-id",
+    "name": "技能名称",
+    "category": "engineering",
+    "path": "your-skill-id/SKILL.md",
+    "tags": ["tag1", "tag2"]
+  }
+  ```
+- [ ] `README.md` 技能表格已添加一行
+### 3. 内容质量
+- [ ] 核心规则精简（3-5 条）
+- [ ] 快速开始示例可运行
+- [ ] 详细内容已拆分到 references/
+- [ ] 代码示例遵循团队规范
+## 常见问题排查
+### Q: 验证脚本报错 "未在 manifest.json 中找到"
+检查 `manifest.json` 中的 `id` 字段是否与 skill 目录名一致。
+### Q: 文件大小超过 2KB
+1. 识别核心内容（必读的规则）
+2. 将详细说明移到 `references/`
+3. 在 SKILL.md 末尾添加资源引导
+### Q: 按需加载资源格式
+正确格式：`skill://skill-id/references/xxx.md`
+```markdown
+## 📦 按需加载资源
+| 资源 | URI |
+|-----|-----|
+| 高级用法 | `skill://your-skill-id/references/advanced.md` |
+```
+## 测试方式
+```bash
+# 1. 运行所有测试
+npm test
+# 2. 单独测试 Skills 规范
+npm run test:skills
+# 3. 在 Cursor 中调用测试
+# 对话中输入：请调用 get_skill({ skillId: 'your-skill-id' })
+```

package/knowledge/skills/bk-skill-creator/references/structure-guide.md ADDED Viewed

@@ -0,0 +1,88 @@
+# Skill 目录结构详解
+## 标准结构
+```
+knowledge/skills/your-skill-id/
+├── SKILL.md              # 【必须】核心文档 (≤ 2KB)
+├── references/           # 【可选】详细参考文档
+│   ├── advanced.md       # 高级用法
+│   ├── examples.md       # 示例代码
+│   └── troubleshooting.md # 问题排查
+├── assets/               # 【可选】代码资产
+│   ├── templates/        # 模板文件
+│   ├── scripts/          # 工具脚本
+│   └── configs/          # 配置文件
+└── README.md             # 【可选】对内说明（不会被 AI 加载）
+```
+## 各目录用途
+### SKILL.md（必须）
+- **用途**: 核心指令，AI 首先加载的文档
+- **大小限制**: ≤ 2KB
+- **内容要求**:
+  - Front Matter 元数据
+  - 核心规则（3-5 条）
+  - 快速开始示例
+  - 按需加载资源引导
+### references/（可选）
+- **用途**: 详细参考文档，按需加载
+- **大小限制**: 每个文件 ≤ 5KB
+- **命名建议**:
+  - `advanced.md` - 高级用法
+  - `examples.md` - 完整示例
+  - `troubleshooting.md` - 问题排查
+  - `checklist.md` - 检查清单
+### assets/（可选）
+- **用途**: 代码模板、脚本、配置文件
+- **大小限制**: 无限制（用户确认后加载）
+- **命名建议**:
+  - `template.vue` / `template.ts` - 代码模板
+  - `config.ts` - 配置示例
+  - `helper.js` - 工具脚本
+## 现有 Skill 结构示例
+### bkui-builder（复杂示例）
+```
+bkui-builder/
+├── SKILL.md
+├── references/
+│   ├── checklist.md
+│   ├── code-snippets.md
+│   └── visual-mapping.md
+└── assets/
+    ├── layouts/
+    │   ├── admin-layout-dark.vue
+    │   ├── admin-layout-left.vue
+    │   └── admin-layout-top.vue
+    └── pages/
+        ├── table-page.vue
+        └── dashboard-page.vue
+```
+### api-standard（简单示例）
+```
+api-standard/
+├── SKILL.md
+├── references/
+│   ├── full-implementation.md
+│   └── protocol-migration.md
+└── assets/
+    └── http.ts
+```
+## 文件命名规范
+1. **skill-id**: 使用 kebab-case，如 `bk-skill-creator`
+2. **SKILL.md**: 必须大写，固定名称
+3. **references/**: 使用 kebab-case，如 `structure-guide.md`
+4. **assets/**: 使用原始文件扩展名，如 `.vue`, `.ts`