@blueking/bkui-knowledge 0.0.1-beta.1 → 0.0.1-beta.11

package/bin/bkui-knowledge.js

@@ -7,15 +7,43 @@
  * 2. 启动 MCP stdio 服务
  *
  * 用法（用户只需配置一次）：
+ *
+ * Cursor（默认）：
  * {
  *   "mcpServers": {
  *     "bkui-knowledge": {
  *       "command": "npx",
- *       "args": ["-y", "@blueking/bkui-knowledge"]
+ *       "args": ["-y", "@blueking/bkui-knowledge", "${workspaceFolder}"]
  *     }
  *   }
  * }
  *
+ * CodeBuddy：
+ * {
+ *   "bkui-knowledge": {
+ *     "command": "npx",
+ *     "args": ["-y", "@blueking/bkui-knowledge", "--ide=codebuddy"]
+ *   }
+ * }
+ *
+ * Claude Code（无需额外配置，自动从 MCP initialize 请求获取项目路径）：
+ * {
+ *   "bkui-knowledge": {
+ *     "command": "npx",
+ *     "args": ["-y", "@blueking/bkui-knowledge", "--ide=claude-code"]
+ *   }
+ * }
+ *
+ * 参数说明：
+ * - 第一个非 -- 开头的参数: 项目路径
+ * - --ide=cursor|codebuddy|claude-code: 指定目标 IDE（默认 cursor）
+ *
+ * 项目路径传递方式（优先级从高到低）：
+ * 1. 命令行参数: npx @blueking/bkui-knowledge /path/to/project
+ * 2. 环境变量: BKUI_PROJECT_ROOT=/path/to/project
+ * 3. MCP initialize 请求中的 rootUri（Claude Code 等支持此协议的客户端）
+ * 4. 当前工作目录 (cwd)
+ *
  * 更新机制：
  * - skills 内置在 npm 包中
  * - 更新 skills 时：修改代码 → npm publish
@@ -25,14 +53,33 @@
 const fs = require('fs');
 const path = require('path');
 
-// 配置
-const CONFIG = {
-  skillsDir: '.cursor/skills',
-  commandsDir: '.cursor/commands',
-  rulesDir: '.cursor/rules',
-  versionFile: '.cursor/.bkui-knowledge-version'
+// IDE 配置映射
+const IDE_CONFIGS = {
+  cursor: {
+    name: 'Cursor',
+    configDir: '.cursor',
+    skillsDir: '.cursor/skills',
+    versionFile: '.cursor/.bkui-knowledge-version'
+  },
+  codebuddy: {
+    name: 'CodeBuddy',
+    configDir: '.codebuddy',
+    skillsDir: '.codebuddy/skills',
+    versionFile: '.codebuddy/.bkui-knowledge-version'
+  },
+  'claude-code': {
+    name: 'Claude Code',
+    configDir: '.claude',
+    skillsDir: '.claude/skills',
+    versionFile: '.claude/.bkui-knowledge-version'
+  }
 };
 
+// 用于存储从 MCP initialize 请求获取的项目路径
+let mcpRootUri = null;
+// 标记是否已经同步过 skills
+let skillsSynced = false;
+
 // npm 包根目录
 const PKG_ROOT = path.join(__dirname, '..');
 
@@ -42,12 +89,72 @@ function log(msg) {
 }
 
 /**
- * 获取用户项目根目录（cwd）
+ * 解析 --ide 参数，获取目标 IDE
+ * @returns {string} IDE 标识符 (cursor | codebuddy)
+ */
+function getTargetIDE() {
+  const ideArg = process.argv.find(arg => arg.startsWith('--ide='));
+  if (ideArg) {
+    const ide = ideArg.split('=')[1].toLowerCase();
+    if (IDE_CONFIGS[ide]) {
+      return ide;
+    }
+    log(`警告: 未知 IDE "${ide}"，使用默认值 cursor`);
+  }
+  return 'cursor'; // 默认使用 Cursor
+}
+
+/**
+ * 获取当前 IDE 配置
+ * @returns {object} IDE 配置对象
+ */
+function getIDEConfig() {
+  const ide = getTargetIDE();
+  return IDE_CONFIGS[ide];
+}
+
+/**
+ * 获取用户项目根目录
+ * 优先级：命令行参数 > 环境变量 > MCP rootUri > cwd
  */
 function getProjectRoot() {
+  // 1. 命令行参数: node bkui-knowledge.js /path/to/project (过滤掉 -- 开头的参数)
+  const pathArg = process.argv.slice(2).find(arg => !arg.startsWith('-'));
+  if (pathArg) {
+    return pathArg;
+  }
+  // 2. 环境变量: BKUI_PROJECT_ROOT=/path/to/project
+  if (process.env.BKUI_PROJECT_ROOT) {
+    return process.env.BKUI_PROJECT_ROOT;
+  }
+  // 3. MCP initialize 请求中的 rootUri
+  if (mcpRootUri) {
+    return mcpRootUri;
+  }
+  // 4. 默认使用 cwd
   return process.cwd();
 }
 
+/**
+ * 从 file:// URI 提取路径
+ * @param {string} uri - file:// URI
+ * @returns {string} 文件系统路径
+ */
+function uriToPath(uri) {
+  if (!uri) return null;
+  if (uri.startsWith('file://')) {
+    // file:///path/to/dir -> /path/to/dir
+    let filePath = uri.slice(7);
+    // Windows: file:///C:/path -> C:/path
+    if (filePath.match(/^\/[A-Za-z]:\//)) {
+      filePath = filePath.slice(1);
+    }
+    return decodeURIComponent(filePath);
+  }
+  // 如果不是 file:// URI，直接返回（可能已经是路径）
+  return uri;
+}
+
 /**
  * 获取当前包版本
  */
@@ -62,9 +169,12 @@ function getPackageVersion() {
 
 /**
  * 检查是否需要同步
+ * @param {string} projectRoot - 项目根目录
+ * @param {string} currentVersion - 当前版本
+ * @param {object} ideConfig - IDE 配置
  */
-function needsSync(projectRoot, currentVersion) {
-  const versionFile = path.join(projectRoot, CONFIG.versionFile);
+function needsSync(projectRoot, currentVersion, ideConfig) {
+  const versionFile = path.join(projectRoot, ideConfig.versionFile);
   if (!fs.existsSync(versionFile)) {
     return true;
   }
@@ -73,70 +183,63 @@ function needsSync(projectRoot, currentVersion) {
 }
 
 /**
- * 生成 Cursor Rules 文件（自动注入 AI 上下文）
+ * 递归扫描目录，返回相对路径列表
+ * @param {string} dirPath - 目录路径
+ * @param {string} relativePath - 相对路径前缀
+ * @returns {string[]} 文件相对路径列表
  */
-function generateRules(projectRoot, manifest) {
-  const rulesDir = path.join(projectRoot, CONFIG.rulesDir);
-  fs.mkdirSync(rulesDir, { recursive: true });
-
-  const skillList = manifest.skills.items.map(s => `| ${s.id} | ${s.name} |`).join('\n');
-  const apiPriority = manifest.componentApis.priority.map(n => `bk-${n}`).join(', ');
-  const allApis = manifest.componentApis.items.map(a => a.id).join(', ');
-  const recommendedSkills = manifest.recommendedSkills || [];
-
-  const rulesContent = `---
-description: BKUI 蓝鲸前端知识库规则（自动注入）
-globs: ["**/*.vue", "**/*.ts", "**/*.tsx"]
----
-
-# BKUI 蓝鲸前端技术规范
-
-你是蓝鲸前端技术专家，拥有团队知识库访问权限。采用**渐进式披露架构**。
-
-## ✅ Skills 已自动同步
-
-推荐的 skills 已自动同步到 \`.cursor/skills/\` 目录：
-${recommendedSkills.map(id => `- ${id}`).join('\n')}
-
-## 可用资源索引
-
-### Skills (调用 get_skill 获取详情)
-| ID | 名称 |
-|----|------|
-${skillList}
-
-> 💡 bkui-builder 包含布局模版和页面模版 (assets/)
-
-### Component APIs (调用 get_component_api 获取文档)
-⚠️ **高优先级 (必须先查询):** ${apiPriority}
-
-全部组件: ${allApis}
-
-## 工作流程
-1. 分析需求 → 确定需要哪些资源
-2. 使用布局组件? → get_component_api({ componentName: 'navigation' })
-3. 需要模板代码? → get_skill({ skillId: 'bkui-builder' })
-4. 批量获取? → batch_load({ skillIds: [...], componentNames: [...] })
-
-## 强制规范
-- 组件库: bkui-vue (前缀 bk-)
-- 语法: Vue 3 <script setup lang="ts">
-- 布局: 必须使用 bk-navigation
+function scanSkillDir(dirPath, relativePath) {
+  const results = [];
+  try {
+    const items = fs.readdirSync(dirPath);
+    for (const item of items) {
+      const fullPath = path.join(dirPath, item);
+      const relPath = relativePath ? `${relativePath}/${item}` : item;
+      const stat = fs.statSync(fullPath);
+      if (stat.isDirectory()) {
+        results.push(...scanSkillDir(fullPath, relPath));
+      } else {
+        results.push(relPath);
+      }
+    }
+  } catch (e) {
+    // 忽略错误
+  }
+  return results;
+}
 
-## 常见错误 (必须避免)
-❌ <bk-navigation :default-open-keys> → ✅ default-open
-❌ <bk-menu :default-open-keys> → ✅ :opened-keys
-❌ <bk-dialog v-model> → ✅ v-model:isShow
-`;
+/**
+ * 生成 skill 的可用资源列表
+ * @param {string} skillDir - skill 目录路径
+ * @param {string} skillId - skill ID
+ * @returns {string} 资源列表 Markdown
+ */
+function generateResourcesList(skillDir, skillId) {
+  const subDirs = ['scripts', 'references', 'assets', 'rules'];
+  const resources = [];
+
+  subDirs.forEach(dir => {
+    const dirPath = path.join(skillDir, dir);
+    if (fs.existsSync(dirPath)) {
+      const files = scanSkillDir(dirPath, '');
+      files.forEach(file => {
+        resources.push(`- \`skill://${skillId}/${dir}/${file}\``);
+      });
+    }
+  });
 
-  fs.writeFileSync(path.join(rulesDir, 'bkui.mdc'), rulesContent, 'utf-8');
-  log('  ✓ .cursor/rules/bkui.mdc (规则自动注入)');
+  if (resources.length > 0) {
+    return `\n\n---\n## 📦 可用资源\n\n${resources.join('\n')}\n\n> 根据 SKILL.md 中的 IF-THEN 规则判断是否需要加载\n`;
+  }
+  return '';
 }
 
 /**
  * 同步 skills 到用户项目（从 npm 包内置的 knowledge 目录）
+ * @param {string} projectRoot - 项目根目录
+ * @param {object} ideConfig - IDE 配置
  */
-function syncSkills(projectRoot) {
+function syncSkills(projectRoot, ideConfig) {
   try {
     const manifestPath = path.join(PKG_ROOT, 'knowledge/manifest.json');
 
@@ -151,18 +254,16 @@ function syncSkills(projectRoot) {
     const version = `${pkgVersion}-${manifest.updated_at || 'unknown'}`;
 
     // 检查是否需要同步
-    if (!needsSync(projectRoot, version)) {
-      log(`skills 已是最新版本 (v${pkgVersion})`);
+    if (!needsSync(projectRoot, version, ideConfig)) {
+      log(`[${ideConfig.name}] skills 已是最新版本 (v${pkgVersion})`);
       return;
     }
 
-    log(`同步 skills (v${pkgVersion})...`);
+    log(`[${ideConfig.name}] 同步 skills (v${pkgVersion})...`);
 
     // 创建目录
-    const skillsDir = path.join(projectRoot, CONFIG.skillsDir);
-    const commandsDir = path.join(projectRoot, CONFIG.commandsDir);
+    const skillsDir = path.join(projectRoot, ideConfig.skillsDir);
     fs.mkdirSync(skillsDir, { recursive: true });
-    fs.mkdirSync(commandsDir, { recursive: true });
 
     // 同步推荐的 skills
     let count = 0;
@@ -173,25 +274,28 @@ function syncSkills(projectRoot) {
       const skillFilePath = path.join(PKG_ROOT, 'knowledge', manifest.skills.base_path, skill.path);
       if (!fs.existsSync(skillFilePath)) continue;
 
-      const content = fs.readFileSync(skillFilePath, 'utf-8');
+      // 读取原始内容
+      let content = fs.readFileSync(skillFilePath, 'utf-8');
+
+      // 生成并附加资源列表（与 mcp-core.js 的 get_skill 逻辑一致）
+      const skillDir = path.dirname(skillFilePath);
+      const resourcesList = generateResourcesList(skillDir, skillId);
+      content += resourcesList;
+
       fs.writeFileSync(path.join(skillsDir, `${skillId}.md`), content, 'utf-8');
-      fs.writeFileSync(path.join(commandsDir, `${skillId}.md`), `请加载使用 ${skillId} skill`, 'utf-8');
 
       log(`  ✓ ${skillId}`);
       count++;
     }
 
-    // 生成 Cursor Rules 文件
-    generateRules(projectRoot, manifest);
-
     // 保存版本信息
-    fs.mkdirSync(path.dirname(path.join(projectRoot, CONFIG.versionFile)), { recursive: true });
-    fs.writeFileSync(path.join(projectRoot, CONFIG.versionFile), version, 'utf-8');
+    fs.mkdirSync(path.dirname(path.join(projectRoot, ideConfig.versionFile)), { recursive: true });
+    fs.writeFileSync(path.join(projectRoot, ideConfig.versionFile), version, 'utf-8');
 
-    log(`同步完成！共 ${count} 个 skills + rules`);
+    log(`[${ideConfig.name}] 同步完成！共 ${count} 个 skills`);
 
   } catch (error) {
-    log(`同步失败: ${error.message}（不影响 MCP 服务）`);
+    log(`[${ideConfig.name}] 同步失败: ${error.message}（不影响 MCP 服务）`);
   }
 }
 
@@ -208,6 +312,27 @@ async function startMcpServer() {
 
   async function handleMessage(message) {
     if (message.method === "initialize") {
+      // 从 initialize 请求中提取项目路径
+      const params = message.params || {};
+
+      // 尝试从 rootUri 或 workspaceFolders 获取项目路径
+      if (params.rootUri) {
+        mcpRootUri = uriToPath(params.rootUri);
+        log(`从 MCP initialize 获取项目路径: ${mcpRootUri}`);
+      } else if (params.workspaceFolders && params.workspaceFolders.length > 0) {
+        mcpRootUri = uriToPath(params.workspaceFolders[0].uri);
+        log(`从 MCP workspaceFolders 获取项目路径: ${mcpRootUri}`);
+      }
+
+      // 延迟同步 skills（在获取到项目路径后）
+      if (!skillsSynced && mcpRootUri) {
+        const projectRoot = getProjectRoot();
+        const ideConfig = getIDEConfig();
+        log(`[延迟同步] 工作目录: ${projectRoot}, IDE: ${ideConfig.name}`);
+        syncSkills(projectRoot, ideConfig);
+        skillsSynced = true;
+      }
+
       return {
         protocolVersion: "2024-11-05",
         serverInfo: { name: "bkui-knowledge-server", version: "1.0.0" },
@@ -302,16 +427,34 @@ async function startMcpServer() {
   log('MCP stdio 服务已启动');
 }
 
+/**
+ * 检查是否有明确的项目路径（命令行参数或环境变量）
+ */
+function hasExplicitProjectPath() {
+  const pathArg = process.argv.slice(2).find(arg => !arg.startsWith('-'));
+  return !!(pathArg || process.env.BKUI_PROJECT_ROOT);
+}
+
 /**
  * 主入口
  */
 async function main() {
-  const projectRoot = getProjectRoot();
-
-  // 1. 同步 skills（同步执行，从 npm 包读取）
-  syncSkills(projectRoot);
+  const ideConfig = getIDEConfig();
+
+  // 如果有明确的项目路径（命令行参数或环境变量），立即同步
+  // 否则等待 MCP initialize 请求获取项目路径
+  if (hasExplicitProjectPath()) {
+    const projectRoot = getProjectRoot();
+    log(`工作目录: ${projectRoot}`);
+    log(`目标 IDE: ${ideConfig.name}`);
+    syncSkills(projectRoot, ideConfig);
+    skillsSynced = true;
+  } else {
+    log(`等待 MCP initialize 请求获取项目路径...`);
+    log(`目标 IDE: ${ideConfig.name}`);
+  }
 
-  // 2. 启动 MCP 服务
+  // 启动 MCP 服务
   await startMcpServer();
 }
 

package/knowledge/manifest.json

@@ -107,6 +107,43 @@
         "category": "security",
         "path": "nodejs-security-check/SKILL.md",
         "tags": ["security", "nodejs", "backend", "ssrf", "sql-injection"]
+      },
+      {
+        "id": "bkui-quick-start",
+        "name": "BKUI 快速入门",
+        "category": "engineering",
+        "path": "bkui-quick-start/SKILL.md",
+        "tags": ["bkui", "规范", "索引", "入门"]
+      },
+      {
+        "id": "vue-best-practices",
+        "name": "Vue 3 开发最佳实践",
+        "category": "engineering",
+        "path": "external/vue-skills/skills/vue-best-practices/SKILL.md",
+        "tags": ["vue3", "typescript", "vue-tsc", "volar", "vite", "pinia"],
+        "external": true,
+        "source": "https://github.com/hyf0/vue-skills"
+      },
+      {
+        "id": "bk-skill-creator",
+        "name": "Skill 创建指南",
+        "category": "engineering",
+        "path": "bk-skill-creator/SKILL.md",
+        "tags": ["skill", "knowledge", "template", "guide"]
+      },
+      {
+        "id": "bk-security-redlines",
+        "name": "蓝鲸代码安全三大红线",
+        "category": "security",
+        "path": "bk-security-redlines/SKILL.md",
+        "tags": ["security", "input-validation", "auth", "encryption", "redlines"]
+      },
+      {
+        "id": "web-security-guide",
+        "name": "Web 安全漏洞学习指南",
+        "category": "security",
+        "path": "web-security-guide/SKILL.md",
+        "tags": ["security", "owasp", "vulnerability", "injection", "xss", "csrf", "ssrf"]
       }
     ]
   },
@@ -663,5 +700,5 @@
     ]
   },
 
-  "recommendedSkills": ["bkui-builder", "bkui-cheatsheet", "code-review", "js-security-check"]
+  "recommendedSkills": ["bkui-quick-start", "bkui-builder", "bkui-cheatsheet", "vue-best-practices", "code-review", "js-security-check"]
 }

package/knowledge/skills/.template/README.md

@@ -23,7 +23,7 @@ wc -c knowledge/skills/your-skill-id/SKILL.md
 
 ## 文件说明
 
-- **SKILL.md**: 核心文档，**必须 ≤ 3KB**
+- **SKILL.md**: 核心文档，**必须 ≤ 2KB**
 - **references/**: 详细参考文档，按需加载
 - **assets/**: 代码模板、脚本等资产
 - **README.md**: 对内说明（不会被 AI 加载）

package/knowledge/skills/bk-security-redlines/SKILL.md

@@ -0,0 +1,47 @@
+---
+id: security/bk-security-redlines
+name: 蓝鲸代码安全三大红线
+category: security
+description: 基于 IEG 安全规范，覆盖输入校验、鉴权、数据加密三大高危领域
+tags: [security, input-validation, auth, encryption, redlines]
+updated_at: 2026-01-23
+---
+
+# 蓝鲸代码安全三大红线
+
+## ⚠️ 核心规则
+
+### 红线 1：外部输入未校验
+
+外部输入进入**高危操作**前，必须完成**服务端强约束校验**（类型/长度/格式/白名单），不可绕过。
+
+**高危操作**：命令执行、模板解释/eval、文件路径、请求目标、SQL/NoSQL 构造、渲染解析、协议输出
+
+### 红线 2：敏感接口未鉴权
+
+高危能力或敏感资源接口必须同时实施**身份认证 + 权限校验**，缺一即违规。
+
+**禁止**：接口无认证、仅登录不校验权限、依赖前端字段/URL/IP 判权、服务间调用无鉴权
+
+### 红线 3：敏感数据未加密
+
+敏感数据（密码/Token/AKSK/私钥/PII）在存储、传输、日志、导出任一环节保护不当即违规。
+
+**禁止**：硬编码凭证、明文存储、异常回显细节、日志记录敏感字段、URL 携带 token
+
+## 常见错误
+
+| 错误做法 | 正确做法 |
+|---------|---------|
+| ❌ 仅前端/网关校验 | ✅ 服务端强约束校验 |
+| ❌ 仅判空/黑名单 | ✅ 白名单 + 类型/长度/格式 |
+| ❌ 内网可达即放通 | ✅ 服务间调用也需鉴权 |
+| ❌ 日志记录完整请求 | ✅ 脱敏后记录 |
+
+## 📦 按需加载资源
+
+| 资源 | URI | 说明 |
+|-----|-----|------|
+| 输入校验详解 | `skill://bk-security-redlines/references/input-validation.md` | 7 类高危操作场景 |
+| 鉴权检查详解 | `skill://bk-security-redlines/references/auth-check.md` | 8 类鉴权缺失场景 |
+| 数据加密详解 | `skill://bk-security-redlines/references/data-encryption.md` | 8 类加密缺失场景 |

package/knowledge/skills/bk-security-redlines/references/auth-check.md

@@ -0,0 +1,73 @@
+# 红线 2：敏感接口未鉴权 - 详解
+
+## 定义
+
+凡提供高危能力或访问敏感资源的接口，必须在服务端实施完整鉴权：
+
+- **身份认证**：确认"你是谁"
+- **权限校验**：确认"你能做什么"
+
+任一缺失即违规。
+
+---
+
+## 8 类鉴权缺失场景
+
+### 2.1 接口缺失身份认证
+
+**业务场景**：
+- 新增 API
+- 后台管理接口
+- 内部运维接口
+- RPC/SDK 入口
+- 仅凭"内网可达"放通
+
+### 2.2 接口缺失权限校验
+
+**业务场景**：
+- 仅校验登录不校验角色/租户/项目/资源范围
+- 后台管理操作未做 RBAC/ABAC
+
+### 2.3 鉴权依赖不可信要素
+
+**业务场景**：
+- `is_admin` 等前端字段判权
+- URL 前缀隔离
+- 仅网关策略
+- 仅 IP 白名单
+
+### 2.4 服务间调用缺失鉴权
+
+**业务场景**：
+- 服务间调用
+- 内部 SDK
+- 代调用
+- 组件联动
+
+### 2.5 资源访问缺失对象鉴权
+
+**业务场景**：
+- 仅凭 id/task_id/file_id/cluster_id/app_id 直接读写资源
+- 未校验当前用户是否有权访问该资源
+
+### 2.6 回调消息缺失验源
+
+**业务场景**：
+- 回调接口
+- Webhook
+- 消息消费
+- 事件触发入口
+
+### 2.7 会话操作缺失 CSRF 防护
+
+**业务场景**：
+- Cookie 会话的敏感操作
+- 未使用 CSRF Token
+- 未校验 Origin/Referer
+
+### 2.8 调试运维缺失鉴权
+
+**业务场景**：
+- debug/admin/metrics/health 端点
+- 运维开关
+- 临时接口

package/knowledge/skills/bk-security-redlines/references/data-encryption.md

@@ -0,0 +1,78 @@
+# 红线 3：敏感数据未加密 - 详解
+
+## 定义
+
+敏感数据在代码、存储、传输、日志、异常输出、导出/备份等任一环节保护不当即违规。
+
+## 敏感数据范围
+
+- 密码/Token/AKSK/连接串/私钥/加密密钥
+- 权限票据
+- 个人敏感信息（PII）
+- 内部系统地址与关键配置
+
+---
+
+## 8 类加密缺失场景
+
+### 3.1 敏感信息硬编码暴露
+
+**业务场景**：
+- 代码常量/默认配置/示例文件/CI 脚本中写入：
+  - 密码
+  - Token
+  - AK/SK
+  - 连接串
+  - 私钥
+  - 加密密钥
+
+### 3.2 敏感信息明文存储
+
+**业务场景**：
+- 数据库字段明文存 token/密码/私钥
+- 配置文件明文凭证
+- 缓存/搜索系统写入明文敏感字段
+
+### 3.3 异常回显泄露细节
+
+**业务场景**：
+- API 返回堆栈、SQL、文件路径
+- API 返回内部域名、配置内容、密钥片段
+- 将异常信息原样透传给调用方
+
+### 3.4 日志链路泄露敏感
+
+**业务场景**：
+- 全量记录 request/response
+- 记录 Authorization/Cookie/Token
+- trace/span/metrics 写入 PII/凭证
+
+### 3.5 票据出现在 URL/前端
+
+**业务场景**：
+- token 放 query 参数
+- 跳转携带票据
+- localStorage/sessionStorage 存长效 token/敏感字段
+
+### 3.6 敏感传输缺少加密
+
+**业务场景**：
+- HTTP 明文传 token/凭证/PII
+- 跳过证书校验
+- RPC/MQ 链路未加密传输敏感字段
+
+### 3.7 导出备份暴露敏感
+
+**业务场景**：
+- 导出 zip/csv 含凭证/配置/PII
+- dump/日志包上传对象存储
+- 权限过宽、无过期控制或可公开访问
+
+### 3.8 密码学使用不规范
+
+**业务场景**：
+- 自研加密算法
+- 弱算法（MD5/SHA1 用于密码、DES/RC4 等）
+- 固定 IV/盐
+- 同密钥多用途
+- 密钥落配置/日志或在接口返回中泄漏