npm - @captain_z/zsk-skills - Versions diffs - 0.1.0 - Mend

@captain_z/zsk-skills 0.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (55) hide show

package/README.md +263 -0
package/bundles.yaml +104 -0
package/design-handoff/.gitkeep +0 -0
package/design-handoff/figma-to-code/SKILL.md +265 -0
package/design-handoff/ue-mcp/SKILL.md +184 -0
package/frontend/.gitkeep +0 -0
package/frontend/a11y-web/SKILL.md +169 -0
package/frontend/api-contract-ts/SKILL.md +275 -0
package/frontend/css-bem/SKILL.md +268 -0
package/frontend/design-frontend/SKILL.md +163 -0
package/frontend/dor-dod-frontend/SKILL.md +114 -0
package/frontend/feature-tasks-frontend/SKILL.md +246 -0
package/frontend/i18n/SKILL.md +296 -0
package/frontend/nfr-web/SKILL.md +258 -0
package/frontend/performance-web/SKILL.md +299 -0
package/frontend/react-components/SKILL.md +211 -0
package/frontend/react-naming/SKILL.md +224 -0
package/frontend/review-frontend/SKILL.md +126 -0
package/frontend/security-web/SKILL.md +286 -0
package/frontend/spec-frontend/SKILL.md +141 -0
package/frontend/testing-web/SKILL.md +252 -0
package/frontend/typescript/SKILL.md +219 -0
package/meta/.gitkeep +0 -0
package/meta/philosophy/SKILL.md +221 -0
package/package.json +24 -0
package/quality/.gitkeep +0 -0
package/quality/a11y-principles/SKILL.md +155 -0
package/quality/code-hygiene/SKILL.md +126 -0
package/quality/release/SKILL.md +209 -0
package/quality/security-owasp/SKILL.md +157 -0
package/quality/testing-pyramid/SKILL.md +173 -0
package/sdlc/.gitkeep +0 -0
package/sdlc/archive/SKILL.md +267 -0
package/sdlc/bugfix/SKILL.md +181 -0
package/sdlc/bugfix-tasks/SKILL.md +232 -0
package/sdlc/coding/SKILL.md +177 -0
package/sdlc/design/SKILL.md +299 -0
package/sdlc/dor-dod/SKILL.md +120 -0
package/sdlc/feature/SKILL.md +162 -0
package/sdlc/proposal/SKILL.md +271 -0
package/sdlc/refactor/SKILL.md +220 -0
package/sdlc/refactor-tasks/SKILL.md +265 -0
package/sdlc/reviewing/SKILL.md +197 -0
package/sdlc/spec/SKILL.md +235 -0
package/sdlc/task/SKILL.md +116 -0
package/sdlc/task-evidence/SKILL.md +178 -0
package/sdlc/task-structure/SKILL.md +153 -0
package/sdlc/task-tracking/SKILL.md +192 -0
package/sdlc/verify/SKILL.md +181 -0
package/system/.gitkeep +0 -0
package/system/adr/SKILL.md +169 -0
package/system/architecture/SKILL.md +182 -0
package/system/glossary/SKILL.md +141 -0
package/system/nfr-baseline/SKILL.md +156 -0
package/system/project-constraints-template/SKILL.md +241 -0

package/quality/code-hygiene/SKILL.md ADDED Viewed

@@ -0,0 +1,126 @@
+---
+name: zsk:code-hygiene
+description: Code hygiene for any language — comment policy (WHY not WHAT),
+  import ordering principle, formatter discipline, generic forbidden patterns
+  (TODO comments, commented-out code, signature-like comments). Stack-specific
+  rules (TypeScript red lines, React naming) are in frontend/*.
+category: standard
+domain: quality
+tier: optional
+related:
+  - ../../sdlc/coding/SKILL.md
+  - ../../sdlc/reviewing/SKILL.md
+  - ../../frontend/typescript/SKILL.md
+  - ../../frontend/react-naming/SKILL.md
+triggers:
+  - code hygiene
+  - comment policy
+  - import order
+  - WHY not WHAT
+  - prettier discipline
+  - forbidden patterns
+---
+# Quality: Code Hygiene（代码卫生）
+> **范围**：跨栈、跨语言通用的代码卫生原则 — 注释、Import、格式化、禁止写法
+> **不含**：协作流程（见 `sdlc/coding`）、栈特定规则（TypeScript 见 `frontend/typescript`；React 命名见 `frontend/react-naming`）
+> **参考规范**：Google Style Guides、Airbnb 风格指南、Prettier 默认
+## 注释策略（跨栈通用）
+### 默认不写注释
+好命名 + 好结构胜过注释。**代码已经在说 WHAT，别复述。**
+### 何时该写
+只写 **WHY 非显而易见**的内容：
+- **隐藏约束**（例："此处必须同步调用，后端不支持批量"）
+- **非显而易见的 workaround**（例："临时绕开 XX bug，待 YY 升级后移除"）
+- **业务规则来源**（例："// 按 SRS 11.1 role 表定义"）
+- **微妙的不变式**（例："保证 parentId 为真实节点或 -1"）
+### 禁止
+- ❌ 复述代码的"what"
+- ❌ `// TODO`（改用 Issue，能追踪、能排期）
+- ❌ 被注释掉的代码（用 git 历史）
+- ❌ 签名样的 `@author` / `@date`（用 git blame）
+- ❌ `// 解决 bug #123`（放 commit message，不放代码）
+### 公开 API 的 Docstring
+仅用于：
+- 导出的公共 API（函数 / 类 / 模块）
+- 需要 IDE 提示参数含义的复杂签名
+- 不写完整 docstring，只写 1-2 行说清用途
+```
+/** 从当前可管理范围构建虚拟根树 */
+```
+## Import 顺序原则（语言无关）
+不同语言符号不同，但**分组原则相同**：
+```text
+1. 标准库 / 内置
+2. 外部依赖（框架优先）
+3. 内部别名（按层级：services → utils → components）
+4. 同模块相对路径（./xxx）
+5. 样式 / 资源（放最后）
+```
+每组之间空一行。类型导入用语言对应的显式语法（如 TS 的 `import type`）。
+### 为什么这样
+- **可读性**：按"远 → 近"组织，视线自然流动
+- **冲突少**：外部与内部分层，重命名影响可控
+- **工具友好**：lint / autofix 能稳定排序
+## 格式化纪律
+- **统一用 Prettier 或等价格式化工具**（配置随项目预设 / 脚手架默认）
+- **不手工调格式**；保存时自动 format
+- 提交前 pre-commit hook 自动跑 lint + format
+- 团队之间不为"括号 / 分号 / 空格"争论 — 格式化工具决定
+## 通用禁止写法（跨栈）
+以下规则命中即应视为 Review 打回：
+| 模式 | 为什么禁 | 替代 |
+| --- | --- | --- |
+| `TODO` / `FIXME` 留在代码 | 永不处理 | 建 Issue / 任务，代码里只留 Issue 链接 |
+| 被注释的代码 | 变污染；git 已有历史 | 删除 → git blame / log 能找回 |
+| `@author` / `@date` 签名 | 变错 / 过时 | 用 git blame |
+| 业务注释写死 commit 号 / PR 号 | 代码不该耦合历史元信息 | 放 commit message |
+| 无说明的魔法常量 | 读者看不懂来源 | 抽常量 / 加 WHY 注释指向依据 |
+| 复制粘贴 3+ 次同一段逻辑 | 维护地狱 | 抽函数 / 提 util |
+## Lint 通用红线（按栈扩展）
+本清单是**语言无关**的 Lint 原则。具体规则名按语言 / 生态挑选：
+- **语法危险**：禁用 `eval` / `new Function` 或等价动态执行（见 `quality/security-owasp`）
+- **死代码**：禁留无调用的导出 / 函数
+- **未使用变量**：一律删除或加忽略前缀
+- **循环复杂度**：超阈值必拆（推荐 10）
+- **文件长度**：超阈值必拆（推荐 300-500 行按语言）
+- **深度嵌套**：推荐 ≤ 3-4 层
+具体到栈：
+- TypeScript 红线：见 [`frontend/typescript`](../../frontend/typescript/SKILL.md)
+- React 命名规范：见 [`frontend/react-naming`](../../frontend/react-naming/SKILL.md)
+- OWASP 安全 Lint：见 [`quality/security-owasp`](../security-owasp/SKILL.md)
+## 质量门禁
+- [ ] 注释只写 WHY，不复述 WHAT
+- [ ] 无 `TODO` / `FIXME` / 被注释代码
+- [ ] Import 顺序符合项目约定
+- [ ] Prettier / 格式化工具零 diff
+- [ ] Lint 零 error

package/quality/release/SKILL.md ADDED Viewed

@@ -0,0 +1,209 @@
+---
+name: zsk:release
+description: Version release discipline — SemVer numbering, Keep a Changelog,
+  Conventional Changelog auto-generation, environment promotion
+  (dev→test→pre→prod), feature flag lifecycle, rollback strategy, hotfix
+  process, canary monitoring. Works across language stacks; tool names are
+  stack-specific examples.
+category: standard
+domain: quality
+tier: optional
+related:
+  - ../../sdlc/archive/SKILL.md
+  - ../../sdlc/bugfix/SKILL.md
+triggers:
+  - SemVer
+  - changelog
+  - conventional changelog
+  - hotfix
+  - feature flag
+  - canary monitoring
+  - release process
+  - rollback
+---
+# Quality: Release（发布纪律 · 跨栈）
+> **范围**：版本策略、Changelog、部署、灰度、回滚、Hotfix、Canary
+> **参考规范**：SemVer 2.0、Keep a Changelog、Conventional Changelog、Feature Flag Best Practices
+> **跨栈适配**：具体工具名（`npm audit` / `cargo audit` / `webpack-bundle-analyzer` 等）为示例，按栈替换
+## 版本策略（SemVer）
+格式：`MAJOR.MINOR.PATCH`
+| 段位 | 变更类型 | 示例 |
+| --- | --- | --- |
+| `MAJOR` | 破坏性变更 | 移除接口、改类型签名、改默认行为 |
+| `MINOR` | 向后兼容的新功能 | 新接口、新配置项、新组件 |
+| `PATCH` | 向后兼容的修复 | bug 修复、文档、内部重构 |
+预发布版本：`1.2.0-rc.1` / `1.2.0-beta.3`
+## Changelog（Keep a Changelog）
+每次 release 更新 `CHANGELOG.md`：
+```md
+# Changelog
+## [Unreleased]
+## [1.2.0] - 2026-04-18
+### Added
+- {新功能描述}（#PR / Refs Spec FR-x）
+### Changed
+- {行为修改或重构}
+### Deprecated
+- {即将移除的 API / 功能}
+### Removed
+- {已移除的内容}
+### Fixed
+- {bug 修复}（#issue / Refs Postmortem）
+### Security
+- {安全修复 / 依赖升级}
+```
+### 从 Conventional Commits 自动生成
+按栈选工具（`conventional-changelog-cli` / `standard-version` / `git-cliff` / `towncrier` / ...）：
+- `feat` → Added
+- `fix` → Fixed
+- `perf` / `refactor` → Changed
+- `BREAKING CHANGE` → 独立章节 + 触发 MAJOR 升级
+## 发布检查清单
+### 代码层
+- [ ] 所有 PR 已合并到 release 分支
+- [ ] 项目 lint 命令零 error（`{{config.scripts.lint}}`）
+- [ ] 项目 type-check 零 error（`{{config.scripts.type_check}}`，如适用）
+- [ ] 全量回归测试通过
+- [ ] `CHANGELOG.md` 已更新并审阅
+- [ ] 版本号已升级（按栈的版本文件：`package.json` / `Cargo.toml` / `pyproject.toml` / `Gemfile` 等）
+- [ ] Git tag 已打（`vX.Y.Z`）
+### 依赖层
+- [ ] 无版本漂移风险（lock 文件按栈锁定：`package-lock.json` / `Cargo.lock` / `poetry.lock` / `Gemfile.lock` / `go.sum` / ...）
+- [ ] 无 P0 / P1 安全漏洞（依赖扫描工具，见 [`quality/security-owasp`](../security-owasp/SKILL.md)）
+- [ ] 新增依赖已记录用途与许可证
+### 文档层
+- [ ] README / 接入文档已更新
+- [ ] Breaking change 已写迁移指南
+- [ ] API 契约（若跨服务）已同步
+### 通知层
+- [ ] 使用方 / 下游团队已通知
+- [ ] Breaking change 提前至少 1 个迭代通知
+- [ ] 发布公告已准备
+## 部署策略
+### 环境分级
+| 环境 | 用途 | 准入条件 |
+| --- | --- | --- |
+| `dev` | 本地开发 | 自由 |
+| `test` | 集成测试 | 单元 + 集成测试通过 |
+| `pre` | 预发 / UAT | 全量回归通过 + Changelog 更新 |
+| `prod` | 生产 | 预发通过 + 发布检查清单全绿 + 审批 |
+### 发布方式
+- **常规发布**：工作时间窗口内（避开高峰）
+- **紧急发布（Hotfix）**：见下文 Hotfix 小节
+- **破坏性发布**：提前公告 + 双跑期 + 回滚预案
+## 灰度 / Feature Flag
+### 何时使用
+- 影响面大 / 不可逆的行为变更
+- 需要 A/B 验证的新功能
+- 想降低发布风险的重构
+### 使用规约
+- Flag 命名：`<scope>.<feature>.<status>`（例 `core.virtualScroll.enabled`）
+- 必须有默认值（保守 / 现状）
+- 必须有**移除计划**（登记到 `CHANGELOG.md` 的 Deprecated）
+- Flag 生命周期 ≤ 2 个迭代，过期必须清理
+- 禁止 flag 嵌套 flag（组合爆炸）
+## 回滚策略
+### 触发条件
+- P0 / P1 bug 无法快速修复
+- 性能回退超过基线 20%
+- 核心监控指标异常（错误率 / 响应时间）
+### 回滚动作
+1. **代码回滚**：revert commit 或切换到上一个 tag
+2. **版本标记**：新增 patch 版本（如 `1.2.1`）标记"回滚 1.2.0"
+3. **Changelog**：显式写明回滚原因
+4. **Postmortem**：P0 / P1 回滚必走 [`zsk:bugfix`](../../sdlc/bugfix/SKILL.md) 的 postmortem 步骤
+### 不可回滚场景
+- 数据库迁移已跑（需反向迁移脚本）
+- 用户数据已按新结构落库（需兼容层）
+**预防**：这类变更在 `design.md` 必须预先声明"可回滚性"。
+## Hotfix 发布
+流程简化版：
+1. 从生产 tag 切分支：`hotfix/v1.2.1-xxx`
+2. 最小改动修复
+3. 补测试防回归
+4. 合并到 `master` + 主干（避免丢失）
+5. 打 tag `v1.2.1`，发布
+6. 更新 CHANGELOG 的 Fixed 章节
+7. P0 / P1 走 Postmortem
+## 发布后监控（Canary）
+发布后 30 分钟内重点观察：
+- 错误率
+- 核心接口响应时间
+- 关键业务指标（点击 / 提交 / 转化）
+- 用户反馈渠道
+异常立刻触发回滚。
+## Skill 集成
+| 场景 | Primary Skill |
+| --- | --- |
+| 完成分支 | `superpowers:finishing-a-development-branch` |
+| Ship | `ship` |
+| 合并 | `merging-branches` |
+| 部署 + 验证 | `land-and-deploy` |
+| 灰度监控 | `canary` |
+| 提交 | `code-commit` |
+| 创建 PR | `github-pr` |
+## 质量门禁
+- [ ] SemVer 版本号正确
+- [ ] Changelog 按 Keep a Changelog 格式更新
+- [ ] 发布检查清单全绿
+- [ ] 有回滚预案
+- [ ] Breaking change 已提前公告
+- [ ] Feature flag 有移除计划

package/quality/security-owasp/SKILL.md ADDED Viewed

@@ -0,0 +1,157 @@
+---
+name: zsk:security-owasp
+description: Cross-stack security discipline — OWASP Top 10 overview, CVE
+  response SLAs, dependency license whitelist, supply chain hygiene, common lint
+  red lines (eval/dynamic execution), and the "frontend UI is not the final
+  defense" principle. Web-specific XSS/CSRF/Storage red lines are in
+  frontend/security-web.md.
+category: standard
+domain: quality
+tier: optional
+related:
+  - ../../sdlc/coding/SKILL.md
+  - ../../sdlc/reviewing/SKILL.md
+  - ../../frontend/security-web/SKILL.md
+triggers:
+  - OWASP Top 10
+  - CVE response
+  - license whitelist
+  - supply chain security
+  - dependency audit
+  - eval forbidden
+---
+# Quality: Security (OWASP)（跨栈安全纪律）
+> **范围**：跨栈的安全原则 — OWASP Top 10、CVE 响应、许可证、供应链
+> **不含**：Web 前端特定红线（`dangerouslySetInnerHTML` / Storage / CSRF Token 细节）— 见 [`frontend/security-web`](../../frontend/security-web/SKILL.md)
+> **参考规范**：OWASP Top 10、OWASP ASVS Level 1
+> **核心原则**：**前端是便利性防线，后端是最终防线**。前端不能替代后端鉴权，但必须防止自身成为攻击入口。
+## OWASP Top 10 概览
+| 风险 | 含义 | 跨栈通用防护 |
+| --- | --- | --- |
+| **A01 Broken Access Control** | 越权访问 | 后端强校验 + 默认拒绝 |
+| **A02 Cryptographic Failures** | 加密失败 | TLS / 密钥管理 / 不自造加密 |
+| **A03 Injection** | 注入（SQL / 命令 / LDAP） | 参数化查询 / 白名单校验 |
+| **A04 Insecure Design** | 不安全设计 | 威胁建模 / 最小特权 |
+| **A05 Security Misconfiguration** | 配置错误 | 默认安全 / 定期审计 |
+| **A06 Vulnerable & Outdated Components** | 依赖漏洞 | CVE 响应 + 依赖扫描（本文件） |
+| **A07 Identification & Auth Failures** | 身份认证失败 | 多因素 / 会话管理 |
+| **A08 Software & Data Integrity** | 软件 / 数据完整性 | 签名验证 / CI 安全 / 供应链 |
+| **A09 Logging & Monitoring Failures** | 日志 / 监控不足 | 可观测性（见 `system/nfr-baseline` 第 6 节） |
+| **A10 SSRF** | 服务端请求伪造 | 白名单出站 / 元数据服务隔离 |
+## 权限校验原则（跨栈）
+### 前端职责
+- **UI 防误操作**：根据权限隐藏 / 禁用按钮，减少无效请求
+- **反馈用户**：越权操作给出明确提示
+- **不是最终防线**：任何敏感操作**必须**后端校验
+### 前端不能做的
+- ❌ 仅靠前端路由守卫保护私密页面
+- ❌ 仅靠前端隐藏按钮保护敏感操作
+- ❌ 把权限判断结果存进本地存储供"下次用"
+### 越权响应
+- 401 → 跳登录
+- 403 → 跳无权限页 或 显示明确文案
+- 不得把越权响应当普通业务错误处理
+## 依赖安全（CVE 响应）
+### 引入新依赖
+PR 必须说明：
+- 用途 / 替代方案
+- **许可证**（默认禁 GPL / AGPL；MIT / Apache 2.0 / BSD 默认可）
+- 包体积影响
+- 来源验证（发布者 / 下载量 / 维护活跃度）
+- 是否有已知 CVE
+### 持续监测（按栈选工具）
+| 栈 | 扫描命令 |
+| --- | --- |
+| Node / JS | `npm audit` / `pnpm audit` / `yarn audit` / Snyk / Dependabot |
+| Rust | `cargo audit` |
+| Python | `pip-audit` / `safety` |
+| Ruby | `bundler-audit` |
+| Go | `govulncheck` |
+| Java | `OWASP Dependency-Check` |
+### CVE 响应时限
+| 严重度 | 响应 |
+| --- | --- |
+| Critical / High | 24h 内响应（升级 / 替换 / 临时豁免并登记） |
+| Moderate | 当迭代内处理 |
+| Low | 排期处理 |
+## 供应链防护
+- **锁定版本**：按栈的 lock 文件（`package-lock.json` / `Cargo.lock` / `poetry.lock` / `Gemfile.lock` / `go.sum` / ...）
+- **谨慎 micro-package**：增加供应链面（小包越多，攻击面越大）
+- **优先使用项目统一 SDK**（`{{config.stack.sdk_packages}}`）
+- **审核发布者**：对陌生 maintainer 的包保持警惕
+- **订阅安全公告**：GitHub Security Advisories / PyPI / Crate.io 等
+### 许可证白名单（默认）
+✅ 允许：MIT / Apache 2.0 / BSD (2/3) / ISC / MPL 2.0
+❌ 默认禁：GPL / AGPL / LGPL（LGPL 在部分场景可用需 ADR 豁免）
+⚠️ 评估：CC-BY（文档 ok；代码需审）/ 自研商业许可
+## 代码层通用红线（Lint 可兜底）
+以下是**跨栈通用**的危险模式：
+- `eval` / 等价动态执行（危险代码注入）
+- `new Function(...)` / 等价
+- `Function` 构造器接收外部字符串
+- 访问 `process.env.*` 后未校验的危险操作（按栈）
+- 外部字符串直接拼 shell / SQL / 路径
+按栈具体 Lint 规则（如 `no-eval` / `no-new-func` 等）在项目 Lint 配置中启用。
+> Web 前端特定的 `react/no-danger` / `no-restricted-globals` 等见 [`frontend/security-web`](../../frontend/security-web/SKILL.md)
+## 安全测试
+- **静态扫描**：按栈的 security lint 插件
+- **依赖扫描**：每次 CI 跑（见上文工具表）
+- **渗透测试**：由安全团队负责，开发协助修复
+- **威胁建模**：大型改动走 STRIDE / DREAD
+## PR 门禁
+以下任一项命中即不通过：
+1. 新增依赖含已知高危 CVE（Critical / High 未处理）
+2. 引入 GPL / AGPL 许可证依赖（无 ADR 豁免）
+3. 新增 `eval` / 等价动态执行（无 ADR 豁免）
+4. 外部输入直接拼 shell / SQL / 路径
+5. 生产代码保留开发态日志（见 `quality/code-hygiene`）
+## Skill 集成
+| 场景 | Primary Skill |
+| --- | --- |
+| 安全审计 | `cso`（CSO 模式审计） |
+| 依赖漏洞排查 | `investigate` + 栈对应扫描 |
+| PR 安全 Review | `codex` challenge 模式 + `merge-review` |
+## 质量门禁
+- [ ] 新增依赖说明完整（用途 / 许可 / 体积 / CVE 核查）
+- [ ] 锁文件已提交
+- [ ] 无高危 CVE 未处理
+- [ ] 无禁用许可证依赖
+- [ ] 无 `eval` / 动态执行（或有 ADR 豁免）
+- [ ] 权限判断不依赖前端作为最终防线
+- [ ] （Web）见 `frontend/security-web` 的补充门禁

package/quality/testing-pyramid/SKILL.md ADDED Viewed

@@ -0,0 +1,173 @@
+---
+name: zsk:testing-pyramid
+description: Cross-language test strategy & discipline — test pyramid ratio
+  (unit 70 / integration 20 / e2e 10), AAA/GWT structure, coverage targets, and
+  the three hard principles (evidence before assertion, Red-Green-Refactor, bug
+  confidence questioning). Stack-specific tooling (Jest/RTL/MSW/Playwright) is
+  in frontend/testing-web.md.
+category: standard
+domain: quality
+tier: optional
+related:
+  - ../../sdlc/coding/SKILL.md
+  - ../../sdlc/verify/SKILL.md
+  - ../../sdlc/dor-dod/SKILL.md
+  - ../../frontend/testing-web/SKILL.md
+triggers:
+  - test pyramid
+  - TDD discipline
+  - test coverage target
+  - AAA GWT structure
+  - evidence before assertion
+  - bug confidence questions
+  - test independence
+---
+# Quality: Testing Pyramid（测试金字塔 · 跨栈纪律）
+> **范围**：跨栈的测试方法论 — 金字塔分布、用例结构、覆盖率目标、三大硬原则
+> **不含**：具体工具链（Jest / RTL / Playwright / axe 等见 [`frontend/testing-web`](../../frontend/testing-web/SKILL.md)）
+> **参考规范**：测试金字塔（Mike Cohn）、Testing Trophy（Kent C. Dodds）、ISTQB
+> **吸收原则（来自 Superpowers）**：
+> - 证据先于断言（verification-before-completion）
+> - Red-Green-Refactor（test-driven-development）
+> - Bug 置信度质疑（systematic-debugging）
+## 核心哲学
+### 证据先于断言（硬规则）
+- 没跑过的命令不得声称"通过"
+- 没看过的输出不得声称"修复"
+- 没截过的图不得声称"视觉一致"
+- 没回归过的改动不得声称"无副作用"
+未验证的断言等于无效断言。
+### Red-Green-Refactor（默认纪律）
+- **Red**：先写一个**必然失败**的测试（覆盖目标行为）
+- **Green**：写最少的代码让测试通过
+- **Refactor**：在测试保护下清理代码
+Bugfix 与 Refactor 默认使用 TDD；Feature 视情况（复杂逻辑建议 TDD，UI 可接受 test-after）。
+### Bug 置信度质疑
+修 bug 前先问三个问题：
+1. 这个 bug **确实存在**吗？（有复现证据吗）
+2. 这个原因**真的是根因**吗？（还是上游问题的表现）
+3. 我的修复**真的会生效**吗？（有没有测试能断言）
+三问都有答案再动手。
+## 测试金字塔
+| 层级 | 建议占比 | 覆盖范围 |
+| --- | --- | --- |
+| 单元测试 | ~70% | 纯函数、工具、归一化函数 |
+| 集成测试 | ~20% | 模块组合、外部依赖（mock 过）|
+| E2E / 系统测试 | ~10% | 关键用户路径、真实环境 |
+> 具体工具选型（Jest / Vitest / pytest / JUnit / RSpec / Go test / 等）按语言栈；前端参考 [`frontend/testing-web`](../../frontend/testing-web/SKILL.md)
+## 测试用例设计
+### 结构：AAA 或 GWT（语言无关）
+```text
+AAA（Arrange - Act - Assert）
+  Arrange：准备数据与依赖
+  Act：调用被测单元
+  Assert：断言结果
+GWT（Given - When - Then）
+  Given：前置条件
+  When：动作
+  Then：预期结果
+```
+### 命名规范
+- 格式：`<subject> <expected behavior> when <condition>`
+- 禁止模糊命名：`it('works')` / `it('test 1')`
+### 必覆盖类别
+1. **Happy Path**：正常路径
+2. **边界**：空 / 最大 / 最小 / 特殊字符
+3. **异常**：错误 / 超时 / 权限失败 / 业务错误码
+4. **契约边界**：公开接口的每个参数组合
+5. （若涉及）并发 / 幂等 / 重入
+### 独立性与确定性
+- **不共享状态**：每个 test 独立 setup / teardown
+- **不依赖执行顺序**：随机顺序应全部通过
+- **不依赖时间**：用 fake timers
+- **不依赖网络**：mock / stub / 拦截
+- **不依赖环境变量**：测试内注入
+### 数据工厂
+- 所有测试数据通过工厂函数生成（`makeUser({ id: 1, ...overrides })`），不散落 inline 字面量
+- 失败样例必须覆盖契约中列出的所有错误 code
+## 覆盖率目标（通用基线）
+- 语句覆盖率 ≥ 80%
+- 关键模块（业务核心 / 归一化 / 权限判断）分支覆盖率 ≥ 85%
+- **新增代码 100% 覆盖**（不降低存量覆盖率）
+- 覆盖率不是目的，是**暴露未测路径**的手段；100% 覆盖 ≠ 0 bug
+## DoR / DoD（测试相关）
+### DoR（启动前）
+- [ ] `spec.md` 已冻结（Props / 状态 / 验收标准无歧义）
+- [ ] `design.md` 已冻结（文件职责、错误处理策略齐全）
+- [ ] 验收标准可测（BDD Given/When/Then）
+### DoD（关闭前）
+- [ ] 代码合并到主干
+- [ ] 单元测试通过，覆盖关键分支
+- [ ] 集成 / E2E 测试通过（如适用）
+- [ ] `lint` / `type-check` / `build` 零 error
+- [ ] PR 自检清单全部勾选
+（完整 DoR/DoD 见 [`zsk:dor-dod`](../../sdlc/dor-dod/SKILL.md)）
+## 严重度分级（Bug）
+| 级别 | 定义 | 响应时限 |
+| --- | --- | --- |
+| **P0** | 核心功能不可用 / 数据损坏 / 安全漏洞 | 即时响应，24h 内修复 |
+| **P1** | 主要功能受阻，无稳定绕行 | 当天响应，当迭代修复 |
+| **P2** | 次要功能受阻，有绕行方案 | 下迭代修复 |
+| **P3** | 优化 / 偶发 / 小缺陷 | 排期修复 |
+## 回归测试策略
+- **自动化优先**：每次 CI 跑全量单元 + 集成 + 关键 E2E
+- **合并前必跑**：改动涉及的模块 + 依赖该模块的上层调用方
+- **发布前必跑**：全量回归
+## Skill 集成
+| 场景 | Primary Skill |
+| --- | --- |
+| 开始写测试 | `superpowers:test-driven-development` |
+| 自我验证 | `superpowers:verification-before-completion` / `zsk:verify` |
+| QA 流程 | `qa` / `qa-only` |
+| Bug 复现 | `superpowers:systematic-debugging` |
+## 质量门禁
+- [ ] DoR / DoD 清单完整
+- [ ] 测试金字塔三层均有用例
+- [ ] 覆盖率达标（见上文）
+- [ ] 证据链完整
+- [ ] 用例独立 + 确定
+- [ ] 命名清晰 `<subject> <expected> when <condition>`

package/sdlc/.gitkeep ADDED Viewed

File without changes