@colin4k1024/tsp 2.4.5 → 2.4.7
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
- package/README.md +16 -20
- package/bin/lib/install-surface.js +3 -3
- package/bin/lib/source-installer.js +2 -2
- package/commands/team-help.md +2 -2
- package/commands/team-plan.md +1 -1
- package/commands/update-codemaps.md +3 -3
- package/manifests/install-components.json +1 -1
- package/manifests/install-modules.json +17 -3
- package/manifests/install-profiles.json +2 -0
- package/package.json +6 -3
- package/schemas/ecc-install-config.schema.json +6 -1
- package/schemas/install-modules.schema.json +4 -1
- package/scripts/codegraph-preflight.js +179 -0
- package/scripts/gitnexus-preflight.js +8 -0
- package/scripts/install-apply.js +10 -8
- package/scripts/install-codegraph.js +158 -0
- package/scripts/install-plan.js +28 -11
- package/scripts/lib/install/apply.js +256 -5
- package/scripts/lib/install/request.js +3 -2
- package/scripts/lib/install-audit-manifest.js +3 -0
- package/scripts/lib/install-executor.js +14 -5
- package/scripts/lib/install-lifecycle.js +2 -2
- package/scripts/lib/install-manifests.js +23 -4
- package/scripts/lib/install-targets/codex-home.js +187 -1
- package/scripts/lib/install-targets/opencode-home.js +135 -2
- package/scripts/lib/install-targets/registry.js +23 -1
- package/scripts/lib/release-health.js +19 -4
- package/scripts/lib/team-skills-data.json +6 -6
- package/scripts/release-health-summary.js +1 -1
- package/scripts/workflow-help.js +3 -3
- package/skills/codegraph/SKILL.md +57 -0
- package/skills/codegraph/agents/openai.yaml +4 -0
- package/docs/.vitepress/config.mts +0 -199
- package/docs/adr/ADR-001-doc-architecture-integration.md +0 -33
- package/docs/guides/README.md +0 -5
- package/docs/guides/installation.md +0 -33
- package/docs/guides/user-guide.md +0 -36
- package/docs/index.md +0 -65
- package/docs/memory/backlog.md +0 -10
- package/docs/memory/decisions.md +0 -43
- package/docs/memory/lessons-learned.md +0 -87
- package/docs/plans/2026-04-03-python-remnants-audit.md +0 -265
- package/docs/plans/2026-04-03-scripts-python-to-js-migration.md +0 -372
- package/docs/plans/2026-04-03-solo-delivery-execution-checklist.md +0 -413
- package/docs/plans/2026-04-03-solo-delivery-gap-plan.md +0 -377
- package/docs/plans/2026-04-03-team-skills-workflow-gates.md +0 -548
- package/docs/plans/2026-04-21-open-source-readiness-gap-plan.md +0 -217
- package/docs/plans/llm-surface-reduction-audit.md +0 -147
- package/docs/plans/llm-surface-reduction-execution-checklist.md +0 -217
- package/docs/plans/llm-surface-reduction-execution-history.md +0 -124
- package/docs/plans/team-skills-platform-migration.md +0 -54
- package/docs/presentation/README.md +0 -42
- package/docs/presentation/audience-presentation-route-map.md +0 -84
- package/docs/presentation/executive-briefing-talk-track.md +0 -50
- package/docs/presentation/generate_capability_matrix.py +0 -396
- package/docs/presentation/generate_ppt.py +0 -354
- package/docs/presentation/implementation-onboarding-brief.md +0 -38
- package/docs/presentation/presentation-talk-track.md +0 -97
- package/docs/presentation/vertical-scenario-route-map.md +0 -99
- package/docs/presentation/workshop-facilitator-guide.md +0 -47
- package/docs/runbooks/actionlint-workflow-gates.md +0 -80
- package/docs/runbooks/agent-governance.md +0 -131
- package/docs/runbooks/ai-eval-platform-demo-execution-log.md +0 -147
- package/docs/runbooks/ai-eval-platform-demo-script.md +0 -136
- package/docs/runbooks/ai-eval-platform-walkthrough.md +0 -113
- package/docs/runbooks/ai-pr-review-automation.md +0 -56
- package/docs/runbooks/api-breaking-change-gates.md +0 -58
- package/docs/runbooks/api-design-evolution-walkthrough.md +0 -42
- package/docs/runbooks/api-lint-gates.md +0 -57
- package/docs/runbooks/api-mocking-strategy-and-lifecycle-guide.md +0 -47
- package/docs/runbooks/architect-daily-operations.md +0 -63
- package/docs/runbooks/architect-design-conversation-example.md +0 -83
- package/docs/runbooks/artifact-attestation-gates.md +0 -75
- package/docs/runbooks/artifact-persistence.md +0 -257
- package/docs/runbooks/backend-engineer-daily-operations.md +0 -63
- package/docs/runbooks/batch-optimization-completion-checklist.md +0 -104
- package/docs/runbooks/biz-service-designer-end-to-end-conversation-example.md +0 -5
- package/docs/runbooks/biz-service-designer-toolkit.md +0 -5
- package/docs/runbooks/bug-fix-complete-walkthrough.md +0 -60
- package/docs/runbooks/build-failure-recovery-walkthrough.md +0 -40
- package/docs/runbooks/canary-decision-matrix.md +0 -41
- package/docs/runbooks/canary-staging-release-walkthrough.md +0 -46
- package/docs/runbooks/checkov-iac-gates.md +0 -104
- package/docs/runbooks/claude-code-review-workflow.md +0 -72
- package/docs/runbooks/claude-conversation-prompt-recipes.md +0 -132
- package/docs/runbooks/claude-end-to-end-conversation-example.md +0 -198
- package/docs/runbooks/claude-feature-development-guide.md +0 -112
- package/docs/runbooks/claude-quick-start.md +0 -227
- package/docs/runbooks/claude-usage-scenarios.md +0 -176
- package/docs/runbooks/code-review-collaboration-walkthrough.md +0 -65
- package/docs/runbooks/codeql-pr-security-gates.md +0 -64
- package/docs/runbooks/codex-end-to-end-conversation-example.md +0 -166
- package/docs/runbooks/codex-multi-agent-orchestration.md +0 -65
- package/docs/runbooks/codex-parallel-prompt-recipes.md +0 -131
- package/docs/runbooks/codex-quick-start.md +0 -223
- package/docs/runbooks/codex-usage-scenarios.md +0 -168
- package/docs/runbooks/codex-workflow-essentials.md +0 -88
- package/docs/runbooks/command-and-capability-matrix.md +0 -162
- package/docs/runbooks/conftest-policy-gates.md +0 -84
- package/docs/runbooks/consumer-driven-contract-testing-with-mock-alignment.md +0 -45
- package/docs/runbooks/contract-testing-playbook.md +0 -78
- package/docs/runbooks/cosign-signing-gates.md +0 -71
- package/docs/runbooks/cross-role-issue-triage-walkthrough.md +0 -47
- package/docs/runbooks/cursor-quick-start.md +0 -123
- package/docs/runbooks/custom-overlay.md +0 -115
- package/docs/runbooks/data-ml-pipeline-demo-execution-log.md +0 -141
- package/docs/runbooks/data-ml-pipeline-demo-script.md +0 -102
- package/docs/runbooks/data-ml-pipeline-walkthrough.md +0 -119
- package/docs/runbooks/data-observability-quality-demo-execution-log.md +0 -36
- package/docs/runbooks/data-observability-quality-demo-script.md +0 -42
- package/docs/runbooks/data-observability-quality-walkthrough.md +0 -86
- package/docs/runbooks/demo-deliverables-overview.md +0 -278
- package/docs/runbooks/demo-execution-log.md +0 -530
- package/docs/runbooks/demo-scenario.md +0 -129
- package/docs/runbooks/dependency-review-gates.md +0 -63
- package/docs/runbooks/dependency-update-automation.md +0 -83
- package/docs/runbooks/design-md-workflow.md +0 -185
- package/docs/runbooks/devops-engineer-daily-operations.md +0 -60
- package/docs/runbooks/devops-release-conversation-example.md +0 -88
- package/docs/runbooks/doc-architecture-integration.md +0 -59
- package/docs/runbooks/doc-architecture-quick-start.md +0 -122
- package/docs/runbooks/document-execution-audit.md +0 -32
- package/docs/runbooks/documentation-update-walkthrough.md +0 -37
- package/docs/runbooks/ecc-harness-usage.md +0 -93
- package/docs/runbooks/error-experience-usage.md +0 -116
- package/docs/runbooks/evolution-usage.md +0 -162
- package/docs/runbooks/executive-value-one-page.md +0 -55
- package/docs/runbooks/external-capability-approval-and-enablement-workflow.md +0 -39
- package/docs/runbooks/external-capability-intake.md +0 -160
- package/docs/runbooks/first-team-command-60-seconds.md +0 -96
- package/docs/runbooks/first-team-workflow-walkthrough.md +0 -245
- package/docs/runbooks/frontend-backend-integration-acceptance-checklist.md +0 -46
- package/docs/runbooks/frontend-backend-parallel-integration-walkthrough.md +0 -48
- package/docs/runbooks/frontend-bugfix-one-page.md +0 -82
- package/docs/runbooks/frontend-engineer-daily-operations.md +0 -60
- package/docs/runbooks/frontend-enterprise-style-profile.md +0 -5
- package/docs/runbooks/frontend-governance.md +0 -47
- package/docs/runbooks/frontend-refactor-walkthrough.md +0 -42
- package/docs/runbooks/git-pr-workflow.md +0 -63
- package/docs/runbooks/github-actions-supply-chain-demo-execution-log.md +0 -158
- package/docs/runbooks/github-actions-supply-chain-demo-script.md +0 -150
- package/docs/runbooks/github-actions-supply-chain-walkthrough.md +0 -117
- package/docs/runbooks/github-token-permissions-baseline.md +0 -92
- package/docs/runbooks/gitlab-manual-pipeline-release.md +0 -5
- package/docs/runbooks/gitlab-release-integration-playbook.md +0 -5
- package/docs/runbooks/gitnexus-code-intelligence-usage.md +0 -133
- package/docs/runbooks/graphify-knowledge-graph-usage.md +0 -88
- package/docs/runbooks/handoff-filling-guide-with-examples.md +0 -70
- package/docs/runbooks/handoff-governance.md +0 -250
- package/docs/runbooks/helm-unittest-playbook.md +0 -101
- package/docs/runbooks/hotfix-emergency-release-walkthrough.md +0 -60
- package/docs/runbooks/iac-kubernetes-platform-demo-execution-log.md +0 -144
- package/docs/runbooks/iac-kubernetes-platform-demo-script.md +0 -130
- package/docs/runbooks/iac-kubernetes-platform-walkthrough.md +0 -120
- package/docs/runbooks/implementation-onboarding-reading-path.md +0 -67
- package/docs/runbooks/in-toto-attestation-framework.md +0 -94
- package/docs/runbooks/incident-severity-triage-tree.md +0 -43
- package/docs/runbooks/incident-triage-one-page.md +0 -65
- package/docs/runbooks/internal-developer-platform-demo-execution-log.md +0 -36
- package/docs/runbooks/internal-developer-platform-demo-script.md +0 -42
- package/docs/runbooks/internal-developer-platform-walkthrough.md +0 -91
- package/docs/runbooks/karpathy-guidelines-usage.md +0 -27
- package/docs/runbooks/kubeconform-schema-gates.md +0 -100
- package/docs/runbooks/kubectl-server-dry-run-gates.md +0 -103
- package/docs/runbooks/kyverno-policy-gates.md +0 -90
- package/docs/runbooks/langfuse-and-observability-integration-guide.md +0 -43
- package/docs/runbooks/langfuse-coding-trace.md +0 -44
- package/docs/runbooks/mobile-miniapp-delivery-walkthrough.md +0 -112
- package/docs/runbooks/mobile-miniapp-demo-execution-log.md +0 -139
- package/docs/runbooks/mobile-miniapp-demo-script.md +0 -129
- package/docs/runbooks/multi-service-backend-integration-walkthrough.md +0 -61
- package/docs/runbooks/open-design-integration.md +0 -163
- package/docs/runbooks/open-source-release-checklist.md +0 -90
- package/docs/runbooks/opencode-quick-start.md +0 -128
- package/docs/runbooks/parallel-development-coordination-walkthrough.md +0 -47
- package/docs/runbooks/parallel-execution-usage.md +0 -179
- package/docs/runbooks/platform-capability-demo-execution-log.md +0 -184
- package/docs/runbooks/platform-capability-demo-script.md +0 -192
- package/docs/runbooks/plugin-extension-platform-demo-execution-log.md +0 -136
- package/docs/runbooks/plugin-extension-platform-demo-script.md +0 -102
- package/docs/runbooks/plugin-extension-platform-walkthrough.md +0 -111
- package/docs/runbooks/policy-controller-gates.md +0 -75
- package/docs/runbooks/post-rollback-verification-checklist.md +0 -37
- package/docs/runbooks/pre-release-checklist.md +0 -50
- package/docs/runbooks/product-manager-clarification-conversation-example.md +0 -90
- package/docs/runbooks/product-manager-daily-operations.md +0 -60
- package/docs/runbooks/production-incident-response-walkthrough.md +0 -50
- package/docs/runbooks/project-claude-design-rationale.md +0 -188
- package/docs/runbooks/project-manager-daily-operations.md +0 -61
- package/docs/runbooks/project-manager-planning-conversation-example.md +0 -82
- package/docs/runbooks/project-onboarding.md +0 -452
- package/docs/runbooks/qa-engineer-daily-operations.md +0 -63
- package/docs/runbooks/qa-review-conversation-example.md +0 -87
- package/docs/runbooks/release-closure-one-page.md +0 -65
- package/docs/runbooks/release-governance-reading-path.md +0 -56
- package/docs/runbooks/release-notes-automation.md +0 -48
- package/docs/runbooks/release-rollback-recovery-walkthrough.md +0 -47
- package/docs/runbooks/requirement-clarity-and-scope-walkthrough.md +0 -46
- package/docs/runbooks/reviewdog-pr-gates.md +0 -49
- package/docs/runbooks/role-prompt-recipes.md +0 -130
- package/docs/runbooks/rtk-integration-intake.md +0 -45
- package/docs/runbooks/rtk-token-optimization-usage.md +0 -107
- package/docs/runbooks/runner-egress-hardening.md +0 -81
- package/docs/runbooks/runtime-capabilities-overview.md +0 -113
- package/docs/runbooks/sbom-generation-gates.md +0 -71
- package/docs/runbooks/scorecard-supply-chain-gates.md +0 -82
- package/docs/runbooks/secret-scanning-gates.md +0 -85
- package/docs/runbooks/security-compliance-platform-demo-execution-log.md +0 -36
- package/docs/runbooks/security-compliance-platform-demo-script.md +0 -49
- package/docs/runbooks/security-compliance-platform-walkthrough.md +0 -98
- package/docs/runbooks/slsa-generator-patterns.md +0 -73
- package/docs/runbooks/slsa-verification-gates.md +0 -75
- package/docs/runbooks/solo-delivery-mode.md +0 -142
- package/docs/runbooks/solo-delivery-one-page.md +0 -111
- package/docs/runbooks/specialist-commands-playbook.md +0 -85
- package/docs/runbooks/sub-agent-invocation-map.md +0 -144
- package/docs/runbooks/system-architecture-design-walkthrough.md +0 -49
- package/docs/runbooks/team-closeout-example.md +0 -73
- package/docs/runbooks/team-command-output-contracts.md +0 -358
- package/docs/runbooks/team-commands-quick-prompts.md +0 -125
- package/docs/runbooks/team-execute-example.md +0 -63
- package/docs/runbooks/team-handoff-example.md +0 -49
- package/docs/runbooks/team-intake-example.md +0 -70
- package/docs/runbooks/team-plan-example.md +0 -62
- package/docs/runbooks/team-release-example.md +0 -63
- package/docs/runbooks/team-review-example.md +0 -61
- package/docs/runbooks/team-skills-test-run.md +0 -184
- package/docs/runbooks/team-skills-usage.md +0 -336
- package/docs/runbooks/team-training-reading-path.md +0 -64
- package/docs/runbooks/tech-lead-closure-conversation-example.md +0 -78
- package/docs/runbooks/tech-lead-daily-operations.md +0 -67
- package/docs/runbooks/trivy-security-gates.md +0 -79
- package/docs/runbooks/troubleshooting.md +0 -234
- package/docs/runbooks/vertical-scenario-capability-matrix.md +0 -107
- package/docs/runbooks/witness-policy-gates.md +0 -78
- package/docs/runbooks/zizmor-workflow-audits.md +0 -81
|
@@ -1,104 +0,0 @@
|
|
|
1
|
-
# Checkov IaC 门禁手册
|
|
2
|
-
|
|
3
|
-
本手册承接 `bridgecrewio/checkov` 的工程实践,用于把基础设施即代码的误配置检查前置到 PR、评审和发布准备阶段。它补的是“IaC 配置是否违反已知安全与合规检查”这一层,不替代运行时漏洞扫描、依赖变更审查或团队自定义策略评审。
|
|
4
|
-
|
|
5
|
-
## 用途 / 定位
|
|
6
|
-
|
|
7
|
-
Checkov 的核心价值,是在构建期对 IaC、云配置和相关模板做静态检查,尽早发现不安全默认值、暴露面、权限过宽和结构性误配置。官方资料显示,它支持 Terraform、Terraform Plan、Terraform JSON、CloudFormation、Kubernetes、Helm、Kustomize、Dockerfile、Serverless、Ansible、Bicep、ARM、OpenTofu,以及部分 CI/CD 工作流文件;同时支持属性型和图关系型自定义策略,也能输出 CLI、JSON、JUnit XML、SARIF 和 Markdown 结果。
|
|
8
|
-
|
|
9
|
-
在本仓库里,建议把它视为“IaC 安全基线门禁”,而不是万能安全扫描器。
|
|
10
|
-
|
|
11
|
-
## 适用场景
|
|
12
|
-
|
|
13
|
-
- 变更涉及 Terraform、Kubernetes、Helm、CloudFormation、ARM、Bicep、OpenTofu 或其他结构化基础设施配置。
|
|
14
|
-
- 团队希望在 PR 级别提前发现云资源的高风险属性,例如公开暴露、弱默认值、过宽权限、未加密配置或危险网络入口。
|
|
15
|
-
- 团队希望将一部分已知的 IaC 安全检查固定为可重复执行的门禁,而不是完全依赖人工 review。
|
|
16
|
-
- 需要把检查结果以 SARIF、JUnit XML 或 Markdown 的形式回落到 CI、代码扫描或评审流程。
|
|
17
|
-
- 团队需要复用 Checkov 的内置检查,或者基于其属性 / 图策略能力做局部扩展。
|
|
18
|
-
|
|
19
|
-
## 不适用场景
|
|
20
|
-
|
|
21
|
-
- 主要问题是容器镜像漏洞、文件系统漏洞或仓库 secret 泄漏,这类场景应优先看 `trivy-security-gates`。
|
|
22
|
-
- 主要问题是依赖新增、依赖漏洞、许可证变化或 lockfile 差异,这类场景应优先看 `dependency-review-gates`。
|
|
23
|
-
- 主要诉求是把团队自己的结构化配置规则写成 Rego policy 并做统一预检,这类场景应优先看 `conftest-policy-gates`。
|
|
24
|
-
- 变更只是应用业务逻辑,而不是 IaC 或模板配置。
|
|
25
|
-
- 团队没有准备好维护规则基线、误报处理和例外流程,却希望一步到位把所有检查都设成强阻塞。
|
|
26
|
-
|
|
27
|
-
## 推荐落地方式
|
|
28
|
-
|
|
29
|
-
1. 先限定扫描面,不要一上来把所有支持的 framework 全部打开。
|
|
30
|
-
- PR 阶段优先扫当前仓库真实使用的 IaC 类型
|
|
31
|
-
- 只对高信号检查先设门禁
|
|
32
|
-
2. 先把“发现”和“阻塞”分开。
|
|
33
|
-
- 先输出结果、建立基线、确认误报
|
|
34
|
-
- 再逐步把高风险检查升级为 fail gate
|
|
35
|
-
3. 优先使用 Checkov 的内置检查覆盖通用云配置风险,再决定是否补充自定义属性策略或 graph 策略。
|
|
36
|
-
4. 如果团队已经有自己的策略语言和例外治理模型,把 Checkov 放在“预检”层,不要让它承载所有组织规则。
|
|
37
|
-
5. 输出格式按用途选型:
|
|
38
|
-
- 人工 review 优先 CLI 或 Markdown
|
|
39
|
-
- CI 归档和自动化处理优先 JSON
|
|
40
|
-
- GitHub code scanning 优先 SARIF
|
|
41
|
-
- 需要测试系统消费时可用 JUnit XML
|
|
42
|
-
6. 结果必须回写到 `/team-review` 或 `/team-release`,不要只停在流水线日志里。
|
|
43
|
-
|
|
44
|
-
## 与其他门禁的边界
|
|
45
|
-
|
|
46
|
-
- `trivy-security-gates` 负责镜像、文件系统、secret 和 IaC 相关的漏洞或 misconfiguration 扫描结果,偏“制品与运行前资产安全”。
|
|
47
|
-
- `conftest-policy-gates` 负责用 Rego 表达团队自己的配置策略,偏“组织规则与 policy-as-code 预检”。
|
|
48
|
-
- `dependency-review-gates` 负责依赖清单、lockfile、许可证变化和已知依赖风险,偏“依赖变更审查”。
|
|
49
|
-
- `checkov-iac-gates` 负责 IaC / 模板层的安全与合规检查,偏“云配置基线与结构性误配置”。
|
|
50
|
-
|
|
51
|
-
简单说,Checkov 不是依赖审查器,也不是镜像漏洞扫描器;如果团队要表达的是“这类配置应该怎么写”,优先考虑 Conftest。如果团队要回答的是“这次依赖改动带来了什么”,优先考虑 Dependency Review。如果团队要回答的是“镜像、文件系统或 secret 有没有问题”,优先考虑 Trivy。
|
|
52
|
-
|
|
53
|
-
## 最小门禁模型
|
|
54
|
-
|
|
55
|
-
- `target layer`:Terraform、Kubernetes、Helm、CloudFormation、ARM、Bicep、OpenTofu 或其他 IaC 输入
|
|
56
|
-
- `scan layer`:Checkov 内置检查、属性策略、图策略和输出格式化
|
|
57
|
-
- `triage layer`:误报确认、例外说明、存量问题与本次变更区分
|
|
58
|
-
- `decision layer`:`qa-engineer`、`devops-engineer`、`tech-lead` 决定是否阻塞合并或发布
|
|
59
|
-
|
|
60
|
-
先把“扫描出什么”与“这次是否要拦”拆开,团队更容易持续使用。
|
|
61
|
-
|
|
62
|
-
## 重点检查项
|
|
63
|
-
|
|
64
|
-
- 是否存在公开暴露、过宽入站规则或默认不安全的网络入口
|
|
65
|
-
- 是否存在过度授权的 IAM、角色、服务账户或访问策略
|
|
66
|
-
- 是否存在未加密、弱默认值或资源级保护缺失
|
|
67
|
-
- 是否存在高风险的容器、工作负载或模板配置,例如特权运行、危险挂载或不安全的安全上下文
|
|
68
|
-
- 是否存在基础设施之间的危险关系,例如不应直接连通的资源路径
|
|
69
|
-
- 是否把高风险 IaC 改动写成“看起来只是格式调整”的提交,导致 review 失焦
|
|
70
|
-
|
|
71
|
-
## 反模式
|
|
72
|
-
|
|
73
|
-
- 把 Checkov 当成通用漏洞扫描器,顺手替代 Trivy、Dependency Review 或人工 review。
|
|
74
|
-
- 一开始就全量启用所有框架和所有规则,结果误报过多,团队很快弃用。
|
|
75
|
-
- 只有失败结果,没有基线、例外和责任人,最后没人知道该改哪条配置。
|
|
76
|
-
- 把自定义规则全堆进一个工具里,既不区分组织策略,也不区分 IaC 基线与发布门禁。
|
|
77
|
-
- 只看扫描通过与否,不看输出类型是否方便回落到 PR、review 或 release 记录。
|
|
78
|
-
|
|
79
|
-
## 输出回落
|
|
80
|
-
|
|
81
|
-
- PR 阶段:把新增高风险检查、误报判断和建议修复写入 review 摘要。
|
|
82
|
-
- 评审阶段:在 `/team-review` 中说明哪些问题来自 Checkov,哪些已经人工接受或需要阻塞。
|
|
83
|
-
- 发布阶段:若关键 IaC 风险未关闭,必须回写到 `/team-release` 的风险、放行结论或后续观察项。
|
|
84
|
-
- 自动化阶段:如果要给 GitHub code scanning、测试报告或机器消费使用,优先分别输出 SARIF、JUnit XML 或 JSON,避免把所有信息挤进单一日志。
|
|
85
|
-
|
|
86
|
-
## 许可证与使用边界
|
|
87
|
-
|
|
88
|
-
- `bridgecrewio/checkov` 仓库与官方容器包标注为 Apache-2.0。
|
|
89
|
-
- 如果要接入 Prisma Cloud 或其他平台能力,应另外确认账号、API、数据流和合规边界。
|
|
90
|
-
- 本手册只建议把 Checkov 用作 IaC 预检与门禁参考,不建议把它扩展成团队唯一的安全真相来源。
|
|
91
|
-
|
|
92
|
-
## 参考来源
|
|
93
|
-
|
|
94
|
-
- [bridgecrewio/checkov](https://github.com/bridgecrewio/checkov)
|
|
95
|
-
- [Checkov 官方站点](https://www.checkov.io/)
|
|
96
|
-
- [Reviewing Scan Results](https://www.checkov.io/2.Basics/Reviewing%20Scan%20Results.html)
|
|
97
|
-
- [Hard and soft fail](https://www.checkov.io/2.Basics/Hard%20and%20soft%20fail.html)
|
|
98
|
-
- [Suppressing and Skipping Policies](https://www.checkov.io/2.Basics/Suppressing%20and%20Skipping%20Policies.html)
|
|
99
|
-
- [SARIF 输出](https://www.checkov.io/8.Outputs/SARIF.html)
|
|
100
|
-
- [JUnit XML 输出](https://www.checkov.io/8.Outputs/JUnit%20XML.html)
|
|
101
|
-
- [Checkov GitHub Action](https://github.com/bridgecrewio/checkov-action)
|
|
102
|
-
- [trivy-security-gates.md](trivy-security-gates.md)
|
|
103
|
-
- [conftest-policy-gates.md](conftest-policy-gates.md)
|
|
104
|
-
- [dependency-review-gates.md](dependency-review-gates.md)
|
|
@@ -1,72 +0,0 @@
|
|
|
1
|
-
---
|
|
2
|
-
version: "0.1.0"
|
|
3
|
-
status: draft
|
|
4
|
-
created: 2026-03-28
|
|
5
|
-
updated: 2026-03-28
|
|
6
|
-
owner: 工程团队
|
|
7
|
-
---
|
|
8
|
-
|
|
9
|
-
# Claude 代码评审工作流
|
|
10
|
-
|
|
11
|
-
本文聚焦 Claude 中的 `/code-review` 使用方式,目标不是解释命令存在本身,而是说明何时触发、如何输入、如何把结论回落到主链。
|
|
12
|
-
|
|
13
|
-
## 1. 何时触发 `/code-review`
|
|
14
|
-
|
|
15
|
-
- 代码已经初步完成,准备联调前
|
|
16
|
-
- 涉及接口、权限、数据库或前端质量门禁
|
|
17
|
-
- 有明显回归风险,希望在 QA 前先暴露问题
|
|
18
|
-
|
|
19
|
-
## 2. 推荐输入方式
|
|
20
|
-
|
|
21
|
-
好的输入应该包含:
|
|
22
|
-
|
|
23
|
-
- 本次改动的目标
|
|
24
|
-
- 涉及的关键风险点
|
|
25
|
-
- 希望重点关注的方面
|
|
26
|
-
|
|
27
|
-
示例:
|
|
28
|
-
|
|
29
|
-
```text
|
|
30
|
-
/code-review
|
|
31
|
-
目标:评审订单导出接口与前端触发改动
|
|
32
|
-
重点关注:权限校验、错误处理、前端空态和导出失败路径
|
|
33
|
-
```
|
|
34
|
-
|
|
35
|
-
## 3. 如何理解输出
|
|
36
|
-
|
|
37
|
-
优先按严重度看:
|
|
38
|
-
|
|
39
|
-
- Critical:必须先修
|
|
40
|
-
- High:通常不应带着进入 QA
|
|
41
|
-
- Medium:能修就修,至少要记录
|
|
42
|
-
- Low:作为优化建议
|
|
43
|
-
|
|
44
|
-
## 4. 如何回到主链
|
|
45
|
-
|
|
46
|
-
`/code-review` 的结果不要停留在本地结论,建议立刻补一句:
|
|
47
|
-
|
|
48
|
-
```text
|
|
49
|
-
请把上面的评审结论整理为可直接进入 /handoff 的格式。
|
|
50
|
-
```
|
|
51
|
-
|
|
52
|
-
这样可以直接把结论并入下一步交接。
|
|
53
|
-
|
|
54
|
-
## 5. 前端与后端的差异
|
|
55
|
-
|
|
56
|
-
- 前端更关注:响应式、A11y、状态切换、视觉回归
|
|
57
|
-
- 后端更关注:兼容性、幂等性、错误码、数据库与权限边界
|
|
58
|
-
|
|
59
|
-
## 6. 与 `/team-review` 的区别
|
|
60
|
-
|
|
61
|
-
- `/code-review` 更偏工程实现质量
|
|
62
|
-
- `/team-review` 更偏测试和放行结论
|
|
63
|
-
|
|
64
|
-
不要把 `/code-review` 当作 QA 的替代。
|
|
65
|
-
|
|
66
|
-
## 7. 常见错误
|
|
67
|
-
|
|
68
|
-
- 还没明确目标就跑 `/code-review`
|
|
69
|
-
- 评审结论没有回落到 handoff
|
|
70
|
-
- 只看建议,不处理严重问题
|
|
71
|
-
|
|
72
|
-
如果要看完整循环,继续看 [code-review-collaboration-walkthrough.md](code-review-collaboration-walkthrough.md)。
|
|
@@ -1,132 +0,0 @@
|
|
|
1
|
-
---
|
|
2
|
-
version: "0.1.0"
|
|
3
|
-
status: draft
|
|
4
|
-
created: 2026-03-28
|
|
5
|
-
updated: 2026-03-28
|
|
6
|
-
owner: 工程团队
|
|
7
|
-
---
|
|
8
|
-
|
|
9
|
-
# Claude 对话提示模板
|
|
10
|
-
|
|
11
|
-
本文给出更贴近 Claude 日常对话的起手模板。它们和 [team-commands-quick-prompts.md](team-commands-quick-prompts.md) 的区别是:这里不是只给命令骨架,而是给一段可以直接发给模型的完整说法。
|
|
12
|
-
|
|
13
|
-
如果你想先知道当前有哪些公开命令、ECC skills 和推荐组合,先看 [command-and-capability-matrix.md](command-and-capability-matrix.md)。如果你想先搞清后台机制,再看 [runtime-capabilities-overview.md](runtime-capabilities-overview.md)。
|
|
14
|
-
|
|
15
|
-
## 1. 第一次把任务拉进主链
|
|
16
|
-
|
|
17
|
-
```text
|
|
18
|
-
请按 Team Skills Platform 工作模型处理当前任务。
|
|
19
|
-
先以 tech-lead 视角执行 /team-intake,输出目标、范围外事项、参与角色、主要风险和下一步建议。
|
|
20
|
-
|
|
21
|
-
任务背景:
|
|
22
|
-
- 目标:新增订单审批状态查询接口
|
|
23
|
-
- 范围:接口、权限校验、测试计划
|
|
24
|
-
- 不做:前端页面和发布脚本重构
|
|
25
|
-
- 约束:需要判断 私有流程与权限集成 是否启用
|
|
26
|
-
```
|
|
27
|
-
|
|
28
|
-
适用场景:还没进入具体实现,需要先把边界锁住。
|
|
29
|
-
|
|
30
|
-
## 2. 已有 intake,要求继续拆计划
|
|
31
|
-
|
|
32
|
-
```text
|
|
33
|
-
基于当前 intake 结果继续执行 /team-plan。
|
|
34
|
-
请拆出角色职责、依赖、handoff 节点、风险和技能装配清单。
|
|
35
|
-
如果 custom overlay 不启用,也请明确写出未启用原因。
|
|
36
|
-
```
|
|
37
|
-
|
|
38
|
-
适用场景:你不想自己拼 plan 的字段,只想让输出直接变成可执行计划。
|
|
39
|
-
|
|
40
|
-
## 3. 要求 Claude 先做专项分析,再回到主链
|
|
41
|
-
|
|
42
|
-
```text
|
|
43
|
-
基于当前任务先调用 /code-review 做专项风险分析。
|
|
44
|
-
分析完成后,不要停在专项结论,请把结果整理成可直接进入 /handoff 的格式,包含:风险、建议动作、验证要求和下一角色关注点。
|
|
45
|
-
```
|
|
46
|
-
|
|
47
|
-
适用场景:中途插入 specialist,但不希望结果散掉。
|
|
48
|
-
|
|
49
|
-
## 4. 走短链路的小任务
|
|
50
|
-
|
|
51
|
-
```text
|
|
52
|
-
这是一个边界清晰的小修复。
|
|
53
|
-
请先判断是否可以走短链路;如果可以,按 /code-review -> /handoff -> /team-review 的顺序给出建议。
|
|
54
|
-
如果不适合短链路,请说明必须补 /team-plan 的原因。
|
|
55
|
-
```
|
|
56
|
-
|
|
57
|
-
适用场景:你怀疑任务不需要完整长链,但不想自己拍板。
|
|
58
|
-
|
|
59
|
-
## 5. 前端任务的常用起手式
|
|
60
|
-
|
|
61
|
-
```text
|
|
62
|
-
请按 Team Skills Platform 处理这个前端问题。
|
|
63
|
-
先执行 /team-intake,并明确输出是否命中 frontend-quality-gates、响应式验证和 ui-review-checklist。
|
|
64
|
-
|
|
65
|
-
任务:修复订阅页在 iPad 横屏下的布局溢出。
|
|
66
|
-
范围:页面布局、响应式回归、UI 自测证据。
|
|
67
|
-
不做:接口改造。
|
|
68
|
-
```
|
|
69
|
-
|
|
70
|
-
适用场景:你希望模型主动把前端门禁带进来,而不是只盯着代码。
|
|
71
|
-
|
|
72
|
-
## 6. 后端加 company 判断的起手式
|
|
73
|
-
|
|
74
|
-
```text
|
|
75
|
-
请先以 /team-intake 方式处理当前后端任务,并重点判断是否命中 custom overlay 候选项。
|
|
76
|
-
如果涉及流程审批、权限中心或公司专属平台,请给出候选项;如果不启用,也要说明原因。
|
|
77
|
-
|
|
78
|
-
任务:新增订单审批流转接口与权限校验。
|
|
79
|
-
范围:接口、权限、测试计划。
|
|
80
|
-
不做:前端页面。
|
|
81
|
-
```
|
|
82
|
-
|
|
83
|
-
适用场景:后端任务容易提前把 custom overlay 混成默认启用,这段模板可以把判断动作显式化。
|
|
84
|
-
|
|
85
|
-
## 7. 发布前让 Claude 帮你收口
|
|
86
|
-
|
|
87
|
-
```text
|
|
88
|
-
基于当前实现、自测和 QA 结论,执行 /team-release。
|
|
89
|
-
请输出发布方案、观察窗口、回滚条件、责任链,并补充是否需要 GitLab 手动流水线或 Langfuse 追踪。
|
|
90
|
-
如果这些能力只是 runbook 补充,而不是正式 custom overlay,也请写清楚。
|
|
91
|
-
```
|
|
92
|
-
|
|
93
|
-
适用场景:发布阶段最容易把企业扩展写丢,这段模板可以把判断和回写一起带出来。
|
|
94
|
-
|
|
95
|
-
## 8. 先走测试先行的说法
|
|
96
|
-
|
|
97
|
-
```text
|
|
98
|
-
基于当前 /team-plan 结果,不要直接进入实现。
|
|
99
|
-
先执行 /tdd,输出 red-green-refactor 路径、优先测试点、边界行为和实现顺序。
|
|
100
|
-
最后把结果整理成可直接进入 /team-execute 的动作清单。
|
|
101
|
-
```
|
|
102
|
-
|
|
103
|
-
适用场景:需求已经拆完,但你希望先把测试与成功标准锁住,减少返工。
|
|
104
|
-
|
|
105
|
-
## 9. 对平台本身做体检的说法
|
|
106
|
-
|
|
107
|
-
```text
|
|
108
|
-
当前仓库刚新增了一批命令、skills、hooks 和文档入口。
|
|
109
|
-
请先执行 /harness-audit,重点审视命令覆盖、skills 完整度、hooks 有效性、文档同步和集成深度。
|
|
110
|
-
输出时请区分:必须立即补齐的问题、可排到下一轮的问题、建议先改哪些 runbook / example / README。
|
|
111
|
-
```
|
|
112
|
-
|
|
113
|
-
适用场景:你不是在做单个业务需求,而是在收敛平台本身。
|
|
114
|
-
|
|
115
|
-
## 10. 让 Claude 强制给出结构化结果
|
|
116
|
-
|
|
117
|
-
```text
|
|
118
|
-
请不要只给结论摘要。
|
|
119
|
-
输出必须包含:已确认事项、未确认事项、风险、下一步命令建议。
|
|
120
|
-
如果涉及 specialist 结果,请再补一段“如何回收到 /handoff 或 /team-*”。
|
|
121
|
-
```
|
|
122
|
-
|
|
123
|
-
适用场景:模型回答开始发散,或者只给了松散建议时。
|
|
124
|
-
|
|
125
|
-
## 11. 常见错误
|
|
126
|
-
|
|
127
|
-
- 把自然语言提示写得太短,导致目标、范围和约束缺失
|
|
128
|
-
- 要求 specialist 分析,却没有追加“回到主链”的要求
|
|
129
|
-
- 已经需要 `/tdd` 或 `/harness-audit`,却还停留在泛化问法,导致输出无法直接落成动作
|
|
130
|
-
- overlay、runbook、toolkit 明明只是在当前任务按场景使用,却被写成默认长期启用
|
|
131
|
-
|
|
132
|
-
如果你要看纯命令骨架,回到 [team-commands-quick-prompts.md](team-commands-quick-prompts.md);如果你要看最短上手路径,继续看 [first-team-command-60-seconds.md](first-team-command-60-seconds.md);如果你要看 specialist 的适用边界,继续看 [specialist-commands-playbook.md](specialist-commands-playbook.md)。
|
|
@@ -1,198 +0,0 @@
|
|
|
1
|
-
---
|
|
2
|
-
version: "0.1.0"
|
|
3
|
-
status: draft
|
|
4
|
-
created: 2026-03-28
|
|
5
|
-
updated: 2026-03-28
|
|
6
|
-
owner: 工程团队
|
|
7
|
-
---
|
|
8
|
-
|
|
9
|
-
# Claude 完整对话样例
|
|
10
|
-
|
|
11
|
-
本文给出一份偏 Claude 使用方式的成品对话样例。重点不是模拟真实模型逐字输出,而是演示用户通常该怎么说,平台输出至少应长什么样,以及怎样把结果继续推进到下一步。
|
|
12
|
-
|
|
13
|
-
## 1. 场景
|
|
14
|
-
|
|
15
|
-
- 任务:新增订单审批状态查询接口
|
|
16
|
-
- 范围:接口、权限校验、测试计划
|
|
17
|
-
- 不做:前端页面
|
|
18
|
-
- 约束:判断 私有流程与权限集成 是否启用
|
|
19
|
-
|
|
20
|
-
## 2. 第一步:用户发起 intake
|
|
21
|
-
|
|
22
|
-
用户可直接这样说:
|
|
23
|
-
|
|
24
|
-
```text
|
|
25
|
-
请按 Team Skills Platform 工作模型处理当前任务。
|
|
26
|
-
先以 tech-lead 视角执行 /team-intake,输出目标、范围外事项、参与角色、主要风险和下一步建议。
|
|
27
|
-
|
|
28
|
-
任务背景:
|
|
29
|
-
- 目标:新增订单审批状态查询接口
|
|
30
|
-
- 范围:接口、权限校验、测试计划
|
|
31
|
-
- 不做:前端页面
|
|
32
|
-
- 约束:判断 私有流程与权限集成 是否启用
|
|
33
|
-
```
|
|
34
|
-
|
|
35
|
-
期望得到的结果应至少像这样:
|
|
36
|
-
|
|
37
|
-
```text
|
|
38
|
-
目标
|
|
39
|
-
- 新增订单审批状态查询接口,支持权限校验和测试计划落地
|
|
40
|
-
|
|
41
|
-
范围外事项
|
|
42
|
-
- 不包含前端页面和发布脚本改造
|
|
43
|
-
|
|
44
|
-
参与角色
|
|
45
|
-
- tech-lead
|
|
46
|
-
- architect
|
|
47
|
-
- backend-engineer
|
|
48
|
-
- qa-engineer
|
|
49
|
-
|
|
50
|
-
主要风险
|
|
51
|
-
- 审批状态字段口径是否与历史接口一致
|
|
52
|
-
- 权限过滤口径是否需要接入 私有权限中心
|
|
53
|
-
|
|
54
|
-
领域技能包启用建议
|
|
55
|
-
- 私有流程引擎:候选,原因是任务涉及审批状态语义
|
|
56
|
-
- 私有权限中心:候选,原因是任务涉及权限过滤
|
|
57
|
-
|
|
58
|
-
下一步建议
|
|
59
|
-
- 进入 /team-plan,由 architect 和 backend-engineer 明确接口契约与技能装配清单
|
|
60
|
-
```
|
|
61
|
-
|
|
62
|
-
## 3. 第二步:用户继续要 plan
|
|
63
|
-
|
|
64
|
-
用户可以直接跟一句:
|
|
65
|
-
|
|
66
|
-
```text
|
|
67
|
-
基于当前 intake 结果继续执行 /team-plan。
|
|
68
|
-
请拆出角色职责、依赖、handoff 节点、风险和技能装配清单。
|
|
69
|
-
如果 custom overlay 不启用,也请明确写出未启用原因。
|
|
70
|
-
```
|
|
71
|
-
|
|
72
|
-
期望结果至少包含:
|
|
73
|
-
|
|
74
|
-
```text
|
|
75
|
-
角色职责
|
|
76
|
-
- architect:确认接口契约、权限边界、兼容性约束
|
|
77
|
-
- backend-engineer:实现接口、权限校验、测试
|
|
78
|
-
- qa-engineer:准备功能、权限和边界测试
|
|
79
|
-
|
|
80
|
-
依赖
|
|
81
|
-
- architect 先确认返回字段和权限边界
|
|
82
|
-
- backend-engineer 再实现并补自测
|
|
83
|
-
|
|
84
|
-
技能装配清单
|
|
85
|
-
- shared:启用
|
|
86
|
-
- ecc:按需启用 `/verify` 对应的验证收口能力
|
|
87
|
-
- enterprise:未启用
|
|
88
|
-
- 原因:本次未进入流程运行态或 私有权限中心 正式集成,仅保留候选判断
|
|
89
|
-
|
|
90
|
-
handoff 节点
|
|
91
|
-
- architect -> backend-engineer:接口契约和权限边界
|
|
92
|
-
- backend-engineer -> qa-engineer:实现结果、自测证据、风险说明
|
|
93
|
-
```
|
|
94
|
-
|
|
95
|
-
## 4. 第三步:用户要求专项分析并回主链
|
|
96
|
-
|
|
97
|
-
如果用户想先做一次风险分析,可以这样说:
|
|
98
|
-
|
|
99
|
-
```text
|
|
100
|
-
基于当前任务先调用 /code-review 做专项风险分析。
|
|
101
|
-
分析完成后,不要停在专项结论,请把结果整理成可直接进入 /handoff 的格式。
|
|
102
|
-
```
|
|
103
|
-
|
|
104
|
-
期望结果应像这样收口:
|
|
105
|
-
|
|
106
|
-
```text
|
|
107
|
-
风险
|
|
108
|
-
- 权限过滤口径若与旧接口不一致,可能导致审批记录数量异常
|
|
109
|
-
|
|
110
|
-
建议动作
|
|
111
|
-
- 在 execute 前固定返回字段和权限边界
|
|
112
|
-
- 自测覆盖无权限、非法参数、空结果三类场景
|
|
113
|
-
|
|
114
|
-
下一角色关注点
|
|
115
|
-
- backend-engineer 需要在 handoff 中写清兼容性说明
|
|
116
|
-
- qa-engineer 需要重点验证旧调用方兼容性
|
|
117
|
-
```
|
|
118
|
-
|
|
119
|
-
## 5. 第四步:用户要求 execute
|
|
120
|
-
|
|
121
|
-
```text
|
|
122
|
-
/team-execute
|
|
123
|
-
按当前 plan 执行 backend-engineer 的实现和自测。
|
|
124
|
-
输出代码变更摘要、自测结果、待确认事项,以及需要进入 handoff 的信息。
|
|
125
|
-
```
|
|
126
|
-
|
|
127
|
-
期望结果至少包含:
|
|
128
|
-
|
|
129
|
-
```text
|
|
130
|
-
实现结果
|
|
131
|
-
- 新增订单审批状态查询接口
|
|
132
|
-
- 增加权限校验和异常返回
|
|
133
|
-
|
|
134
|
-
自测结论
|
|
135
|
-
- 正常查询、无权限、非法参数已验证
|
|
136
|
-
|
|
137
|
-
待确认事项
|
|
138
|
-
- 历史客户端是否依赖旧字段顺序
|
|
139
|
-
|
|
140
|
-
领域扩展执行记录
|
|
141
|
-
- enterprise:未启用
|
|
142
|
-
- 原因:未进入 私有流程 / 权限集成 正式集成
|
|
143
|
-
```
|
|
144
|
-
|
|
145
|
-
## 6. 第五步:用户要求 handoff
|
|
146
|
-
|
|
147
|
-
```text
|
|
148
|
-
/handoff
|
|
149
|
-
请把当前阶段结论整理成结构化交接,供 QA 继续处理。
|
|
150
|
-
```
|
|
151
|
-
|
|
152
|
-
期望得到:
|
|
153
|
-
|
|
154
|
-
```text
|
|
155
|
-
已完成
|
|
156
|
-
- 接口实现完成
|
|
157
|
-
- 权限校验与异常处理完成
|
|
158
|
-
|
|
159
|
-
验证结果
|
|
160
|
-
- 已完成后端自测
|
|
161
|
-
|
|
162
|
-
风险
|
|
163
|
-
- 兼容旧客户端字段顺序仍需 QA 确认
|
|
164
|
-
|
|
165
|
-
下一角色动作清单
|
|
166
|
-
- QA 验证权限边界、空结果和旧客户端兼容性
|
|
167
|
-
```
|
|
168
|
-
|
|
169
|
-
## 7. 第六步:用户要求 review
|
|
170
|
-
|
|
171
|
-
```text
|
|
172
|
-
/team-review
|
|
173
|
-
基于当前 handoff 结果,输出测试结论、阻塞项、放行建议和残余风险。
|
|
174
|
-
```
|
|
175
|
-
|
|
176
|
-
期望得到:
|
|
177
|
-
|
|
178
|
-
```text
|
|
179
|
-
评审结论
|
|
180
|
-
- 结论:有条件通过
|
|
181
|
-
|
|
182
|
-
阻塞项
|
|
183
|
-
- 无
|
|
184
|
-
|
|
185
|
-
残余风险
|
|
186
|
-
- 旧客户端字段顺序兼容性需上线前再确认一次
|
|
187
|
-
|
|
188
|
-
放行建议
|
|
189
|
-
- 可进入 /team-release,发布前补一次兼容性 smoke
|
|
190
|
-
```
|
|
191
|
-
|
|
192
|
-
## 8. 这份样例说明了什么
|
|
193
|
-
|
|
194
|
-
- Claude 的最佳使用方式,不是只发一个命令,而是附上目标、范围、不做和约束
|
|
195
|
-
- specialist 可以插入,但必须要求“整理成可进入 /handoff 的格式”
|
|
196
|
-
- overlay 候选项可以在 intake 提到,但不必强行在 plan 中启用
|
|
197
|
-
|
|
198
|
-
如果你想要更短的复制模板,继续看 [claude-conversation-prompt-recipes.md](claude-conversation-prompt-recipes.md);如果你想看完整主链说明,继续看 [first-team-workflow-walkthrough.md](first-team-workflow-walkthrough.md)。
|
|
@@ -1,112 +0,0 @@
|
|
|
1
|
-
---
|
|
2
|
-
version: "0.1.0"
|
|
3
|
-
status: draft
|
|
4
|
-
created: 2026-03-28
|
|
5
|
-
updated: 2026-03-28
|
|
6
|
-
owner: 工程团队
|
|
7
|
-
---
|
|
8
|
-
|
|
9
|
-
# Claude 新功能开发指南
|
|
10
|
-
|
|
11
|
-
本文说明在 Claude 中如何用 Team Skills Platform 跑一条完整的新功能开发链路,适合日常功能开发而不是仅做快速试验。
|
|
12
|
-
|
|
13
|
-
如果你想先看新增命令与能力映射,先看 [command-and-capability-matrix.md](command-and-capability-matrix.md)。如果你想先理解后台机制怎样影响长会话,再看 [runtime-capabilities-overview.md](runtime-capabilities-overview.md)。
|
|
14
|
-
|
|
15
|
-
## 1. 适用场景
|
|
16
|
-
|
|
17
|
-
- 需要明确范围、依赖和角色分工的新功能
|
|
18
|
-
- 需要前后端协作或至少涉及 QA 验证
|
|
19
|
-
- 希望把 specialist 作为辅助,而不是主链替代品
|
|
20
|
-
|
|
21
|
-
## 2. 推荐链路
|
|
22
|
-
|
|
23
|
-
1. `/team-intake`
|
|
24
|
-
2. `/team-plan`
|
|
25
|
-
3. `/team-execute`
|
|
26
|
-
4. `/handoff`
|
|
27
|
-
5. `/team-review`
|
|
28
|
-
6. `/team-release`
|
|
29
|
-
|
|
30
|
-
如果任务很小,可把 `/team-release` 留到需要真正发布时再进入。
|
|
31
|
-
|
|
32
|
-
## 3. 第一步:锁定目标和约束
|
|
33
|
-
|
|
34
|
-
典型输入:
|
|
35
|
-
|
|
36
|
-
```text
|
|
37
|
-
/team-intake
|
|
38
|
-
目标:新增订单导出功能
|
|
39
|
-
范围:导出接口、前端触发按钮、测试计划
|
|
40
|
-
不做:导出模板重构、历史数据修复
|
|
41
|
-
约束:需要评估是否涉及权限中心
|
|
42
|
-
```
|
|
43
|
-
|
|
44
|
-
Claude 里这一段最关键的不是“需求描述多完整”,而是把 `范围`、`不做` 和 `约束` 写清楚。
|
|
45
|
-
|
|
46
|
-
## 4. 第二步:拆解角色与交付物
|
|
47
|
-
|
|
48
|
-
进入 `/team-plan` 时,建议显式要求输出:
|
|
49
|
-
|
|
50
|
-
- 任务拆解
|
|
51
|
-
- 依赖关系
|
|
52
|
-
- handoff 最小交付物
|
|
53
|
-
- custom overlay 是否启用
|
|
54
|
-
|
|
55
|
-
如果 plan 没写交付物,后续 Claude 很容易在长对话中丢信息。
|
|
56
|
-
|
|
57
|
-
## 5. 第三步:执行与 specialist 配合
|
|
58
|
-
|
|
59
|
-
Claude 中使用 specialist 的原则:
|
|
60
|
-
|
|
61
|
-
- 先跑主链,再插入 specialist
|
|
62
|
-
- specialist 只负责专项结论
|
|
63
|
-
- specialist 结果必须回到 `/handoff` 或 `/team-*`
|
|
64
|
-
|
|
65
|
-
常见组合:
|
|
66
|
-
|
|
67
|
-
- 方案复杂:`/plan`
|
|
68
|
-
- 想先锁测试:`/tdd`
|
|
69
|
-
- 代码改完:`/code-review`
|
|
70
|
-
- 构建失败:`/build-fix`
|
|
71
|
-
- 最终验证:`/verify`
|
|
72
|
-
|
|
73
|
-
推荐顺序通常是:
|
|
74
|
-
|
|
75
|
-
1. `/team-intake`
|
|
76
|
-
2. `/team-plan`
|
|
77
|
-
3. 如果需求边界已清楚且返工成本高,补 `/tdd`
|
|
78
|
-
4. `/team-execute`
|
|
79
|
-
5. `/handoff`
|
|
80
|
-
6. `/team-review`
|
|
81
|
-
|
|
82
|
-
## 6. 第四步:交接与 QA
|
|
83
|
-
|
|
84
|
-
进入 `/handoff` 时,至少要覆盖:
|
|
85
|
-
|
|
86
|
-
- 改了什么
|
|
87
|
-
- 自测了什么
|
|
88
|
-
- 剩余风险是什么
|
|
89
|
-
- QA 接手时最该关注什么
|
|
90
|
-
|
|
91
|
-
如果功能涉及 custom overlay,还要把 `技能装配清单` 或 `领域扩展执行记录` 合并进去。
|
|
92
|
-
|
|
93
|
-
## 7. 第五步:收口与发布
|
|
94
|
-
|
|
95
|
-
`/team-review` 应该输出:
|
|
96
|
-
|
|
97
|
-
- 测试范围
|
|
98
|
-
- 测试结论
|
|
99
|
-
- 阻塞项
|
|
100
|
-
- 是否建议放行
|
|
101
|
-
|
|
102
|
-
是否进入 `/team-release`,由任务是否真正触及发布窗口决定。
|
|
103
|
-
|
|
104
|
-
## 8. 常见错误
|
|
105
|
-
|
|
106
|
-
- 直接从实现开始,跳过 intake 和 plan
|
|
107
|
-
- 该先用 `/tdd` 锁测试与成功标准,却直接进入实现
|
|
108
|
-
- 把 specialist 当最终决策者
|
|
109
|
-
- handoff 只有一句“已完成开发”
|
|
110
|
-
- custom overlay 被用到了,但没有记录启用原因和执行结果
|
|
111
|
-
|
|
112
|
-
需要完整实例时,继续看 [first-team-workflow-walkthrough.md](first-team-workflow-walkthrough.md)。如果你想看 specialist 的边界,继续看 [specialist-commands-playbook.md](specialist-commands-playbook.md)。
|