npm - @comate/zulu - Versions diffs - 1.2.1-beta.1 → 1.3.0 - Mend

@comate/zulu 1.2.1-beta.1 → 1.3.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (169) hide show

package/comate-engine/assets/skills/cnap-comate/references/login.md ADDED Viewed

@@ -0,0 +1,125 @@
+# CNAP CLI 登录认证
+## 登录命令概览
+| 命令 | 用途 | 推荐场景 |
+|------|------|----------|
+| `cnap login status` | 查看当前登录状态 | 登录前后检查 |
+| `cnap login ugate` | UGate Token 登录 | AI Agent、自动化脚本 |
+| `cnap login qrcode` | 扫码登录 | 人工操作 |
+| `cnap login totp` | TOTP 登录 | 自动化脚本 |
+| `cnap logout` | 退出登录 | 清理登录凭证 |
+## 登录方式详解
+### 1. UGate Token 登录（推荐 Agent）
+适用于 AI Agent 和自动化脚本场景，无需人工交互。
+```bash
+# 交互式：提示输入 Token
+cnap login ugate
+# 非交互式：直接传入 Token
+cnap login ugate --token <ugate-token>
+```
+**获取 Token**：访问 https://uuap.baidu.com/agent/token
+**参数说明**：
+| 参数 | 简写 | 必填 | 说明 |
+|------|------|------|------|
+| `--token` | `-t` | 否 | UGate Token，直接传入则非交互式 |
+| `--username` | `-u` | 否 | 期望的用户名，用于校验 Token 是否属于该用户 |
+**username 校验示例**：
+```bash
+# 指定期望用户名，Token 必须属于该用户，否则报错
+cnap login ugate --username dongshuzhao --token <token>
+# 输出示例：
+# UGate logged in successfully as: dongshuzhao
+```
+### 2. 扫码登录
+适用于人工操作，需要使用如流手机 App 扫描二维码确认登录。
+```bash
+# 交互式扫码登录
+cnap login qrcode
+```
+扫码后在如流手机 App 中确认授权。
+### 3. TOTP 登录
+适用于自动化脚本，需要先申请 TOTP Secret。
+```bash
+# 使用 TOTP Secret 登录
+cnap login totp --secret <your-secret>
+```
+**参数说明**：
+| 参数 | 简写 | 必填 | 说明 |
+|------|------|------|------|
+| `--secret` | `-s` | 是 | TOTP Secret |
+### 4. 查看登录状态
+```bash
+cnap login status
+```
+输出示例：
+```
+Logged in as: dongshuzhao
+Login method: ugate
+Token expires: 2026-04-03 12:00:00
+```
+### 5. 退出登录
+```bash
+cnap logout
+```
+退出后清除本地保存的登录凭证。
+## 常见问题
+### Token 过期
+Token 有有效期限制，过期后需要重新登录：
+```bash
+cnap login ugate --token <new-token>
+```
+### 权限不足
+如果遇到权限报错，联系账号管理员获取相应权限。
+### 登录状态异常
+如果遇到登录状态异常，可以尝试：
+```bash
+# 退出登录后重新登录
+cnap logout
+cnap login ugate --token <token>
+```
+## 登录凭证存储
+登录成功后，凭证会保存在配置文件中：
+- **UGate**：保存用户名到 `~/.cnap/config.yaml` 的 `auth.ugate.username`
+- Token 信息由 oneauth 库管理
+切换登录方式时，凭证会自动保存。

package/comate-engine/assets/skills/cnap-comate/references/oncall.md ADDED Viewed

@@ -0,0 +1,24 @@
+# 相关平台产品介绍及值班表
+## 相关值班表
+- CNAP（本产品，一站式云原生应用平台）：CNAP云原生一站式用户问题值班表[https://zhiban.baidu-int.com/detail?id=68523]
+- EKS（云上百度K8s集群资源，对应集群Type=EKS）：弹性容器服务EKS[https://zhiban.baidu-int.com/detail?id=65239]
+- iRegistry（镜像仓库）：iRepo/iRegistry/Magellan/EMC/依赖仓库 值班表[https://zhiban.baidu-int.com/detail?id=64974]
+- iPipe（流水线）：agile[https://zhiban.baidu-int.com/detail?id=66735]
+- BCloud（编译构建集群）：编译工具团队[https://zhiban.baidu-int.com/detail?id=65680]
+- iCode（代码库）：iCode值班[https://zhiban.baidu-int.com/detail?id=64808]
+## 用户群
+用户可以加入CNAP用户群，即时获得支持：
+- CNAP一站式用户群：5602724
+- CNAP一站式用户群(2)：8689677
+## 使用方法
+使用 `zhiban-search` Skill（从你的市场搜索，或者下载并安装此 https://bj.bcebos.com/onetool/skills/zhiban-search/1.0.7/zhiban-search.zip），根据值班表ID（URL参数里的id）或者值班表名称，可获得值班人信息。
+示例（查询CNAP当前值班表）：
+`/zhiban-search search -i 68523`

package/comate-engine/assets/skills/cnap-comate/scripts/install_cnap_cli.sh ADDED Viewed

@@ -0,0 +1,36 @@
+#!/bin/bash
+VERSION=0.7.0
+# 获取当前系统的 GOOS 和 GOARCH
+os=$(uname -s)
+if [ "${os}" == "Linux" ]; then
+    GOOS=linux
+else
+    echo "Unsupported OS: ${os}"
+    exit 1
+fi
+arch=$(uname -m)
+if [ "${arch}" == "x86_64" || "${arch}" == "amd64" ]; then
+    GOARCH=amd64
+elif [ "${arch}" == "aarch64" || "${arch}" == "aarch64" ]; then
+    GOARCH=arm64
+else
+    echo "Unsupported architecture: ${arch}"
+    exit 1
+fi
+# 设置 Go 二进制文件名
+TAR_FILE="cnap-cli-${VERSION}-${GOOS}-${GOARCH}.tar.gz"
+CNAP_DIR="${HOME}/.cnap/bin"
+TAR_DIR="${CNAP_DIR}/cnap.tar.gz"
+BINARY_DIR="${CNAP_DIR}/cnap"
+# 创建目录
+mkdir -p ${CNAP_DIR}
+rm -f ${TAR_DIR}
+rm -f ${BINARY_DIR}
+# 下载对应的 Go 二进制文件
+curl -s -S http://bj.bcebos.com/appspace/cnap-cli/release/${TAR_FILE} -o ${TAR_DIR} || wget http://bj.bcebos.com/appspace/cnap-cli/release/${TAR_FILE} -O ${TAR_DIR} -q
+tar xzvf ${TAR_DIR} -C ${CNAP_DIR}
+chmod a+x ${BINARY_DIR}

package/comate-engine/assets/skills/code-security/SKILL.md ADDED Viewed

@@ -0,0 +1,176 @@
+---
+name: code-security
+description: 代码安全漏洞扫描与修复工具。当用户需要以下操作时使用本 skill：(1) 扫描项目代码中的安全漏洞（SQL注入、XSS、XXE、路径遍历、硬编码凭证等）；(2) 自动修复扫描发现的漏洞；(3) 查看漏洞扫描报告；(4) 对 Java、Go、Python、JavaScript、C/C++ 等语言的项目进行安全检测；(5) 硬编码凭证的修复和托管。触发关键词：代码安全、漏洞扫描、安全扫描、漏洞修复、代码审计、SAST、硬编码、凭证托管。
+metadata:
+  enableWhen:
+    - isInternal
+---
+# Code Security - 代码安全漏洞扫描与修复
+## 概述
+本 skill 将用户项目代码上传至安全扫描服务端进行扫描，返回 SARIF 格式漏洞报告，并支持自动修复。支持两类漏洞修复：普通漏洞修复和硬编码凭证修复与托管。
+所有中间结果文件（`scan_result.json`、`parsed_result.json`、`repair_result.json`）默认保存在 skill 安装目录下的 `.tmp/<项目名>_<哈希>/` 目录中，按项目隔离、不会污染用户项目。脚本标准输出会打印文件绝对路径，使用该路径读取即可。
+## 工作流
+### 漏洞扫描
+执行扫描：
+```bash
+python3 scripts/scan_vulnerability.py --root-path <项目目录> --username ${COMATE_USERNAME} --chat-id ${COMATE_SESSION_ID}
+```
+`<项目目录>` 是指用户项目的根目录（即待扫描代码所在目录），而非 skill 安装目录。`--chat-id` 用于关联扫描任务与当前对话。
+扫描流程：
+1. 获取扫描配置（支持的文件类型、超时时间等）
+2. 遍历项目目录，收集文件哈希
+3. 创建 bundle 并上传缺失文件
+4. 发起扫描并轮询结果
+5. 结果保存到 skill 临时目录下的 `scan_result.json`，标准输出打印结果文件绝对路径
+扫描完成后的执行步骤：
+1. 脚本将 SARIF 格式漏洞报告保存到 `scan_result.json` 文件中，标准输出仅打印文件路径
+2. **必须立即执行数据上报**（参数说明见「数据上报」章节）：
+```bash
+python3 scripts/report_chat.py --username ${COMATE_USERNAME} --chat-id ${COMATE_SESSION_ID} --scan-result <scan_result.json路径> --root-path <项目目录> --status 0 --ide ${COMATE_IDE_NAME} --query <用户输入>
+```
+如果扫描失败，改为 `--status 1 --err-message <失败原因>`，`--scan-result` 可省略。
+3. 执行解析脚本解析和展示扫描结果（见「漏洞解析与展示」章节）
+4. 如果存在漏洞，扫描完成后进入漏洞分类和修复逻辑
+### 漏洞解析与展示
+扫描完成后，执行解析脚本对结果进行分类和格式化展示：
+```bash
+python3 scripts/parse_scan_result.py --scan-result <scan_result.json路径>
+```
+脚本功能：
+1. 解析 SARIF 格式扫描结果，自动按 ruleID 是否包含 `sensitive` 分类为普通漏洞和硬编码漏洞
+2. 标准输出打印 Markdown 格式漏洞报告，包含漏洞名称、描述、位置链接、等级、数据流、修复建议
+3. 在输出目录生成 `parsed_result.json`（路径打印到 stderr），包含结构化漏洞数据供后续修复使用
+**展示要求（严格遵守）**：脚本标准输出的内容是已经格式化好的 Markdown 漏洞报告，**必须将标准输出内容原样展示给用户，禁止总结、改写、精简或重新组织**。不要用自己的话概述漏洞信息，直接复制粘贴脚本的标准输出即可。
+然后根据 `parsed_result.json` 中的 `common_count` 进入修复流程：
+- 如果存在普通漏洞（`common_count > 0`），直接进入普通漏洞修复流程
+- 如果没有普通漏洞，仅展示扫描报告，不进行修复
+<!-- TODO: 后续版本恢复硬编码漏洞修复支持
+- 如果同时存在两种漏洞，给出3个选项让用户选择（使用Questions组件）：
+  1. 修复普通漏洞 - 自动修复 SQL 注入、XXE 等常规漏洞
+  2. 修复硬编码漏洞 - 进入凭证托管流程，将硬编码凭证替换为环境变量
+  3. 仅查看漏洞信息，暂不修复
+- 如果只有普通漏洞，直接进入普通修复流程
+- 如果只有硬编码漏洞，直接进入硬编码修复流程
+-->
+### 普通漏洞修复
+直接传入解析结果文件执行修复：
+```bash
+python3 scripts/repair_vulnerability.py --root-path <项目目录> --username ${COMATE_USERNAME} --parsed-result <parsed_result.json路径>
+```
+脚本自动从 `parsed_result.json` 提取普通漏洞并按文件聚合，然后调用修复接口。
+修复逻辑：
+1. 一定要调用工具脚本进行修复，不要擅自修改其他部分的代码
+2. 结果保存到 skill 临时目录下的 `repair_result.json`，标准输出打印结果文件绝对路径
+3. 执行完成后，使用 Read 工具读取结果文件获取修复结果
+4. 如果返回的修复结果缺失必要的包或第三方组件，帮忙增加导入代码
+5. 每获取一个文件修复结果，就根据 diff_content 修改文件内容（使用 to_content 替换 from_content），并默认采纳
+6. 所有文件修复完成后，自动执行一次复测扫描（流程与「漏洞扫描」章节一致），对比修复前后的漏洞数量，向用户说明修复效果。**复测扫描完成后同样必须立即执行数据上报**（命令和参数同「漏洞扫描」章节中的上报步骤）。展示格式：
+```
+修复完成，正在执行复测扫描验证修复效果...
+**复测结果**：修复前共 N 个普通漏洞，修复后剩余 M 个，本次修复 X 个漏洞。
+```
+如果复测仍存在未修复的漏洞，展示剩余漏洞列表（格式同漏洞报告），并提示用户可以选择继续修复或忽略。
+7. 复测完成后，清理临时文件：`python3 -c "import shutil; shutil.rmtree('<临时目录绝对路径>')"` 删除该项目的临时目录（即 `.tmp/<项目名>_<哈希>/` 整个目录）。如果同时存在硬编码漏洞且用户后续还需修复，则暂不删除，等硬编码流程结束后统一清理。
+8. 进入单元测试阶段（流程见「单元测试」章节）。
+### 硬编码漏洞修复与凭证托管
+完整流程见 [references/credential_hosting.md](references/credential_hosting.md)。
+### 单元测试
+修复和复测完成后，为修改过的文件生成或更新单元测试，验证修复不会破坏原有功能。
+流程：
+1. 收集本次修复涉及的所有文件列表
+2. 检查项目中是否已有对应的测试文件（按项目约定的测试目录和命名规则查找，如 `*Test.java`、`*_test.go`、`test_*.py`、`*.test.js` 等）
+3. 提示用户确认是否需要生成单测：
+```
+修复已完成，是否为修改的文件生成单元测试？
+1. 生成单测 - 为修改的文件生成或更新单元测试
+2. 跳过单测 - 不生成单元测试
+```
+4. 用户选择生成后，针对每个修改的文件：
+   - 如果已有测试文件：阅读现有测试，补充针对修复点的测试用例（不破坏已有用例）
+   - 如果没有测试文件：按项目测试框架和目录结构创建新测试文件
+5. 测试用例重点覆盖：修复前的漏洞场景应被正确防御（如参数化查询替代拼接、环境变量替代硬编码等）
+6. 生成完成后，尝试运行测试（根据项目构建工具选择命令，如 `mvn test`、`go test`、`pytest`、`npm test` 等），如果运行失败则根据报错修正测试代码，直到测试通过
+### 数据上报
+每次扫描完成后（包括首次扫描和复测扫描，无论成功或失败），**必须执行数据上报**。上报失败不影响主流程，仅在 stderr 输出警告。
+```bash
+python3 scripts/report_chat.py --username ${COMATE_USERNAME} --chat-id ${COMATE_SESSION_ID} --scan-result <扫描结果文件路径> --root-path <项目目录> [--status <状态码>] [--err-message <错误信息>] [--git-url <仓库URL>] [--git-branch <分支>] [--ide ${COMATE_IDE_NAME}] [--query <用户输入>]
+```
+参数说明：
+- `--chat-id`：使用 `${COMATE_SESSION_ID}` 作为对话唯一标识
+- `--scan-result`：扫描结果 JSON 文件路径（即 `scan_result.json`），脚本自动从中提取漏洞信息
+- `--root-path`：项目根目录，用于计算漏洞文件的哈希值
+- `--status`：执行状态码，`0` 表示成功，`1` 表示失败（默认 `0`）
+- `--err-message`：失败时的错误信息
+- `--git-url` / `--git-branch`：从项目 git 信息获取
+- `--ide`：使用 `${COMATE_IDE_NAME}`
+- `--query`：用户发起扫描时的输入文本
+上报时机：
+1. 首次扫描完成后（成功 `--status 0`，失败 `--status 1 --err-message <原因>`）
+2. 复测扫描完成后（参数同上）
+## 脚本说明
+脚本必须使用 python3 执行。执行脚本时**不要重定向 stderr**（如 `2>/tmp/xxx.txt`），脚本的 stderr 包含进度信息和输出文件路径，重定向会导致关键信息丢失。直接执行即可：
+```bash
+python3 scripts/xxx.py --参数 值
+```
+| 脚本                              | 功能                                                                                                                                                                                                                       |
+| --------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
+| `scripts/scan_vulnerability.py`   | 漏洞扫描：上传代码、创建 bundle、执行扫描，结果保存到 `scan_result.json`                                                                                                                                                   |
+| `scripts/parse_scan_result.py`    | 扫描结果解析：解析 SARIF 格式结果，标准输出 Markdown 报告，生成 `parsed_result.json` 结构化数据                                                                                                                            |
+| `scripts/repair_vulnerability.py` | 漏洞修复：支持 `--parsed-result` 直接传入解析结果文件（自动提取普通漏洞并聚合），或 `--vulnerability-info` 传入 JSON。结果保存到 `repair_result.json`。硬编码修复为本地直接修复，参考 `references/vul_repair_sensitive.md` |
+| `scripts/credential_poll.py`      | 凭证配置轮询：WebSocket 监听网页配置完成事件，`--output` 保存结果到文件                                                                                                                                                    |
+| `scripts/credential_hosting.py`   | 凭证托管：`--poll-result` 从轮询结果文件自动提取参数，将凭证托管到平台                                                                                                                                                     |
+| `scripts/report_chat.py`          | 对话结果上报：扫描完成后向服务端上报对话信息和漏洞数据                                                                                                                                                                     |

package/comate-engine/assets/skills/code-security/references/credential_hosting.md ADDED Viewed

@@ -0,0 +1,102 @@
+# 硬编码漏洞修复与凭证托管
+硬编码修复有四个步骤：凭证配置 → 代码修复 → 用户确认 → 凭证托管。
+## 步骤一：打开凭证配置网页
+输出可点击的链接让用户打开凭证托管助手网页，网页 URL 格式及输出示例如下：
+```
+请点击以下链接打开凭证托管助手，配置凭证信息：
+[打开凭证托管助手](//command:simpleBrowser.api.open?https%3A%2F%2Fcomate-sec-test.baidu-int.com%2Fapp%2Fcredential%3FchatID%3D${COMATE_SESSION_ID}%26comateUID%3D<COMATE_UID>%26version%3D2.9.1%26repo%3D<REPO>%26ideType%3D${COMATE_IDE_NAME})
+配置完成后请在网页中点击「生成代码」按钮，我会自动检测到配置完成并继续执行修复。
+```
+其中：
+- `COMATE_UID` 为 `${COMATE_USERNAME}` 的 MD5 字符串的前 12 位，使用 `python3 -c "import hashlib; print(hashlib.md5('${COMATE_USERNAME}'.encode()).hexdigest()[:12])"` 计算
+- `REPO` 是代码库标识，可以从项目目录的 git remote 获取（如 `baidu/scan/cnap-test`），如果没有 git 信息则使用项目目录名
+要使用实际构造的字符串来替换上述的 url 参数，url 中的%26不要解码，避免 & 符号影响 markdown 链接。
+## 步骤二：等待凭证配置完成
+打开网页后，立即执行轮询脚本等待用户配置，使用 `--output` 将结果保存到临时目录：
+```bash
+python3 scripts/credential_poll.py --chat-id ${COMATE_SESSION_ID} --username ${COMATE_USERNAME} --output <临时目录>/poll_result.json
+```
+`<临时目录>` 使用与 `scan_result.json` 同一目录（即 `.tmp/<项目名>_<哈希>/`）。
+该脚本通过 WebSocket 连接服务端，等待用户在网页完成配置并点击「生成代码」。收到数据后输出到标准输出并保存到 `--output` 指定的文件。配置数据包含以下关键字段：
+- `data.files`：待修复文件列表（含 vulList 和 extra.secret 信息）
+- `data.credentials`：凭证名值对列表
+- `data.deployment`：托管平台信息（platform、platformName）
+- `data.repo`：代码库语言和框架信息
+- `data.succMsg`：托管成功提示信息
+- `data.errorMsg`：托管失败提示信息
+- `chatUUID`：此次会话 ID
+## 步骤三：修复硬编码代码
+收到凭证配置数据后，在本地直接修复硬编码漏洞，不调用后端修复服务。修复流程参考 `references/vul_repair_sensitive.md` 文档中的详细说明。
+修复输入数据来自 `poll_result.json` 文件（由步骤二保存），其中 `data.files`、`data.repo`、`data.deployment` 包含了修复所需的全部信息。
+修复流程：
+1. 读取 `references/vul_repair_sensitive.md` 中的修复规则
+2. 遍历 `data.files` 中的每个文件，根据文件类型（代码文件/配置文件）、语言（`data.repo.language`）、框架（`data.repo.framework`）和平台（`data.deployment.platform`）确定修复策略
+3. 根据每个漏洞的 `extra.secret.credentialName`、`extra.secret.start`、`extra.secret.end` 定位敏感信息并替换为环境变量读取方式
+4. 如果 `data.deployment.platform` 为 4，还需引入 keyless-sdk（参考 `references/vul_repair_sensitive.md` 的「引入SDK」章节）
+## 步骤四：凭证托管
+代码修复完成后，提示用户确认修复结果，然后提供托管选项：
+```
+代码修复已完成，请 Review 修复后的代码。确认无误后，选择「托管凭证」将凭证托管到平台。
+1. 托管凭证 - 将凭证托管到 {platformName} 平台
+2. 跳过托管 - 仅完成代码修复，不托管凭证
+```
+用户选择托管后执行：
+```bash
+python3 scripts/credential_hosting.py --poll-result <poll_result.json路径> --username ${COMATE_USERNAME}
+```
+脚本自动从 `poll_result.json` 中提取 `chatUUID`、`deployment.platformName`、`data.credentials`，无需手动传递这些参数。
+托管完成后，从 `poll_result.json` 中读取 `data.succMsg` 展示给用户。如果失败，展示 `data.errorMsg`。
+托管成功后，通过 Questions 组件提示用户进行历史 commit 清理。`succMsg` 中包含清理平台地址，需要从中提取链接并突出展示。提示格式：
+```
+凭证托管已完成。由于历史 commit 中可能仍残留硬编码凭证，建议立即清理 Git 历史记录，防止凭证泄露。
+{succMsg}
+请确认：
+1. 已完成清理 - 我已清理历史 commit，继续后续流程
+2. 稍后处理 - 跳过清理，继续后续流程
+```
+用户选择后继续执行复测扫描。
+## 复测扫描
+托管成功后，自动执行一次复测扫描（流程与「漏洞扫描」章节一致），对比修复前后的硬编码漏洞数量，向用户说明修复效果。复测结果同样需要静默执行数据上报。展示格式：
+```
+托管完成，正在执行复测扫描验证修复效果...
+**复测结果**：修复前共 N 个硬编码漏洞，修复后剩余 M 个，本次修复 X 个漏洞。
+```
+如果复测仍存在未修复的硬编码漏洞，展示剩余漏洞列表（格式同漏洞报告），并提示用户可以选择继续修复或忽略。
+## 清理临时文件
+复测完成后，清理临时文件：`python3 -c "import shutil; shutil.rmtree('<临时目录绝对路径>')"` 删除该项目的临时目录（即 `.tmp/<项目名>_<哈希>/` 整个目录）。然后进入单元测试阶段（流程见「单元测试」章节）。

package/comate-engine/assets/skills/code-security/references/vul_repair_sensitive.md ADDED Viewed

@@ -0,0 +1,219 @@
+# 敏感信息硬编码漏洞修复流程
+修复漏洞分为以下三个步骤：
+1. 读取漏洞报告
+2. 修复硬编码漏洞
+3. 引入SDK（如果需要）
+## 读取漏洞报告
+基于凭证配置网页回传的数据获取漏洞报告，示例如下：
+```json
+{
+  "scanChatID": "从 credential_poll 返回的 chatUUID",
+  "repo": {
+    "language": "java",
+    "framework": "springboot"
+  },
+  "deployment": {
+    "platform": 2,
+    "platformName": "ipipe"
+  },
+  "files": [
+    {
+      "name": "src/main/resources/application.properties",
+      "hash": "文件SHA256",
+      "vulList": [
+        {
+          "ruleID": "codescan_generic_password-config_sensitive",
+          "line": 35,
+          "hash": "漏洞hash",
+          "extra": {
+            "secret": {
+              "credentialName": "KL_SPRING_DATASOURCE_PASSWORD",
+              "start": {"col": 28, "line": 35},
+              "end": {"col": 43, "line": 35}
+            }
+          }
+        }
+      ]
+    }
+  ],
+  "trigger": 1,
+  "type": 4
+}
+```
+各字段说明如下：
+* repo：代码库信息
+    * language：代码语言
+    * framework：代码框架
+* deployment：部署信息
+    * platform：部署平台，1 表示 cnap，2 表示 ipipe，3 表示 opera，4 表示 datamanage
+    * platformName：部署平台名称（如 ipipe、cnap、opera、datamanage）
+    * credential_id：凭证 ID（platform 为 4 时使用，用于引入 keyless-sdk）
+* files：文件信息
+    * name：漏洞文件的相对路径
+    * vulList：漏洞列表
+        * extra.secret.start：敏感信息的开始位置（行、列）
+        * extra.secret.end：敏感信息的结束位置（行、列）
+        * extra.secret.credentialName：建议使用的环境变量名称
+## 修复漏洞
+硬编码漏洞修复的本质就是改变原来在代码中的硬编码敏感信息写法，改为从环境变量中读取敏感信息。修复时遍历漏洞报告中的所有文件和漏洞，逐个修复，按以下流程进行处理。
+### 代码文件
+如果漏洞文件是代码文件，比如 java、go、php、py 等，则根据各语言的写法生成读取环境变量的代码，并替换掉原来的硬编码敏感信息，注意有以下几点要求：
+1. 与环境变量读取无关的其他代码和字符不要做任何改动
+2. 如果漏洞行是被引号包裹的纯字符串，输出时保留其结构不变，仍然可以直接执行字符串操作，但要避免空字符串的拼接
+3. 不要给出环境变量默认值
+4. 如果代码开头存在空格、tab等缩进，保留原始代码的缩进，不要清除两端的空白字符
+5. 如果是 python 语言，使用 os.environ 的方式获取环境变量，而不是 os.getenv
+6. 如果是 go 语言，不能在 const 中读取环境变量，在 const 下方重新定义读取代码，并删除 const 的硬编码的值
+7. 如果是 java 语言，且 platform 为 4 时，则采用 System.getProperty 的语法读取变量
+8. 如果原文件中缺失读取环境变量所需的第三方库，则自动引入，比如 python 的 os 库，go 的 os 库等
+### 配置文件
+如果漏洞文件是配置文件，比如 yml、properties、ini 等，则结合语言和框架共同决定如何修改代码，修改原则如下：
+1. 如果语言为 go，框架为 gdp，toml 后缀的文件直接使用特定的占位符替换敏感信息，占位符的环境变量名称根据 credential_name 命名，示例如下：
+```toml
+// 修复前
+password=123123123
+// 修复后
+password=${env.KL_PASSWORD}
+```
+2. 除第一种情况之外，其他语言、框架、配置文件类型，使用常规的环境变量占位符替换敏感信息，占位符的环境变量名称根据 credential_name 命名。
+```toml
+// 修复前
+password=123123123
+// 修复后
+password=${KL_PASSWORD}
+```
+漏洞报告可能涉及多个文件，修复时按文件进行聚合，优先将一个文件中的漏洞全部修复完成再修复其他漏洞。
+## 引入SDK
+从第一个漏洞报告读取数据，如果 platform 为 4 时需要引入 keyless-sdk 并添加初始化代码。通过该 sdk 将凭证注入到环境变量中，然后其他位置的代码才能读取到环境变量。注意，只有平台为 4 时才需要引入 sdk，其他平台不需要。不同语言 sdk 及初始化代码添加方式如下。
+#### java 语言
+pom.xml 文件中添加 keyless-sdk 依赖，其中的注释需要保留。
+```xml
+<!-- keyless-sdk dependency -->
+<dependency>
+    <groupId>com.baidu.xbu-data</groupId>
+    <artifactId>keyless-sdk</artifactId>
+    <version>1.0.2</version>
+</dependency>
+```
+项目启动的函数中添加以下初始化代码，注意其中的 credentialID 需要与漏洞报告中的 credential_id 保持一致。
+```java
+import com.baidu.keyless.KeylessClient;
+public class KeylessAppCredentialDemo {
+    public static void main(String[] args) {
+        // 初始化 keyless-sdk 开始
+        // step1: 设置 credentialID 构建 client，详情可参考 https://ku.baidu-int.com/d/BRnvQROwD8akQY
+        String credentialID = "appDemo_prod";
+        KeylessClient keylessClient = KeylessClient.builder()
+            .credentialId(credentialID)
+            .build();
+        // step2: 获取凭证信息并注入到系统环境变量中
+        try {
+            keylessClient.load();
+        } catch (Exception e) {
+            System.out.println("load keyless client error: " + e.getMessage());
+        }
+        // 初始化 keyless-sdk 结束
+        // 以下为其他原始代码
+        ... ...
+    }
+}
+```
+#### go 语言
+go.mod 文件中添加 keyless-sdk 依赖，其中的注释需要保留。
+```mod
+require (
+    icode.baidu.com/baidu/xbu-data/things-go keyless-sdk-2.2.0 // keyless-sdk dependency
+)
+```
+项目启动的函数中添加以下初始化代码，注意其中的 CredentialID 需要与漏洞报告中的 credential_id 保持一致。
+```go
+package main
+import (
+    "icode.baidu.com/baidu/xbu-data/things-go/pkg/keyless"
+)
+func main() {
+    // 初始化 keyless-sdk 开始
+    // step1: 设置 CredentialID 构建 client，详情可参考 https://ku.baidu-int.com/d/G_QqzMQrQR9_K_
+    req := &keyless.GetCredentialReq{
+        CredentialID: "appDemo_prod", // 凭证标识
+    }
+    // step2: 获取凭证信息并注入到系统环境变量中
+    client := keyless.NewClient(req)
+    err := client.Load()
+    if err != nil {
+        fmt.Println(err.Error())
+        return
+    }
+    // 初始化 keyless-sdk 结束
+    // 以下为其他原始代码
+        ... ...
+}
+```
+#### python 语言
+requirements.txt 文件中添加 keyless-sdk 依赖，其中的注释需要保留。
+```txt
+// keyless-sdk dependency
+credential-vault-sdk>=0.1.12（Python3 版本添加此依赖）
+credential-vault-sdk-py2>=0.1.9（Python2 版本添加此依赖）
+```
+初始化代码如下，注意
+* 其中的 credential_id 需要与漏洞报告中的 credential_id 保持一致；
+* 如果是完整的服务或项目，初始化代码要添加在项目启动的函数中；
+* 如果是独立的 Python 脚本文件，每个独立的文件都要添加 keyless-sdk 依赖和初始化代码。
+```python
+from credential_vault_sdk.keyless_client import KeylessClient
+def main():
+    # 初始化 keyless-sdk 开始
+    # step1: 设置 credential_id 构建 client，详情可参考 https://ku.baidu-int.com/d/HWaSIaQSThk88b
+    client = KeylessClient(credential_id="appDemo_prod")
+    # step2: 获取凭证信息并注入到系统环境变量中
+    client.load()
+    # 初始化 keyless-sdk 结束
+    # 以下为其他原始代码
+    ... ...
+```
+#### C++ 语言
+在文件开始引入头文件和命名空间，其中的注释需要保留：
+```C++
+// keyless-sdk dependency
+#include "keyless/keyless_client.h"
+using namespace baidu::credentialvault::cppsdk;
+```
+项目启动的函数中添加以下初始化代码，注意其中的 credentialID 需要与漏洞报告中的 credential_id 保持一致。
+```C++
+#include "keyless/keyless_client.h"
+using namespace baidu::credentialvault::cppsdk;
+int main(int argc, char *argv[]) {
+    // 初始化 keyless-sdk 开始
+    // step1: 设置 credential_id 构建 client，详情可参考 https://ku.baidu-int.com/d/x5s_A3YHll0PvR
+    KeylessClient client = KeylessClient("appDemo_prod");
+    // step2: 获取凭证信息并注入到系统环境变量中
+    KeylessStatus load_result = client.load();
+    if (!load_result.ok()) {
+        return 0;
+    }
+    // 初始化 keyless-sdk 结束
+    // 以下为其他原始代码
+    ... ...
+}
+```