npm - @dtt_siye/atool - Versions diffs - 1.3.0 → 1.4.0 - Mend

@dtt_siye/atool 1.3.0 → 1.4.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (47) hide show

package/VERSION +1 -1
package/hooks/doc-sync-reminder +4 -4
package/hooks/hooks-cursor.json +20 -0
package/hooks/hooks.json +21 -1
package/hooks/pre-commit +191 -0
package/hooks/prompt-guard +84 -35
package/hooks/session-start +34 -12
package/hooks/task-state-tracker +145 -0
package/lib/common.sh +36 -23
package/lib/compute-importance.sh +73 -0
package/lib/install-cursor.sh +2 -2
package/lib/install-hooks.sh +64 -0
package/lib/install-skills.sh +19 -0
package/lib/knowledge-graph.sh +483 -81
package/lib/pre-scan.sh +81 -6
package/package.json +1 -1
package/skills/agent-audit/SKILL.md +180 -0
package/skills/architecture-guard/SKILL.md +164 -0
package/skills/architecture-guard/rules/violation-detection.md +90 -0
package/skills/ci-feedback/SKILL.md +165 -0
package/skills/project-analyze/SKILL.md +131 -23
package/skills/project-analyze/phases/phase1-setup.md +15 -1
package/skills/project-analyze/phases/phase2-understand.md +17 -2
package/skills/project-analyze/phases/phase2.5-refine.md +293 -0
package/skills/project-analyze/phases/phase3-graph.md +7 -1
package/skills/project-analyze/phases/phase4-synthesize.md +117 -120
package/skills/project-analyze/phases/phase5-export.md +117 -33
package/skills/project-analyze/prompts/understand-agent.md +17 -0
package/skills/project-analyze/rules/android.md +61 -260
package/skills/project-analyze/rules/devops.md +61 -421
package/skills/project-analyze/rules/generic.md +53 -221
package/skills/project-analyze/rules/go.md +60 -275
package/skills/project-analyze/rules/harmony.md +64 -237
package/skills/project-analyze/rules/java.md +47 -485
package/skills/project-analyze/rules/mobile-flutter.md +57 -292
package/skills/project-analyze/rules/mobile-react-native.md +65 -262
package/skills/project-analyze/rules/mobile-swift.md +58 -303
package/skills/project-analyze/rules/python.md +50 -296
package/skills/project-analyze/rules/rust-tauri.md +51 -217
package/skills/project-analyze/rules/rust.md +50 -274
package/skills/project-analyze/rules/web-nextjs.md +61 -335
package/skills/project-analyze/rules/web-react.md +50 -272
package/skills/project-analyze/rules/web-vue.md +58 -352
package/skills/project-analyze/rules/web.md +55 -347
package/skills/project-query/SKILL.md +681 -120
package/skills/requirements-writer/SKILL.md +48 -1
package/skills/software-architecture/SKILL.md +73 -3

package/skills/project-analyze/rules/devops.md CHANGED Viewed

@@ -1,443 +1,83 @@
 # DevOps / Infrastructure 项目分析规则
-## 分析粒度
+> **编码规范**：本规则不包含编码规范内容。Phase 2.5 精炼阶段会自动加载 `devops-conventions` skill 作为规范约束。
-按服务、环境和基础设施组件进行分析。
+## 模块发现策略
-```
-Infrastructure as Code (IaC)
-    ├── Docker（容器化）
-    │   ├── Dockerfile（镜像构建）
-    │   ├── docker-compose.yml（多服务编排）
-    │   └── .dockerignore（构建排除）
-    ├── Kubernetes（容器编排）
-    │   ├── Deployment / StatefulSet / DaemonSet
-    │   ├── Service / Ingress / Gateway
-    │   ├── ConfigMap / Secret / PVC
-    │   ├── Helm Chart（模板化部署）
-    │   └── Kustomize（overlay 变体）
-    ├── Terraform / OpenTofu（基础设施）
-    │   ├── resource / data / module
-    │   ├── provider / backend
-    │   └── variable / output / locals
-    └── CI/CD（自动化流水线）
-        ├── GitHub Actions / GitLab CI / Jenkins
-        ├── ArgoCD / Flux（GitOps）
-        └── Makefile / Taskfile（任务编排）
-```
-## 目录扫描策略
-### 1. 识别基础设施类型
-**信号文件检测：**
-| 类型 | 信号文件 | 说明 |
-|------|----------|------|
-| Docker | `Dockerfile`, `Dockerfile.*`, `docker-compose.yml`, `docker-compose.yaml`, `.dockerignore` | 容器化配置 |
-| Kubernetes | `k8s/`, `kubernetes/`, `manifests/`, `deploy/`, `kustomization.yaml`, `Chart.yaml`, `values.yaml` | K8s 部署配置 |
-| Terraform | `*.tf`, `*.tfvars`, `terraform.tfstate`, `.terraform.lock.hcl` | IaC 配置 |
-| Ansible | `playbook.yml`, `ansible.cfg`, `inventory/`, `roles/` | 配置管理 |
-| CI/CD | `.github/workflows/`, `.gitlab-ci.yml`, `Jenkinsfile`, `.circleci/`, `tekton/`, `.argo/` | 流水线配置 |
-| 监控 | `prometheus/`, `grafana/`, `alertmanager/`, `dashboards/`, `rules/*.yml` | 可观测性配置 |
-| 安全 | `vault/`, `policy/`, `cert-manager/`, `istio/` | 安全策略配置 |
-### 2. Docker 分析
-**扫描文件**: `Dockerfile`, `Dockerfile.*`, `docker-compose.yml`, `docker-compose.yaml`, `.dockerignore`
-**提取内容**:
-- 基础镜像及版本（FROM 行）
-- 多阶段构建结构（每个 FROM 为一个阶段）
-- 暴露端口（EXPOSE）
-- 环境变量（ENV）
-- 卷挂载（VOLUME）
-- 入口点（ENTRYPOINT / CMD）
-- 构建参数（ARG）
-- 健康检查（HEALTHCHECK）
-- 用户/权限（USER, RUN chown）
-- `.dockerignore` 排除规则
-**输出示例**:
-```
-### api-gateway（Dockerfile）
-- **路径**: `services/api-gateway/Dockerfile`
-- **基础镜像**: `node:20-alpine AS builder` → `nginx:alpine AS production`
-- **多阶段构建**:
-  | 阶段 | 基础镜像 | 用途 |
-  |------|----------|------|
-  | builder | node:20-alpine | 依赖安装 + 构建 |
-  | production | nginx:alpine | 运行时（Nginx 静态服务） |
-- **暴露端口**: 8080
-- **环境变量**: NODE_ENV=production, API_BASE_URL
-- **健康检查**: `curl -f http://localhost:8080/health || exit 1`
-```
-### 3. Docker Compose 分析
-**扫描文件**: `docker-compose.yml`, `docker-compose.yaml`, `docker-compose.*.yml`
-**提取内容**:
-- 服务列表（名称 + 镜像 + 构建上下文）
-- 服务间依赖（depends_on）
-- 网络配置（networks）
-- 卷挂载（volumes）
-- 环境变量（environment / env_file）
-- 端口映射（ports）
-- 健康检查（healthcheck）
-- 扩展策略（deploy.replicas / scale）
-- Compose 文件版本和 overlay 结构
-**输出示例**:
-```
-### Docker Compose 服务编排
-- **文件**: `docker-compose.yml` (version: '3.8')
-- **服务列表**:
-  | 服务名 | 镜像 | 端口 | 依赖 | 说明 |
-  |--------|------|------|------|------|
-  | api | node:20-alpine (build) | 3000:3000 | postgres, redis | API 服务 |
-  | worker | node:20-alpine (build) | - | postgres, redis | 后台任务处理 |
-  | postgres | postgres:16-alpine | 5432:5432 | - | 数据库 |
-  | redis | redis:7-alpine | 6379:6379 | - | 缓存 |
-- **网络**: app-network (bridge)
-- **卷**: postgres-data, redis-data
-```
-### 4. Kubernetes 分析
-**扫描文件**: `k8s/**/*.yaml`, `manifests/**/*.yaml`, `deploy/**/*.yaml`, `Chart.yaml`, `values.yaml`, `templates/**/*.yaml`
-**提取内容**:
-- 资源类型和数量（Deployment, Service, Ingress, ConfigMap, Secret, PVC, CronJob, Job, HPA）
-- 每个 Deployment 的镜像、副本数、资源限制、探针配置
-- Service 类型和端口映射（ClusterIP, NodePort, LoadBalancer）
-- Ingress 规则（主机、路径、TLS）
-- ConfigMap / Secret 数据结构（键名，不记录敏感值）
-- PVC 存储类和大小
-- Helm Chart 元数据（name, version, appVersion, dependencies）
-- Helm values 结构（关键配置项及默认值）
-- Kustomize overlay 结构（base + overlays/）
-**输出示例**:
-```
-### Kubernetes 部署配置
-#### Deployments
-| 名称 | 命名空间 | 镜像 | 副本 | 资源限制 |
-|------|----------|------|------|----------|
-| api-server | production | myapp/api:v1.2.3 | 3 | cpu: 500m, mem: 512Mi |
-| worker | production | myapp/worker:v1.2.3 | 2 | cpu: 250m, mem: 256Mi |
-#### Services
-| 名称 | 类型 | 端口 | 选择器 |
-|------|------|------|--------|
-| api-server-svc | ClusterIP | 8080:8080 | app=api-server |
-| api-server-ingress | LoadBalancer | 80:80, 443:443 | app=api-server |
-#### Ingress
-| 主机 | 路径 | 后端 | TLS |
-|------|------|------|-----|
-| api.example.com | / | api-server-svc:8080 | api-tls |
-#### ConfigMaps
-| 名称 | 键 |
-|------|-----|
-| api-config | DATABASE_URL, REDIS_URL, LOG_LEVEL |
-#### Helm Chart
-- **名称**: myapp-chart
-- **版本**: 0.3.0
-- **AppVersion**: 1.2.3
-- **依赖**: postgresql, redis
-```
-### 5. Terraform 分析
-**扫描文件**: `*.tf`, `*.tfvars`, `*.tf.json`
-**提取内容**:
-- Provider 列表及版本（aws, azurerm, google, kubernetes, helm 等）
-- Backend 配置（s3, gcs, http 等）
-- Resource 列表（类型 + 名称 + 关键参数）
-- Data source 列表（类型 + 名称）
-- Module 调用（源 + 版本 + 输入变量）
-- Variable 定义（名称 + 类型 + 默认值 + 描述）
-- Output 定义（名称 + 值 + 描述）
-- Locals 定义（名称 + 值）
-- 状态文件引用（remote state data source）
-**输出示例**:
-```
-### Terraform 基础设施
-#### Providers
-| Provider | 版本 | 源 |
-|----------|------|-----|
-| aws | ~> 5.0 | hashicorp/aws |
-| kubernetes | ~> 2.23 | hashicorp/kubernetes |
-#### Resources（按类型分组）
-**EC2**:
-| 名称 | 实例类型 | 关键参数 |
-|------|----------|----------|
-| aws_instance.api | t3.medium | ami, vpc_security_group_ids, subnet_id |
-**RDS**:
-| 名称 | 引擎 | 存储大小 |
-|------|------|----------|
-| aws_db_instance.main | postgres 16 | 100 GB |
-#### Modules
-| 名称 | 源 | 版本 | 说明 |
-|------|-----|------|------|
-| vpc | terraform-aws-modules/vpc/aws | 5.1.0 | VPC 网络配置 |
-| eks | terraform-aws-modules/eks/aws | 19.15.0 | EKS 集群 |
-#### Variables
-| 名称 | 类型 | 默认值 | 描述 |
-|------|------|--------|------|
-| environment | string | "production" | 部署环境 |
-| instance_type | string | "t3.medium" | EC2 实例类型 |
-```
-### 6. CI/CD 流水线分析
-**扫描文件**: `.github/workflows/*.yml`, `.gitlab-ci.yml`, `Jenkinsfile`, `.circleci/config.yml`, `tekton/*.yaml`
+按基础设施组件类型分组发现模块：
-**GitHub Actions 提取内容**:
-- Workflow 名称和触发条件（push, pull_request, schedule, workflow_dispatch）
-- 环境矩阵（matrix: os / node-version / etc.）
-- Job 列表（名称 + 运行器 + 依赖关系）
-- 每个 Job 的 Steps（动作名称 + 版本 + 关键参数）
-- Secret 使用列表（名称，不记录值）
-- Artifact 上传/下载
-- 缓存策略（actions/cache）
-- 环境部署（environment: production / staging）
+| 信号文件 / 目录 | 识别类型 | 模块粒度 |
+|----------------|---------|---------|
+| `Dockerfile`, `Dockerfile.*` | Docker 镜像 | 每个 Dockerfile 一个模块 |
+| `docker-compose.yml`, `docker-compose.*.yml` | 服务编排 | 每个 compose 文件一个模块 |
+| `k8s/`, `manifests/`, `deploy/`, `Chart.yaml` | Kubernetes | 按 namespace / application 分组 |
+| `*.tf`, `terraform/modules/` | Terraform IaC | 每个 module 子目录一个模块 |
+| `playbook.yml`, `roles/` | Ansible | 每个 playbook 一个模块 |
+| `.github/workflows/`, `.gitlab-ci.yml`, `Jenkinsfile` | CI/CD | 每个 workflow 文件一个模块 |
+| `prometheus/`, `grafana/`, `alertmanager/` | 监控 | 按工具分组 |
-**GitLab CI 提取内容**:
-- Stage 列表和顺序
-- Job 列表（stage + image + script + rules/only/except）
-- 变量定义（variables）
-- 缓存配置（cache）
-- Artifact 定义
-- 触发规则（rules / only / except）
+排除生成文件：`terraform.tfstate`（含敏感信息，只记录 backend 类型）、`helm template` 输出、`terraform plan` 输出。
-**输出示例**:
-```
-### GitHub Actions CI/CD
-#### Workflow: ci.yml
-- **触发条件**: push (main, develop), pull_request
-- **Jobs**:
-  | Job | 运行器 | 依赖 | 超时 | 说明 |
-  |-----|--------|------|------|------|
-  | lint | ubuntu-latest | - | 10m | 代码风格检查 |
-  | test | ubuntu-latest | lint | 20m | 单元测试 + 覆盖率 |
-  | build | ubuntu-latest | test | 15m | Docker 镜像构建 |
-  | deploy-staging | ubuntu-latest | build | 10m | 部署到 staging |
-#### Workflow: deploy.yml
-- **触发条件**: workflow_dispatch (inputs: environment)
-- **环境**: production (需要审批), staging
-- **Secrets**: AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY, KUBECONFIG
-```
-### 7. 监控与可观测性分析
-**扫描文件**: `prometheus/*.yml`, `grafana/**/*.json`, `alertmanager/*.yml`, `dashboards/**/*.json`
-**提取内容**:
-- Prometheus scrape 配置（targets, interval, labels）
-- 自定义指标规则（recording rules）
-- 告警规则（alert name, expr, severity, annotations）
-- Grafana Dashboard 列表（标题 + 数据源 + 面板数）
-- Alertmanager 路由配置（receiver, group_by, inhibit_rules）
-- 日志聚合配置（如 ELK / Loki 的相关配置文件）
-**输出示例**:
-```
-### 监控配置
-#### Prometheus
-- **Scrape 配置**:
-  | Job | Target | 间隔 | 标签 |
-  |-----|--------|------|------|
-  | api-server | http://api:8080/metrics | 15s | app=api, env=prod |
-#### 告警规则
-| 告警名 | 表达式 | 严重级别 | 说明 |
-|--------|--------|----------|------|
-| HighErrorRate | rate(http_errors_total[5m]) > 0.05 | warning | 错误率 > 5% |
-| PodCrashLooping | kube_pod_container_status_restarts_total > 5 | critical | Pod 重启循环 |
-#### Grafana Dashboards
-| 名称 | 数据源 | 面板数 |
-|------|--------|--------|
-| API Overview | Prometheus | 12 |
-| System Resources | Prometheus | 8 |
-```
-## 模块发现规则
-- **Docker**: 每个 `Dockerfile` 或 `Dockerfile.*` 为一个分析单元
-- **Compose**: 每个 compose 文件为一个分析单元，按 services 拆分子任务
-- **Kubernetes**: 按 namespace / application 分组，每组内的资源类型为一个子任务
-- **Helm**: Chart 为一个分析单元，`values.yaml` 和 `templates/` 分别分析
-- **Terraform**: 每个 `*.tf` 文件为一个分析单元，按 resource type 分组
-- **Ansible**: 每个 playbook 为一个分析单元
-- **CI/CD**: 每个 workflow/job 文件为一个分析单元
-- **监控**: 按工具（Prometheus / Grafana / Alertmanager）分组
-## 依赖分析
-从配置文件提取：
-- Docker 基础镜像及版本（FROM 行，含 digest）
-- K8s 部署的镜像标签（image: registry/...:tag）
-- Terraform provider 及版本约束
-- Terraform module 源和版本
-- CI/CD 使用的 action / plugin 及版本
-- Helm Chart 依赖（Chart.yaml dependencies）
-- 服务间依赖（compose depends_on, K8s init containers, ArgoCD sync waves）
-- Makefile / Taskfile 中的 target 依赖关系
-## 环境管理分析
-**扫描文件**: `envs/`, `environments/`, `*.env.example`, `terraform.tfvars`, `values-*.yaml`, `overlays/*/`
-**提取内容**:
-- 环境列表（development, staging, production）
-- 每个环境的差异配置（副本数、资源限制、域名、数据库实例等）
-- 环境变量管理方式（ConfigMap / Secret / .env / Vault）
-- 配置覆盖策略（Kustomize overlay / Helm values / Terraform workspaces）
-## 安全配置分析
-**扫描文件**: `network-policy*.yaml`, `rbac*.yaml`, `pod-security*.yaml`, `vault/*.hcl`, `cert-manager/*.yaml`
+## 入口识别
-**提取内容**:
-- RBAC 角色（Role / ClusterRole + 绑定关系）
-- Network Policy（入站/出站规则）
-- Pod 安全标准（PSS / PSP）
-- Secret 管理方式（K8s Secret / Vault / External Secrets Operator）
-- TLS 配置（证书来源、过期策略）
+- **Docker Compose**: `docker-compose.yml` 中的 `services` 块 — 每个服务为一个入口节点
+- **Kubernetes**: `Deployment` / `StatefulSet` 资源中的 `image` 字段；`Ingress` / `Gateway` 为流量入口
+- **Terraform**: `main.tf` 或根目录 `*.tf` + `backend` 块（状态管理入口）
+- **CI/CD**: workflow 文件的 `on:` 触发条件（push/PR/schedule/dispatch）
+- **Helm**: `Chart.yaml` 的 `name` + `version`；`values.yaml` 为参数入口
-## 输出模板
+## 架构模式识别
-### README.md
+**服务拓扑**（Docker Compose / Kubernetes）：
+- 扫描 `depends_on`（Compose）和 init containers / sync waves（K8s）确定服务依赖顺序
+- 识别 sidecar 模式（同一 Pod 多容器）
+- 识别 multi-stage build（Dockerfile 多 FROM 行）
-```markdown
-# {项目名称}
+**IaC 模块结构**（Terraform / Helm）：
+- `terraform/modules/` 下每个子目录为一个可复用 module
+- Helm Chart `templates/` 下的资源类型分组
+- Kustomize `base/` + `overlays/` 多环境分层结构
-## 项目概述
-基础设施项目描述、管理范围、覆盖的环境
+**GitOps 检测**：
+- 检查 `.argo/` / `argocd/` 目录或 ArgoCD Application 资源
+- 识别 Flux `Kustomization` / `HelmRelease` 资源
-## 架构总览
-### 基础设施拓扑图（ASCII art）
-展示 VPC → K8s Cluster → Services → Pods 的完整拓扑
+## 数据流模式
-### 环境架构图
-development / staging / production 三环境的差异
+- **配置流**: ConfigMap / Secret → Pod 环境变量 / 挂载卷
+- **流量路径**: Ingress → Service → Deployment → Pod
+- **CI/CD 流水线**: 代码提交 → 构建 → 测试 → 镜像推送 → 部署触发
+- **Secret 传递**: Vault / External Secrets Operator → K8s Secret → 应用
-## 目录结构
-带注释的目录树
+## 分析关注点
-## 服务清单
-| 服务名 | 类型 | 端口 | 健康检查 | 说明 |
-|--------|------|------|----------|------|
+1. **服务拓扑完整性**：Compose `depends_on` 和 K8s init containers 是否覆盖所有服务依赖
+2. **镜像版本固定**：检测 `image: xxx:latest` 模式（不推荐生产使用）
+3. **资源限制缺失**：K8s Deployment 是否配置 `resources.limits`
+4. **健康检查覆盖**：Dockerfile HEALTHCHECK 和 K8s liveness / readiness probe 是否配置
+5. **Secret 管理方式**：硬编码在 YAML vs ConfigMap vs Vault / External Secrets
+6. **多环境差异**：识别 Kustomize overlay 或 Helm values 中的环境差异配置
+7. **CI/CD 安全门禁**：检查流水线中是否有测试、SAST 扫描、镜像签名步骤
-## 环境变量
-| 变量名 | 说明 | 示例值 | 必需 |
-|--------|------|--------|------|
+## 输出示例
-## 部署流程
-从代码提交到生产部署的完整流程图
-## 监控与告警
-告警规则摘要 + Dashboard 链接
-## 常用运维命令
-部署、回滚、扩缩容、日志查看等命令
-```
-### COMPONENT.md
-```markdown
-# 基础设施组件文档
-## Docker 服务
-### {服务名}
-- **镜像**: ...
-- **端口映射**: ...
-- **环境变量**: ...
-- **健康检查**: ...
-- **构建参数**: ...
-## Kubernetes 资源
-### Deployments
-### Services
-### Ingress
-### ConfigMaps / Secrets
-## Terraform 资源
-### {资源类型}
-| 名称 | 关键参数 | 依赖 |
-|------|----------|------|
-## CI/CD Pipelines
-### {流水线名}
-- **触发条件**: ...
-- **阶段**: ...
-- **Secret 使用**: ...
-## 监控配置
-### Prometheus
-### 告警规则
-### Grafana Dashboards
 ```
+### 服务拓扑（docker-compose.yml）
+| 服务名   | 镜像                    | 端口        | 依赖              |
+|---------|------------------------|-------------|-----------------|
+| api      | node:20-alpine (build) | 3000:3000   | postgres, redis  |
+| worker   | node:20-alpine (build) | —           | postgres, redis  |
+| postgres | postgres:16-alpine     | 5432:5432   | —               |
+| redis    | redis:7-alpine         | 6379:6379   | —               |
-### UI_STYLE.md
+### Kubernetes Deployments
+| 名称       | 命名空间   | 镜像                  | 副本 | 资源限制             |
+|-----------|----------|-----------------------|-----|---------------------|
+| api-server | prod     | myapp/api:v1.2.3      | 3   | cpu:500m mem:512Mi  |
+| worker     | prod     | myapp/worker:v1.2.3   | 2   | cpu:250m mem:256Mi  |
-对于 DevOps 项目，此文件记录运维可视化规范：
-```markdown
-# 运维可视化规范
-## 监控 Dashboard 规范
-- 图表类型选择标准
-- 颜色编码（健康/警告/危险）
-- 时间范围选择器默认值
-## 告警通知规范
-- 告警级别与通知渠道映射
-- 告警消息格式模板
-- 告警分组和抑制规则
-## 日志规范
-- 日志级别使用标准
-- 结构化日志格式
-- 日志保留策略
+### CI/CD（.github/workflows/ci.yml）
+- **触发**: push (main, develop), pull_request
+- **阶段**: lint → test → build → deploy-staging
+- **Secrets 使用**: AWS_ACCESS_KEY_ID, KUBECONFIG
 ```
-## 模块边界识别
-以下目录模式下的每个子目录视为独立模块（L2+ 分析时生成 MODULE-DOC.md）：
-| 层 | 扫描路径 | 模块判定规则 | MODULE-DOC slug 来源 |
-|----|----------|-------------|---------------------|
-| Manifests 层 | `manifests/` | 每个子目录 | 目录名 kebab-case |
-| Terraform 模块 | `terraform/modules/` | 每个子目录 | 目录名 kebab-case |
-| CI/CD 层 | `.github/workflows/` | 每个文件 | 文件名去后缀 kebab-case |
-| Helm Charts | `helm/` | 每个 chart | chart 名 kebab-case |
-| 脚本层 | `scripts/` | 每个子目录或文件 | 名称 kebab-case |
-**不视为独立模块的情况**：
-- 单文件入口（如 `Makefile`, `docker-compose.yml`）
-- 纯配置文件（`.env.example`, `*.tfvars.example`）
-- Secret 文件（只记录键名，不记录值）
-- `.tf.json` 与 `*.tf` 合并分析
-## Token 管理
-- 大型 YAML 文件（K8s manifest、Helm values）单独分析
-- 每个子任务分析 <=10 个文件
-- `values.yaml`（Helm）和 `*.tfvars`（Terraform）单独作为一个子任务
-- 生成的清单文件（`helm template` 输出、`terraform plan` 输出）跳过
-- `terraform.tfstate` 不分析（含敏感信息，仅记录 backend 类型）
-- Secret 文件只记录键名，不记录值
-- `.tf.json` 与 `*.tf` 合并分析