@zhuma4/cli 4.0.0-alpha.1

package/rules/common/cwe-89-sqli.yaml

@@ -0,0 +1,89 @@
+# CWE-89: SQL 注入检测规则
+# 逐码 ZhuMa V4.0 Alpha — 通用规则库
+
+rules:
+
+# ZM-JAVA-SQLI-001: JDBC Statement 字符串拼接
+- id: zm-java-sqli-001
+  severity: CRITICAL
+  message: |
+    检测到 JDBC Statement 使用字符串拼接构造 SQL 查询。
+    攻击者可通过控制变量注入恶意 SQL 语句。
+    应使用 PreparedStatement + 参数化查询。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        Statement $STMT = $CONN.createStatement();
+        ...
+        $STMT.executeQuery($SQL + $PARAM);
+    - pattern: |
+        Statement $STMT = $CONN.createStatement();
+        ...
+        $STMT.execute($SQL + $PARAM);
+    - pattern: |
+        Statement $STMT = $CONN.createStatement();
+        ...
+        $STMT.executeUpdate($SQL + $PARAM);
+  metadata:
+    cwe: "CWE-89: SQL Injection"
+    owasp: "A03:2021 - Injection"
+    precision: very-high
+
+# ZM-JAVA-SQLI-002: MyBatis ${} 动态 SQL (非预编译)
+- id: zm-java-sqli-002
+  severity: CRITICAL
+  message: |
+    MyBatis 使用 ${} 语法进行字符串替换而非预编译参数绑定。
+    除非是 ORDER BY / GROUP BY 等无法参数化的场景，否则应使用 #{}。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        @$ANNOTATION("...${...$EXPR}...")
+  metadata:
+    cwe: "CWE-89: SQL Injection"
+    owasp: "A03:2021 - Injection"
+    precision: high
+
+# ZM-JAVA-SQLI-003: JdbcTemplate 字符串拼接
+- id: zm-java-sqli-003
+  severity: HIGH
+  message: |
+    JdbcTemplate 使用字符串拼接构造 SQL 查询。
+    应使用参数化查询：jdbcTemplate.query(sql, params, mapper)
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $T.jdbcTemplate.query($SQL + $PARAM, ...);
+    - pattern: |
+        $T.jdbcTemplate.update($SQL + $PARAM, ...);
+    - pattern: |
+        $T.jdbcTemplate.queryForObject($SQL + $PARAM, ...);
+  metadata:
+    cwe: "CWE-89: SQL Injection"
+    owasp: "A03:2021 - Injection"
+    precision: high
+
+# ZM-JAVA-SQLI-004: String.format 构造 SQL
+- id: zm-java-sqli-004
+  severity: HIGH
+  message: |
+    String.format() 构造 SQL 查询，参数值直接拼接。
+    应使用 PreparedStatement 参数化。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $SQL = String.format("...SELECT...%s...", $PARAM);
+        ...
+        $STMT.executeQuery($SQL);
+    - pattern: |
+        $SQL = String.format("...INSERT...%s...", $PARAM);
+        ...
+        $STMT.executeUpdate($SQL);
+  metadata:
+    cwe: "CWE-89: SQL Injection"
+    owasp: "A03:2021 - Injection"
+    precision: medium

package/rules/common/cwe-918-ssrf.yaml

@@ -0,0 +1,45 @@
+# CWE-918: 服务端请求伪造 (SSRF) 检测规则
+# 逐码 ZhuMa V4.0 Alpha — 通用规则库
+
+rules:
+
+# ZM-JAVA-SSRF-001: HttpURLConnection URL 用户可控
+- id: zm-java-ssrf-001
+  severity: HIGH
+  message: |
+    检测到 HttpURLConnection 打开的 URL 可能包含用户输入。
+    攻击者可能利用 SSRF 访问内网资源 (如 http://169.254.169.254/)。
+    应对 URL 进行白名单校验，禁止访问内网/本地地址。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        (HttpURLConnection) new URL($URL).openConnection();
+    - pattern: |
+        HttpURLConnection $CONN = (HttpURLConnection) new URL($URL).openConnection();
+    - pattern: |
+        new URL($URL).openConnection();
+  metadata:
+    cwe: "CWE-918: Server-Side Request Forgery (SSRF)"
+    owasp: "A10:2021 - Server-Side Request Forgery (SSRF)"
+    precision: medium
+
+# ZM-JAVA-SSRF-002: RestTemplate URL 用户可控
+- id: zm-java-ssrf-002
+  severity: MEDIUM
+  message: |
+    检测到 RestTemplate 请求的 URL 可能由用户输入构造。
+    应校验目标 URL 域名白名单，拒绝内网地址。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $RT.getForObject($URL, ...);
+    - pattern: |
+        $RT.postForObject($URL, ...);
+    - pattern: |
+        $RT.exchange($URL, ...);
+  metadata:
+    cwe: "CWE-918: Server-Side Request Forgery (SSRF)"
+    owasp: "A10:2021 - Server-Side Request Forgery (SSRF)"
+    precision: low

package/rules/common/cwe-94-code-injection.yaml

@@ -0,0 +1,59 @@
+# CWE-94: 代码注入检测规则
+# 逐码 ZhuMa V4.0 Alpha — 通用规则库
+
+rules:
+
+# ZM-JAVA-CI-001: ScriptEngine.eval 用户输入
+- id: zm-java-ci-001
+  severity: CRITICAL
+  message: |
+    检测到 ScriptEngine.eval() 可能执行用户可控的脚本代码。
+    攻击者可注入恶意脚本实现任意代码执行。
+    避免使用动态脚本执行；如必须使用，需严格白名单校验输入内容。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        $ENGINE.eval($SCRIPT);
+    - pattern: |
+        $ENGINE.eval($SCRIPT + $PARAM);
+  metadata:
+    cwe: "CWE-94: Improper Control of Generation of Code (Code Injection)"
+    owasp: "A03:2021 - Injection"
+    precision: high
+
+# ZM-JAVA-CI-002: GroovyShell 动态执行
+- id: zm-java-ci-002
+  severity: CRITICAL
+  message: |
+    检测到 GroovyShell 可能执行用户可控的脚本代码。
+    GroovyShell 不应接收外部输入；应使用 SafeGroovyMethods 或禁用 import 等特性。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        new GroovyShell().evaluate($SCRIPT);
+    - pattern: |
+        new GroovyShell().parse($SCRIPT);
+  metadata:
+    cwe: "CWE-94: Improper Control of Generation of Code (Code Injection)"
+    owasp: "A03:2021 - Injection"
+    precision: high
+
+# ZM-JAVA-CI-003: Runtime.exec 编译执行 (命令注入也可归为此类)
+- id: zm-java-ci-003
+  severity: MEDIUM
+  message: |
+    检测到 Class.forName 动态加载类，可能被利用进行代码注入。
+    动态类加载应使用白名单限制可加载的类型。
+  languages:
+    - java
+  pattern-either:
+    - pattern: |
+        Class.forName($NAME).newInstance();
+    - pattern: |
+        Class.forName($NAME);
+  metadata:
+    cwe: "CWE-94: Improper Control of Generation of Code (Code Injection)"
+    owasp: "A03:2021 - Injection"
+    precision: low

package/rules/common/zm-go-cwe22-path-traversal-fs.yaml

@@ -0,0 +1,117 @@
+# CWE-22: Go 路径穿越深度检测
+# 逐码 ZhuMa V4.1 Sprint — Go 规则库
+# 覆盖: os.MkdirAll + userInput、filepath.Clean无效化、archive/zip ZipSlip
+
+rules:
+
+# ZM-GO-PT-DEPTH-001: os.MkdirAll 用户输入目录创建
+- id: zm-go-pt-depth-001
+  severity: HIGH
+  message: |
+    检测到 os.MkdirAll / os.Mkdir 使用用户可控的目录路径参数。
+    攻击者可通过 ../../ 穿越创建任意目录，可能用于植入webshell或覆盖系统文件。
+
+    修复方案:
+    1. 使用 filepath.Clean() 规范化路径后验证基础目录前缀:
+       cleaned := filepath.Clean(filepath.Join(baseDir, userInput))
+       if !strings.HasPrefix(cleaned, filepath.Clean(baseDir)) { return error }
+    2. 使用 filepath.Base() 仅提取目录名部分
+    3. 限制目录名白名单(字母数字+特定符号)
+    4. 禁止用户输入直接作为目录路径
+  languages:
+    - go
+  pattern-either:
+    - pattern: os.MkdirAll($INPUT, $PERM)
+    - pattern: os.Mkdir($INPUT, $PERM)
+    - pattern: os.MkdirTemp($DIR, $INPUT)
+    - pattern: os.MkdirTemp($INPUT, $PATTERN)
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: HIGH
+    precision: medium
+    category: path-traversal
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/os#MkdirAll"
+
+# ZM-GO-PT-DEPTH-002: archive/zip ZipSlip 检测
+- id: zm-go-pt-depth-002
+  severity: HIGH
+  message: |
+    检测到 ZIP 解压操作中未对压缩包内文件名做路径穿越校验(ZipSlip漏洞)。
+    攻击者可构造包含 ../ 路径的恶意ZIP文件，解压时写入任意目录。
+
+    典型漏洞模式:
+    for _, f := range reader.File {
+      dst := filepath.Join(targetDir, f.Name)
+      os.MkdirAll(filepath.Dir(dst), 0755)
+      // 未校验 dst 是否在 targetDir 内!
+    }
+
+    修复方案:
+    1. 使用 filepath.Clean 规范化后校验前缀:
+       dst := filepath.Clean(filepath.Join(targetDir, f.Name))
+       if !strings.HasPrefix(dst, filepath.Clean(targetDir)+string(os.PathSeparator)) {
+         return errors.New("invalid file path")
+       }
+    2. 使用 f.FileInfo().Name() 或 filepath.Base(f.Name) 去除路径部分
+    3. 使用专门的ZipSlip防护库
+  languages:
+    - go
+  pattern-either:
+    - pattern: filepath.Join($DIR, $ZIPFILE.Name)
+    - pattern: filepath.Join($DIR, $F.Name)
+    - pattern: filepath.Join($DEST, $HEADER.Name)
+    - pattern: path.Join($DIR, $ZIPFILE.Name)
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: HIGH
+    precision: high
+    category: path-traversal
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://snyk.io/research/zip-slip-vulnerability"
+      - "https://pkg.go.dev/archive/zip"
+
+# ZM-GO-PT-DEPTH-003: filepath.Clean 后未做前缀校验(无效化)
+- id: zm-go-pt-depth-003
+  severity: WARNING
+  message: |
+    检测到使用 filepath.Clean 规范化路径但未验证结果路径的基础目录前缀。
+    仅使用 filepath.Clean 不足以防止路径穿越——需要配合 HasPrefix 校验。
+
+    错误示例:
+    cleanPath := filepath.Clean(filepath.Join(baseDir, userInput))
+    os.Open(cleanPath)  // ← 未校验 cleanPath 是否在 baseDir 内
+
+    正确示例:
+    cleanPath := filepath.Clean(filepath.Join(baseDir, userInput))
+    cleanBase := filepath.Clean(baseDir)
+    if !strings.HasPrefix(cleanPath, cleanBase) {
+      return nil, errors.New("invalid path")
+    }
+    os.Open(cleanPath)
+
+    修复方案:
+    1. filepath.Clean 后添加 HasPrefix 校验
+    2. 使用 filepath.Rel 计算相对路径并检查是否以 .. 开头
+    3. 对用户输入做字符白名单过滤
+  languages:
+    - go
+  pattern-either:
+    - pattern: filepath.Clean($INPUT)
+    - pattern: path.Clean($INPUT)
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: WARNING
+    precision: low
+    category: path-traversal
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/path/filepath#Clean"

package/rules/common/zm-go-cwe22-path-traversal.yaml

@@ -0,0 +1,103 @@
+# CWE-22: Go 路径穿越检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: os.Open / ioutil.ReadFile 用户输入路径、path.Join 未验证
+
+rules:
+
+# ZM-GO-PT-001: os.Open / os.ReadFile / ioutil.ReadFile 动态文件路径
+- id: zm-go-pt-001
+  severity: HIGH
+  message: |
+    检测到文件读取操作（os.Open / os.ReadFile / ioutil.ReadFile）
+    使用变量作为文件路径。若该变量来自用户输入（HTTP请求参数、
+    API输入等），攻击者可通过 ../ 穿越目录读取任意文件（如 /etc/passwd）。
+
+    修复方案:
+    1. 使用 filepath.Clean() 规范化路径后，验证是否在允许的基础目录内:
+       cleaned := filepath.Clean(userPath)
+       if !strings.HasPrefix(cleaned, baseDir) { return error }
+    2. 使用 filepath.Base() 仅提取文件名，丢弃路径部分
+    3. 对用户输入的文件名做白名单校验
+    4. 将文件存储在非Web可访问目录中
+  languages:
+    - go
+  pattern-either:
+    - pattern: os.Open($PATH)
+    - pattern: os.OpenFile($PATH, $FLAG, $PERM)
+    - pattern: os.ReadFile($PATH)
+    - pattern: ioutil.ReadFile($PATH)
+    - pattern: ioutil.ReadDir($PATH)
+    - pattern: os.ReadDir($PATH)
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: HIGH
+    precision: medium
+    category: path-traversal
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/path/filepath#Clean"
+      - "https://owasp.org/www-community/attacks/Path_Traversal"
+
+# ZM-GO-PT-002: path.Join 未做路径前缀验证
+- id: zm-go-pt-002
+  severity: HIGH
+  message: |
+    检测到使用 path.Join 或 filepath.Join 拼接用户可控的路径组件。
+    Join 仅规范化路径分隔符，不会阻止 ../ 穿越。
+    攻击者可通过输入 ../../etc/passwd 绕过 Join 保护。
+
+    修复方案:
+    1. 在 Join 之后使用 filepath.Clean() + HasPrefix 验证:
+       fullPath := filepath.Clean(filepath.Join(baseDir, userInput))
+       if !strings.HasPrefix(fullPath, filepath.Clean(baseDir)) { return error }
+    2. 使用 filepath.Rel() 计算相对路径并检查是否以 .. 开头
+    3. 对用户输入做字符白名单（仅允许字母数字和特定符号）
+  languages:
+    - go
+  pattern-either:
+    - pattern: filepath.Join($BASE, $INPUT)
+    - pattern: path.Join($BASE, $INPUT)
+    - pattern: filepath.Join($INPUT, $SUFFIX)
+    - pattern: path.Join($INPUT, $SUFFIX)
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: HIGH
+    precision: medium
+    category: path-traversal
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/path/filepath#Join"
+
+# ZM-GO-PT-003: http.ServeFile / http.FileServer 动态目录
+- id: zm-go-pt-003
+  severity: HIGH
+  message: |
+    检测到 http.ServeFile 或 http.FileServer 使用动态路径提供静态文件。
+    若目录路径可由用户控制，攻击者可通过路径穿越访问Web根目录之外的
+    任意文件（配置文件、源码、数据库等）。
+
+    修复方案:
+    1. 使用 http.Dir() 包装目录: http.FileServer(http.Dir("/safe/path"))
+    2. 确保 root 目录为绝对路径且不可由用户控制
+    3. 配合 http.StripPrefix 限制访问范围
+    4. 对敏感目录设置 dotfiles 访问控制
+  languages:
+    - go
+  pattern-either:
+    - pattern: http.ServeFile($W, $R, $PATH)
+    - pattern: http.FileServer(http.Dir($DIR))
+    - pattern: http.FileServer(http.Dir($VAR))
+  metadata:
+    cwe: "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)"
+    severity: HIGH
+    precision: medium
+    category: path-traversal
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A01:2021 - Broken Access Control"
+    references:
+      - "https://pkg.go.dev/net/http#FileServer"

package/rules/common/zm-go-cwe307-brute-force.yaml

@@ -0,0 +1,129 @@
+# CWE-307: Go 暴力破解防护缺失检测
+# 逐码 ZhuMa V4.1 Sprint — Go 规则库
+# 覆盖: bcrypt cost<10、登录无rate limit、JWT secret太短
+
+rules:
+
+# ZM-GO-BF-001: bcrypt cost 过低
+- id: zm-go-bf-001
+  severity: WARNING
+  message: |
+    检测到 bcrypt.GenerateFromPassword 的 cost 参数 < 10。
+    cost 过低使哈希计算速度过快，攻击者可高效进行离线暴力破解。
+
+    OWASP 建议 bcrypt cost >= 10 (2024年建议 >= 12)。
+
+    修复方案:
+    1. 将 cost 提升至 >= 12: bcrypt.GenerateFromPassword(password, 12)
+    2. 考虑使用 argon2 替代(更抗GPU/ASIC)
+    3. 定期评估并上调 cost 值(随硬件性能提升)
+    4. 使用 bcrypt.DefaultCost(10) 作为最低标准
+  languages:
+    - go
+  pattern-either:
+    - pattern: bcrypt.GenerateFromPassword($PASS, 1)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 2)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 3)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 4)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 5)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 6)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 7)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 8)
+    - pattern: bcrypt.GenerateFromPassword($PASS, 9)
+  metadata:
+    cwe: "CWE-307: Improper Restriction of Excessive Authentication Attempts"
+    severity: WARNING
+    precision: very-high
+    category: brute-force
+    likelihood: HIGH
+    impact: MEDIUM
+    owasp: "A07:2021 - Identification and Authentication Failures"
+    references:
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html"
+      - "https://pkg.go.dev/golang.org/x/crypto/bcrypt"
+
+# ZM-GO-BF-002: 登录接口无 rate limit
+- id: zm-go-bf-002
+  severity: HIGH
+  message: |
+    检测到 Gin/Echo/标准库登录路由处理函数中未使用 rate limiter 中间件。
+    攻击者可对登录接口发起暴力破解攻击，尝试大量用户名/密码组合。
+
+    修复方案:
+    1. 使用 tollbooth / go-redis/redis_rate 等限流库:
+       limiter := tollbooth.NewLimiter(5, nil)
+       limiter.SetIPLookups([]string{"X-Forwarded-For", "RemoteAddr", "X-Real-IP"})
+       router.POST("/login", tollbooth.LimitFuncHandler(limiter, loginHandler))
+    2. 基于用户名/IP的渐进式延迟
+    3. 实现账户锁定策略(连续N次失败锁定M分钟)
+    4. 添加验证码机制
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        $ROUTER.POST("/login", $HANDLER)
+    - pattern: |
+        $ROUTER.GET("/login", $HANDLER)
+    - pattern: |
+        $G.POST("/login", $HANDLER)
+    - pattern: |
+        $E.POST("/login", $HANDLER)
+    - pattern: |
+        http.HandleFunc("/login", $HANDLER)
+    - pattern: |
+        $MUX.HandleFunc("/login", $HANDLER)
+  metadata:
+    cwe: "CWE-307: Improper Restriction of Excessive Authentication Attempts"
+    severity: HIGH
+    precision: low
+    category: brute-force
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A07:2021 - Identification and Authentication Failures"
+    references:
+      - "https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html"
+
+# ZM-GO-BF-003: JWT HMAC secret 过短
+- id: zm-go-bf-003
+  severity: HIGH
+  message: |
+    检测到 JWT 签名密钥(HMAC secret)可能为硬编码短字符串(如 "secret" / "mykey")。
+    过短的 HMAC 密钥可被暴力破解，攻击者可伪造任意 JWT token。
+
+    HMAC-SHA256 密钥最低要求 256 bits (32 bytes)。
+
+    修复方案:
+    1. 密钥长度 >= 32 字节: jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
+    2. 从环境变量/密钥管理服务加载密钥
+    3. 使用 RSA/ECDSA 非对称签名替代对称签名
+    4. 禁止硬编码密钥字符串
+  languages:
+    - go
+  pattern-either:
+    - pattern: |
+        []byte("secret")
+    - pattern: |
+        []byte("mykey")
+    - pattern: |
+        []byte("key")
+    - pattern: |
+        []byte("password")
+    - pattern: |
+        []byte("jwt-secret")
+    - pattern: |
+        []byte("secret-key")
+    - pattern: |
+        []byte("my-secret")
+    - pattern: |
+        []byte("my_secret_key")
+  metadata:
+    cwe: "CWE-307: Improper Restriction of Excessive Authentication Attempts"
+    severity: HIGH
+    precision: medium
+    category: brute-force
+    likelihood: MEDIUM
+    impact: CRITICAL
+    owasp: "A07:2021 - Identification and Authentication Failures"
+    references:
+      - "https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html"
+      - "https://pkg.go.dev/github.com/golang-jwt/jwt/v5"

package/rules/common/zm-go-cwe326-weak-crypto.yaml

@@ -0,0 +1,124 @@
+# CWE-326: Go 弱加密算法检测
+# 逐码 ZhuMa V4.1 — Go 通用规则库
+# 检测: crypto/md5、crypto/sha1、crypto/des、crypto/rc4 使用
+
+rules:
+
+# ZM-GO-WEAKCRYPTO-001: MD5 哈希算法使用
+- id: zm-go-weakcrypto-001
+  severity: WARNING
+  message: |
+    检测到使用 crypto/md5 哈希算法。
+    MD5 已被证实存在碰撞攻击（2004年王小云），SHA-1 也于2017年
+    被Google实现首个碰撞攻击（SHAttered）。
+    MD5 不应用于安全场景（密码存储、数字签名、证书验证、完整性校验）。
+
+    修复方案:
+    1. 数字签名/完整性校验: crypto/sha256 或 crypto/sha512
+    2. 密码存储: golang.org/x/crypto/bcrypt 或 argon2
+    3. HMAC: crypto/hmac + sha256
+    4. 若仅用于非安全用途（如哈希表键），添加 //nolint 注释忽略
+  languages:
+    - go
+  pattern-either:
+    - pattern: md5.New()
+    - pattern: md5.Sum($DATA)
+    - pattern: md5Sum($DATA)
+  metadata:
+    cwe: "CWE-326: Inadequate Encryption Strength"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://shattered.io/"
+      - "https://cwe.mitre.org/data/definitions/326.html"
+
+# ZM-GO-WEAKCRYPTO-002: SHA-1 哈希算法使用
+- id: zm-go-weakcrypto-002
+  severity: WARNING
+  message: |
+    检测到使用 crypto/sha1 哈希算法。
+    SHA-1 已被 Google 实现碰撞攻击（SHAttered, 2017）。
+    主流浏览器和CA机构已于2017年停止信任SHA-1证书。
+    SHA-1 不应用于数字签名、证书或密码存储。
+
+    修复方案:
+    1. 升级至 crypto/sha256 或更安全的哈希算法
+    2. 密码存储使用 bcrypt/argon2
+    3. 签名场景使用 SHA256withRSA 或 ECDSA
+  languages:
+    - go
+  pattern-either:
+    - pattern: sha1.New()
+    - pattern: sha1.Sum($DATA)
+    - pattern: sha1Sum($DATA)
+  metadata:
+    cwe: "CWE-326: Inadequate Encryption Strength"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://shattered.io/"
+      - "https://www.schneier.com/blog/archives/2005/02/sha1_broken.html"
+
+# ZM-GO-WEAKCRYPTO-003: DES 对称加密使用
+- id: zm-go-weakcrypto-003
+  severity: WARNING
+  message: |
+    检测到使用 crypto/des 对称加密算法。
+    DES 使用56位密钥（有效仅56位），现代硬件可在数小时内暴力破解。
+    Triple DES (3DES) 也仅提供112位有效安全强度，且存在Sweet32攻击。
+    不符合 NIST SP 800-131A Rev.2 标准。
+
+    修复方案:
+    1. 使用 crypto/aes + GCM 模式: AES-256-GCM
+    2. 使用 nacl/secretbox (XSalsa20-Poly1305)
+    3. 迁移所有 DES 加密数据到 AES
+  languages:
+    - go
+  pattern-either:
+    - pattern: des.NewCipher($KEY)
+    - pattern: des.NewTripleDESCipher($KEY)
+  metadata:
+    cwe: "CWE-326: Inadequate Encryption Strength"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: HIGH
+    impact: CRITICAL
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar2.pdf"
+
+# ZM-GO-WEAKCRYPTO-004: RC4 流密码使用
+- id: zm-go-weakcrypto-004
+  severity: WARNING
+  message: |
+    检测到使用 crypto/rc4 流密码。
+    RC4 存在已知的密钥流偏向性攻击（2013年RFC 7465已禁止在TLS中使用RC4）。
+    流密码本身的使用模式若不正确也易引入重放攻击。
+
+    修复方案:
+    1. 使用 AES-GCM（认证加密）替代RC4
+    2. 或使用 ChaCha20-Poly1305 (golang.org/x/crypto/chacha20poly1305)
+    3. 所有敏感数据使用AEAD（带关联数据的认证加密）模式
+  languages:
+    - go
+  pattern-either:
+    - pattern: rc4.NewCipher($KEY)
+  metadata:
+    cwe: "CWE-326: Inadequate Encryption Strength"
+    severity: WARNING
+    precision: very-high
+    category: crypto
+    likelihood: MEDIUM
+    impact: HIGH
+    owasp: "A02:2021 - Cryptographic Failures"
+    references:
+      - "https://datatracker.ietf.org/doc/rfc7465/"