code-abyss 1.6.15 → 1.7.0

package/bin/install.js

@@ -4,8 +4,16 @@ const fs = require('fs');
 const path = require('path');
 const os = require('os');
 
-const VERSION = require(path.join(__dirname, '..', 'package.json')).version;
+const pkg = require(path.join(__dirname, '..', 'package.json'));
+const VERSION = pkg.version;
 const HOME = os.homedir();
+
+// ── Node.js 版本检查 ──
+const MIN_NODE = pkg.engines?.node?.match(/(\d+)/)?.[1] || '18';
+if (parseInt(process.versions.node) < parseInt(MIN_NODE)) {
+  console.error(`\x1b[31m✘ 需要 Node.js >= ${MIN_NODE}，当前: ${process.versions.node}\x1b[0m`);
+  process.exit(1);
+}
 const SKIP = ['__pycache__', '.pyc', '.pyo', '.egg-info', '.DS_Store', 'Thumbs.db', '.git'];
 const PKG_ROOT = fs.realpathSync(path.join(__dirname, '..'));
 
@@ -209,6 +217,10 @@ function runUninstall(tgt) {
   if (!fs.existsSync(manifestPath)) { fail(`未找到安装记录: ${manifestPath}`); process.exit(1); }
 
   const manifest = JSON.parse(fs.readFileSync(manifestPath, 'utf8'));
+  if (manifest.manifest_version && manifest.manifest_version > 1) {
+    fail(`manifest 版本 ${manifest.manifest_version} 不兼容，请升级 code-abyss 后再卸载`);
+    process.exit(1);
+  }
   divider(`卸载 Code Abyss v${manifest.version}`);
 
   (manifest.installed || []).forEach(f => {
@@ -245,7 +257,7 @@ function installCore(tgt) {
     { src: 'skills', dest: 'skills' }
   ].filter(f => f.dest !== null);
 
-  const manifest = { version: VERSION, target: tgt, timestamp: new Date().toISOString(), installed: [], backups: [] };
+  const manifest = { manifest_version: 1, version: VERSION, target: tgt, timestamp: new Date().toISOString(), installed: [], backups: [] };
 
   filesToInstall.forEach(({ src, dest }) => {
     const srcPath = path.join(PKG_ROOT, src);
@@ -349,6 +361,7 @@ async function installCcline(ctx) {
   const { execSync } = require('child_process');
   const cclineDir = path.join(HOME, '.claude', 'ccline');
   const cclineBin = path.join(cclineDir, process.platform === 'win32' ? 'ccline.exe' : 'ccline');
+  const errors = [];
 
   // 1. 检测是否已有二进制
   let hasBin = fs.existsSync(cclineBin);
@@ -366,8 +379,9 @@ async function installCcline(ctx) {
       else {
         try { execSync('ccline --version', { stdio: 'pipe' }); hasBin = true; ok('ccline 安装成功 (全局)'); } catch (e) {}
       }
+      if (!hasBin) errors.push('ccline 二进制安装后仍未检测到');
     } catch (e) {
-      warn('npm install -g @cometix/ccline 失败');
+      errors.push(`npm install -g @cometix/ccline 失败: ${e.message}`);
       info(`手动安装: ${c.cyn('npm install -g @cometix/ccline')}`);
       info(`或下载: ${c.cyn('https://github.com/Haleclipse/CCometixLine/releases')}`);
     }
@@ -392,7 +406,7 @@ async function installCcline(ctx) {
     // 无打包配置，回退到 ccline --init
     if (hasBin && !fs.existsSync(targetConfig)) {
       try { execSync('ccline --init', { stdio: 'inherit' }); ok('ccline 默认配置已生成'); }
-      catch (e) { warn('ccline --init 失败，可手动运行'); }
+      catch (e) { errors.push(`ccline --init 失败: ${e.message}`); }
     }
   }
 
@@ -401,6 +415,13 @@ async function installCcline(ctx) {
   ok(`statusLine → ${c.cyn(CCLINE_STATUS_LINE.statusLine.command)}`);
   fs.writeFileSync(ctx.settingsPath, JSON.stringify(ctx.settings, null, 2) + '\n');
 
+  // 5. 汇总报告
+  if (errors.length > 0) {
+    console.log('');
+    warn(c.b(`ccline 安装有 ${errors.length} 个问题:`));
+    errors.forEach(e => fail(`  ${e}`));
+  }
+
   console.log('');
   warn(`需要 ${c.b('Nerd Font')} 字体才能正确显示图标`);
   info(`推荐: FiraCode Nerd Font / JetBrainsMono Nerd Font`);

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "code-abyss",
-  "version": "1.6.15",
+  "version": "1.7.0",
   "description": "邪修红尘仙·宿命深渊 - 一键为 Claude Code / Codex CLI 注入邪修人格与安全工程知识体系",
   "keywords": [
     "claude",
@@ -36,7 +36,7 @@
     "node": ">=18.0.0"
   },
   "scripts": {
-    "test": "python3 -m unittest discover skills/tests/ -v"
+    "test": "echo \"No tests configured yet\""
   },
   "dependencies": {
     "@inquirer/prompts": "^7.10.1"

package/skills/SKILL.md

@@ -1,6 +1,7 @@
 ---
 name: sage
 description: 邪修红尘仙·神通秘典总纲。智能路由到专业秘典。当魔尊需要任何开发、安全、架构、DevOps、AI 相关能力时，通过此入口路由到最匹配的专业秘典。
+license: MIT
 user-invocable: true
 disable-model-invocation: false
 ---
@@ -12,13 +13,16 @@ disable-model-invocation: false
 ```
 skills/
 ├── domains/          # 知识域秘典
-│   ├── security/     # 攻防秘典
-│   ├── development/  # 符箓秘典（语言）
-│   ├── architecture/ # 阵法秘典
-│   ├── devops/       # 炼器秘典
-│   ├── ai/           # 丹鼎秘典
-│   ├── frontend-design/ # 美学秘典
-│   └── orchestration/   # 协同秘典
+│   ├── security/     # 攻防秘典 (7篇)
+│   ├── development/  # 符箓秘典 (7篇)
+│   ├── architecture/ # 阵法秘典 (5篇)
+│   ├── devops/       # 炼器秘典 (7篇)
+│   ├── ai/           # 丹鼎秘典 (4篇)
+│   ├── frontend-design/ # 美学秘典 (8篇)
+│   ├── data-engineering/ # 数据工程 (合并版)
+│   ├── infrastructure/   # 基础设施 (合并版)
+│   ├── mobile/           # 移动开发 (合并版)
+│   └── orchestration/    # 协同秘典
 ├── tools/            # 工具类秘典
 │   ├── verify-module/
 │   ├── verify-security/
@@ -27,8 +31,7 @@ skills/
 │   └── gen-docs/
 ├── orchestration/    # 协同执行引擎
 │   └── multi-agent/
-├── tests/
-├── run_skill.py
+├── run_skill.js
 └── SKILL.md
 ```
 
@@ -74,12 +77,12 @@ skills/
 
 | 秘典 | 触发词 | 化身 | 说明 |
 |------|--------|------|------|
-| `red-team` | 渗透、红队、攻击链、C2、横向移动、免杀 | 🔥 赤焰 | 红队攻击技术 |
+| `red-team` | 渗透、红队、攻击链、C2、横向移动、供应链 | 🔥 赤焰 | 红队攻击技术（含供应链安全） |
 | `pentest` | 渗透测试、Web安全、API安全、漏洞挖掘 | 🔥 赤焰 | 全栈渗透测试 |
 | `code-audit` | 代码审计、安全审计、危险函数、污点分析 | 🔥 赤焰 | 代码安全审计 |
 | `vuln-research` | 漏洞研究、二进制、逆向、Exploit | 🔥 赤焰 | 漏洞研究与利用 |
-| `blue-team` | 蓝队、检测、SOC、应急响应、取证 | ❄ 玄冰 | 蓝队防御技术 |
-| `threat-intel` | 威胁情报、OSINT、威胁狩猎 | 👁 天眼 | 威胁情报分析 |
+| `blue-team` | 蓝队、检测、SOC、应急响应、取证、密钥管理 | ❄ 玄冰 | 蓝队防御技术（含密钥管理） |
+| `threat-intel` | 威胁情报、OSINT、威胁狩猎、威胁建模 | 👁 天眼 | 威胁情报分析（含威胁建模） |
 
 ---
 
@@ -102,12 +105,10 @@ skills/
 | 秘典 | 触发词 | 说明 |
 |------|--------|------|
 | `api-design` | API设计、RESTful、GraphQL、OpenAPI | API 设计规范 |
-| `security-arch` | 安全架构、零信任、身份认证、IAM | 安全架构设计 |
+| `security-arch` | 安全架构、零信任、IAM、数据安全、合规、GDPR | 安全架构设计（含数据安全与合规） |
 | `cloud-native` | 云原生、容器、Kubernetes、Serverless | 云原生架构 |
-| `data-security` | 数据安全、加密、隐私、合规 | 数据安全架构 |
 | `message-queue` | 消息队列、Kafka、RabbitMQ、事件驱动、CQRS | 消息队列架构 |
 | `caching` | 缓存、Redis、CDN、缓存穿透、缓存雪崩 | 缓存策略设计 |
-| `compliance` | 合规、GDPR、SOC2、审计、数据治理 | 合规审计 |
 
 ---
 
@@ -129,8 +130,10 @@ skills/
 
 | 秘典 | 触发词 | 说明 |
 |------|--------|------|
-| `agent-dev` | Agent、LLM应用、RAG、Prompt工程 | AI Agent 开发 |
+| `agent-dev` | Agent、LLM应用、RAG | AI Agent 开发 |
 | `llm-security` | LLM安全、提示注入、AI红队 | LLM 安全测试 |
+| `rag-system` | RAG、检索增强、向量数据库 | RAG 系统设计 |
+| `prompt-and-eval` | Prompt工程、模型评估、基准测试 | Prompt 工程与模型评估 |
 
 ---
 
@@ -141,6 +144,11 @@ skills/
 | `ui-aesthetics` | UI美学、色彩、排版、间距、设计令牌、暗色模式 | UI 美学设计 |
 | `component-patterns` | 组件模式、布局、响应式、动画、表单、卡片 | 组件设计模式 |
 | `ux-principles` | UX原则、可用性、无障碍、用户流程、反馈 | UX 设计原则 |
+| `frontend-engineering` | 构建工具、前端测试、性能优化、Vite、Webpack | 前端工程化 |
+| `claymorphism` | Claymorphism、软陶、大圆角、双内阴影 | 软陶设计风格 |
+| `glassmorphism` | Glassmorphism、毛玻璃、模糊、透明 | 毛玻璃设计风格 |
+| `neubrutalism` | Neubrutalism、粗野、粗边框、高饱和 | 新粗野主义风格 |
+| `liquid-glass` | Liquid Glass、Apple、半透明、深度感知 | Apple 液态玻璃风格 |
 
 ---
 

package/skills/domains/ai/SKILL.md

@@ -1,6 +1,7 @@
 ---
 name: ai
 description: AI/LLM 能力索引。Agent 开发、LLM 安全、RAG 系统。当用户提到 AI、LLM、Agent、RAG、Prompt 时路由到此。
+license: MIT
 ---
 
 # 丹鼎秘典 · AI/LLM 能力中枢
@@ -12,8 +13,7 @@ description: AI/LLM 能力索引。Agent 开发、LLM 安全、RAG 系统。当
 | [agent-dev](agent-dev.md) | Agent 开发 | 多 Agent 编排、工具调用、RAG |
 | [llm-security](llm-security.md) | LLM 安全 | Prompt 注入、越狱防护、输出安全 |
 | [rag-system](rag-system.md) | RAG 系统 | 向量数据库、检索策略、重排算法 |
-| [prompt-engineering](prompt-engineering.md) | Prompt 工程 | Few-shot、CoT、ReAct、模板优化 |
-| [model-evaluation](model-evaluation.md) | 模型评估 | RAGAS、LLM-as-Judge、基准测试 |
+| [prompt-and-eval](prompt-and-eval.md) | Prompt 工程与模型评估 | Few-shot、CoT、ReAct、RAGAS、LLM-as-Judge |
 
 ## AI 工程原则
 

package/skills/domains/ai/prompt-and-eval.md

@@ -0,0 +1,279 @@
+---
+name: prompt-and-eval
+description: Prompt 工程与模型评估。Prompt 模式（Zero-shot、Few-shot、CoT、ReAct、ToT）、模板设计、RAGAS、LLM-as-Judge、基准测试、A/B 测试、持续监控。当用户提到 Prompt 工程、Few-shot、CoT、模型评估、RAGAS、LLM-as-Judge、基准测试时使用。
+---
+
+# Prompt 工程与模型评估
+
+## 一、Prompt 模式
+
+### 模式对比
+
+| 模式 | 复杂度 | 准确性 | Token 消耗 | 适用场景 |
+|------|--------|--------|------------|----------|
+| Zero-shot | 低 | 中 | 低 | 简单任务、通用问题 |
+| Few-shot | 中 | 高 | 中 | 格式化输出、分类 |
+| CoT | 中 | 高 | 中 | 推理、数学、逻辑 |
+| Self-Consistency | 高 | 极高 | 高 | 关键决策 |
+| ToT | 极高 | 极高 | 极高 | 复杂规划 |
+| ReAct | 高 | 高 | 高 | 工具调用、Agent |
+
+### Zero-shot
+
+```python
+# 关键：清晰指令 + 角色设定 + 输出格式
+prompt = """
+你是一位资深安全工程师。
+任务: 将以下文本分类为正面、负面或中性。
+输入: {text}
+输出格式: JSON {"sentiment": "...", "confidence": 0.0-1.0}
+"""
+```
+
+### Few-shot
+
+```python
+# 关键：2-5 个高质量示例 + 语义相似度选择
+prompt = """
+将评论分类:
+
+评论: 音质很棒，佩戴舒适。 → 正面
+评论: 电池续航太差。 → 负面
+评论: {new_review} →
+"""
+
+# 动态示例选择（LangChain）
+selector = SemanticSimilarityExampleSelector.from_examples(
+    examples, OpenAIEmbeddings(), Chroma, k=2
+)
+```
+
+### Chain-of-Thought (CoT)
+
+```python
+# Zero-shot CoT — 魔法咒语
+prompt = f"问题: {question}\n\n让我们一步步思考:"
+
+# Self-Consistency — 多路投票
+answers = [extract_answer(llm.predict(prompt, temperature=0.7)) for _ in range(5)]
+final = Counter(answers).most_common(1)[0][0]
+```
+
+### ReAct
+
+```python
+# Thought → Action → Observation 循环
+prompt = """
+工具: Search[query], Calculate[expr], Finish[answer]
+
+Thought: 我需要查询埃菲尔铁塔高度
+Action: Search[埃菲尔铁塔高度]
+Observation: 330 米
+Thought: 现在知道答案了
+Action: Finish[330 米]
+"""
+```
+
+### Tree-of-Thoughts (ToT)
+
+```python
+# 生成多条思路 → 评估打分 → Beam Search 选最优 → 递归扩展
+class TreeOfThoughts:
+    def solve(self, problem):
+        thoughts = self._generate(problem, n=3)
+        scored = self._evaluate(problem, thoughts)
+        best = sorted(scored, key=lambda x: x[1], reverse=True)[:self.beam_width]
+        # 递归深入最佳路径
+```
+
+## 二、Prompt 设计技巧
+
+### 模板结构
+
+```python
+messages = [
+    {"role": "system", "content": "角色 + 能力边界 + 输出约束"},
+    {"role": "user", "content": "### 指令\n{task}\n### 输入\n{input}\n### 输出格式\n{format}"},
+]
+```
+
+### 优化原则
+
+| 原则 | 做 | 不做 |
+|------|-----|------|
+| 清晰性 | 具体、可执行、有约束 | 模糊指令 |
+| 结构化 | 分隔符、编号、格式 | 大段文字 |
+| 示例驱动 | 2-5 个高质量示例 | 无示例 |
+| 分步指令 | 步骤 1/2/3 | 一句话包办 |
+| 约束边界 | 说明要做和不做什么 | 无限制 |
+
+### 高级技巧
+
+```python
+# 元提示 — 用 LLM 生成 Prompt
+meta = "你是 Prompt 专家。为以下任务生成最优 Prompt: {task}"
+
+# 自我批评 — 生成 → 批评 → 改进
+answer = llm(question)
+critique = llm(f"批评: {answer}")
+improved = llm(f"基于批评改进: {critique}")
+```
+
+### Prompt 模板速查
+
+```yaml
+代码生成: "生成 {lang} 代码: {desc}。要求: 最佳实践 + 注释 + 异常处理"
+文本摘要: "总结为 {n} 字: {text}。保留关键信息，语言简洁"
+数据提取: "从文本提取 {fields}，输出 JSON: {text}"
+NL2SQL: "将自然语言转 SQL: {query}。表结构: {schema}"
+```
+
+## 三、模型评估
+
+### 评估维度
+
+| 维度 | 指标 | 适用场景 |
+|------|------|----------|
+| 准确性 | Accuracy, F1, Precision, Recall | 分类、NER |
+| 相关性 | Relevance, Context Precision | RAG、检索 |
+| 忠实性 | Faithfulness, Hallucination Rate | 生成任务 |
+| 效率 | Latency P95, Throughput, Cost/1K | 生产部署 |
+
+### RAGAS 框架
+
+```python
+from ragas import evaluate
+from ragas.metrics import faithfulness, answer_relevancy, context_precision, context_recall
+
+dataset = Dataset.from_dict({
+    "question": questions,
+    "answer": answers,
+    "contexts": contexts,
+    "ground_truth": ground_truths,
+})
+
+result = evaluate(dataset, metrics=[
+    faithfulness,        # 答案是否基于上下文（0-1）
+    answer_relevancy,    # 答案与问题相关度（0-1）
+    context_precision,   # 检索上下文中相关信息比例（0-1）
+    context_recall,      # 上下文是否包含所需全部信息（0-1）
+])
+```
+
+### LLM-as-Judge
+
+```python
+class LLMJudge:
+    def evaluate(self, question, answer, criteria):
+        prompt = f"""
+评估答案质量（1-5 分）:
+问题: {question}
+答案: {answer}
+标准: {criteria}
+
+输出 JSON: {{"accuracy": N, "completeness": N, "clarity": N, "overall": N, "feedback": "..."}}
+"""
+        return json.loads(self.llm.predict(prompt))
+
+# 成对比较 + ELO 排名
+def pairwise(q, a, b):
+    # 返回 {"winner": "A"|"B", "confidence": 0-1}
+    ...
+```
+
+### 基准测试速查
+
+| 基准 | 评估能力 | 核心指标 |
+|------|----------|----------|
+| MMLU | 多任务语言理解 | Accuracy |
+| HumanEval | 代码生成 | Pass@k |
+| GSM8K | 数学推理 | Accuracy (CoT) |
+| 自定义 | 业务场景 | 加权评分 + 延迟 |
+
+### 检索指标
+
+```python
+def evaluate_retrieval(retrieved, relevant, k=5):
+    precision_at_k = len(set(retrieved[:k]) & set(relevant)) / k
+    recall_at_k = len(set(retrieved[:k]) & set(relevant)) / len(relevant)
+    # MRR: 第一个相关文档的倒数排名
+    # NDCG: 归一化折损累积增益
+    return {"precision@k": precision_at_k, "recall@k": recall_at_k, "mrr": mrr, "ndcg": ndcg}
+```
+
+### 生成指标
+
+```python
+# ROUGE: 摘要质量（rouge-1, rouge-2, rouge-l）
+# BLEU: 翻译质量
+from rouge import Rouge
+rouge_scores = Rouge().get_scores(predictions, references, avg=True)
+```
+
+## 四、A/B 测试与监控
+
+### A/B 测试
+
+```python
+class ABTest:
+    def __init__(self, variants):  # [Variant(name, model, ratio)]
+        self.variants = variants
+
+    def get_variant(self, user_id):
+        # 一致性哈希分流
+        return self.variants[hash(user_id) % 100 < cumulative_ratio]
+
+    def check_significance(self, a_scores, b_scores, alpha=0.05):
+        t_stat, p_value = stats.ttest_ind(a_scores, b_scores)
+        cohens_d = (mean(a) - mean(b)) / pooled_std
+        return {"p_value": p_value, "significant": p_value < alpha, "effect": cohens_d}
+```
+
+### 持续监控
+
+```python
+from prometheus_client import Counter, Histogram, Gauge
+
+request_count = Counter('llm_requests_total', 'Total', ['model', 'status'])
+latency = Histogram('llm_latency_seconds', 'Latency', ['model'])
+quality = Gauge('llm_quality_score', 'Quality', ['model'])
+
+# 异常检测: Z-score > 2.0 触发告警
+class AnomalyDetector:
+    def check(self, value):
+        z = abs((value - mean(self.window)) / std(self.window))
+        return z > self.threshold
+```
+
+## 五、Checklist
+
+### Prompt 工程
+
+- 清晰指令 + 角色设定 + 输出格式约束
+- 复杂任务用 CoT / ReAct
+- 关键决策用 Self-Consistency 多路投票
+- 版本管理 Prompt，A/B 测试对比效果
+- 迭代优化：测试 → 分析 → 改进
+
+### 模型评估
+
+- 多维度评估：准确性 + 相关性 + 忠实性 + 效率
+- RAG 用 RAGAS 四指标
+- 自动评估 LLM-as-Judge + 定期人工抽检
+- 标准基准（MMLU/HumanEval）+ 业务自定义基准
+- 上线前 A/B 测试，上线后持续监控 + 异常告警
+- 反馈闭环：收集用户反馈持续改进
+
+## 工具速查
+
+| 工具 | 用途 |
+|------|------|
+| RAGAS | RAG 专用评估 |
+| LangSmith | LLM 应用监控 |
+| Phoenix | 可观测性平台 |
+| LangChain | Prompt 模板管理 |
+| Guidance | 结构化生成 |
+| OpenAI Evals | 模型评估框架 |
+| W&B | 实验追踪 |
+
+---

package/skills/domains/architecture/SKILL.md

@@ -1,6 +1,7 @@
 ---
 name: architecture
 description: 架构设计能力索引。API设计、安全架构、云原生、数据安全。当用户提到架构、设计、API、云原生时路由到此。
+license: MIT
 ---
 
 # 🏗 阵法秘典 · 架构设计能力中枢
@@ -11,12 +12,10 @@ description: 架构设计能力索引。API设计、安全架构、云原生、
 | Skill | 定位 | 核心能力 |
 |-------|------|----------|
 | [api-design](api-design.md) | API 设计 | RESTful、GraphQL、OpenAPI |
-| [security-arch](security-arch.md) | 安全架构 | 零信任、IAM、威胁建模 |
+| [security-arch](security-arch.md) | 安全架构 | 零信任、IAM、威胁建模、数据安全、合规审计 |
 | [cloud-native](cloud-native.md) | 云原生 | 容器、K8s、Serverless |
-| [data-security](data-security.md) | 数据安全 | 加密、隐私、合规 |
 | [message-queue](message-queue.md) | 消息队列 | Kafka、RabbitMQ、事件驱动 |
 | [caching](caching.md) | 缓存策略 | Redis、CDN、缓存一致性 |
-| [compliance](compliance.md) | 合规审计 | GDPR、SOC2、审计日志 |
 
 ## 架构原则
 

package/skills/domains/architecture/security-arch.md

@@ -208,3 +208,90 @@ E - Elevation of Privilege (权限提升):
   - [ ] WAF
 ```
 
+## 数据安全
+
+### 数据分类
+| 级别 | 类型 | 保护措施 | 示例 |
+|------|------|----------|------|
+| 公开 | Public | 无特殊要求 | 产品文档 |
+| 内部 | Internal | 访问控制 | 内部Wiki |
+| 机密 | Confidential | 加密+审计 | 客户数据 |
+| 受限 | Restricted | 加密+审计+MFA | 密钥、PII |
+
+### 加密要求
+```yaml
+传输加密:
+  - TLS 1.2+（禁用 1.0/1.1）
+  - 推荐: TLS_AES_256_GCM_SHA384 / TLS_CHACHA20_POLY1305_SHA256
+  - HSTS + 证书管理
+
+存储加密:
+  - AES-256-GCM（对称）+ 密钥与数据分离（KMS/Vault）+ 定期轮换
+
+密码存储:
+  - bcrypt (rounds>=12) 或 argon2，禁止 MD5/SHA1
+```
+
+### 隐私保护
+```yaml
+数据脱敏: 姓名(张**) / 手机(138****1234) / 邮箱(z***@x.com)
+数据最小化: 只收集必要数据 / 限制保留期限 / 定期清理 / 匿名化
+生命周期: 创建(分类)→存储(加密)→使用(审计)→共享(脱敏)→归档(压缩)→销毁(安全删除)
+```
+
+### 数据安全检查清单
+```yaml
+- [ ] 数据资产清单 + 敏感数据识别 + 数据流映射
+- [ ] 传输加密 + 存储加密 + 访问控制 + 数据脱敏
+- [ ] 访问日志 + 异常检测 + DLP
+```
+
+## 合规审计
+
+### 合规框架速查
+| 框架 | 适用范围 | 核心要求 | 处罚 |
+|------|----------|----------|------|
+| GDPR | 欧盟用户数据 | 数据保护、用户权利 | 营收4%或2000万欧 |
+| SOC 2 | SaaS/云服务 | 安全、可用、机密、隐私 | 失去客户信任 |
+| HIPAA | 医疗健康数据 | PHI保护 | $50K-$1.5M/次 |
+| PCI DSS | 支付卡数据 | 持卡人数据保护 | $5K-$100K/月 |
+
+### GDPR 用户权利 (DSAR)
+| 权利 | API | SLA |
+|------|-----|-----|
+| 访问权 | `GET /users/{id}/data-export` | 30天 |
+| 删除权 | `DELETE /users/{id}/data` | 30天 |
+| 可携带权 | `GET /users/{id}/data-export?format=json` | 30天 |
+| 限制处理 | `POST /users/{id}/restrict` | 72小时 |
+
+### SOC 2 关键控制
+```yaml
+访问控制: MFA强制 + RBAC + 最小权限 + 季度审查 + 离职即撤权
+变更管理: PR审查 + 分环境部署 + 审批流程 + 回滚方案
+监控告警: 安全事件监控 + 异常登录检测 + 数据访问审计
+事件响应: IR计划文档化 + 定期演练 + 72小时通知 + 事后复盘
+```
+
+### 审计日志要求
+```yaml
+必须审计: 登录/MFA/密码变更 | 权限/角色变更 | 敏感数据访问/导出/删除 | 配置/部署变更
+存储: 不可篡改(WORM) + 加密 + 异地备份
+保留: 安全事件>=1年 / 访问日志>=90天 / 变更>=3年 / 合规审计>=7年
+```
+
+### 合规即代码 (OPA)
+```rego
+deny[msg] {
+    input.resource_type == "aws_s3_bucket"
+    input.resource.acl == "public-read"
+    msg := sprintf("S3 %s must not be public", [input.resource.name])
+}
+```
+
+### 合规检查清单
+```yaml
+GDPR: 隐私政策 + 同意管理 + DSAR(30天) + 加密 + 保留策略 + 泄露通知(72h)
+SOC2: 访问控制+MFA + 变更管理 + IR计划 + 漏洞管理 + 安全培训
+审计: 日志覆盖关键操作 + 不可篡改 + 保留期限合规
+```
+