ethan-skill 1.11.0 → 1.13.0

package/dist/skills/31-threat-model.js

@@ -0,0 +1,240 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.threatModelSkill = void 0;
+exports.threatModelSkill = {
+    id: 'threat-model',
+    name: '威胁建模',
+    nameEn: 'threat_model',
+    order: 31,
+    description: '运用 STRIDE 方法识别系统安全威胁，构建攻击树，制定缓解措施与残余风险评估',
+    descriptionEn: 'Apply STRIDE methodology to identify security threats, build attack trees, define mitigations and assess residual risks',
+    detailDescription: `安全设计不能只靠直觉——威胁建模是将安全思考系统化的核心方法论。
+本 Skill 引导团队完成完整的威胁建模流程：定义系统边界和数据流，
+用 STRIDE 框架逐一识别六类威胁（仿冒/篡改/否认/信息泄露/DoS/权限提升），
+构建攻击树量化风险，为每个威胁制定具体的安全控制措施，
+最终形成可追踪的安全设计文档。`,
+    triggers: [
+        '威胁建模',
+        'threat model',
+        'threat modeling',
+        'stride',
+        '攻击面分析',
+        'security design',
+        '安全设计',
+        '攻击树',
+        '@ethan threat-model',
+        '/threat-model',
+    ],
+    steps: [
+        {
+            title: '1. 系统边界定义',
+            content: `明确系统的信任边界、数据流和外部实体：
+
+**系统分解步骤**
+
+1. **识别外部实体**（系统外部的人/系统）
+   - 终端用户（匿名用户、注册用户、管理员）
+   - 外部系统（第三方 API、支付网关、邮件服务）
+   - 内部其他服务（微服务间调用）
+
+2. **绘制数据流图（DFD Level 0）**
+\`\`\`
+[用户浏览器] ──HTTPS──> [Web 服务器] ──内网──> [应用服务器]
+                                                    │
+                                              [数据库服务器]
+                                                    │
+                                              [缓存 Redis]
+
+信任边界（虚线）：
+- 边界1：Internet / DMZ（用户浏览器 ↔ Web 服务器）
+- 边界2：DMZ / 内网（Web 服务器 ↔ 应用服务器）
+- 边界3：内网 / 数据层（应用服务器 ↔ DB/Cache）
+\`\`\`
+
+3. **数据资产分类**
+\`\`\`
+🔴 高度敏感：用户密码、信用卡信息、身份证号
+🟠 敏感：     邮箱、手机号、订单信息、行为数据
+🟡 普通：     商品信息、公开内容、系统配置
+\`\`\`
+
+4. **威胁面列举**
+   - 对外 API 端点数量：___
+   - 需要认证的接口：___
+   - 数据库直连点：___
+   - 第三方 SDK 集成：___
+
+**输出**：DFD 图 + 信任边界标注 + 数据资产清单`,
+        },
+        {
+            title: '2. STRIDE 威胁识别',
+            content: `用 STRIDE 框架对每个数据流逐一检查六类威胁：
+
+**STRIDE 威胁矩阵**
+
+| 威胁类型 | 缩写含义 | 核心问题 | 安全属性 |
+|---------|---------|---------|---------|
+| **Spoofing（仿冒）** | 攻击者伪装成合法用户/系统 | 系统如何验证身份？ | 认证 |
+| **Tampering（篡改）** | 恶意修改数据或代码 | 数据完整性如何保证？ | 完整性 |
+| **Repudiation（否认）** | 用户否认执行过某操作 | 是否有可信的操作记录？ | 不可否认性 |
+| **Information Disclosure（信息泄露）** | 敏感数据暴露给未授权方 | 数据在传输/存储中是否加密？ | 机密性 |
+| **Denial of Service（拒绝服务）** | 使系统无法响应合法请求 | 系统能承受多大压力？ | 可用性 |
+| **Elevation of Privilege（权限提升）** | 获得超出授权的权限 | 权限检查是否严格？ | 授权 |
+
+**针对登录接口的 STRIDE 分析示例**
+
+\`\`\`
+接口：POST /api/auth/login（外部 → 应用服务器）
+
+S - 仿冒：
+  威胁：攻击者暴力破解或凭据填充（Credential Stuffing）
+  影响：高（账号被盗）
+
+T - 篡改：
+  威胁：中间人攻击修改请求（非 HTTPS 场景）
+  影响：高（凭据被劫持）
+
+R - 否认：
+  威胁：用户否认登录操作（无日志）
+  影响：中（无法审计）
+
+I - 信息泄露：
+  威胁：错误信息泄露"用户不存在"vs"密码错误"
+  影响：中（可枚举用户名）
+
+D - 拒绝服务：
+  威胁：大量登录请求耗尽服务器资源
+  影响：高（服务不可用）
+
+E - 权限提升：
+  威胁：JWT 签名算法混淆（HS256 → None）
+  影响：严重（绕过认证）
+\`\`\`
+
+**输出**：STRIDE 威胁识别矩阵（每个数据流 × 6 类威胁）`,
+        },
+        {
+            title: '3. 攻击树构建',
+            content: `为高风险威胁构建攻击树，量化攻击路径：
+
+**攻击树符号**
+\`\`\`
+目标（攻击根节点）
+├── AND: 所有子节点都需满足
+└── OR: 任意子节点满足即可（默认）
+\`\`\`
+
+**示例：攻击者获取用户数据攻击树**
+\`\`\`
+[目标] 获取用户敏感数据
+├── OR
+│   ├── [路径1] 突破 Web 层
+│   │   ├── SQL 注入（概率: 中，影响: 严重）
+│   │   │   └── 防御：参数化查询 ✓
+│   │   └── XSS 窃取 Token（概率: 中，影响: 高）
+│   │       └── 防御：CSP + HttpOnly Cookie ✓
+│   ├── [路径2] 绕过认证
+│   │   ├── 暴力破解（概率: 高，影响: 高）
+│   │   │   └── 防御：Rate Limit + CAPTCHA ✓
+│   │   └── Token 伪造（概率: 低，影响: 严重）
+│   │       └── 防御：强签名算法（RS256）✓
+│   └── [路径3] 内部威胁
+│       └── 数据库直接访问（概率: 低，影响: 严重）
+│           └── 防御：最小权限 + 审计日志 ✓
+\`\`\`
+
+**风险评分（DREAD 模型）**
+\`\`\`
+Damage（损害）:        1-10
+Reproducibility（复现）: 1-10
+Exploitability（利用难度）: 1-10
+Affected Users（影响用户）: 1-10
+Discoverability（发现难度）: 1-10
+
+总分 = (D+R+E+A+D) / 5
+8-10：严重  6-7.9：高  4-5.9：中  < 4：低
+\`\`\`
+
+**输出**：攻击树图 + DREAD 风险评分表`,
+        },
+        {
+            title: '4. 安全控制措施',
+            content: `为每个已识别威胁制定具体的缓解控制措施：
+
+**STRIDE → 控制措施对照表**
+
+| 威胁 | 控制措施 | 实现示例 |
+|------|---------|---------|
+| **仿冒** | 多因素认证、OAuth 2.0 | \`TOTP + SMS OTP\` |
+| **篡改** | HTTPS 全程加密、数字签名 | \`TLS 1.3 + HMAC 请求签名\` |
+| **否认** | 不可篡改审计日志 | \`Append-only Log + 时间戳签名\` |
+| **信息泄露** | 最小权限、数据脱敏、加密 | \`AES-256 静态加密 + 字段脱敏\` |
+| **DoS** | 限流、WAF、自动扩容 | \`Rate Limit 10 req/s/IP + CDN\` |
+| **权限提升** | RBAC、输入验证 | \`JWT RS256 + 接口级鉴权\` |
+
+**优先级实现路线图**
+\`\`\`
+P0（立即实现，影响上线）：
+  ✅ HTTPS 强制（HSTS）
+  ✅ SQL 参数化查询
+  ✅ 密码 bcrypt 哈希（cost factor ≥ 12）
+  ✅ JWT 算法锁定（禁用 none/HS256→RS256）
+
+P1（首个 Sprint 内）：
+  🔲 API 限流（100 req/min/user）
+  🔲 账号锁定（5次失败锁定15分钟）
+  🔲 安全响应头（CSP/X-Frame-Options/HSTS）
+  🔲 审计日志（登录/权限变更/数据访问）
+
+P2（次个 Sprint 内）：
+  🔲 多因素认证（MFA）
+  🔲 字段级数据脱敏（API 响应）
+  🔲 依赖漏洞扫描（npm audit / Snyk）
+  🔲 渗透测试（OWASP Top 10 覆盖）
+\`\`\`
+
+**输出**：安全控制措施清单 + 实现优先级路线图`,
+        },
+        {
+            title: '5. 残余风险评估',
+            content: `评估实施控制措施后的剩余风险，制定接受/处置策略：
+
+**四种风险处置方式**
+- **接受（Accept）**：风险可接受，记录并监控
+- **降低（Mitigate）**：实施控制措施降低概率/影响
+- **转移（Transfer）**：购买保险或外包给第三方（如 Cloudflare DDoS 防护）
+- **规避（Avoid）**：不实现该功能/移除风险点
+
+**残余风险登记册模板**
+\`\`\`
+| ID | 威胁描述 | 原始风险 | 控制措施 | 残余风险 | 处置策略 | 责任人 | 复查日期 |
+|----|---------|---------|---------|---------|---------|--------|---------|
+| T001 | 暴力破解密码 | 高(8) | Rate Limit + CAPTCHA | 低(2) | 接受 | @security | 2024-Q2 |
+| T002 | SQL注入 | 严重(9) | 参数化查询 | 极低(1) | 接受 | @backend | 2024-Q2 |
+| T003 | DDoS攻击 | 高(7) | Cloudflare | 低(3) | 转移 | @infra | 2024-Q2 |
+| T004 | 0-day漏洞 | 未知 | WAF + 快速响应 | 中(5) | 监控 | @security | 月度 |
+\`\`\`
+
+**安全评审 Checklist**
+- [ ] 所有 P0 控制措施已实现并测试
+- [ ] 威胁模型已经过安全团队评审
+- [ ] 高风险威胁已获得业务方正式接受签字
+- [ ] 残余风险已录入风险登记册
+- [ ] 设定下次威胁模型复审日期（建议每季度或重大变更后）
+
+**输出**：残余风险登记册 + 风险接受声明 + 复审计划`,
+        },
+    ],
+    outputFormat: '威胁模型文档（DFD + 信任边界）+ STRIDE 威胁矩阵 + 攻击树图 + 安全控制措施路线图 + 残余风险登记册',
+    examples: [],
+    notes: [
+        '威胁建模应在设计阶段进行，而非开发完成后——越早发现安全问题修复成本越低',
+        'STRIDE 不是一次性工作，每次重大功能变更（新 API、新数据流）都应更新威胁模型',
+        '攻击树帮助量化优先级，但不要追求完美——覆盖 OWASP Top 10 对大多数产品已足够',
+        '内部人员威胁（离职员工、权限滥用）往往被忽视，建议在威胁建模中专门分析',
+        '威胁建模输出文档应纳入安全合规证据库（SOC2/ISO27001 审计常见要求）',
+    ],
+    category: '质量侧',
+    nextSkill: 'security-review',
+};
+//# sourceMappingURL=31-threat-model.js.map

package/dist/skills/31-threat-model.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"31-threat-model.js","sourceRoot":"","sources":["../../src/skills/31-threat-model.ts"],"names":[],"mappings":";;;AAEa,QAAA,gBAAgB,GAAoB;IAC/C,EAAE,EAAE,cAAc;IAClB,IAAI,EAAE,MAAM;IACZ,MAAM,EAAE,cAAc;IACtB,KAAK,EAAE,EAAE;IACT,WAAW,EAAE,0CAA0C;IACvD,aAAa,EAAE,yHAAyH;IACxI,iBAAiB,EAAE;;;;gBAIL;IACd,QAAQ,EAAE;QACR,MAAM;QACN,cAAc;QACd,iBAAiB;QACjB,QAAQ;QACR,OAAO;QACP,iBAAiB;QACjB,MAAM;QACN,KAAK;QACL,qBAAqB;QACrB,eAAe;KAChB;IACD,KAAK,EAAE;QACL;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;+BAoCgB;SAC1B;QACD;YACE,KAAK,EAAE,gBAAgB;YACvB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;oCA2CqB;SAC/B;QACD;YACE,KAAK,EAAE,UAAU;YACjB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;0BAwCW;SACrB;QACD;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;2BAkCY;SACtB;QACD;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;+BAyBgB;SAC1B;KACF;IACD,YAAY,EAAE,8DAA8D;IAC5E,QAAQ,EAAE,EAAE;IACZ,KAAK,EAAE;QACL,sCAAsC;QACtC,6CAA6C;QAC7C,+CAA+C;QAC/C,qCAAqC;QACrC,0CAA0C;KAC3C;IACD,QAAQ,EAAE,KAAK;IACf,SAAS,EAAE,iBAAiB;CAC7B,CAAC"}

package/dist/skills/32-green-code.d.ts

@@ -0,0 +1,3 @@
+import type { SkillDefinition } from './types';
+export declare const greenCodeSkill: SkillDefinition;
+//# sourceMappingURL=32-green-code.d.ts.map

package/dist/skills/32-green-code.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"32-green-code.d.ts","sourceRoot":"","sources":["../../src/skills/32-green-code.ts"],"names":[],"mappings":"AAAA,OAAO,KAAK,EAAE,eAAe,EAAE,MAAM,SAAS,CAAC;AAE/C,eAAO,MAAM,cAAc,EAAE,eAqV5B,CAAC"}

package/dist/skills/32-green-code.js

@@ -0,0 +1,346 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.greenCodeSkill = void 0;
+exports.greenCodeSkill = {
+    id: 'green-code',
+    name: '绿色编码实践',
+    nameEn: 'green_code',
+    order: 32,
+    description: '识别代码能耗热点，优化算法复杂度与云资源效率，估算并降低软件碳排放',
+    descriptionEn: 'Identify code energy hotspots, optimize algorithm complexity and cloud resource efficiency, estimate and reduce software carbon footprint',
+    detailDescription: `软件系统的碳排放已成为不可忽视的环境责任——全球 IT 行业贡献了约 2-4% 的碳排放。
+本 Skill 提供务实的绿色编码方法：从识别 CPU 密集、无效轮询、内存泄漏等能耗热点，
+到算法复杂度优化和云资源 Right-sizing，再到前端绿色实践和碳排放量化，
+让工程师在不牺牲性能的前提下写出更节能的代码。`,
+    triggers: [
+        '绿色编码',
+        'green code',
+        'green software',
+        'carbon footprint',
+        '能耗优化',
+        'sustainable code',
+        '碳排放',
+        '节能',
+        '@ethan green-code',
+        '/green-code',
+    ],
+    steps: [
+        {
+            title: '1. 能耗热点识别',
+            content: `扫描代码库，定位高能耗模式：
+
+**六大能耗反模式**
+
+| 反模式 | 表现 | 能耗级别 |
+|--------|------|---------|
+| **无效轮询** | \`while(true) { check(); sleep(100) }\` | 🔴 极高 |
+| **CPU 密集循环** | 嵌套循环处理大数据集 | 🔴 极高 |
+| **内存泄漏** | 对象无法被 GC 回收 | 🟠 高 |
+| **冗余网络请求** | 重复请求相同资源 | 🟠 高 |
+| **过度序列化** | 频繁 JSON.stringify 大对象 | 🟡 中 |
+| **阻塞 I/O** | 同步文件读写阻塞主线程 | 🟡 中 |
+
+**识别工具命令**
+\`\`\`bash
+# Node.js — CPU Profile
+node --prof app.js
+node --prof-process isolate-*.log > profile.txt
+
+# 内存快照（Node.js）
+node --heap-prof app.js
+
+# 前端 — Chrome DevTools
+# Performance 面板 → Record → 分析 Long Tasks（>50ms）
+
+# Python — cProfile
+python -m cProfile -o output.prof app.py
+python -m pstats output.prof  # 查看热点函数
+\`\`\`
+
+**无效轮询重构**
+\`\`\`typescript
+// ❌ 能耗高：每 100ms 轮询
+while (true) {
+  const status = await checkJobStatus(jobId);
+  if (status === 'done') break;
+  await sleep(100);
+}
+
+// ✅ 绿色：指数退避 + 最大间隔
+async function pollWithBackoff(jobId: string) {
+  let delay = 500;
+  const MAX_DELAY = 30000;
+  while (true) {
+    const status = await checkJobStatus(jobId);
+    if (status === 'done') return;
+    await sleep(Math.min(delay, MAX_DELAY));
+    delay *= 1.5;
+  }
+}
+
+// ✅ 更绿色：WebSocket / SSE（服务端推送，零轮询）
+const ws = new WebSocket('/api/jobs/status');
+ws.onmessage = (e) => handleUpdate(JSON.parse(e.data));
+\`\`\`
+
+**输出**：能耗热点清单（位置 + 类型 + 估算影响）`,
+        },
+        {
+            title: '2. 算法复杂度优化',
+            content: `用低复杂度算法替换高能耗实现：
+
+**复杂度对碳排放的影响（1M 数据量对比）**
+\`\`\`
+O(n²)  → 10^12 操作 → 约 100W CPU 秒  🔴
+O(n log n) → 2×10^7 操作 → 约 20ms     🟢
+O(n)   → 10^6 操作  → 约 1ms          🟢
+O(1)   → 1 操作     → 即时            🟢
+\`\`\`
+
+**常见优化模式**
+
+**① 嵌套循环 → 哈希查找**
+\`\`\`typescript
+// ❌ O(n²) — 大数据量极度消耗 CPU
+function findMatches(users: User[], orders: Order[]) {
+  return orders.filter(order =>
+    users.some(user => user.id === order.userId) // O(n) per order
+  );
+}
+
+// ✅ O(n) — 预建索引
+function findMatchesOptimized(users: User[], orders: Order[]) {
+  const userMap = new Map(users.map(u => [u.id, u]));  // 一次性 O(n)
+  return orders.filter(order => userMap.has(order.userId)); // O(1) per order
+}
+\`\`\`
+
+**② 重复计算 → 缓存/记忆化**
+\`\`\`typescript
+// ❌ 每次调用重新计算
+function expensiveCalc(n: number) { /* O(2^n) */ }
+
+// ✅ 记忆化缓存
+const memo = new Map<number, number>();
+function cachedCalc(n: number): number {
+  if (memo.has(n)) return memo.get(n)!;
+  const result = expensiveCalc(n);
+  memo.set(n, result);
+  return result;
+}
+\`\`\`
+
+**③ 大列表操作 → 流式处理**
+\`\`\`typescript
+// ❌ 全量加载到内存
+const allRecords = await db.findAll(); // 可能 100MB
+processAll(allRecords);
+
+// ✅ 流式分批处理
+const BATCH = 1000;
+for await (const batch of db.findInBatches(BATCH)) {
+  await processBatch(batch);
+}
+\`\`\`
+
+**输出**：算法优化建议 + 重构前后复杂度对比`,
+        },
+        {
+            title: '3. 云资源效率优化',
+            content: `减少云资源浪费，降低运行能耗：
+
+**云资源三大浪费来源**
+\`\`\`
+1. Over-provisioning（过度配置）：实际 CPU 利用率 < 20%，却购买了大型实例
+2. 僵尸资源：停止的 EC2、未挂载的 EBS 卷、空闲的 NAT 网关
+3. 低效架构：长时间运行的大实例 vs. Serverless 按需执行
+\`\`\`
+
+**Right-sizing 实践**
+\`\`\`bash
+# AWS — 查看 CPU 利用率趋势（CloudWatch）
+aws cloudwatch get-metric-statistics \
+  --metric-name CPUUtilization \
+  --dimensions Name=InstanceId,Value=i-xxxx \
+  --start-time 2024-01-01T00:00:00 \
+  --end-time 2024-01-31T00:00:00 \
+  --period 86400 --statistics Average
+
+# 建议：平均 CPU < 20% → 降低一档实例类型
+# m5.xlarge (4 vCPU) → m5.large (2 vCPU) = 节省 50% 成本和能耗
+\`\`\`
+
+**自动伸缩配置（节能关键）**
+\`\`\`yaml
+# Kubernetes HPA — 按 CPU 自动伸缩
+apiVersion: autoscaling/v2
+kind: HorizontalPodAutoscaler
+metadata:
+  name: api-server
+spec:
+  minReplicas: 1   # 低峰期缩减到 1 个副本
+  maxReplicas: 10
+  metrics:
+  - type: Resource
+    resource:
+      name: cpu
+      target:
+        type: Utilization
+        averageUtilization: 60
+\`\`\`
+
+**Serverless 适用场景**
+\`\`\`
+适合 Serverless（事件驱动，闲时零消耗）：
+✅ 图片处理、文件转换
+✅ 定时任务、数据同步
+✅ Webhook 处理器
+
+不适合 Serverless（冷启动延迟不可接受）：
+❌ 实时游戏服务器
+❌ 高频低延迟 API（< 100ms SLA）
+\`\`\`
+
+**输出**：云资源优化建议（Right-sizing + 自动伸缩 + 架构选型）`,
+        },
+        {
+            title: '4. 前端绿色实践',
+            content: `减少前端资源消耗，降低设备端能耗：
+
+**前端能耗五大优化**
+
+**① JavaScript Bundle 瘦身**
+\`\`\`bash
+# 分析 Bundle 大小
+npx webpack-bundle-analyzer stats.json
+npx vite-bundle-visualizer
+
+# 目标：首屏 JS < 150KB (gzipped)
+\`\`\`
+
+\`\`\`typescript
+// ✅ Tree-shaking（只导入用到的函数）
+import { debounce } from 'lodash-es';  // 不要 import _ from 'lodash'
+
+// ✅ 动态导入（按需加载非关键模块）
+const HeavyChart = lazy(() => import('./HeavyChart'));
+
+// ✅ 外部化大型库（CDN 缓存复用）
+// vite.config.ts
+build: { rollupOptions: { external: ['react', 'react-dom'] } }
+\`\`\`
+
+**② 图片优化**
+\`\`\`html
+<!-- ✅ 现代格式 + 响应式 -->
+<picture>
+  <source srcset="hero.avif" type="image/avif">
+  <source srcset="hero.webp" type="image/webp">
+  <img src="hero.jpg" width="800" height="600"
+       loading="lazy" decoding="async" alt="...">
+</picture>
+<!-- WebP 比 JPEG 小 30%，AVIF 比 JPEG 小 50% -->
+\`\`\`
+
+**③ CSS 精简**
+\`\`\`bash
+# PurgeCSS — 移除未使用的 CSS
+npx purgecss --css dist/*.css --content dist/*.html dist/*.js --output dist/
+\`\`\`
+
+**④ 减少不必要的动画**
+\`\`\`css
+/* 尊重用户的省电模式偏好 */
+@media (prefers-reduced-motion: reduce) {
+  *, *::before, *::after {
+    animation-duration: 0.01ms !important;
+    transition-duration: 0.01ms !important;
+  }
+}
+\`\`\`
+
+**⑤ 高效 DOM 操作**
+\`\`\`typescript
+// ❌ 频繁触发 Reflow
+items.forEach(item => {
+  item.style.width = container.offsetWidth + 'px'; // 每次读写触发 Reflow
+});
+
+// ✅ 批量读后批量写
+const width = container.offsetWidth; // 一次读取
+items.forEach(item => { item.style.width = width + 'px'; }); // 批量写
+\`\`\`
+
+**输出**：前端绿色实践清单 + Bundle 分析建议`,
+        },
+        {
+            title: '5. 碳排放估算',
+            content: `用 SCI（Software Carbon Intensity）公式量化软件碳排放：
+
+**SCI 公式**
+\`\`\`
+SCI = (E × I) + M
+
+E = 软件消耗的电能（kWh）
+I = 电网碳强度（gCO₂eq/kWh）— 取决于服务器所在地区
+M = 硬件制造碳排放（均摊到使用寿命）
+\`\`\`
+
+**各地区电网碳强度参考**
+\`\`\`
+地区          碳强度 (gCO₂eq/kWh)
+─────────────────────────────────
+西欧 / Nordic   ~150-300  （可再生能源占比高）
+us-east-1       ~350-400
+ap-northeast-1  ~450-500  （日本，主要火电）
+cn-north-1      ~550-600  （中国，煤电为主）
+AWS GovCloud    ~200      （承诺使用清洁能源）
+\`\`\`
+
+**API 服务碳排放估算示例**
+\`\`\`
+假设：
+- API 服务器：4 vCPU，平均 40% 利用率
+- TDP（热设计功耗）：100W（4 vCPU 服务器）
+- 实际功耗：100W × 40% × PUE(1.2) = 48W
+- 每月运行：48W × 730h = 35 kWh
+- 碳排放（us-east-1，380 gCO₂/kWh）：
+  35 × 380 = 13,300 gCO₂ = 13.3 kg CO₂/月
+
+优化后（CPU 利用率从 40% 优化到 20% 后缩容）：
+  12W × 730h × 380 / 1000 = 3.3 kg CO₂/月
+  节省：10 kg CO₂/月（减少 75%）
+\`\`\`
+
+**绿色目标设定**
+\`\`\`
+当前基准: ___ gCO₂/1000 API 请求
+目标（3个月）: 降低 30%
+目标（1年）: 迁移到低碳区域（or 可再生能源数据中心）
+\`\`\`
+
+**Carbon.txt 声明**（向用户公示绿色承诺）
+\`\`\`
+# /carbon.txt
+We are committed to reducing our software's carbon footprint.
+Hosting: AWS us-west-2 (powered by renewable energy)
+Current SCI: 15g CO₂eq per 1000 requests
+Target: < 10g CO₂eq per 1000 requests by 2025
+\`\`\`
+
+**输出**：碳排放基准报告 + SCI 计算表 + 减碳路线图`,
+        },
+    ],
+    outputFormat: '能耗热点报告 + 算法优化建议 + 云资源 Right-sizing 方案 + 前端绿色实践 Checklist + 碳排放估算（SCI）',
+    examples: [],
+    notes: [
+        '绿色编码和性能优化高度重合——节能的代码往往也是更快的代码，两者并不冲突',
+        '将服务器迁移到使用可再生能源的区域（如 AWS us-west-2 Oregon）是降低碳排放最立竿见影的方式',
+        '前端优化对碳排放影响巨大：每减少 1KB JS，每百万用户每年可节省约 0.5 kg CO₂',
+        'SCI 指标建议纳入团队 KPI，每季度度量，与其他工程指标（性能/可用性）并列追踪',
+        '使用 AWS Customer Carbon Footprint Tool 或 Google Cloud Carbon Footprint 获取真实数据',
+    ],
+    category: '质量侧',
+    nextSkill: 'performance',
+};
+//# sourceMappingURL=32-green-code.js.map

package/dist/skills/32-green-code.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"32-green-code.js","sourceRoot":"","sources":["../../src/skills/32-green-code.ts"],"names":[],"mappings":";;;AAEa,QAAA,cAAc,GAAoB;IAC7C,EAAE,EAAE,YAAY;IAChB,IAAI,EAAE,QAAQ;IACd,MAAM,EAAE,YAAY;IACpB,KAAK,EAAE,EAAE;IACT,WAAW,EAAE,mCAAmC;IAChD,aAAa,EAAE,2IAA2I;IAC1J,iBAAiB,EAAE;;;wBAGG;IACtB,QAAQ,EAAE;QACR,MAAM;QACN,YAAY;QACZ,gBAAgB;QAChB,kBAAkB;QAClB,MAAM;QACN,kBAAkB;QAClB,KAAK;QACL,IAAI;QACJ,mBAAmB;QACnB,aAAa;KACd;IACD,KAAK,EAAE;QACL;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;8BAwDe;SACzB;QACD;YACE,KAAK,EAAE,YAAY;YACnB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;0BAwDW;SACrB;QACD;YACE,KAAK,EAAE,YAAY;YACnB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;2CAsD4B;SACtC;QACD;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;8BAkEe;SACzB;QACD;YACE,KAAK,EAAE,UAAU;YACjB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;iCAqDkB;SAC5B;KACF;IACD,YAAY,EAAE,uEAAuE;IACrF,QAAQ,EAAE,EAAE;IACZ,KAAK,EAAE;QACL,sCAAsC;QACtC,yDAAyD;QACzD,gDAAgD;QAChD,4CAA4C;QAC5C,8EAA8E;KAC/E;IACD,QAAQ,EAAE,KAAK;IACf,SAAS,EAAE,aAAa;CACzB,CAAC"}

package/dist/skills/33-service-catalog.d.ts

@@ -0,0 +1,3 @@
+import type { SkillDefinition } from './types';
+export declare const serviceCatalogSkill: SkillDefinition;
+//# sourceMappingURL=33-service-catalog.d.ts.map

package/dist/skills/33-service-catalog.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"33-service-catalog.d.ts","sourceRoot":"","sources":["../../src/skills/33-service-catalog.ts"],"names":[],"mappings":"AAAA,OAAO,KAAK,EAAE,eAAe,EAAE,MAAM,SAAS,CAAC;AAE/C,eAAO,MAAM,mBAAmB,EAAE,eAyUjC,CAAC"}