ethan-skill 1.6.0 → 1.8.0

package/dist/loader/custom-pipeline-loader.js

@@ -0,0 +1,131 @@
+"use strict";
+/**
+ * 自定义 Pipeline 加载器
+ * 从项目的 .ethan/pipelines/ 目录加载用户自定义 Pipeline（YAML 或 JSON 格式）
+ */
+var __createBinding = (this && this.__createBinding) || (Object.create ? (function(o, m, k, k2) {
+    if (k2 === undefined) k2 = k;
+    var desc = Object.getOwnPropertyDescriptor(m, k);
+    if (!desc || ("get" in desc ? !m.__esModule : desc.writable || desc.configurable)) {
+      desc = { enumerable: true, get: function() { return m[k]; } };
+    }
+    Object.defineProperty(o, k2, desc);
+}) : (function(o, m, k, k2) {
+    if (k2 === undefined) k2 = k;
+    o[k2] = m[k];
+}));
+var __setModuleDefault = (this && this.__setModuleDefault) || (Object.create ? (function(o, v) {
+    Object.defineProperty(o, "default", { enumerable: true, value: v });
+}) : function(o, v) {
+    o["default"] = v;
+});
+var __importStar = (this && this.__importStar) || (function () {
+    var ownKeys = function(o) {
+        ownKeys = Object.getOwnPropertyNames || function (o) {
+            var ar = [];
+            for (var k in o) if (Object.prototype.hasOwnProperty.call(o, k)) ar[ar.length] = k;
+            return ar;
+        };
+        return ownKeys(o);
+    };
+    return function (mod) {
+        if (mod && mod.__esModule) return mod;
+        var result = {};
+        if (mod != null) for (var k = ownKeys(mod), i = 0; i < k.length; i++) if (k[i] !== "default") __createBinding(result, mod, k[i]);
+        __setModuleDefault(result, mod);
+        return result;
+    };
+})();
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.loadCustomPipelines = loadCustomPipelines;
+exports.generatePipelineTemplate = generatePipelineTemplate;
+const fs = __importStar(require("fs"));
+const path = __importStar(require("path"));
+const CUSTOM_PIPELINES_DIR = '.ethan/pipelines';
+/**
+ * 从指定目录加载自定义 Pipeline 定义
+ * 支持 .yaml、.yml、.json 格式
+ */
+function loadCustomPipelines(cwd = process.cwd()) {
+    const pipelinesDir = path.join(cwd, CUSTOM_PIPELINES_DIR);
+    if (!fs.existsSync(pipelinesDir))
+        return [];
+    const files = fs.readdirSync(pipelinesDir).filter((f) => /\.(ya?ml|json)$/i.test(f));
+    const pipelines = [];
+    for (const file of files) {
+        const filePath = path.join(pipelinesDir, file);
+        try {
+            const raw = fs.readFileSync(filePath, 'utf-8');
+            let data;
+            if (/\.json$/i.test(file)) {
+                data = JSON.parse(raw);
+            }
+            else {
+                // eslint-disable-next-line @typescript-eslint/no-require-imports
+                const yaml = require('js-yaml');
+                data = yaml.load(raw);
+            }
+            const pipeline = validateCustomPipeline(data, file);
+            if (pipeline) {
+                pipelines.push(pipeline);
+            }
+        }
+        catch (err) {
+            console.warn(`  ⚠️  Failed to load custom pipeline: ${file} — ${err.message}`);
+        }
+    }
+    return pipelines;
+}
+/**
+ * 验证自定义 Pipeline 数据结构，返回合法的 PipelineDefinition 或 null
+ */
+function validateCustomPipeline(data, filename) {
+    if (typeof data !== 'object' || data === null) {
+        console.warn(`  ⚠️  ${filename}: root must be an object`);
+        return null;
+    }
+    const d = data;
+    const required = ['id', 'name', 'description', 'skillIds'];
+    for (const key of required) {
+        if (!d[key]) {
+            console.warn(`  ⚠️  ${filename}: missing required field "${key}"`);
+            return null;
+        }
+    }
+    if (!Array.isArray(d.skillIds) || d.skillIds.length === 0) {
+        console.warn(`  ⚠️  ${filename}: "skillIds" must be a non-empty array`);
+        return null;
+    }
+    return {
+        id: String(d.id),
+        name: String(d.name),
+        description: String(d.description),
+        skillIds: d.skillIds.map(String),
+    };
+}
+/**
+ * 生成自定义 Pipeline 的 YAML 模板文件
+ */
+function generatePipelineTemplate() {
+    return `# Ethan 自定义 Pipeline 模板
+# Pipeline 是多个 Skill 的有序组合，支持链式工作流
+
+id: my-pipeline              # 唯一标识符（用于 ethan pipeline run <id>）
+name: 我的工作流              # 显示名称
+description: 一句话描述这条 Pipeline 的用途
+
+# skillIds: 按执行顺序填写 Skill ID
+# 可用内置 Skill ID:
+#   requirement-understanding, task-breakdown, solution-design,
+#   implementation, progress-tracking, task-report, weekly-report,
+#   code-review, debug, tech-research,
+#   api-design, security-review, deployment, prd
+# 也可以使用自定义 Skill 的 ID（需先在 .ethan/skills/ 中定义）
+skillIds:
+  - requirement-understanding
+  - solution-design
+  - implementation
+  - code-review
+`;
+}
+//# sourceMappingURL=custom-pipeline-loader.js.map

package/dist/loader/custom-pipeline-loader.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"custom-pipeline-loader.js","sourceRoot":"","sources":["../../src/loader/custom-pipeline-loader.ts"],"names":[],"mappings":";AAAA;;;GAGG;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;AAYH,kDAgCC;AAqCD,4DAqBC;AApGD,uCAAyB;AACzB,2CAA6B;AAG7B,MAAM,oBAAoB,GAAG,kBAAkB,CAAC;AAEhD;;;GAGG;AACH,SAAgB,mBAAmB,CAAC,MAAc,OAAO,CAAC,GAAG,EAAE;IAC7D,MAAM,YAAY,GAAG,IAAI,CAAC,IAAI,CAAC,GAAG,EAAE,oBAAoB,CAAC,CAAC;IAC1D,IAAI,CAAC,EAAE,CAAC,UAAU,CAAC,YAAY,CAAC;QAAE,OAAO,EAAE,CAAC;IAE5C,MAAM,KAAK,GAAG,EAAE,CAAC,WAAW,CAAC,YAAY,CAAC,CAAC,MAAM,CAAC,CAAC,CAAC,EAAE,EAAE,CAAC,kBAAkB,CAAC,IAAI,CAAC,CAAC,CAAC,CAAC,CAAC;IAErF,MAAM,SAAS,GAAyB,EAAE,CAAC;IAE3C,KAAK,MAAM,IAAI,IAAI,KAAK,EAAE,CAAC;QACzB,MAAM,QAAQ,GAAG,IAAI,CAAC,IAAI,CAAC,YAAY,EAAE,IAAI,CAAC,CAAC;QAC/C,IAAI,CAAC;YACH,MAAM,GAAG,GAAG,EAAE,CAAC,YAAY,CAAC,QAAQ,EAAE,OAAO,CAAC,CAAC;YAE/C,IAAI,IAAa,CAAC;YAClB,IAAI,UAAU,CAAC,IAAI,CAAC,IAAI,CAAC,EAAE,CAAC;gBAC1B,IAAI,GAAG,IAAI,CAAC,KAAK,CAAC,GAAG,CAAC,CAAC;YACzB,CAAC;iBAAM,CAAC;gBACN,iEAAiE;gBACjE,MAAM,IAAI,GAAG,OAAO,CAAC,SAAS,CAAqC,CAAC;gBACpE,IAAI,GAAG,IAAI,CAAC,IAAI,CAAC,GAAG,CAAC,CAAC;YACxB,CAAC;YAED,MAAM,QAAQ,GAAG,sBAAsB,CAAC,IAAI,EAAE,IAAI,CAAC,CAAC;YACpD,IAAI,QAAQ,EAAE,CAAC;gBACb,SAAS,CAAC,IAAI,CAAC,QAAQ,CAAC,CAAC;YAC3B,CAAC;QACH,CAAC;QAAC,OAAO,GAAG,EAAE,CAAC;YACb,OAAO,CAAC,IAAI,CAAC,yCAAyC,IAAI,MAAO,GAAa,CAAC,OAAO,EAAE,CAAC,CAAC;QAC5F,CAAC;IACH,CAAC;IAED,OAAO,SAAS,CAAC;AACnB,CAAC;AAED;;GAEG;AACH,SAAS,sBAAsB,CAAC,IAAa,EAAE,QAAgB;IAC7D,IAAI,OAAO,IAAI,KAAK,QAAQ,IAAI,IAAI,KAAK,IAAI,EAAE,CAAC;QAC9C,OAAO,CAAC,IAAI,CAAC,SAAS,QAAQ,0BAA0B,CAAC,CAAC;QAC1D,OAAO,IAAI,CAAC;IACd,CAAC;IAED,MAAM,CAAC,GAAG,IAA+B,CAAC;IAE1C,MAAM,QAAQ,GAAG,CAAC,IAAI,EAAE,MAAM,EAAE,aAAa,EAAE,UAAU,CAAC,CAAC;IAC3D,KAAK,MAAM,GAAG,IAAI,QAAQ,EAAE,CAAC;QAC3B,IAAI,CAAC,CAAC,CAAC,GAAG,CAAC,EAAE,CAAC;YACZ,OAAO,CAAC,IAAI,CAAC,SAAS,QAAQ,6BAA6B,GAAG,GAAG,CAAC,CAAC;YACnE,OAAO,IAAI,CAAC;QACd,CAAC;IACH,CAAC;IAED,IAAI,CAAC,KAAK,CAAC,OAAO,CAAC,CAAC,CAAC,QAAQ,CAAC,IAAK,CAAC,CAAC,QAAsB,CAAC,MAAM,KAAK,CAAC,EAAE,CAAC;QACzE,OAAO,CAAC,IAAI,CAAC,SAAS,QAAQ,wCAAwC,CAAC,CAAC;QACxE,OAAO,IAAI,CAAC;IACd,CAAC;IAED,OAAO;QACL,EAAE,EAAE,MAAM,CAAC,CAAC,CAAC,EAAE,CAAC;QAChB,IAAI,EAAE,MAAM,CAAC,CAAC,CAAC,IAAI,CAAC;QACpB,WAAW,EAAE,MAAM,CAAC,CAAC,CAAC,WAAW,CAAC;QAClC,QAAQ,EAAG,CAAC,CAAC,QAAsB,CAAC,GAAG,CAAC,MAAM,CAAC;KAChD,CAAC;AACJ,CAAC;AAED;;GAEG;AACH,SAAgB,wBAAwB;IACtC,OAAO;;;;;;;;;;;;;;;;;;;CAmBR,CAAC;AACF,CAAC"}

package/dist/skills/11-api-design.d.ts

@@ -0,0 +1,3 @@
+import type { SkillDefinition } from './types';
+export declare const apiDesignSkill: SkillDefinition;
+//# sourceMappingURL=11-api-design.d.ts.map

package/dist/skills/11-api-design.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"11-api-design.d.ts","sourceRoot":"","sources":["../../src/skills/11-api-design.ts"],"names":[],"mappings":"AAAA,OAAO,KAAK,EAAE,eAAe,EAAE,MAAM,SAAS,CAAC;AAE/C,eAAO,MAAM,cAAc,EAAE,eAkN5B,CAAC"}

package/dist/skills/11-api-design.js

@@ -0,0 +1,214 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.apiDesignSkill = void 0;
+exports.apiDesignSkill = {
+    id: 'api-design',
+    name: '接口设计',
+    nameEn: 'api_design',
+    order: 11,
+    description: '基于业务需求设计清晰、可演进的 RESTful / GraphQL 接口规范，输出接口文档',
+    descriptionEn: 'Design RESTful or GraphQL APIs with clear contracts, versioning strategy, and documentation',
+    detailDescription: `根据业务需求和系统边界，设计语义清晰、可版本演进的 API 接口，
+覆盖路径设计、请求/响应体、状态码、认证鉴权、错误处理和分页策略，
+最终输出标准化接口规范文档（OpenAPI 3.0 风格）。`,
+    triggers: [
+        '接口设计',
+        'API 设计',
+        'api design',
+        '设计接口',
+        '接口规范',
+        'RESTful 设计',
+        'GraphQL 设计',
+        '设计 REST API',
+        '设计 API',
+        '@ethan api',
+        '@ethan 接口',
+        '/接口设计',
+    ],
+    steps: [
+        {
+            title: '1. 明确业务边界与资源模型',
+            content: `- 梳理本次需要暴露的**核心业务实体**（资源）
+- 确定资源间的关联关系：一对一 / 一对多 / 多对多
+- 识别操作类型：CRUD、操作型动作（如 /activate、/cancel）
+- 确认调用方（Web / App / 第三方 / 内部服务）
+- 确认认证方式：JWT / OAuth2 / API Key / Session`,
+        },
+        {
+            title: '2. 设计 URL 路径与 HTTP 方法',
+            content: `遵循 REST 语义设计路径：
+
+**命名规范**
+- 使用复数名词表示集合：\`/users\`、\`/orders\`
+- 资源嵌套不超过 2 层：\`/users/{id}/orders\`
+- 动作使用子资源表达：\`POST /orders/{id}/cancel\`
+- 使用小写 kebab-case：\`/user-profiles\`
+
+**HTTP 方法映射**
+| 方法 | 场景 | 幂等性 |
+|------|------|--------|
+| GET | 查询（单个/列表） | ✅ |
+| POST | 创建 / 触发动作 | ❌ |
+| PUT | 全量更新 | ✅ |
+| PATCH | 局部更新 | ✅ |
+| DELETE | 删除 | ✅ |
+
+**版本控制**
+- URL 版本：\`/api/v1/users\`（推荐，可见性高）
+- Header 版本：\`Accept: application/vnd.api+json;version=1\``,
+        },
+        {
+            title: '3. 设计请求与响应体',
+            content: `**请求体规范**
+- Content-Type 统一 \`application/json\`
+- 字段使用 camelCase（Web 侧）或 snake_case（按团队规范统一）
+- 必填字段明确标注，给出示例值
+- 枚举值给出完整列表和含义
+
+**统一响应体格式**
+\`\`\`json
+{
+  "code": 0,           // 0=成功，非0=错误码
+  "message": "ok",     // 描述信息
+  "data": { ... },     // 业务数据（成功时）
+  "requestId": "uuid"  // 链路追踪 ID
+}
+\`\`\`
+
+**分页响应**
+\`\`\`json
+{
+  "code": 0,
+  "data": {
+    "list": [...],
+    "total": 100,
+    "page": 1,
+    "pageSize": 20
+  }
+}
+\`\`\`
+
+**HTTP 状态码使用**
+- 200 OK / 201 Created / 204 No Content
+- 400 Bad Request（参数错误）/ 401 Unauthorized / 403 Forbidden
+- 404 Not Found / 409 Conflict / 422 Unprocessable Entity
+- 500 Internal Server Error（不暴露内部细节）`,
+        },
+        {
+            title: '4. 设计错误码体系',
+            content: `建立业务错误码规范，避免所有错误都返回 500：
+
+**错误码设计**
+\`\`\`
+模块前缀 + 序号：
+1001xx — 用户模块
+1002xx — 订单模块
+1003xx — 支付模块
+\`\`\`
+
+**示例**
+\`\`\`json
+{
+  "code": 100101,
+  "message": "用户不存在",
+  "data": null,
+  "requestId": "abc-123"
+}
+\`\`\`
+
+- 错误信息面向**开发者**（不直接展示给终端用户）
+- 敏感错误（如数据库异常）统一返回 \`"系统繁忙，请稍后重试"\`
+- 提供错误码文档（维护在 API 文档中）`,
+        },
+        {
+            title: '5. 安全与性能设计',
+            content: `**安全**
+- 所有修改类操作（POST/PUT/PATCH/DELETE）必须鉴权
+- 列表接口加入数据权限隔离（用户只能看自己的数据）
+- 文件上传接口限制文件类型和大小
+- 敏感字段（手机号、身份证）在响应中脱敏：\`138****8888\`
+- 接口加入速率限制（Rate Limiting）
+
+**性能**
+- 列表接口支持分页（禁止无限制全量返回）
+- 大数据量接口提供游标分页（cursor-based）
+- 支持字段过滤：\`?fields=id,name,email\`
+- 耗时操作改为异步：POST 立即返回 \`taskId\`，GET 轮询状态`,
+        },
+        {
+            title: '6. 输出接口规范文档',
+            content: `按以下格式输出每个接口的文档：
+
+\`\`\`markdown
+## POST /api/v1/users — 创建用户
+
+**描述**：注册新用户账号
+
+**认证**：不需要
+
+**请求体**
+| 字段 | 类型 | 必填 | 描述 |
+|------|------|------|------|
+| username | string | ✅ | 用户名，3-20字符，字母数字下划线 |
+| email | string | ✅ | 邮箱地址 |
+| password | string | ✅ | 密码，最少8位 |
+
+**响应示例（201 Created）**
+\`\`\`json
+{
+  "code": 0,
+  "message": "ok",
+  "data": {
+    "id": "usr_abc123",
+    "username": "john_doe",
+    "email": "john@example.com",
+    "createdAt": "2024-01-01T00:00:00Z"
+  }
+}
+\`\`\`
+
+**错误码**
+| code | message | 场景 |
+|------|---------|------|
+| 100101 | 邮箱已被注册 | 邮箱重复 |
+| 100102 | 用户名不合法 | 格式校验失败 |
+\`\`\``,
+        },
+    ],
+    outputFormat: 'Markdown 接口规范文档，含路径设计、请求/响应体、错误码表、安全说明，风格参考 OpenAPI 3.0',
+    examples: [
+        {
+            input: '设计一个用户登录接口',
+            output: `## POST /api/v1/auth/login — 用户登录
+
+**请求体**
+| 字段 | 类型 | 必填 | 描述 |
+|------|------|------|------|
+| email | string | ✅ | 邮箱 |
+| password | string | ✅ | 密码 |
+
+**响应（200 OK）**
+\`\`\`json
+{
+  "code": 0,
+  "data": {
+    "accessToken": "eyJ...",
+    "refreshToken": "eyJ...",
+    "expiresIn": 3600
+  }
+}
+\`\`\`
+
+**错误码**：100201 账号不存在 / 100202 密码错误 / 100203 账号已锁定`,
+        },
+    ],
+    notes: [
+        'URL 路径不使用动词，操作语义由 HTTP 方法表达',
+        'GraphQL 场景用 Schema First 原则，先定义类型再实现 resolver',
+        '接口变更优先保持向后兼容，破坏性变更必须升版本号',
+        '内部服务间调用（RPC/gRPC）可不遵循 REST 规范',
+    ],
+    category: '执行侧',
+    nextSkill: 'implementation',
+};
+//# sourceMappingURL=11-api-design.js.map

package/dist/skills/11-api-design.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"11-api-design.js","sourceRoot":"","sources":["../../src/skills/11-api-design.ts"],"names":[],"mappings":";;;AAEa,QAAA,cAAc,GAAoB;IAC7C,EAAE,EAAE,YAAY;IAChB,IAAI,EAAE,MAAM;IACZ,MAAM,EAAE,YAAY;IACpB,KAAK,EAAE,EAAE;IACT,WAAW,EAAE,+CAA+C;IAC5D,aAAa,EAAE,6FAA6F;IAC5G,iBAAiB,EAAE;;+BAEU;IAC7B,QAAQ,EAAE;QACR,MAAM;QACN,QAAQ;QACR,YAAY;QACZ,MAAM;QACN,MAAM;QACN,YAAY;QACZ,YAAY;QACZ,aAAa;QACb,QAAQ;QACR,YAAY;QACZ,WAAW;QACX,OAAO;KACR;IACD,KAAK,EAAE;QACL;YACE,KAAK,EAAE,gBAAgB;YACvB,OAAO,EAAE;;;;0CAI2B;SACrC;QACD;YACE,KAAK,EAAE,uBAAuB;YAC9B,OAAO,EAAE;;;;;;;;;;;;;;;;;;;2DAmB4C;SACtD;QACD;YACE,KAAK,EAAE,aAAa;YACpB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;qCAiCsB;SAChC;QACD;YACE,KAAK,EAAE,YAAY;YACnB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;uBAsBQ;SAClB;QACD;YACE,KAAK,EAAE,YAAY;YACnB,OAAO,EAAE;;;;;;;;;;;yCAW0B;SACpC;QACD;YACE,KAAK,EAAE,aAAa;YACpB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;OAmCR;SACF;KACF;IACD,YAAY,EACV,yDAAyD;IAC3D,QAAQ,EAAE;QACR;YACE,KAAK,EAAE,YAAY;YACnB,MAAM,EAAE;;;;;;;;;;;;;;;;;;;;kDAoBoC;SAC7C;KACF;IACD,KAAK,EAAE;QACL,6BAA6B;QAC7B,+CAA+C;QAC/C,0BAA0B;QAC1B,+BAA+B;KAChC;IACD,QAAQ,EAAE,KAAK;IACf,SAAS,EAAE,gBAAgB;CAC5B,CAAC"}

package/dist/skills/12-security-review.d.ts

@@ -0,0 +1,3 @@
+import type { SkillDefinition } from './types';
+export declare const securityReviewSkill: SkillDefinition;
+//# sourceMappingURL=12-security-review.d.ts.map

package/dist/skills/12-security-review.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"12-security-review.d.ts","sourceRoot":"","sources":["../../src/skills/12-security-review.ts"],"names":[],"mappings":"AAAA,OAAO,KAAK,EAAE,eAAe,EAAE,MAAM,SAAS,CAAC;AAE/C,eAAO,MAAM,mBAAmB,EAAE,eA8LjC,CAAC"}

package/dist/skills/12-security-review.js

@@ -0,0 +1,194 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.securityReviewSkill = void 0;
+exports.securityReviewSkill = {
+    id: 'security-review',
+    name: '安全审查',
+    nameEn: 'security_review',
+    order: 12,
+    description: '基于 OWASP Top 10 对代码和依赖进行安全扫描，识别漏洞并给出修复建议',
+    descriptionEn: 'Security audit based on OWASP Top 10, covering code vulnerabilities and dependency risks',
+    detailDescription: `对代码变更或系统模块进行安全专项审查，
+覆盖 OWASP Top 10、依赖漏洞、密钥泄露、权限校验、数据加密等维度，
+按 Critical/High/Medium/Low 四级输出风险列表和修复建议。`,
+    triggers: [
+        '安全审查',
+        '安全扫描',
+        '安全检查',
+        '漏洞扫描',
+        'security review',
+        'security audit',
+        'OWASP',
+        '安全风险',
+        '代码安全',
+        '@ethan 安全',
+        '@ethan security',
+        '/安全审查',
+    ],
+    steps: [
+        {
+            title: '1. 确定审查范围',
+            content: `- 明确审查对象：代码变更 / 整个模块 / 依赖包 / 部署配置
+- 确认技术栈（Node.js / Java / Python / 前端框架等）
+- 了解数据敏感程度：是否涉及 PII（用户个人信息）、金融数据
+- 确认暴露面：公网 API / 内部服务 / 用户上传入口
+- 收集现有安全策略（如 CSP、CORS 配置）`,
+        },
+        {
+            title: '2. OWASP Top 10 逐项检查',
+            content: `按 OWASP 2021 Top 10 逐项扫描：
+
+**A01 失效的访问控制**
+- 垂直越权：普通用户能否访问管理员接口？
+- 水平越权：用户A能否读取用户B的数据？
+- IDOR（不安全的直接对象引用）：接口参数是否直接暴露内部 ID？
+- 前端隐藏菜单 ≠ 权限控制，后端必须强制校验
+
+**A02 加密失效**
+- 密码是否使用 bcrypt/argon2（禁止 MD5/SHA1）
+- 传输层是否强制 HTTPS
+- 敏感字段（身份证、银行卡）是否静态加密存储
+- Cookie 是否设置 Secure + HttpOnly + SameSite
+
+**A03 注入**
+- SQL 注入：是否使用 ORM 参数化查询（禁止字符串拼接）
+- XSS：用户输入是否经过 HTML 转义后再输出
+- Command 注入：是否调用 shell 命令且参数含用户输入
+- LDAP/XML/NOSQL 注入场景检查
+
+**A04 不安全设计**
+- 是否存在无限重试（暴力破解风险）
+- 重要操作缺少二次确认（如删除账号、大额转账）
+- 密码重置流程是否可被枚举
+
+**A05 安全配置错误**
+- 生产环境是否关闭 Debug 模式、详细错误堆栈
+- 是否暴露 \`.env\`、\`.git\`、\`node_modules\` 等目录
+- 默认账号/密码是否修改
+- CORS 是否配置为 \`*\`（应按域名白名单）
+
+**A06 自带缺陷和过时的组件**
+- 运行 \`npm audit\` / \`pip-audit\` / \`mvn dependency-check\`
+- 检查高危 CVE（CVSS ≥ 7.0）
+- 框架和运行时是否在安全维护期内
+
+**A07 身份识别和认证失败**
+- JWT 是否验证签名和过期时间
+- Session 是否在登出时服务端失效
+- 多因素认证（MFA）是否支持
+
+**A08 软件和数据完整性失败**
+- 第三方 CDN 资源是否加 SRI（Subresource Integrity）
+- CI/CD 管道是否允许未授权修改部署配置
+- 序列化数据是否来自可信来源
+
+**A09 安全日志和监控失败**
+- 登录成功/失败是否记录 IP 和时间戳
+- 高危操作（删除、权限变更）是否有审计日志
+- 日志中是否意外记录了密码或 Token
+
+**A10 服务端请求伪造（SSRF）**
+- 接受 URL 参数的接口是否限制可访问的域名/IP
+- 是否阻断对内网地址（10.x/172.x/192.168.x/127.x）的请求`,
+        },
+        {
+            title: '3. 密钥与凭据扫描',
+            content: `- 扫描代码中是否硬编码了：API Key、数据库密码、JWT Secret、云账号 AK/SK
+- 检查 \`.env\` 文件是否被提交到 Git（查 \`.gitignore\`）
+- 历史 commit 是否包含敏感信息（可用 \`git log -S "password"\` 搜索）
+- 推荐工具：
+  - \`gitleaks\` — 扫描 git 历史中的密钥
+  - \`trufflehog\` — 高熵字符串检测
+  - GitHub Secret Scanning（如在 GitHub 托管）`,
+        },
+        {
+            title: '4. 依赖漏洞扫描',
+            content: `根据技术栈运行对应命令：
+
+\`\`\`bash
+# Node.js
+npm audit --audit-level=high
+npx audit-ci --high
+
+# Python
+pip install pip-audit && pip-audit
+
+# Java/Maven
+mvn dependency-check:check
+
+# Docker 镜像
+trivy image your-image:tag
+\`\`\`
+
+重点关注：
+- CVSS Score ≥ 7.0 的高危/严重漏洞
+- 直接依赖优先修复（间接依赖通过升级父包解决）
+- 有修复版本的立即升级，无修复的评估缓解措施`,
+        },
+        {
+            title: '5. 按风险级别输出报告',
+            content: `\`\`\`markdown
+## 安全审查报告
+
+**审查范围**：[模块/文件/PR]
+**审查日期**：[日期]
+**整体风险等级**：🔴 Critical / 🟠 High / 🟡 Medium / 🟢 Low
+
+---
+
+### 🔴 Critical（立即修复，阻止上线）
+
+- [ ] \`auth.ts:45\` SQL 注入漏洞：用户 ID 直接拼接查询字符串
+  **修复**：使用 ORM 参数化查询 \`db.query('SELECT * FROM users WHERE id = ?', [id])\`
+  **CVE**：— **CVSS**：9.8
+
+### 🟠 High（本次迭代修复）
+
+- [ ] \`upload.ts:23\` 文件上传未限制类型，可上传 .php 执行文件
+  **修复**：白名单校验扩展名，并检查 MIME type
+
+### 🟡 Medium（计划修复）
+
+- [ ] 缺少登录频率限制（Rate Limiting），存在暴力破解风险
+  **修复**：引入 express-rate-limit，5次失败后锁定15分钟
+
+### 🟢 Low（建议改进）
+
+- [ ] Session Cookie 缺少 SameSite=Strict 属性
+
+### ✅ 已做好的安全措施
+- [值得肯定的安全实践]
+
+### 统计
+Critical: X | High: Y | Medium: Z | Low: W
+\`\`\``,
+        },
+    ],
+    outputFormat: 'Markdown 安全审查报告，含 OWASP 维度检查结果、风险级别（Critical/High/Medium/Low）、修复建议和优先级',
+    examples: [
+        {
+            input: '帮我检查这个用户注册接口的安全问题',
+            output: `## 安全审查报告
+
+### 🔴 Critical
+- [ ] 密码使用 MD5 明文存储
+  修复：改用 bcrypt（saltRounds=12）
+
+### 🟠 High
+- [ ] 邮箱重复注册返回 "邮箱已被注册"，可被枚举已注册用户
+  修复：统一返回 "注册成功，请查收验证邮件"
+
+### 🟢 Low
+- [ ] 注册成功后在响应中返回了 passwordHash 字段
+  修复：注册响应体移除敏感字段`,
+        },
+    ],
+    notes: [
+        'Critical 问题必须在上线前修复，不接受任何例外',
+        '前端安全校验只是 UX 辅助，所有安全逻辑必须在后端实现',
+        '依赖漏洞扫描建议加入 CI 流程自动运行（每次 PR 触发）',
+        '安全审查不能替代专业渗透测试，重大系统上线前建议委托专业团队',
+    ],
+    category: '质量侧',
+};
+//# sourceMappingURL=12-security-review.js.map

package/dist/skills/12-security-review.js.map

@@ -0,0 +1 @@
+{"version":3,"file":"12-security-review.js","sourceRoot":"","sources":["../../src/skills/12-security-review.ts"],"names":[],"mappings":";;;AAEa,QAAA,mBAAmB,GAAoB;IAClD,EAAE,EAAE,iBAAiB;IACrB,IAAI,EAAE,MAAM;IACZ,MAAM,EAAE,iBAAiB;IACzB,KAAK,EAAE,EAAE;IACT,WAAW,EAAE,0CAA0C;IACvD,aAAa,EAAE,0FAA0F;IACzG,iBAAiB,EAAE;;0CAEqB;IACxC,QAAQ,EAAE;QACR,MAAM;QACN,MAAM;QACN,MAAM;QACN,MAAM;QACN,iBAAiB;QACjB,gBAAgB;QAChB,OAAO;QACP,MAAM;QACN,MAAM;QACN,WAAW;QACX,iBAAiB;QACjB,OAAO;KACR;IACD,KAAK,EAAE;QACL;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;0BAIW;SACrB;QACD;YACE,KAAK,EAAE,sBAAsB;YAC7B,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;2CAqD4B;SACtC;QACD;YACE,KAAK,EAAE,YAAY;YACnB,OAAO,EAAE;;;;;;yCAM0B;SACpC;QACD;YACE,KAAK,EAAE,WAAW;YAClB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;wBAoBS;SACnB;QACD;YACE,KAAK,EAAE,cAAc;YACrB,OAAO,EAAE;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;OAkCR;SACF;KACF;IACD,YAAY,EACV,wEAAwE;IAC1E,QAAQ,EAAE;QACR;YACE,KAAK,EAAE,mBAAmB;YAC1B,MAAM,EAAE;;;;;;;;;;;;iBAYG;SACZ;KACF;IACD,KAAK,EAAE;QACL,6BAA6B;QAC7B,8BAA8B;QAC9B,gCAAgC;QAChC,gCAAgC;KACjC;IACD,QAAQ,EAAE,KAAK;CAChB,CAAC"}

package/dist/skills/13-deployment.d.ts

@@ -0,0 +1,3 @@
+import type { SkillDefinition } from './types';
+export declare const deploymentSkill: SkillDefinition;
+//# sourceMappingURL=13-deployment.d.ts.map

package/dist/skills/13-deployment.d.ts.map

@@ -0,0 +1 @@
+{"version":3,"file":"13-deployment.d.ts","sourceRoot":"","sources":["../../src/skills/13-deployment.ts"],"names":[],"mappings":"AAAA,OAAO,KAAK,EAAE,eAAe,EAAE,MAAM,SAAS,CAAC;AAE/C,eAAO,MAAM,eAAe,EAAE,eAyL7B,CAAC"}