jsharness 1.0.0

package/.harness/rules/global/commit-convention.md

@@ -0,0 +1,165 @@
+# Git 提交规范 (commit-convention)
+
+> **级别**: 必须遵守 | **适用范围**: 全局
+
+## 1. Conventional Commits 格式
+
+```
+<type>(<scope>): <subject>
+
+[optional body]
+
+[optional footer(s)]
+```
+
+### Type 类型
+
+| Type | 描述 | 使用场景 |
+|------|------|----------|
+| `feat` | 新功能 | 新增功能、能力、页面 |
+| `fix` | Bug 修复 | 修复缺陷 |
+| `docs` | 文档变更 | 仅文档修改（不含代码变动） |
+| `style` | 代码格式 | 不影响运行的格式调整（空格、分号等） |
+| `refactor` | 重构 | 不是新功能也不是修复的代码改动 |
+| `perf` | 性能优化 | 提升性能的代码变更 |
+| `test` | 测试相关 | 新增或修改测试用例 |
+| `chore` | 构建/工具 | 构建、依赖、工具链变更 |
+| `ci` | CI 配置 | CI 流水线配置修改 |
+| `revert` | 回滚 | 回退之前的提交 |
+
+### Scope 范围约定
+
+| Scope | 对应区域 | 示例 |
+|-------|----------|------|
+| `auth` | 认证模块 | `feat(auth)` |
+| `user` | 用户模块 | `fix(user)` |
+| `api` | 后端 API | `feat(api)` |
+| `ui` | 通用 UI 组件 | `style(ui)` |
+| `dashboard` | 仪表盘页 | `feat(dashboard)` |
+| `ci` | CI/CD 相关 | `chore(ci)` |
+| `deps` | 依赖更新 | `chore(deps)` |
+| `harness` | Harness 配置 | `chore(harness)` |
+
+### Subject 规范
+
+- 使用中文或英文（团队统一选择中文）
+- 不超过 50 字符
+- 不以句号结尾
+- 使用祈使语气（"添加"而非"添加了"）
+
+```
+✅ feat(auth): 添加 JWT 双 Token 刷新机制
+✅ fix(api): 修复用户查询分页边界越界问题
+✅ refactor(db): 将用户表拆分为用户和账户两张表
+❌ feat(auth): 我加了一个JWT刷新的功能。
+❌ fix: 改了个bug
+❌ Feat(Auth): Add jwt refresh...
+```
+
+## 2. Issue / PR 关联要求
+
+### 2.1 Commit 关联 Issue
+
+每次提交必须在 Body 中关联 Issue：
+
+```
+feat(dashboard): 添加数据导出功能
+
+Closes #123
+Related #124
+```
+
+### 2.2 PR Title 格式
+
+PR 标题必须符合 commit message 格式：
+
+```
+feat(dashboard): 添加数据导出功能 (#123)
+```
+
+### 2.3 自动化校验
+
+提交前必须通过以下检查：
+
+```bash
+# 1. Commit lint 检查
+npx commitlint --from=HEAD~1
+
+# 2. Branch name 校验
+# 格式: type/description-issueNumber
+# 例: feat/user-export-123, fix/api-pagination-456
+
+# 3. PR 模板必须填写
+# - 变更描述
+# - 测试方案
+# - 影响范围评估
+```
+
+## 3. Commit Message 质量门禁
+
+### 3.1 禁止提交
+
+| 场景 | 处理方式 |
+|------|----------|
+| 包含 `.only` / `.skip` 测试标记 | 拒绝合并 |
+| 含有 `console.log` / `debugger` 残留 | 拒绝合并 |
+| 含有硬编码密钥/token | 拒绝合并 + 安全告警 |
+| 未通过 ESLint/Prettier 检查 | 拒绝合并 |
+| 未运行测试或测试失败 | 拒绝合并 |
+| 无关联 Issue 的独立提交 | 警告但不阻止（hotfix 除外）|
+
+### 3.2 Squash 策略
+
+- Feature 分支合并到 develop 时 **Squash** 为一个 commit
+- Hotfix 分支合并到 main 时保留完整历史
+- Squash 后的 commit message 以 PR Title 为准
+
+### 3.3 Commit Message 示例库
+
+```
+# 功能开发
+feat(user): 实现用户头像上传与裁剪功能
+feat(notification): 添加站内消息实时推送（WebSocket）
+
+# Bug 修复  
+fix(login): 修复记住登录状态在 Safari 下失效的问题
+fix(api): 解决并发请求导致的竞态条件
+
+# 文档更新
+docs(readme): 更新本地开发环境搭建指南
+docs(api): 补充批量接口的请求示例
+
+# 重构
+refactor(state): 将 Vuex store 迁移为 Pinia
+refactor(component): 抽离 DataTable 为通用组件
+
+# 性能优化
+perf(list): 虚拟滚动替换长列表渲染（10000+ 条数据）
+
+# 测试
+test(user): 补充用户权限边界用例
+test(e2e): 添加购物车结算全流程测试
+
+# 依赖管理
+chore(deps): 升级 Vue3 到最新补丁版本
+chore(deps): 更新 TypeScript 至 5.x
+```
+
+## 4. Git 分支策略
+
+```
+main (生产环境)
+  ↑ merge (fast-forward or squash)
+develop (开发集成分支)
+  ↑ merge (PR/MR)
+feature/description-xxx  (功能分支)
+bugfix/description-xxx   (Bug 修复分支)
+hotfix/description-xxx   (紧急热修复，直接从 main 分出)
+
+release/x.y.z            (发布准备分支)
+```
+
+**分支生命周期**：
+- feature/bugfix 分支存在不超过 **2 周**
+- 超期未合入需申请延期或关闭重建
+- 合并后删除远程分支（保护 main/develop）

package/.harness/rules/global/process-discipline.md

@@ -0,0 +1,192 @@
+# 流程纪律规则 (process-discipline)
+
+> **级别**: 必须遵守 | **适用范围**: 全局
+
+> 本规则定义 Harness 工作流中的纪律约束，确保多 Agent 协作时的秩序和质量。
+
+---
+
+## 1. 代码修改三步验证
+
+**任何代码修改完成后，必须依次完成以下三步才能进入下一阶段：**
+
+```
+Step 1: 编译通过（Build Pass）
+  ↓
+Step 2: 测试通过（Test Pass）
+  ↓
+Step 3: 自检验证（Self-Check Pass）
+  ↓
+  进入代码审查阶段
+```
+
+### 1.1 各步骤的具体要求
+
+| 步骤 | 命令/动作 | 通过标准 |
+|------|-----------|----------|
+| **编译通过** | `npm run build` / `tsc --noEmit` | 零编译错误 |
+| **测试通过** | `npm run test` | 全部用例 PASS，覆盖率不低于基线 |
+| **自检验证** | `npm run lint` + `npm run gate` | 零 warning（白名单外）|
+
+### 1.2 违反后果
+
+跳过任何一步 → **代码审查 Agent 直接打回** → 记录一次流程违规
+
+连续 3 次流程违规 → **闸门总控 Agent 触发人工介入审查**
+
+---
+
+## 2. 文档修改权责规则
+
+### 2.1 核心原则：**下游不得修改上游文档**
+
+```
+需求分析 → 方案设计 → 开发实现 → 代码审查 → 测试验证
+  ↑                                    │
+  └───── 下游可以提Issue，但不得直接改 ─┘
+```
+
+| 角色 | 可以修改 | 不能修改 |
+|------|----------|----------|
+| 方案设计师 | 设计文档 | 需求文档 |
+| 开发者 | 实现笔记 | 需求文档、设计文档 |
+| 代码审查员 | 审查报告 | 需求文档、设计文档、实现代码的业务逻辑 |
+| 测试人员 | 测试报告 | 需求文档（验收标准除外）|
+
+### 2.2 变更请求流程
+
+如果下游发现问题需要上游修正：
+
+```markdown
+## 变更请求模板（由下游角色发起）
+
+### 来源阶段
+- 当前角色：[developer / code-reviewer / tester]
+- 发现问题的阶段：[requirements-analysis / solution-design]
+
+### 问题描述
+- [具体描述发现的矛盾/遗漏/错误]
+
+### 建议修改内容
+- [建议上游如何调整]
+
+### 影响评估
+- [如果不改，对当前阶段的影响]
+- [如果修改，对已完成工作的回溯影响]
+```
+
+**变更请求提交后，由 PM 路由给对应上游角色裁决。**
+
+---
+
+## 3. PM 边界约束
+
+### 3.1 PM 角色的核心职责
+
+PM Agent 的职责是**路由和协调**，不是技术判断：
+
+| ✅ 应该做的 | ❌ 禁止做的 |
+|-------------|------------|
+| 接收需求，分配给需求分析师 | 直接指定技术实现方案 |
+| 追踪各阶段进度 | 评价代码质量好坏 |
+| 维护 TaskBoard 看板 | 越过闸门总控强行推进 |
+| 组织评审会议 | 修改技术文档的内容细节 |
+| 处理跨角色协作冲突 | 给出具体的技术选型决定 |
+
+### 3.2 违规检测
+
+以下行为将被标记为 **PM 越界**：
+
+1. **技术干预**：PM 在非路由决策中给出具体的技术指令
+   ```
+   ❌ "这个功能应该用 Redis 缓存"
+   ✅ "性能要求是响应时间 < 200ms，请方案设计师评估技术方案"
+   ```
+
+2. **绕过流程**：PM 直接跳过某个阶段推进任务
+   ```
+   ❌ "这个简单，直接让开发做吧，不需要方案设计"
+   ✅ "这是一个小改动，走文档/配置微型流程变体"
+   ```
+
+3. **修改产出物**：PM 直接编辑需求文档以外的其他文档
+
+---
+
+## 4. 交付完整性规则
+
+### 4.1 每个阶段的交付清单
+
+| 阶段 | 必须交付物 | 可选交付物 |
+|------|-----------|-----------|
+| **需求分析** | 需求文档（含验收标准）、TaskBoard 更新 | 竞品分析 |
+| **方案设计** | 技术设计文档、接口定义 | ADR 决策记录 |
+| **开发实现** | 代码（已 Commit）、单元测试、dev-map 更新 | 技术笔记 |
+| **代码审查** | 审查报告（PASS/FAIL 结论 + 逐项打分） | 重构建议 |
+| **测试验证** | 测试报告（覆盖范围 + 结果 + 缺陷列表） | 性能报告 |
+
+### 4.2 交付物质量标准
+
+- 所有文档必须是 **Markdown 格式**
+- 代码必须有 **JSDoc 注释**（公开 API）
+- 测试必须有 **清晰的用例描述**（describe/it）
+- 审查报告必须有 **量化评分**
+
+---
+
+## 5. 并发与冲突处理规则
+
+### 5.1 多任务并行约束
+
+| 约束 | 规则 |
+|------|------|
+| 同一需求的各阶段 | **串行**执行（不允许并行） |
+| 不同需求的同阶段 | **允许并行** |
+| 同一模块的不同需求 | **谨慎并行**（注意合并冲突）|
+| 紧急 hotfix | **独占通道**（其他任务暂停或排队）|
+
+### 5.2 合并冲突处理
+
+```
+1. 发现冲突 → 停止当前任务，先解决冲突
+2. 解决冲突 → 重新跑 Step 1-3（编译+测试+自检）
+3. 冲突解决后 → 继续原有流程
+4. 如果冲突涉及核心架构 → 提交给闸门总控评估
+```
+
+---
+
+## 6. 时间与时效规则
+
+| 时效要求 | 限制 |
+|----------|------|
+| Feature 分支存活时间 | ≤ 14 天 |
+| PR/MR 响应时间（审查员） | ≤ 24 小时（工作日）|
+| PR/MR 响应时间（开发者修反馈） | ≤ 48 小时 |
+| 阻塞升级时限 | 超过 24 小时未解决 → 自动升级到 PM |
+| 需求文档有效期 | 批准后 30 天内必须进入开发，否则重新评估 |
+
+---
+
+## 7. 违规记录与奖惩
+
+### 7.1 违规分级
+
+| 级别 | 定义 | 后果 |
+|------|------|------|
+| 🟡 警告 | 轻微偏离流程，未造成实质影响 | 记录警告，不阻断流程 |
+| 🟠 严重 | 跳过关键环节，可能影响质量 | 当次任务打回重来 |
+| 🔴 致命 | 违反安全红线或导致线上事故 | 阻断 + 人工介入 + 事后复盘 |
+
+### 7.2 违规统计
+
+每周汇总违规数据，纳入度量指标：
+
+```yaml
+metrics:
+  process_compliance_rate:        # 流程合规率（目标 > 95%）
+  avg_cycle_time:                 # 平均交付周期
+  rework_rate:                    # 返工率
+  pm_boundary_violations:         # PM 越界次数
+  downstream_edit_incidents:      # 下游修改上游次数
+```

package/.harness/rules/global/security-baseline.md

@@ -0,0 +1,306 @@
+# 安全红线规则 (security-baseline)
+
+> **级别**: **红线 — 违反即阻塞** | **适用范围**: 全局
+
+> ⚠️ 本规则定义的安全底线**不可绕过、不可协商**。任何违反将触发：
+> - 门禁脚本自动 FAIL（D 类检查项）
+> - 自动打回到开发者 Agent
+> - 安全告警通知技术负责人
+
+---
+
+## 1. 密钥与凭证管理（绝对红线）
+
+### 1.1 禁止行为
+
+```bash
+# 🔴 严重违规 — 以下任何一项都将导致门禁直接 FAIL
+❌ 代码中包含硬编码密钥/API Key/Token
+❌ 代码中包含数据库密码/连接串
+❌ .env 文件被提交到仓库
+❌ 凭证出现在日志输出中
+❌ 凭证通过 URL 参数传递
+❌ 在前端代码中嵌入任何服务端凭证
+```
+
+### 1.2 正确做法
+
+```typescript
+// ✅ 正确：使用环境变量
+const dbUrl = process.env.DATABASE_URL;
+
+// ✅ 正确：使用密钥管理服务
+const secret = await secretsManager.get('JWT_SECRET');
+
+// ✅ 正确：前后端分离，凭证只在服务器端
+// API Key 通过服务端代理转发，不暴露给前端
+```
+
+### 1.3 凭证分类
+
+| 凭证类型 | 存储位置 | 读取方式 | 轮转周期 |
+|----------|----------|----------|----------|
+| 数据库密码 | K8s Secret / Vault | 环境变量注入 | 90 天 |
+| JWT Secret | Vault / AWS Secrets Manager | 启动时加载 | 90 天 |
+| 第三方 API Key | Vault / 环境变量 | 运行时获取 | 按供应商策略 |
+| OAuth ClientSecret | Vault | 启动时加载 | 不轮转（轮转需重新授权） |
+
+---
+
+## 2. 输入验证与注入防护
+
+### 2.1 SQL 注入防护
+
+```typescript
+// ❌ 禁止：字符串拼接 SQL
+const query = `SELECT * FROM users WHERE id = ${userId}`;
+
+// ✅ 正确：使用参数化查询
+const query = 'SELECT * FROM users WHERE id = $1';
+await db.query(query, [userId]);
+```
+
+### 2.2 XSS 防护（前端）
+
+```vue
+<!-- ❌ 危险：v-html 直接渲染用户输入 -->
+<div v-html="userInput"></div>
+
+<!-- ✅ 安全：Vue3 模板默认自动转义插值 -->
+<div>{{ userInput }}</div>
+
+<!-- ✅ 如需渲染富文本：先 sanitize -->
+import DOMPurify from 'dompurify';
+<div v-html="DOMPurify.sanitize(richText)"></div>
+```
+
+### 2.3 CSRF 防护
+
+- 所有状态变更请求必须携带 CSRF Token 或使用 SameSite Cookie
+- API 必须验证 Origin / Referer header
+- 敏感操作（删除、支付等）需要二次确认
+
+### 2.4 命令注入防护
+
+```javascript
+// ❌ 危险：用户输入直接拼接到命令
+exec(`convert ${fileName} -resize 100x100 output.jpg`);
+
+// ✅ 安全：使用参数列表形式
+execFile('convert', [fileName, '-resize', '100x100', 'output.jpg']);
+```
+
+---
+
+## 3. 国密 SM4 加密要求
+
+> **来源**: `files/java-backend-coding-standards/SKILL.md` §12 安全规范 | **归档日期**: 2026-05-21
+
+### 3.1 强制加密存储
+
+| 数据类型 | 加密算法 | 要求 |
+|---------|---------|------|
+| 手机号 | 国密 SM4 | 存储前加密，读取时解密 |
+| 身份证号 | 国密 SM4 | 全字段加密存储 |
+| 密码 | bcrypt（不可逆哈希） | cost ≥ 12 |
+| 银行卡号 | 国密 SM4 | 仅存后4位明文，其余加密 |
+
+**强制**: 敏感信息必须使用国密 SM4 算法加密后存库，禁止明文存储。
+
+### 3.2 预编译强制要求（SQL 注入防护细化）
+
+| 规则 | 要求 | 违规后果 |
+|------|------|----------|
+| MyBatis `#{}` | 必须 使用 `#{}` 预编译参数绑定 | **安全红线 FAIL** |
+| 禁止 `${}` | 禁止 `${}` 直接拼接 SQL 字符串 | **安全红线 FAIL** |
+| 例外场景 | 动态表名等特殊场景必须有白名单校验 + Code Review 确认 | 需审批 |
+
+---
+
+## 4. API 响应脱敏要求
+
+> **来源**: `files/java-backend-coding-standards/SKILL.md` §11.2 | **归档日期**: 2026-05-21
+
+通过 RespVO 返回用户敏感数据时，后端 **必须** 自动脱敏：
+
+| 数据类型 | 脱敏格式 | 示例 |
+|---------|---------|------|
+| 手机号 | 中间4位替换为 * | `138****1234` |
+| 密码 | 返回 null 或 `******` | null / `******` |
+| 邮箱 | @ 前部分脱敏 | `u***@example.com` |
+| 身份证号 | 中间替换为 * | `110***********1234` |
+| 银行卡号 | 仅显示后4位 | `************5678` |
+
+---
+
+## 5. Redis 安全要求
+
+> **来源**: `files/java-backend-coding-standards/SKILL.md` §8 Redis 规范 | **归档日期**: 2026-05-21
+
+| # | 规则 | 要求 | 违规后果 |
+|---|------|------|----------|
+| RS-01 | TTL 强制 | 写入 Redis 数据必须 设置 TTL（过期时间） | Gate FAIL |
+| RS-02 | Hash 容量限制 | 单个 Hash 的 field 数量 ≤ 50000 | WARNING |
+| RS-03 | Key 命名规范 | Key 定义在 `RedisKeyConstants` 常量类，格式为 `模块:业务:唯一标识` | WARNING |
+| RS-04 | 定位限制 | Redis 仅用于缓存用途，禁止作为持久存储 | FAIL |
+
+---
+
+## 6. 日志脱敏要求
+
+> **来源**: `files/AI_RULE.md` (A35) + `files/java-backend-coding-standards/SKILL.md` §7 日志规范 | **归档日期**: 2026-05-21
+
+| # | 规则 | 要求 |
+|---|------|------|
+| LOG-01 | 敏感信息禁明文 | 密码/token/密钥/手机号/身份证等敏感信息禁止明文打日志 |
+| LOG-02 | 占位符输出 | 必须使用 `{}` 参数化方式，禁字符串拼接 |
+| LOG-03 | 异常对象保留 | catch 时异常对象 e 必须保留在日志中（`log.error("描述", e)`）|
+| LOG-04 | 日志大小限制 | 单条日志不超过 1KB，大对象序列化为摘要 |
+| LOG-05 | 链路追踪 | 必须包含 traceId 和 spanId |
+
+---
+
+## 7. Shell 脚本安全要求
+
+> **来源**: `files/AI_RULE.md` (A37) | **归档日期**: 2026-05-21
+
+| 规则 | 要求 |
+|------|------|
+| 禁止明文密码 | Shell/Bash 脚本中禁止出现明文密码或密钥 |
+| 凭证获取方式 | 必须通过环境变量或密钥管理服务获取凭证 |
+| 脚本权限 | 敏感脚本设置最小必要权限（chmod 700/500）|
+
+---
+
+## 8. 认证与授权
+
+### 8.1 认证要求
+
+| 要求 | 标准 |
+|------|------|
+| 密码存储 | bcrypt / argon2 哈希（cost ≥ 12） |
+| 密码策略 | 最少 8 位，含大小写+数字+特殊字符 |
+| 登录限流 | 5 次/分钟，超过锁定 15 分钟 |
+| 会话管理 | JWT Access Token（15min）+ Refresh Token（7天）|
+| MFA 支持 | 敏感操作必须启用 MFA |
+
+### 8.2 授权要求
+
+```typescript
+// ✅ 正确：每个 API 端点都要做权限校验
+@UseGuards(JwtAuthGuard, RolesGuard)
+@Roles(Role.ADMIN)
+@Delete('/users/:id')
+async deleteUser(@Param('id') id: string) {
+  // 业务逻辑
+}
+
+// ✅ 正细粒度：资源级权限检查
+async updateProject(userId: string, projectId: string) {
+  await this.ensureProjectMember(userId, projectId);
+  // 只有项目成员才能编辑
+}
+```
+
+### 8.3 数据隔离
+
+- 多租户数据必须强制 tenant_id 过滤
+- 行级安全（RLS）：数据库层面也要兜底
+- 禁止 `SELECT *` 无条件查询
+
+---
+
+## 9. 依赖安全
+
+### 9.1 依赖扫描流程
+
+```bash
+# 每次 PR 必须执行
+npm audit --audit-level=moderate
+
+# Gate 脚本 D 类检查项会自动执行此命令
+# 发现 HIGH/CRITICAL 漏洞 → 门禁 FAIL
+```
+
+### 9.2 依赖版本管理
+
+| 操作 | 要求 |
+|------|------|
+| 新增依赖 | 必须确认许可证兼容性（MIT/Apache-2.0/BSD）|
+| 升级依赖 | 先在分支验证，不能直接在 main 升级 |
+| 移除依赖 | 确认无残留引用 |
+| 锁定文件 | `package-lock.json` 必须提交入库 |
+
+### 9.3 许可证黑名单
+
+以下许可证**禁止引入**：
+
+- GPL-3.0（传染性开源协议）
+- AGPL-3.0
+- 任何商业许可证未授权的付费包
+
+---
+
+## 10. 数据安全
+
+### 10.1 敏感数据处理
+
+| 数据类型 | 处理要求 |
+|----------|----------|
+| 手机号 | 脱敏显示：138****1234 |
+| 身份证号 | 不记录明文，哈希存储 |
+| 银行卡号 | 只显示后 4 位 |
+| 密码 | 永远不记录日志 |
+| 地址 | 按 GDPR/个人信息保护法最小必要原则 |
+
+### 10.2 日志安全
+
+```typescript
+// ❌ 禁止：日志中包含敏感字段
+logger.info('User login', { email, password, phone });
+
+// ✅ 正确：脱敏或排除敏感字段
+logger.info('User login', { 
+  email: maskEmail(email), 
+  userId,
+  // password 绝对不记录
+});
+```
+
+### 10.3 HTTPS 与传输加密
+
+- 生产环境强制 HTTPS（HSTS 启用）
+- Cookie 设置 `Secure; HttpOnly; SameSite=Strict`
+- API 通信使用 TLS 1.2+
+- 禁止自签名证书（开发环境除外）
+
+---
+
+## 11. 安全响应流程
+
+发现安全问题后的处理步骤：
+
+```
+1. 立即停止相关功能的部署/发布
+2. 评估影响范围（受影响用户/数据）
+3. 在 24 小时内完成修复并 hotfix 上线
+4. 记录安全事件报告（存入 dev-map/security-incidents.md）
+5. 复盘根因，补充 Rule/Skill 防止再犯
+```
+
+---
+
+## 安全检查清单（Gate Scripts D 类引用）
+
+- [ ] 无硬编码密钥/Token/密码
+- [ ] 无 SQL 注入风险（全部 `#{}` 预编译）
+- [ ] 无 XSS 风险（输入正确转义）
+- [ ] 依赖审计无 HIGH/CRITICAL 漏洞
+- [ ] 认证/授权中间件齐全
+- [ ] 日志不含敏感信息
+- [ ] HTTPS/HSTS 正确配置
+- [ ] 敏感数据正确脱敏处理
+- [ ] [新增] 敏感数据已 SM4 加密存储
+- [ ] [新增] Redis key 已设置 TTL
+- [ ] [新增] Shell 脚本无明文密码
+- [ ] [新增] API 响应数据已按格式脱敏