npm - kcode-pi - Versions diffs - 0.1.0 - Mend

kcode-pi 0.1.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (219) hide show

package/vendor/kingdee-skills/kingdee-cosmic-reviewer/references/data-transaction-checklist.md ADDED Viewed

@@ -0,0 +1,390 @@
+# 数据事务与资源释放检查表
+## 🔴 P0 级问题
+### 1. 操作插件中独立保存
+**检查点**:
+- `beforeExecuteOperationTransaction()` 内是否调用了 `SaveServiceHelper.save()`？
+- `afterExecuteOperationTransaction()` 内是否调用了独立的保存操作？
+**风险**: 导致事务分离，数据不一致，无法回滚
+**修正方案**:
+```java
+// ❌ 错误写法 - 独立保存破坏事务
+@Override
+public void beforeExecuteOperationTransaction(BeforeOperationArgs e) {
+    DynamicObject data = e.getDataEntities()[0];
+    SaveServiceHelper.save(new DynamicObject[]{data}); // 破坏事务！
+}
+// ✅ 正确写法 - 在事务内修改数据
+@Override
+public void beforeExecuteOperationTransaction(BeforeOperationArgs e) {
+    DynamicObject data = e.getDataEntities()[0];
+    data.set("status", "updated"); // 直接修改，由框架统一保存
+}
+```
+---
+### 2. DataSet 资源未关闭
+**检查点**:
+- `DataSet` 是否使用了 try-with-resources？
+- 是否在循环中创建 `DataSet` 但未关闭？
+**风险**: 导致连接池耗尽，系统崩溃
+**修正方案**:
+```java
+// ❌ 错误写法 - 资源泄漏
+DataSet ds = QueryServiceHelper.queryDataSet("query", "entity", fields, filters, null);
+ds.forEach(row -> process(row));
+// ds 未关闭！
+// ✅ 正确写法 - try-with-resources
+try (DataSet ds = QueryServiceHelper.queryDataSet("query", "entity", fields, filters, null)) {
+    ds.forEach(row -> process(row));
+}
+```
+---
+### 3. 硬编码组织/用户 ID
+**检查点**:
+- 代码中是否有数字字面量作为**组织ID、用户ID、部门ID**？
+- 是否有 `set("org", 1001L)` 这样的硬编码？
+**⚠️ 误判排除 - 以下场景允许硬编码，不应报为问题**:
+- **单据类型ID**: 业务场景必须使用特定单据类型ID，如 `billTypeId = "xxx"`，这是业务规则决定的
+- **枚举值/状态值**: 如 `status == 1`、`billstatus = "C"` 等，是业务约定的固定枚举
+- **AppId / FormId**: 苍穹应用ID和表单ID是元数据定义的固定标识，不会跨环境变化
+- **常量类中定义的ID**: 如 `SMAppParameterConst.APPID`，属于集中管理的常量
+- **审查原则**: 只有**组织ID、用户ID、部门ID、人员ID**等会随环境变化的ID硬编码才是问题；单据类型、应用标识等固定业务标识不属于硬编码问题
+**风险**: 跨环境部署失败，数据错乱（仅限组织/用户等环境相关ID）
+**修正方案**:
+```java
+// ❌ 错误写法 - 组织/用户ID硬编码（P0）
+data.set("org", 1001L);
+data.set("creator", 88888L);
+// ✅ 正确写法 - 从上下文获取
+data.set("org", this.getContext().getCurrentOrganizationId());
+data.set("creator", this.getContext().getCurrentUserId());
+// ✅ 以下硬编码是合理的，不应报问题：
+// 1. 单据类型ID - 业务规则固定
+String billTypeId = "64e1db5a57e8e7";
+// 2. AppId - 元数据固定标识
+String appId = "/JJVQ13HQZAJ";
+// 3. 枚举值/状态值 - 业务约定
+if ("C".equals(billStatus)) { ... }
+```
+---
+### 4. AlgoContext 未关闭
+**检查点**:
+- `Algo.newContext()` 创建的上下文是否关闭？
+**修正方案**:
+```java
+// ❌ 错误写法
+AlgoContext context = Algo.newContext();
+DataSet ds = ...;
+// context 未关闭！
+// ✅ 正确写法
+try (AlgoContext context = Algo.newContext()) {
+    DataSet ds = ...;
+}
+```
+---
+### 5. DataSet 查询字段与使用字段不匹配
+**检查点**:
+- `QueryServiceHelper.queryDataSet()` 的 fields 参数是否包含了后续使用的所有字段？
+- `Algo.create().query()` 的 select 字段是否包含了后续使用的所有字段？
+- 遍历 `DataSet` 时，`row.getXxx("fieldname")` 的字段是否在查询时声明？
+**风险**: 未声明的字段会返回默认值（false/0/null），导致业务逻辑错误，且难以排查
+**修正方案**:
+```java
+// ❌ 错误写法 - 查询字段缺失
+DataSet ds = QueryServiceHelper.queryDataSet("query", "entity", "id,name", filters, null);
+for (Row row : ds) {
+    boolean isActive = row.getBoolean("isactive");  // isactive 未在 fields 中声明！
+    // isactive 永远返回 false，导致逻辑错误
+}
+// ✅ 正确写法 - 包含所有需要的字段
+DataSet ds = QueryServiceHelper.queryDataSet("query", "entity", "id,name,isactive", filters, null);
+for (Row row : ds) {
+    boolean isActive = row.getBoolean("isactive");  // 正确获取真实值
+}
+// ❌ 错误写法 - Algo 查询字段缺失
+DataSet ds = Algo.create().query("entity")
+    .filter("status = 1")
+    .select("id,code");
+ds.forEach(row -> {
+    String name = row.getString("name");  // name 未在 select 中声明！
+});
+// ✅ 正确写法 - Algo 包含所有字段
+DataSet ds = Algo.create().query("entity")
+    .filter("status = 1")
+    .select("id,code,name");
+ds.forEach(row -> {
+    String name = row.getString("name");  // 正确获取
+});
+```
+**检查方法**:
+1. 找到所有 `queryDataSet()` 或 `Algo.query()` 调用
+2. 提取 fields/select 参数中的字段列表
+3. 检查后续代码中所有 `row.getXxx()` 调用
+4. 验证每个使用的字段是否在字段列表中
+---
+### 6. 分布式缓存 Key 未按账套隔离
+**检查点**:
+- `cache.put()` / `cache.get()` 的 key 是否未包含 `accountId` 前缀？
+- 是否直接使用业务字符串作为 key，未拼接 `RequestContext.get().getAccountId()`？
+**风险**: 不同账套的缓存数据互相覆盖/读取，导致数据安全隔离失效
+**修正方案**:
+```java
+// ❌ 错误写法 - key 未隔离，不同账套会互相污染
+DistributeSessionlessCache cache = CacheFactory.getCommonCacheFactory()
+    .getDistributeSessionlessCache("customRegion");
+cache.put("demo", "test");
+// ✅ 正确写法 - key 前缀加上 accountId 实现账套隔离
+DistributeSessionlessCache cache = CacheFactory.getCommonCacheFactory()
+    .getDistributeSessionlessCache("customRegion");
+String accountId = RequestContext.get().getAccountId();
+cache.put(accountId + "_demo", "test");
+// get 时同样需要加前缀
+Object value = cache.get(accountId + "_demo");
+```
+---
+## 🟠 P1 级问题
+### 5. 大批量数据一次性加载
+**检查点**:
+- 是否一次性加载大量数据到内存？
+- 是否使用了分页查询？
+**修正方案**:
+```java
+// ❌ 错误写法
+List<DynamicObject> all = BusinessDataServiceHelper.load(filters);
+// ✅ 正确写法 - 分批处理
+int pageSize = 1000;
+int page = 0;
+while (true) {
+    List<DynamicObject> batch = BusinessDataServiceHelper.load(filters, page * pageSize, pageSize);
+    if (batch.isEmpty()) break;
+    process(batch);
+    page++;
+}
+```
+---
+### 6. 事务传播配置错误
+**检查点**:
+- 服务方法是否正确配置了事务传播行为？
+**修正方案**:
+```java
+// 使用 @Transactional 注解时注意传播行为
+@Transactional(propagation = Propagation.REQUIRED) // 默认
+@Transactional(propagation = Propagation.REQUIRES_NEW) // 新事务
+```
+---
+### 7. 循环内数据库操作
+**检查点**:
+- 循环内是否调用 `DB.***()` / `ORM.create` / `DispatchServiceHelper.invoke***()`？
+- 循环内是否调用 `BusinessDataServiceHelper.loadSingle()` / `load()`？
+- 循环内是否调用 `SaveServiceHelper.save()`？
+**风险**: N+1 查询，性能骤降，可能导致数据库连接池耗尽
+**修正方案**:
+```java
+// ❌ 错误写法 - 循环内逐条查询
+for (DynamicObject entry : entries) {
+    DynamicObject detail = BusinessDataServiceHelper.loadSingle(
+        entry.get("detailid"), "entityname"); // 每次循环都查库
+}
+// ✅ 正确写法 - 批量查询后再遍历
+Object[] ids = entries.stream().map(e -> e.get("detailid")).toArray();
+DynamicObject[] details = BusinessDataServiceHelper.load(ids, "entityname");
+Map<Object, DynamicObject> detailMap = Arrays.stream(details)
+    .collect(Collectors.toMap(d -> d.get("id"), d -> d));
+for (DynamicObject entry : entries) {
+    DynamicObject detail = detailMap.get(entry.get("detailid"));
+}
+```
+---
+### 8. 无过滤条件查询大数据量
+**检查点**:
+- 查询是否缺少过滤条件？
+- 默认查询范围是否过大？（应缩小到当月/当天/当前组织）
+**风险**: 全表扫描导致数据库性能问题
+**修正方案**:
+```java
+// ❌ 错误写法 - 无过滤条件
+DynamicObject[] all = BusinessDataServiceHelper.load("entityname", "id,name", null);
+// ✅ 正确写法 - 添加合理的过滤条件
+QFilter orgFilter = new QFilter("org", QCP.equals, RequestContext.get().getOrgId());
+QFilter dateFilter = new QFilter("bizdate", QCP.large_equals, DateUtils.getMonthStart());
+DynamicObject[] data = BusinessDataServiceHelper.load("entityname", "id,name",
+    new QFilter[]{orgFilter, dateFilter});
+```
+---
+### 9. SQL 拼接字符串（SQL 注入风险）
+**检查点**:
+- 查询参数是否直接拼接到 SQL 字符串中？
+- 是否使用了 `Statement` 而非 `PreparedStatement`？
+**风险**: SQL 注入攻击，数据泄露
+**修正方案**:
+```java
+// ❌ 错误写法 - SQL 拼接
+String sql = "SELECT * FROM t_table WHERE name = '" + userName + "'";
+DB.query(sql);
+// ✅ 正确写法 - 参数化查询
+QFilter filter = new QFilter("name", QCP.equals, userName);
+QueryServiceHelper.query("entityname", "id,name", new QFilter[]{filter});
+```
+---
+### 10. 查询字段层级过深
+**检查点**:
+- 查询字段层级是否超过 4 层？（过深产生笛卡尔积，性能骤降）
+**风险**: 笛卡尔积导致查询性能急剧下降
+---
+### 11. 使用 JDK 原生线程/线程池
+**检查点**:
+- 是否使用了 `new Thread()`、`Executors.newXxx()` 等 JDK 原生线程池？
+- 必须使用苍穹平台线程池 `kd.bos.threads.ThreadPools`
+**风险**: 绕过平台线程管理，可能导致上下文丢失、资源泄漏
+**修正方案**:
+```java
+// ❌ 错误写法 - JDK 原生线程
+new Thread(() -> { /* 异步逻辑 */ }).start();
+ExecutorService pool = Executors.newFixedThreadPool(4);
+// ✅ 正确写法 - 苍穹平台线程池
+ThreadPools.executeOnce(() -> { /* 异步逻辑 */ });
+// 或
+ThreadPool pool = ThreadPools.newFixedThreadPool(4);
+```
+---
+### 12. 数据访问方法选择不当
+**检查点**:
+- 判断存在是否使用了 `queryOne` 后判断？（应使用 `exists`）
+- 大数据量查询是否使用了 `load`？（应使用 `queryDataSet`）
+- 只读场景是否使用了 `loadSingle`？（应使用 `query`/`queryOne`）
+- 查询结果**不需要保存回库**时，是否使用了 `BusinessDataServiceHelper.load`？（应改用 `QueryServiceHelper.query`）
+- 高频读取基础资料是否使用了 `loadSingle`？（应使用 `loadSingleFromCache`）
+- `loadFromCache` 是否用于数据量 > 1000 的场景？（不推荐）
+**数据访问方法选择指南**:
+| 场景 | 推荐方法 | 说明 |
+|------|---------|------|
+| 判断存在 | `QueryServiceHelper.exists` | 比 queryOne 后判断更高效 |
+| 大数据量查询 | `QueryServiceHelper.queryDataSet` | 流式，性能最佳，必须 try-with-resources |
+| 小量只读 | `QueryServiceHelper.query/queryOne` | 返回 plainObject，性能好 |
+| 需要保存回库 | `BusinessDataServiceHelper.loadSingle/load` | 实时读库 |
+| 高频读取小量基础资料 | `loadSingleFromCache/loadFromCache` | 数据量<1000才推荐 |
+---
+### 13. 敏感信息硬编码
+**检查点**:
+- 代码中是否硬编码了账号、密码、外链等敏感信息？
+- 页面是否明文显示敏感信息？
+- 是否使用了 XML 外部实体（`<!DOCTYPE>`、`<!ENTITY>`、`SYSTEM`）？
+**风险**: 安全漏洞，敏感信息泄露
+**修正方案**:
+```java
+// ❌ 错误写法 - 硬编码密码
+String password = "admin123";
+// ✅ 正确写法 - 加密后存 MC（管理中心）
+String password = MCConfigHelper.getConfig("db.password");
+```
+---
+### 14. 第三方 API 调用未设置超时
+**检查点**:
+- 所有第三方 API 调用是否设置了超时时间？
+**风险**: 第三方服务不可用时导致线程阻塞
+---
+### 15. 微服务调用不规范
+**检查点**:
+- 跨云跨应用是否通过微服务调用？（禁止直接依赖其他应用的 jar 包）
+- 服务工厂路由规则是否正确？（`{isv}.{cloudId}.{appId}.ServiceFactory`）
+**修正方案**:
+```java
+// ❌ 错误写法 - 直接依赖其他应用 jar 包调用
+OtherAppService service = new OtherAppService();
+// ✅ 正确写法 - 通过微服务调用
+Object result = DispatchServiceHelper.invokeService(
+    "isv.ti.bo",       // Factory 类限定前缀
+    "appId",           // 应用 Id
+    "xxxService",      // 注册的服务名称
+    "methodName",      // 调用方法
+    new Object[]{...}  // 入参
+);
+```
+---
+### 16. 事务边界不合理
+**检查点**:
+- 是否存在大事务？（耗时操作应拆分为多个小事务）
+- 需要事务控制和权限控制的逻辑是否放在了表单插件中？（应在操作插件中完成）
+**风险**: 大事务导致数据库锁等待、超时

package/vendor/kingdee-skills/kingdee-cosmic-reviewer/references/domain-logic-checklist.md ADDED Viewed

@@ -0,0 +1,295 @@
+# 领域特定业务逻辑检查表
+## 🔴 P0 级问题
+### 1. 余额模型校验缺失
+**检查点**:
+- 余额扣减是否调用了官方 API？
+- 是否直接操作余额表而不经过标准服务？
+**风险**: 数据不一致，余额错误
+**修正方案**:
+```java
+// ❌ 错误写法 - 直接操作余额表
+DynamicObject balance = BusinessDataServiceHelper.loadSingle(balanceId, "balance_entity");
+balance.set("amount", newAmount);
+SaveServiceHelper.save(balance);
+// ✅ 正确写法 - 使用官方余额服务
+BalanceServiceHelper.deductBalance(orgId, accountId, amount, billInfo);
+```
+---
+### 2. F7 过滤缺失数据范围
+**检查点**:
+- F7 字段是否注入了数据权限？
+- 是否有正确的组织范围过滤？
+**风险**: 数据越权访问
+**修正方案**:
+```java
+// ❌ 错误写法 - 无权限过滤
+QFilter filter = new QFilter("status", "=", "A");
+// ✅ 正确写法 - 注入数据权限
+QFilter filter = new QFilter("status", "=", "A");
+filter.and(new QFilter("org", "in", PermissionHelper.getPermissionOrgs()));
+```
+---
+### 3. 金额/数量计算精度丢失
+**检查点**:
+- 金额计算是否使用了 `double` 或 `float` 类型？
+- BigDecimal 除法是否指定了精度和舍入模式？
+- 金额比较是否使用了 `==` 而非 `compareTo`？
+- 多次乘除运算是否存在中间精度丢失？
+**风险**: 财务数据精度丢失，对账不平
+**修正方案**:
+```java
+// ❌ 错误写法 - double 计算金额
+double amount = price * qty;
+double taxRate = 0.13;
+double taxAmount = amount * taxRate;
+// ❌ 错误写法 - BigDecimal 除法未指定精度
+BigDecimal unitPrice = totalAmount.divide(qty); // ArithmeticException!
+// ❌ 错误写法 - 金额比较用 ==
+if (amount == BigDecimal.ZERO) { ... }
+// ✅ 正确写法
+BigDecimal amount = price.multiply(qty);
+BigDecimal taxAmount = amount.multiply(new BigDecimal("0.13"));
+BigDecimal unitPrice = totalAmount.divide(qty, 10, RoundingMode.HALF_UP);
+if (amount.compareTo(BigDecimal.ZERO) == 0) { ... }
+```
+---
+### 4. 单据状态流转不合法
+**检查点**:
+- 单据状态变更是否遵循合法的状态流转路径？
+- 是否存在跳过中间状态直接变更的情况？（如从"暂存"直接到"已审核"）
+- 反审核、作废等逆向操作是否检查了下游单据状态？
+**风险**: 状态混乱，业务流程被破坏
+**修正方案**:
+```java
+// ❌ 错误写法 - 未校验当前状态直接变更
+data.set("billstatus", "C"); // 直接设为已审核
+// ✅ 正确写法 - 通过操作服务变更状态（框架会校验状态流转）
+OperationServiceHelper.executeOperate("audit", entityName,
+    new Object[]{billId}, OperateOption.create());
+```
+---
+### 5. 收付款计划金额一致性
+**检查点**:
+- 收付款计划行的金额合计是否等于单据总金额？
+- 新增/删除/修改计划行后是否重算了金额分摊？
+- 是否存在尾差未处理的情况？
+**风险**: 收付款金额与单据金额不一致，财务对账差异
+**修正方案**:
+```java
+// ✅ 正确做法 - 修改计划行后重算金额分摊
+// 1. 计算各行分摊比例
+// 2. 按比例分配金额
+// 3. 尾差放到最后一行
+BigDecimal total = BigDecimal.ZERO;
+for (int i = 0; i < planEntries.size() - 1; i++) {
+    BigDecimal ratio = planEntries.get(i).getBigDecimal("ratio");
+    BigDecimal lineAmt = totalAmount.multiply(ratio).setScale(2, RoundingMode.HALF_UP);
+    planEntries.get(i).set("amount", lineAmt);
+    total = total.add(lineAmt);
+}
+// 尾差放最后一行
+planEntries.get(planEntries.size() - 1).set("amount", totalAmount.subtract(total));
+```
+---
+## 🟠 P1 级问题
+### 6. 库存操作未走标准服务
+**检查点**:
+- 是否直接操作库存表？
+- 是否使用了标准库存服务？
+**修正方案**:
+```java
+// ✅ 使用标准库存服务
+InventoryServiceHelper.operateInventory(operates);
+```
+---
+### 7. 单据编号未使用编码规则
+**检查点**:
+- 是否手动生成单据编号？
+**修正方案**:
+```java
+// ❌ 错误写法
+String billNo = "PO" + System.currentTimeMillis();
+// ✅ 正确写法
+String billNo = BillCodeHelper.getBillNo(billTypeId, orgId);
+```
+---
+### 8. BOTP 下推转换数据完整性
+**检查点**:
+- 下推转换后是否校验了目标单据的必填字段是否完整？
+- 下推数量/金额是否超过源单可下推量？
+- 是否正确设置了源单关联信息（反写字段）？
+- 转换规则中的字段映射是否覆盖了所有需要携带的字段？
+**风险**: 下推单据数据不完整导致后续业务异常
+**修正方案**:
+```java
+// ✅ 下推后校验必填字段
+ConvertOperationResult result = ConvertServiceHelper.push(srcEntityName, targetEntityName, ids, option);
+if (result.isSuccess()) {
+    DynamicObject[] targetBills = result.getTargetBills();
+    for (DynamicObject bill : targetBills) {
+        // 校验必填字段完整性
+        validateRequiredFields(bill);
+    }
+}
+```
+---
+### 9. 票据/应收应付业务规则
+**检查点**:
+- 票据到期日计算是否正确处理了节假日和工作日？
+- 应收/应付核销金额是否超过未核销余额？
+- 收款/付款时是否正确匹配了应收/应付单据？
+- 红蓝字单据的金额正负号是否正确？
+- 预收/预付转应收/应付的业务流转是否完整？
+**风险**: 财务数据错误，核销异常
+**修正方案**:
+```java
+// ❌ 错误写法 - 未校验核销金额
+data.set("writeOffAmount", inputAmount); // 直接设置，可能超过余额
+// ✅ 正确写法 - 校验核销金额不超过未核销余额
+BigDecimal unWriteOffAmt = totalAmount.subtract(alreadyWriteOffAmt);
+if (inputAmount.compareTo(unWriteOffAmt) > 0) {
+    throw new KDBizException("核销金额不能超过未核销余额");
+}
+```
+---
+### 10. 价格/税额计算规则
+**检查点**:
+- 含税/不含税价格转换是否正确？
+- 税额计算公式是否符合业务规则？
+- 折扣/优惠计算是否正确应用？
+- 多币种场景是否正确换算汇率？
+**风险**: 价格/税额计算错误
+**修正方案**:
+```java
+// ❌ 错误写法 - 含税价转不含税价精度丢失
+BigDecimal priceWithoutTax = priceWithTax.divide(
+    BigDecimal.ONE.add(taxRate)); // 可能除不尽！
+// ✅ 正确写法 - 指定精度
+BigDecimal priceWithoutTax = priceWithTax.divide(
+    BigDecimal.ONE.add(taxRate), 10, RoundingMode.HALF_UP);
+```
+---
+### 11. 操作权限校验
+**检查点**:
+- 敏感操作（审核、反审核、删除）是否校验了用户权限？
+- 是否存在绕过权限校验的路径？
+- 微服务间调用是否传递了权限上下文？
+**风险**: 越权操作，数据安全风险
+---
+### 12. 维度一致性校验
+**检查点**:
+- 多维度的业务数据（组织、币别、结算方式等）在不同位置是否保持一致？
+- 维度变更后是否触发了关联字段的重新计算？
+- 跨分录的维度关联是否正确校验？
+**风险**: 维度不一致导致业务数据错误
+---
+## 🟡 P2 级问题
+### 13. 多语言字段未处理
+**检查点**:
+- 是否正确处理多语言字段？
+**修正方案**:
+```java
+// ✅ 正确获取多语言值
+String localValue = data.getLocaleString("multiLangField");
+```
+---
+### 14. 业务日志记录不完整
+**检查点**:
+- 关键业务操作（审核、反审核、修改金额等）是否记录了操作日志？
+- 日志内容是否包含操作前后的关键数据变化？
+**修正方案**:
+```java
+// ✅ 记录关键业务操作日志
+logger.info("单据[{}]审核: 操作人={}, 审核金额={}",
+    billNo, currentUser, amount);
+```
+---
+### 15. 批量操作未考虑部分失败
+**检查点**:
+- 批量操作是否考虑了部分成功部分失败的场景？
+- 失败的记录是否有明确的错误信息反馈？
+**修正方案**:
+```java
+// ❌ 错误写法 - 一条失败全部中断
+for (DynamicObject obj : entities) {
+    processData(obj); // 一条异常全部停止
+}
+// ✅ 正确写法 - 逐条处理，收集错误
+List<String> errors = new ArrayList<>();
+for (DynamicObject obj : entities) {
+    try {
+        processData(obj);
+    } catch (Exception e) {
+        errors.add(String.format("单据[%s]处理失败: %s",
+            obj.getString("billno"), e.getMessage()));
+    }
+}
+if (!errors.isEmpty()) {
+    throw new KDBizException(String.join("\n", errors));
+}
+```