npm - mcp-probe-kit - Versions diffs - 1.3.0 → 1.6.0 - Mend

mcp-probe-kit 1.3.0 → 1.6.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (64) hide show

package/README.md +719 -74
package/build/index.js +362 -1
package/build/tools/add_feature.d.ts +33 -0
package/build/tools/add_feature.js +464 -0
package/build/tools/css_order.d.ts +13 -0
package/build/tools/css_order.js +81 -0
package/build/tools/estimate.d.ts +22 -0
package/build/tools/estimate.js +225 -0
package/build/tools/fix_bug.d.ts +24 -0
package/build/tools/fix_bug.js +298 -0
package/build/tools/gen_mock.d.ts +22 -0
package/build/tools/gen_mock.js +250 -0
package/build/tools/index.d.ts +15 -0
package/build/tools/index.js +16 -0
package/build/tools/init_project.js +121 -76
package/build/tools/init_project_context.d.ts +26 -0
package/build/tools/init_project_context.js +331 -0
package/build/tools/security_scan.d.ts +22 -0
package/build/tools/security_scan.js +282 -0
package/build/tools/start_api.d.ts +19 -0
package/build/tools/start_api.js +178 -0
package/build/tools/start_bugfix.d.ts +19 -0
package/build/tools/start_bugfix.js +127 -0
package/build/tools/start_doc.d.ts +19 -0
package/build/tools/start_doc.js +190 -0
package/build/tools/start_feature.d.ts +19 -0
package/build/tools/start_feature.js +122 -0
package/build/tools/start_onboard.d.ts +19 -0
package/build/tools/start_onboard.js +146 -0
package/build/tools/start_refactor.d.ts +19 -0
package/build/tools/start_refactor.js +175 -0
package/build/tools/start_release.d.ts +19 -0
package/build/tools/start_release.js +152 -0
package/build/tools/start_review.d.ts +19 -0
package/build/tools/start_review.js +162 -0
package/docs/BEST_PRACTICES.md +722 -0
package/docs/HOW_TO_TRIGGER.html +186 -0
package/docs/HOW_TO_TRIGGER.md +941 -0
package/docs/specs/add-feature/design.md +608 -0
package/docs/specs/add-feature/requirements.md +175 -0
package/docs/specs/add-feature/tasks.md +111 -0
package/docs/specs/estimate/design.md +209 -0
package/docs/specs/estimate/requirements.md +140 -0
package/docs/specs/estimate/tasks.md +66 -0
package/docs/specs/fix-bug/design.md +259 -0
package/docs/specs/fix-bug/requirements.md +132 -0
package/docs/specs/fix-bug/tasks.md +66 -0
package/docs/specs/gen-mock/design.md +241 -0
package/docs/specs/gen-mock/requirements.md +137 -0
package/docs/specs/gen-mock/tasks.md +66 -0
package/docs/specs/init-project-context/design.md +515 -0
package/docs/specs/init-project-context/requirements.md +144 -0
package/docs/specs/init-project-context/tasks.md +93 -0
package/docs/specs/security-scan/design.md +152 -0
package/docs/specs/security-scan/requirements.md +150 -0
package/docs/specs/security-scan/tasks.md +67 -0
package/docs/specs/start-bugfix/design.md +42 -0
package/docs/specs/start-bugfix/requirements.md +70 -0
package/docs/specs/start-bugfix/tasks.md +21 -0
package/docs/specs/start-feature/design.md +41 -0
package/docs/specs/start-feature/requirements.md +90 -0
package/docs/specs/start-feature/tasks.md +21 -0
package/docs/specs/start-review/requirements.md +0 -0
package/package.json +66 -65

package/build/tools/init_project_context.js ADDED Viewed

@@ -0,0 +1,331 @@
+/**
+ * init_project_context 工具
+ *
+ * 功能：生成项目上下文文档，帮助 AI 理解项目的技术栈、架构和规范
+ * 模式：指令生成器模式 - 返回详细的分析指南，由 AI 执行实际操作
+ */
+// 默认文档目录
+const DEFAULT_DOCS_DIR = "docs";
+// 提示词模板
+const PROMPT_TEMPLATE = `# 项目上下文初始化指南
+## 🎯 任务目标
+在 \`{docs_dir}/\` 目录下生成 \`project-context.md\` 文件，记录项目的核心信息。
+**输出文件**: \`{docs_dir}/project-context.md\`
+**文件用途**: 记录项目的技术栈、架构模式、编码规范等核心信息，供后续功能开发时参考。
+---
+## 📋 执行步骤
+请按照以下步骤分析项目并生成文档：
+### 步骤 1: 分析技术栈
+**目标**: 识别项目使用的语言、框架和工具。
+**操作**:
+1. 读取 \`package.json\` 文件
+2. 从 \`dependencies\` 中识别主要框架:
+   - React、Vue、Angular → 前端框架
+   - Express、Koa、Fastify、NestJS → 后端框架
+   - Next.js、Nuxt.js → 全栈框架
+   - @modelcontextprotocol/sdk → MCP 服务器
+3. 从 \`devDependencies\` 中识别开发工具:
+   - typescript → TypeScript 项目
+   - webpack、vite、rollup、esbuild → 构建工具
+   - jest、vitest、mocha → 测试框架
+   - eslint、prettier → 代码规范工具
+4. 检查配置文件:
+   - \`tsconfig.json\` → TypeScript 配置
+   - \`vite.config.js/ts\` → Vite 项目
+   - \`webpack.config.js\` → Webpack 项目
+   - \`.eslintrc.*\` → ESLint 配置
+   - \`.prettierrc.*\` → Prettier 配置
+**记录**: 语言、框架、构建工具、测试框架、代码规范工具
+---
+### 步骤 2: 分析项目结构
+**目标**: 理解项目的目录组织方式。
+**操作**:
+1. 列出项目根目录下的文件和文件夹
+2. 重点关注以下目录:
+   - \`src/\` → 源代码目录
+   - \`lib/\` → 库代码目录
+   - \`tests/\` 或 \`__tests__/\` → 测试目录
+   - \`docs/\` → 文档目录
+   - \`build/\` 或 \`dist/\` → 构建输出目录
+3. 识别入口文件:
+   - \`src/index.ts\` 或 \`src/index.js\`
+   - \`src/main.ts\` 或 \`src/main.js\`
+   - \`src/app.ts\` 或 \`src/app.js\`
+4. 生成目录树（深度 2-3 层，忽略 node_modules、.git、dist、build）
+**记录**: 目录结构、入口文件、主要模块
+---
+### 步骤 3: 分析编码规范
+**目标**: 识别项目的代码风格和规范。
+**操作**:
+1. 检查是否存在以下配置文件:
+   - \`.eslintrc.*\` → ESLint 配置
+   - \`.prettierrc.*\` → Prettier 配置
+   - \`tsconfig.json\` → TypeScript 配置
+2. 从现有代码中识别命名规范:
+   - 文件命名: kebab-case / camelCase / PascalCase
+   - 变量命名: camelCase
+   - 常量命名: UPPER_SNAKE_CASE
+   - 类/接口命名: PascalCase
+3. 检查 TypeScript 配置:
+   - \`strict\` 是否为 true
+   - \`target\` 和 \`module\` 设置
+   - 其他重要配置项
+**记录**: 代码风格工具、命名规范、TypeScript 配置
+---
+### 步骤 4: 分析依赖
+**目标**: 列出项目的主要依赖。
+**操作**:
+1. 从 \`package.json\` 读取 \`dependencies\`
+2. 从 \`package.json\` 读取 \`devDependencies\`
+3. 识别关键依赖并说明用途
+4. 统计依赖数量
+**记录**: 主要生产依赖（前 10 个）、主要开发依赖（前 10 个）、依赖总数
+---
+### 步骤 5: 分析开发流程
+**目标**: 识别项目的开发、构建、测试命令。
+**操作**:
+1. 从 \`package.json\` 读取 \`scripts\` 字段
+2. 识别常用命令:
+   - \`dev\` 或 \`start\` → 开发启动命令
+   - \`build\` → 构建命令
+   - \`test\` → 测试命令
+   - \`lint\` → 代码检查命令
+**记录**: 开发命令、构建命令、测试命令、其他重要命令
+---
+## 📝 文档模板
+请在 \`{docs_dir}/project-context.md\` 中生成以下内容：
+\`\`\`markdown
+# 项目上下文
+> 本文档由 MCP Probe Kit 的 init_project_context 工具生成，记录项目的核心信息。
+> 用于帮助 AI 理解项目，生成更准确的代码和文档。
+## 项目概览
+| 属性 | 值 |
+|------|-----|
+| 名称 | [从 package.json 的 name 字段读取] |
+| 版本 | [从 package.json 的 version 字段读取] |
+| 类型 | [分析得出: Web应用 / API服务 / CLI工具 / 库 / MCP服务器] |
+| 描述 | [从 package.json 的 description 字段读取] |
+## 技术栈
+| 类别 | 技术 |
+|------|------|
+| 语言 | [JavaScript / TypeScript] |
+| 运行时 | [Node.js / Browser / Deno] |
+| 框架 | [识别的框架，如 React、Express、Next.js] |
+| 构建工具 | [识别的工具，如 TypeScript、Webpack、Vite] |
+| 包管理器 | [npm / yarn / pnpm] |
+| 测试框架 | [识别的测试框架，如 Jest、Vitest，或 "未配置"] |
+## 项目结构
+\\\`\\\`\\\`
+[生成目录树，深度 2-3 层]
+[示例:]
+project/
+├── src/
+│   ├── index.ts
+│   └── tools/
+│       ├── index.ts
+│       └── ...
+├── docs/
+├── package.json
+└── tsconfig.json
+\\\`\\\`\\\`
+### 主要目录说明
+| 目录 | 用途 |
+|------|------|
+| src/ | [源代码目录，描述主要内容] |
+| docs/ | [文档目录] |
+| tests/ | [测试目录，如果存在] |
+| build/ | [构建输出目录，如果存在] |
+### 入口文件
+- 主入口: \`[入口文件路径，如 src/index.ts]\`
+## 架构模式
+- **项目类型**: [MCP服务器 / Web应用 / API服务 / 库]
+- **设计模式**: [识别的模式，如 工具模式、MVC、组件化、服务层]
+- **模块划分**: [主要模块说明]
+## 编码规范
+### 代码风格
+| 工具 | 状态 | 配置文件 |
+|------|------|----------|
+| ESLint | [已配置 / 未配置] | [配置文件路径] |
+| Prettier | [已配置 / 未配置] | [配置文件路径] |
+### 命名规范
+| 类型 | 规范 | 示例 |
+|------|------|------|
+| 文件命名 | [kebab-case / camelCase / PascalCase] | [示例] |
+| 变量命名 | camelCase | userName |
+| 常量命名 | UPPER_SNAKE_CASE | MAX_COUNT |
+| 函数命名 | camelCase | getUserInfo |
+| 类/接口命名 | PascalCase | UserService |
+### TypeScript 配置
+| 配置项 | 值 |
+|--------|-----|
+| strict | [true / false] |
+| target | [ES2020 / ES2022 / ...] |
+| module | [CommonJS / ESNext / Node16 / ...] |
+## 依赖管理
+### 主要生产依赖
+| 依赖 | 版本 | 用途 |
+|------|------|------|
+| [依赖名] | [版本] | [用途说明] |
+### 主要开发依赖
+| 依赖 | 版本 | 用途 |
+|------|------|------|
+| [依赖名] | [版本] | [用途说明] |
+### 依赖统计
+- 生产依赖: [数量] 个
+- 开发依赖: [数量] 个
+- 总计: [数量] 个
+## 开发流程
+### 常用命令
+| 命令 | 用途 |
+|------|------|
+| \`npm run dev\` | [开发启动，描述具体行为] |
+| \`npm run build\` | [构建，描述输出位置] |
+| \`npm test\` | [测试，或 "未配置"] |
+| \`npm run lint\` | [代码检查，或 "未配置"] |
+### 开发环境要求
+- Node.js: [版本要求，从 engines 字段读取或推断]
+- 包管理器: [npm / yarn / pnpm]
+---
+*生成时间: [当前时间，格式: YYYY-MM-DD HH:mm:ss]*
+*生成工具: MCP Probe Kit - init_project_context*
+\`\`\`
+---
+## ✅ 检查清单
+生成文档后，请验证以下内容：
+- [ ] 文件已创建: \`{docs_dir}/project-context.md\`
+- [ ] 项目概览完整（名称、版本、类型、描述都已填写）
+- [ ] 技术栈准确（语言、框架、构建工具正确识别）
+- [ ] 目录结构清晰（树形结构正确，深度适当）
+- [ ] 入口文件正确（主入口文件已识别）
+- [ ] 架构模式已识别（项目类型、设计模式）
+- [ ] 编码规范完整（ESLint、Prettier、命名规范已记录）
+- [ ] TypeScript 配置已记录（如果是 TS 项目）
+- [ ] 依赖列表完整（主要依赖已列出并说明用途）
+- [ ] 开发命令正确（dev、build、test 命令已记录）
+- [ ] 所有占位符已替换（没有 [xxx] 格式的占位符）
+- [ ] Markdown 格式正确（表格、代码块格式正确）
+---
+## 📌 注意事项
+1. **如果某项信息无法获取**，请填写 "未配置" 或 "无"，不要留空
+2. **目录树生成时**，忽略 \`node_modules\`、\`.git\`、\`dist\`、\`build\`、\`coverage\` 等目录
+3. **依赖说明**，只列出主要依赖（前 10 个），其他可省略
+4. **时间格式**，使用 YYYY-MM-DD HH:mm:ss 格式
+5. **如果 docs 目录不存在**，请先创建该目录
+---
+*指南版本: 1.0.0*
+*工具: MCP Probe Kit - init_project_context*
+`;
+/**
+ * init_project_context 工具实现
+ *
+ * @param args - 工具参数
+ * @param args.docs_dir - 文档目录，默认 "docs"
+ * @returns MCP 响应，包含项目分析指南
+ */
+export async function initProjectContext(args) {
+    try {
+        // 解析参数
+        const docsDir = args?.docs_dir || DEFAULT_DOCS_DIR;
+        // 构建指南文本（替换占位符）
+        const guide = PROMPT_TEMPLATE.replace(/{docs_dir}/g, docsDir);
+        // 返回结果
+        return {
+            content: [
+                {
+                    type: "text",
+                    text: guide,
+                },
+            ],
+        };
+    }
+    catch (error) {
+        const errorMessage = error instanceof Error ? error.message : String(error);
+        return {
+            content: [
+                {
+                    type: "text",
+                    text: `❌ 初始化项目上下文失败: ${errorMessage}`,
+                },
+            ],
+            isError: true,
+        };
+    }
+}

package/build/tools/security_scan.d.ts ADDED Viewed

@@ -0,0 +1,22 @@
+/**
+ * security_scan 工具
+ *
+ * 功能：代码安全扫描，检测常见漏洞和不安全编码实践
+ * 模式：指令生成器模式 - 返回安全检查指南，由 AI 执行实际分析
+ */
+/**
+ * security_scan 工具实现
+ */
+export declare function securityScan(args: any): Promise<{
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError?: undefined;
+} | {
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError: boolean;
+}>;

package/build/tools/security_scan.js ADDED Viewed

@@ -0,0 +1,282 @@
+/**
+ * security_scan 工具
+ *
+ * 功能：代码安全扫描，检测常见漏洞和不安全编码实践
+ * 模式：指令生成器模式 - 返回安全检查指南，由 AI 执行实际分析
+ */
+const PROMPT_TEMPLATE = `# 安全扫描指南
+## 🎯 扫描目标
+**扫描类型**: {scan_type}
+**编程语言**: {language}
+**待扫描代码**:
+\`\`\`{language}
+{code}
+\`\`\`
+---
+## 📋 安全检查清单
+### 1. 注入类漏洞 (Injection)
+#### 1.1 SQL 注入 (CWE-89)
+- [ ] 检查是否使用字符串拼接构建 SQL
+- [ ] 检查是否使用参数化查询/预编译语句
+- [ ] 检查 ORM 是否正确使用
+**危险模式**:
+\`\`\`
+// ❌ 危险
+query = "SELECT * FROM users WHERE id = " + userId
+db.query(\`SELECT * FROM users WHERE name = '\${name}'\`)
+// ✅ 安全
+query = "SELECT * FROM users WHERE id = ?"
+db.query("SELECT * FROM users WHERE name = $1", [name])
+\`\`\`
+#### 1.2 XSS 跨站脚本 (CWE-79)
+- [ ] 检查用户输入是否直接输出到 HTML
+- [ ] 检查是否使用 innerHTML/dangerouslySetInnerHTML
+- [ ] 检查是否正确转义特殊字符
+**危险模式**:
+\`\`\`
+// ❌ 危险
+element.innerHTML = userInput
+<div dangerouslySetInnerHTML={{__html: userContent}} />
+// ✅ 安全
+element.textContent = userInput
+使用 DOMPurify 等库清理 HTML
+\`\`\`
+#### 1.3 命令注入 (CWE-78)
+- [ ] 检查 exec/spawn/system 是否拼接用户输入
+- [ ] 检查是否使用白名单验证
+**危险模式**:
+\`\`\`
+// ❌ 危险
+exec("ls " + userPath)
+child_process.exec(\`git clone \${repoUrl}\`)
+// ✅ 安全
+execFile("ls", [userPath])
+使用白名单验证输入
+\`\`\`
+#### 1.4 路径遍历 (CWE-22)
+- [ ] 检查文件路径是否包含用户输入
+- [ ] 检查是否验证路径在允许范围内
+---
+### 2. 认证授权问题 (Authentication & Authorization)
+#### 2.1 硬编码凭证 (CWE-798)
+- [ ] 搜索: password, secret, key, token, api_key
+- [ ] 检查配置文件中的明文密码
+- [ ] 检查注释中的凭证信息
+**危险模式**:
+\`\`\`
+// ❌ 危险
+const password = "admin123"
+const apiKey = "sk-xxxxxxxxxxxx"
+// TODO: 临时密码 test123
+// ✅ 安全
+const password = process.env.DB_PASSWORD
+const apiKey = config.get("apiKey")
+\`\`\`
+#### 2.2 弱认证 (CWE-287)
+- [ ] 检查密码强度验证
+- [ ] 检查是否有暴力破解防护
+- [ ] 检查 Session 管理
+#### 2.3 权限检查缺失 (CWE-862)
+- [ ] 检查敏感操作是否验证权限
+- [ ] 检查是否存在越权访问风险
+---
+### 3. 加密安全问题 (Cryptography)
+#### 3.1 弱哈希算法 (CWE-328)
+- [ ] 检查是否使用 MD5/SHA1 存储密码
+- [ ] 检查是否使用适当的密码哈希（bcrypt, argon2）
+**危险模式**:
+\`\`\`
+// ❌ 危险
+crypto.createHash('md5').update(password)
+crypto.createHash('sha1').update(password)
+// ✅ 安全
+bcrypt.hash(password, saltRounds)
+argon2.hash(password)
+\`\`\`
+#### 3.2 不安全随机数 (CWE-330)
+- [ ] 检查安全相关场景是否使用 Math.random()
+- [ ] 检查是否使用加密安全的随机数生成器
+**危险模式**:
+\`\`\`
+// ❌ 危险（用于安全场景）
+const token = Math.random().toString(36)
+// ✅ 安全
+const token = crypto.randomBytes(32).toString('hex')
+\`\`\`
+#### 3.3 弱加密算法 (CWE-327)
+- [ ] 检查是否使用 DES/3DES/RC4
+- [ ] 检查 AES 是否使用安全模式（GCM）
+---
+### 4. 敏感数据泄露 (Sensitive Data Exposure)
+#### 4.1 日志泄露 (CWE-532)
+- [ ] 检查日志是否包含密码、token、个人信息
+- [ ] 检查错误日志是否泄露敏感信息
+**危险模式**:
+\`\`\`
+// ❌ 危险
+console.log("User login:", { username, password })
+logger.info("API call with token:", apiToken)
+// ✅ 安全
+console.log("User login:", { username, password: "***" })
+logger.info("API call with token:", maskToken(apiToken))
+\`\`\`
+#### 4.2 错误信息泄露 (CWE-209)
+- [ ] 检查是否向用户返回详细错误信息
+- [ ] 检查是否暴露堆栈跟踪
+#### 4.3 注释中的敏感信息
+- [ ] 检查注释中是否包含密码、密钥
+- [ ] 检查 TODO/FIXME 中的敏感信息
+---
+### 5. 其他安全问题
+#### 5.1 不安全的依赖
+- [ ] 检查是否使用已知漏洞的依赖版本
+#### 5.2 CORS 配置
+- [ ] 检查是否使用 Access-Control-Allow-Origin: *
+#### 5.3 不安全的反序列化 (CWE-502)
+- [ ] 检查是否反序列化不可信数据
+---
+## 📊 报告模板
+### 漏洞摘要
+| 严重程度 | 数量 | 说明 |
+|----------|------|------|
+| 🔴 Critical | 0 | 需立即修复 |
+| 🟠 High | 0 | 尽快修复 |
+| 🟡 Medium | 0 | 计划修复 |
+| 🔵 Low | 0 | 建议修复 |
+| ⚪ Info | 0 | 仅供参考 |
+### 漏洞详情
+#### [漏洞编号] 漏洞名称
+| 属性 | 值 |
+|------|-----|
+| 严重程度 | 🔴 Critical / 🟠 High / 🟡 Medium / 🔵 Low |
+| CWE | CWE-XXX |
+| 位置 | 第 X 行 |
+| 置信度 | 高 / 中 / 低 |
+**问题代码**:
+\`\`\`
+[问题代码片段]
+\`\`\`
+**问题描述**: [描述安全风险]
+**修复建议**:
+\`\`\`
+[修复后的代码]
+\`\`\`
+---
+### 安全最佳实践建议
+1. **输入验证**: 对所有用户输入进行验证和清理
+2. **输出编码**: 根据上下文正确编码输出
+3. **参数化查询**: 使用参数化查询防止注入
+4. **最小权限**: 遵循最小权限原则
+5. **安全配置**: 使用安全的默认配置
+6. **依赖管理**: 定期更新依赖，修复已知漏洞
+7. **日志安全**: 不记录敏感信息
+8. **错误处理**: 不向用户暴露内部错误详情
+---
+## ✅ 扫描检查清单
+- [ ] 注入类漏洞已检查
+- [ ] 认证授权问题已检查
+- [ ] 加密安全问题已检查
+- [ ] 敏感数据泄露已检查
+- [ ] 其他安全问题已检查
+- [ ] 漏洞报告已生成
+- [ ] 修复建议已提供
+---
+*指南版本: 1.0.0*
+*工具: MCP Probe Kit - security_scan*
+`;
+/**
+ * security_scan 工具实现
+ */
+export async function securityScan(args) {
+    try {
+        const code = args?.code;
+        if (!code) {
+            throw new Error("缺少必填参数: code（需要扫描的代码）");
+        }
+        const language = args?.language || "auto";
+        const scanType = args?.scan_type || "all";
+        const scanTypeDesc = {
+            all: "全面扫描（注入、认证、加密、敏感数据）",
+            injection: "注入类漏洞（SQL注入、XSS、命令注入）",
+            auth: "认证授权问题",
+            crypto: "加密安全问题",
+            sensitive_data: "敏感数据泄露",
+        };
+        const guide = PROMPT_TEMPLATE
+            .replace(/{code}/g, code)
+            .replace(/{language}/g, language)
+            .replace(/{scan_type}/g, scanTypeDesc[scanType] || scanType);
+        return {
+            content: [{ type: "text", text: guide }],
+        };
+    }
+    catch (error) {
+        const errorMsg = error instanceof Error ? error.message : String(error);
+        return {
+            content: [{ type: "text", text: `❌ 安全扫描失败: ${errorMsg}` }],
+            isError: true,
+        };
+    }
+}

package/build/tools/start_api.d.ts ADDED Viewed

@@ -0,0 +1,19 @@
+/**
+ * start_api 智能编排工具
+ *
+ * 场景：API 开发
+ * 编排：[检查上下文] → genapi → gen_mock → gentest
+ */
+export declare function startApi(args: any): Promise<{
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError?: undefined;
+} | {
+    content: {
+        type: string;
+        text: string;
+    }[];
+    isError: boolean;
+}>;