scan-debug-skill 1.0.1 → 1.0.3

package/LICENSE

@@ -0,0 +1,21 @@
+MIT License
+
+Copyright (c) 2026 契机
+
+Permission is hereby granted, free of charge, to any person obtaining a copy
+of this software and associated documentation files (the "Software"), to deal
+in the Software without restriction, including without limitation the rights
+to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
+copies of the Software, and to permit persons to whom the Software is
+furnished to do so, subject to the following conditions:
+
+The above copyright notice and this permission notice shall be included in all
+copies or substantial portions of the Software.
+
+THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
+IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
+FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
+AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
+LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
+OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
+SOFTWARE.

package/README.md

@@ -1,7 +1,7 @@
 # scan-debug-skill
 
 这个包包含了一套用于 IDE 的代码扫描与调试技能（Scan & Debug Skill）。
-支持 **Trae** 和 **Cursor** 两种 IDE。
+主要应用于sonar和奇安信的常见问题快速修复
 
 ## 使用方法
 

package/SKILL.md

@@ -1,3 +1,20 @@
+---
+name: 扫描问题
+description: SonarQube和安全扫描的时候触发。分析并修复 SonarQube 扫描出的代码问题，确保符合安全与质量规范。当用户要求修复 Sonar 问题时调用。
+triggers:
+  - sonar问题修复
+  - 奇安信问题修复
+  - sonar问题扫描
+  - 奇安信问题扫描
+  - 扫描问题修复
+  - 扫描代码问题
+  - scan-debug-skill扫描
+  - scan-debug-skill
+  - scan-debug
+license: MIT
+author: [scan-debug-skill](https://github.com/k73333333/ScanDebugSkill)
+---
+
 # Sonar 代码质量与安全修复技能集
 
 本项目包含针对前端不同技术栈（JS/TS, CSS, HTML）的 SonarQube 修复技能指南。
@@ -17,4 +34,24 @@
     *   涉及：注释规范、图片/表单/语义化结构、安全合规。
 
 ## 使用说明
+对指定代码/文件/目录进行扫描问题然后根据扫描结果概览进行修复。
+
 请点击上述链接进入相应的技能目录查看详细指南。
+
+## 扫描结果概览输出规则
+
+当用户提供扫描报告或提及多个代码问题时，应首先以表格形式输出扫描结果概览，遵循以下规范：
+
+- **表格列**：必须包含 类别、严重程度、问题描述、涉及文件。
+- **严重程度标识**：使用 🔴 高危、🟡 中、🔵 低、⚪ 建议 进行视觉区分。
+- **示例格式**：
+
+| 类别 | 严重程度 | 问题描述 | 涉及文件 |
+| :--- | :--- | :--- | :--- |
+| JS/TS 安全 | 🔴 高危 | window.open 缺少 noopener (反向 Tabnabbing 漏洞) | src/views/Assistant.vue |
+| 代码质量 | 🔴 高危 | 遗留 debugger 调试断点 | vite.config.ts |
+| 代码质量 | 🟡 中 | 遗留 console.log 调试日志 | vite.config.ts |
+| CSS 规范 | 🟡 中 | 滥用 !important 破坏级联规则 | src/assets/assistant.css |
+| JS/TS 规范 | 🟡 中 | 使用原生 confirm 阻塞交互 | src/views/Assistant.vue |
+| Vue 规范 | 🔵 低 | v-for 使用 index 作为 key (潜在渲染风险) | src/views/Assistant.vue |
+| 代码风格 | ⚪ 建议 | 变量命名可优化为更具语义化的名称 | src/utils/format.js |

package/css/SKILL.md

@@ -1,23 +1,23 @@
----
-name: css-sonar-repair
-description: CSS/SASS/LESS 样式代码 SonarQube 扫描问题修复指南，涵盖样式规范、兼容性及最佳实践。
----
-
-# Sonar CSS 代码质量与安全修复技能
-
-此技能用于指导 AI 助手协助用户修复 SonarQube 及奇安信安全扫描发现的 CSS/SASS/LESS 样式代码问题。
-
-## 核心原则
-1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
-2.  **规范统一**：严格遵守项目的代码风格与注释规范。
-3.  **兼容性优先**：考虑不同浏览器的兼容性回退方案。
-
-## 技能索引
-
-### 基础规范
-- 注释与文档规范 (Hack 注释, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- CSS 通用最佳实践 (ID 选择器, !important) → 详见 [best-practices](reference/best-practices.md)
-
-### 样式规范
-- 字体族回退 (Font Family Fallback) → 详见 [font-family-fallback](reference/font-family-fallback.md)
-- 重复属性与单位 (Duplicate Properties, Units) → 详见 [duplicate-properties](reference/duplicate-properties.md)
+---
+name: css-sonar-repair
+description: CSS/SASS/LESS 样式代码 SonarQube 扫描问题修复指南，涵盖样式规范、兼容性及最佳实践。
+---
+
+# Sonar CSS 代码质量与安全修复技能
+
+此技能用于指导 AI 助手协助用户修复 SonarQube 及奇安信安全扫描发现的 CSS/SASS/LESS 样式代码问题。
+
+## 核心原则
+1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
+2.  **规范统一**：严格遵守项目的代码风格与注释规范。
+3.  **兼容性优先**：考虑不同浏览器的兼容性回退方案。
+
+## 技能索引
+
+### 基础规范
+- 注释与文档规范 (Hack 注释, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
+- CSS 通用最佳实践 (ID 选择器, !important) → 详见 [best-practices](reference/best-practices.md)
+
+### 样式规范
+- 字体族回退 (Font Family Fallback) → 详见 [font-family-fallback](reference/font-family-fallback.md)
+- 重复属性与单位 (Duplicate Properties, Units) → 详见 [duplicate-properties](reference/duplicate-properties.md)

package/html/SKILL.md

@@ -16,7 +16,7 @@ description: HTML/Template 代码 SonarQube 扫描问题修复指南，涵盖可
 
 ### 基础规范
 - 注释与文档规范 (中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- HTML 语义化结构 (Lang, Doctype, Table) → 详见 [semantic-structure](reference/semantic-structure.md)
+- HTML 语义化结构 (Lang, Doctype, Table, Nesting) → 详见 [semantic-structure](reference/semantic-structure.md)
 
 ### 元素规范
 - 图片替代文本 (Image Alt Text) → 详见 [image-alt-text](reference/image-alt-text.md)

package/html/reference/semantic-structure.md

@@ -5,6 +5,10 @@
 *   **Doctype**：每个 HTML 文档必须声明 `<!DOCTYPE html>`。
 *   **Lang 属性**：`<html>` 标签必须包含 `lang` 属性，声明页面语言（如 `lang="zh-CN"`）。
 *   **表格结构**：`<table>` 必须包含 `<caption>` (标题) 或 `summary` 属性（虽已废弃但部分旧标准仍用），以及正确使用 `<thead>`, `<tbody>`, `<tfoot>`。
+*   **标签嵌套**：严禁错误的标签嵌套，例如：
+    *   `<a>` 标签内禁止嵌套其他交互元素（如 `<button>`, `<input>`, `<a>`）。
+    *   `<p>` 标签内禁止嵌套块级元素（如 `<div>`, `<h1>`, `<ul>`）。
+    *   `<ul>`/`<ol>` 的直接子元素必须是 `<li>`。
 
 ## 示例：链接文本为空
 **场景**：Sonar 提示 "Links must have discernible text"。
@@ -19,3 +23,21 @@
   <i class="icon-settings"></i>
 </a>
 ```
+
+## 示例：标签错误嵌套
+**场景**：Sonar 提示 "The element 'button' must not appear as a descendant of the 'a' element" 或 "The element 'div' must not appear as a descendant of the 'p' element"。
+
+**修复后代码**：
+```html
+<!-- Non-Compliant: a 标签嵌套 button (非法交互元素嵌套) -->
+<!-- <a href="/login"><button>登录</button></a> -->
+
+<!-- Compliant: 使用样式将 a 标签伪装成按钮，或使用 JS 跳转 -->
+<a href="/login" class="btn">登录</a>
+
+<!-- Non-Compliant: p 标签嵌套 div (非法块级元素嵌套) -->
+<!-- <p>这是一个段落 <div>错误嵌套</div></p> -->
+
+<!-- Compliant: 将外层 p 改为 div -->
+<div>这是一个段落 <div>正确嵌套</div></div>
+```

package/js/SKILL.md

@@ -9,17 +9,21 @@ description: JavaScript/TypeScript 代码 SonarQube 扫描问题修复指南，
 
 ## 核心原则
 1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
-2.  **安全优先**：严格遵循 SonarQube 安全热点和奇安信漏洞扫描标准。
-3.  **规范统一**：严格遵守项目的代码风格与注释规范。
+2.  **详细注释**：代码逻辑必须包含详细的中文注释（每一步流程），变量和引入也需注释用途。
+3.  **安全优先**：严格遵循 SonarQube 安全热点和奇安信漏洞扫描标准，避免敏感信息泄露。
+4.  **规范统一**：异步操作统一使用 Promise/async/await 并强制捕获异常。
+5.  **模块化建议**：建议使用 ES6 Class 组织代码（特别是 API 封装），分离业务逻辑与组件交互（此为建议非强制）。
 
 ## 技能索引
 
 ### 基础规范
-- 注释与文档规范 (JSDoc, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- JS/TS 通用最佳实践 (类型判断, 变量声明, 复杂度) → 详见 [js-ts-best-practices](reference/js-ts-best-practices.md)
+- 注释与文档规范 (JSDoc, 详细逻辑注释, 变量注释) → 详见 [comments-documentation](reference/comments-documentation.md)
+- JS/TS 通用最佳实践 (ES6 Class, 异步处理, 日志规范) → 详见 [js-ts-best-practices](reference/js-ts-best-practices.md)
 
 ### 框架规范
-- Vue/React 框架特定规范 (List Key, Props, Side Effects) → 详见 [framework-vue-react](reference/framework-vue-react.md)
+- Vue/React 框架特定规范 (架构分离, List Key, Props, Side Effects) → 详见 [framework-vue-react](reference/framework-vue-react.md)
 
 ### 安全合规
 - 安全漏洞与合规性 (XSS, 敏感信息, 堆栈泄露) → 详见 [security-compliance](reference/security-compliance.md)
+
+

package/js/reference/comments-documentation.md

@@ -3,20 +3,42 @@
 ## 规则详情
 *   **语言**：所有注释必须使用 **中文**。
 *   **JSDoc**：导出的函数、类、接口必须包含 JSDoc 注释，说明 `@param` (参数)、`@returns` (返回值) 和 `@throws` (异常)。
-*   **逻辑解释**：关键的业务逻辑判断、复杂的正则表达式、非显而易见的修复原因，需在代码上方添加单行注释 `//`。
+*   **详细逻辑注释**：
+    *   **流程注释**：代码逻辑的每一个关键步骤和流程分支，都必须有详细的中文单行注释 `//` 说明其意图和处理逻辑。
+    *   **变量/引入注释**：所有引入的模块 (`import`) 和定义的关键变量 (`const`, `let`)，必须在其上方或右侧添加注释，说明其用途或来源。
+*   **非显而易见的修复原因**：对于为了修复 Sonar 问题而做的特殊改动，必须注释说明原因。
 
 ## 示例
 ```javascript
+// 引入日期处理工具库
+import { format } from 'date-fns';
+
 /**
  * 计算两个日期之间的天数差
- * @param {Date} startDate - 开始日期
- * @param {Date} endDate - 结束日期
- * @returns {number} - 天数差（绝对值）
+ * @description 用于计算合同期限或逾期天数
+ * @param {Date} startDate - 开始日期对象
+ * @param {Date} endDate - 结束日期对象
+ * @returns {number} - 两个日期之间的天数差（绝对值）
+ * @throws {Error} - 如果参数不是有效的日期对象抛出异常
  */
 function getDaysDiff(startDate, endDate) {
-  // 校验参数是否有效
-  if (!startDate || !endDate) return 0;
+  // 1. 参数校验：检查传入的日期对象是否有效
+  if (!startDate || !endDate) {
+    // 如果日期无效，返回 0 天
+    return 0;
+  }
+  
+  // 2. 获取时间戳：将日期对象转换为毫秒数
+  const startObj = startDate.getTime(); // 开始时间毫秒数
+  const endObj = endDate.getTime();     // 结束时间毫秒数
+
+  // 3. 计算差值：取绝对值以确保结果为正数
+  const diffTime = Math.abs(endObj - startObj);
   
-  // ...
+  // 定义一天的毫秒数常量
+  const ONE_DAY_MS = 1000 * 60 * 60 * 24; 
+
+  // 4. 转换天数：向上取整，不足一天按一天计算（根据业务需求调整）
+  return Math.ceil(diffTime / ONE_DAY_MS);
 }
 ```

package/js/reference/framework-vue-react.md

@@ -1,10 +1,71 @@
 # 前端框架规范 (Vue/React)
 
 ## 规则详情
+*   **架构分离 (Architecture Separation)**：
+    *   **业务逻辑抽离**：复杂的业务逻辑（如数据处理、API 请求组合）必须从组件中抽离，封装到独立的 `Service` 类或工具函数中（此为建议非强制）。
+    *   **组件职责**：UI 组件应仅负责视图渲染、用户交互响应和简单的状态管理（此为建议非强制）。
 *   **列表渲染**：`v-for` (Vue) 或 `map` (React) 循环渲染时，必须提供唯一的 `key`，且**避免使用数组索引 (index) 作为 key**（除非列表是静态且不排序的）。
 *   **Props 验证**：组件接收的 Props 必须定义类型验证和默认值。
 *   **副作用清理**：在组件销毁生命周期（`beforeUnmount`, `useEffect cleanup`）中，必须清理定时器、事件监听器等副作用。
 
+## 示例：架构分离与副作用清理
+
+**场景**：组件内包含了大量的数据获取和处理逻辑，且使用了定时器。
+
+**修复后代码 (React 示例)**：
+
+```javascript
+// 1. 业务逻辑抽离 (UserService.js)
+import { api } from './api';
+
+export class UserService {
+  /**
+   * 轮询获取用户状态
+   * @param {string} userId - 用户ID
+   * @returns {Promise<Object>} - 用户状态
+   */
+  static async fetchStatus(userId) {
+    try {
+      return await api.get(`/user/${userId}/status`);
+    } catch (error) {
+      console.error('UserService: 获取状态失败');
+      return null;
+    }
+  }
+}
+
+// 2. 组件逻辑 (UserStatus.jsx)
+import React, { useEffect, useState } from 'react';
+import { UserService } from './UserService';
+
+export function UserStatus({ userId }) {
+  const [status, setStatus] = useState(null);
+
+  useEffect(() => {
+    let timerId = null;
+
+    const loadData = async () => {
+      // 调用抽离的业务逻辑
+      const data = await UserService.fetchStatus(userId);
+      if (data) setStatus(data);
+    };
+
+    // 初始加载
+    loadData();
+
+    // 设置轮询
+    timerId = setInterval(loadData, 5000);
+
+    // Compliant: 清理副作用
+    return () => {
+      if (timerId) clearInterval(timerId);
+    };
+  }, [userId]);
+
+  return <div>状态: {status}</div>;
+}
+```
+
 ## 示例：Vue/React 列表 Key 问题
 
 **场景**：Sonar 提示 "Use a unique value for the key attribute"。

package/js/reference/js-ts-best-practices.md

@@ -1,13 +1,24 @@
 # JS/TS 通用最佳实践
 
 ## 规则详情
+*   **模块化与组织 (Class-based)**：
+    *   优先使用 ES6 Class 语法进行模块化组织，特别是 API 请求封装。
+    *   通过继承 (`extends`) 实现常量和通用逻辑的复用。
+*   **异步处理 (Async/Await)**：
+    *   统一采用 `Promise` / `async/await` 进行异步处理。
+    *   **强制捕获异常**：所有 Promise 调用必须追加 `.catch()` 方法或包裹在 `try...catch` 中。
+    *   **异常处理规范**：
+        *   **严禁空 Catch**：`catch` 块或 `.catch()` 回调中必须包含处理逻辑，禁止留空。
+        *   **安全打印**：遵循 [安全合规规范 - 日志安全](security-compliance.md) 要求，严禁打印堆栈信息。
+*   **日志与异常 (Logging)**：
+    *   **分级打印**：建议根据场景正确使用 `console.error()` (错误), `console.warn()` (警告), `console.info()` (信息)。
+    *   **异常输出**：避免打印冗余的堆栈详情 (`error.stack`)，仅输出关键信息（如 `***方法报错/接口请求失败`）。
 *   **强类型判断**：始终使用 `===` 和 `!==` 代替 `==` 和 `!=`，避免隐式类型转换带来的 Bug。
 *   **变量声明**：优先使用 `const`，其次使用 `let`，**严禁使用 `var`**。
-*   **认知复杂度 (Cognitive Complexity)**：当 Sonar 提示函数复杂度过高（通常 > 15）时，必须将逻辑拆分为多个职责单一的子函数。
+*   **认知复杂度 (Cognitive Complexity)**：当 Sonar 提示函数复杂度过高（通常 > 15）时，须逻辑拆分为多个职责单一的子函数（此为建议非强制）。
 *   **魔法数字 (Magic Numbers)**：避免直接使用无意义的数字（0 和 1 除外），应将其定义为具名常量。
-*   **异步处理**：
-    *   优先使用 `async/await`。
-    *   所有 Promise 链必须以 `.catch()` 结束，或在 `try...catch` 块中处理错误。
+*   **冗余条件判断**：当 `if` 和 `else` 分支执行逻辑完全一致时，应移除条件判断，直接执行公共逻辑。
+*   **空值检查 (Null Safety)**：在访问对象的深层属性前，必须进行非空检查，推荐使用可选链操作符 (`?.`) 和空值合并操作符 (`??`)，避免 "Cannot read property of undefined" 错误。
 
 ## 示例：认知复杂度与魔法数字
 
@@ -37,13 +48,59 @@ function isDateFuture(date) {
 }
 ```
 
-## 示例：正则表达式安全 (ReDoS)
+## 示例：冗余条件判断
 
-**场景**：Sonar 提示 "Make sure the regex used here... cannot lead to denial of service"。
+**场景**：Sonar 提示 "This 'if' block is equivalent to the 'else' block"，即 `if` 和 `else` 分支执行了完全相同的逻辑。
 
 **修复后代码**：
 ```javascript
-// Compliant: 优化正则结构，避免嵌套量词，防止 ReDoS 攻击
-// 说明：匹配一个或多个 'a' 后跟一个 'b'
-const regex = /a+b/;
+/**
+ * 处理页面跳转
+ * @description 无论用户是否登录，点击该按钮都跳转到首页
+ */
+function handleRedirect() {
+  // Compliant: 移除冗余的条件判断
+  // 修复前：
+  // if (isLoggedIn) {
+  //   navigateTo('/home');
+  // } else {
+  //   navigateTo('/home');
+  // }
+
+  // 修复后：直接执行通用逻辑
+  navigateTo('/home');
+}
+```
+
+## 示例：空指针异常修复
+
+**场景**：代码运行时抛出 "TypeError: Cannot read property 'name' of undefined"，或 Sonar 提示可能存在空指针访问风险。
+
+**修复后代码**：
+```javascript
+/**
+ * 获取用户显示名称
+ * @param {Object} user - 用户对象
+ * @returns {string} - 用户名称或默认值
+ */
+function getUserDisplayName(user) {
+  // Non-Compliant: 如果 user 或 user.profile 为空，将导致程序崩溃
+  // return user.profile.name;
+
+  // Compliant: 使用可选链 (?.) 安全访问，并提供默认值 (??)
+  return user?.profile?.name ?? '未知用户';
+}
+
+/**
+ * 处理订单列表
+ * @param {Array} orders - 订单数组
+ */
+function processOrders(orders) {
+  // Compliant: 确保 orders 存在且为数组后再进行遍历
+  if (Array.isArray(orders) && orders.length > 0) {
+    orders.forEach(order => {
+      console.log(`订单ID: ${order?.id}`);
+    });
+  }
+}
 ```

package/js/reference/security-compliance.md

@@ -5,22 +5,65 @@
     *   严禁使用 `eval()`、`new Function()`。
     *   慎用 `v-html` (Vue) 或 `dangerouslySetInnerHTML` (React)，必须确保内容已经过 DOMPurify 等库的清洗。
 *   **敏感信息**：代码中禁止硬编码密码、Token、密钥（AK/SK）、内网 IP 等敏感信息，应通过环境变量或配置接口获取。
+*   **日志安全**：
+    *   禁止在生产环境日志中输出敏感信息（如密码、Token 等）。
+    *   **变量命名**：若变量名无明确语义化（如 `data`, `info`, `res`），视为潜在敏感信息禁止直接打印。
+    *   **异常捕获**：**严禁直接打印 `error.stack` 或完整的 `error` 对象**。如无法确定 `error` 结构则不打印 `error`，必须按照 **模块名 + 方法名 + 错误简述** 的格式输出，防止堆栈信息泄露系统内部结构。
 *   **链接安全**：使用 `target="_blank"` 打开外部链接时，必须添加 `rel="noopener noreferrer"` 以防止钓鱼攻击。
-*   **禁止打印敏感堆栈**：在 `.catch()` 中禁止直接打印整个 Error 对象。
+*   **正则安全**：确保正则表达式不会导致拒绝服务攻击 (ReDoS)。
 
-## 示例：禁止打印敏感堆栈
+## 示例：敏感信息处理
 
-**场景**：Sonar 提示 "Define and throw a dedicated exception instead of using a generic one" 或敏感日志泄露。
+**场景**：Sonar 提示 "Hardcoded passwords/tokens/keys should not be used"。
 
 **修复后代码**：
 ```javascript
-try {
-  await getUserInfo();
-} catch (error) {
-  // Compliant: 仅打印必要的错误摘要，隐藏堆栈详情
-  console.error('获取用户信息失败:', error.message || '未知错误');
-  
-  // 可选：上报监控系统
-  // logger.report(error);
+// Non-Compliant: 硬编码敏感信息
+// const API_KEY = "sk-123456789";
+
+// Compliant: 使用环境变量
+// 说明：确保环境变量在构建或运行时已正确注入
+const API_KEY = process.env.VUE_APP_API_KEY;
+```
+
+## 示例：日志安全与异常处理
+
+**场景**：Sonar/安全扫描提示 "User credentials should not be printed" 或 "Stack traces should not be disclosed"。
+
+**修复后代码**：
+```javascript
+/**
+ * 处理用户登录
+ * @param {string} username - 用户名
+ * @param {string} password - 密码
+ */
+async function handleLogin(username, password) {
+  try {
+    // 1. 敏感信息禁止打印
+    // Non-Compliant (敏感数据): console.log(`Attempting login for ${username} with password ${password}`);
+    // Non-Compliant (非语义化变量): console.log('Login info:', info); // info 语义不明确，可能包含敏感字段
+    console.log(`Attempting login for user: ${username}`); // Compliant: 仅记录明确的非敏感标识
+
+    await authService.login(username, password);
+    
+  } catch (error) {
+    // 2. 异常捕获禁止泄露堆栈
+    // Non-Compliant: console.error(error); 或 console.error(error.stack);
+    
+    // Compliant: 仅记录错误来源，不包含详细堆栈
+    // 格式要求：模块名 + 方法名 + 错误简述
+    console.error('LoginService: handleLogin 方法报错/接口请求失败');
+  }
 }
 ```
+
+## 示例：正则表达式安全 (ReDoS)
+
+**场景**：Sonar 提示 "Make sure the regex used here... cannot lead to denial of service"。
+
+**修复后代码**：
+```javascript
+// Compliant: 优化正则结构，避免嵌套量词，防止 ReDoS 攻击
+// 说明：匹配一个或多个 'a' 后跟一个 'b'
+const regex = /a+b/;
+```

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "scan-debug-skill",
-  "version": "1.0.1",
+  "version": "1.0.3",
   "description": "ScanDebugSkill for Trae IDE - Easily install debugging skills via npx",
   "bin": {
     "scan-debug-skill": "./bin/install.js"
@@ -15,7 +15,7 @@
     "scan"
   ],
   "author": "",
-  "license": "ISC",
+  "license": "MIT",
   "files": [
     "bin",
     "css",