npm - scan-debug-skill - Versions diffs - 1.0.2 → 1.0.3 - Mend

scan-debug-skill 1.0.2 → 1.0.3

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (11) hide show

package/README.md +1 -1
package/SKILL.md +37 -0
package/css/SKILL.md +23 -23
package/html/SKILL.md +1 -1
package/html/reference/semantic-structure.md +22 -0
package/js/SKILL.md +9 -5
package/js/reference/comments-documentation.md +29 -7
package/js/reference/framework-vue-react.md +61 -0
package/js/reference/js-ts-best-practices.md +47 -4
package/js/reference/security-compliance.md +20 -2
package/package.json +1 -1

package/README.md CHANGED Viewed

@@ -1,7 +1,7 @@
 # scan-debug-skill
 这个包包含了一套用于 IDE 的代码扫描与调试技能（Scan & Debug Skill）。
-支持 **Trae** 和 **Cursor** 两种 IDE。
+主要应用于sonar和奇安信的常见问题快速修复
 ## 使用方法

package/SKILL.md CHANGED Viewed

@@ -1,3 +1,20 @@
+---
+name: 扫描问题
+description: SonarQube和安全扫描的时候触发。分析并修复 SonarQube 扫描出的代码问题，确保符合安全与质量规范。当用户要求修复 Sonar 问题时调用。
+triggers:
+  - sonar问题修复
+  - 奇安信问题修复
+  - sonar问题扫描
+  - 奇安信问题扫描
+  - 扫描问题修复
+  - 扫描代码问题
+  - scan-debug-skill扫描
+  - scan-debug-skill
+  - scan-debug
+license: MIT
+author: [scan-debug-skill](https://github.com/k73333333/ScanDebugSkill)
+---
 # Sonar 代码质量与安全修复技能集
 本项目包含针对前端不同技术栈（JS/TS, CSS, HTML）的 SonarQube 修复技能指南。
@@ -17,4 +34,24 @@
     *   涉及：注释规范、图片/表单/语义化结构、安全合规。
 ## 使用说明
+对指定代码/文件/目录进行扫描问题然后根据扫描结果概览进行修复。
 请点击上述链接进入相应的技能目录查看详细指南。
+## 扫描结果概览输出规则
+当用户提供扫描报告或提及多个代码问题时，应首先以表格形式输出扫描结果概览，遵循以下规范：
+- **表格列**：必须包含 类别、严重程度、问题描述、涉及文件。
+- **严重程度标识**：使用 🔴 高危、🟡 中、🔵 低、⚪ 建议 进行视觉区分。
+- **示例格式**：
+| 类别 | 严重程度 | 问题描述 | 涉及文件 |
+| :--- | :--- | :--- | :--- |
+| JS/TS 安全 | 🔴 高危 | window.open 缺少 noopener (反向 Tabnabbing 漏洞) | src/views/Assistant.vue |
+| 代码质量 | 🔴 高危 | 遗留 debugger 调试断点 | vite.config.ts |
+| 代码质量 | 🟡 中 | 遗留 console.log 调试日志 | vite.config.ts |
+| CSS 规范 | 🟡 中 | 滥用 !important 破坏级联规则 | src/assets/assistant.css |
+| JS/TS 规范 | 🟡 中 | 使用原生 confirm 阻塞交互 | src/views/Assistant.vue |
+| Vue 规范 | 🔵 低 | v-for 使用 index 作为 key (潜在渲染风险) | src/views/Assistant.vue |
+| 代码风格 | ⚪ 建议 | 变量命名可优化为更具语义化的名称 | src/utils/format.js |

package/css/SKILL.md CHANGED Viewed

@@ -1,23 +1,23 @@
----
-name: css-sonar-repair
-description: CSS/SASS/LESS 样式代码 SonarQube 扫描问题修复指南，涵盖样式规范、兼容性及最佳实践。
----
-# Sonar CSS 代码质量与安全修复技能
-此技能用于指导 AI 助手协助用户修复 SonarQube 及奇安信安全扫描发现的 CSS/SASS/LESS 样式代码问题。
-## 核心原则
-1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
-2.  **规范统一**：严格遵守项目的代码风格与注释规范。
-3.  **兼容性优先**：考虑不同浏览器的兼容性回退方案。
-## 技能索引
-### 基础规范
-- 注释与文档规范 (Hack 注释, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- CSS 通用最佳实践 (ID 选择器, !important) → 详见 [best-practices](reference/best-practices.md)
-### 样式规范
-- 字体族回退 (Font Family Fallback) → 详见 [font-family-fallback](reference/font-family-fallback.md)
-- 重复属性与单位 (Duplicate Properties, Units) → 详见 [duplicate-properties](reference/duplicate-properties.md)
+---
+name: css-sonar-repair
+description: CSS/SASS/LESS 样式代码 SonarQube 扫描问题修复指南，涵盖样式规范、兼容性及最佳实践。
+---
+# Sonar CSS 代码质量与安全修复技能
+此技能用于指导 AI 助手协助用户修复 SonarQube 及奇安信安全扫描发现的 CSS/SASS/LESS 样式代码问题。
+## 核心原则
+1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
+2.  **规范统一**：严格遵守项目的代码风格与注释规范。
+3.  **兼容性优先**：考虑不同浏览器的兼容性回退方案。
+## 技能索引
+### 基础规范
+- 注释与文档规范 (Hack 注释, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
+- CSS 通用最佳实践 (ID 选择器, !important) → 详见 [best-practices](reference/best-practices.md)
+### 样式规范
+- 字体族回退 (Font Family Fallback) → 详见 [font-family-fallback](reference/font-family-fallback.md)
+- 重复属性与单位 (Duplicate Properties, Units) → 详见 [duplicate-properties](reference/duplicate-properties.md)

package/html/SKILL.md CHANGED Viewed

@@ -16,7 +16,7 @@ description: HTML/Template 代码 SonarQube 扫描问题修复指南，涵盖可
 ### 基础规范
 - 注释与文档规范 (中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- HTML 语义化结构 (Lang, Doctype, Table) → 详见 [semantic-structure](reference/semantic-structure.md)
+- HTML 语义化结构 (Lang, Doctype, Table, Nesting) → 详见 [semantic-structure](reference/semantic-structure.md)
 ### 元素规范
 - 图片替代文本 (Image Alt Text) → 详见 [image-alt-text](reference/image-alt-text.md)

package/html/reference/semantic-structure.md CHANGED Viewed

@@ -5,6 +5,10 @@
 *   **Doctype**：每个 HTML 文档必须声明 `<!DOCTYPE html>`。
 *   **Lang 属性**：`<html>` 标签必须包含 `lang` 属性，声明页面语言（如 `lang="zh-CN"`）。
 *   **表格结构**：`<table>` 必须包含 `<caption>` (标题) 或 `summary` 属性（虽已废弃但部分旧标准仍用），以及正确使用 `<thead>`, `<tbody>`, `<tfoot>`。
+*   **标签嵌套**：严禁错误的标签嵌套，例如：
+    *   `<a>` 标签内禁止嵌套其他交互元素（如 `<button>`, `<input>`, `<a>`）。
+    *   `<p>` 标签内禁止嵌套块级元素（如 `<div>`, `<h1>`, `<ul>`）。
+    *   `<ul>`/`<ol>` 的直接子元素必须是 `<li>`。
 ## 示例：链接文本为空
 **场景**：Sonar 提示 "Links must have discernible text"。
@@ -19,3 +23,21 @@
   <i class="icon-settings"></i>
 </a>
 ```
+## 示例：标签错误嵌套
+**场景**：Sonar 提示 "The element 'button' must not appear as a descendant of the 'a' element" 或 "The element 'div' must not appear as a descendant of the 'p' element"。
+**修复后代码**：
+```html
+<!-- Non-Compliant: a 标签嵌套 button (非法交互元素嵌套) -->
+<!-- <a href="/login"><button>登录</button></a> -->
+<!-- Compliant: 使用样式将 a 标签伪装成按钮，或使用 JS 跳转 -->
+<a href="/login" class="btn">登录</a>
+<!-- Non-Compliant: p 标签嵌套 div (非法块级元素嵌套) -->
+<!-- <p>这是一个段落 <div>错误嵌套</div></p> -->
+<!-- Compliant: 将外层 p 改为 div -->
+<div>这是一个段落 <div>正确嵌套</div></div>
+```

package/js/SKILL.md CHANGED Viewed

@@ -9,17 +9,21 @@ description: JavaScript/TypeScript 代码 SonarQube 扫描问题修复指南，
 ## 核心原则
 1.  **直接高效**：直接给出修复后的完整代码片段，**始终保持中文输出**。
-2.  **安全优先**：严格遵循 SonarQube 安全热点和奇安信漏洞扫描标准。
-3.  **规范统一**：严格遵守项目的代码风格与注释规范。
+2.  **详细注释**：代码逻辑必须包含详细的中文注释（每一步流程），变量和引入也需注释用途。
+3.  **安全优先**：严格遵循 SonarQube 安全热点和奇安信漏洞扫描标准，避免敏感信息泄露。
+4.  **规范统一**：异步操作统一使用 Promise/async/await 并强制捕获异常。
+5.  **模块化建议**：建议使用 ES6 Class 组织代码（特别是 API 封装），分离业务逻辑与组件交互（此为建议非强制）。
 ## 技能索引
 ### 基础规范
-- 注释与文档规范 (JSDoc, 中文注释) → 详见 [comments-documentation](reference/comments-documentation.md)
-- JS/TS 通用最佳实践 (类型判断, 变量声明, 复杂度) → 详见 [js-ts-best-practices](reference/js-ts-best-practices.md)
+- 注释与文档规范 (JSDoc, 详细逻辑注释, 变量注释) → 详见 [comments-documentation](reference/comments-documentation.md)
+- JS/TS 通用最佳实践 (ES6 Class, 异步处理, 日志规范) → 详见 [js-ts-best-practices](reference/js-ts-best-practices.md)
 ### 框架规范
-- Vue/React 框架特定规范 (List Key, Props, Side Effects) → 详见 [framework-vue-react](reference/framework-vue-react.md)
+- Vue/React 框架特定规范 (架构分离, List Key, Props, Side Effects) → 详见 [framework-vue-react](reference/framework-vue-react.md)
 ### 安全合规
 - 安全漏洞与合规性 (XSS, 敏感信息, 堆栈泄露) → 详见 [security-compliance](reference/security-compliance.md)

package/js/reference/comments-documentation.md CHANGED Viewed

@@ -3,20 +3,42 @@
 ## 规则详情
 *   **语言**：所有注释必须使用 **中文**。
 *   **JSDoc**：导出的函数、类、接口必须包含 JSDoc 注释，说明 `@param` (参数)、`@returns` (返回值) 和 `@throws` (异常)。
-*   **逻辑解释**：关键的业务逻辑判断、复杂的正则表达式、非显而易见的修复原因，需在代码上方添加单行注释 `//`。
+*   **详细逻辑注释**：
+    *   **流程注释**：代码逻辑的每一个关键步骤和流程分支，都必须有详细的中文单行注释 `//` 说明其意图和处理逻辑。
+    *   **变量/引入注释**：所有引入的模块 (`import`) 和定义的关键变量 (`const`, `let`)，必须在其上方或右侧添加注释，说明其用途或来源。
+*   **非显而易见的修复原因**：对于为了修复 Sonar 问题而做的特殊改动，必须注释说明原因。
 ## 示例
 ```javascript
+// 引入日期处理工具库
+import { format } from 'date-fns';
 /**
  * 计算两个日期之间的天数差
- * @param {Date} startDate - 开始日期
- * @param {Date} endDate - 结束日期
- * @returns {number} - 天数差（绝对值）
+ * @description 用于计算合同期限或逾期天数
+ * @param {Date} startDate - 开始日期对象
+ * @param {Date} endDate - 结束日期对象
+ * @returns {number} - 两个日期之间的天数差（绝对值）
+ * @throws {Error} - 如果参数不是有效的日期对象抛出异常
  */
 function getDaysDiff(startDate, endDate) {
-  // 校验参数是否有效
-  if (!startDate || !endDate) return 0;
+  // 1. 参数校验：检查传入的日期对象是否有效
+  if (!startDate || !endDate) {
+    // 如果日期无效，返回 0 天
+    return 0;
+  }
+  // 2. 获取时间戳：将日期对象转换为毫秒数
+  const startObj = startDate.getTime(); // 开始时间毫秒数
+  const endObj = endDate.getTime();     // 结束时间毫秒数
+  // 3. 计算差值：取绝对值以确保结果为正数
+  const diffTime = Math.abs(endObj - startObj);
-  // ...
+  // 定义一天的毫秒数常量
+  const ONE_DAY_MS = 1000 * 60 * 60 * 24;
+  // 4. 转换天数：向上取整，不足一天按一天计算（根据业务需求调整）
+  return Math.ceil(diffTime / ONE_DAY_MS);
 }
 ```

package/js/reference/framework-vue-react.md CHANGED Viewed

@@ -1,10 +1,71 @@
 # 前端框架规范 (Vue/React)
 ## 规则详情
+*   **架构分离 (Architecture Separation)**：
+    *   **业务逻辑抽离**：复杂的业务逻辑（如数据处理、API 请求组合）必须从组件中抽离，封装到独立的 `Service` 类或工具函数中（此为建议非强制）。
+    *   **组件职责**：UI 组件应仅负责视图渲染、用户交互响应和简单的状态管理（此为建议非强制）。
 *   **列表渲染**：`v-for` (Vue) 或 `map` (React) 循环渲染时，必须提供唯一的 `key`，且**避免使用数组索引 (index) 作为 key**（除非列表是静态且不排序的）。
 *   **Props 验证**：组件接收的 Props 必须定义类型验证和默认值。
 *   **副作用清理**：在组件销毁生命周期（`beforeUnmount`, `useEffect cleanup`）中，必须清理定时器、事件监听器等副作用。
+## 示例：架构分离与副作用清理
+**场景**：组件内包含了大量的数据获取和处理逻辑，且使用了定时器。
+**修复后代码 (React 示例)**：
+```javascript
+// 1. 业务逻辑抽离 (UserService.js)
+import { api } from './api';
+export class UserService {
+  /**
+   * 轮询获取用户状态
+   * @param {string} userId - 用户ID
+   * @returns {Promise<Object>} - 用户状态
+   */
+  static async fetchStatus(userId) {
+    try {
+      return await api.get(`/user/${userId}/status`);
+    } catch (error) {
+      console.error('UserService: 获取状态失败');
+      return null;
+    }
+  }
+}
+// 2. 组件逻辑 (UserStatus.jsx)
+import React, { useEffect, useState } from 'react';
+import { UserService } from './UserService';
+export function UserStatus({ userId }) {
+  const [status, setStatus] = useState(null);
+  useEffect(() => {
+    let timerId = null;
+    const loadData = async () => {
+      // 调用抽离的业务逻辑
+      const data = await UserService.fetchStatus(userId);
+      if (data) setStatus(data);
+    };
+    // 初始加载
+    loadData();
+    // 设置轮询
+    timerId = setInterval(loadData, 5000);
+    // Compliant: 清理副作用
+    return () => {
+      if (timerId) clearInterval(timerId);
+    };
+  }, [userId]);
+  return <div>状态: {status}</div>;
+}
+```
 ## 示例：Vue/React 列表 Key 问题
 **场景**：Sonar 提示 "Use a unique value for the key attribute"。

package/js/reference/js-ts-best-practices.md CHANGED Viewed

@@ -1,14 +1,24 @@
 # JS/TS 通用最佳实践
 ## 规则详情
+*   **模块化与组织 (Class-based)**：
+    *   优先使用 ES6 Class 语法进行模块化组织，特别是 API 请求封装。
+    *   通过继承 (`extends`) 实现常量和通用逻辑的复用。
+*   **异步处理 (Async/Await)**：
+    *   统一采用 `Promise` / `async/await` 进行异步处理。
+    *   **强制捕获异常**：所有 Promise 调用必须追加 `.catch()` 方法或包裹在 `try...catch` 中。
+    *   **异常处理规范**：
+        *   **严禁空 Catch**：`catch` 块或 `.catch()` 回调中必须包含处理逻辑，禁止留空。
+        *   **安全打印**：遵循 [安全合规规范 - 日志安全](security-compliance.md) 要求，严禁打印堆栈信息。
+*   **日志与异常 (Logging)**：
+    *   **分级打印**：建议根据场景正确使用 `console.error()` (错误), `console.warn()` (警告), `console.info()` (信息)。
+    *   **异常输出**：避免打印冗余的堆栈详情 (`error.stack`)，仅输出关键信息（如 `***方法报错/接口请求失败`）。
 *   **强类型判断**：始终使用 `===` 和 `!==` 代替 `==` 和 `!=`，避免隐式类型转换带来的 Bug。
 *   **变量声明**：优先使用 `const`，其次使用 `let`，**严禁使用 `var`**。
-*   **认知复杂度 (Cognitive Complexity)**：当 Sonar 提示函数复杂度过高（通常 > 15）时，必须将逻辑拆分为多个职责单一的子函数。
+*   **认知复杂度 (Cognitive Complexity)**：当 Sonar 提示函数复杂度过高（通常 > 15）时，须逻辑拆分为多个职责单一的子函数（此为建议非强制）。
 *   **魔法数字 (Magic Numbers)**：避免直接使用无意义的数字（0 和 1 除外），应将其定义为具名常量。
-*   **异步处理**：
-    *   优先使用 `async/await`。
-    *   所有 Promise 链必须以 `.catch()` 结束，或在 `try...catch` 块中处理错误。
 *   **冗余条件判断**：当 `if` 和 `else` 分支执行逻辑完全一致时，应移除条件判断，直接执行公共逻辑。
+*   **空值检查 (Null Safety)**：在访问对象的深层属性前，必须进行非空检查，推荐使用可选链操作符 (`?.`) 和空值合并操作符 (`??`)，避免 "Cannot read property of undefined" 错误。
 ## 示例：认知复杂度与魔法数字
@@ -61,3 +71,36 @@ function handleRedirect() {
   navigateTo('/home');
 }
 ```
+## 示例：空指针异常修复
+**场景**：代码运行时抛出 "TypeError: Cannot read property 'name' of undefined"，或 Sonar 提示可能存在空指针访问风险。
+**修复后代码**：
+```javascript
+/**
+ * 获取用户显示名称
+ * @param {Object} user - 用户对象
+ * @returns {string} - 用户名称或默认值
+ */
+function getUserDisplayName(user) {
+  // Non-Compliant: 如果 user 或 user.profile 为空，将导致程序崩溃
+  // return user.profile.name;
+  // Compliant: 使用可选链 (?.) 安全访问，并提供默认值 (??)
+  return user?.profile?.name ?? '未知用户';
+}
+/**
+ * 处理订单列表
+ * @param {Array} orders - 订单数组
+ */
+function processOrders(orders) {
+  // Compliant: 确保 orders 存在且为数组后再进行遍历
+  if (Array.isArray(orders) && orders.length > 0) {
+    orders.forEach(order => {
+      console.log(`订单ID: ${order?.id}`);
+    });
+  }
+}
+```

package/js/reference/security-compliance.md CHANGED Viewed

@@ -5,10 +5,27 @@
     *   严禁使用 `eval()`、`new Function()`。
     *   慎用 `v-html` (Vue) 或 `dangerouslySetInnerHTML` (React)，必须确保内容已经过 DOMPurify 等库的清洗。
 *   **敏感信息**：代码中禁止硬编码密码、Token、密钥（AK/SK）、内网 IP 等敏感信息，应通过环境变量或配置接口获取。
-*   **日志安全**：禁止在生产环境日志中输出敏感信息（如密码、Token 等）；**若变量名无明确语义化（如 `data`, `info`, `res`），视为潜在敏感信息禁止直接打印**；异常捕获时仅记录错误来源或通用提示，**严禁直接打印 `error.stack` 或完整的 `error` 对象**，防止堆栈信息泄露系统内部结构。
+*   **日志安全**：
+    *   禁止在生产环境日志中输出敏感信息（如密码、Token 等）。
+    *   **变量命名**：若变量名无明确语义化（如 `data`, `info`, `res`），视为潜在敏感信息禁止直接打印。
+    *   **异常捕获**：**严禁直接打印 `error.stack` 或完整的 `error` 对象**。如无法确定 `error` 结构则不打印 `error`，必须按照 **模块名 + 方法名 + 错误简述** 的格式输出，防止堆栈信息泄露系统内部结构。
 *   **链接安全**：使用 `target="_blank"` 打开外部链接时，必须添加 `rel="noopener noreferrer"` 以防止钓鱼攻击。
 *   **正则安全**：确保正则表达式不会导致拒绝服务攻击 (ReDoS)。
+## 示例：敏感信息处理
+**场景**：Sonar 提示 "Hardcoded passwords/tokens/keys should not be used"。
+**修复后代码**：
+```javascript
+// Non-Compliant: 硬编码敏感信息
+// const API_KEY = "sk-123456789";
+// Compliant: 使用环境变量
+// 说明：确保环境变量在构建或运行时已正确注入
+const API_KEY = process.env.VUE_APP_API_KEY;
+```
 ## 示例：日志安全与异常处理
 **场景**：Sonar/安全扫描提示 "User credentials should not be printed" 或 "Stack traces should not be disclosed"。
@@ -34,7 +51,8 @@ async function handleLogin(username, password) {
     // Non-Compliant: console.error(error); 或 console.error(error.stack);
     // Compliant: 仅记录错误来源，不包含详细堆栈
-    console.error('LoginService: 用户登录请求失败');
+    // 格式要求：模块名 + 方法名 + 错误简述
+    console.error('LoginService: handleLogin 方法报错/接口请求失败');
   }
 }
 ```

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "scan-debug-skill",
-  "version": "1.0.2",
+  "version": "1.0.3",
   "description": "ScanDebugSkill for Trae IDE - Easily install debugging skills via npx",
   "bin": {
     "scan-debug-skill": "./bin/install.js"