npm - scan-debug-skill - Versions diffs - 1.0.7 → 1.0.8 - Mend

scan-debug-skill 1.0.7 → 1.0.8

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (19) hide show

package/README.md +2 -2
package/SKILL.md +58 -68
package/bin/install.js +7 -7
package/css/reference/best-practices.md +38 -38
package/css/reference/comments-documentation.md +15 -15
package/css/reference/duplicate-properties.md +16 -16
package/css/reference/font-family-fallback.md +15 -15
package/html/SKILL.md +26 -26
package/html/reference/comments-documentation.md +16 -16
package/html/reference/form-labels.md +20 -20
package/html/reference/image-alt-text.md +18 -18
package/html/reference/security-compliance.md +16 -16
package/html/reference/semantic-structure.md +43 -43
package/js/SKILL.md +27 -27
package/js/reference/comments-documentation.md +44 -44
package/js/reference/js-ts-best-practices.md +155 -155
package/js/reference/naming-conventions.md +78 -78
package/js/reference/security-compliance.md +69 -69
package/package.json +1 -1

package/js/reference/security-compliance.md CHANGED Viewed

@@ -1,69 +1,69 @@
-# 安全合规规范 (Security)
-## 规则详情
-*   **XSS 防范**：
-    *   严禁使用 `eval()`、`new Function()`。
-    *   处理用户输入的 HTML 内容时，必须确保内容已经过 DOMPurify 等库的清洗，避免直接插入未过滤的 HTML。
-*   **敏感信息**：代码中禁止硬编码密码、Token、密钥（AK/SK）、内网 IP 等敏感信息，应通过环境变量或配置接口获取。
-*   **日志安全**：
-    *   禁止在生产环境日志中输出敏感信息（如密码、Token 等）。
-    *   **变量命名**：若变量名无明确语义化（如 `data`, `info`, `res`），视为潜在敏感信息禁止直接打印。
-    *   **异常捕获**：**严禁直接打印 `error.stack` 或完整的 `error` 对象**。如无法确定 `error` 结构则不打印 `error`，必须按照 **模块名 + 方法名 + 错误简述** 的格式输出，防止堆栈信息泄露系统内部结构。
-*   **链接安全**：使用 `target="_blank"` 打开外部链接时，必须添加 `rel="noopener noreferrer"` 以防止钓鱼攻击。
-*   **正则安全**：确保正则表达式不会导致拒绝服务攻击 (ReDoS)。
-## 示例：敏感信息处理
-**场景**：Sonar 提示 "Hardcoded passwords/tokens/keys should not be used"。
-**修复后代码**：
-```javascript
-// Non-Compliant: 硬编码敏感信息
-// const API_KEY = "sk-123456789";
-// Compliant: 使用环境变量
-// 说明：确保环境变量在构建或运行时已正确注入
-const API_KEY = process.env.API_KEY;
-```
-## 示例：日志安全与异常处理
-**场景**：Sonar/安全扫描提示 "User credentials should not be printed" 或 "Stack traces should not be disclosed"。
-**修复后代码**：
-```javascript
-/**
- * 处理用户登录
- * @param {string} username - 用户名
- * @param {string} password - 密码
- */
-async function handleLogin(username, password) {
-  try {
-    // 1. 敏感信息禁止打印
-    // Non-Compliant (敏感数据): console.log(`Attempting login for ${username} with password ${password}`);
-    // Non-Compliant (非语义化变量): console.log('Login info:', info); // info 语义不明确，可能包含敏感字段
-    console.log(`Attempting login for user: ${username}`); // Compliant: 仅记录明确的非敏感标识
-    await authService.login(username, password);
-  } catch (error) {
-    // 2. 异常捕获禁止泄露堆栈
-    // Non-Compliant: console.error(error); 或 console.error(error.stack);
-    // Compliant: 仅记录错误来源，不包含详细堆栈
-    // 格式要求：模块名 + 方法名 + 错误简述
-    console.error('LoginService: handleLogin 方法报错/接口请求失败');
-  }
-}
-```
-## 示例：正则表达式安全 (ReDoS)
-**场景**：Sonar 提示 "Make sure the regex used here... cannot lead to denial of service"。
-**修复后代码**：
-```javascript
-// Compliant: 优化正则结构，避免嵌套量词，防止 ReDoS 攻击
-// 说明：匹配一个或多个 'a' 后跟一个 'b'
-const regex = /a+b/;
-```
+# 安全合规规范 (Security)
+## 规则详情
+*   **XSS 防范**：
+    *   严禁使用 `eval()`、`new Function()`。
+    *   处理用户输入的 HTML 内容时，必须确保内容已经过 DOMPurify 等库的清洗，避免直接插入未过滤的 HTML。
+*   **敏感信息**：代码中禁止硬编码密码、Token、密钥（AK/SK）、内网 IP 等敏感信息，应通过环境变量或配置接口获取。
+*   **日志安全**：
+    *   禁止在生产环境日志中输出敏感信息（如密码、Token 等）。
+    *   **变量命名**：若变量名无明确语义化（如 `data`, `info`, `res`），视为潜在敏感信息禁止直接打印。
+    *   **异常捕获**：**严禁直接打印 `error.stack` 或完整的 `error` 对象**。如无法确定 `error` 结构则不打印 `error`，必须按照 **模块名 + 方法名 + 错误简述** 的格式输出，防止堆栈信息泄露系统内部结构。
+*   **链接安全**：使用 `target="_blank"` 打开外部链接时，必须添加 `rel="noopener noreferrer"` 以防止钓鱼攻击。
+*   **正则安全**：确保正则表达式不会导致拒绝服务攻击 (ReDoS)。
+## 示例：敏感信息处理
+**场景**：Sonar 提示 "Hardcoded passwords/tokens/keys should not be used"。
+**修复后代码**：
+```javascript
+// Non-Compliant: 硬编码敏感信息
+// const API_KEY = "sk-123456789";
+// Compliant: 使用环境变量
+// 说明：确保环境变量在构建或运行时已正确注入
+const API_KEY = process.env.API_KEY;
+```
+## 示例：日志安全与异常处理
+**场景**：Sonar/安全扫描提示 "User credentials should not be printed" 或 "Stack traces should not be disclosed"。
+**修复后代码**：
+```javascript
+/**
+ * 处理用户登录
+ * @param {string} username - 用户名
+ * @param {string} password - 密码
+ */
+async function handleLogin(username, password) {
+  try {
+    // 1. 敏感信息禁止打印
+    // Non-Compliant (敏感数据): console.log(`Attempting login for ${username} with password ${password}`);
+    // Non-Compliant (非语义化变量): console.log('Login info:', info); // info 语义不明确，可能包含敏感字段
+    console.log(`Attempting login for user: ${username}`); // Compliant: 仅记录明确的非敏感标识
+    await authService.login(username, password);
+  } catch (error) {
+    // 2. 异常捕获禁止泄露堆栈
+    // Non-Compliant: console.error(error); 或 console.error(error.stack);
+    // Compliant: 仅记录错误来源，不包含详细堆栈
+    // 格式要求：模块名 + 方法名 + 错误简述
+    console.error('LoginService: handleLogin 方法报错/接口请求失败');
+  }
+}
+```
+## 示例：正则表达式安全 (ReDoS)
+**场景**：Sonar 提示 "Make sure the regex used here... cannot lead to denial of service"。
+**修复后代码**：
+```javascript
+// Compliant: 优化正则结构，避免嵌套量词，防止 ReDoS 攻击
+// 说明：匹配一个或多个 'a' 后跟一个 'b'
+const regex = /a+b/;
+```

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "scan-debug-skill",
-  "version": "1.0.7",
+  "version": "1.0.8",
   "description": "A set of code scanning and debugging skills, primarily for quick fixes of common SonarQube and Qianxin issues. | 一套代码扫描与调试技能，主要应用于 SonarQube 和奇安信常见问题的快速修复。",
   "bin": {
     "scan-debug-skill": "./bin/install.js"