npm - sdd-full - Versions diffs - 3.2.0 → 4.0.0 - Mend

sdd-full 3.2.0 → 4.0.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (75) hide show

package/skills/quality-assurance/quality-gate/SKILL.md DELETED Viewed

@@ -1,350 +0,0 @@
-【claude code调用标识：quality-gate】【trae调用标识：quality-gate+质量门禁】【流程场景：1.完整3阶段SDD流程、5.代码发布】
----
-name: "quality-gate"
-description: "质量门禁技能，执行质量检查确保代码质量。Invoke when you need to run quality checks before deployment."
----
-# quality-gate - 质量门禁技能
-## 概述
-本技能专注于执行质量检查，确保代码质量、测试覆盖、性能基准、安全标准等达到要求，作为发布前的最后一道关卡。
----
-## 与其他技能的衔接
-### 前置技能
-- **sdd-code** - 代码已完成
-- **sdd-test** - 测试已完成
-### 后置技能
-- **sdd-deploy** - 部署执行
----
-## 核心功能
-### 1. 代码质量检查
-- 代码规范检查
-- 静态代码分析
-- 代码复杂度分析
-- 代码重复检查
-### 2. 测试覆盖率检查
-- 单元测试覆盖率
-- 集成测试覆盖率
-- E2E测试覆盖率
-- 覆盖率趋势分析
-### 3. 性能基准检查
-- 响应时间基准
-- 吞吐量基准
-- 资源使用基准
-- 性能回归检查
-### 4. 安全漏洞扫描
-- 依赖安全检查
-- 静态安全扫描
-- 动态安全扫描
-- 安全配置检查
-### 5. 代码评审检查
-- 代码评审覆盖率
-- 评审意见处理
-- 评审流程合规性
-- 评审质量评估
-### 6. 文档完整性检查
-- 需求文档完整性
-- 设计文档完整性
-- API文档完整性
-- 用户文档完整性
-### 7. 发布前预检清单
-- 综合质量评估
-- 风险评估
-- 发布准备检查
-- 最终决策支持
----
-## 检查清单模板
-### 代码质量检查清单
-```markdown
-# 代码质量检查清单
-## 代码规范检查
-- [ ] 代码符合项目编码规范
-- [ ] 命名规范（变量、函数、类）
-- [ ] 代码注释充分
-- [ ] 代码格式统一
-## 静态代码分析
-- [ ] 无高危告警
-- [ ] 无严重bug
-- [ ] 代码复杂度合理
-- [ ] 无潜在性能问题
-## 代码复杂度
-- [ ] 函数圈复杂度 < 10
-- [ ] 类职责单一
-- [ ] 模块耦合度低
-- [ ] 代码可读性良好
-## 代码重复检查
-- [ ] 代码重复率 < 5%
-- [ ] 无大面积重复代码
-- [ ] 公共逻辑已抽取
-```
----
-### 测试覆盖率检查清单
-```markdown
-# 测试覆盖率检查清单
-## 单元测试覆盖
-- [ ] 语句覆盖率 ≥ 80%
-- [ ] 分支覆盖率 ≥ 75%
-- [ ] 函数覆盖率 ≥ 90%
-- [ ] 核心模块覆盖率 ≥ 95%
-## 集成测试覆盖
-- [ ] 主要接口都有测试
-- [ ] 核心业务流程有测试
-- [ ] 异常场景有测试
-## E2E测试覆盖
-- [ ] 核心用户旅程有测试
-- [ ] 关键功能路径有测试
-- [ ] 兼容性测试已完成
-## 覆盖率趋势
-- [ ] 覆盖率不低于上次发布
-- [ ] 无明显覆盖率下降
-- [ ] 新增代码有测试覆盖
-```
----
-### 性能基准检查清单
-```markdown
-# 性能基准检查清单
-## 响应时间
-- [ ] API响应时间 ≤ 500ms（P95）
-- [ ] 页面加载时间 ≤ 2s
-- [ ] 数据库查询时间 ≤ 100ms
-- [ ] 关键操作响应时间达标
-## 吞吐量
-- [ ] 系统吞吐量 ≥ 100 TPS
-- [ ] 数据库吞吐量达标
-- [ ] 缓存命中率 ≥ 90%
-## 资源使用
-- [ ] CPU使用率 ≤ 70%（峰值）
-- [ ] 内存使用率 ≤ 80%（峰值）
-- [ ] 磁盘IO正常
-- [ ] 网络带宽正常
-## 性能回归
-- [ ] 性能不低于上一版本
-- [ ] 无明显性能下降
-- [ ] 性能瓶颈已识别
-```
----
-### 安全漏洞扫描清单
-```markdown
-# 安全漏洞扫描清单
-## 依赖安全
-- [ ] 无已知高危漏洞
-- [ ] 依赖版本较新
-- [ ] 不再使用的依赖已移除
-## 静态安全扫描
-- [ ] 无高危安全问题
-- [ ] 输入验证完整
-- [ ] SQL注入防护到位
-- [ ] XSS防护到位
-## 动态安全扫描
-- [ ] 常见攻击测试通过
-- [ ] 认证授权机制安全
-- [ ] 数据传输加密
-- [ ] 敏感数据保护到位
-## 安全配置
-- [ ] 安全配置符合规范
-- [ ] 日志记录完整
-- [ ] 权限设置合理
-- [ ] 应急响应机制完善
-```
----
-### 代码评审检查清单
-```markdown
-# 代码评审检查清单
-## 评审覆盖率
-- [ ] 所有代码都已评审
-- [ ] 核心代码多轮评审
-- [ ] 跨团队代码有评审
-## 评审意见处理
-- [ ] 所有评审意见已回复
-- [ ] 合理建议已采纳
-- [ ] 有争议的问题已解决
-## 评审流程合规性
-- [ ] 评审流程按规范执行
-- [ ] 评审记录完整
-- [ ] 评审时间合理
-## 评审质量
-- [ ] 评审发现真实问题
-- [ ] 评审建议有价值
-- [ ] 评审者资质符合要求
-```
----
-### 文档完整性检查清单
-```markdown
-# 文档完整性检查清单
-## 需求文档
-- [ ] 需求描述清晰完整
-- [ ] 验收标准明确
-- [ ] 边界条件覆盖
-- [ ] 依赖关系说明清晰
-## 设计文档
-- [ ] 架构设计文档完整
-- [ ] 接口设计文档完整
-- [ ] 数据库设计文档完整
-- [ ] 关键设计决策有记录
-## API文档
-- [ ] API接口文档完整
-- [ ] 请求响应示例齐全
-- [ ] 错误码定义清晰
-- [ ] 版本说明清晰
-## 用户文档
-- [ ] 用户使用说明完整
-- [ ] 常见问题解答齐全
-- [ ] 更新日志完整
-- [ ] 文档与代码同步
-```
----
-## 质量门判定标准
-### 通过标准
-- [ ] 所有检查项通过（P0-P1）
-- [ ] 测试覆盖率达标
-- [ ] 性能指标达标
-- [ ] 无高危安全漏洞
-- [ ] 风险可控
-### 条件通过标准
-- [ ] 少数P2项未通过但不影响发布
-- [ ] 有明确的后续修复计划
-- [ ] 风险评估通过
-- [ ] 相关负责人同意
-### 不通过标准
-- [ ] 任何P0项未通过
-- [ ] 存在阻断性bug
-- [ ] 测试覆盖率严重不足
-- [ ] 存在高危安全漏洞
-- [ ] 性能严重不达标
----
-## 风险评估矩阵
-| 风险等级 | 严重程度 | 可能性 | 处理策略 |
-|---------|---------|--------|---------|
-| P0 | 严重 | 高 | 必须修复 |
-| P0 | 严重 | 中 | 必须修复 |
-| P0 | 严重 | 低 | 评估后决策 |
-| P1 | 重要 | 高 | 尽量修复 |
-| P1 | 重要 | 中 | 评估后决策 |
-| P1 | 重要 | 低 | 可后续修复 |
-| P2 | 一般 | 高 | 可后续修复 |
-| P2 | 一般 | 中 | 可后续修复 |
-| P2 | 一般 | 低 | 可后续修复 |
----
-## 使用步骤
-### 步骤1：执行自动检查
-- 运行代码质量工具
-- 运行测试覆盖率工具
-- 运行安全扫描工具
-- 运行性能基准测试
-### 步骤2：执行人工检查
-- 代码评审检查
-- 文档完整性检查
-- 发布准备检查
-### 步骤3：生成质量报告
-- 汇总检查结果
-- 识别问题
-- 评估风险
-- 生成报告
-### 步骤4：质量门决策
-- 根据检查结果
-- 评估风险
-- 做出决策（通过/条件通过/不通过）
-- 通知相关团队
----
-## 与其他技能的集成
-### 与sdd-test集成
-```
-sdd-test → 测试结果 → quality-gate → 质量检查
-```
-### 与sdd-deploy集成
-```
-quality-gate → 质量通过 → sdd-deploy → 部署执行
-```
----
-## 最佳实践
-1. 质量门禁要定期更新
-2. 严格但不过于苛刻
-3. 持续改进检查标准
-4. 自动化为主人工为辅
-5. 质量标准要与业务目标对齐
----
-## 常见问题
-### Q：质量门禁不通过怎么办？
-A：首先分析问题严重性，阻断性问题必须修复，其他问题评估风险后决策
-### Q：如何平衡质量和发布速度？
-A：优先级设置合理，P0必须通过，P1尽量通过，P2可后续修复
-### Q：质量检查应该什么时候做？
-A：开发过程中持续做，发布前集中做，定期回顾改进检查标准

package/skills/quality-assurance/security-audit/SKILL.md DELETED Viewed

@@ -1,386 +0,0 @@
-【claude code调用标识：security-audit】【trae调用标识：security-audit+安全审计】【流程场景：1.完整3阶段SDD流程、5.代码发布】
----
-name: "security-audit"
-description: "安全审计技能，分析安全需求、设计安全架构、执行安全检查。Invoke when you need to do security audit and hardening."
----
-# security-audit - 安全审计技能
-## 概述
-本技能专注于系统安全审计和加固，包含安全需求分析、安全架构设计、安全检查清单、渗透测试方案、漏洞修复流程、安全培训等。
----
-## 与其他技能的衔接
-### 前置技能
-- **sdd**（安全需求分析）
-- **quality-gate**（安全检查）
-### 后置技能
-- 安全持续改进
----
-## 核心功能
-### 1. 安全需求分析
-- 数据安全需求（加密、脱敏、备份）
-- 认证授权需求（登录、权限、会话）
-- 接口安全需求（鉴权、限流、防攻击）
-- 合规性需求（等保、GDPR等）
-- 安全分级（按资产重要程度）
-### 2. 安全架构设计
-- 安全架构设计（分层防御、纵深防御）
-- 认证方案设计（密码、OAuth、SAML、生物认证）
-- 权限模型设计（RBAC、ABAC等）
-- 数据加密方案（传输加密、存储加密）
-- 安全监控设计（日志、告警、审计）
-### 3. 安全检查清单
-- OWASP Top 10检查清单
-- 代码安全检查清单
-- 配置安全检查清单
-- 依赖安全检查清单
-- 运维安全检查清单
-### 4. 渗透测试方案
-- 渗透测试计划
-- 测试范围定义
-- 测试方法选择
-- 测试用例设计
-- 风险分级
-### 5. 漏洞修复流程
-- 漏洞分级（Critical/High/Medium/Low）
-- 修复时限要求
-- 修复方案设计
-- 修复验证方法
-- 应急响应流程
-### 6. 安全培训材料
-- 开发安全培训
-- 运维安全培训
-- 员工安全意识培训
-- 常见攻击识别和防范
-- 应急响应培训
----
-## 产出文件结构
-### 安全审计目录
-```
-docs/
-  └── security/
-      ├── requirements.md          # 安全需求
-      ├── architecture.md          # 安全架构
-      ├── checklist.md            # 检查清单
-      ├── pentest-plan.md          # 渗透测试方案
-      ├── vulnerability-fix.md     # 漏洞修复流程
-      └── training.md            # 安全培训
-```
----
-## 安全审计模板
-### 安全需求分析模板
-```markdown
-# 安全需求分析
-## 1. 资产清单
-| 资产名称 | 重要程度 | 风险等级 | 说明 |
-|---------|---------|---------|------|
-| 用户数据 | Critical | 高 | 包含手机号、邮箱、密码等 |
-| 订单数据 | High | 中高 | 包含交易记录 |
-| 系统配置 | Medium | 中 | 包含敏感配置 |
-## 2. 安全需求
-### 数据安全
-- [ ] 敏感数据加密存储
-- [ ] 敏感数据传输加密（TLS）
-- [ ] 敏感数据脱敏显示
-- [ ] 数据备份加密
-- [ ] 数据访问审计日志
-### 认证授权
-- [ ] 强密码策略
-- [ ] 多因素认证（可选）
-- [ ] 会话超时控制
-- [ ] 权限最小化原则
-- [ ] 权限变更审计
-### 接口安全
-- [ ] 接口鉴权
-- [ ] 接口限流
-- [ ] 防SQL注入
-- [ ] 防XSS攻击
-- [ ] 防CSRF攻击
-### 合规性
-- [ ] 符合等保要求
-- [ ] 符合GDPR（如需要）
-- [ ] 符合其他行业标准
-## 3. 风险评估
-| 风险 | 等级 | 可能性 | 影响 | 应对措施 |
-|-----|------|-------|------|---------|
-| 数据泄露 | Critical | 低 | 极高 | 加密、访问控制、监控 |
-| 未授权访问 | High | 中 | 高 | 强认证、权限控制 |
-```
----
-### 安全检查清单模板
-```markdown
-# 安全检查清单
-## OWASP Top 10检查
-### A01:2021 - Broken Access Control
-- [ ] 权限验证正确实现
-- [ ] 垂直权限隔离正确
-- [ ] 水平权限隔离正确
-- [ ] 敏感接口有权限控制
-### A02:2021 - Cryptographic Failures
-- [ ] 敏感数据加密存储
-- [ ] 使用强加密算法
-- [ ] 密钥管理安全
-- [ ] TLS正确配置
-### A03:2021 - Injection
-- [ ] 所有查询参数化
-- [ ] 防止SQL注入
-- [ ] 防止XSS注入
-- [ ] 防止其他注入
-### A04:2021 - Insecure Design
-- [ ] 有安全威胁建模
-- [ ] 安全需求明确
-- [ ] 有安全架构设计
-### A05:2021 - Security Misconfiguration
-- [ ] 安全配置正确
-- [ ] 不必要的功能禁用
-- [ ] 默认密码已修改
-- [ ] 错误信息不泄露细节
-### A06:2021 - Vulnerable and Outdated Components
-- [ ] 依赖定期扫描
-- [ ] 高危依赖已修复
-- [ ] 不再使用的依赖已移除
-- [ ] 依赖更新策略
-### A07:2021 - Identification and Authentication Failures
-- [ ] 认证实现正确
-- [ ] 会话管理安全
-- [ ] 凭据存储安全
-- [ ] 有防止暴力破解措施
-### A08:2021 - Software and Data Integrity Failures
-- [ ] 数据完整性校验
-- [ ] 第三方来源可信
-- [ ] 有完整性验证机制
-### A09:2021 - Security Logging and Monitoring Failures
-- [ ] 关键操作有日志
-- [ ] 安全事件有告警
-- [ ] 日志内容完整
-- [ ] 日志存储安全
-### A10:2021 - Server-Side Request Forgery
-- [ ] 防止SSRF攻击
-- [ ] 外网请求有控制
-- [ ] URL验证正确
-## 代码安全检查
-- [ ] 无硬编码密钥
-- [ ] 无SQL注入风险
-- [ ] 无XSS风险
-- [ ] 输入验证完整
-- [ ] 输出编码正确
-## 配置安全检查
-- [ ] 生产环境配置安全
-- [ ] 不必要的端口已关闭
-- [ ] 服务以最小权限运行
-- [ ] 防火墙规则正确
-## 依赖安全检查
-- [ ] 依赖漏洞已扫描
-- [ ] 高危漏洞已修复
-- [ ] 依赖定期更新
-```
----
-### 渗透测试方案模板
-```markdown
-# 渗透测试方案
-## 1. 测试概述
-- 测试目标
-- 测试范围
-- 测试时间
-- 测试人员
-## 2. 测试方法
-- 黑盒测试/白盒测试
-- 测试工具选择
-- 测试策略
-## 3. 测试范围
-### 测试范围
-- 测试的系统/应用
-- 测试的接口
-- 测试的功能模块
-### 不测试范围
-- 生产环境直接攻击（用测试环境）
-- 可能导致服务不可用的测试（提前沟通）
-## 4. 测试用例
-| 用例ID | 测试项 | 测试方法 | 预期结果 |
-|-------|--------|---------|---------|
-| TC-001 | SQL注入 | 尝试注入 | 无注入漏洞 |
-| TC-002 | XSS | 尝试注入脚本 | 无XSS漏洞 |
-| ... | ... | ... | ... |
-## 5. 风险分级
-| 等级 | 说明 | 处理时限 |
-|-----|------|---------|
-| Critical | 严重漏洞，可导致数据泄露或系统控制 | 24小时内修复 |
-| High | 高危漏洞 | 3天内修复 |
-| Medium | 中危漏洞 | 1周内修复 |
-| Low | 低危漏洞 | 1个月内修复 |
-## 6. 测试计划
-| 阶段 | 时间 | 内容 |
-|-----|------|------|
-| 阶段1 | ... | 信息收集 |
-| 阶段2 | ... | 漏洞扫描 |
-| 阶段3 | ... | 手动测试 |
-| 阶段4 | ... | 报告编写 |
-```
----
-### 漏洞修复流程模板
-```markdown
-# 漏洞修复流程
-## 1. 漏洞上报
-- 漏洞描述
-- 漏洞等级
-- 影响范围
-- 上报时间
-- 上报人
-## 2. 漏洞确认
-- 验证漏洞真实性
-- 确认漏洞影响
-- 评估风险等级
-- 确认修复优先级
-## 3. 修复方案设计
-- 修复方案选择
-- 修复方案评估
-- 回滚方案准备
-- 修复时间计划
-## 4. 修复实施
-- 代码修复
-- 配置修复
-- 测试验证
-- 代码评审
-## 5. 发布上线
-- 修复上线计划
-- 灰度发布
-- 监控观察
-- 完整验证
-## 6. 复盘总结
-- 漏洞根因分析
-- 预防措施
-- 流程改进
-- 经验教训
-```
----
-## 使用步骤
-### 步骤1：安全需求分析
-- 识别系统资产
-- 分析安全需求
-- 评估安全风险
-- 确定安全目标
-### 步骤2：安全架构设计
-- 设计安全架构
-- 选择安全方案
-- 制定安全规范
-- 设计安全监控
-### 步骤3：安全检查
-- 执行安全检查清单
-- 代码安全扫描
-- 依赖安全扫描
-- 配置安全检查
-### 步骤4：渗透测试（可选）
-- 制定渗透测试方案
-- 执行渗透测试
-- 生成测试报告
-- 制定修复计划
-### 步骤5：漏洞修复
-- 按优先级修复漏洞
-- 验证修复效果
-- 复盘总结
-- 持续改进
----
-## 与其他技能的集成
-### 与quality-gate集成
-```
-security-audit → 安全检查清单 → quality-gate → 安全检查
-```
-### 与sdd-test集成
-```
-security-audit → 安全测试SDD → sdd-test → 安全测试
-```
----
-## 最佳实践
-1. **安全左移：** 开发阶段就考虑安全，不要等上线后再补
-2. **纵深防御：** 不要只依赖单一安全措施，多层防护
-3. **最小权限：** 只给必要的权限，权限最小化原则
-4. **定期审计：** 定期执行安全检查，不要一次就完
-5. **全员重视：** 安全不只是安全团队的事，全员要有安全意识
----
-## 常见问题
-### Q：需要做渗透测试吗？
-A：核心业务、敏感数据系统建议定期做；一般系统可以先用自动化工具扫描。
-### Q：发现高危漏洞怎么办？
-A：按应急响应流程，快速评估影响，先做临时防护，再彻底修复，修复后验证，最后复盘。
-### Q：如何平衡安全和用户体验？
-A：在保证安全的前提下尽量不影响体验，选择对用户影响小的安全方案，做好用户引导。