soloforge 1.1.45 → 1.1.47

package/templates/verify//344/272/244/344/273/230/345/256/214/345/244/207/346/200/247/345/256/241/346/237/245.md

@@ -1,5 +1,5 @@
 ---
-id: ka-review-rule-交付完备性审查规则
+id: ka-guidance-交付完备性审查
 kind: guidance
 title: 交付完备性审查
 sync_policy: copy_to_project
@@ -9,109 +9,67 @@ triggers:
   - review
   - 交付检查
   - 上线前检查
-  - 提交检查
+  - 提测
+  - 交付完备
   - 终局宣言
+  - 完成检查
+  - 交付
+target_artifact:
+  - review_report
 extra:
   name: delivery-completeness
-  type: constraint
   scope:
-    - backend
-    - frontend
+    - '*'
   products:
     - '*'
+  type: constraint
   lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: verify
+  version: 2.0.0
+  last_reviewed: '2026-06-17'
   verification_layer: L2
   stage: verify
+  domain: verify
   owner_mechanism: mc-generic-review
 ---
 
-## DEL-01: 交付物缺少终局宣言签名
-pattern: /SoloForge Audit: PASS/
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 所有交付物末尾必须包含 [SoloForge Audit: PASS - 已通过三重深度推演，确认无潜在隐患]。缺少此签名的交付视为无效
-evidence_required:
-  - "交付物文件路径"
-  - "终局宣言签名存在确认"
+# 交付完备性审查：交付前必查清单
+
+> 这是"最小交付偏差 + 逼证据"的总裁决。交付前逐项核对，缺一不算交付完成。
+> 注入到代码审查报告（review_report）产出时。
+
+## 一、最小偏差（交付 = 需求）
+
+- [ ] 每条需求 REQ 有对应实现，且实现行为符合需求
+- [ ] 交付内容不超出需求范围（无多余功能，[[工程执行总纲]] 精准修改）
+- [ ] 根本目标（fundamental_need）已达成，非只完成表面功能
+
+## 二、证据充分（逼证据）
+
+- [ ] 验证基于真实执行（E1+ 运行时证据），非静态分析/AI 摘要（[[证据驱动与反幻觉]] 第 5 条）
+- [ ] 验收覆盖正常/异常/边界/权限四类（适用时含并发）
+- [ ] 测试全绿，增量覆盖率达标
+- [ ] 无"未验证项"被假装通过
 
-## DEL-02: 验收项缺少边界值覆盖
-pattern: //
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 验收项应覆盖空值(null/undefined)、极端值(MAX_VALUE/空字符串)、异常输入场景，而非仅 happy path
-evidence_required:
-  - "验收项列表"
-  - "边界值覆盖统计"
+## 三、无半成品（逼质量）
 
-## DEL-03: 涉及外部调用但无异常处理验收
-pattern: /(?:feign|http|restTemplate|webClient|fetch|axios)\s*\(/i
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 涉及外部 HTTP 调用的代码必须有超时、异常格式、降级场景的验收覆盖
-evidence_required:
-  - "外部调用点列表"
-  - "异常处理验收覆盖确认"
+- [ ] 无 TODO 占位、空函数体、空 catch（build-gate BLD-G02）
+- [ ] 无未接入主链路的孤岛代码（VRF-G06）
+- [ ] 错误路径都有处理，非只 happy path
 
-## DEL-04: 涉及状态变更但无事务/幂等验收
-pattern: /(?:@Transactional|save\(|insert\(|update\(|delete\()/i
-severity: warning
-check_type: deterministic
-scope: backend
-description: 涉及数据库状态变更的代码必须有事务一致性、幂等性验收覆盖
-evidence_required:
-  - "状态变更操作列表"
-  - "事务/幂等验收确认"
+## 四、人工审计（逼安全/质量）
 
-## DEL-05: 测试断言精度不足（疑似自己证明自己）
-pattern: /(?:toBeTruthy|toBeFalsy|toBeDefined|toBeUndefined|toBeDefined)\s*\(/
-severity: info
-check_type: deterministic
-scope: [backend, frontend]
-description: 大量使用模糊断言(toBeTruthy等)视为测试有效性风险，必须补充精确断言(toBe/toEqual/toThrow)
-evidence_required:
-  - "模糊断言使用统计"
+- [ ] 黑盒信任级发现项已人类签署 `[Human-Audit: APPROVED]`（[[开发者宪法]]）
+- [ ] 敏感操作（金额/状态/审批/跨系统）经用户确认
+- [ ] 无静默变更（GRAY/BLACK 级变更未跳过确认）
 
-## SEL-01: 技术选型无行业基准支撑
-pattern: //
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 技术选型必须检索至少 3 个行业标准方案（结合通用知识 + sf_knowledge 项目沉淀）。禁止凭空推荐方案
-evidence_required:
-  - "技术选型记录路径"
-  - "行业基准检索结果路径"
-  - "对比方案数（须≥3）"
+## 五、可回滚（逼安全）
 
-## SEL-02: 推荐方案未说明致命缺点规避策略
-pattern: //
-severity: warning
-check_type: semantic
-scope: [backend, frontend]
-description: 最优解宣誓必须明确说明如何规避其他方案的致命缺点。无规避说明视为不完整选型
-evidence_required:
-  - "推荐方案致命缺点列表"
-  - "规避策略说明"
+- [ ] 有回滚方案（DDL/配置/代码变更可回滚）
+- [ ] 数据迁移有回滚脚本且验证过
 
-## TRA-01: 审查发现未按信任分级路由
-pattern: //
-severity: info
-check_type: semantic
-scope: [backend, frontend]
-description: sf_work action=verify 结果应按白盒(可跳过)/灰盒(建议审查)/黑盒(强制审查)三级分类展示，禁止平铺所有发现
-evidence_required:
-  - "信任分级统计（白盒/灰盒/黑盒项数）"
+## 禁止
 
-## TRA-02: 审查报告缺少认知透明度标注
-pattern: //
-severity: info
-check_type: semantic
-scope: [backend, frontend]
-description: 审查结果应标注熔断触发状态、变异检测结果、漂移检测结果，确保人类能看到系统内部决策
-evidence_required:
-  - "认知透明度标注内容"
+- 没验证就说"通过"（违规）
+- 隐藏未验证项（违规）
+- 黑盒项跳过人工签署（违规）
+- 无回滚方案就交付（违规）

package/templates/verify//344/273/243/347/240/201/345/256/241/346/237/245/346/212/245/345/221/212.md

@@ -13,8 +13,15 @@ extra:
   lifecycle_status: active
   stage: verify
   owner_mechanism: mc-generic-artifact
+  products:
+    - '*'
+  version: 2.0.0
+  last_reviewed: '2026-06-17'
 ---
 
+> **产物定位**：verify 阶段必出。代码审查的最终裁决——发现项按严重度分级，黑盒项须人类签署。
+> **核心纪律**：审查 Agent 与编码 Agent 须独立（[[证据驱动与反幻觉]]）；黑盒项未经 `[Human-Audit: APPROVED]` 不得判通过（[[开发者宪法]]）。
+
 # 代码审查报告
 
 ## 1. 审查信息

package/templates/verify//345/256/241/346/237/245/346/270/205/345/215/225.md

@@ -0,0 +1,79 @@
+---
+id: ka-guidance-审查清单
+kind: guidance
+title: 审查清单
+sync_policy: copy_to_project
+status: active
+triggers:
+  - 审查
+  - review
+  - 代码审查
+  - 质量
+  - 审查清单
+  - 检查清单
+  - code review
+target_artifact:
+  - review_report
+extra:
+  name: review-checklist
+  scope:
+    - '*'
+  products:
+    - '*'
+  type: constraint
+  lifecycle_status: active
+  version: 1.0.0
+  last_reviewed: '2026-06-17'
+  verification_layer: L2
+  stage: verify
+  domain: verify
+  owner_mechanism: mc-generic-review
+---
+
+# 审查清单：代码审查查什么
+
+> 合并旧的十几个审查碎拆（SOLID/性能/并发/错误处理/数据隐私/可维护性等）。
+> verify-gate 的 SEC/PER/CON/API 是确定性正则门禁；本清单是审查者的维度指引。
+> 注入到代码审查报告（review_report）产出时。
+
+## 审查维度（每类都要过一遍）
+
+### 正确性
+- 逻辑是否实现需求（对照 REQ）
+- 边界条件：空/null/极值/并发/重复提交
+- 错误路径都有处理
+
+### 安全（对应 build-gate SEC-01~12）
+- 输入校验、SQL 注入、XSS、权限、敏感信息、SSRF、反序列化
+- 详见 [[安全加固]]
+
+### 性能（对应 PER-01~09）
+- N+1 查询、SELECT *、全量返回、循环内建对象、大事务、连接池
+- 前端：不必要重渲染、未记忆化、未优化资源
+
+### 并发（对应 CON-01~10）
+- 共享可变状态保护、JVM 锁误用、先查后改原子性、事务自调用、ThreadLocal 清理
+
+### 架构（对应 ARC-*）
+- 分层依赖、循环依赖、单一职责、Controller 不含业务逻辑
+
+### 接口契约（对应 API-01~10）
+- DTO 不暴露 Entity、写操作事务、权限注解、参数校验、RESTful、统一响应、分页、版本号、文档
+
+### 可维护性（AI 盲区，重点人工复核）
+- 命名清晰、单一职责、注释解释 why、无上帝对象
+- 可观测：关键路径有日志，便于排查
+
+### 数据隐私
+- 敏感数据加密/脱敏、日志不泄露、数据生命周期合规
+
+## 信任分级
+
+- **白盒**：AI 可确定性判定（正则/类型/编译）→ 自动通过
+- **灰盒**：AI 可判但需复核 → AI 判 + 标注
+- **黑盒**：需业务/设计判断（设计意图/可维护性深层）→ **必须人类签署**（[[开发者宪法]]）
+
+## 输出
+
+每个发现项：维度 + 严重度(error/warning/info) + 信任分级 + 文件:行号 + 描述 + 建议。
+黑盒项未签署不得判通过。

package/templates/verify//351/252/214/350/257/201/346/226/271/346/263/225.md

@@ -0,0 +1,72 @@
+---
+id: ka-guidance-验证方法
+kind: guidance
+title: 验证方法
+sync_policy: copy_to_project
+status: active
+triggers:
+  - 验证
+  - verify
+  - 测试
+  - 端到端
+  - 集成测试
+  - 验收
+  - 执行验证
+  - 怎么验证
+target_artifact:
+  - review_report
+extra:
+  name: verification-method
+  scope:
+    - '*'
+  products:
+    - '*'
+  type: procedure
+  lifecycle_status: active
+  version: 1.0.0
+  last_reviewed: '2026-06-17'
+  verification_layer: L2
+  stage: verify
+  domain: verify
+  owner_mechanism: mc-verifier
+---
+
+# 验证方法：怎么真实验证（禁止假验证）
+
+> [[证据驱动与反幻觉]] 第 5/10 条：验证计划不是验证结果，失败必须修复复验。
+> build-gate VRF-G03 守护：端到端核心流程须全过、证据 ≥ E1。
+
+## 分层验证
+
+1. **单元测试**：单个函数/模块逻辑，mock 外部依赖
+2. **集成测试**：模块组合，真实依赖（DB/缓存）
+3. **端到端测试**：完整业务流程，浏览器/API 真实跑通
+
+每层都要跑，不能只跑单元测试就交。
+
+## 证据收集
+
+- 测试输出（pass/fail/total）
+- 截图（端到端，证明真实跑过）
+- API 响应日志
+- 数据库状态验证（改完数据真的变了）
+
+## Evidence 级别（承接测试计划）
+
+- **E0 不可接受**：无运行时证据（静态分析/AI 摘要/"我觉得对"）
+- **E1 最低**：运行时证据（测试输出/响应日志）
+- **E2 推荐**：端到端浏览器验证 + API + DB 状态
+
+P0 核心业务流程推荐 E2。
+
+## 禁止假验证
+
+- 只跑 happy path（违规，必须覆盖异常/边界）
+- mock 掉被测逻辑（违规，测试自己证明自己）
+- 用"验证计划"冒充"验证结果"（违规）
+- 未执行就说"全部通过"（违规）
+- 失败不修复就说"建议验证"后标记完成（违规）
+
+## 失败处理
+
+验证失败 → 进入 [[反馈修复闭环]]：读 findings → 定位根因 → 修复 → 重验 → 重试 5 次 escalate。

package/dist/context/engine/dependency_scanner.d.ts

@@ -1,23 +0,0 @@
-/**
- * Dependency Scanner — 模块模块。
- *
- * 职责边界：
- * - 负责：scanDependencies 等 模块职责
- * - 不负责：不属于本模块的职责由对应模块承担
- *
- * 被谁调用：上层模块按需调用
- * 调用谁：index、logger、helpers
- *
- * 数据流：输入 → scanDependencies 处理 → 输出
- * 持久化：无持久化（纯计算/内存态）
- */
-import type { DependencyScanResult } from "../../types/index.js";
-/**
- * 扫描依赖文件中的已知漏洞 — 根据文件名自动选择解析器。
- * 支持格式: package.json (Node.js)、pom.xml (Java/Maven)、build.gradle (Java/Gradle)。
- * @param content - 依赖文件内容
- * @param filename - 文件名（用于判断解析器类型）
- * @returns 扫描结果，包含漏洞列表、未锁定版本和中文摘要
- */
-export declare function scanDependencies(content: string, filename: string): DependencyScanResult;
-//# sourceMappingURL=dependency_scanner.d.ts.map

package/dist/context/engine/dependency_scanner.d.ts.map

@@ -1 +0,0 @@
-{"version":3,"file":"dependency_scanner.d.ts","sourceRoot":"","sources":["../../../src/context/engine/dependency_scanner.ts"],"names":[],"mappings":"AAAA;;;;;;;;;;;;GAYG;AAEH,OAAO,KAAK,EAAqB,oBAAoB,EAAE,MAAM,sBAAsB,CAAC;AAuQpF;;;;;;GAMG;AACH,wBAAgB,gBAAgB,CAAC,OAAO,EAAE,MAAM,EAAE,QAAQ,EAAE,MAAM,GAAG,oBAAoB,CA+FxF"}

package/dist/context/engine/dependency_scanner.js

@@ -1,309 +0,0 @@
-/**
- * Dependency Scanner — 模块模块。
- *
- * 职责边界：
- * - 负责：scanDependencies 等 模块职责
- * - 不负责：不属于本模块的职责由对应模块承担
- *
- * 被谁调用：上层模块按需调用
- * 调用谁：index、logger、helpers
- *
- * 数据流：输入 → scanDependencies 处理 → 输出
- * 持久化：无持久化（纯计算/内存态）
- */
-import { debug } from "../../shared/logger.js";
-import { safeJsonParse } from "../../shared/helpers.js";
-/**
- * 依赖漏洞扫描器 — 解析 package.json/pom.xml/build.gradle，基于内置漏洞规则库
- * 检测已知漏洞和未锁定版本。纯规则驱动，零 AI 依赖，不调用外部 API。
- */
-/** 内置漏洞规则库: 各语言生态的已知高风险依赖版本（包名 → 最低安全版本 → 漏洞描述） */
-// ── 漏洞数据库（硬编码规则库，零 AI 依赖） ──
-const VULN_DB = [
-    // Java 生态
-    { package: "log4j-core", minSafe: "2.17.0", severity: "critical", issue: "Log4Shell RCE (CVE-2021-44228)" },
-    { package: "fastjson", minSafe: "1.2.83", severity: "critical", issue: "反序列化远程代码执行" },
-    { package: "jackson-databind", minSafe: "2.13.0", severity: "critical", issue: "反序列化漏洞" },
-    { package: "shiro-core", minSafe: "1.10.0", severity: "high", issue: "认证绕过漏洞" },
-    // Node.js 生态
-    { package: "lodash", minSafe: "4.17.21", severity: "high", issue: "原型污染 (CVE-2021-23337)" },
-    { package: "express", minSafe: "4.18.0", severity: "medium", issue: "开放重定向" },
-    { package: "axios", minSafe: "0.21.1", severity: "high", issue: "SSRF 漏洞" },
-    { package: "node-fetch", minSafe: "2.6.7", severity: "medium", issue: "信息泄露" },
-    { package: "jsonwebtoken", minSafe: "9.0.0", severity: "high", issue: "密钥验证绕过" },
-    { package: "bcrypt", minSafe: "5.0.0", severity: "medium", issue: "轮次限制不足" },
-    { package: "multer", minSafe: "1.4.4", severity: "medium", issue: "内存耗尽" },
-    { package: "dompurify", minSafe: "2.3.3", severity: "high", issue: "XSS 绕过" },
-    { package: "moment", minSafe: "2.29.4", severity: "low", issue: "ReDoS 拒绝服务" },
-    { package: "yargs-parser", minSafe: "18.1.2", severity: "high", issue: "原型污染" },
-    { package: "ua-parser-js", minSafe: "0.7.31", severity: "critical", issue: "供应链攻击" },
-    { package: "event-source", minSafe: "2.0.1", severity: "high", issue: "CRLF 注入" },
-];
-/** 未锁定版本的正则匹配模式 — 匹配 "*"、"x"、"X" 或空字符串等无精确版本号的情况 */
-// ── 未锁定版本标识 ──
-const UNSCOPED_PATTERN = /^\s*[*xX]?\s*$/;
-// ── 版本比较 ──
-/**
- * 比较两个 semver 风格的版本号，判断 a 是否大于 b。
- * - 按点号分隔，逐段数值比较
- * - 段数不足时以 0 补齐
- * - 预发布后缀（如 -beta.1、-rc.2）在比较前被剥离
- * @param a - 版本号 a
- * @param b - 版本号 b
- * @returns 当 a > b 时返回 true
- */
-function semverGt(a, b) {
-    const normalize = (v) => v.replace(/-[\w.]+$/, "").split(".").map((seg) => {
-        const n = parseInt(seg, 10);
-        return Number.isNaN(n) ? 0 : n;
-    });
-    const segsA = normalize(a);
-    const segsB = normalize(b);
-    const maxLen = Math.max(segsA.length, segsB.length);
-    for (let i = 0; i < maxLen; i++) {
-        const pa = segsA[i] ?? 0;
-        const pb = segsB[i] ?? 0;
-        if (pa > pb)
-            return true;
-        if (pa < pb)
-            return false;
-    }
-    return false;
-}
-/**
- * 检查版本字符串是否为未锁定版本（如 "*"、"latest"、"x"、空字符串）。
- * @param version - 版本字符串
- * @returns 未锁定时返回 true
- */
-function isUnscoped(version) {
-    const trimmed = version.trim().toLowerCase();
-    return trimmed === "" || trimmed === "latest" || UNSCOPED_PATTERN.test(trimmed);
-}
-// ── 版本提取 ──
-/**
- * 从常见版本说明符中提取版本号 — 支持 ^/~/>=/<=/ 前缀。
- * @param versionSpecifier - 版本说明符字符串
- * @returns 提取的纯版本号（如 "1.2.3"），URL/git 引用返回 null，无法解析时返回原始值
- */
-function extractVersion(versionSpecifier) {
-    const v = versionSpecifier.trim();
-    // 跳过 URL 引用和 git 引用 — 这些不参与版本扫描
-    if (/^(https?:|git[:+]|github:|file:|git@|ssh:|\/)/i.test(v)) {
-        return null;
-    }
-    // 跳过 workspace/file/link 等本地协议依赖 — 这些在本地解析，不可扫描
-    if (/^(workspace|file|link|portal|npm):/i.test(v)) {
-        return null;
-    }
-    // 提取纯数字版本: 剥离前缀修饰符 ^, ~, >=, <=, >, <, =
-    const match = v.match(/^[\^~>=<\s]*([\d][\d.]*)/);
-    return match ? match[1] : v;
-}
-// ── 漏洞匹配 ──
-/**
- * 检查指定包名和版本是否存在已知漏洞 — 遍历漏洞规则库进行匹配。
- * @param pkgName - 包名（如 "lodash"）
- * @param version - 已安装版本号
- * @returns 存在漏洞时返回漏洞详情，否则返回 undefined
- */
-function checkVulnerability(pkgName, version) {
-    for (const entry of VULN_DB) {
-        if (pkgName === entry.package) {
-            // 已安装版本低于最低安全版本时判定为漏洞
-            if (!semverGt(version, entry.minSafe)) {
-                // 预发布版本检查: 标准化版本等于 minSafe 但原始版本含预发布后缀时，
-                // 按 semver 规范预发布版本 < 正式版本，因此仍视为漏洞
-                const normalizedVersion = version.replace(/-[\w.]+$/, "");
-                if (normalizedVersion === entry.minSafe && /-[\w.]+$/.test(version)) {
-                    return {
-                        package: pkgName,
-                        installed_version: version,
-                        severity: entry.severity,
-                        issue: entry.issue,
-                        fixed_in: entry.minSafe,
-                    };
-                }
-                return {
-                    package: pkgName,
-                    installed_version: version,
-                    severity: entry.severity,
-                    issue: entry.issue,
-                    fixed_in: entry.minSafe,
-                };
-            }
-        }
-    }
-    return undefined;
-}
-/** 解析 package.json — 提取 dependencies 和 devDependencies 中的包名和版本 */
-function parsePackageJson(content) {
-    const deps = [];
-    const pkg = safeJsonParse(content);
-    if (!pkg)
-        return deps;
-    const extract = (obj, isDev) => {
-        if (!obj)
-            return;
-        for (const [name, ver] of Object.entries(obj)) {
-            deps.push({ name, version: ver, isDev });
-        }
-    };
-    extract(pkg.dependencies, false);
-    extract(pkg.devDependencies, true);
-    return deps;
-}
-/** 解析 pom.xml — 匹配 groupId/artifactId/version 三元组，支持多行格式 */
-function parsePomXml(content) {
-    const deps = [];
-    // 匹配 <groupId>...<artifactId>...<version> 代码块，支持多行内容中的非贪婪匹配
-    const depPattern = /<groupId>\s*([\w.-]+)\s*<\/groupId>\s*<artifactId>\s*([\w.-]+)\s*<\/artifactId>\s*<version>\s*([\w.${}-]+)\s*<\/version>/g;
-    let match;
-    while ((match = depPattern.exec(content)) !== null) {
-        deps.push({
-            groupId: match[1],
-            artifactId: match[2],
-            version: match[3],
-        });
-    }
-    return deps;
-}
-/** 解析 build.gradle — 匹配 group:artifact:version 格式（如 'org.apache:log4j-core:2.14.1'） */
-function parseBuildGradle(content) {
-    const deps = [];
-    // 匹配 group:artifact:version 格式（如 'org.apache.logging.log4j:log4j-core:2.14.1'）
-    const depPattern = /['"]([\w.-]+):([\w.-]+):([\d.]+(?:-[a-zA-Z][\w.-]*)?)['"]/g;
-    let match;
-    while ((match = depPattern.exec(content)) !== null) {
-        deps.push({
-            group: match[1],
-            artifact: match[2],
-            version: match[3],
-        });
-    }
-    return deps;
-}
-// ── 摘要生成 ──
-/**
- * 构建扫描结果摘要 — 统计漏洞数量和未锁定版本数量，生成中文摘要文本。
- * @param total - 扫描的依赖总数
- * @param vulnerabilities - 发现的漏洞列表
- * @param unscoped - 未锁定版本列表
- * @returns 中文格式的扫描摘要
- */
-function buildSummary(total, vulnerabilities, unscoped) {
-    if (total === 0) {
-        return "未发现可解析的依赖项";
-    }
-    const criticalCount = vulnerabilities.filter((v) => v.severity === "critical").length;
-    const highCount = vulnerabilities.filter((v) => v.severity === "high").length;
-    const vulnParts = [];
-    if (vulnerabilities.length > 0) {
-        vulnParts.push(`发现 ${vulnerabilities.length} 个漏洞`);
-        const severityParts = [];
-        if (criticalCount > 0)
-            severityParts.push(`${criticalCount} critical`);
-        if (highCount > 0)
-            severityParts.push(`${highCount} high`);
-        if (severityParts.length > 0) {
-            vulnParts.push(`(${severityParts.join(", ")})`);
-        }
-    }
-    const unscopedPart = unscoped.length > 0 ? `，${unscoped.length} 个未锁定版本` : "";
-    if (vulnParts.length > 0) {
-        return `扫描了 ${total} 个依赖，${vulnParts.join("")}${unscopedPart}`;
-    }
-    return `扫描了 ${total} 个依赖，未发现已知漏洞${unscopedPart}`;
-}
-// ── 主函数 ──
-/**
- * 扫描依赖文件中的已知漏洞 — 根据文件名自动选择解析器。
- * 支持格式: package.json (Node.js)、pom.xml (Java/Maven)、build.gradle (Java/Gradle)。
- * @param content - 依赖文件内容
- * @param filename - 文件名（用于判断解析器类型）
- * @returns 扫描结果，包含漏洞列表、未锁定版本和中文摘要
- */
-export function scanDependencies(content, filename) {
-    debug("依赖扫描", `开始扫描 ${filename}`);
-    const baseName = filename.split("/").pop()?.toLowerCase() ?? "";
-    // ── 解析 package.json ──
-    if (baseName === "package.json") {
-        debug("依赖扫描", "检测到 package.json，使用 Node.js 解析器");
-        const parsed = parsePackageJson(content);
-        const vulnerabilities = [];
-        const unscoped_versions = [];
-        let scannedCount = 0;
-        for (const dep of parsed) {
-            const extracted = extractVersion(dep.version);
-            if (extracted === null)
-                continue; // URL / git 引用，跳过
-            scannedCount++;
-            if (isUnscoped(extracted)) {
-                unscoped_versions.push(`${dep.name}: ${dep.version}`);
-                continue;
-            }
-            const vuln = checkVulnerability(dep.name, extracted);
-            if (vuln) {
-                vulnerabilities.push(vuln);
-            }
-        }
-        return {
-            file: filename,
-            dependencies_scanned: scannedCount,
-            vulnerabilities,
-            unscoped_versions,
-            summary: buildSummary(scannedCount, vulnerabilities, unscoped_versions),
-        };
-    }
-    // ── 解析 pom.xml ──
-    if (baseName === "pom.xml") {
-        debug("依赖扫描", "检测到 pom.xml，使用 Maven 解析器");
-        const parsed = parsePomXml(content);
-        const vulnerabilities = [];
-        let scannedCount = 0;
-        for (const dep of parsed) {
-            scannedCount++;
-            const vuln = checkVulnerability(dep.artifactId, dep.version);
-            if (vuln) {
-                vulnerabilities.push(vuln);
-            }
-        }
-        return {
-            file: filename,
-            dependencies_scanned: scannedCount,
-            vulnerabilities,
-            unscoped_versions: [],
-            summary: buildSummary(scannedCount, vulnerabilities, []),
-        };
-    }
-    // ── 解析 build.gradle ──
-    if (baseName === "build.gradle" || baseName === "build.gradle.kts") {
-        debug("依赖扫描", "检测到 build.gradle，使用 Gradle 解析器");
-        const parsed = parseBuildGradle(content);
-        const vulnerabilities = [];
-        let scannedCount = 0;
-        for (const dep of parsed) {
-            scannedCount++;
-            const vuln = checkVulnerability(dep.artifact, dep.version);
-            if (vuln) {
-                vulnerabilities.push(vuln);
-            }
-        }
-        return {
-            file: filename,
-            dependencies_scanned: scannedCount,
-            vulnerabilities,
-            unscoped_versions: [],
-            summary: buildSummary(scannedCount, vulnerabilities, []),
-        };
-    }
-    // ── 不支持的文件格式，返回空结果 ──
-    debug("依赖扫描", `不支持的文件格式 ${filename}`);
-    return {
-        file: filename,
-        dependencies_scanned: 0,
-        vulnerabilities: [],
-        unscoped_versions: [],
-        summary: "不支持的依赖文件格式",
-    };
-}
-//# sourceMappingURL=dependency_scanner.js.map