npm - soloforge - Versions diffs - 1.1.45 → 1.1.47 - Mend

soloforge 1.1.45 → 1.1.47

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (608) hide show

package/templates/build//345/220/216/347/253/257/345/256/236/347/216/260/345/267/245/347/250/213/345/256/241/346/237/245.md DELETED Viewed

@@ -1,70 +0,0 @@
----
-id: ka-review-rule-后端实现工程审查规则
-kind: guidance
-title: 后端实现工程审查
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 后端审查
-  - Controller
-  - DTO
-  - 事务
-  - 幂等
-  - 权限
-extra:
-  name: backend-implementation-review
-  type: constraint
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-backend-implementation-contract
----
-# 后端实现工程审查规则
-## BIE-01: Controller 边界
-  id: BIE-01
-  name: Controller 边界
-  severity: error
-  check_type: deterministic
-  check_hint: Controller 入参/出参使用数据库实体 → 改为 DTO/VO 并显式映射
-  description: Controller 层不得直接暴露数据库实体。入参使用 RequestDTO，出参使用 ResponseVO/ResponseDTO，通过 Mapper 显式转换。
-## BIE-02: 参数校验
-  id: BIE-02
-  name: 参数校验
-  severity: error
-  check_type: deterministic
-  check_hint: POST/PUT/PATCH 端点必须有参数校验注解或验证器，且校验失败有测试覆盖
-  description: 所有 POST/PUT/PATCH 端点必须使用 @Valid/@Validated 或自定义 Validator。校验失败的路径必须有测试用例覆盖。
-## BIE-03: 事务
-  id: BIE-03
-  name: 事务
-  severity: error
-  check_type: deterministic
-  check_hint: 事务中不得调用 HTTP/MQ/外部 SDK；违反须拆分边界或采用 outbox/补偿模式
-  description: 事务范围内禁止包含 HTTP 调用、消息队列发送、外部 SDK 调用。需要跨系统一致性时使用 outbox 模式或补偿事务。
-## BIE-04: 幂等
-  id: BIE-04
-  name: 幂等
-  severity: error
-  check_type: deterministic
-  check_hint: 支付、回调或写入操作必须有幂等证据（请求键/唯一约束/重复提交测试）
-  description: 涉及支付、回调、写入的接口必须有幂等保护。通过请求键（idempotency key）、数据库唯一约束或分布式锁实现，并提供重复提交测试用例。
-## BIE-05: 安全审计
-  id: BIE-05
-  name: 安全审计
-  severity: error
-  check_type: deterministic
-  check_hint: 敏感接口必须有权限校验、租户隔离和审计日志
-  description: 涉及敏感数据的接口必须实现权限校验（RBAC/ABAC）、多租户数据隔离、操作审计日志。缺少任一项视为 hard_fail。

package/templates/build//345/220/216/347/253/257/346/216/245/345/217/243/345/256/236/347/216/260.md DELETED Viewed

@@ -1,43 +0,0 @@
----
-id: ka-procedure-后端接口实现工作流
-kind: guidance
-title: 后端接口实现
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 后端接口
-  - Controller
-  - DTO
-  - API实现
-  - 数据写入
-extra:
-  name: backend-api-implementation
-  type: procedure
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-backend-implementation-contract
----
-## 步骤
-1. 确认 OpenAPI、数据库 migration、权限与状态流转基线。
-2. 定义请求 DTO、响应 DTO、字段校验、错误码和分页排序边界。
-3. 定义应用服务事务边界、幂等策略、并发控制和审计事件。
-4. 编码并执行单元、集成、权限、重复提交与契约一致性验证。
-5. 审查 finding 清零并提供验收证据后交付。
-## 工作包
-| 类别 | 需明确内容 | 证据 |
-|---|---|---|
-| 接口边界 | DTO、统一响应、错误码、分页 | OpenAPI/测试 |
-| 一致性 | 事务、幂等、并发、状态流转 | migration/集成测试 |
-| 安全 | 权限、租户、审计、隐私 | 越权测试/审计日志 |

package/templates/build//345/233/275/351/231/205/345/214/226.md DELETED Viewed

@@ -1,45 +0,0 @@
----
-id: ka-pattern-i18n-l10n
-kind: knowledge
-title: 国际化
-sync_policy: copy_to_project
-status: active
-extra:
-  name: i18n-l10n
-  scope:
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-frontend-pattern
----
-## 决策规则
-- 所有用户可见文案禁止硬编码，必须使用 i18n key（如 t('user.login.title')）
-- 日期格式必须按 locale 显示（中文 yyyy-MM-dd，英文 MM/dd/yyyy），禁止固定格式
-- 金额必须按 locale 格式化（符号位置、千位分隔符、小数位数）
-- 后端接口返回的錙误码必须映射为前端多语言提示，禁止直接展示后端錙误消息
-- 语言资源文件必须按模块拆分，禁止单一大文件（建议 pages/common/components 分目录）
-- 新增语言只需新增资源文件，不修改业务代码
-- 接口返回的业务数据（枚举、状态名）由后端提供多语言字段，前端不维护业务数据翻译
-- 所有用户可见文本必须通过 i18n 资源文件管理，禁止硬编码字符串
-- 日期/时间必须根据用户时区显示，禁止使用服务端固定时区
-- 数字/货币格式必须根据 locale 格式化（如 1,234.56 vs 1.234,56）
-- 文案翻译必须由专业翻译完成，禁止机器翻译直接上线
-- 多语言文案禁止拼装（如 "欢迎" + userName），应使用带占位符的完整模版
-## 验收项
-- [AC-01] 用户可见文案通过 i18n key 引用
-- [AC-02] 日期和金额按 locale 格式化
-- [AC-03] 錙误码映射为多语言提示
-- [AC-04] 资源文件按模块拆分
-- [AC-05] 无硬编码用户可见文本
-- [AC-06] 日期时间按时区显示
-- [AC-07] 数字货币按 locale 格式化
-- [AC-08] 无拼装多语言文案

package/templates/build//345/256/211/345/205/250/345/212/240/345/233/272/346/265/201/346/260/264/347/272/277.md DELETED Viewed

@@ -1,68 +0,0 @@
----
-id: ka-procedure-安全加固流水线
-kind: guidance
-title: 安全加固流水线
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 安全加固
-  - build
-  - 安全修复
-  - 漏洞修复
-  - 合规整改
-  - 安全检查
-  - 安全增强
-extra:
-  name: security-hardening-pipeline
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-privacy-boundary
----
-# 安全加固管线
-## 第1步：安全审计
-扫描现有代码和配置的安全漏洞（OWASP Top 10 维度）。检查认证授权机制的完整性。检查数据加密和脱敏策略。检查第三方依赖的已知漏洞。
-模版：安全审计.md
-产出保存到：docs/review/\*\*/*审查*.md
-工具：sf_analyze
-## 第2步：方案设计
-按风险等级（Critical/High/Medium/Low）排序修复优先级。针对每个漏洞设计修复方案。评估修复对现有功能的影响。确定合规要求（数据加密/审计日志/访问控制）。
-产出保存到：docs/architecture/01-架构设计文档.md
-## 第3步：安全修复
-按优先级逐个修复安全漏洞。每个修复后回归验证功能无影响。禁止降级安全等级来通过测试。
-工具：sf_work action=act
-## 第4步：验证验收
-重新扫描确认漏洞已修复。代码审查专注安全维度。学习记录（漏洞类型、修复模式、预防规则）。
-工具：sf_work action=verify, sf_gate
-## 第5步：深度安全扫描
-运行依赖漏洞扫描（npm audit / OWASP Dependency-Check），高危漏洞阻断构建。运行容器镜像扫描（Trivy / Snyk），检测基础镜像已知漏洞。检查生产环境配置（禁用 debug 模式、关闭 actuator 暴露端点、验证 HTTPS 强制）。
-## 检查点
-- [ ] 漏洞扫描报告已输出
-- [ ] 修复方案已评审
-- [ ] 验收扫描无高危漏洞
-- [ ] 依赖漏洞扫描无高危漏洞
-- [ ] 容器镜像扫描通过
-- [ ] 生产配置安全检查通过
-## 注意事项
-- 修复前必须评估对现有功能的影响，尤其是认证授权模块
-- 漏洞修复优先级：Critical > High > Medium > Low，Critical/High 必须在上线前修复
-- 误报的漏洞必须记录到白名单并定期复核

package/templates/build//345/256/211/345/205/250/345/256/241/346/237/245.md DELETED Viewed

@@ -1,154 +0,0 @@
----
-id: ka-review-rule-安全审查规则
-kind: guidance
-title: 安全审查
-triggers:
-  - 安全
-  - 注入
-  - XSS
-  - 越权
-  - 敏感信息
-sync_policy: copy_to_project
-status: active
-extra:
-  name: security-rules
-  type: constraint
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-generic-review
----
-## SEC-01: SQL 字符串拼接导致注入风险
-languages: [通用]
-pattern: /(SELECT|INSERT|UPDATE|DELETE)\b.*[\+${]/
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止使用字符串拼接构造 SQL，必须使用参数化查询（PreparedStatement / MyBatis #{}）
-evidence_required:
-  - "扫描结果：含 SQL 拼接的文件路径+行号"
-  - "修复确认：参数化查询替换证据"
-## SEC-02: innerHTML 赋值存在 XSS 风险
-languages: [通用]
-pattern: /\.innerHTML\s*=/
-severity: error
-check_type: deterministic
-scope: frontend
-description: 禁止使用 innerHTML 直接插入用户内容，必须使用 textContent 或 DOMPurify 净化
-evidence_required:
-  - "扫描结果：含 innerHTML 赋值的文件路径+行号"
-  - "修复确认：使用安全替代方案证据"
-## SEC-03: eval 或 Function 构造器执行动态代码
-languages: [通用]
-pattern: /\beval\s*\(|new\s+Function\s*\(/
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 禁止使用 eval() 和 new Function()，存在任意代码执行风险
-evidence_required:
-  - "扫描结果：含 eval/Function 的文件路径+行号"
-## SEC-04: 硬编码的密码/密钥/token
-languages: [通用]
-pattern: /password\s*=\s*["'][^"']+["']|secret[_-]?key\s*=\s*["'][^"']+["']|api[_-]?key\s*=\s*["'][^"']+["']/i
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 敏感凭证禁止硬编码在源码中，必须使用环境变量或密钥管理服务
-evidence_required:
-  - "扫描结果：含硬编码凭证的文件路径+行号"
-  - "修复确认：迁移到环境变量/密钥管理服务证据"
-## SEC-05: 日志中打印敏感信息
-languages: [通用]
-pattern: /log\.\w+\(.*(?:password|token|secret|身份证|idcard)/i
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止在日志中输出密码、token、身份证号等敏感字段，必须脱敏处理
-evidence_required:
-  - "扫描结果：含敏感信息日志的文件路径+行号"
-  - "修复确认：脱敏处理证据"
-## SEC-06: 未验证的外部重定向
-languages: [通用]
-pattern: /redirect\s*\(\s*(?:req|request|ctx)\.\w+/
-severity: warning
-check_type: deterministic
-scope: backend
-description: 重定向目标必须校验白名单域名，防止开放重定向攻击
-evidence_required:
-  - "扫描结果：含未验证重定向的文件路径+行号"
-## SEC-07: 路径遍历风险
-languages: [通用]
-pattern: /\.\.\/|\.\.\\/
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 文件路径操作必须校验和规范化，防止通过 ../ 遍历到非授权目录
-evidence_required:
-  - "扫描结果：含路径遍历风险的文件路径+行号"
-## SEC-08: 不安全的反序列化
-languages: [通用]
-pattern: /ObjectInputStream|unserialize|pickle\.load/
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止直接反序列化不可信数据，必须使用白名单校验或 JSON 替代方案
-evidence_required:
-  - "扫描结果：含不安全反序列化的文件路径+行号"
-## SEC-09: SSRF 服务端请求伪造
-languages: [java]
-pattern: /(?:HttpClient|RestTemplate|WebClient|OkHttp|URLConnection)\s*\(\s*(?:req|request|ctx|param)\./
-severity: error
-check_type: deterministic
-scope: backend
-description: 外部 URL 请求禁止直接使用用户输入，必须校验 IP/域名白名单，防止 SSRF 攻击
-evidence_required:
-  - "扫描结果：含 SSRF 风险的文件路径+行号"
-  - "修复确认：白名单校验证据"
-## SEC-10: CORS 配置过于宽松
-languages: [通用]
-pattern: /allowedOrigins\s*\(\s*"\*"\s*\)|Access-Control-Allow-Origin.*\*/
-severity: warning
-check_type: deterministic
-scope: backend
-description: CORS 配置禁止使用通配符 *，必须指定具体域名白名单
-evidence_required:
-  - "扫描结果：含宽松 CORS 配置的文件路径+行号"
-## SEC-11: 未启用 HTTPS 的 Cookie
-languages: [通用]
-pattern: /cookie.*(?:secure\s*:\s*false|httpOnly\s*:\s*false)/i
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 敏感 Cookie 必须设置 Secure 和 HttpOnly 标志
-evidence_required:
-  - "扫描结果：含不安全 Cookie 配置的文件路径+行号"
-## SEC-12: JWT 未校验签名算法
-languages: [通用]
-pattern: /JWT|jwt.*verify|jwt.*decode/
-severity: error
-check_type: deterministic
-scope: backend
-description: JWT 必须显式指定签名算法（如 HS256/RS256），禁止接受 none 算法
-evidence_required:
-  - "扫描结果：含 JWT 操作的文件路径+行号"
-  - "修复确认：显式指定签名算法证据"

package/templates/build//345/256/211/345/205/250/345/256/241/350/256/241.md DELETED Viewed

@@ -1,47 +0,0 @@
----
-id: ka-artifact_template-安全审计模版
-kind: artifact
-title: 安全审计
-sync_policy: copy_to_project
-status: active
-extra:
-  name: security-audit
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: artifact
-  domain: build
-  stage: build
-  owner_mechanism: mc-generic-artifact
----
-# 安全审计报告
-> **安全检查清单**：按 `build-gate.yaml` 执行 17 项安全门禁检查。
-## 1. 审计范围
-- 审计对象：
-- 审计时间：
-- 审计方法（静态扫描/动态测试/人工审查）：
-## 2. 漏洞清单
-| 编号 | 漏洞类型(OWASP) | 风险等级 | 影响范围 | 所在文件/接口 | 描述 |
-|------|----------------|---------|---------|-------------|------|
-## 3. 认证授权检查
-> 检查项详见 `build-gate.yaml` 认证授权类（7 项）
-## 4. 数据安全检查
-> 检查项详见 `build-gate.yaml` 数据安全类（8 项）
-## 5. 依赖安全检查
-> 检查项详见 `build-gate.yaml` 依赖安全类（2 项）
-## 6. 修复计划
-| 编号 | 修复方案 | 计划完成时间 | 责任人 |
-|------|---------|------------|--------|

package/templates/build//345/267/245/347/250/213/347/272/252/345/276/213.md DELETED Viewed

@@ -1,56 +0,0 @@
----
-id: ka-pattern-engineering-discipline
-kind: knowledge
-title: 工程纪律
-sync_policy: copy_to_project
-status: active
-extra:
-  name: engineering-discipline
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-general-pattern
----
-## 决策规则
-- 每行代码变更必须可追溯到任务卡片、设计决策或缺陷根因，禁止无来源的孤立变更
-- 解释不替代证据，"理论上修好了"不可接受，必须有执行证据
-- 推论不得冒充事实，必须显式区分已确认事实、推论和未知项
-- 未知项必须显式记录并跟进，禁止静默跳过
-- 规则只从真实缺陷中提取，禁止凭空捏造预防性规则
-- 复发缺陷必须产出至少一条规则或检查项（防复发闭环）
-- 设计必须提供可实施锚点（数据结构、接口定义、状态机），禁止只给抽象原则
-- 先验证后判断，禁止先下结论再找理由
-- 一级证据（运行时、真实部署、真实浏览器）优先于二级文档，禁止用 dry-run/静态分析/AI 摘要冒充运行时证据
-- 根因定位先于代码修改，禁止试错式补丁叠补丁
-- 自动修复循环上限 3 轮，同一错误 >=2 次触发回填，>=4 次记录为复发缺陷
-- 超出范围边界时立即上报，禁止自行决定扩范围
-- 编译告警必须全部处理，禁止忽略（设置 -Werror 或 CI 编译告警数阈值）
-- 代码提交前必须本地通过编译和单元测试，禁止把明显错误提交到远端
-- 依赖升级必须逐个进行并验证，禁止批量升级多个依赖
-- 线上配置变更必须通过配置中心（Nacos/Apollo），禁止直接修改配置文件重启
-- 每次发布必须有回滚方案和验证清单，不能"改了就上线"
-## 验收项
-- [AC-01] 代码变更可追溯到任务或缺陷
-- [AC-02] 推论与事实有显式区分标记
-- [AC-03] 缺陷修复有执行证据
-- [AC-04] 复发缺陷有防复发规则
-- [AC-05] 运行时证据替代 dry-run/AI 摘要
-- [AC-06] 自动修复循环未超过 3 轮
-- [AC-07] 超范围变更有上报记录
-- [AC-08] 编译告警全部处理
-- [AC-09] 提交前本地验证
-- [AC-10] 依赖逐个升级
-- [AC-11] 发布有回滚方案

package/templates/build//346/200/247/350/203/275/345/210/206/346/236/220.md DELETED Viewed

@@ -1,59 +0,0 @@
----
-id: ka-artifact_template-性能分析模版
-kind: artifact
-title: 性能分析
-sync_policy: copy_to_project
-status: active
-extra:
-  name: performance-analysis
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: artifact
-  domain: build
-  stage: build
-  owner_mechanism: mc-generic-artifact
----
-# 性能分析报告
-## 1. 性能概况
-| 指标 | 当前值 | 目标值 | 差距 |
-|------|--------|--------|------|
-| 接口响应时间(P99) | | | |
-| 页面首屏时间(FCP) | | | |
-| 数据库慢查询数 | | | |
-| 内存使用峰值 | | | |
-| CPU 使用峰值 | | | |
-## 2. 瓶颈定位
-### 2.1 数据库瓶颈
-- 慢查询 TOP 5（SQL、执行时间、扫描行数）
-- 缺失索引分析
-- 锁等待情况
-### 2.2 应用瓶颈
-- 热点方法（耗时 TOP 10）
-- 内存泄漏嫌疑
-- 线程池使用率
-### 2.3 前端瓶颈
-- 关键资源加载瀑布图
-- JavaScript 执行耗时
-- 渲染阻塞资源
-## 3. 优化方案
-| 优先级 | 瓶颈点 | 优化方案 | 预期收益 | 实施风险 |
-|--------|--------|---------|---------|---------|
-| P0 | | | | |
-| P1 | | | | |
-## 4. 测量方式
-- 基准测试方法：
-- 对比指标：
-- 验证环境：

package/templates/build//346/200/247/350/203/275/346/265/201/346/260/264/347/272/277.md DELETED Viewed

@@ -1,53 +0,0 @@
----
-id: ka-procedure-性能流水线
-kind: guidance
-title: 性能流水线
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 性能优化
-  - 慢查询
-  - 内存泄漏
-  - 首屏优化
-  - 性能问题
-  - 响应慢
-  - 超时优化
-  - 性能调优
-extra:
-  name: performance-pipeline
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-metric-governance
----
-# 性能优化管线
-## 第1步：性能定位
-量化性能指标（当前值/目标值）。定位瓶颈（慢查询/内存/CPU/网络/前端渲染）。收集证据（APM/慢查询日志/浏览器 DevTools/压测数据）。确定优化优先级（收益/成本排序）。
-模版：性能分析.md
-产出保存到：docs/analyze/*/01-性能分析.md
-工具：sf_analyze
-## 第2步：方案设计
-针对瓶颈设计优化方案（索引优化/SQL 重写/缓存/连接池/异步/分页/懒加载）。评估方案影响范围和风险。确定可衡量的优化目标。
-产出保存到：docs/architecture/01-架构设计文档.md
-## 第3步：优化实施
-按优先级逐步实施，每步优化后重新测量性能指标。禁止一次改多处再测量。保持优化前后功能行为一致。
-工具：sf_work action=act
-## 第4步：效果验证
-对比优化前后的性能指标。全量测试确认无功能回归。代码审查关注：优化是否引入新问题、缓存一致性、并发安全。
-工具：sf_work action=verify, sf_gate

package/templates/build//346/216/245/345/217/243/351/233/206/346/210/220/346/265/201/346/260/264/347/272/277.md DELETED Viewed

@@ -1,76 +0,0 @@
----
-id: ka-procedure-接口集成流水线
-kind: guidance
-title: 接口集成流水线
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 第三方接口对接
-  - 外部服务集成
-  - API集成
-  - 接口联调
-  - 服务对接
-  - 第三方API
-extra:
-  name: api-integration-pipeline
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-artifact-contract
----
-# 接口对接管线
-## 第1步：契约分析
-梳理第三方 API 能力清单（认证方式、请求/响应格式、错误码、限流配额、沙箱环境）。识别核心交互场景和数据映射关系。
-模版：接口对接方案.md
-产出保存到：docs/architecture/06-接口对接方案.md
-工具：（本步骤为任务入口，由 sf_task 统一路由）
-## 第2步：适配层实现
-实现统一的 API 客户端封装（超时、重试、熔断、日志）。定义请求/响应 DTO 映射。配置 Mock 方案（沙箱/本地 Mock）支持独立开发。错误码映射为业务异常。
-工具：sf_work action=act, sf_scaffold
-## 第3步：联调测试
-使用 Mock 环境验证基本流程。切换到沙箱环境验证真实交互。覆盖：正常流程、网络超时、服务端错误、限流响应、数据格式异常。
-模版：测试计划.md
-工具：sf_gate
-## 第3a步：沙箱→生产差异记录
-| 差异项 | 沙箱行为 | 生产预期 | 风险评估 | 验证计划 |
-|--------|---------|---------|---------|---------|
-| | | | | |
-## 第4步：验收上线
-代码审查重点：超时配置、错误处理、敏感信息、日志脱敏。生产配置确认（URL、密钥、限流参数）。监控告警配置（调用成功率、响应时间）。
-工具：sf_work action=verify, sf_gate
-## 第5步：契约管理与监控增强
-定义接口契约（OpenAPI/Swagger），明确请求/响应格式、错误码、版本号。编写接口 Mock 服务，前后端并行开发。接口变更必须更新文档并通知消费方，给予充足迁移时间。集成测试覆盖正常流 + 异常流（超时、错误响应、边界值）。接口上线后配置监控告警（响应时间 P99、错误率、调用量）。
-## 检查点
-- [ ] 第三方 API 能力清单已梳理
-- [ ] 适配层超时/重试/熔断已配置
-- [ ] 沙箱联调通过
-- [ ] 接口文档与实现一致
-- [ ] Mock 服务可用
-- [ ] 集成测试覆盖异常场景
-- [ ] 接口监控告警已配置
-## 注意事项
-- 第三方接口必须有降级方案（Mock/缓存/默认值），避免外部故障拖垮主流程
-- 外部接口调用必须设置超时（连接超时 + 读超时），禁止无限等待
-- 接口重试必须有退避策略和最大重试次数限制
-- 敏感数据传输必须加密（HTTPS + 敏感字段加密）