npm - soloforge - Versions diffs - 1.1.46 → 1.1.47 - Mend

soloforge 1.1.46 → 1.1.47

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (342) hide show

package/templates/verify//350/256/276/350/256/241/345/256/241/350/256/241.md DELETED Viewed

@@ -1,184 +0,0 @@
----
-id: ka-procedure-设计审计流程
-kind: guidance
-title: 设计审计
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 设计审计
-  - 详细设计审计
-  - 架构审计
-  - 设计审核
-  - 审核设计
-  - audit design
-  - design audit
-  - 接口审计
-extra:
-  name: audit-design-procedure
-  type: procedure
-  scope:
-    - backend
-    - frontend
-    - infrastructure
-  products:
-    - '*'
-  lifecycle_status: active
-  domain: verify
-  applicable_tech_stack:
-    - '*'
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-intent-expander
----
-# 设计审计流程
-> **wf-audit-design** 工作流的执行流程契约。
-> 适用场景: 用户对已有设计文档（架构/详细/API/数据库设计）做 6 维度审计，**不修改源文档**。
-> 关联工具: `sf_work action=verify` (input_artifacts 模式) / `sf_work action=act` (audit_design_prompt)。
----
-## 1. 触发条件
-### 1.1 用户意图识别
-满足以下任一条件进入审计工作流:
-- 意图包含关键词: `审计` / `审核设计` / `设计审计` / `设计审核` / `架构审计` / `详细设计审计` / `audit design`
-- 调用 `sf_work action=verify` 时显式传入 `input_artifacts` 参数
-### 1.2 前置条件
-- 用户必须指定至少一个 `input_artifacts` 条目（kind + path）
-- 引用的设计文档必须存在于磁盘
-- 路由层推断 `mutation_allowed = false`（审计严格只读）
----
-## 2. 6 维度审计清单
-每维度必须给出至少 1 条 finding，或显式标记 `no_issue_observed`。**未覆盖即失败**。
-### 维度 1: 跨文档一致性
-- 架构文档 / 详细设计 / API 设计 / 数据库设计 命名、边界、调用链是否一致
-- 同一概念是否在不同文档中使用不同名称
-- 接口契约（参数 / 返回 / 异常）在 API 文档与详细设计中是否完全一致
-- **引用审查规则：UCV-REV-01, UCV-REV-02**
-### 维度 2: OOD/SOLID 合规
-- 单一职责: 模块 / 类 / 函数边界是否清晰
-- 开闭原则: 扩展点是否通过抽象隔离
-- 依赖倒置: 高层模块是否依赖抽象而非具体实现
-- 命名 / 分层是否反映职责
-- **引用审查规则：SOLID-SRP, SOLID-LSP, SOLID-ISP, SOLID-DIP, SOLID-OCP**
-### 维度 3: 防孤岛设计
-- 新模块与现有系统的集成点是否明确
-- 是否定义了与上游（消费者）和下游（依赖）的契约
-- 跨团队 / 跨服务协作边界是否清晰
-- **引用审查规则：ARC-01, ARC-06**
-### 维度 4: 契约破坏性
-- 新设计是否破坏已有 API / 事件 / 数据契约
-- 版本兼容性: 是否有 deprecation 路径
-- 客户端 / 调用方升级成本是否评估
-- **引用审查规则：SEC-01~12, CON-01~10**
-### 维度 5: SQL/数据迁移回滚性
-- DDL 是否可回滚（DROP / ALTER 必须有 rollback 脚本）
-- 数据迁移是否可在中断后恢复
-- 是否定义了数据回滚检查点
-- 是否区分可逆 / 不可逆变更（DELETE 无回滚需特别标注）
-- **引用审查规则：MNT-05, ARC-07**
-### 维度 6: 索引/性能覆盖
-- 主链路查询是否有索引支撑
-- 是否评估了 N+1、全表扫描、热点行更新风险
-- 分页 / 排序字段是否有联合索引
-- **引用审查规则：PER-01~09**
----
-## 3. 严重度分级
-| 级别 | 含义 | 是否阻塞实施 |
-|------|------|--------------|
-| `error` | 设计错误 / 破坏性变更 / 数据丢失风险 | 是 |
-| `warning` | 建议修改，存在风险但不致命 | 否（建议修复） |
-| `info` | 供参考的改进建议 | 否（仅供参考） |
----
-## 4. 输出契约 (audit_report)
-```typescript
-interface AuditReport {
-  dimensions: Array<{
-    name: string;                       // "跨文档一致性" | "OOD/SOLID" | ...
-    findings: Array<{
-      severity: "error" | "warning" | "info";
-      location: string;                 // 文档路径 + 章节/行号
-      issue_zh: string;                 // 中文问题描述
-      recommendation_zh: string;        // 中文修复建议
-    }> | Array<{ no_issue_observed: true; note_zh: string }>;
-  }>;
-  overall_status: "blocked" | "passed";
-  blocking_findings_count: number;      // severity=error 的总数
-  input_artifacts: Array<{ kind: string; path: string }>;
-  audited_at: string;                   // ISO 8601
-}
-```
-### 4.1 整体状态判定
-- `blocking_findings_count > 0` → `overall_status = "blocked"`
-- `blocking_findings_count = 0` → `overall_status = "passed"`
----
-## 5. 流程步骤
-```text
-[用户] sf_task (intent: "开始详细设计审计", input_artifacts: [...])
-   ↓
-[路由] 识别 audit action → workflow_intent = "audit_design"
-   ↓
-[路由] EXTENSION_WORKFLOW_MAP.audit_design → route=analysis, mutation=false
-   ↓
-[扩展] 加载 audit_design_prompt 模版 + 关联知识（review_rule / pattern）
-   ↓
-[执行] 6 维度审计，每维度遍历 input_artifacts 中相关章节
-   ↓
-[输出] audit_report + blocking_findings_count
-   ↓
-[结束] overall_status="blocked" 时建议用户先修复 error，再进入实施
-```
----
-## 6. 关键约束
-1. **不修改源文档**: 审计产物独立输出，源设计文档保持只读
-2. **finding 必须可追溯**: 每条 finding 必须有 location 字段引用具体文档路径 + 章节 / 行号
-3. **不臆断**: 文档中未声明的约束不得作为 finding 依据
-4. **不漏维度**: 6 维度全部覆盖，无 finding 时必须显式标记 `no_issue_observed`
-5. **中文输出**: issue_zh / recommendation_zh / note_zh 字段必须为中文
----
-## 7. 关联资产
-- **Prompt 模版**: `audit_design_prompt` (`src/engine/pipeline/intent_expander/templates.ts`)
-- **工作流契约**: `wf-audit-design` (`src/engine/workflow/workflow_contract_registry.ts`)
-- **ARTIFACT_ALIASES**: `design_doc` / `detailed_design` / `api_spec` / `database_design`
-- **Pipeline hint**: `code-review`（复用代码审查流程的规则与模式资产）
----
-## 8. 与代码审查流程的区别
-| 维度 | 代码审查 (code_review) | 设计审计 (audit_design) |
-|------|------------------------|-------------------------|
-| 对象 | 源代码 / diff | 设计文档（Markdown） |
-| 输入 | changed_files + file_contents | input_artifacts (kind + path) |
-| 触发 | "审查代码" / sf_work action=verify 无 input_artifacts | "审计设计" / sf_work action=verify 带 input_artifacts |
-| 维度 | 编码规范 / BUG / 安全 / 性能 | 跨文档一致性 / OOD / 防孤岛 / 契约 / SQL / 索引 |
-| 输出 | review_report | audit_report |
-| 修改建议 | 直接改代码 | 修改设计文档后重新审计 |

package/templates/verify//350/257/225/350/277/220/350/241/214/347/206/224/346/226/255.md DELETED Viewed

@@ -1,74 +0,0 @@
----
-id: ka-review-rule-试运行熔断规则
-kind: guidance
-title: 试运行熔断
-sync_policy: copy_to_project
-status: active
-triggers:
-  - operate
-  - 熔断
-  - circuit breaker
-  - 回退判定
-extra:
-  name: trial-run-circuit-breaker
-  type: constraint
-  scope:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-existing-system-review
----
-# 试运行熔断判定规则
-## CB-ERR-01: 接口错误率超阈值
-  id: CB-ERR-01
-  name: 接口错误率超阈值
-  severity: error
-  check_type: deterministic
-  evidence_required: 监控面板错误率截图（5 分钟窗口）
-  rule: 接口错误率超过 5%（5 分钟窗口）或错误率相比老逻辑增加超过 2 倍时触发熔断
-## CB-LAT-01: P99 延迟超阈值
-  id: CB-LAT-01
-  name: P99 延迟超阈值
-  severity: error
-  check_type: deterministic
-  evidence_required: 监控面板 P99 延迟趋势图
-  rule: P99 延迟超过老逻辑的 3 倍或 P99 延迟超过 5 秒时触发熔断
-## CB-BIZ-01: 核心业务流程成功率不足
-  id: CB-BIZ-01
-  name: 核心业务流程成功率不足
-  severity: error
-  check_type: deterministic
-  evidence_required: 核心业务流程成功率统计报告
-  rule: 核心业务流程成功率低于 95% 时触发熔断
-## CB-BIZ-02: 数据一致性校验失败
-  id: CB-BIZ-02
-  name: 数据一致性校验失败
-  severity: error
-  check_type: deterministic
-  evidence_required: 数据一致性校验结果（新老逻辑比对）
-  rule: 数据一致性校验失败次数 > 0（零容忍），立即触发熔断
-## CB-SYS-01: 系统资源超限
-  id: CB-SYS-01
-  name: 系统资源超限
-  severity: warning
-  check_type: deterministic
-  evidence_required: 系统资源监控面板截图
-  rule: 内存使用超过 90%、CPU 使用超过 80%（持续 5 分钟）、或数据库连接池耗尽时发出告警
-## CB-ACTION-01: 熔断动作执行
-  id: CB-ACTION-01
-  name: 熔断动作执行
-  severity: error
-  check_type: deterministic
-  evidence_required: 熔断执行日志（开关读取→切换→记录→回退时间线）
-  rule: 熔断触发后必须执行：1. 读取一键开关配置 → 2. 切换到回退目标（老逻辑）→ 3. 记录熔断时间和触发指标 → 4. 回退到编码阶段修复

package/templates/verify//350/276/223/345/205/245/346/240/241/351/252/214.md DELETED Viewed

@@ -1,44 +0,0 @@
----
-id: ka-pattern-input-validation
-kind: knowledge
-title: 输入校验
-sync_policy: copy_to_project
-status: active
-extra:
-  name: input-validation
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-backend-pattern
----
-## 决策规则
-- 必须使用 Bean Validation 注解（@NotBlank、@Size、@Min 等）声明式校验
-- 禁止手写 if-else 逐字段校验（跨字段业务规则除外）
-- 创建和更新必须使用分组校验（CreateGroup/UpdateGroup）
-- 校验失败必须返回 400 + 具体字段名和错误消息
-- 后端必须校验，禁止仅依赖前端校验
-- 数组/集合参数必须校验非空且限制最大长度（防止批量攻击）
-- 枚举类型参数必须校验是否为合法枚举值，禁止直接信任前端传入
-- 日期参数必须指定格式（@DateTimeFormat）并校验合理性（不能是未来日期等）
-- 富文本输入必须使用白名单标签过滤（如 jsoup Whitelist），禁止直接存储原始 HTML
-- 正则表达式校验必须限制输入长度和复杂度，防止 ReDoS 攻击
-- URL 参数必须校验协议白名单（仅允许 http/https），防止 SSRF
-## 验收项
-- [AC-01] 所有 DTO 字段有校验注解
-- [AC-02] 创建/更新使用分组校验
-- [AC-03] 校验失败返回 400 + 字段详情
-- [AC-04] 无手写 if-else 参数校验
-- [AC-05] 集合参数有长度限制
-- [AC-06] 枚举参数校验合法值
-- [AC-07] 富文本经过白名单过滤
-- [AC-08] URL 参数校验协议白名单

package/templates/verify//351/203/250/347/275/262/345/217/221/345/270/203.md DELETED Viewed

@@ -1,101 +0,0 @@
----
-id: ka-procedure-部署发布流程
-kind: guidance
-title: 部署发布
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 发布
-  - 上线
-  - 部署
-  - release
-  - 发版
-  - 版本发布
-  - 灰度
-  - 发布上线
-  - 生产部署
-extra:
-  name: deploy-release
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-delivery-gate
----
-## 适用场景
-新功能上线、Bug 修复发版、生产环境部署。适用于经过测试验证后的正式发布流程。
-## 步骤
-1. 确认所有测试通过（单元测试 + 集成测试），检查 CI 绿灯
-2. 更新版本号（package.json / pom.xml），生成 CHANGELOG
-3. 合并代码到 release/main 分支，打 Git tag（v{version}）
-4. 触发 CI/CD 构建，确认构建产物生成成功
-5. 在预发环境（staging）验证核心功能流程
-6. 执行数据库迁移（如有 DDL 变更，先备份再执行）
-7. 部署到生产环境（滚动更新或蓝绿部署）
-8. 验证生产环境：健康检查、核心接口冒烟测试
-9. 监控告警观察 30 分钟，确认无异常
-10. 通知团队发布完成，更新发布记录
-11. 部署前确认回滚方案（回滚命令、数据库回滚脚本、配置回滚点）
-12. 灰度/金丝雀发布：先部署到 10% 实例，观察 5 分钟监控指标
-13. 确认监控指标正常后，逐步扩大到 50% → 100%
-14. 部署完成后验证关键业务流程（冒烟测试），确认功能正常
-15. 部署后观察 30 分钟监控（错误率、响应时间、资源使用），异常则触发回滚
-## 检查点
-- [ ] CI 全部通过，无跳过的测试
-- [ ] 预发环境验证通过
-- [ ] 数据库变更已执行且可回滚
-- [ ] 生产健康检查通过
-- [ ] 回滚方案已确认
-- [ ] 灰度发布监控指标正常
-- [ ] 冒烟测试通过
-- [ ] 部署后 30 分钟监控正常
-## 注意事项
-- DDL 变更必须向前兼容（新列可为空或有默认值）
-- 发布后保留回滚方案至少 24 小时
-- 避免周五下午发布（无人在岗处理问题）
-- 发布窗口应选择业务低峰期（通常 22:00-06:00）
-- 数据库迁移脚本必须向前兼容，回滚时不执行 DDL 回退
-- 发布后必须通知相关团队（运营、客服），提前告知已识别的影响范围和观察窗口
-## AI Agent 权限边界
-| 权限层级 | 允许 | 禁止 |
-|---------|------|------|
-| data-plane | 执行构建、运行测试、执行 migration、冒烟测试、收集监控数据 | 自主决定是否回滚 |
-| control-plane | 建议 risk score、提供回滚建议 | 自主修改部署策略/灰度比例/跳过审批门禁 |
-回滚决策必须经人类审批（control-plane），AI 可建议但不可自主执行回滚。
-## 自动回滚触发器
-| 信号源 | 触发条件 | 冷却期 |
-|--------|---------|--------|
-| 错误率 | 5xx 率 > 2× 基线 | 5 分钟 |
-| 延迟 | P99 > 1.5× 基线 | 5 分钟 |
-| 内存 | 分配速率 > 3× 基线（10 分钟内） | 5 分钟 |
-| 新错误模式 | 日志中出现部署前不存在的错误 | 3 分钟 |
-| 健康检查 | Pod 重启 / OOMKill / 探针失败 | 立即 |
-**防级联回滚**：
-- 最大自动回滚频率：1 次/15 分钟
-- 连续 2 次回滚后升级为人工处理
-- 所有 AI 触发的回滚操作须记录审计日志
-## AI 部署特有风险
-- AI 可从测试覆盖率缺口获得假性信心 → 部署验证须包含测试未覆盖的关键路径
-- 历史成功不保证未来安全 → 新类型变更须额外审查
-- AI 缺乏业务上下文（营销活动/冻结窗口/基础设施变更）→ 部署窗口须人工确认
-- AI 可静默退化质量（优化可观测指标但损害长期可维护性）→ 部署后审查须检查代码可维护性

package/templates/verify//351/224/231/350/257/257/345/244/204/347/220/206.md DELETED Viewed

@@ -1,46 +0,0 @@
----
-id: ka-pattern-error-handling
-kind: knowledge
-title: 错误处理
-sync_policy: copy_to_project
-status: active
-extra:
-  name: error-handling
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-backend-pattern
----
-## 决策规则
-- 必须使用 @ControllerAdvice 全局异常处理器，禁止散落的 try-catch 吞异常
-- 业务异常必须使用自定义 BusinessException 携带错误码和消息
-- 禁止将异常堆栈信息返回给前端
-- 系统异常必须记录 ERROR 日志并返回通用提示，不暴露内部细节
-- 参数校验失败必须返回 HTTP 400
-- 每个用户可见写操作必须定义失败反馈：提示文案、重试建议、是否可恢复
-- 权限失败、校验失败、资源不存在、冲突失败、系统异常必须有区别化处理
-- 前端提示与接口错误码必须可回链，不得一个写"无权限"、一个写"操作失败"
-- 若失败后需要用户补动作（刷新、重新登录、补齐字段、稍后重试），必须写明
-- 全局异常处理器必须区分业务异常（可预期）和系统异常（不可预期），分别返回不同错误码
-- 错误响应必须包含 traceId，便于日志追踪关联
-- 前端必须对每个 API 调用做错误处理（toast/notification），禁止静默失败
-## 验收项
-- [AC-01] 所有异常经全局处理器返回
-- [AC-02] 业务异常返回具体错误码和消息
-- [AC-03] 系统异常不暴露堆栈给前端
-- [AC-04] 校验失败返回 400 + 字段错误详情
-- [AC-05] 用户可见写操作有失败反馈（提示+重试建议）
-- [AC-06] 前端提示与后端错误码可回链
-- [AC-07] 业务异常与系统异常分别处理
-- [AC-08] 错误响应包含 traceId
-- [AC-09] 前端 API 调用有错误提示

package/templates/verify//351/224/231/350/257/257/350/276/271/347/225/214.md DELETED Viewed

@@ -1,38 +0,0 @@
----
-id: ka-pattern-error-boundary
-kind: knowledge
-title: 错误边界
-sync_policy: copy_to_project
-status: active
-extra:
-  name: error-boundary
-  scope:
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-frontend-pattern
----
-## 决策规则
-- React 应用必须在路由级别包裹 ErrorBoundary，防止单个组件崩溃导致整个页面白屏
-- 必须提供全局未捕获异常处理（window.onerror / window.addEventListener('error')）
-- ErrorBoundary 的 fallback UI 必须包含：错误提示、重试按钮、返回首页链接
-- 异步请求错误（网络、超时、服务端）统一在 axios 拦截器处理，禁止每个组件单独 try-catch
-- Promise 未捕获 rejection 必须有全局监听（unhandledrejection event）
-- 错误信息禁止暴露技术细节给用户（堆栈、SQL、内部 IP）
-- 生产环境必须上报错误到监控服务（Sentry / 自建），禁止只在控制台打印
-- loading / error / empty 三态必须完整处理，禁止只处理成功状态
-## 验收项
-- [AC-01] 路由级别有 ErrorBoundary 包裹
-- [AC-02] fallback UI 有重试和返回首页
-- [AC-03] 异步错误统一在拦截器处理
-- [AC-04] loading/error/empty 三态完整
-- [AC-05] 生产错误上报到监控服务

package/templates/verify//351/232/220/347/247/201/345/256/241/346/237/245.md DELETED Viewed

@@ -1,37 +0,0 @@
----
-id: ka-checklist-隐私审查清单
-kind: artifact
-title: 隐私审查
-sync_policy: copy_to_project
-status: active
-extra:
-  name: privacy-review
-  type: artifact
-  scope:
-    - '*'
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-privacy-boundary
----
-# 隐私审查清单
-## 必检项
-- [ ] 所有写入内容经过密钥扫描
-- [ ] 无 .env 值出现在 prompt/知识中
-- [ ] RedactionRecord 已生成
-- [ ] DataAccessGrant 已配置
-- [ ] PII 数据已脱敏或排除
-## 禁止项
-- [ ] 明文密钥出现在任何输出中
-- [ ] 未脱敏的 PII 数据
-- [ ] 无 DataAccessGrant 的数据访问

package/templates/verify//351/252/214/350/257/201.md DELETED Viewed

@@ -1,38 +0,0 @@
----
-id: ka-checklist-验证验收清单
-kind: artifact
-title: 验证
-sync_policy: copy_to_project
-status: active
-extra:
-  name: verification-acceptance
-  type: artifact
-  scope:
-    - '*'
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain: verify
-  verification_layer: L2
-  stage: verify
-  owner_mechanism: mc-verifier
----
-# 验证验收清单
-## 必检项
-- [ ] VerifyResult 已生成并保存到 task_context
-- [ ] evidence 包含至少 E1 级别证据
-- [ ] build_passed 和 tests_passed 字段已填充
-- [ ] coverage 数据已收集
-- [ ] 验证策略匹配 execution_shape
-- [ ] 验证失败时触发 repair_reverify
-## 禁止项
-- [ ] 验证结果未保存就标记 done
-- [ ] single_artifact 使用完整 build+test
-- [ ] 无 evidence 的通过结果

package/templates/verify//351/252/214/350/257/201/350/201/232/345/220/210/346/243/200/346/237/245.md DELETED Viewed

@@ -1,22 +0,0 @@
----
-id: verify-aggregate-checks
-kind: guidance
-title: 验证聚合检查
-triggers:
-  - 验证
-  - 测试
-  - 回归
-  - 覆盖率
-sync_policy: engine_only
-status: active
-extra:
-  type: constraint
-  scope:
-    - '*'
-  stage: verify
-  owner_mechanism: mc-stage-gate-engine
----
-# verify 阶段聚合检查
-收容无单一资产归属的 stage 级 check（如编译/测试/部署证据等）。