npm - soloforge - Versions diffs - 1.1.46 → 1.1.48 - Mend

soloforge 1.1.46 → 1.1.48

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (451) hide show

package/templates/build//345/256/211/345/205/250/345/256/241/346/237/245.md DELETED Viewed

@@ -1,154 +0,0 @@
----
-id: ka-review-rule-安全审查规则
-kind: guidance
-title: 安全审查
-triggers:
-  - 安全
-  - 注入
-  - XSS
-  - 越权
-  - 敏感信息
-sync_policy: copy_to_project
-status: active
-extra:
-  name: security-rules
-  type: constraint
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-generic-review
----
-## SEC-01: SQL 字符串拼接导致注入风险
-languages: [通用]
-pattern: /(SELECT|INSERT|UPDATE|DELETE)\b.*[\+${]/
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止使用字符串拼接构造 SQL，必须使用参数化查询（PreparedStatement / MyBatis #{}）
-evidence_required:
-  - "扫描结果：含 SQL 拼接的文件路径+行号"
-  - "修复确认：参数化查询替换证据"
-## SEC-02: innerHTML 赋值存在 XSS 风险
-languages: [通用]
-pattern: /\.innerHTML\s*=/
-severity: error
-check_type: deterministic
-scope: frontend
-description: 禁止使用 innerHTML 直接插入用户内容，必须使用 textContent 或 DOMPurify 净化
-evidence_required:
-  - "扫描结果：含 innerHTML 赋值的文件路径+行号"
-  - "修复确认：使用安全替代方案证据"
-## SEC-03: eval 或 Function 构造器执行动态代码
-languages: [通用]
-pattern: /\beval\s*\(|new\s+Function\s*\(/
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 禁止使用 eval() 和 new Function()，存在任意代码执行风险
-evidence_required:
-  - "扫描结果：含 eval/Function 的文件路径+行号"
-## SEC-04: 硬编码的密码/密钥/token
-languages: [通用]
-pattern: /password\s*=\s*["'][^"']+["']|secret[_-]?key\s*=\s*["'][^"']+["']|api[_-]?key\s*=\s*["'][^"']+["']/i
-severity: error
-check_type: deterministic
-scope: [backend, frontend]
-description: 敏感凭证禁止硬编码在源码中，必须使用环境变量或密钥管理服务
-evidence_required:
-  - "扫描结果：含硬编码凭证的文件路径+行号"
-  - "修复确认：迁移到环境变量/密钥管理服务证据"
-## SEC-05: 日志中打印敏感信息
-languages: [通用]
-pattern: /log\.\w+\(.*(?:password|token|secret|身份证|idcard)/i
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止在日志中输出密码、token、身份证号等敏感字段，必须脱敏处理
-evidence_required:
-  - "扫描结果：含敏感信息日志的文件路径+行号"
-  - "修复确认：脱敏处理证据"
-## SEC-06: 未验证的外部重定向
-languages: [通用]
-pattern: /redirect\s*\(\s*(?:req|request|ctx)\.\w+/
-severity: warning
-check_type: deterministic
-scope: backend
-description: 重定向目标必须校验白名单域名，防止开放重定向攻击
-evidence_required:
-  - "扫描结果：含未验证重定向的文件路径+行号"
-## SEC-07: 路径遍历风险
-languages: [通用]
-pattern: /\.\.\/|\.\.\\/
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 文件路径操作必须校验和规范化，防止通过 ../ 遍历到非授权目录
-evidence_required:
-  - "扫描结果：含路径遍历风险的文件路径+行号"
-## SEC-08: 不安全的反序列化
-languages: [通用]
-pattern: /ObjectInputStream|unserialize|pickle\.load/
-severity: error
-check_type: deterministic
-scope: backend
-description: 禁止直接反序列化不可信数据，必须使用白名单校验或 JSON 替代方案
-evidence_required:
-  - "扫描结果：含不安全反序列化的文件路径+行号"
-## SEC-09: SSRF 服务端请求伪造
-languages: [java]
-pattern: /(?:HttpClient|RestTemplate|WebClient|OkHttp|URLConnection)\s*\(\s*(?:req|request|ctx|param)\./
-severity: error
-check_type: deterministic
-scope: backend
-description: 外部 URL 请求禁止直接使用用户输入，必须校验 IP/域名白名单，防止 SSRF 攻击
-evidence_required:
-  - "扫描结果：含 SSRF 风险的文件路径+行号"
-  - "修复确认：白名单校验证据"
-## SEC-10: CORS 配置过于宽松
-languages: [通用]
-pattern: /allowedOrigins\s*\(\s*"\*"\s*\)|Access-Control-Allow-Origin.*\*/
-severity: warning
-check_type: deterministic
-scope: backend
-description: CORS 配置禁止使用通配符 *，必须指定具体域名白名单
-evidence_required:
-  - "扫描结果：含宽松 CORS 配置的文件路径+行号"
-## SEC-11: 未启用 HTTPS 的 Cookie
-languages: [通用]
-pattern: /cookie.*(?:secure\s*:\s*false|httpOnly\s*:\s*false)/i
-severity: warning
-check_type: deterministic
-scope: [backend, frontend]
-description: 敏感 Cookie 必须设置 Secure 和 HttpOnly 标志
-evidence_required:
-  - "扫描结果：含不安全 Cookie 配置的文件路径+行号"
-## SEC-12: JWT 未校验签名算法
-languages: [通用]
-pattern: /JWT|jwt.*verify|jwt.*decode/
-severity: error
-check_type: deterministic
-scope: backend
-description: JWT 必须显式指定签名算法（如 HS256/RS256），禁止接受 none 算法
-evidence_required:
-  - "扫描结果：含 JWT 操作的文件路径+行号"
-  - "修复确认：显式指定签名算法证据"

package/templates/build//345/256/211/345/205/250/345/256/241/350/256/241.md DELETED Viewed

@@ -1,47 +0,0 @@
----
-id: ka-artifact_template-安全审计模版
-kind: artifact
-title: 安全审计
-sync_policy: copy_to_project
-status: active
-extra:
-  name: security-audit
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: artifact
-  domain: build
-  stage: build
-  owner_mechanism: mc-generic-artifact
----
-# 安全审计报告
-> **安全检查清单**：按 `build-gate.yaml` 执行 17 项安全门禁检查。
-## 1. 审计范围
-- 审计对象：
-- 审计时间：
-- 审计方法（静态扫描/动态测试/人工审查）：
-## 2. 漏洞清单
-| 编号 | 漏洞类型(OWASP) | 风险等级 | 影响范围 | 所在文件/接口 | 描述 |
-|------|----------------|---------|---------|-------------|------|
-## 3. 认证授权检查
-> 检查项详见 `build-gate.yaml` 认证授权类（7 项）
-## 4. 数据安全检查
-> 检查项详见 `build-gate.yaml` 数据安全类（8 项）
-## 5. 依赖安全检查
-> 检查项详见 `build-gate.yaml` 依赖安全类（2 项）
-## 6. 修复计划
-| 编号 | 修复方案 | 计划完成时间 | 责任人 |
-|------|---------|------------|--------|

package/templates/build//345/267/245/347/250/213/347/272/252/345/276/213.md DELETED Viewed

@@ -1,56 +0,0 @@
----
-id: ka-pattern-engineering-discipline
-kind: knowledge
-title: 工程纪律
-sync_policy: copy_to_project
-status: active
-extra:
-  name: engineering-discipline
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-general-pattern
----
-## 决策规则
-- 每行代码变更必须可追溯到任务卡片、设计决策或缺陷根因，禁止无来源的孤立变更
-- 解释不替代证据，"理论上修好了"不可接受，必须有执行证据
-- 推论不得冒充事实，必须显式区分已确认事实、推论和未知项
-- 未知项必须显式记录并跟进，禁止静默跳过
-- 规则只从真实缺陷中提取，禁止凭空捏造预防性规则
-- 复发缺陷必须产出至少一条规则或检查项（防复发闭环）
-- 设计必须提供可实施锚点（数据结构、接口定义、状态机），禁止只给抽象原则
-- 先验证后判断，禁止先下结论再找理由
-- 一级证据（运行时、真实部署、真实浏览器）优先于二级文档，禁止用 dry-run/静态分析/AI 摘要冒充运行时证据
-- 根因定位先于代码修改，禁止试错式补丁叠补丁
-- 自动修复循环上限 3 轮，同一错误 >=2 次触发回填，>=4 次记录为复发缺陷
-- 超出范围边界时立即上报，禁止自行决定扩范围
-- 编译告警必须全部处理，禁止忽略（设置 -Werror 或 CI 编译告警数阈值）
-- 代码提交前必须本地通过编译和单元测试，禁止把明显错误提交到远端
-- 依赖升级必须逐个进行并验证，禁止批量升级多个依赖
-- 线上配置变更必须通过配置中心（Nacos/Apollo），禁止直接修改配置文件重启
-- 每次发布必须有回滚方案和验证清单，不能"改了就上线"
-## 验收项
-- [AC-01] 代码变更可追溯到任务或缺陷
-- [AC-02] 推论与事实有显式区分标记
-- [AC-03] 缺陷修复有执行证据
-- [AC-04] 复发缺陷有防复发规则
-- [AC-05] 运行时证据替代 dry-run/AI 摘要
-- [AC-06] 自动修复循环未超过 3 轮
-- [AC-07] 超范围变更有上报记录
-- [AC-08] 编译告警全部处理
-- [AC-09] 提交前本地验证
-- [AC-10] 依赖逐个升级
-- [AC-11] 发布有回滚方案

package/templates/build//346/200/247/350/203/275/345/210/206/346/236/220.md DELETED Viewed

@@ -1,59 +0,0 @@
----
-id: ka-artifact_template-性能分析模版
-kind: artifact
-title: 性能分析
-sync_policy: copy_to_project
-status: active
-extra:
-  name: performance-analysis
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: artifact
-  domain: build
-  stage: build
-  owner_mechanism: mc-generic-artifact
----
-# 性能分析报告
-## 1. 性能概况
-| 指标 | 当前值 | 目标值 | 差距 |
-|------|--------|--------|------|
-| 接口响应时间(P99) | | | |
-| 页面首屏时间(FCP) | | | |
-| 数据库慢查询数 | | | |
-| 内存使用峰值 | | | |
-| CPU 使用峰值 | | | |
-## 2. 瓶颈定位
-### 2.1 数据库瓶颈
-- 慢查询 TOP 5（SQL、执行时间、扫描行数）
-- 缺失索引分析
-- 锁等待情况
-### 2.2 应用瓶颈
-- 热点方法（耗时 TOP 10）
-- 内存泄漏嫌疑
-- 线程池使用率
-### 2.3 前端瓶颈
-- 关键资源加载瀑布图
-- JavaScript 执行耗时
-- 渲染阻塞资源
-## 3. 优化方案
-| 优先级 | 瓶颈点 | 优化方案 | 预期收益 | 实施风险 |
-|--------|--------|---------|---------|---------|
-| P0 | | | | |
-| P1 | | | | |
-## 4. 测量方式
-- 基准测试方法：
-- 对比指标：
-- 验证环境：

package/templates/build//346/200/247/350/203/275/346/265/201/346/260/264/347/272/277.md DELETED Viewed

@@ -1,53 +0,0 @@
----
-id: ka-procedure-性能流水线
-kind: guidance
-title: 性能流水线
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 性能优化
-  - 慢查询
-  - 内存泄漏
-  - 首屏优化
-  - 性能问题
-  - 响应慢
-  - 超时优化
-  - 性能调优
-extra:
-  name: performance-pipeline
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-metric-governance
----
-# 性能优化管线
-## 第1步：性能定位
-量化性能指标（当前值/目标值）。定位瓶颈（慢查询/内存/CPU/网络/前端渲染）。收集证据（APM/慢查询日志/浏览器 DevTools/压测数据）。确定优化优先级（收益/成本排序）。
-模版：性能分析.md
-产出保存到：docs/analyze/*/01-性能分析.md
-工具：sf_analyze
-## 第2步：方案设计
-针对瓶颈设计优化方案（索引优化/SQL 重写/缓存/连接池/异步/分页/懒加载）。评估方案影响范围和风险。确定可衡量的优化目标。
-产出保存到：docs/architecture/01-架构设计文档.md
-## 第3步：优化实施
-按优先级逐步实施，每步优化后重新测量性能指标。禁止一次改多处再测量。保持优化前后功能行为一致。
-工具：sf_work action=act
-## 第4步：效果验证
-对比优化前后的性能指标。全量测试确认无功能回归。代码审查关注：优化是否引入新问题、缓存一致性、并发安全。
-工具：sf_work action=verify, sf_gate

package/templates/build//346/216/245/345/217/243/351/233/206/346/210/220/346/265/201/346/260/264/347/272/277.md DELETED Viewed

@@ -1,76 +0,0 @@
----
-id: ka-procedure-接口集成流水线
-kind: guidance
-title: 接口集成流水线
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 第三方接口对接
-  - 外部服务集成
-  - API集成
-  - 接口联调
-  - 服务对接
-  - 第三方API
-extra:
-  name: api-integration-pipeline
-  type: procedure
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.2.0
-  last_reviewed: '2026-06-04'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-artifact-contract
----
-# 接口对接管线
-## 第1步：契约分析
-梳理第三方 API 能力清单（认证方式、请求/响应格式、错误码、限流配额、沙箱环境）。识别核心交互场景和数据映射关系。
-模版：接口对接方案.md
-产出保存到：docs/architecture/06-接口对接方案.md
-工具：（本步骤为任务入口，由 sf_task 统一路由）
-## 第2步：适配层实现
-实现统一的 API 客户端封装（超时、重试、熔断、日志）。定义请求/响应 DTO 映射。配置 Mock 方案（沙箱/本地 Mock）支持独立开发。错误码映射为业务异常。
-工具：sf_work action=act, sf_scaffold
-## 第3步：联调测试
-使用 Mock 环境验证基本流程。切换到沙箱环境验证真实交互。覆盖：正常流程、网络超时、服务端错误、限流响应、数据格式异常。
-模版：测试计划.md
-工具：sf_gate
-## 第3a步：沙箱→生产差异记录
-| 差异项 | 沙箱行为 | 生产预期 | 风险评估 | 验证计划 |
-|--------|---------|---------|---------|---------|
-| | | | | |
-## 第4步：验收上线
-代码审查重点：超时配置、错误处理、敏感信息、日志脱敏。生产配置确认（URL、密钥、限流参数）。监控告警配置（调用成功率、响应时间）。
-工具：sf_work action=verify, sf_gate
-## 第5步：契约管理与监控增强
-定义接口契约（OpenAPI/Swagger），明确请求/响应格式、错误码、版本号。编写接口 Mock 服务，前后端并行开发。接口变更必须更新文档并通知消费方，给予充足迁移时间。集成测试覆盖正常流 + 异常流（超时、错误响应、边界值）。接口上线后配置监控告警（响应时间 P99、错误率、调用量）。
-## 检查点
-- [ ] 第三方 API 能力清单已梳理
-- [ ] 适配层超时/重试/熔断已配置
-- [ ] 沙箱联调通过
-- [ ] 接口文档与实现一致
-- [ ] Mock 服务可用
-- [ ] 集成测试覆盖异常场景
-- [ ] 接口监控告警已配置
-## 注意事项
-- 第三方接口必须有降级方案（Mock/缓存/默认值），避免外部故障拖垮主流程
-- 外部接口调用必须设置超时（连接超时 + 读超时），禁止无限等待
-- 接口重试必须有退避策略和最大重试次数限制
-- 敏感数据传输必须加密（HTTPS + 敏感字段加密）

package/templates/build//346/225/260/346/215/256/345/272/223/350/277/201/347/247/273.md DELETED Viewed

@@ -1,63 +0,0 @@
----
-id: ka-procedure-数据库迁移流程
-kind: guidance
-title: 数据库迁移
-sync_policy: copy_to_project
-status: active
-triggers:
-  - 数据库变更
-  - 表结构修改
-  - migration
-  - DDL
-  - 加字段
-  - 建表
-  - 索引
-  - 数据迁移
-  - 表结构变更
-extra:
-  name: database-migration
-  type: procedure
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  domain:
-    - build
-    - verify
-  verification_layer: L2
-  stage: build
----
-## 适用场景
-数据库表结构变更（新增表、加字段、改字段、加索引、数据迁移等）。所有 DDL 变更必须通过 migration 脚本管理，禁止手动执行。
-## 步骤
-1. 评估变更类型：加列、改列、删列、加索引、数据迁移、新建表
-2. 确认向前兼容性：新列必须有默认值或允许 NULL，不删除正在使用的列
-3. 编写 migration 脚本（Flyway/MyBatis Migrations），DDL 脚本放 resources/db，文件名 V{version}__{description}.sql（正向）和 U{version}__{description}.sql（回滚）
-4. 确保 migration 脚本幂等（重复执行不出错）
-5. 编写回滚脚本（每个 migration 必须有对应的 rollback）
-6. 禁止在 migration 脚本中写业务逻辑（业务变更走应用代码）
-7. 大表加列必须指定默认值或使用分批更新
-8. 在开发环境执行 migration，验证表结构变更正确
-9. 检查数据迁移逻辑：大数据量迁移需分批执行（每批 1000 条）
-10. 在测试环境验证：运行应用 + 执行全量测试
-11. 评估执行时间：大表加索引按锁表风险处理，需在低峰期执行并准备回滚窗口
-12. 生产执行前备份数据库（全量或变更表）
-## 检查点
-- [ ] migration 脚本有对应回滚脚本
-- [ ] migration 脚本幂等（可重复执行）
-- [ ] 新增列有默认值或允许 NULL（向前兼容）
-- [ ] migration 脚本无业务逻辑
-- [ ] 大数据量迁移使用分批策略
-- [ ] 生产执行前已完成数据库备份
-## 注意事项
-- 禁止使用 DROP COLUMN（应标记为 deprecated 后续清理）
-- 加索引在 >100 万行表上使用 ONLINE DDL 或 pt-online-schema-change
-- migration 脚本一旦执行到生产不可修改（只能新增补偿脚本）
-- 字段兼容策略必须同时覆盖四层：数据库、接口契约、前端展示、导出逻辑

package/templates/build//346/226/260/350/200/201/351/200/273/350/276/221/346/257/224/345/257/271/346/227/245/345/277/227.md DELETED Viewed

@@ -1,39 +0,0 @@
----
-id: 新老逻辑比对日志
-kind: artifact
-title: 新老逻辑比对日志
-sync_policy: copy_to_project
-status: active
-extra:
-  name: new-old-logic-comparison-log
-  type: artifact
-  scope:
-    - '*'
-  domain: build
-  lifecycle_status: active
-  stage: build
-  owner_mechanism: mc-existing-system-artifact
----
-# 新老逻辑比对日志
-## 1. 比对说明
-<!-- 记录关键节点的数据一致性校验结果 -->
-## 2. 比对记录
-| 时间 | 接口 | 输入 | 老逻辑输出 | 新逻辑输出 | 一致 | 差异说明 |
-|---|---|---|---|---|---|---|
-| <!-- 时间 --> | <!-- 接口 --> | <!-- 输入 --> | <!-- 输出 --> | <!-- 输出 --> | 是/否 | <!-- 差异 --> |
-## 3. 一致性统计
-- 总比对次数：<!-- 数量 -->
-- 一致次数：<!-- 数量 -->
-- 不一致次数：<!-- 数量 -->
-- 一致率：<!-- 百分比 -->
-## 4. 自动化比对要求
-- 比对方式：Feature Toggle on/off，相同输入调用同一接口，对比新老逻辑输出
-- 一致率要求：100%（对应 COMP-BEH-01）
-- 不一致项处理：标记为阻断，须修复后重新比对，不得放行
-- 比对范围：每个切片涉及的所有接口端点均须执行新老逻辑比对

package/templates/build//346/235/203/351/231/220/350/256/244/350/257/201.md DELETED Viewed

@@ -1,49 +0,0 @@
----
-id: ka-pattern-auth-permission
-kind: knowledge
-title: 权限认证
-sync_policy: copy_to_project
-status: active
-extra:
-  name: auth-permission
-  scope:
-    - backend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-backend-pattern
----
-## 决策规则
-- 所有写接口必须有权限注解或 URL 级别鉴权
-- 禁止在 Controller 中硬编码角色判断（if role == "ADMIN"）
-- JWT Token 必须设置过期时间（建议 2-8 小时）
-- 密码必须使用 BCrypt 哈希存储，禁止明文或可逆加密
-- 前端隐藏按钮不能替代后端权限校验
-- 任何新增或修改菜单必须同步声明角色、权限标识、默认可见性和数据范围
-- 页面可见不等于可操作，按钮权限、接口权限和数据权限必须分别定义
-- 接口鉴权要求必须能回链到角色与权限模型，不能只写 auth=token
-- 禁止菜单可见性与接口可调用性解耦（菜单隐藏但接口暴露）
-- 登录失败不得提示具体原因（不区分"用户名不存在"和"密码错误"）
-- 登录接口必须有暴力破解防护（连续失败 N 次锁定或验证码）
-- Session ID 必须在登录成功后重新生成，防止会话固定攻击
-- 前端敏感操作（修改密码、删除）必须重新验证身份（re-authentication）
-- API 接口必须实现限流（Rate Limiting），防止暴力枚举和 CC 攻击
-## 验收项
-- [AC-01] 写接口有权限注解或鉴权
-- [AC-02] Token 有过期时间
-- [AC-03] 密码 BCrypt 哈希存储
-- [AC-04] 无硬编码角色判断
-- [AC-05] 菜单/按钮/接口/数据范围三层权限同步定义
-- [AC-06] 接口鉴权可回链到角色权限模型
-- [AC-07] 登录失败不暴露具体原因
-- [AC-08] 有暴力破解防护机制
-- [AC-09] 敏感操作重新验证身份
-- [AC-10] API 接口有限流策略

package/templates/build//346/265/213/350/257/225/350/264/250/351/207/217.md DELETED Viewed

@@ -1,45 +0,0 @@
----
-id: ka-pattern-testing-quality
-kind: knowledge
-title: 测试质量
-sync_policy: copy_to_project
-status: active
-extra:
-  name: testing-quality
-  scope:
-    - backend
-    - frontend
-  products:
-    - '*'
-  lifecycle_status: active
-  version: 1.1.0
-  last_reviewed: '2026-06-01'
-  type: knowledge
-  domain: build
-  verification_layer: L2
-  stage: build
-  owner_mechanism: mc-general-pattern
----
-## 决策规则
-- 每个接口至少覆盖：正常流程、参数缺失、权限不足、业务异常、边界值
-- 端到端业务测试必须从浏览器页面模拟真实用户操作，直接 API 调用只能补充不能替代
-- 测试失败必须在源逻辑修复，禁止修改测试来适配 Bug
-- 测试数据准备必须走业务 API 或页面操作，禁止直接 SQL INSERT 业务数据
-- 禁止在测试脚本中硬编码凭据，必须从环境变量或配置文件读取
-- Docker 部署必须从全新镜像构建，禁止 docker commit 和热补丁
-- 单元测试覆盖率核心逻辑必须 ≥ 80%，关键路径（支付/权限）必须 100%
-- 测试方法命名必须清晰表达测试场景（如 shouldReturn401WhenTokenExpired）
-- 测试数据必须使用工厂方法或 Builder 构建，禁止硬编码 magic values
-- 集成测试必须使用测试容器（Testcontainers）或内存数据库，禁止依赖外部环境
-- 每个修复的 bug 必须有对应的回归测试，防止问题复现
-## 验收项
-- [AC-01] 接口测试覆盖正常+异常+边界
-- [AC-02] E2E 测试从浏览器模拟用户操作
-- [AC-03] 测试失败修复源逻辑而非改测试
-- [AC-04] 测试数据走业务 API 非 SQL 直写
-- [AC-05] 核心逻辑覆盖率 ≥ 80%
-- [AC-06] 测试方法名清晰表达场景
-- [AC-07] 测试数据工厂构建
-- [AC-08] Bug 修复有回归测试