PyPI - commit-ai-guardian - Versions diffs - 0.2.0__tar.gz - Mend

commit-ai-guardian 0.2.0__tar.gz

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (51) hide show

commit_ai_guardian-0.2.0/.ai-review/.gitignore ADDED Viewed

@@ -0,0 +1,3 @@
+# 自动生成的文件，不需要提交到 Git
+cache/
+logs/

commit_ai_guardian-0.2.0/.ai-review/config.yaml ADDED Viewed

@@ -0,0 +1,48 @@
+# 项目级别配置文件
+# 只填写需要覆盖全局配置的项，留空则使用全局配置
+# 全局配置位置: ~/.commit-ai-guardian/config.yaml
+# AI API 密钥
+api_key: ""
+# API 地址
+api_base: ""
+# 模型名称
+model: ""
+# 审核报告语言 (zh-CN/en)
+language: ""
+# 是否启用 AI 审核（false=跳过，直接通过）
+enabled: true
+# 阻断级别 (info/warning/error/critical)
+severity_threshold: ""
+# diff 审核模式: full=完整文件(默认), diff=只审变更
+diff_mode: ""
+# 最大审核文件大小 (KB)
+max_file_size: 0
+# 缓存存活时间（1d=1天, 12h=12小时, 30m=30分钟）
+cache_ttl: "1d"
+# 日志存活时间（1h=1小时, 30m=30分钟, 0=不清理）
+log_ttl: "1h"
+# 要审核的目录/文件模式（glob，如 ["src/**", "app/**"]）
+include_patterns: ["*"]
+# 忽略的文件模式（glob 格式）
+ignore_patterns: ["*.lock", "*.md", "*.txt", "*.svg", "*.png", "*.jpg", "*.jpeg", "*.gif", "*.ico", "*.woff", "*.woff2", "*.ttf", "*.eot", "*.otf", "*.mp3", "*.mp4", "*.avi", "*.pdf", "*.doc", "*.docx", "*.zip", "*.tar", "*.gz", "*.rar", "*.7z", "*.exe", "*.dll", "*.so", "*.dylib", "*.class", "*.jar", "*.ear", "*.egg", "*.whl", "*.parquet", "*.pkl", "*.pickle", "*.model", "*.bin", "*.onnx", "*.pb"]
+# API 超时 (秒)
+timeout: 0
+# AI 最大返回长度 (token 数，支持 4K/8K 写法)
+max_tokens: 0
+# HTTP 代理地址
+proxy: ""

commit_ai_guardian-0.2.0/.ai-review/example/hardcoded-password.md ADDED Viewed

@@ -0,0 +1,57 @@
+---
+title: 硬编码密码/密钥
+severity: 9
+level: critical
+category: 安全漏洞
+tags: [密码, 密钥, 配置]
+languages: [python, java, javascript, go, rust, php]
+---
+## 问题描述
+密码、API Key、密钥等敏感信息直接写在代码中
+## 为什么这是个问题
+代码会被提交到 Git 仓库，所有有权限的人都能看到。一旦泄露，攻击者可以直接使用这些凭证访问系统。
+## 不修复的后果
+- 生产环境凭证泄露
+- 数据库/第三方服务被非法访问
+- 数据被窃取或篡改
+## 参考
+- [OWASP - Secrets Management](https://cheatsheetseries.owasp.org/cheatsheets/Secrets_Management_Cheat_Sheet.html)
+---
+## 坏代码 ❌
+### 明文密码
+```python
+DB_PASSWORD = "MyP@ssw0rd123"
+API_KEY = "sk-abc123xyz789"
+```
+---
+## 好代码 ✅
+### 环境变量
+```python
+DB_PASSWORD = os.environ.get("DB_PASSWORD")
+API_KEY = os.environ.get("API_KEY")
+```
+---
+## 检查清单
+- [ ] 代码中是否有明文密码、token、密钥？
+  - 搜索 `password`、`secret`、`token`、`key` 等关键词
+- [ ] 是否使用了环境变量或配置中心？
+  - 生产环境配置应该与代码分离

commit_ai_guardian-0.2.0/.ai-review/example/npe.md ADDED Viewed

@@ -0,0 +1,63 @@
+---
+title: 空指针/None 引用
+severity: 7
+level: error
+category: bug
+tags: [空指针, NPE, 判空]
+languages: [python, java, javascript, go]
+---
+## 问题描述
+未检查空值就直接使用对象属性或方法
+## 为什么这是个问题
+对象可能为 None/null 时，直接访问属性或调用方法会抛出异常，导致程序崩溃。
+## 不修复的后果
+- 程序运行时崩溃
+- 用户体验差（500 错误）
+- 可能丢失未保存的数据
+---
+## 坏代码 ❌
+### 直接访问可能为 None 的属性
+```python
+name = user.name  # user 可能为 None
+```
+### 直接访问可能为空的列表
+```python
+first = items[0]  # items 可能为空
+```
+---
+## 好代码 ✅
+### 判空后使用
+```python
+name = user.name if user else "anonymous"
+```
+### 检查列表长度
+```python
+first = items[0] if items else None
+```
+---
+## 检查清单
+- [ ] 使用对象前是否检查了 None/null？
+  - 关注函数返回值、数据库查询结果
+- [ ] 列表/字典索引前是否检查了长度？
+  - 访问 `[0]` 前确认列表非空

commit_ai_guardian-0.2.0/.ai-review/example/resource-leak.md ADDED Viewed

@@ -0,0 +1,54 @@
+---
+title: 资源泄漏
+severity: 6
+level: error
+category: bug
+tags: [资源, 连接, 文件]
+languages: [python, java, javascript, go, rust]
+---
+## 问题描述
+文件、数据库连接、锁等未正确释放
+## 为什么这是个问题
+打开的资源如果不关闭，会持续占用系统资源。高并发时可能导致资源耗尽，系统无法响应。
+## 不修复的后果
+- 文件句柄耗尽，无法打开新文件
+- 数据库连接池耗尽
+- 内存泄漏
+---
+## 坏代码 ❌
+### 手动 open/close（异常时不关闭）
+```python
+f = open("data.txt")
+data = f.read()
+f.close()  # 如果上面抛异常，这里不会执行
+```
+---
+## 好代码 ✅
+### with 语句自动关闭
+```python
+with open("data.txt") as f:
+    data = f.read()
+```
+---
+## 检查清单
+- [ ] 文件打开是否用了 `with`/`try-finally`？
+  - 搜索 `open(` 但不包含 `with` 的地方
+- [ ] 数据库连接是否正确关闭？
+  - 检查 `conn.close()` 是否在 `finally` 中

commit_ai_guardian-0.2.0/.ai-review/example/sql-injection.md ADDED Viewed

@@ -0,0 +1,71 @@
+---
+title: SQL 注入
+severity: 9
+level: critical
+category: 安全漏洞
+tags: [SQL, 注入, 数据库]
+languages: [python, java, javascript, go, php]
+---
+## 问题描述
+用户输入直接拼接到 SQL 语句中
+## 为什么这是个问题
+攻击者可以通过构造特殊的输入来改变 SQL 语句的语义，从而绕过认证、读取敏感数据、甚至删除数据库。
+## 不修复的后果
+- 数据泄露（用户信息、密码、交易记录）
+- 数据被篡改或删除
+- 系统被完全控制
+## 参考
+- [OWASP - SQL Injection](https://owasp.org/www-community/attacks/SQL_Injection)
+---
+## 坏代码 ❌
+### f-string 拼接
+```python
+query = f"SELECT * FROM users WHERE id = {user_id}"
+cursor.execute(query)
+```
+### format 方法
+```python
+query = "SELECT * FROM users WHERE id = {}".format(user_id)
+cursor.execute(query)
+```
+---
+## 好代码 ✅
+### 参数化查询（推荐）
+```python
+cursor.execute("SELECT * FROM users WHERE id = ?", (user_id,))
+```
+### ORM 方式
+```python
+User.objects.filter(id=user_id).first()
+```
+---
+## 检查清单
+- [ ] 是否有字符串拼接构建 SQL？
+  - 搜索 `+`、`format`、`f-string`、`%` 拼接 SQL 的地方
+- [ ] 是否使用了参数化查询？
+  - 确认 `execute()` 的第二个参数传了元组/列表
+- [ ] ORM 的 `raw()` / `execute()` 是否传了用户输入？
+  - 检查 Django ORM 的 `.raw()`、SQLAlchemy 的 `.execute()`

commit_ai_guardian-0.2.0/.ai-review/example/weak-hash.md ADDED Viewed

@@ -0,0 +1,56 @@
+---
+title: 弱哈希算法
+severity: 8
+level: error
+category: 安全漏洞
+tags: [哈希, 密码, 加密]
+languages: [python, java, javascript, go, php]
+---
+## 问题描述
+使用 MD5/SHA1 等不安全的哈希算法
+## 为什么这是个问题
+MD5 和 SHA1 已经被证明不安全，可以通过彩虹表或暴力破解。密码哈希必须使用带盐的慢哈希算法。
+## 不修复的后果
+- 密码被破解，用户账号被盗
+- 数据库泄露后密码直接被还原
+## 参考
+- [OWASP - Password Storage](https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html)
+---
+## 坏代码 ❌
+### MD5 哈希密码
+```python
+import hashlib
+password_hash = hashlib.md5(password.encode()).hexdigest()
+```
+---
+## 好代码 ✅
+### bcrypt 带盐哈希
+```python
+import bcrypt
+password_hash = bcrypt.hashpw(password, bcrypt.gensalt())
+```
+---
+## 检查清单
+- [ ] 是否使用了 `md5()` 或 `sha1()`？
+  - 搜索 `md5`、`sha1`、`hashlib.md5`
+- [ ] 密码是否用了 `bcrypt`/`argon2`/`scrypt`？
+  - 确认是慢哈希算法，不是快速哈希

commit_ai_guardian-0.2.0/.ai-review/example/xss.md ADDED Viewed

@@ -0,0 +1,55 @@
+---
+title: XSS 跨站脚本攻击
+severity: 9
+level: critical
+category: 安全漏洞
+tags: [XSS, HTML, 前端]
+languages: [javascript, python, java, php]
+---
+## 问题描述
+用户输入未经转义直接输出到 HTML 页面
+## 为什么这是个问题
+攻击者可以注入恶意脚本，当其他用户浏览页面时执行，窃取 Cookie、伪造请求等。
+## 不修复的后果
+- 用户 Cookie 被盗，账号被劫持
+- 页面内容被篡改
+- 钓鱼攻击
+## 参考
+- [OWASP - XSS](https://owasp.org/www-community/attacks/xss/)
+---
+## 坏代码 ❌
+### innerHTML 插入用户输入
+```javascript
+element.innerHTML = userInput;
+```
+---
+## 好代码 ✅
+### textContent 代替 innerHTML
+```javascript
+element.textContent = userInput;
+```
+---
+## 检查清单
+- [ ] `innerHTML`、`document.write` 是否插入了用户输入？
+  - 搜索 `innerHTML =` 和 `document.write`
+- [ ] 模板渲染是否使用了 `|safe` 或类似标记？
+  - 检查是否绕过自动转义

commit_ai_guardian-0.2.0/.ai-review/prompts/diff_review.md ADDED Viewed

@@ -0,0 +1,73 @@
+你是一位资深代码审核专家。请对以下代码变更进行严格审核。
+## 审核维度（通用规则）
+1. **Bug 检测**: 逻辑错误、空指针、边界条件、资源泄漏、并发问题等
+2. **安全漏洞**: SQL注入、XSS、敏感信息泄露、硬编码密码、不安全的反序列化等
+3. **代码风格**: 命名规范、代码格式、注释质量、代码组织
+4. **性能问题**: 算法复杂度、内存泄漏、不必要的计算、大数据量处理
+5. **最佳实践**: 设计模式、代码复用、错误处理、日志规范
+6. **文档完整**: 函数文档、参数说明、返回值说明、复杂逻辑注释
+## 🚨 空指针检测规则（避免误判）
+**原则：不明确的不假设，明确的正常审。**
+### 1. 来源不明确的参数 —— 不报
+对于外部传入、上下文无法确定类型的变量（如函数参数 `row`、`me`、`options`）：
+- **视为合法传入的值**，不做 null/undefined/None 假设
+- **不要**报"可能为空"、"缺少 null 检查"之类的问题
+### 2. 以下明确情况 —— 正常审核并报
+| 情况 | 示例 |
+|------|------|
+| 显式 null 赋值 | `let x = null`、`const y = undefined` |
+| null 判断但未处理分支 | `if (x) { ... }` 但 else 分支仍使用 x |
+| 调用链中已知可能返回 null | `obj.a.b.c` 其中 `obj.a` 可能为 null（代码中有相关判断或文档说明） |
+| 可选链/空值合并使用不当 | 已用 `?.` 但仍直接访问属性等矛盾用法 |
+| **函数调用时明显未传参** | `function b(a) {}` 被调用为 `b()`（a 明确为 undefined） |
+以上情况**正常报问题**，不要放过。
+### 3. 怎么区分"来源不明确"和"明确未传参"
+- `b(x)` → x 来源不明确 → **不报**
+- `b()` → 明显未传参，函数定义需要参数但没给 → **报**
+## 严重级别定义
+- **critical**: 必须修复，会导致系统崩溃或严重安全漏洞
+- **error**: 应该修复，明确的 Bug 或安全问题
+- **warning**: 建议修复，风格或最佳实践问题
+- **info**: 仅供参考，轻微改进建议
+## 代码信息
+- 文件: {{filename}}
+- 语言: {{language_display}}
+- 变更类型: {{status}}
+## 代码变更内容
+```{{language}}
+{{diff_content}}
+```
+{{cases_text}}
+## 🚨 输出格式（不遵守会导致审核失败）
+【必须】把 JSON 包裹在 <result></result> 标签中，除此之外不要有任何其他文字：
+✅ 正确示例（无问题）：
+<result>{"summary":"总体评价（2-3句话）","passed":true,"issues":[]}</result>
+✅ 正确示例（有问题）：
+<result>{"summary":"...","passed":false,"issues":[{"severity":"warning","category":"style","line_number":15,"message":"问题描述","suggestion":"修复建议","code_snippet":"相关代码"}]}</result>
+❌ 错误示例（不要这样输出）：
+- 直接输出裸 JSON: {"passed":false,...}
+- 用 ```json 包裹: ```json
+{"passed":false,...}
+```
+- <result> 标签外还有解释文字
+severity 只能是 critical/error/warning/info，category 只能是 bug/security/style/performance/best-practice/documentation
+- 如无问题，issues 为空数组，passed 为 true
+- line_number 为代码左侧标注的行号（如 " 145 | +const x = ..." 中的 145）
+- 只关注本次变更引入的问题，不要审核已有代码
+{{cases_note}}
+- 尽量给出具体的修复建议，不要泛泛而谈

commit_ai_guardian-0.2.0/.ai-review/prompts/full_file_review.md ADDED Viewed

@@ -0,0 +1,74 @@
+你是一位资深代码审核专家。请对以下完整代码文件进行全面审核。
+## 审核维度（通用规则）
+1. **Bug 检测**: 逻辑错误、空指针、边界条件、资源泄漏、并发问题等
+2. **安全漏洞**: SQL注入、XSS、敏感信息泄露、硬编码密码、不安全的反序列化等
+3. **代码风格**: 命名规范、代码格式、注释质量、代码组织
+4. **性能问题**: 算法复杂度、内存泄漏、不必要的计算、大数据量处理
+5. **最佳实践**: 设计模式、代码复用、错误处理、日志规范
+6. **文档完整**: 函数文档、参数说明、返回值说明、复杂逻辑注释
+## 🚨 空指针检测规则（避免误判）
+**原则：不明确的不假设，明确的正常审。**
+### 1. 来源不明确的参数 —— 不报
+对于外部传入、上下文无法确定类型的变量（如函数参数 `row`、`me`、`options`）：
+- **视为合法传入的值**，不做 null/undefined/None 假设
+- **不要**报"可能为空"、"缺少 null 检查"之类的问题
+### 2. 以下明确情况 —— 正常审核并报
+| 情况 | 示例 |
+|------|------|
+| 显式 null 赋值 | `let x = null`、`const y = undefined` |
+| null 判断但未处理分支 | `if (x) { ... }` 但 else 分支仍使用 x |
+| 调用链中已知可能返回 null | `obj.a.b.c` 其中 `obj.a` 可能为 null（代码中有相关判断或文档说明） |
+| 可选链/空值合并使用不当 | 已用 `?.` 但仍直接访问属性等矛盾用法 |
+| **函数调用时明显未传参** | `function b(a) {}` 被调用为 `b()`（a 明确为 undefined） |
+以上情况**正常报问题**，不要放过。
+### 3. 怎么区分"来源不明确"和"明确未传参"
+- `b(x)` → x 来源不明确 → **不报**
+- `b()` → 明显未传参，函数定义需要参数但没给 → **报**
+## 严重级别定义
+- **critical**: 必须修复，会导致系统崩溃或严重安全漏洞
+- **error**: 应该修复，明确的 Bug 或安全问题
+- **warning**: 建议修复，风格或最佳实践问题
+- **info**: 仅供参考，轻微改进建议
+## 代码信息
+- 文件: {{filename}}
+- 语言: {{language_display}}
+- 总行数: {{line_count}}
+{{truncation_note}}
+## 完整代码内容
+```{{language}}
+{{content}}
+```
+{{cases_text}}
+## 🚨 输出格式（不遵守会导致审核失败）
+【必须】把 JSON 包裹在 <result></result> 标签中，除此之外不要有任何其他文字：
+✅ 正确示例（无问题）：
+<result>{"summary":"总体评价（2-3句话）","passed":true,"issues":[]}</result>
+✅ 正确示例（有问题）：
+<result>{"summary":"...","passed":false,"issues":[{"severity":"warning","category":"style","line_number":15,"message":"问题描述","suggestion":"修复建议","code_snippet":"相关代码"}]}</result>
+❌ 错误示例（不要这样输出）：
+- 直接输出裸 JSON: {"passed":false,...}
+- 用 ```json 包裹: ```json
+{"passed":false,...}
+```
+- <result> 标签外还有解释文字
+severity 只能是 critical/error/warning/info，category 只能是 bug/security/style/performance/best-practice/documentation
+- 如无问题，issues 为空数组，passed 为 true
+- line_number 为代码左侧标注的行号（如 "145 | const x = ..." 中的 145）
+- 对整个文件进行全面审核，不限于变更部分
+{{cases_note}}
+- 尽量给出具体的修复建议，不要泛泛而谈

commit_ai_guardian-0.2.0/.ai-review/prompts/system_message.txt ADDED Viewed

@@ -0,0 +1,16 @@
+你是一位专业的代码审核专家，擅长发现代码中的问题并给出改进建议。
+🚨🚨🚨 输出格式规则（违反会导致解析失败，审核结果作废）🚨🚨🚨
+【规则1 - 最高优先级】最终输出必须且只能包含一对 <result> 标签，JSON 必须包裹其中：
+  ✅ 正确: <result>{"summary":"...","passed":...,"issues":[...]}</result>
+  ❌ 错误: {"summary":"...","passed":...}                    （缺少 <result> 标签）
+  ❌ 错误: ```json {...}```                                    （用了代码块标记）
+  ❌ 错误: <result>{...}</result> 之外还有任何其他文字       （有额外文字）
+【规则2】可以先用 <think> 标签写思考过程，但 <think> 和 <result> 必须分开：
+  ✅ 正确: <think>思考...</think>
+<result>{...}</result>
+  ❌ 错误: 把 JSON 放在 <think> 标签内
+【规则3】不要添加任何解释、前言、总结——<result> 标签外除了 <think> 之外不要有任何文字。

commit_ai_guardian-0.2.0/.github/workflows/publish.yml ADDED Viewed

@@ -0,0 +1,50 @@
+name: Publish to PyPI
+on:
+  push:
+    tags:
+      - "v*.*.*"   # 打 v1.2.3 标签时触发
+jobs:
+  build:
+    name: Build distribution 📦
+    runs-on: ubuntu-latest
+    steps:
+      - uses: actions/checkout@v4
+        with:
+          persist-credentials: false
+      - uses: actions/setup-python@v5
+        with:
+          python-version: "3.x"
+      - name: Install uv
+        uses: astral-sh/setup-uv@v4
+      - name: Build package
+        run: uv build
+      - name: Upload distributions
+        uses: actions/upload-artifact@v4
+        with:
+          name: dist
+          path: dist/
+  publish-to-pypi:
+    name: Publish to PyPI 🚀
+    needs: [build]
+    runs-on: ubuntu-latest
+    environment:
+      name: pypi
+      url: https://pypi.org/p/commit-ai-guardian
+    permissions:
+      id-token: write  # Trusted Publishing (OIDC) 必须
+    steps:
+      - name: Download distributions
+        uses: actions/download-artifact@v4
+        with:
+          name: dist
+          path: dist/
+      - name: Publish to PyPI
+        uses: pypa/gh-action-pypi-publish@release/v1

commit_ai_guardian-0.2.0/.gitignore ADDED Viewed

@@ -0,0 +1,43 @@
+# Python
+__pycache__/
+*.py[cod]
+*$py.class
+*.so
+.Python
+build/
+develop-eggs/
+dist/
+downloads/
+eggs/
+.eggs/
+lib/
+lib64/
+parts/
+sdist/
+var/
+wheels/
+*.egg-info/
+.installed.cfg
+*.egg
+# Virtual environments
+.venv
+venv/
+ENV/
+env/
+# IDE
+.idea/
+.vscode/
+*.swp
+*.swo
+*~
+# Testing
+.pytest_cache/
+.coverage
+htmlcov/
+# OS
+.DS_Store
+Thumbs.db