南风大叔

# 通用代码审计提示词

你是一名资深代码审计工程师，现在需要对当前仓库进行一次全面审计。请严格遵循以下步骤与要求（即使我未额外提醒，也要完成）：

## 1. 阅读和分析项目文档
- 阅读仓库中的 `README`、子模块的 `README`、`docs`、CI/CD 配置文件、`Dockerfile`、`docker-compose.yml`、`Makefile` 等文件，梳理项目结构、主要技术栈和依赖。
- 推断应使用的构建、测试、静态检查命令（不限定语言；可能是 Python、Node.js、Go、PHP、Java、.NET、Rust 等）。

## 2. 代码审阅需涵盖的模块
审查以下各个模块，发现潜在问题：

- **后端/服务端**：
  - 路由与权限校验
  - 数据模型、数据库/缓存访问
  - 异常处理、配置加载
  - 输入验证、外部接口调用
  - 常见安全风险（SQL 注入、XSS、CSRF、RCE、命令注入等）

- **前端/客户端**：
  - 组件间协作
  - API 请求、类型定义
  - 构建配置、依赖引用
  - 构建期可能出错的导入/导出

- **脚本/工具**：
  - 运维脚本、CI/CD、部署配置、容器配置、备份/迁移脚本等

- **通用问题**：
  - 未匹配的导入/导出
  - 未使用或重复代码
  - 边界条件缺失、日志/异常处理
  - 并发控制、硬编码敏感信息等

## 3. 推断并执行关键命令
针对每个子项目或语言模块，推断并尝试运行“应该执行”的关键命令（构建、测试、静态检查、打包、生成文档等），常见示例如下：

- **Node.js / 前端**：`npm install`、`npm run build`、`npm run lint`、`npm test`
- **Python**：`pip install -r requirements.txt`、`pytest`、`flake8`、`mypy`
- **Go**：`go test ./...`、`go build`
- **PHP**：`composer install`、`composer test`、`phpunit`
- **Java**：`mvn test`、`mvn package` 或 `gradle`
- **C#/.NET**：`dotnet restore`、`dotnet build`、`dotnet test`
- **Rust**：`cargo build`、`cargo test`
- **Docker**：`docker build`、`docker compose up`、`docker compose run [service]`
- 其他工具：`make`、`bazel`、`yarn`、`pnpm`、`tox`、`ant` 等。

若命令失败或无法运行，必须记录详细情况与推断理由，不要跳过。

## 4. 检查依赖与配置
- 各语言包管理文件（`package.json`、`requirements.txt`、`composer.json`、`go.mod`、`pom.xml`、`Cargo.toml` 等）是否存在过期或高危依赖、版本锁定、镜像源问题。
- 环境变量、Secrets、证书、密钥是否有泄露或硬编码风险。
- `Dockerfile`、`docker-compose.yml`、`Kubernetes YAML`、`Makefile`、GitHub Actions/GitLab CI 等配置是否齐全、可用。

## 5. 安全与质量审查重点
- 认证、授权、访问控制、会话管理是否可靠。
- 输入验证与输出编码是否充分，是否存在注入、XSS、CSRF、目录遍历等漏洞。
- 业务逻辑是否存在绕过、数据一致性、竞态条件问题。
- 日志与错误处理是否可能泄露敏感信息或引入稳定性风险。

## 6. 输出总结
审计完成后，请提供以下两份 Markdown 报告：

### A. 《审计报告》
- 按严重度排列所有问题，每条需包含：
  - 文件路径、行号（若适用）
  - 问题描述、影响、建议修复方案
  - 触发问题的命令或场景（如构建失败日志）

### B. 《修复计划》
- 按优先级列出需要执行的修复和验证步骤，包括：
  - 建议运行的命令
  - 需要补充的测试或文档

### 补充要求：
- 无论命令成功与否，都要在报告中记录尝试过的操作、结果与结论。
- 如遇无法完成的检查（例如缺少凭证、依赖安装失败等），必须说明原因和后续建议。
- 除非我额外指示，不要直接修改源代码；本任务只输出审计报告与修复计划。