7de294375b
Some checks failed
CI / Lint & TypeCheck (push) Has been cancelled
CI / Unit Tests (push) Has been cancelled
CI / Build Frontend (push) Has been cancelled
CI / Rust Check (push) Has been cancelled
CI / Security Scan (push) Has been cancelled
CI / E2E Tests (push) Has been cancelled
refactor(relay): 复用HTTP客户端和请求体序列化结果 feat(kernel): 添加获取单个审批记录的方法 fix(store): 改进SaaS连接错误分类和降级处理 docs: 更新审计文档和系统架构文档 refactor(prompt): 优化SQL查询参数化绑定 refactor(migration): 使用静态SQL和COALESCE更新配置项 feat(commands): 添加审批执行状态追踪和事件通知 chore: 更新启动脚本以支持Admin后台 fix(auth-guard): 优化授权状态管理和错误处理 refactor(db): 使用异步密码哈希函数 refactor(totp): 使用异步密码验证函数 style: 清理无用文件和注释 docs: 更新功能全景和审计文档 refactor(service): 优化HTTP客户端重用和请求处理 fix(connection): 改进SaaS不可用时的降级处理 refactor(handlers): 使用异步密码验证函数 chore: 更新依赖和工具链配置
3.8 KiB
3.8 KiB
ZCLAW 审计追踪表 (V9)
创建日期: 2026-03-29 审计版本: V9 追踪规则: 每个发现项记录状态变更,修复后需附验证方法
P0: 阻断级
| ID | 问题 | 状态 | 负责人 | 目标日期 | 验证方法 |
|---|---|---|---|---|---|
| SEC-V9-01 | prompt/service.rs:94,97,100 SQL 注入 | FALSE_POSITIVE | - | 2026-03-29 | 已验证: format!() 仅构建 $N 占位符索引,实际值通过 .bind() 参数化绑定,非 SQL 注入 |
P1: 严重级
| ID | 问题 | 状态 | 负责人 | 目标日期 | 验证方法 |
|---|---|---|---|---|---|
| BREAK-01 | LlmDriverForExtraction 无生产实现 | FIXED | - | 2026-03-29 | extraction_adapter.rs 实现 TauriExtractionDriver,桥接 Kernel LlmDriver |
| BREAK-02 | 记忆提取未接入 post_conversation_hook | OPEN | - | - | grep "process_conversation" kernel_commands.rs |
| BREAK-03 | 审批后不自动执行 Hand | OPEN | - | - | 验证 approval_respond 中 approved=true 触发执行 |
| BREAK-04 | pipeline-complete 事件未监听 | OPEN | - | - | grep "pipeline-complete" desktop/src/ |
P2: 高优先级
| ID | 问题 | 状态 | 负责人 | 目标日期 | 验证方法 |
|---|---|---|---|---|---|
| DEAD-01 | PromptInjector 全文件死代码 | OPEN | - | - | 决策:接入或清理 |
| DEAD-02 | MemoryRetriever 全文件死代码 | OPEN | - | - | 决策:接入或清理 |
| DEAD-03 | GrowthTracker 全文件死代码 | OPEN | - | - | 决策:接入或清理 |
| DEAD-05 | 39 个未调用 saas-client 方法 | OPEN | - | - | 评估是否需要桌面端入口 |
| DOC-01 | Tauri 命令数文档 58+ vs 实际 130 | OPEN | - | - | 更新 06-tauri-backend 文档 |
| DOC-02 | 智能层文档引用已删除模块 | OPEN | - | - | 更新 02-intelligence-layer 文档 |
| TYPE-01 | Desktop/Admin 类型不一致 (6 组) | OPEN | - | - | 统一类型定义 |
| G-07 | account_api_keys 被 relay 绕过 | OPEN | - | - | 决策:统一 key 管理或标记独立功能 |
P3: 中优先级
| ID | 问题 | 状态 | 负责人 | 目标日期 | 验证方法 |
|---|---|---|---|---|---|
| CONF-01 | 配置参数孤儿 (batch_window_ms 等) | PARTIALLY_FIXED | - | 2026-03-29 | batch_window_ms / max_concurrent_per_provider 标记为预留 (relay 配置);burst 通过 RateLimitConfig 消费 |
| SEC-V9-02 | relay 输入验证可加强 | OPEN | - | - | 添加基本校验 |
| AUDIT-01 | 前端 audit-logger 无消费者 | OPEN | - | - | grep "auditLogger" desktop/src/ |
| DEAD-04 | director.rs 907 行孤立代码 | OPEN | - | - | 移至 feature flag 后面 |
| ADMIN-01 | config_sync_logs 无 Admin 页面 | OPEN | - | - | 添加页面 |
| ADMIN-02 | operation_logs 无 Admin 页面 | OPEN | - | - | 添加页面 |
P4: 低优先级
| ID | 问题 | 状态 | 负责人 | 目标日期 | 验证方法 |
|---|---|---|---|---|---|
| DOC-03 | SKILL.md 数量 69→70 | OPEN | - | - | 更新 README.md |
| DOC-04 | Hands 数量 CLAUDE.md vs README 不一致 | OPEN | - | - | 统一口径 |
| EVAL-01 | zclaw-channels 评估 | OPEN | - | - | 决定保留或删除 |
| IFACE-01 | trigger_update 接口不匹配 | OPEN | - | - | 对齐 TS/Rust 参数 |
状态变更日志
| 日期 | ID | 变更 | 备注 |
|---|---|---|---|
| 2026-03-29 | SEC-V9-01 | OPEN → FALSE_POSITIVE | prompt/service.rs format!() 仅构建 $N 占位符,实际值通过 .bind() 参数化绑定 |
| 2026-03-29 | BREAK-01 | OPEN → FIXED | extraction_adapter.rs 实现 TauriExtractionDriver,桥接 Kernel LlmDriver 到 LlmDriverForExtraction trait |
| 2026-03-29 | CONF-01 | OPEN → PARTIALLY_FIXED | Worker 系统 + Scheduler 系统上线,部分配置参数已消费,relay 预留参数已标注 |
| 2026-03-29 | - | V9 审计创建 | 20 个发现项 |