概念
审计审查序列
在发布前对 Apothem 进行检查的十一条命令审计序列。
审计审查序列是一套十一条命令的质量保障扫描,在发布前对项目进行 检查。每条命令审计一个质量领域,并产出必须修复或明确处置的发现项。
这十一个维度由两个规范编排器驱动。/audit 将它们并行执行为单次「仅报告」
扫描 —— 它产出去重并按严重度分级的发现项报告,且从不编辑源代码。/fortress
是闭合的修复循环(检测 → 验证 → 修复 → 重新审计 → 闸门),将项目加固到受
发布闸门管控的状态。每个维度也仍可单独调用。
十一个审计领域
| 命令 | 轴线 | 标准 |
|---|---|---|
| /code-review | 代码质量 | 逐文件的工艺审查 |
| /code-audit | 代码语料 | 跨文件取证 |
| /security-audit | 安全 | OWASP ASVS v4 + Top 10 |
| /perf-audit | 性能 | Core Web Vitals + USE 方法 |
| /architecture-review | 架构 | 设计工件符合性 |
| /ux-review | 开发体验 | CLI 工效学 + 上手引导 |
| /a11y-audit | 无障碍 | WCAG 2.2 AA |
| /docs-review | 文档 | 十维质量 |
| /dependency-audit | 依赖 | 许可证 + CVE + 新鲜度 |
| /supply-chain-audit | 供应链 | SLSA + Sigstore + SBOM |
| /threat-model-audit | 威胁模型 | STRIDE + PASTA |
发布就绪闸门
该序列为发布就绪闸门做出贡献:
- 本地闸门: 本地符合性检查通过。
- GitHub 闸门(切换前):GitHub 侧验证 —— CI 工作流在每次提交、 每项检查上均为绿色。
- 审计闸门: 完整审查序列完成 —— 全部十一个领域均已审计、发现项 已处置、关注项已记录。
修复循环
审计命令仅做报告:它们呈现发现项,从不应用修复。修复经由 /fortress 运行,
这是遵循「迭代直至绿色」模式的闭合循环 —— 对发现项进行分级与验证,在每个
发现项的归属面上应用修复,重新运行审计,循环持续直到发现项清零且发布闸门
通过为止。将整个仓库提升至当前最佳实践的工作经由 /elevate 运行。
该序列存在的原因
软件质量会同时沿多个维度劣化。单次审查可能漏掉那些介于代码质量、 安全、性能、架构、无障碍、文档、依赖态势与供应链态势之间的缺陷。 审计序列分别施加这些透镜,从而让发布闸门看到完整的风险画像。