WuYanBo
/
CodeReview
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

docs: update version to 2.0.0-beta.7 and add detailed prompt/rules documentation 

- Update version to 2.0.0-beta.7 in package.json, pyproject.toml, README.md
- Add audit rules and prompt templates to core features in README
- Remove 'custom rules' from roadmap (now implemented)
- Add comprehensive documentation for audit rules configuration
- Add complete system prompt examples and architecture explanation
- Document all built-in rule sets (OWASP Top 10, Code Quality, Performance)
- Document all built-in prompt templates with full content
- Add prompt composition structure diagram
This commit is contained in:
lintsinghua 2025-12-09 23:45:08 +08:00
parent d84f4074f8
commit d89b3c91d6
4 changed files with 440 additions and 4 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

5
README.md
View File

@ -8,7 +8,7 @@
<div align="center">
[![Version](https://img.shields.io/badge/version-2.0.0--beta.6-blue.svg)](https://github.com/lintsinghua/DeepAudit/releases)
[![Version](https://img.shields.io/badge/version-2.0.0--beta.7-blue.svg)](https://github.com/lintsinghua/DeepAudit/releases)
[![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT)
[![React](https://img.shields.io/badge/React-18-61dafb.svg)](https://reactjs.org/)
[![TypeScript](https://img.shields.io/badge/TypeScript-5.7-3178c6.svg)](https://www.typescriptlang.org/)
@ -115,6 +115,8 @@ docker-compose up -d
- **即时分析** — 代码片段秒级分析10+ 编程语言全覆盖
- **智能审计** — Bug、安全、性能、风格、可维护性五维检测
- **可解释分析** — What-Why-How 模式,精准定位 + 修复建议
- **自定义规则** — 内置 OWASP Top 10 等规则集,支持自定义审计规则
- **提示词管理** — 可视化管理审计提示词模板,支持中英文双语
- **可视化报告** — 质量仪表盘、趋势分析、PDF/JSON 导出
- **灵活配置** — 浏览器运行时配置,无需重启服务
@ -135,7 +137,6 @@ docker-compose up -d
- **多 Agent 协作** — 多智能体架构,模拟真实的安全团队工作流程
- **自动生成补丁** — 光说哪里有问题不够,还得能自动生成能用的修复代码
- **混合分析** — AI 分析完再用传统 SAST 工具验证一遍,两边互相补充,减少误报漏报
- **自定义规则** — 支持用配置文件定义自己团队的编码规范
- **跨文件分析** — 做代码知识图谱,理解模块间的调用关系
- **多仓库支持** — 除Github/GitLab以外更新支持Gitea等更多平台以及自建仓库

2
backend/pyproject.toml
View File

@ -1,6 +1,6 @@
[project]
name = "deepaudit-backend"
version = "0.1.0"
version = "2.0.0-beta.7"
description = "DeepAudit Backend API"
requires-python = ">=3.13"
dependencies = [

435
docs/CONFIGURATION.md
View File

@ -291,6 +291,441 @@ LLM_MODEL=gpt-4o-mini
---
## 审计规则配置
DeepAudit 支持自定义审计规则集,可以根据团队需求定制检测规则。
### 访问方式
1. 登录系统后,访问 `/audit-rules` 审计规则页面
2. 或点击侧边栏的"审计规则"菜单
### 内置规则集
#### 1. OWASP Top 10默认
基于 OWASP Top 10 2021 的安全审计规则集,包含 10 条规则:
| 规则代码 | 名称 | 严重程度 | 检测提示词 |
|----------|------|----------|------------|
| A01 | 访问控制失效 | Critical | 检查是否存在访问控制失效问题权限检查缺失、越权访问、IDOR不安全的直接对象引用、CORS配置错误 |
| A02 | 加密机制失效 | Critical | 检查是否存在加密问题:使用弱加密算法(MD5/SHA1/DES)、明文存储密码、硬编码密钥、不安全的随机数生成 |
| A03 | 注入攻击 | Critical | 检查是否存在注入漏洞SQL注入、命令注入、LDAP注入、XPath注入、NoSQL注入、表达式语言注入 |
| A04 | 不安全设计 | High | 检查是否存在不安全的设计:缺少速率限制、业务逻辑漏洞、缺少输入验证、信任边界不清 |
| A05 | 安全配置错误 | High | 检查是否存在安全配置错误:默认凭证、不必要的功能启用、详细错误信息泄露、缺少安全头 |
| A06 | 易受攻击的组件 | High | 检查是否使用了已知漏洞的组件:过时的依赖库、未修补的漏洞、不安全的第三方组件 |
| A07 | 身份认证失效 | Critical | 检查是否存在身份认证问题:弱密码策略、会话固定、凭证明文存储、缺少多因素认证 |
| A08 | 数据完整性失效 | Critical | 检查是否存在完整性问题不安全的反序列化、未验证的更新、CI/CD管道安全 |
| A09 | 日志监控失效 | Medium | 检查是否存在日志监控问题:缺少安全日志、敏感信息记录到日志、缺少告警机制 |
| A10 | SSRF | High | 检查是否存在SSRF漏洞未验证的URL输入、内网资源访问、云元数据访问 |
#### 2. 代码质量规则
通用代码质量检查规则集,包含 8 条规则:
| 规则代码 | 名称 | 严重程度 | 检测提示词 |
|----------|------|----------|------------|
| CQ001 | 函数过长 | Medium | 检查函数是否过长超过50行是否应该拆分为更小的函数 |
| CQ002 | 重复代码 | Medium | 检查是否存在重复的代码块,可以提取为公共函数或类 |
| CQ003 | 嵌套过深 | Low | 检查代码嵌套是否过深超过4层影响可读性 |
| CQ004 | 魔法数字 | Low | 检查是否存在魔法数字或魔法字符串,应该定义为常量 |
| CQ005 | 缺少错误处理 | High | 检查是否缺少必要的错误处理,可能导致程序崩溃 |
| CQ006 | 未使用的变量 | Low | 检查是否存在声明但未使用的变量 |
| CQ007 | 命名不规范 | Low | 检查命名是否符合语言规范和最佳实践 |
| CQ008 | 注释缺失 | Low | 检查复杂逻辑是否缺少必要的注释说明 |
#### 3. 性能优化规则
性能问题检测规则集,包含 5 条规则:
| 规则代码 | 名称 | 严重程度 | 检测提示词 |
|----------|------|----------|------------|
| PERF001 | N+1查询 | High | 检查是否存在N+1查询问题在循环中执行数据库查询 |
| PERF002 | 内存泄漏 | Critical | 检查是否存在内存泄漏:未关闭的资源、循环引用、大对象未释放 |
| PERF003 | 低效算法 | Medium | 检查是否存在低效算法如O(n²)可优化为O(n)或O(nlogn) |
| PERF004 | 不必要的对象创建 | Medium | 检查是否在循环中创建不必要的对象,应该移到循环外 |
| PERF005 | 同步阻塞 | Medium | 检查是否存在同步阻塞操作,应该使用异步方式 |
### 自定义规则集
可以创建自定义规则集,每条规则包含:
- **规则代码**: 唯一标识符(如 SEC001
- **规则名称**: 规则的简短描述
- **规则描述**: 详细说明
- **类别**: security / bug / performance / style / maintainability
- **严重程度**: critical / high / medium / low
- **自定义提示词**: 增强 LLM 检测的提示词(关键字段)
- **修复建议**: 问题修复模板
- **参考链接**: CWE/OWASP 等参考资料
### 规则集导入/导出
支持 JSON 格式的规则集导入导出,方便团队共享:
```json
{
"name": "自定义安全规则",
"description": "团队自定义的安全检测规则",
"language": "all",
"rule_type": "security",
"rules": [
{
"rule_code": "CUSTOM001",
"name": "敏感信息硬编码",
"description": "检测代码中硬编码的敏感信息",
"category": "security",
"severity": "critical",
"custom_prompt": "检查是否存在硬编码的密码、API Key、Token、私钥等敏感信息",
"fix_suggestion": "使用环境变量或配置文件存储敏感信息"
}
]
}
```
---
## 提示词模板配置
DeepAudit 支持自定义审计提示词模板,可以针对不同场景优化分析效果。
### 访问方式
1. 登录系统后,访问 `/prompts` 提示词管理页面
2. 或点击侧边栏的"提示词管理"菜单
### 内置模板
#### 1. 默认代码审计(默认)
全面的代码审计提示词,涵盖安全、性能、代码质量等多个维度:
```
你是一个专业的代码审计助手。请从以下维度全面分析代码:
- 安全漏洞SQL注入、XSS、命令注入、路径遍历、SSRF、XXE、反序列化、硬编码密钥等
- 潜在的 Bug 和逻辑错误
- 性能问题和优化建议
- 编码规范和代码风格
- 可维护性和可读性
- 最佳实践和设计模式
请尽可能多地找出代码中的所有问题,不要遗漏任何安全漏洞或潜在风险!
```
#### 2. 安全专项审计
专注于安全漏洞检测的提示词模板:
```
你是一个专业的安全审计专家。请专注于检测以下安全问题:
【注入类漏洞】
- SQL注入包括盲注、时间盲注、联合查询注入
- 命令注入OS命令执行
- LDAP注入、XPath注入、NoSQL注入
【跨站脚本XSS
- 反射型XSS、存储型XSS、DOM型XSS
【认证与授权】
- 硬编码凭证、弱密码策略、会话管理问题、权限绕过
【敏感数据】
- 敏感信息泄露、不安全的加密、明文传输敏感数据
【其他安全问题】
- SSRF、XXE、反序列化漏洞、路径遍历、文件上传漏洞、CSRF
请详细说明每个漏洞的风险等级、利用方式和修复建议。
```
#### 3. 性能优化审计
专注于性能问题检测的提示词模板:
```
你是一个专业的性能优化专家。请专注于检测以下性能问题:
【数据库性能】
- N+1查询问题、缺少索引、不必要的全表扫描、大量数据一次性加载、未使用连接池
【内存问题】
- 内存泄漏、大对象未及时释放、缓存使用不当、循环中创建大量对象
【算法效率】
- 时间复杂度过高、不必要的重复计算、可优化的循环、递归深度过大
【并发问题】
- 线程安全问题、死锁风险、资源竞争、不必要的同步
【I/O性能】
- 同步阻塞I/O、未使用缓冲、频繁的小文件操作、网络请求未优化
请提供具体的优化建议和预期的性能提升。
```
#### 4. 代码质量审计
专注于代码质量和可维护性的提示词模板:
```
你是一个专业的代码质量审计专家。请专注于检测以下代码质量问题:
【代码规范】
- 命名不规范(变量、函数、类)、代码格式不一致、注释缺失或过时、魔法数字/字符串
【代码结构】
- 函数过长超过50行、类职责不单一、嵌套层级过深、重复代码
【可维护性】
- 高耦合低内聚、缺少错误处理、硬编码配置、缺少日志记录
【设计模式】
- 违反SOLID原则、可使用设计模式优化的场景、过度设计
【测试相关】
- 难以测试的代码、缺少边界条件处理、依赖注入问题
请提供具体的重构建议和代码示例。
```
### 自定义模板
可以创建自定义提示词模板:
- **模板名称**: 模板的简短名称
- **模板描述**: 模板用途说明
- **中文提示词**: 中文版本的系统提示词
- **英文提示词**: 英文版本的系统提示词
- **模板变量**: 可在提示词中使用的变量
### 提示词测试
在创建或编辑模板时,可以使用"测试"功能验证提示词效果:
1. 选择测试代码语言(支持 Python、JavaScript、Java、Go、Swift、Kotlin 等)
2. 输入测试代码片段(或使用内置示例代码)
3. 选择输出语言(中文/英文)
4. 点击"测试"按钮查看分析结果
### 在审计任务中使用
创建审计任务时,可以选择:
1. **规则集**: 选择要应用的审计规则集
2. **提示词模板**: 选择要使用的提示词模板
---
## 提示词架构详解
本节详细说明 DeepAudit 如何构建发送给 LLM 的完整提示词。
### 提示词组成结构
发送给 LLM 的提示词由以下部分组成:
```
┌─────────────────────────────────────────────────────────────┐
│ System Prompt (系统提示词) │
├─────────────────────────────────────────────────────────────┤
│ ① 提示词模板内容 (来自数据库或默认模板) │
│ - 定义 AI 的角色和任务 │
│ - 指定分析维度和重点 │
├─────────────────────────────────────────────────────────────┤
│ ② 输出格式要求 │
│ - JSON Schema 定义 │
│ - 字段说明和约束 │
├─────────────────────────────────────────────────────────────┤
│ ③ 审计规则 (如果选择了规则集) │
│ - 规则代码、名称、描述 │
│ - 每条规则的检测提示词 │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ User Prompt (用户提示词) │
├─────────────────────────────────────────────────────────────┤
│ ④ 编程语言 │
│ ⑤ 带行号的代码内容 │
└─────────────────────────────────────────────────────────────┘
```
### 完整系统提示词示例(中文版)
以下是使用默认模板 + OWASP Top 10 规则集时,发送给 LLM 的完整系统提示词:
```
你是一个专业的代码审计助手。请从以下维度全面分析代码:
- 安全漏洞SQL注入、XSS、命令注入、路径遍历、SSRF、XXE、反序列化、硬编码密钥等
- 潜在的 Bug 和逻辑错误
- 性能问题和优化建议
- 编码规范和代码风格
- 可维护性和可读性
- 最佳实践和设计模式
请尽可能多地找出代码中的所有问题,不要遗漏任何安全漏洞或潜在风险!
【输出格式要求】
1. 必须只输出纯JSON对象
2. 禁止在JSON前后添加任何文字、说明、markdown标记
3. 所有文本字段title, description, suggestion等必须使用中文输出
4. 输出格式必须符合以下 JSON Schema
{
"issues": [
{
"type": "security|bug|performance|style|maintainability",
"severity": "critical|high|medium|low",
"title": "string",
"description": "string",
"suggestion": "string",
"line": 1,
"column": 1,
"code_snippet": "string",
"rule_code": "string (optional, if matched a specific rule)"
}
],
"quality_score": 0-100,
"summary": {
"total_issues": number,
"critical_issues": number,
"high_issues": number,
"medium_issues": number,
"low_issues": number
}
}
【审计规则】请特别关注以下规则:
- [A01] 访问控制失效: 检测权限绕过、越权访问、IDOR等访问控制问题
检测要点: 检查是否存在访问控制失效问题权限检查缺失、越权访问、IDOR不安全的直接对象引用、CORS配置错误
- [A02] 加密机制失效: 检测弱加密、明文传输、密钥管理不当等问题
检测要点: 检查是否存在加密问题:使用弱加密算法(MD5/SHA1/DES)、明文存储密码、硬编码密钥、不安全的随机数生成
- [A03] 注入攻击: 检测SQL注入、命令注入、LDAP注入等注入漏洞
检测要点: 检查是否存在注入漏洞SQL注入、命令注入、LDAP注入、XPath注入、NoSQL注入、表达式语言注入
... (其他规则)
```
### 用户提示词示例
```
编程语言: Python
代码已标注行号(格式:行号| 代码内容),请根据行号准确填写 line 字段。
请分析以下代码:
1| import sqlite3
2|
3| def get_user(user_id):
4| conn = sqlite3.connect('users.db')
5| cursor = conn.cursor()
6| query = f"SELECT * FROM users WHERE id = {user_id}"
7| cursor.execute(query)
8| return cursor.fetchone()
```
### 不使用自定义模板时的默认提示词
当没有选择提示词模板时,系统使用硬编码的默认提示词(中文版):
```
⚠️⚠️⚠️ 只输出JSON禁止输出其他任何格式禁止markdown禁止文本分析
你是一个专业的代码审计助手。你的任务是分析代码并返回严格符合JSON Schema的结果。
【最重要】输出格式要求:
1. 必须只输出纯JSON对象从{开始,到}结束
2. 禁止在JSON前后添加任何文字、说明、markdown标记
3. 禁止输出```json或###等markdown语法
4. 如果是文档文件如README也必须以JSON格式输出分析结果
【内容要求】:
1. 所有文本内容必须统一使用简体中文
2. JSON字符串值中的特殊字符必须正确转义换行用\n双引号用\",反斜杠用\\
3. code_snippet字段必须使用\n表示换行
请从以下维度全面、彻底地分析代码,找出所有问题:
- 安全漏洞SQL注入、XSS、命令注入、路径遍历、SSRF、XXE、反序列化、硬编码密钥等
- 潜在的 Bug 和逻辑错误
- 性能问题和优化建议
- 编码规范和代码风格
- 可维护性和可读性
- 最佳实践和设计模式
【重要】请尽可能多地找出代码中的所有问题,不要遗漏任何安全漏洞或潜在风险!
输出格式必须严格符合以下 JSON Schema
{
"issues": [
{
"type": "security|bug|performance|style|maintainability",
"severity": "critical|high|medium|low",
"title": "string",
"description": "string",
"suggestion": "string",
"line": 1,
"column": 1,
"code_snippet": "string",
"ai_explanation": "string",
"xai": {
"what": "string",
"why": "string",
"how": "string",
"learn_more": "string(optional)"
}
}
],
"quality_score": 0-100,
"summary": {
"total_issues": number,
"critical_issues": number,
"high_issues": number,
"medium_issues": number,
"low_issues": number
},
"metrics": {
"complexity": 0-100,
"maintainability": 0-100,
"security": 0-100,
"performance": 0-100
}
}
注意:
- title: 问题的简短标题(中文)
- description: 详细描述问题(中文)
- suggestion: 具体的修复建议(中文)
- line: 问题所在的行号从1开始计数必须准确对应代码中的行号
- column: 问题所在的列号从1开始计数指向问题代码的起始位置
- code_snippet: 包含问题的代码片段
- ai_explanation: AI 的深入解释(中文)
- xai.what: 这是什么问题(中文)
- xai.why: 为什么会有这个问题(中文)
- xai.how: 如何修复这个问题(中文)
【重要】关于行号和代码片段:
1. line 必须是问题代码的行号!代码左侧有"行号|"标注
2. column 是问题代码在该行中的起始列位置
3. code_snippet 应该包含问题代码及其上下文前后各1-2行
4. 如果代码片段包含多行,必须使用 \n 表示换行符
5. 如果无法确定准确的行号不要填写line和column字段
【严格禁止】:
- 禁止在任何字段中使用英文,所有内容必须是简体中文
- 禁止在JSON字符串值中使用真实换行符必须用\n转义
- 禁止输出markdown代码块标记如```json
⚠️ 重要提醒line字段必须从代码左侧的行号标注中读取不要猜测或填0
```
### 提示词优先级
1. **用户选择的提示词模板** > **数据库默认模板** > **硬编码默认提示词**
2. 规则集是可选的,如果选择了规则集,规则会追加到系统提示词末尾
---
## 更多资源
- [部署指南](DEPLOYMENT.md) - 详细的部署说明

2
frontend/package.json
View File

@ -1,6 +1,6 @@
{
"name": "deep-audit",
"version": "2.0.0-beta.6",
"version": "2.0.0-beta.7",
"type": "module",
"scripts": {
"dev": "vite",