Skip to content

v1.6.0 — 真实合并门禁与结构化审查

Choose a tag to compare

@SakuraCianna SakuraCianna released this 12 Jul 03:48
73811dd

v1.6.0 — 真实合并门禁与结构化审查

v1.6.0 将 Agentic SDLC MCP 的 PR 棵查从局部启发式升级为证据驱动的真实合并门禁,并引入任务类型感知的结构化审查与分层密钥安全能力。

完整变更见 PR #33

Highlights

  • quality_gate_status 聚合 check runs、commit statuses、reviews、CODEOWNERS、branch protection/rulesets、blocking labels、关联 Issue、draft 与 mergeability
  • review_pr_against_standard 支持 docs、feature、bugfix、refactor、security、release、infra,并输出结构化审查维度
  • 明确 passing / failing / pending / policy-gap / unverified;关键证据不完整时 fail-closed
  • release_readiness_check 仅在至少一个明确 passing 且不存在失败、等待或证据缺口时 ready

Security

  • 新增最小权限、完整 SHA 固定的 Gitleaks workflow
  • Gitleaks/TruffleHog passing 证据绑定具体 Actions job、run、reviewed head 和唯一 base workflow scanner job
  • 拒绝同名/重名 noop job、未知 App、commit status 冒充、条件/允许失败 scanner、可变 action tag 和 provenance API 失败
  • 新增有界的动态凭据风险检测:多行拼接、格式化、join/concat、解码、多语言插值/builder、认证头 API sink、嵌套/计算属性与 patch-local 字段别名
  • 1MB 单行、100 行或 64,000 字符 statement 不会导致崩溃或静默放行;无法完整检查时返回 high 级 evidence-incomplete
  • 统一 Markdown 安全渲染与外部数据输出上限

Compatibility

  • 保留 ref 模式及现有 review standard
  • baseRef 为 deprecated compatibility field;headRef 支持 branch、tag 或 commit SHA
  • 没有新增自动合并、强推、分支删除等写能力
  • 内置动态构造检查仍是 patch-local 补充证据,不能替代跨文件数据流、CodeQL/SAST、成熟 scanner 或人工审查

Validation

  • 24 个测试文件,658 个测试通过
  • TypeScript typecheck、build、smoke 通过
  • npm audit:0 vulnerabilities
  • Gitleaks:提交历史、PR、main 工作树均 0 leaks
  • npm pack dry-run:agentic-sdlc-mcp@1.6.0,100 个条目
  • 独立 reviewer:通过,无阻断 finding
  • main CI 与 Secret Scan:通过

Issues

Next

v1.7 将按官方流程发布到 modelcontextprotocol/registry,包括 server.json、npm mcpName 一致性、mcp-publisher 与 GitHub OIDC Registry 认证。