v1.6.0 — 真实合并门禁与结构化审查
v1.6.0 — 真实合并门禁与结构化审查
v1.6.0 将 Agentic SDLC MCP 的 PR 棵查从局部启发式升级为证据驱动的真实合并门禁,并引入任务类型感知的结构化审查与分层密钥安全能力。
完整变更见 PR #33。
Highlights
- quality_gate_status 聚合 check runs、commit statuses、reviews、CODEOWNERS、branch protection/rulesets、blocking labels、关联 Issue、draft 与 mergeability
- review_pr_against_standard 支持 docs、feature、bugfix、refactor、security、release、infra,并输出结构化审查维度
- 明确 passing / failing / pending / policy-gap / unverified;关键证据不完整时 fail-closed
- release_readiness_check 仅在至少一个明确 passing 且不存在失败、等待或证据缺口时 ready
Security
- 新增最小权限、完整 SHA 固定的 Gitleaks workflow
- Gitleaks/TruffleHog passing 证据绑定具体 Actions job、run、reviewed head 和唯一 base workflow scanner job
- 拒绝同名/重名 noop job、未知 App、commit status 冒充、条件/允许失败 scanner、可变 action tag 和 provenance API 失败
- 新增有界的动态凭据风险检测:多行拼接、格式化、join/concat、解码、多语言插值/builder、认证头 API sink、嵌套/计算属性与 patch-local 字段别名
- 1MB 单行、100 行或 64,000 字符 statement 不会导致崩溃或静默放行;无法完整检查时返回 high 级 evidence-incomplete
- 统一 Markdown 安全渲染与外部数据输出上限
Compatibility
- 保留 ref 模式及现有 review standard
- baseRef 为 deprecated compatibility field;headRef 支持 branch、tag 或 commit SHA
- 没有新增自动合并、强推、分支删除等写能力
- 内置动态构造检查仍是 patch-local 补充证据,不能替代跨文件数据流、CodeQL/SAST、成熟 scanner 或人工审查
Validation
- 24 个测试文件,658 个测试通过
- TypeScript typecheck、build、smoke 通过
- npm audit:0 vulnerabilities
- Gitleaks:提交历史、PR、main 工作树均 0 leaks
- npm pack dry-run:agentic-sdlc-mcp@1.6.0,100 个条目
- 独立 reviewer:通过,无阻断 finding
- main CI 与 Secret Scan:通过
Issues
Next
v1.7 将按官方流程发布到 modelcontextprotocol/registry,包括 server.json、npm mcpName 一致性、mcp-publisher 与 GitHub OIDC Registry 认证。