asiaostrich/locales/zh-CN/skills/project-discovery
locales/zh-CN/skills/project-discovery/SKILL.md
在既有代码库新增功能前的 Phase 0 评估,评估项目健康度、架构与风险。 使用时机:新增功能前、项目健康度检查、风险评估。 关键字:discover, assessment, health, risk, 评估, 健康度, 风险, 架构。
$ install --global
skillsauthnpx skillsauth add asiaostrich/universal-dev-standards locales/zh-CN/skills/project-discoveryInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 20, 2026, 3:18 PM1.5s1 file scanned
SKILL.md
- source:
- ../../../../skills/project-discovery/SKILL.md
- source_version:
- 1.1.0
- translation_version:
- 1.1.0
- last_synced:
- 2026-03-26
- status:
- current
- description:
- |
项目现况评估
语言: English | 简体中文
在既有代码库新增功能前的 Phase 0 评估。评估项目健康度、架构与风险。
评估维度
| 维度 | 检查项目 |
|------|----------|
| 架构 | 模块结构、依赖图、入口点 |
| 依赖套件 | 过时套件、已知漏洞、授权风险 |
| 测试覆盖率 | 现有测试、覆盖率缺口、测试质量 |
| 安全性 | npm audit 结果、硬编码密钥、暴露端点 |
| 技术债 | TODO 标记、代码重复、复杂度热点 |
工作流程
- 扫描项目 - 读取 package.json、目录结构、配置文件
- 分析架构 - 绘制模块、依赖性和数据流图
- 检查依赖套件 - 执行
npm outdated、npm audit获取健康信号 - 评估风险 - 识别复杂度热点、缺失测试、安全问题
- 生成报告 - 输出健康分数与可执行的建议
输出格式
项目健康报告
=====================
总分:7.2 / 10
| 维度 | 分数 | 状态 | 主要发现 |
|----------------|-------|---------|------------------------|
| 架构 | 8/10 | 良好 | 模块边界清晰 |
| 依赖套件 | 6/10 | 警告 | 5 个过时、1 个重大问题 |
| 测试覆盖率 | 7/10 | 尚可 | 72% 行覆盖率 |
| 安全性 | 8/10 | 良好 | 无重大漏洞 |
| 技术债 | 6/10 | 警告 | 23 个 TODO、3 个热点 |
建议:
1. [高] 更新 lodash 以修复 CVE-2024-XXXX
2. [中] 为 src/payments/ 新增测试(0% 覆盖率)
3. [低] 解决 src/utils/ 中的 TODO 积压
风险登记簿
评估完成后,已识别的风险记录在结构化的风险登记簿中进行持续追踪。
风险矩阵
影响
低 中 高
高 [ 中 ] [ 高 ] [重大]
中 [ 低 ] [ 中 ] [ 高 ] 可能性
低 [ 低 ] [ 低 ] [ 中 ]
风险登记簿模板
# 风险登记簿 — [项目名称]
**最后更新**:YYYY-MM-DD
| ID | 类别 | 描述 | 可能性 | 影响 | 等级 | 负责人 | 缓解措施 | 状态 |
|----|------|------|--------|------|------|--------|----------|------|
| RISK-001 | 安全性 | 过时依赖套件有 CVE | 高 | 高 | 重大 | @dev | npm audit fix | 开放 |
| RISK-002 | 性能 | 无负载测试 | 中 | 高 | 高 | @ops | 新增 k6 测试 | 开放 |
| RISK-003 | 质量 | 支付模块测试覆盖率低 | 高 | 中 | 高 | @qa | 新增集成测试 | 缓解中 |
风险状态生命周期
已识别 ──► 缓解中 ──► 已解决 ──► 已关闭
│
└──► 已接受(附理由说明)
风险存放
docs/risks/
├── RISK-REGISTER.md # 活跃风险登记簿
├── RISK-REGISTER-2026-Q1.md # 季度快照(可选)
└── README.md # 索引
使用方式
/discover- 完整项目健康度评估/discover auth- 针对 auth 相关模块进行评估/discover payments- 在新增支付功能前评估风险/discover --risks- 查看当前风险登记簿/discover --update-risk RISK-NNN- 更新风险项目状态
下一步引导
/discover 完成后,AI 助手应根据评估结果建议:
根据评估结果,建议下一步:
- 新功能 → 执行
/sdd建立规格- 遗留代码 → 执行
/reverse spec提取现有行为- 重构 → 执行
/refactor decide选择策略- 快速修复 → 执行
/tdd撰写针对性测试并修复- 风险追踪 → 执行
/discover --risks查看风险登记簿- 架构决策 → 执行
/adr记录探索过程中的决策
参考
- 详细指南:guide.md
Related Skills
asiaostrich/sweep
development
VerifiedTrustedCommunity
[UDS] 扫描代码库的调试残留与代码质量问题;可自动修正安全模式。 Use when: before committing, during PR review, or periodic codebase cleanup. Keywords: sweep, debug cleanup, console.log, debugger, TODO, ts-any, code quality, 扫描, 清理.
69SKILL.mdUpdated Jun 4, 2026
asiaostrich/spec-derive
tools
VerifiedTrustedCommunity
[UDS] 从规格衍生 BDD 场景、TDD 骨架或 ATDD 表格
69SKILL.mdUpdated Jun 4, 2026
asiaostrich/skill-builder
development
VerifiedTrustedCommunity
[UDS] 识别重复流程并以正确的开发深度构建 Skill
69SKILL.mdUpdated Jun 4, 2026
asiaostrich/push
tools
VerifiedTrustedCommunity
[UDS] AI 辅助 git push 安全层:质量门禁 + 协作护栏。 Use when: pushing commits, force pushing, pushing to protected branches, pushing feature branches. Keywords: git push, force push, protected branch, quality gate, push receipt, PR automation, 推送, 保护分支, 质量门禁.
69SKILL.mdUpdated Jun 4, 2026