安全优先的审查流程

reviewOptions:
  security: true

名称：禁止原始 SQL 查询
范围：文件
路径：**/*.ts, **/*.js, **/*.py
严重性：严重
说明：
  标记任何使用字符串拼接或模板字面量构建 SQL 查询的情况。
  查找模式如：
  - `query("SELECT ... " + variable)`
  - `query(\`SELECT ... ${variable}\`)`
  - `execute(f"SELECT ... {variable}")`
  必须使用参数化查询或 ORM。

名称：禁止硬编码密钥或凭据
范围：文件
路径：**/*
严重性：严重
说明：
  标记 fileDiff 中看起来像 API 密钥、密码、令牌或密钥的任何字符串。
  需要捕获的模式：
  - 名为 *_KEY、*_SECRET、*_TOKEN、*_PASSWORD 且赋值为字符串字面量的变量
  - 匹配 "sk_live_"、"ghp_"、"AKIA"、"Bearer " 后跟长字符串的模式
  - 包含嵌入密码的连接字符串
  密钥必须来自环境变量或保管库。

名称：不得跳过认证中间件
范围：拉取请求
严重性：严重
说明：
  检查 pr_files_diff 中是否有任何处理用户数据但没有认证中间件的路由或控制器。
  查找：
  - 没有 @UseGuards、@Authenticated 或等效装饰器的新路由
  - 中间件绕过模式如 skipAuth: true
  - 访问用户特定数据的公共端点
  参考 @file:src/shared/auth/guards/ 了解批准的认证模式。

名称：禁止未经清理的 dangerouslySetInnerHTML
范围：文件
路径：**/*.tsx, **/*.jsx
严重性：严重
说明：
  标记 fileDiff 中任何使用 dangerouslySetInnerHTML 的情况。
  如果使用，验证输入是否已使用 DOMPurify 或等效库进行清理。
  未清理的 HTML 注入是严重的 XSS 漏洞。

@kody remember: all user input must be validated and sanitized
before use. Never trust client-side data.

@kody remember: all API endpoints that handle sensitive data
must use HTTPS only and include rate limiting.

@kody remember: error messages must never expose stack traces,
internal paths, or database details to the client.

名称：禁止已知漏洞的依赖项
范围：拉取请求
严重性：严重
说明：
  如果 pr_files_diff 修改了 package.json、requirements.txt
  或任何依赖文件，使用 @MCP 检查添加或更新的包中是否存在
  已知漏洞。标记任何具有已知严重 CVE 的依赖项。