Merge branch '3.6.x'

Author: CodeCasterX

.opencode/COMMAND_STYLE_GUIDE.md

@@ -9,35 +9,41 @@ subtask: false
 执行以下步骤:
 
 1. 获取 Issue 信息:
-   - 使用 gh issue view $1 --json number,title,body,labels 获取 Issue 详情
-   - 如果 Issue 不存在,提示用户检查 Issue 编号
+   !`gh issue view $1 --json number,title,body,labels`
+   
+   如果 Issue 不存在,提示用户检查 Issue 编号
 
-2. 创建任务目录:
-   - 创建 .ai-workspace/active/TASK-!`date +%Y%m%d-%H%M%S`/ 目录
-   - 使用 .ai-agents/templates/task.md 模板创建 task.md 文件
+2. 生成任务ID:
+   !`date +%Y%m%d-%H%M%S`
+
+3. 创建任务目录:
+   !`mkdir -p .ai-workspace/active/TASK-$(date +%Y%m%d-%H%M%S)/`
+   
+   使用 Write 工具基于 .ai-agents/templates/task.md 模板创建 task.md 文件:
    - 填写任务元数据: issue_number, title, created_at, workflow 等
+   - created_at 和 updated_at 使用步骤2获取的时间戳
 
-3. 执行需求分析:
+4. 执行需求分析:
    - 阅读并理解 Issue 描述
    - 搜索相关代码文件(使用 glob/grep)
    - 分析代码结构和影响范围
    - 识别潜在的技术风险和依赖
    - 评估工作量和复杂度
 
-4. 输出分析文档到 analysis.md,包含:
+5. 输出分析文档到 analysis.md,包含:
    - 需求理解(重新描述需求)
    - 相关文件列表(带文件路径和行号)
    - 影响范围评估(直接影响和间接影响)
    - 技术风险
    - 依赖关系
    - 工作量和复杂度评估
 
-5. 更新任务状态:
+6. 更新任务状态:
    - current_step: requirement-analysis
    - updated_at: 当前时间
    - 标记 analysis.md 为已完成
 
-6. 告知用户:
+7. 告知用户:
    - 输出任务ID、标题、工作流
    - 显示输出文件路径
    - 提示下一步使用 /plan $TASK_ID 设计技术方案

.opencode/commands/analyze-issue.md

@@ -8,19 +8,29 @@ subtask: false
 
 执行以下步骤:
 
-1. 获取安全告警信息:
-   !`gh api repos/<owner>/<repo>/dependabot/alerts/$1`
+1. 获取仓库信息和安全告警:
+   !`gh repo view --json owner,name -q '.owner.login + "/" + .name'`
+   
+   使用获取的仓库信息查询安全告警:
+   !`gh api "repos/{owner}/{repo}/dependabot/alerts/$1"`
 
    提取关键信息:
    - number, state, severity
    - security_advisory: ghsa_id, cve_id, summary, description
    - dependency: package.name, package.ecosystem, manifest_path
    - security_vulnerability: first_patched_version, vulnerable_version_range
 
-2. 创建任务文件:
-   - 检查是否已存在该安全告警的任务
-   - 如果没有,创建新任务目录: .ai-workspace/active/TASK-!`date +%Y%m%d-%H%M%S`/
-   - 使用 .ai-agents/templates/task.md 模板创建 task.md
+2. 检查是否已存在相关任务:
+   !`grep -r "security_alert_number: $1" .ai-workspace/active/ .ai-workspace/blocked/ 2>/dev/null || echo "无现有任务"`
+
+3. 生成任务ID:
+   !`date +%Y%m%d-%H%M%S`
+
+4. 创建任务文件:
+   如果不存在相关任务,创建新任务目录:
+   !`mkdir -p .ai-workspace/active/TASK-$(date +%Y%m%d-%H%M%S)/`
+   
+   使用 Write 工具基于 .ai-agents/templates/task.md 模板创建 task.md:
    - 填写任务元数据:
      ```yaml
      security_alert_number: $1
@@ -29,23 +39,23 @@ subtask: false
      ghsa_id: <GHSA-ID>
      ```
 
-3. 分析受影响范围:
+5. 分析受影响范围:
    - 识别受影响的依赖包和版本
    - 搜索项目中使用该依赖的所有位置(使用 glob/grep)
    - 检查依赖文件(pom.xml, requirements.txt, package.json 等)
    - 分析是否直接使用了漏洞代码路径
    - 识别依赖关系(直接依赖 vs 传递依赖)
    - 定位受影响的代码模块和文件
 
-4. 评估安全风险:
+6. 评估安全风险:
    - 评估漏洞的实际影响(是否可被利用)
    - 分析漏洞触发条件和场景
    - 评估对系统安全性的影响程度
    - 识别潜在的安全威胁
    - 确定修复的紧急程度
    - 查找是否有已知的攻击案例
 
-5. 输出分析文档到 analysis.md,包含:
+7. 输出分析文档到 analysis.md,包含:
    - 告警基本信息(编号、严重程度、GHSA/CVE ID、描述)
    - 漏洞详情(受影响的依赖、版本范围、修复版本)
    - 依赖使用情况(依赖文件位置、依赖类型、使用模块列表)
@@ -54,12 +64,12 @@ subtask: false
    - 技术依赖和约束
    - 参考链接(CVE/GHSA链接、厂商公告、安全建议)
 
-6. 更新任务状态:
+8. 更新任务状态:
     - current_step: security-analysis
     - updated_at: 当前时间
     - 标记 analysis.md 为已完成
 
-7. 告知用户:
+9. 告知用户:
    - 输出任务ID、漏洞严重程度、受影响包
    - 显示输出文件路径
    - 提示下一步使用 /plan <task-id> 设计修复方案

.opencode/commands/analyze-security.md

@@ -23,7 +23,7 @@ subtask: false
 执行以下步骤:
 
 1. 验证任务存在:
-   !`ls -la .ai-workspace/active/$1/task.md`
+   !`test -f .ai-workspace/active/$1/task.md && echo "✅ 任务存在" || echo "❌ ERROR: 任务不存在"`
 
 2. 分析并记录阻塞原因:
    询问用户或根据 $2 参数确定:
@@ -33,25 +33,29 @@ subtask: false
    - 尝试的解决方案: 已经尝试了哪些方法?
    - 需要的帮助: 需要谁来帮助?需要什么资源?
 
-3. 更新任务状态(CRITICAL):
-   使用 Edit 工具更新 task.md:
-   ```yaml
-   status: blocked
-   current_step: <保持不变>
-   updated_at: !`date '+%Y-%m-%d %H:%M:%S'`
-   blocked_at: !`date '+%Y-%m-%d %H:%M:%S'`
-   blocked_by: opencode
-   blocked_reason: <简短描述阻塞原因>
-   ```
+3. 获取当前时间:
+   !`date '+%Y-%m-%d %H:%M:%S'`
+
+4. 更新任务状态(CRITICAL):
+   使用 Edit 工具更新 task.md 的 YAML front matter:
+   - status: blocked
+   - current_step: <保持不变>
+   - updated_at: <使用步骤3获取的时间>
+   - blocked_at: <使用步骤3获取的时间>
+   - blocked_by: opencode
+   - blocked_reason: <简短描述阻塞原因>
 
-4. 在 task.md 中添加"阻塞信息"章节:
+5. 在 task.md 中添加"阻塞信息"章节:
+   
+   使用 Edit 工具在 task.md 末尾添加以下内容:
+   
    ```markdown
    ---
 
    ## ⚠️ 阻塞信息
 
    ### 阻塞概要
-   - **阻塞时间**: !`date '+%Y-%m-%d %H:%M:%S'`
+   - **阻塞时间**: <使用步骤3获取的时间>
    - **阻塞步骤**: <current_step>
    - **阻塞者**: opencode
    - **阻塞类型**: <技术问题/需求问题/资源问题/决策问题>
@@ -78,20 +82,18 @@ subtask: false
    - [ ] 条件 2
    ```
 
-5. 移动到阻塞目录(CRITICAL):
-   ```bash
-   mkdir -p .ai-workspace/blocked
-   mv .ai-workspace/active/$1 .ai-workspace/blocked/
-   ```
+6. 移动到阻塞目录(CRITICAL):
+   !`mkdir -p .ai-workspace/blocked`
+   !`mv .ai-workspace/active/$1 .ai-workspace/blocked/`
 
-6. 验证移动成功:
-   !`test ! -d .ai-workspace/active/$1 && echo "已移除 active 目录" || echo "ERROR: active 目录仍存在"`
-   !`test -d .ai-workspace/blocked/$1 && echo "已移动到 blocked" || echo "ERROR: 移动失败"`
+7. 验证移动成功:
+   !`test ! -d .ai-workspace/active/$1 && echo "✅ 已移除 active 目录" || echo "❌ ERROR: active 目录仍存在"`
+   !`test -d .ai-workspace/blocked/$1 && echo "✅ 已移动到 blocked" || echo "❌ ERROR: 移动失败"`
 
-7. 可选: 同步到 Issue:
+8. 可选: 同步到 Issue:
    如果有关联 Issue,使用 /sync-issue <issue-number> 更新阻塞状态
 
-8. 告知用户:
+9. 告知用户:
    ```
    ⚠️  任务 $1 已标记为阻塞
    
@@ -117,10 +119,13 @@ subtask: false
 
 **解除阻塞**:
 当问题解决后,手动解除阻塞:
-```bash
-mv .ai-workspace/blocked/$1 .ai-workspace/active/
-# 然后使用 Edit 工具更新 task.md,将 status 改回 active,移除 blocked_* 字段
-```
+
+!`mv .ai-workspace/blocked/$1 .ai-workspace/active/`
+
+然后使用 Edit 工具更新 task.md:
+- 将 status 改回 active
+- 移除 blocked_at, blocked_by, blocked_reason 字段
+- 更新 updated_at 为当前时间
 
 **注意事项**:
 - 及时标记,不要拖延

.opencode/commands/block-task.md

@@ -9,7 +9,7 @@ subtask: false
 执行以下步骤:
 
 1. 获取安全告警信息:
-   !`gh api repos/<owner>/<repo>/dependabot/alerts/$1`
+   !`gh api "repos/{owner}/{repo}/dependabot/alerts/$1"`
 
    验证告警状态:
    - 如果已经是 dismissed 或 fixed 状态,提示用户并退出
@@ -61,13 +61,7 @@ subtask: false
    ```
 
 6. 执行关闭操作:
-   ```bash
-   gh api --method PATCH \
-     repos/<owner>/<repo>/dependabot/alerts/$1 \
-     -f state=dismissed \
-     -f dismissed_reason="<API参数>" \
-     -f dismissed_comment="<用户的详细说明>"
-   ```
+   !`gh api --method PATCH "repos/{owner}/{repo}/dependabot/alerts/$1" -f state=dismissed -f dismissed_reason="<API参数>" -f dismissed_comment="<用户的详细说明>" && echo "✅ 告警已关闭" || echo "❌ ERROR: 关闭失败"`
 
    **选项到 API 参数的映射**:
    - 误报 → not_used 或 inaccurate
@@ -77,8 +71,9 @@ subtask: false
    - 测试或开发依赖 → not_used
 
 7. 记录到任务(如果存在):
-   - 搜索包含 security_alert_number: $1 的任务
-   - 如果找到,添加关闭记录并归档任务
+   !`grep -r "security_alert_number: $1" .ai-workspace/active/ .ai-workspace/blocked/ 2>/dev/null || echo "⚠️  无关联任务"`
+   
+   如果找到相关任务,添加关闭记录并归档任务
 
 8. 告知用户:
    ```

.opencode/commands/close-security.md

@@ -18,10 +18,13 @@ subtask: false
    !`git diff --cached --name-only`
 
 3. 对于每个修改的文件,检查是否包含版权头:
-   - 使用 grep "Copyright" 查找版权头
-   - 如果文件包含版权头且年份不是当前年份,使用 Edit 工具更新
-   - 更新格式示例: "Copyright (C) 2024-2025" → "Copyright (C) 2024-!`date +%Y`"
-   - **绝对不要**硬编码年份
+   - 使用 Read 工具读取文件内容
+   - 使用 grep 查找版权头: !`grep -l "Copyright" <file-path> 2>/dev/null || echo "无版权头"`
+   - 如果文件包含版权头且年份过期,使用 Edit 工具更新
+   - 更新格式示例（假设当前年份为 2026）:
+     * "Copyright (C) 2024-2025" → "Copyright (C) 2024-2026"
+     * "Copyright (C) 2024" → "Copyright (C) 2024-2026"
+   - **绝对不要**硬编码年份，始终使用步骤1获取的当前年份
    - **只更新修改的文件**,不批量更新所有文件
 
 **步骤 2: 分析变更并生成提交信息**
@@ -31,23 +34,78 @@ subtask: false
    !`git diff`
    !`git log --oneline -5`
 
-2. 分析变更:
-   - 确定变更类型(新功能/增强/Bug修复/重构/测试/文档等)
-   - 生成符合规范的提交消息(参考最近的 commit 格式)
-   - 提交消息格式: `<type>(<scope>): <subject>`，subject 使用中文且约 20 字以内
-   - scope 为模块名(如 fit、waterflow、fel)，可省略
+2. 分析变更并生成**详细的**提交消息:
+
+   **提交消息结构（CRITICAL）**:
+   ```
+   <type>(<scope>): <subject>
+
+   <body>
+
+   Co-Authored-By: <你的模型名称> <noreply@anthropic.com>
+   ```
+
+   **各部分要求**:
+   - **标题行**: `<type>(<scope>): <subject>`
+     * type: feat/fix/refactor/docs/build/test/chore 等
+     * scope: 模块名(如 fit、waterflow、fel)，可省略
+     * subject: 中文，约 20 字以内，概括变更
+
+   - **正文(body)**: 详细说明变更内容
+     * 用 2-4 个要点说明具体做了什么
+     * 每个要点用 `-` 开头
+     * 解释"为什么"这样改，而不仅仅是"改了什么"
+
+   - **签名**: 始终添加 Co-Authored-By，模型名称由你自己声明（如 Claude Sonnet 4.5、GPT-5.2、Gemini-3 等）
+
+   **示例**（仅供参考格式，不要直接复制内容）:
+   ```
+   docs(opencode): 规范命令编写标准并添加风格指南
+
+   优化所有自定义命令的执行方式:
+   - 统一使用 `!` 标记可执行命令
+   - 添加错误处理和状态检查
+   - 改进时间戳获取方式（先获取再引用）
+   - 新增 COMMAND_STYLE_GUIDE.md 编写规范文档
+
+   Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
+   ```
+
    - 不要提交敏感文件(.env, credentials.json等)
 
 **步骤 3: 提交代码**
 
 1. 添加文件到暂存区:
-   !`git add <相关文件>`
+   !`git add .`
+
+   或指定特定文件:
+   !`git add <file1> <file2>`
 
 2. 创建提交:
-   !`git commit -m "<提交消息>"`
+
+   使用 HEREDOC 格式执行 git commit，支持多行提交消息。
+
+   **命令格式**（仅供参考，实际执行时替换占位符）:
+   ```bash
+   git commit -m "$(cat <<'EOF'
+   <type>(<scope>): <subject>
+
+   <body 详细说明>
+
+   Co-Authored-By: <你的模型名称> <noreply@anthropic.com>
+   EOF
+   )"
+   ```
+
+   **执行要求**:
+   - 根据步骤 2 分析的变更内容，生成实际的提交消息
+   - 将上述格式中的占位符替换为实际内容
+   - Co-Authored-By 中的模型名称由你自己声明（你是什么模型就写什么）
+   - 使用 Bash 工具执行完整的 git commit 命令
 
 3. 验证提交成功:
    !`git status`
+   !`git log -1`
 
 **步骤 4: 更新任务状态(如果是任务相关的提交)**