-
Notifications
You must be signed in to change notification settings - Fork 3
How Configuration Works.zh
本页面解释每个配置字段的下游效果 — 您的选择如何影响检查内容、报告结果和流水线执行。
.vcp/config.json
|
+-- scopes ──────────> 加载哪些标准
+-- compliance ──────> 额外的合规标准
+-- severity ────────> 报告哪些发现
+-- ignore ──────────> 抑制内容(3 个层级)
+-- exclude ─────────> 跳过的文件路径
+-- frameworks ──────> 依赖检查的包生态
+-- pluginRoot ──────> 共享 TypeScript 模块位置
作用域控制技能运行时加载哪些标准。这直接决定了对代码应用哪些规则。
scopes.web-backend = true
→ 加载:web-backend-security、web-backend-structure、
web-backend-data-access、web-backend-api-design、
web-backend-realtime、web-backend-caching
→ 增加:约 35 条额外规则
核心标准始终加载,不受作用域影响。 包括安全、架构、代码质量、错误处理、测试、依赖管理和根因分析(约 50 条规则)。
| 启用的作用域 | 大约检查的规则数 |
|---|---|
| 无(仅核心) | 约 50 条 |
| + web-backend | 约 85 条 |
| + web-frontend | 约 70 条 |
| + web-backend + web-frontend | 约 105 条 |
| 全部作用域 + 全部合规 | 150+ 条 |
严重性阈值是扫描结果的过滤器。低于阈值的发现被静默丢弃。
| 阈值 | 显示的发现 | 适用场景 |
|---|---|---|
critical |
仅严重 | 遗留代码库 — 先关注最严重的问题 |
high |
严重 + 高 | 成熟项目 — 减少噪音 |
medium(默认) |
严重 + 高 + 中 | 大多数项目 |
low |
全部 | 新项目 — 从一开始就最大覆盖 |
安全门(实时阻断)忽略严重性设置。 它始终阻断所有匹配的模式。严重性仅影响基于技能的扫描。
| 框架 | 增加的标准 | 规则重点 |
|---|---|---|
gdpr |
compliance-gdpr | 数据删除、保留期限、同意管理、PII 处理 |
pci-dss |
compliance-pci-dss | 卡号标记化、掩码、CDE 隔离、加密 |
hipaa |
compliance-hipaa | PHI 加密、审计日志、最小必要原则 |
仅在法律要求时添加合规框架。
ignore: ["core-architecture"]
→ 第 1 级(标准级):整个标准从适用列表中移除
→ 在 resolve-config.ts 中,技能获取标准之前
ignore: ["core-security/rule-3"]
→ 第 2 级(规则级):标准仍加载,但特定规则被排除
→ 在技能和 vcp-context-core.ts 中
ignore: ["CWE-798"]
→ 第 3 级(CWE 级):安全门模式被禁用
→ 在 security-gate.ts 中
全局和项目 ignore 列表合并(取并集)。
排除模式决定扫描时跳过哪些文件。node_modules/** 和 .git/** 始终排除。
frameworks 数组告诉 /vcp-dependency-check 检查哪个包生态。仅此技能使用。
~/.vcp/ai-presets.json → 定义可用的 AI 提供商
~/.vcp/dev-buddy.json → 定义流水线阶段序列
~/.vcp/dev-buddy-chatroom.json → 定义 chatroom 参与者
| 预设类型 | 执行机制 | 成本 | 可用模型 |
|---|---|---|---|
| Subscription | Claude Code Task 工具(进程内子代理) | Claude Code 订阅 | sonnet、opus、haiku |
| API | api-task-runner.ts(生成子进程) | 按 token 收费 | 预设 models[] 中列出的模型 |
| CLI | CLI 工具执行(生成进程) | 取决于 CLI 工具 | 预设 models[] 中列出的模型 |
| 模型 | 优势 | 最适合 |
|---|---|---|
opus |
最深入分析,最佳复杂推理 | 需求收集、规划、最终审查 |
sonnet |
快速、质量好、成本低 | 实现、早期审查、分阶段审查 |
haiku |
最快、成本最低 | 快速任务(流水线中很少使用) |
max_iterations: 10(默认) → 10 次总重新审查后停止
max_iterations: 3 → 更快升级 — 适合快速迭代
max_iterations: 20 → 更有耐心 — 适合自主工作流
无 phased_reviews:实现所有步骤 → 最终代码审查发现所有问题
有 phased_reviews:实现步骤 1 → 审查步骤 1 → 实现步骤 2 → 审查步骤 2 → ...
review_interval: 1(默认) → 每步后审查(最大粒度)
review_interval: 3 → 每 3 步审查(减少审查次数)
review_interval: 5 → 每 5 步审查(低风险实现)
review_gate: true 在 requirements 或 planning 阶段上时,流水线在该阶段完成后暂停等待您的审批。您可以批准(继续)或拒绝(停止)。
review_gate 仅在 requirements 和 planning 阶段有效。
rca_review_gate: true(流水线级设置)时,Bug 修复流水线在所有 RCA 阶段完成并合并结果后暂停,等待您审批诊断。
控制任务跟踪的团队名称。默认:"pipeline-{BASENAME}-{HASH}"。
| 选项 | 有效阶段 |
|---|---|
parallel |
plan-review、code-review、rca
|
review_gate |
requirements、planning
|
phased_reviews |
仅 implementation(最多 10 个审查者) |
两个插件安装后相互增强:VCP 的 .vcp/config.json 存在且有效时,Dev Buddy 的安全分析师会收到 VCP 规则上下文。如果 VCP 未安装,Dev Buddy 回退到通用 OWASP 分析。
- 配置 — 完整 VCP 配置模式参考
- Dev Buddy 配置 — 完整 Dev Buddy 配置参考
- 配置方案 — 常见场景的配置示例
VCP Wiki
Guides
- First-Time Setup Guide
- How Configuration Works
- Configuration Recipes
- Web Portal Guide
- Daily VCP Workflow
- Troubleshooting
VCP Plugin
- Configuration
- Skills Reference
- Three‐Layer Enforcement Model
- Hooks Reference
- Security Gate Patterns
- Shared Modules
Dev Buddy Plugin
- Dev Buddy Quick Start
- Dev Buddy Configuration
- Stage Skills Guide
- AI Provider Presets
- System Prompts Reference
- Chatroom
MCP Doc Plugin
Standards
Project
VCP Wiki (中文)
指南
VCP 插件
Dev Buddy 插件
MCP Doc 插件
标准
项目