本文件是 JavaSec 仓库的全局地图,不是完整规范正文。
- Java 安全学习与研究笔记沉淀。
- 以可复现、可检索、可扩展为目标维护知识目录。
- 面向“人类开发者 + Agent”协作,优先保证改动落在正确层级。
- 根目录
AGENTS.md(全局入口与默认流程) - 目录级
AGENTS.override.md(局部差异与落点) docs/主题文档(详细规则正文)
补充:
- override 只做补充,不推翻全局方向。
- 同一条规则只在一个地方定义;其他地方只做摘要与跳转。
- BDD:先定义要解决的问题与行为边界。
- TDD:先写或先明确验证方式,再进行改动。
- Implement:最小可行改动,避免跨目录漂移。
- Verify:自检链接、结构与可读性,再提交。
- 不确定改动放哪里:先看
docs/DESIGN.md。 - 不确定质量门槛:先看
docs/QUALITY_SCORE.md。 - 涉及 exploit / payload / 风险描述:先看
docs/SECURITY.md。 - 涉及稳定性与可复现:先看
docs/RELIABILITY.md。 - 涉及执行计划与拆解:先看
docs/PLANS.md。
- 文档总索引:
docs/README.md - 架构边界:
docs/DESIGN.md - 可靠性规则:
docs/RELIABILITY.md - 安全约束:
docs/SECURITY.md - 产品行为:
docs/PRODUCT_SENSE.md - 质量标准:
docs/QUALITY_SCORE.md - 计划管理:
docs/PLANS.md - 前端相关(如有):
docs/FRONTEND.md
16.漏洞复现/AGENTS.override.md
若后续目录出现稳定且重复发生的“局部落错层”问题,再新增 override。
- 改动是否落在正确目录层级。
- 是否引入重复规则(与
docs/或其他文档冲突)。 - 新增链接是否可读、命名是否一致。
- 涉及复现流程时,是否给出前置条件/版本信息/风险声明。
- 提交信息是否能说明“改了什么、为什么改”。
- 先定义验证方式,再动手改内容。
- 不把目录局部规则写回根文档。
- 外部引用尽量给出上下文,不仅贴链接。
- 复现内容必须标注适用范围与合法使用边界。
- 尽量结构化表达,减少脆弱的口语化约定。
- 根文档保持短小,控制在快速浏览可读范围。
- 主题规则写入
docs/,避免散落在各子目录。 - 局部差异写入对应目录
AGENTS.override.md。 - 目录级文档优先说明“负责什么/不负责什么/改动落点”。
仅当以下条件明显成立时新增:
- 该目录有稳定的独有边界。
- 该目录常见错误可被提前约束。
- 不写 override 会导致改动频繁落错层。
用根文档做地图、用 docs/ 承载正文、用 override 记录局部差异。