diff --git a/plan.md b/plan.md index 2407f8f..742aca3 100644 --- a/plan.md +++ b/plan.md @@ -1,9 +1,54 @@ -# plan.md — backend-reviewer Round 1 +# plan.md — Council Multi-Agent Plan (Merged) + +> Shared by all agents: arch-reviewer, backend-reviewer, ticket-reviewer, pm-reviewer + +--- + +# PM Reviewer Section + +## 角色 +📋 **pm-reviewer**:项目经理 + +## 负责文档 +docs/04_IMPLEMENTATION_ROADMAP.md、docs/DEPLOYMENT.md、docs/05_AI_PARTICIPATION.md + +## 文档评审任务清单 +- [ ] 评审 docs/04_IMPLEMENTATION_ROADMAP.md(Agent 分工与开发计划) +- [ ] 评审 docs/DEPLOYMENT.md(Docker 部署方案) +- [ ] 评审 docs/05_AI_PARTICIPATION.md(AI 参与可行性分析) +- [ ] 撰写 `reviews/pm-reviewer-on-docs.md`(结构化评审报告) +- [ ] 投票:是否可以开始编码 + +## Phase 分解 +### Phase 1 — Draft +- 读取并分析上述三份文档 +- 识别问题并撰写结构化评审报告 +- 将评审报告提交到 main + +### Phase 2 — Review +- 等待其他 Agent 的评审结果 +- 整合反馈,更新评审结论 +- 投票是否可以开始编码 + +### Phase 3 — Finalize +- 汇总最终投票结果并更新 plan.md +- 若全员同意,则标记 `[CONSENSUS: YES]` + +## Claim 状态 +- [ ] 评审 docs/04_IMPLEMENTATION_ROADMAP.md — `[Claimed: council/pm-reviewer]` +- [ ] 评审 docs/DEPLOYMENT.md — `[Claimed: council/pm-reviewer]` +- [ ] 评审 docs/05_AI_PARTICIPATION.md — `[Claimed: council/pm-reviewer]` +- [ ] 撰写 reviews/pm-reviewer-on-docs.md — `[Claimed: council/pm-reviewer]` + +--- + +# Backend Reviewer Section ## 角色 🔐 **backend-reviewer**:数据库与后端安全专家 ---- +## 负责文档 +docs/01_SHOPXO_TECHNICAL_RESEARCH.md(SQL 设计 + 安全审查) ## 文档评审结论(docs/01_SHOPXO_TECHNICAL_RESEARCH.md) @@ -23,17 +68,14 @@ | 检查项 | 结论 | 说明 | |---|---|---| -| SQL 注入防御 | ✅ 通过 | 使用 ThinkPHP Db 类自动绑定参数,未发现拼接 SQL | +| SQL 注入防御 | ✅ 通过 | ThinkPHP Db 类自动绑定参数,无拼接 SQL | | BuyService 原子扣库存 | ✅ 通过 | WHERE inventory >= N + dec() 原子操作,事务回滚机制安全 | | QR 码生成逻辑 | ⚠️ 需补充 | base64 编码方式安全,但未分析:QR payload 是否含 PII、暴力枚举风险 | | 核销码可预测性 | ⚠️ 未分析 | sxo_order_extraction_code 的 code 字段生成算法未知 | | 订单扩展字段安全 | ⚠️ 未分析 | extension_data JSON 存储需防注入 | | 权限控制 | ⚠️ 未覆盖 | 核销 API 的 admin 权限校验链未验证 | ---- - ## 任务清单 - - [ ] **Task-1**: 定义 vr_events(场次表)、vr_sessions(座位表)、vr_tickets(票券表)、vr_orders(票务订单表)完整 DDL,含主键/索引/外键 - `[Claimed: council/backend-reviewer]` - [ ] **Task-2**: 分析 BuyService OrderInsertHandle 原子扣库存逻辑,输出安全审查报告 @@ -45,8 +87,6 @@ - [ ] **Task-5**: 将审查结论写入 `reviews/backend-reviewer-on-docs.md` - `[Claimed: council/backend-reviewer]` ---- - ## 执行计划 ### Phase 1 — Draft(Round 2) @@ -63,8 +103,6 @@ 7. 将最终 DDL + 安全报告 merge 入 main 8. 投票 ---- - ## 依赖 - arch-reviewer:ARCHITECTURE.md 中若有数据库层设计,需同步 - ticket-reviewer:核销系统设计文档中若定义了表结构,需对齐 @@ -72,6 +110,37 @@ --- -## 投票 +# Ticket Reviewer Section -`[CONSENSUS: NO]` — 文档缺少 vr_* 插件表 DDL 定义,安全审查不完整,**不能开始编码**。需先完成表结构设计和安全评审。 +## 角色 +🎫 **ticket-reviewer**:票务系统专家 + +## 负责文档 +docs/03_VERIFICATION_SYSTEM.md + ARCHITECTURE.md(核销逻辑) + +(详细任务待 ticket-reviewer 补充) + +--- + +# Arch Reviewer Section + +## 角色 +🏗️ **arch-reviewer**:架构师 + +## 负责文档 +ARCHITECTURE.md + docs/05_AI_PARTICIPATION.md(架构部分) + +(详细任务待 arch-reviewer 补充) + +--- + +## 投票汇总 + +| Agent | Vote | 说明 | +|---|---|---| +| pm-reviewer | TBD | 待 Round 1 完成 | +| backend-reviewer | `[CONSENSUS: NO]` | 文档缺少 vr_* 插件表 DDL,安全审查不完整,不能开始编码 | +| ticket-reviewer | TBD | 待 Round 1 完成 | +| arch-reviewer | TBD | 待 Round 1 完成 | + +> 汇总:`[CONSENSUS: NO]` — 执行前需先补全表结构设计和安全评审。