import-codescanlisted

# 导入 Code Scanning 告警 导入指定的 Code Scanning（CodeQL）告警并创建修复任务。 ## 行为边界 / 关键规则 - 本技能仅负责导入告警并创建任务骨架 —— 不直接修改业务代码或关闭告警 - 不要自动提交。绝不自动执行 `git commit` 或 `git add` - 执行本技能后，你**必须**立即更新 task.md 中的任务状态 ## 执行流程 ### 1. 获取告警信息 执行前先读取 `.agents/rules/security-alerts.md`，并按其中的 Code Scanning 告警读取命令获取告警详情。 提取关键信息： - `number`：告警编号 - `state`：状态（open/dismissed/fixed） - `rule`：规则信息（id、severity、description、security_severity_level） - `tool`：扫描工具信息（name、version） - `most_recent_instance`：位置（path、start_line、end_line）、消息 - `html_url`：平台告警链接 ### 2. 创建任务目录和文件 检查是否已存在该告警的任务。如果不存在，创建： 目录：`.agents/workspace/active/TASK-{yyyyMMdd-HHmmss}/` 任务元数据： ```yaml id: TASK-{yyyyMMdd-HHmmss} codescan_alert_number: <alert-number> severity: <critical/high/medium/low> rule_id: <rule-id> tool: <tool-name> ``` ### 3. 更新任务状态 获取当前时间： ```bash date "+%Y-%m-%d %H:%M:%S%:z" ``` 更新 task.md：`current_step` -> `requirement-analysis`。 - **追加**到 `## Activity Log`（不要覆盖之前的记录）： ``` - {YYYY-MM-DD HH:mm:ss±HH:MM} — **Import Code Scanning Alert** by {agent} — Code Scanning alert #{alert-number} imported ``` ### 4. 完成校验 运行完成校验，确认任务产物和同步状态符合规范： ```bash node .agents/scripts/validate-artifact.js gate import-codescan .agents/workspace/active/{task-id} --format text ``` 处理结果： - 退出码 0（全部通过）-> 继续到「告知用户」步骤 - 退出码 1（校验失败）-> 根据输出修复问题后重新运行校验 - 退出码 2（网络中断）-> 停��执行并告知用户需要人工介入 将校验输出保留在回复中作为当次验证输出。没有当次校验输出，不得声明完成。 ### 5. 告知用户 > 仅在校验通过后执行本步骤。 > **重要**：以下「下一步」中列出的所有 TUI 命令格式必须完整输出，不要只展示当前 AI 代理对应的格式。如果 `.agents/.airc.json` 中配置了自定义 TUI