Best-Practices

简介 Infisical 是一个开源的密钥（Secrets）、证书（Certificates）和特权访问管理（PAM）平台。团队可以用它集中管理应用配置和密钥（API Key、数据库凭证），并管理内部 PKI 基础设施。相当于开源版 HashiCorp Vault 的现代替代方案。 ...

简介 OSV-Scanner 是 Google 开源的漏洞扫描工具，基于 Go 编写，使用 OSV.dev 数据库扫描项目依赖中的已知安全漏洞。提供 OSV 数据库的官方前端接口和 OSV-Scalibr 的 CLI 接口。 核心特性 多语言支持: C/C++, Dart, Elixir, Go, Java, JavaScript, PHP, Python, R, Ruby, Rust 多包管理器: npm, pip, yarn, maven, go modules, cargo, gem, composer, nuget 等 操作系统包扫描: 检测 Linux 系统上的 OS 包漏洞 容器镜像扫描: 层级感知的容器漏洞扫描，支持 Alpine/Debian/Ubuntu 基础镜像 许可证扫描: 基于 deps.dev 数据检查依赖许可证合规性 离线扫描: 支持下载本地数据库后离线运行 引导修复(Guided Remediation): 根据依赖深度、严重程度、修复策略等建议升级方案（实验性） Call Analysis: 分析是否实际调用了有漏洞的函数，减少误报 ** Vendored C/C++ 检测**: 扫描内嵌的 C/C++ 代码 链接 GitHub: https://github.com/google/osv-scanner OSV 数据库: https://osv.dev 文档: https://google.github.io/osv-scanner/

简介 GStack 是 Y Combinator 总裁 Garry Tan 开源的 Claude Code 技能框架，将 Claude Code 变成一个虚拟工程团队。包含 23 个专业角色（CEO、设计师、工程经理、发布工程师、文档工程师、QA 等）和 8 个强力工具，全部通过斜杠命令调用，纯 Markdown 配置，MIT 协议免费使用。 ...

简介 DESIGN.md 是 Google Labs 推出的一个格式规范，用于向 AI 编码 Agent 描述项目的视觉身份。通过 YAML front matter 定义机器可读的设计 token，配合 Markdown 正文说明设计理念，让 Agent 获得持久、结构化的设计系统理解。 ...

简介 Kami（紙，かみ）是 tw93（大漠穷秋）开源的 AI 文档设计系统，核心理念是"好内容值得好纸张"。它不是 UI 框架，而是一套美学约束系统，让 AI Agent 生成排版精美的文档（HTML/PDF），告别千篇一律的默认样式。 ...

简介 Awesome DESIGN.md 是一个精选的 DESIGN.md 文件集合，灵感来源于真实知名网站的视觉设计系统。由 VoltAgent 维护，核心理念是：把一个 DESIGN.md 丢进项目根目录，告诉 AI 代理"按这个风格生成 UI"，就能得到像素级匹配的界面。 ...

2026年AI编码的"渐进式Spec"实战指南 简介 来自阿里工程师逸驹的实战分享，提出"渐进式 Spec Coding"框架——在让 AI 写代码之前，先用结构化文档（Spec）把"要做什么、怎么做、有什么约束"说清楚，然后 AI 围绕文档编码。核心思想：不同复杂度的需求，暴露不同深度的流程。 ...

Andrej Karpathy Skills - LLM 编码准则 简介 一个 CLAUDE.md 文件，源自 Andrej Karpathy 对 LLM 编码常见问题的观察总结，用于改善 Claude Code 的行为。 Karpathy 指出的 LLM 编码问题 模型会默默做出错误假设，不检查就一路走下去 不管理困惑、不寻求澄清、不暴露矛盾、不展示权衡 喜欢过度复杂化代码和 API，臃肿的抽象，不清理死代码 100 行能搞定的事写成 1000 行 有时会误删/修改它们不完全理解的注释和代码 四大原则 1. Think Before Coding（先思考再编码） 不假设、不隐藏困惑、展示权衡 明确陈述假设 — 不确定就问，不要猜 展示多种理解 — 有歧义时不要静默选择 该反驳就反驳 — 如果有更简单的方案，直说 困惑时停下来 — 说出不清楚的地方，请求澄清 2. Simplicity First（简洁优先） 用最少的代码解决问题，不写投机性代码 不添加没要求的功能、不为单次使用建抽象 不搞没请求的"灵活性"和"可配置性" 如果 200 行可以写成 50 行，就重写 检验标准：高级工程师会认为这过于复杂吗？ 3. Surgical Changes（精准修改） 只触碰必要的代码，只清理自己制造的混乱 不"改善"相邻代码、注释或格式 不重构没坏的东西，匹配已有风格 你的改动产生的废弃代码要删掉，但预存的死代码只提不删 检验标准：每一行改动都能追溯到用户的请求 4. Goal-Driven Execution（目标驱动执行） 定义成功标准，循环直到验证通过 把命令式任务转化为可验证的目标： “添加验证” → “为无效输入写测试，然后让它们通过” “修复 bug” → “写一个复现它的测试，然后让测试通过” “重构 X” → “确保重构前后测试都通过” 多步任务先列计划，每步附验证检查点 安装方式 Claude Code 插件（推荐）： ...

简介 Claude Code 最佳实践合集，口号是 “from vibe coding to agentic engineering”。由 shanraisshan 维护，Anthropic Claude Code 创造者 Boris Cherny 等人贡献内容，是目前最全面的 Claude Code 使用指南。 ...

驾驭工程：在「智能体优先」的世界里借力 Codex 简介 原文作者 Ryan Lopopolo（OpenAI），记述了团队用 Codex（GPT-5 驱动）从零构建一款百万行代码产品的实验：0 行代码由人工编写，3 名工程师 5 个月处理 1500+ PR，效率约为手工编码的 10 倍。 ...