指引

Get-Shit-Done（GSD）企業級教學手冊 版本：2.0 GSD 版本：v1.31.0（2026-04-01 發布） 適用對象：資深工程師、技術主管、架構師 最後更新：2026-04-03 定位：實戰與維運導向的內部開發規範文件 官方資源：GitHub ｜ 文件站 ｜ Discord 目錄 第一章：GSD 概述 1.1 GSD 是什麼 1.2 支援的 AI Runtime 1.3 與傳統開發的差異 1.4 與 Agile / DevOps / AI Coding 的關係 1.5 GSD 版本演進 第二章：核心概念 2.1 Meta Prompting 2.2 Context Engineering 2.3 Spec-Driven Development 2.4 Multi-Agent Orchestration 2.5 Context Rot 問題與解法 2.6 XML Prompt Formatting 2.7 Atomic Git Commits 第三章：系統架構設計（企業級） 3.1 GSD + AI Agent 架構圖 3.2 與 Web Application（前後端）整合方式 3.3 微服務 / Clean Architecture / Hexagonal Architecture 3.4 與資料庫整合 3.5 與 MQ / Cache / API Gateway 整合 第四章：安裝與環境建置 4.1 GSD 安裝步驟 4.2 Claude Code 設定 4.3 Gemini CLI 設定 4.4 其他 Runtime 設定 4.5 VS Code 開發環境配置 4.6 Windows / Linux 環境差異 第五章：GSD 開發流程（核心） 5.0 流程總覽 5.1 /gsd:new-project 5.2 /gsd:discuss-phase 5.3 /gsd:plan-phase 5.4 /gsd:execute-phase 5.5 /gsd:verify-work 5.6 /gsd:ship 5.7 /gsd:quick — 快速任務模式 5.8 /gsd:fast — 即時內嵌任務 5.9 /gsd:next — 自動流程推進 5.10 里程碑管理 5.11 Workstreams — 並行工作流 5.12 Backlog、Seeds 與 Threads 5.13 Session 管理 第六章：實戰案例（Web Application） 6.1 案例背景 6.2 Phase 1：需求 → Spec 6.3 Phase 2：Spec → Plan 6.4 Phase 3：Plan → Code 6.5 Phase 4：Code → 驗證 第七章：AI 協作最佳實踐 7.1 如何避免 AI 幻覺 7.2 如何控制上下文 7.3 Prompt 設計技巧 7.4 多 Agent 協作模式 第八章：系統維運與監控 8.1 Logging 最佳實踐 8.2 Monitoring 架構 8.3 錯誤追蹤 8.4 效能調校 8.5 成本控制（AI Token） 第九章：系統升級與擴展 9.1 GSD 升級策略 9.2 Prompt Versioning 9.3 Spec Versioning 9.4 與 CI/CD 整合 第十章：安全強化機制 10.1 GSD 內建安全防護 10.2 敏感檔案保護 10.3 企業安全合規整合 第十一章：企業導入策略 11.1 團隊導入流程 11.2 開發規範制定 11.3 Governance（治理） 11.4 安全與權限控管 第十二章：GSD 完整命令參考 12.1 核心工作流命令 12.2 導航與 Session 命令 12.3 Phase 管理命令 12.4 程式碼品質命令 12.5 Backlog 與 Threads 命令 12.6 工具命令 第十三章：GSD 設定參考 13.1 config.json 完整 Schema 13.2 Model Profiles 13.3 Workflow Toggles 13.4 Git Branching 策略 13.5 Hook 設定 第十四章：常見問題（FAQ） 14.1 常見錯誤 14.2 Debug 方法 14.3 Anti-Patterns 第十五章：.planning/ 目錄結構參考 15.1 完整目錄樹狀圖 15.2 核心檔案說明 15.3 Context 目錄 15.4 Specs 與 Plans 目錄 15.5 Checkpoints 與 Reports 目錄 15.6 .gitignore 建議 附錄：檢查清單（Checklist） 第一章：GSD 概述 1.1 GSD 是什麼 GSD（Get-Shit-Done）是一套輕量級 Meta-Prompting 系統，適用於 Claude Code 及其他主流 AI Coding Runtime，透過結構化的 Slash Commands 驅動 AI Agent 完成高品質的軟體交付。 ...

GitHub Copilot 逆向工程教學手冊（Java Web） 版本：2.0 最後更新：2026-04-02 適用對象：資深工程師、架構師、技術主管 技術棧：Java 21+ / Spring Boot 3.x～4.x / GitHub Copilot（Chat / Agent Mode / Cloud Agent / CLI / MCP） 📑 目錄 第 1 章 概論 1.1 什麼是逆向工程（Reverse Engineering） 1.2 Legacy System 現代化挑戰 1.3 GitHub Copilot 在逆向工程的角色 1.4 適用情境 第 2 章 三種逆向工程策略 2.1 黑箱逆向（Black-box Reverse Engineering） 2.2 白箱逆向（White-box Reverse Engineering） 2.3 灰箱逆向（Gray-box / Hybrid） 2.4 三種策略比較總覽 第 3 章 SDLC 對應逆向工程流程 3.1 需求分析（Requirement Analysis） 3.2 系統設計（System Design） 3.3 開發（Implementation） 3.4 測試（Testing） 3.5 部署（Deployment） 第 4 章 GitHub Copilot 實戰流程 4.1 Step 1：分析舊系統 4.2 Step 2：建立理解模型（Domain Model） 4.3 Step 3：產出文件（AI 自動生成） 4.4 Step 4：建立新專案（Spring Boot） 4.5 Step 5：逐步重構 4.6 Step 6：驗證與測試 4.7 Agent Mode 加速逆向工程 第 5 章 Copilot Prompt Engineering 5.1 Prompt 設計原則 5.2 程式碼分析類 Prompt 5.3 語言轉換類 Prompt 5.4 文件產出類 Prompt 5.5 測試生成類 Prompt 5.6 Prompt 模板庫 5.7 Custom Instructions（專案級指令） 5.8 Agent Mode 專用 Prompt 設計 第 6 章 架構設計（企業級） 6.1 微服務 vs 單體架構決策 6.2 分層架構設計 6.3 資料庫遷移設計 6.4 中介軟體整合 第 7 章 風險與最佳實務 7.1 常見錯誤 7.2 逆向工程失敗案例分析 7.3 資料遺失風險與對策 7.4 安全性考量 7.5 AI 治理與企業合規 第 8 章 完整案例（實戰） 8.1 案例背景：VB6 客戶管理系統 8.2 Copilot 分析過程 8.3 新系統 Spring Boot 實作 8.4 案例二：舊 Java Servlet 轉 Spring Boot 第 9 章 工具整合 9.1 VS Code 配置 9.2 GitHub Copilot Chat 9.3 Copilot CLI 9.4 SonarQube 整合 9.5 Swagger / OpenAPI 9.6 Copilot Agent Mode 與 Cloud Agent 9.7 MCP Server 整合 9.8 Copilot Code Review 9.9 Copilot Spaces 與 Memory 第 10 章 結論 10.1 三種逆向策略比較表 10.2 推薦最佳實務 附錄 A：逆向工程檢查清單（Checklist） 附錄 B：Prompt 快速參考卡 附錄 C：常用工具版本對照 附錄 D：成本效益分析（ROI 評估） 第 1 章 概論 1.1 什麼是逆向工程（Reverse Engineering） 逆向工程是指從「已存在的系統產出物（程式碼、執行檔、資料庫）」出發，反向推導出系統的： ...

Agent Skills 教學手冊（企業級 SSDLC + GitHub Copilot + Claude Code） 版本：v1.3.0 更新日期：2026-04-30 適用對象：資深工程師、架構師、Tech Lead、DevSecOps 工程師 技術棧：Agent Skills 開放標準、GitHub Copilot Skills、Claude Code Skills、VS Code、Spring Boot、Vue 3 規範參考：Agent Skills Specification（開放標準 v1.0） 目錄 第 1 章：Agent Skills 概念與架構 1.1 什麼是 Agent Skills 1.2 與傳統 Prompt Engineering 的差異 1.3 Skills vs Prompt vs Tool vs Agent 比較 1.4 漸進式揭露（Progressive Disclosure）設計原則 1.5 Skills 組成結構 第 2 章：Skills 平台深度解析（GitHub Copilot + Claude Code） 2.1 多平台 Skills 架構 2.2 Skills 運作流程 2.3 Skills Metadata 設計（Frontmatter 完整參考） 2.3.1 開放標準欄位（agentskills.io Specification） 2.3.2 Claude Code 擴展欄位 2.3.3 字串替換（String Substitutions） 2.3.4 動態上下文注入（Dynamic Context Injection） 2.4 Claude Code 內建 Skills（Bundled Skills） 2.5 Skills 與 Agent 整合方式 2.6 Skills Repository 設計（企業級） 2.7 gh skill CLI（GitHub CLI 整合） 2.8 Skill 內容生命週期與 Token 預算 第 3 章：SSDLC × Skills（核心章節） 3.1 Requirements（需求階段） 3.2 Design（設計階段） 3.3 Development（開發階段） 3.4 Testing（測試階段） 3.5 Security（安全） 3.6 Deployment（部署） 3.7 Maintenance（維運） 第 4 章：Skills 設計最佳實務 4.1 高可重用性設計 4.2 低 Token 消耗策略 4.3 命名規範 4.4 模組化與版本控管 4.5 安全性與權限控管 4.6 社群設計模式參考（Community Patterns） 第 5 章：Skills 實作教學（Hands-on） 5.1 範例 1：產生 API 設計文件 Skill 5.2 範例 2：程式碼審查 Skill 5.3 範例 3：Spring Boot 服務生成 Skill 第 6 章：企業級 Skills Repository 架構 6.1 建議 GitHub Repo 結構 6.2 Skills 分類策略 6.3 權限控管（RBAC） 6.4 與 CI/CD 整合 第 7 章：與開發工具整合 7.1 GitHub Copilot 整合 7.2 Claude Code 進階整合 7.3 VS Code 整合 7.4 CI/CD（GitHub Actions）整合 7.5 Issue / PR 流程整合 第 8 章：Skills 治理（Governance） 8.1 Skills 審核機制 8.2 品質控管（Quality Gate） 8.3 安全審查（Security Review） 8.4 使用追蹤與優化（Telemetry） 第 9 章：常見錯誤與反模式 9.1 過度設計 Skills 9.2 Token 爆炸問題 9.3 Skills 過於耦合 9.4 其他常見反模式 第 10 章：未來趨勢 10.1 Agentic Workflow 10.2 Multi-Agent Collaboration 10.3 Skills Marketplace 與開放生態 附錄 A：企業導入檢查清單 附錄 B：Prompt → Skill 轉換速查表 附錄 C：常用 Skills 清單 附錄 D：參考資源 第 1 章：Agent Skills 概念與架構 1.1 什麼是 Agent Skills 定義：Agent Skills 是一種基於 agentskills.io 開放標準的模組化、可重複使用「AI 能力包」（Capability Package），以資料夾形式存在，內含說明文件（SKILL.md）、腳本（Python / Bash / PowerShell）、範本（Templates）和參考資源（References）。 ...

使用 GitHub Copilot 進行逆向工程並產出需求規格書 版本：2.0 | 更新日期：2026-03-31 適用對象：資深工程師、系統分析師、架構師、PM 技術環境：VS Code + GitHub Copilot（含 Agent Mode、Coding Agent、MCP 整合） 產業適用：銀行、金融、保險等高合規性企業系統 AI 模型支援：GPT-5.4 / GPT-5.4 mini / GPT-5.3-Codex / Gemini 3.1 Pro / 自動模型選擇 目錄 第 1 章 逆向工程方法論 1.1 什麼是逆向工程 1.2 企業系統中的逆向工程應用場景 1.3 Code → Requirement 轉換模型 1.4 各層級程式碼的需求推導策略 1.5 逆向工程成熟度模型 第 2 章 GitHub Copilot 使用策略 2.1 Copilot 在逆向工程中的角色定位 2.1.1 GitHub Copilot 2026 功能架構全景 2.1.2 各功能在逆向工程中的定位 2.1.3 AI 模型選擇策略 2.2 Prompt Engineering 核心原則 2.2.1 角色設定（Role Setting） 2.2.2 結構化 Prompt 模板 2.2.3 五大 Prompt 策略 2.3 逐段分析程式碼的技巧 2.3.1 分段策略 2.3.2 VS Code 操作技巧 2.4 C# 程式碼解讀策略與 Prompt 範例 2.5 SQL / Stored Procedure 解讀策略與 Prompt 範例 2.6 Batch Job 解讀策略與 Prompt 範例 2.7 從技術描述轉換為商業需求描述 2.8 Before / After 完整範例 2.9 Agent Mode 與 Coding Agent 在逆向工程中的進階應用 2.9.1 使用 Agent Mode 進行跨檔案逆向分析 2.9.2 使用 Plan Agent 規劃逆向工程任務 2.9.3 使用 Copilot Coding Agent 進行自動化逆向分析 2.9.4 使用 MCP 擴展逆向工程能力 2.9.5 使用 Custom Agent 建立專用逆向工程分析師 2.9.6 使用 Copilot Memory 累積逆向工程知識 2.9.7 第三方 Coding Agent 與外部平台整合 2.9.8 使用背景代理進行非同步逆向分析 第 3 章 實戰流程（Step-by-Step） 3.1 Step 1 — 程式碼盤點 3.1.1 模組分類方法 3.1.2 使用 Copilot 快速摘要 3.1.3 自動化盤點腳本 3.2 Step 2 — 邏輯解析 3.2.1 API 邏輯分析 3.2.2 Batch Job 邏輯分析 3.2.3 DB 邏輯分析 3.3 Step 3 — 商業邏輯抽取 3.3.1 從技術邏輯到業務需求的轉換方法 3.3.2 商業規則分類框架 3.3.3 需求追溯矩陣 3.4 Step 4 — 文件產出 3.4.1 SRS 文件自動生成流程 3.4.2 文件品質檢查 3.5 端到端流程圖 第 4 章 SRS 文件標準格式 4.1 SRS 文件結構概覽 4.2 系統概述 4.3 Use Case 描述 4.4 功能需求（Functional Requirements） 4.5 非功能需求（Non-functional Requirements） 4.6 資料流程（DFD） 4.7 ER Model（資料結構） 4.8 Batch Flow 4.9 企業級 SRS 範本（完整） 第 5 章 完整實戰範例 5.1 範例一：C# API 控制器逆向分析 5.1.1 原始程式碼 5.1.2 Copilot 分析過程 5.1.3 推導出的需求 5.2 範例二：Stored Procedure 逆向分析 5.2.1 原始程式碼 5.2.2 Copilot 分析過程 5.2.3 推導出的需求 5.3 範例三：Batch Job 逆向分析 5.3.1 分析場景 5.3.2 Copilot 分析結果 5.4 最終 SRS 文件片段產出 第 6 章 企業最佳實務 6.1 避免誤判需求的策略 6.1.1 常見的誤判類型 6.1.2 防範策略 6.1.3 信心度評估框架 6.2 需求驗證流程 6.2.1 三層驗證機制 6.2.2 驗證會議範本 6.3 整合 SSDLC 6.4 搭配版本控制（Git） 6.4.1 SRS 文件的 Git 管理策略 6.4.2 Git Branching 策略 6.4.3 Commit 訊息規範 6.5 常見錯誤與修正策略 6.6 使用 Copilot Code Review 驗證 SRS 品質 6.6.1 設定 Copilot Code Review 規則 6.6.2 SRS Pull Request 審查流程 6.7 使用 Copilot Spaces 管理逆向工程上下文 第 7 章 架構延伸（進階） 7.1 從逆向結果到 Spring Boot API 設計 7.1.1 技術對照表 7.1.2 SRS → API 設計的轉換流程 7.1.3 範例：從 SRS 到 Spring Boot 7.2 微服務架構轉換 7.2.1 從單體到微服務的拆分策略 7.2.2 Stored Procedure 的遷移策略 7.3 Domain Modeling（DDD） 7.3.1 從逆向結果推導領域模型 7.3.2 統一語言表 7.4 Clean Architecture 對應 7.4.1 分層架構設計 7.4.2 Spring Boot 專案結構 7.5 使用 Copilot Coding Agent 自動化遷移工作 7.5.1 從 SRS 到 Spring Boot 骨架自動生成 7.5.2 SP 邏輯遷移自動化 7.5.3 Hooks 自動化品質檢查 第 8 章 Prompt 工程模板庫 8.1 程式碼摘要類 8.2 邏輯解析類 8.3 需求轉換類 8.4 文件產出類 8.5 驗證與審查類 第 9 章 自動化流程（AI + Script） 9.1 自動化盤點腳本 9.1.1 C# 專案自動盤點（PowerShell） 9.1.2 SQL Server Stored Procedure 盤點 9.2 批次分析流程 9.2.1 分析工作流程自動化 9.2.2 分析任務分配模板 9.3 SRS 自動組裝 9.3.1 SRS 組裝腳本（PowerShell） 9.3.2 SRS 品質檢查腳本 9.4 Copilot Coding Agent 端到端自動化流程 9.4.1 自動化流程架構 9.4.2 GitHub Actions 工作流配置 9.4.3 批次 Issue 建立腳本 9.4.4 追溯矩陣自動生成 附錄 A 檢查清單（Checklist） A.1 逆向工程啟動檢查清單 A.2 每日分析檢查清單 A.3 模組完成檢查清單 A.4 SRS 發佈前檢查清單 A.5 Copilot 使用安全檢查清單 A.6 Copilot Coding Agent 使用檢查清單 附錄 B 術語表 附錄 C 參考資源 C.1 工具 C.2 標準與規範 C.3 推薦閱讀 C.4 GitHub Copilot 相關資源 第 1 章 逆向工程方法論 1.1 什麼是逆向工程 逆向工程（Reverse Engineering） 是從既有系統的成品（程式碼、資料庫、設定檔等）出發，反推出系統的設計意圖、業務規則與需求規格的過程。 ...

企業級程式碼品質分析方法論教學手冊 版本：v2.0｜日期：2026-03-30｜適用對象：初階至資深工程師、Tech Lead、架構師 適用技術棧：Java / Spring Boot、Vue / TypeScript、微服務架構 適用產業：銀行、金融業、保險業等高穩定度 / 高安全系統 重要更新：OWASP Top 10: 2025 版、PMD 7.x、Checkstyle 13.x、SpotBugs 4.9.x、ESLint 9.x Flat Config 📋 目錄 第 1 章：程式碼品質概論 1.1 程式碼品質的定義 1.2 技術債（Technical Debt） 1.3 為什麼企業需要品質管理 1.4 品質管理全景圖 1.5 實務落地建議 第 2 章：程式碼品質模型（核心方法論） 2.1 品質模型總覽 2.2 可讀性（Readability） 2.3 可維護性（Maintainability） 2.4 可測試性（Testability） 2.5 效能（Performance） 2.6 安全性（Security） 2.7 可擴展性（Scalability） 2.8 實務落地建議 第 3 章：程式碼異味（Code Smells） 3.1 什麼是 Code Smell 3.2 常見 15+ 種 Code Smells 3.3 實務落地建議 第 4 章：靜態分析與工具 4.1 靜態分析概述 4.2 SonarQube 4.3 ESLint 4.4 PMD / Checkstyle 4.5 SpotBugs 4.6 工具功能比較 4.7 企業導入方式 4.8 實務落地建議 第 5 章：Code Review 方法論 5.1 Code Review 的價值 5.2 Review Checklist（企業版） 5.3 Pull Request 標準 5.4 Review 角色分工 5.5 常見錯誤 5.6 實務落地建議 第 6 章：CI/CD 與品質門檻（Quality Gate） 6.1 CI/CD 品質整合概述 6.2 Quality Gate 設計 6.3 Pipeline 品質檢查流程 6.4 Fail Pipeline 策略 6.5 實務落地建議 第 7 章：測試策略與品質關聯 7.1 測試金字塔 7.2 單元測試（Unit Test） 7.3 整合測試（Integration Test） 7.4 覆蓋率迷思 7.5 測試與品質的關係 7.6 實務落地建議 第 8 章：重構（Refactoring）策略 8.1 何時該重構 8.2 安全重構流程 8.3 常見重構技巧 8.4 實務落地建議 第 9 章：企業實務最佳實踐（Best Practices） 9.1 銀行 / 金融系統案例 9.2 微服務品質管理 9.3 DevSecOps 整合 9.4 實務落地建議 第 10 章：導入策略（企業落地） 10.1 推動步驟（Roadmap） 10.2 組織角色 10.3 KPI 指標 10.4 成熟度模型（Level 1～5） 10.5 實務落地建議 附錄 A：新進成員檢查清單（Checklist） 附錄 B：品質指標速查表 附錄 C：推薦學習資源 第 1 章：程式碼品質概論 1.1 程式碼品質的定義 程式碼品質不只是「能跑就好」，在企業級系統中，品質直接影響系統的穩定性、安全性與長期維護成本。 ...

軟體開發標準程序（Software Development Standard Process）教學手冊 版本：1.1 最後更新：2026 年 5 月 適用對象：軟體開發團隊全體成員 文件性質：內部技術規範與教育訓練教材 📋 目錄 第一章：前言與目的 1.1 為什麼需要軟體開發標準程序 1.2 對組織與工程師的價值 1.3 本手冊適用範圍 第二章：軟體開發生命週期（SDLC）總覽 2.1 SDLC 各階段說明 2.2 與實務專案的關係 2.3 敏捷與瀑布的選擇 第三章：需求管理（Requirements Engineering） 3.1 需求來源與分類 3.2 功能性與非功能性需求 3.3 需求文件標準 3.4 PRD、SDD、TSD 三大文件體系 3.5 需求異動管理流程 第四章：系統分析與設計 4.1 系統架構設計原則 4.2 邏輯架構與實體架構 4.3 API 設計規範 4.4 資料庫設計與資料治理 4.5 非功能性設計 第五章：開發實作規範 5.1 程式碼風格與命名規範 5.2 架構分層原則 5.3 重用性與模組化 5.4 Secure Coding 基本原則 第六章：測試策略與品質保證 6.1 測試類型與層級 6.2 測試責任分工 6.3 測試資料管理 6.4 缺陷（Bug）管理流程 第七章：版本控制與組態管理 7.1 Git 分支策略 7.2 版號管理原則 7.3 設定檔與環境管理 第八章：CI/CD 與部署流程 8.1 自動化建置流程 8.2 部署策略 8.3 回滾與風險控管 第九章：資安與 SSDLC 9.1 安全需求納入時機 9.2 程式碼掃描與弱點管理 9.3 權限、稽核與日誌 第十章：上線、維運與監控 10.1 上線檢核清單 10.2 監控與告警 10.3 問題處理與 RCA 第十一章：文件化與知識交接 11.1 必備文件清單 11.2 文件維護責任 第十二章：持續改善與流程治理 12.1 專案回顧（Post-mortem） 12.2 指標與成熟度模型 12.3 流程優化建議 附錄 A：檢查清單（Checklist） A.1 開發階段檢查清單 A.2 部署階段檢查清單 A.3 Code Review 檢查清單 A.4 安全性檢查清單 附錄 B：文件範本索引 附錄 C：術語對照表 第一章：前言與目的 1.1 為什麼需要軟體開發標準程序 在企業軟體開發環境中，缺乏標準化流程將導致以下問題： ...

系統資料轉置教學指引 版本：1.0 更新日期：2026-02-02 適用對象：系統分析師、資料工程師、後端開發人員 文件性質：內部教育訓練與專案執行標準參考文件 目錄 主要章節 章節 內容概述 第 1 章 資料轉置整體概念與常見失敗原因 第 2 章 舊系統分析（As-Is Analysis） 第 3 章 新系統設計（To-Be Design） 第 4 章 資料轉置策略與架構設計 第 5 章 資料轉置流程設計（ETL Flow） 第 6 章 資料驗證與比對機制 第 7 章 工具與技術選型建議 第 8 章 測試策略與上線前檢核 第 9 章 實務經驗與最佳實踐 附錄 A 資料轉置專案檢查清單 附錄 B 常用 SQL 範本 附錄 C 名詞解釋 詳細目錄 第 1 章：資料轉置整體概念與常見失敗原因 1.1 Data Migration vs Data Transformation 差異 1.2 為何資料轉置是高風險專案 1.3 常見失敗原因與風險分析 第 2 章：舊系統分析（As-Is Analysis） 2.1 資料來源盤點 2.2 資料結構分析 2.3 Key 與邏輯關聯分析 2.4 資料品質檢測 第 3 章：新系統設計（To-Be Design） 3.1 新系統資料模型設計原則 3.2 舊欄位到新欄位 Mapping 規則 3.3 Code / Enum / Reference Data 對應策略 3.4 歷史資料保留與否的決策考量 第 4 章：資料轉置策略與架構設計 4.1 一次性轉置 vs 分批轉置 4.2 Online vs Batch 4.3 Big Bang vs Parallel Run 4.4 Rollback 與 Re-run 設計 第 5 章：資料轉置流程設計（ETL Flow） 5.1 Extract（資料抽取） 5.2 Transform（資料轉換） 5.3 Load（資料載入） 5.4 Staging Table 設計 5.5 Error Handling 與 Retry 機制 第 6 章：資料驗證與比對機制 6.1 筆數驗證（Record Count） 6.2 金額 / 數值驗證（Sum / Balance Check） 6.3 Key-based 資料比對 6.4 抽樣驗證（Sampling） 6.5 自動化驗證報表設計 第 7 章：工具與技術選型建議 7.1 SQL / Stored Procedure 7.2 ETL 工具 7.3 程式語言選擇 7.4 檔案處理工具 7.5 驗證與測試輔助工具 第 8 章：測試策略與上線前檢核 8.1 Unit Test（轉換邏輯） 8.2 Integration Test（流程驗證） 8.3 UAT 驗證模式 8.4 上線前 Checklist 第 9 章：實務經驗與最佳實踐 9.1 常見踩雷案例 9.2 與業務單位的資料驗證合作方式 9.3 文件化、稽核與可追溯性設計 9.4 金融與核心系統常見合規考量 附錄 A：資料轉置專案檢查清單（Checklist） A.1 專案啟動階段 A.2 分析設計階段 A.3 開發測試階段 A.4 UAT 階段 A.5 上線階段 附錄 B：常用 SQL 範本 B.1 資料品質檢測 B.2 資料比對 B.3 轉置進度追蹤 附錄 C：名詞解釋 第 1 章：資料轉置整體概念與常見失敗原因 1.1 Data Migration vs Data Transformation 差異 在開始資料轉置專案前，必須先釐清兩個核心概念的差異： ...

Codebase（單一程式碼庫，多個部署環境） 原則：一個應用程式應有單一程式碼庫，透過不同的部署（deploy）對應不同環境（dev/test/prod）。 解決方案： 使用 GitLab repository 管理專案。 每個環境使用不同 branch 或 tag（如 develop, release, main）。 CI/CD pipeline 進行自動化部署，避免分散程式碼庫。 Dependencies（明確宣告與隔離依賴） 原則：應用程式必須明確管理相依性，避免依賴系統環境。 解決方案： 後端：使用 Maven pom.xml 宣告所有 dependencies，不依賴本地安裝的 jar。 前端：使用 package.json 鎖定依賴版本。 建議使用 Docker 建立一致的 build/runtime 環境。 Config（將設定與程式碼分離） 原則：設定（如 DB 密碼、API key）不應寫死在程式碼中。 解決方案： Spring Boot 使用 application.yml + 外部設定檔 或 環境變數。 GitLab CI/CD 提供 Environment Variables 管理不同環境的設定。 建議搭配 Vault / AWS Secrets Manager / Kubernetes Secrets。 Backing Services（後端服務當作附加資源） 原則：資料庫、快取、MQ、外部 API 都應視為「可替換的資源」。 解決方案： DB（MySQL/DB2/PostgreSQL）、Redis、RabbitMQ 等連線資訊放在設定檔，不耦合程式。 測試環境可用輕量替代（如 testcontainers 啟動 DB/Redis）。 Build, Release, Run（明確分離建置、發佈、執行） 原則：建置（build）、發佈（release）、執行（run）必須分開，避免環境污染。 解決方案： ...

Code Review 指引 目錄 前言 1.1 目的 1.2 適用範圍 1.3 Code Review 的價值 Code Review 基本原則 2.1 核心原則 2.2 責任分工 Code Review 流程 3.1 提交 Pull Request (PR) 3.2 指定 Reviewers 3.3 進行程式碼檢查 詳細檢查項目 4.1 程式碼風格與規範 4.2 邏輯正確性檢查 4.3 效能考量檢查 4.4 安全性檢查 4.5 測試覆蓋率檢查 Code Review 工具與自動化 5.1 GitHub Pull Request Review 5.2 GitLab Merge Request Review 5.3 SonarQube 程式碼品質檢查 5.4 ESLint 與 Prettier（前端） 實務操作指南 6.1 Review 意見分類與標準 6.2 常見審查重點清單 6.3 溝通技巧與最佳實務 6.4 Review 會議與討論 常見問題與解決方案 7.1 常見 Review 問題 7.2 效率提升技巧 團隊協作與衝突處理 8.1 Review 意見衝突處理 8.2 跨團隊 Review 協作 8.3 新人培訓與指導 特殊情況處理 9.1 緊急修正流程 9.2 大型重構 Review 9.3 第三方程式碼整合 持續改進與測量 10.1 Review 品質指標 10.2 流程效率分析 10.3 團隊成長追蹤 參考資源與延伸閱讀 11.1 程式碼品質標準 11.2 安全性資源 11.3 工具文件 11.4 最佳實務書籍 附錄 12.1 Review 檢查清單範本 12.2 團隊 Code Review 文化建立 1. 前言 1.1 目的 本指引旨在建立標準化的程式碼審查流程，確保所有程式碼在合併至主分支前都經過充分的檢查與評審，以提升程式碼品質、降低潛在錯誤與技術負債，並促進團隊知識分享與技能提升。 ...

以下是完整的 《JdbcTemplate 安全 SQL 實作指引文件》Markdown 版本，可直接放入你的 Git Repository（例如 /docs/security/jdbctemplate-sql-guideline.md），作為團隊安全規範或 Code Review checklist 使用。 # 🧭 JdbcTemplate 安全 SQL 實作指引文件 **版本：v1.0** **適用範圍：** Spring Boot 專案中使用 `JdbcTemplate` 或 `NamedParameterJdbcTemplate` 的資料存取層 **目的：** 防止 SQL Injection 攻擊與弱掃誤判 --- ## 1️⃣ 目的與原則 SQL Injection（SQL 注入）是 OWASP Top 10 的主要風險之一。 若在 API 中直接拼接 SQL 字串（尤其包含前端輸入），將導致弱掃報告出現 Injection 問題，甚至被惡意利用。 **安全實作原則：** 1. 所有 SQL 查詢必須採用 **參數化查詢（Parameterized Query）**。 2. 不可直接拼接使用者輸入字串到 SQL。 3. 動態欄位或排序需求必須使用 **白名單機制（Whitelist）**。 4. 禁止讓 client 直接傳入完整 SQL。 5. 所有 DB 帳號採用最小權限原則（Least Privilege）。 --- ## 2️⃣ 正確安全作法範例 ### ✅ 查詢範例 ```java String sql = "SELECT id, name, email FROM users WHERE email = ?"; return jdbcTemplate.query(sql, new Object[]{email}, new UserRowMapper()); ✅ 插入範例 String sql = "INSERT INTO users (name, email) VALUES (?, ?)"; jdbcTemplate.update(sql, name, email); ✅ 更新範例 String sql = "UPDATE users SET status = ? WHERE id = ?"; jdbcTemplate.update(sql, status, id); ✅ 刪除範例 String sql = "DELETE FROM users WHERE id = ?"; jdbcTemplate.update(sql, id); ✅ 動態查詢（條件可變） 重點：條件以程式判斷拼接，但參數仍使用 ? 綁定。 ...