feat: 新增标签功能

[wyyalt]

No description provided.

[github-actions]

代码审查总结

本次 PR 新增了标签管理功能，包括模板和任务的标签关联。审查发现以下关键问题需要处理:

🚨 高优先级问题

1. SQL 注入风险: get_task_label_ref_count URL 拼接未对参数进行转义
2. 性能问题: filter_queryset 中使用 Python 循环遍历全量 queryset
3. 逻辑错误: 根标签过滤逻辑不正确,可能返回子标签
4. 安全风险: deepcopy 用于复制用户输入可能导致 DoS

✨ 建议

• 使用 Django ORM 查询替代 Python 循环
• 使用 URL 参数化替代字符串拼接
• 添加 label_ids 参数验证和长度限制

详见行内评论。

[github-actions]

🔍 代码审查意见

🔒 安全问题

1. bkflow/contrib/api/collections/task.py:69

"task/get_task_label_ref_count/?space_id={}&label_ids={}".format(space_id, label_ids)

问题: URL 字符串拼接未对 label_ids 参数进行转义,存在注入风险。
建议: 使用 urllib.parse.quote() 或在拼接前严格验证参数格式。

2. bkflow/interface/task/view.py:62

query_params = deepcopy(request.query_params)

问题: 对用户输入使用 deepcopy 可能被恶意利用导致资源耗尽(DoS)。
建议: 使用浅拷贝 dict() 或 .copy() 方法。

---

⚡ 性能问题

3. bkflow/label/views.py:78-84

for label in queryset:
    if label.parent_id is None:
        root_label_ids.append(label.id)
    else:
        root_label_ids.append(label.parent_id)

问题: Python 循环遍历全量 queryset 效率低下,可能造成 N+1 查询。
建议: 改用 ORM 查询: queryset.filter(parent_id__isnull=True)

---

⚠️ 逻辑错误

4. bkflow/label/views.py:82-83

else:
    root_label_ids.append(label.parent_id)

问题: 逻辑不正确。当查询结果包含子标签时,会将其 parent_id 加入列表,导致返回错误的标签。
建议: 移除此 else 分支,仅保留 parent_id is None 的标签。

5. bkflow/label/views.py:193

label_ids = validated_params["label_ids"].split(",")

问题: 缺少对分割后的 label_ids 长度和内容的验证,可能导致后续查询异常。
建议: 添加长度限制和格式验证,防止恶意超大列表攻击。

---

📝 代码质量

6. bkflow/interface/task/view.py:64

label_ids = Label.get_label_ids_by_names(labels)

问题: 未处理 get_label_ids_by_names 可能返回空列表的情况,导致不必要的后续处理。
建议: 添加空值检查: if labels and label_ids:

7. bkflow/label/views.py:193-197

label_ids = validated_params["label_ids"].split(",")
client = TaskComponentClient(space_id=validated_params["space_id"])
result = client.get_task_label_ref_count(validated_params["space_id"], validated_params["label_ids"])

问题: 先将 label_ids 字符串分割成列表,但传给 client 时又用原始字符串,逻辑不一致。
建议: 统一使用处理后的 label_ids 列表。

---

✅ 测试覆盖

测试用例覆盖较全面,但建议补充:

• 异常场景: label_ids 超长、特殊字符注入测试
• 边界条件: 空标签名、重复标签ID
• 并发场景: 同时创建/删除标签的竞态条件

[codecov-commenter]

Codecov Report

✅ All modified and coverable lines are covered by tests.
⚠️ Please upload report for BASE (master@9f29da9). Learn more about missing BASE report.

Additional details and impacted files

@@            Coverage Diff            @@
##             master     #610   +/-   ##
=========================================
  Coverage          ?   83.41%           
=========================================
  Files             ?      245           
  Lines             ?    14119           
  Branches          ?        0           
=========================================
  Hits              ?    11778           
  Misses            ?     2341           
  Partials          ?        0           

☔ View full report in Codecov by Sentry.
📢 Have feedback on the report? Share it here.

🚀 New features to boost your workflow:

• ❄️ Test Analytics: Detect flaky tests, report on failures, and find test suite problems.
• 📦 JS Bundle Analysis: Save yourself from yourself by tracking and limiting bundle sizes in JS merges.

[github-actions]

代码审查总结

本次审查发现以下高优先级问题:

🚨 严重问题 (3)

• SQL 注入风险: filter_label 方法中使用字符串拼接构造 SQL 查询
• N+1 查询问题: list 方法中未使用 select_related/prefetch_related 优化关联查询
• 事务安全: destroy 方法中缺少数据库事务保护,可能导致数据不一致

⚡ 性能问题 (2)

• 批量操作效率低: update_labels 使用循环创建关联记录,应使用 bulk_create
• 递归查询未优化: 标签树形结构查询可能导致性能问题

⚠️ 逻辑问题 (2)

• 权限检查不完整: 部分接口未验证用户对 space_id 的访问权限
• 错误处理不足: 外部 API 调用失败时缺少降级处理

建议: 优先修复 SQL 注入和事务安全问题

[github-actions]

代码审查总结

本次审查发现以下关键问题需要处理：

🚨 高优先级

1. SQL 注入风险: 多处直接使用未验证的 参数进行数据库查询
2. 事务完整性: 标签删除和关系更新操作缺少事务保护

⚡ 性能问题

3. N+1 查询: 序列化器中循环调用 会产生大量数据库查询
4. 批量查询优化: 部分代码可使用 替代循环查询

⚠️ 逻辑问题

5. 错误处理: 外部服务调用失败时未正确回滚已执行的数据库操作
6. 参数验证: 多处缺少输入参数的类型和格式验证

建议优先修复 SQL 注入和事务完整性问题，其他问题可在后续迭代中优化。测试覆盖率达到 48.76%，建议重点补充核心业务逻辑的测试用例。

[github-actions]

代码审查总结

本次审查发现以下关键问题需要处理：

🚨 高优先级

1. SQL 注入风险: 多处直接使用未验证的 label_ids 参数进行数据库查询
2. 事务完整性: 标签删除和关系更新操作缺少事务保护

⚡ 性能问题

3. N+1 查询: 序列化器中循环调用 labels.all() 会产生大量数据库查询
4. 批量查询优化: 部分代码可使用 in_bulk() 替代循环查询

⚠️ 逻辑问题

5. 错误处理: 外部服务调用失败时未正确回滚已执行的数据库操作
6. 参数验证: 多处缺少输入参数的类型和格式验证

建议优先修复 SQL 注入和事务完整性问题，其他问题可在后续迭代中优化。

[github-actions]

代码审查总结

本次审查检查了先前报告的问题状态,发现以下关键问题仍需处理:

🔒 安全问题

bkflow/contrib/api/collections/task.py:69 - URL 拼接未对 label_ids 参数转义,存在注入风险。建议使用 urllib.parse.urlencode() 处理 URL 参数。

🚨 数据一致性

bkflow/label/views.py:164-185 - destroy 方法中删除标签、模板关系和任务关系的操作缺少数据库事务保护。如果任务组件调用成功但数据库操作失败,会导致数据不一致。建议使用 @transaction.atomic 装饰器。

⚠️ 错误处理

bkflow/interface/task/view.py:66 - client.task_list() 调用后未检查 result["result"] 状态就直接访问 result["data"],可能导致 KeyError。建议添加结果检查。

---

建议优先修复安全和事务问题,这些问题可能导致数据损坏或安全漏洞。

[github-actions]

代码审查总结

本次 PR 新增标签系统功能,整体架构合理,但存在若干需要关注的问题:

🚨 严重问题

1. N+1 查询性能风险 (bkflow/label/views.py:78-84) - 过滤器中对每个标签都执行 Python 循环和多次查询
2. 缺少外键约束 (bkflow/label/models.py:105) - parent_id 使用 IntegerField 而非 ForeignKey,无法保证数据完整性

⚡ 性能优化

3. 重复递归查询 (bkflow/label/models.py:180-186) - full_path 属性每次访问都递归查询数据库
4. 批量查询可优化 (bkflow/label/views.py:204) - 应使用 bulk_create 的 ignore_conflicts 参数

⚠️ 逻辑风险

5. 未验证 label_ids 有效性 - 多处接受用户输入的 label_ids 但未校验是否存在
6. 循环引用检测不完整 (bkflow/label/models.py:145-156) - save() 前的检测无法覆盖批量更新场景

建议优先修复性能和数据完整性问题,其他问题可在后续迭代中改进。

[github-actions]

Code Review Summary

This PR introduces a hierarchical label management system with task and template integrations. Several issues should be addressed:

Critical Issues

🔒 Security: Missing Authorization Check

• bkflow/task/views.py:218 - The delete_task_label_relation endpoint deletes label relations without verifying space-level permissions. Any authenticated user could potentially delete label relations across different spaces.

🚨 Data Integrity: Missing Transaction in Cascade Delete

• bkflow/label/views.py:164-185 - The destroy method performs external API call + template relation deletion + label deletion without wrapping in a transaction. If any step fails after the external API succeeds, data will be inconsistent.

⚡ Performance: N+1 Query in full_path Property

• bkflow/label/models.py:177-186 - The full_path property makes recursive DB queries for each parent. When used in fetch_objects_labels, this causes O(M*D) queries for M labels with depth D. Consider pre-fetching parent relationships or using a closure table pattern.

⚠️ Input Validation: Missing Type Validation

• bkflow/task/views.py:190 and bkflow/template/views/template.py:474 - Both update_labels endpoints use request.data.get("label_ids", []) without serializer validation. Non-list input could cause unexpected behavior.

Minor Issues

• bkflow/contrib/api/collections/task.py:106 - The username parameter is not URL-encoded, which could cause issues with special characters.

Overall the feature implementation is solid. Addressing the security and data integrity issues before merge would be recommended.

[github-actions]

代码审查总结

本次 PR 引入了标签管理功能,整体实现较为完整。发现以下关键问题需要处理:

🚨 严重问题

• 事务安全: 任务创建时标签关联缺少事务保护,可能导致数据不一致
• 竞态条件: 层级标签创建时存在并发安全问题

⚡ 性能问题

• N+1 查询: 标签引用计数查询存在性能隐患

⚠️ 逻辑问题

• 数据验证: 标签ID未经验证直接使用
• 权限检查: 部分接口缺少标签权限校验

建议优先修复事务安全和竞态条件问题。测试覆盖率 87% 较好,但核心逻辑需补充边界用例。

[github-actions]

🔍 代码审查总结

本次 PR 实现了标签管理功能，整体架构清晰，测试覆盖率达 87%。识别到以下关键问题：

---

🚨 严重问题

1. 事务安全缺失 (bkflow/task/views.py:128)

task.set_labels(label_ids)  # 不在事务中

标签关联失败时任务已创建，导致数据不一致。建议：

with transaction.atomic():
    task = Task.objects.create(...)
    task.set_labels(label_ids)

2. 竞态条件 (bkflow/label/views.py:90)

parent_label, _ = Label.objects.get_or_create(name=parent_name, ...)

并发场景下可能创建重复父标签。建议捕获 IntegrityError 重试或使用 select_for_update()。

3. 潜在注入风险 (bkflow/contrib/api/collections/task.py:69)

url="task/get_task_label_ref_count/?space_id={}&label_ids={}".format(space_id, label_ids)

URL 参数直接拼接。建议传递 params 参数由框架处理。

---

⚡ 性能优化

4. N+1 查询 (bkflow/label/views.py:217)
遍历 label_ids 逐个查询模板关联：

for label_id in label_ids:
    count = TemplateLabelRelation.objects.filter(label_id=label_id).count()

建议批量查询：

TemplateLabelRelation.objects.filter(
    label_id__in=label_ids
).values('label_id').annotate(count=Count('id'))

5. 索引缺失 (bkflow/label/models.py:41)
full_path 字段用于查询但无索引。建议添加 db_index=True。

---

⚠️ 逻辑完善

6. 数据验证缺失 (bkflow/task/models.py:329)
label_ids 未验证存在性即创建关联，无效 ID 导致外键错误。建议：

valid_count = Label.objects.filter(id__in=label_ids, space_id=self.space_id).count()
if valid_count != len(label_ids):
    raise ValueError("Invalid label_ids")

7. 权限检查缺失 (bkflow/template/views/template.py:71)
label_ids 参数未校验用户权限。建议验证标签 space_id 与模板一致。

8. 错误处理不一致 (bkflow/label/views.py:230)
任务服务失败时仍返回 200 状态码，客户端难以判断。建议失败时返回 4xx/5xx。

---

✨ 优先级建议

1. 立即修复: feat: init repo --story=119349714 #1 事务安全、feat: add repo configs --story=119540612 #2 竞态条件
2. 本轮优化: feat: update github action config --story=119540612 #3 注入风险、feat: add label-pr action --story=119540612 #4 N+1 查询、feat: add release note yaml --story=119540612 #6 数据验证
3. 后续迭代: fix: 前端eslint代码规范 --story=119540612 #5 索引优化、添加对应 github action， 实现 pr 和 issue 自动关联和 label 流转 #7 权限完善、feat: 添加 pr 和 issue 关联自动化 action #7 #8 错误处理

测试用例编写规范，边界场景覆盖充分 👍

[github-actions]

代码审查 - 最终检查

本轮 PR 新增大量测试用例(+87% 覆盖率 👍),但核心代码仍存在以下关键问题:

---

🔒 安全问题

bkflow/contrib/api/collections/task.py:69 - URL 参数拼接存在注入风险

"task/get_task_label_ref_count/?space_id={}&label_ids={}".format(space_id, label_ids)

建议使用 urllib.parse.urlencode() 或 requests 的 params 参数

---

🚨 事务完整性

bkflow/label/views.py:164-185 (destroy 方法) - 缺少事务保护

# 任务组件调用
result = task_client.delete_task_label_relation(...)
# 删除模板关系
TemplateLabelRelation.objects.filter(...).delete()
# 删除标签
instance.delete()

如果任意步骤失败会导致数据不一致。建议添加 @transaction.atomic 装饰器

---

⚡ 性能隐患

bkflow/label/models.py:177-186 (full_path 属性) - 递归查询未优化

@property
def full_path(self):
    if self.parent_id:
        parent = Label.objects.get(id=self.parent_id)
        return f"{parent.full_path}/{self.name}"

在列表场景会产生 O(M*D) 次查询。建议使用 select_related() 或缓存

---

⚠️ 输入验证

bkflow/task/views.py:190 和 bkflow/template/views/template.py:474

label_ids = request.data.get("label_ids", [])

未使用序列化器验证,非列表输入可能导致异常

---

优先级建议

1. 立即修复: 事务完整性(数据损坏风险)
2. 本轮处理: URL 注入、输入验证
3. 后续优化: 性能问题

测试覆盖充分,但建议补充并发场景和异常路径测试。