GitLab

GO-2026-4602 (os), GO-2026-4601 (net/url), GO-2026-4600 and
GO-2026-4599 (crypto/x509). The crypto/x509 fixes are only
available in go1.26.1+, not backported to go1.25.x.

Signed-off-by: Salman Muin Kayser Chishti <13schishti@gmail.com>

standalone gosec 扫描 24 万行 Go 代码在 CI 中持续超时，
将其作为 golangci-lint 的内置 linter 运行，复用 AST 解析和缓存大幅提速。

- 在 .golangci.yml 中启用 gosec 并迁移原有排除规则
- golangci-lint timeout 从 5m 提升到 30m
- 从 security-scan.yml 移除 standalone gosec 步骤
- 删除不再需要的 .gosec.json 配置文件

为 gosec 添加 -exclude-generated 标志，跳过带有
"// Code generated" 注释的文件（如 wire_gen.go），
防止安全扫描因分析自动生成代码而超时。

【问题描述】
backend-security CI job 持续运行约 6 小时后被 GitHub Actions 强制取消，
表现为 'Run gosec' 步骤挂起，最终以 cancelled 状态结束。

【根本原因】
gosec 对 ./... 执行 AST 静态分析时，包含了 ent/ 目录下的
自动生成文件（如 mutation.go 共 24800 行），导致分析时间
超出 GitHub Actions 默认的 6 小时上限。

【修复方案】
1. gosec 命令增加 -exclude-dir=ent 跳过自动生成代码目录
2. backend-security job 增加 timeout-minutes: 15，避免未来
   类似问题再次长时间卡死后才被发现

ent/ 目录内容全部由 Ent ORM 框架自动生成，开发者不直接编写，
不需要纳入人工安全审计范围，排除后不影响扫描有效性。

gosec -conf 只支持 JSON 格式，将 .gosec.yaml 转换为 .gosec.json

- 新增 backend/.gosec.yaml 配置文件，排除 G704 (SSRF) 检查
- 更新 security-scan.yml workflow，使用 gosec 配置文件
- 原因：作为 API 网关平台，需要代理请求到配置的上游服务，所有上游 URL 来自管理员配置而非用户输入

修复GO-2026-4341和GO-2026-4340两个标准库漏洞

**问题描述：**
GitHub Actions 在 frontend-security job 中报错：
"Error: Unable to locate executable file: pnpm"

**根本原因：**
setup-node@v4 在尝试使用 pnpm cache 时，pnpm 还未安装

**解决方案：**
1. 调整步骤顺序：先安装 pnpm，再设置 Node.js
2. 升级 pnpm/action-setup 从 v2 到 v4
3. 明确指定 pnpm version: 9

**修改内容：**
- 将 "Set up pnpm" 步骤移到 "Set up Node.js" 之前
- 更新 pnpm/action-setup@v2 → pnpm/action-setup@v4
- 添加 version: 9 配置

**正确的步骤顺序：**
1. Checkout 代码
2. Set up pnpm (指定版本)
3. Set up Node.js (可以使用 pnpm cache)
4. Install dependencies

相关 Issue: #174

🤖 Generated with [Claude Code](https://claude.com/claude-code

)
Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

主要改动：
- 固定 Go 1.25.5 与 CI 校验并更新扫描流程
- 升级 quic-go、x/crypto、req 等依赖并通过 govulncheck
- 强化 JWT 校验、TLS 配置与 xlsx 动态加载
- 新增审计豁免清单与校验脚本