# 用于CNAS软件测评模拟检测的企业人力资源管理系统样本程序方案与AI生成Prompt

## 执行摘要

本报告给出的结论是：**建议生成一套“单企业、单租户、前后端分离、模块化单体”的企业人力资源管理系统样本程序**，以完整覆盖员工档案、招聘、入职/离职、考勤、薪酬、绩效、权限与审计、报表与导出、接口与集成九大模块；技术上采用**真实企业常见栈**，但控制为**一个主应用 + 一个异步任务进程 + 标准中间件**，避免微服务化带来的部署、联调和回归负担。这样做的依据是：CNAS 当前针对检测实验室认可仍以 CNAS-CL01 及其领域应用文件为核心，常规检测实验室申请需要满足法律地位、管理体系运行、内审/管评、能力验证和资源配置等要求；软件检测领域应用说明则进一步强调测试输入项、测试环境、测试工具、版本控制、技术记录和结果有效性；上传的真实测试报告案例又显示，真实报告并不只看“功能能不能用”，还会重点看账号锁定、会话时效、越权访问、界面反馈、删除完整性、回滚一致性、用户文档和符合性评价。citeturn2view1turn2view2turn29view1turn29view2turn29view3turn29view5turn10search1turn6search5 fileciteturn0file0 fileciteturn0file3 fileciteturn0file4

从上传的 GB/T 25000.10-2016 与 GB/T 25000.51-2016 可见，面向软件测评的样本程序不能只覆盖功能适合性，还应覆盖性能效率、兼容性、易用性、可靠性、信息安全性、可维护性和可移植性，以及用户文档、测试文档和符合性评价等内容。因此，本报告推荐的样本程序不是“玩具 CRUD 系统”，而是一个**有完整业务流、有权限边界、有长任务、有审计链、有自动化测试、有 Docker 化部署、有 OpenAPI 文档、有可重复测试数据和故障注入能力**的“组织人事管理平台”。同时，为满足您的约束，**程序本身不得出现 CNAS 字样，不得包含真实个人、企业、政府、社会团体名称或信息，所有示例数据都应为合成数据。** fileciteturn0file1 fileciteturn0file2

| 决策项 | 建议 |
|---|---|
| 样本程序定位 | 单主题、单程序、企业级 HR 管理系统样本 |
| 推荐架构 | 模块化单体 + 独立异步 Worker |
| 默认技术栈 | Java 21 + Spring Boot 3.5.x + Vue 3 + PostgreSQL + Redis + RabbitMQ |
| 必须覆盖模块 | 员工档案、招聘、入职/离职、考勤、薪酬、绩效、权限与审计、报表与导出、接口与集成 |
| 核心测试能力 | 功能、边界/异常、安全、接口兼容、性能、可靠性、回归 |
| 可测性增强 | Demo 数据生成、固定时钟、日志级别控制、故障注入、OpenAPI、自动化测试、脚本化部署 |
| 简化边界 | 不做多租户、不做真实税务社保法规引擎、不接真实短信/邮件/政府接口 |
| 强约束 | 禁止 CNAS 字样；禁止真实组织/个人信息；禁止“为了检测故意做得很水” |

## 研究依据与设计原则

截至 2026 年 4 月的 CNAS 实验室认可规范文件清单中，**CNAS-CL01-A019:2018《检测和校准实验室能力认可准则在软件检测领域的应用说明》**仍列为有效文件；CNAS 官网对常规检测实验室申请材料的说明则明确要求法律地位、管理体系运行、内审与管理评审、能力验证计划与结果、资源条件等；CNAS-RL02:2023 又要求实验室基于风险评估制定能力验证工作计划，并在没有合适能力验证时强化其他质量保证手段。对于您要做的“内部模拟检测样本”，这意味着样本程序不应只是“给工程师点点页面”的演示软件，而要能承载**完整测试输入、版本信息、运行环境、技术记录、结果监控、自动化回归和异常复现**。citeturn6search5turn2view2turn29view5turn29view6

CNAS-CL01-A019 对软件检测特别关键的几项约束是：测试合同与项目评审中应明确测试输入项、测试结束条件、测试风险和交付方式；接收被测软件时要记录程序、文档、数据和版本号，并进行唯一性标识；技术记录应至少覆盖测试输入项记录、测试技术文档、测试环境记录、测试执行记录和技术评审记录；实验室还应有保证结果有效性的质量监控方案，可采用样例软件或标准方法开展内部测试，也可采用实验室间比对或能力验证。CNAS-CL01-G001:2024 进一步要求信息管理系统满足**审核路径、数据安全与完整性**等要求。正是这些条款，直接决定了样本程序必须自带版本信息、审计链、环境清单、测试数据、回归套件和已知可复现场景。citeturn29view4turn29view2turn29view3turn29view0

您上传的真实案例也非常有参考价值。上传的可靠性测试报告显示，单一对象就执行了大量有效用例，并明确检查了**超范围输入、账号锁定、会话时效、界面即时反馈、不同角色会话独立、越权访问、删除完整性、敏感操作确认和事务回滚**等点；上传的软件产品登记测试报告则体现出**用户文档 + 功能符合性**的评价框架；上传的委托测试申请表要求提供**产品简介、软件/硬件环境、访问方式、账号和待测功能清单**。因此，如果样本程序缺少文档、缺少账号矩阵、缺少环境脚本、缺少日志与审计、缺少异常路径，工程师在内部模拟检测中就无法真实展示公司的检测深度。fileciteturn0file0 fileciteturn0file3 fileciteturn0file4

从这些依据出发，我建议遵循三条设计原则：**完整但有边界、真实但不过度复杂、可测且可重复**。这里的“完整但有边界”，指功能要覆盖真实 HR 业务闭环，但不引入真实税务或社保法规；“真实但不过度复杂”，指要采用生产常见技术栈、权限控制、异步任务、缓存、审计和自动化测试，但避免为样本而拆成多微服务；“可测且可重复”，指要把 Demo 数据、固定时钟、故障点、日志关联 ID、OpenAPI、回归测试和部署脚本全部内置。上述判断是基于官方规范和真实报告案例所作的设计推断。citeturn29view1turn29view2turn29view3turn29view5turn29view0 fileciteturn0file0

| 依据层面 | 关键要求或观察 | 对样本程序的直接影响 |
|---|---|---|
| 认可准则层 | 申请认可不仅看代码，还看体系、记录、能力验证、资源、风险控制 | 样本必须能形成完整“可检测对象”，而非单纯源码 |
| 软件检测应用层 | 关注测试输入、测试文档、测试环境、执行记录、版本控制、结果有效性 | 程序要附带环境脚本、版本标识、日志审计、测试数据、回归套件 |
| 信息管理层 | 信息管理系统应有审核路径、数据安全、完整性 | 程序要有审计链、操作留痕、日志关联、不可抵赖的关键记录 |
| 软件质量模型层 | 质量覆盖功能、性能、兼容、易用、可靠、安全、维护、移植 | 方案必须同时设计功能点与质量属性点 |
| 真实案例层 | 真实报告会测越权、锁定、时效、回滚、删除完整性、用户文档 | 样本必须具备“异常路径”和“文档化”能力 |
| 送检资料层 | 实际委托资料要求简介、环境、访问地址、账号、待测功能清单 | 交付物必须结构化、可交接、可重复启动 |

## 业务范围与功能清单

主流企业级 HCM／HRIS 产品普遍把员工主数据、招聘、缺勤/休假、考勤、绩效、工资、工作流和分析报表放在同一套系统中。Odoo 的 HR 文档目录明确列出了员工、出勤、休假、招聘、评估和工资；Oracle HCM 将 Human Resources、Talent Management、Workforce Management、Payroll 归为同一云解决方案；Workday 招聘模块则覆盖 requisition、candidate pipeline、面试与 offer 流程。结合 GB/T 25000.10/51 对功能与质量维度的要求，本样本程序覆盖九大模块是合理且必要的。citeturn24view1turn24view2turn24view3turn24view4 fileciteturn0file1 fileciteturn0file2

### 功能清单

| 模块 | 必做功能 | 关键用例 | 边界/异常重点 | 检测价值 |
|---|---|---|---|---|
| 员工档案 | 组织树、部门、岗位、员工主档、合同信息、联系方式、在职状态、附件元数据、变更历史 | 新增员工、转岗转部门、状态变更、档案检索、批量导入 | 员工编号重复、未来生效时间、转岗前后权限变化、附件类型/大小限制、敏感字段脱敏 | 功能完整性、字段校验、数据一致性、权限联动 |
| 招聘 | 职位需求、候选人、简历信息、面试安排、面试反馈、Offer、录用转入职 | 建立岗位需求、录入候选人、安排面试、发放 Offer、转入入职流程 | 候选人重复、岗位已关闭仍允许投递、面试时间冲突、同一候选人重复转化 | 状态流转、边界校验、流程一致性 |
| 入职/离职 | 入职清单模板、账号开通申请、试用期标记、离职申请、交接项、账号停用 | Offer 接受后生成入职单、入职完成激活员工、离职后自动停用账号 | 必填入职项未完成、离职日期与薪酬期间冲突、存在未完成交接项时阻断关闭 | 业务闭环、流程阻断、与权限/薪酬联动 |
| 考勤 | 班次、签到签退、考勤异常、请假、加班、月度汇总 | 正常打卡、跨天班次、缺卡补录、请假审批、加班审批 | 请假时间重叠、跨天工时、缺少签退、节假日/休息日规则、人工修正留痕 | 时间边界、规则计算、追溯审计 |
| 薪酬 | 薪资项目、薪酬期间、公式计算、考勤扣减、绩效奖金、审核、锁定、工资单发布 | 月度核算、复核、审批、锁定、发布工资单 | 期间锁定后变更、防重复核算、公式异常回滚、离职当月折算、敏感信息掩码 | 金额准确性、事务一致性、不可变更性 |
| 绩效 | 绩效周期、模板、目标、员工自评、经理评价、最终评级、分布分析 | 发布绩效周期、提交自评、经理评分、结案归档 | 权重不等于 100、超期提交、跨部门经理越权评分、结案后编辑 | 复杂表单、审批链、对象级授权 |
| 权限与审计 | 本地账号登录、JWT/刷新令牌、角色、部门数据范围、敏感操作二次确认、审计链 | 登录、登出、重置密码、越权阻断、审计查询 | 暴力登录、令牌过期、同一用户多会话、行级越权、审计缺失 | 安全、合规、可追溯性 |
| 报表与导出 | 人员结构报表、招聘漏斗、考勤汇总、薪酬汇总、绩效分布、异步导出 | 条件查询、CSV/XLSX 导出、下载与过期 | 大范围查询转异步、导出文件过期、无权限导出、导出失败重试 | 性能、权限、长任务处理 |
| 接口与集成 | OpenAPI/Swagger、员工查询 API、批量导入 API、Webhook 事件、签名校验、幂等键 | 外部查询员工状态、导入考勤、发出入职/离职/工资发布事件 | 无效签名、重复回调、接口版本不兼容、部分导入成功与错误行导出 | 接口兼容性、幂等性、异常恢复 |

### 角色与权限范围

| 角色 | 主要能力 | 数据范围 |
|---|---|---|
| SYSTEM_ADMIN | 系统参数、角色权限、审计查询、健康检查、任务监控 | 全局 |
| HR_ADMIN | 员工档案、组织、入离职、报表 | 全局或人事指定范围 |
| RECRUITER | 职位需求、候选人、面试、Offer | 招聘模块全局 |
| DEPT_MANAGER | 本部门员工查看、请假/加班审批、绩效评分 | 本部门及下级部门 |
| PAYROLL_ADMIN | 薪酬配置、核算、复核、发布工资单 | 薪酬模块全局 |
| EMPLOYEE_SELF | 查看/更新本人部分信息、打卡、请假、自评 | 仅本人 |
| AUDITOR | 只读查看审计、导出记录、关键日志报表 | 全局只读 |
| INTEGRATION_CLIENT | 调用受限 API、接收/发送 Webhook | 指定接口范围 |

需要特别强调的是，上传的可靠性案例并非只测“happy path”，而是明确覆盖了账号锁定、会话超时、越权访问、弹窗反馈、关联数据删除完整性和事务回滚等非功能/异常场景。因此，上表九大模块都不能只停留在 CRUD，而必须带有实际业务状态机、权限边界和失败路径，才能真正体现贵司工程师的检测能力。fileciteturn0file0

## 技术架构与数据模型

我推荐的默认实现形态是**模块化单体**。这是一个有意识的折中：一方面，Spring Boot 可以快速构建可独立运行、具备生产就绪特性的应用；Spring Security 同时提供认证、授权、常见攻击防护、方法级授权、OAuth2/JWT 支持，并可扩展 LDAP；Spring Data JPA 能减少数据访问层样板代码并提供分页、查询与审计能力。另一方面，相比微服务，模块化单体更适合内部模拟检测：部署更轻、环境更稳、排障更快、回归更可控，但又不牺牲 REST API、缓存、消息队列、审计、健康检查和自动化测试等真实企业要素。这个推荐是基于上述官方能力和检测目标作出的设计推断。citeturn25view0turn25view1turn25view2turn25view3turn25view4turn18search3

在基础设施层面，PostgreSQL 的主键、唯一约束和外键能保证关系完整性，`jsonb` 适合承载少量可扩展字段；Redis 的 TTL/EXPIRE 机制适合做登录失败计数、导出文件缓存和短期聚合缓存；RabbitMQ 的 Work Queue 非常适合把批量导入、导出、薪酬核算等耗时任务从同步请求中剥离出来，同时通过 consumer ack 和 publisher confirm 提升消息安全性；OpenAPI 既能让人和工具理解 API，也能被文档、代码生成和测试工具消费；Spring Boot Actuator、Micrometer 与 OpenTelemetry 能提供健康检查、指标、日志和链路追踪；Docker Compose 适合把前端、后端、数据库和中间件统一拉起；GitHub Actions 可以自动化 CI/CD；Testcontainers、Playwright、k6 和 ZAP 则分别覆盖集成测试、浏览器 E2E、压测和 API 安全扫描。citeturn27view5turn27view6turn27view2turn27view3turn27view4turn27view7turn25view5turn27view8turn27view1turn26view4turn26view3turn26view2turn26view0turn26view1turn27view0turn26view5

### 技术栈与架构推荐表

| 层面 | 可选方案 | 默认推荐 | 推荐理由 |
|---|---|---|---|
| 后端 | Java + Spring Boot；C# + ASP.NET Core；TypeScript + NestJS | **Java 21 + Spring Boot 3.5.x** | 生态完整，适合权限、事务、消息、审计、测试和文档化 |
| 前端 | Vue 3；React | **Vue 3 + TypeScript + Vite + Element Plus** | 更适合中后台表单/表格/审批流界面 |
| 数据库 | PostgreSQL；MySQL | **PostgreSQL 16+** | 关系完整性强，`jsonb` 适合扩展字段 |
| 认证授权 | Session；JWT；OAuth2/OIDC；LDAP | **本地账号 + JWT + Refresh Token，预留 OIDC/LDAP 适配接口** | 默认简单可控，同时可测试 SSO 兼容接口 |
| 缓存 | Redis；Caffeine | **Redis** | 可做登录锁定、短期缓存、任务状态缓存 |
| 消息/任务队列 | RabbitMQ；Kafka | **RabbitMQ** | 更适合样本中的异步任务和失败重试 |
| 日志与审计 | 应用日志；数据库审计表；OTel | **业务审计表 + 结构化日志 + OTel 就绪** | 同时满足安全取证与性能观测 |
| API 文档 | 手写文档；OpenAPI | **OpenAPI 3.1 + Swagger UI** | 便于人工检测和自动化扫描 |
| 数据库变更 | 手工 SQL；Liquibase；Flyway | **Flyway** | 版本化迁移简单，便于复现与回归 |
| 自动化测试 | 单元；集成；E2E；性能；安全 | **JUnit 5 + Testcontainers + Playwright + k6 + ZAP** | 覆盖最完整，且都可脚本化执行 |
| 部署 | 直接运行；Docker；K8s | **Docker Compose** | 对样本程序最省运维成本且足够真实 |
| CI/CD | GitHub Actions；GitLab CI | **GitHub Actions 示例，保留迁移空间** | 文档充分且便于 AI 生成 |

### 系统组件关系图

下图展示了推荐的“前后端分离 + 模块化单体 + 异步 Worker”结构。这样既能保留真实企业系统中的 API、缓存、消息队列、数据存储、审计和观测能力，又能把内部模拟检测的部署复杂度控制在一个 Docker Compose 之内。citeturn25view0turn25view5turn26view3turn27view3turn27view4

```mermaid
flowchart LR
    subgraph Client["客户端"]
        UI["Vue Web UI"]
    end

    subgraph App["HR 样本程序"]
        API["REST API / Auth Gateway"]
        EMP["员工与组织模块"]
        REC["招聘模块"]
        ONOFF["入职/离职模块"]
        ATT["考勤模块"]
        PAY["薪酬模块"]
        PERF["绩效模块"]
        REP["报表导出模块"]
        AUD["权限与审计模块"]
        WORKER["异步任务 Worker"]
    end

    PG[("PostgreSQL")]
    REDIS[("Redis")]
    MQ[("RabbitMQ")]
    FILES[("本地文件存储")]
    OBS["Actuator / Metrics / Traces / Logs"]
    WEBHOOK["Webhook Sandbox"]

    UI --> API
    API --> EMP
    API --> REC
    API --> ONOFF
    API --> ATT
    API --> PAY
    API --> PERF
    API --> REP
    API --> AUD

    API --> PG
    API --> REDIS
    API --> MQ
    API --> FILES
    API --> OBS

    WORKER --> MQ
    WORKER --> PG
    WORKER --> REDIS
    WORKER --> FILES
    WORKER --> WEBHOOK
    WORKER --> OBS
```

### 数据流图

在数据流上，建议把**批量导入、导出、薪酬核算、Webhook 重试**全部作为异步任务处理。这样既符合长任务处理的工程实践，也更适合工程师做性能、可靠性和异常恢复检测。citeturn27view3turn27view4turn27view2turn27view8

```mermaid
sequenceDiagram
    actor HR as HR专员
    participant FE as 前端
    participant API as API服务
    participant DB as PostgreSQL
    participant Cache as Redis
    participant MQ as RabbitMQ
    participant Worker as Worker
    participant File as 文件存储

    HR->>FE: 发起批量导入/导出/薪酬核算
    FE->>API: REST请求 + JWT
    API->>DB: 保存请求与业务状态
    API->>Cache: 写入短期状态/失败计数
    API->>MQ: 投递异步任务
    API-->>FE: 返回任务ID

    MQ->>Worker: 获取任务
    Worker->>DB: 读取业务数据
    Worker->>File: 生成CSV/XLSX
    Worker->>DB: 更新任务状态与结果
    FE->>API: 轮询任务状态
    API-->>FE: 返回成功/失败/下载地址
```

### 示例 ER 图

示例 ER 图不是要把所有表一次性画满，而是用于明确“哪些实体必须存在，哪些关系必须可测”。对 HR 样本来说，下面这些是最有检测价值的主实体。citeturn27view5turn27view6

```mermaid
erDiagram
    DEPARTMENT ||--o{ EMPLOYEE : contains
    POSITION ||--o{ EMPLOYEE : assigns
    EMPLOYEE ||--|| USER_ACCOUNT : owns
    USER_ACCOUNT ||--o{ USER_ROLE : maps
    ROLE ||--o{ USER_ROLE : grants
    ROLE ||--o{ ROLE_PERMISSION : includes
    PERMISSION ||--o{ ROLE_PERMISSION : included_by

    JOB_REQUISITION ||--o{ CANDIDATE : receives
    CANDIDATE ||--o{ INTERVIEW : has
    CANDIDATE ||--o| ONBOARDING_CASE : converts_to

    EMPLOYEE ||--o{ ATTENDANCE_RECORD : marks
    EMPLOYEE ||--o{ LEAVE_REQUEST : applies
    EMPLOYEE ||--o{ OFFBOARDING_CASE : exits

    PAYROLL_PERIOD ||--o{ PAYROLL_RUN : contains
    PAYROLL_RUN ||--o{ PAYSLIP : generates
    EMPLOYEE ||--o{ PAYSLIP : receives

    APPRAISAL_CYCLE ||--o{ APPRAISAL_RECORD : includes
    EMPLOYEE ||--o{ APPRAISAL_RECORD : evaluated

    USER_ACCOUNT ||--o{ AUDIT_LOG : acts
    USER_ACCOUNT ||--o{ EXPORT_JOB : creates
    USER_ACCOUNT ||--o{ IMPORT_JOB : creates
    EMPLOYEE ||--o{ INTEGRATION_EVENT : triggers
```

### 关键表结构示例

| 表名 | 核心字段示例 | 设计说明 |
|---|---|---|
| departments | id, parent_id, dept_code, dept_name, status, sort_no | 组织树、数据范围控制基础 |
| positions | id, position_code, position_name, level_code, status | 员工与招聘共用岗位维度 |
| employees | id, employee_no, department_id, position_id, display_name, employment_status, hire_date, leave_date, mobile_masked, id_no_cipher, bank_card_cipher, version | 主档核心表，带乐观锁 |
| user_accounts | id, employee_id, username, password_hash, status, failed_attempts, locked_until, last_login_at | 登录、锁定、审计关联 |
| login_sessions | id, user_account_id, refresh_token_hash, device_name, issued_at, expires_at, revoked_at | 多会话、注销、令牌撤销 |
| job_requisitions | id, req_no, department_id, position_id, planned_headcount, status, opened_at, closed_at | 招聘需求 |
| candidates | id, requisition_id, candidate_code, display_name, email, phone, source, status, ext_jsonb | 候选人与招聘流程 |
| onboarding_cases | id, candidate_id, target_employee_id, status, checklist_jsonb, expected_join_date | 招聘转入职桥接表 |
| attendance_records | id, employee_id, work_date, shift_code, clock_in_at, clock_out_at, late_minutes, early_leave_minutes, anomaly_status | 考勤主表 |
| leave_requests | id, employee_id, leave_type, start_at, end_at, duration_hours, status, approver_id | 请假审批 |
| payroll_periods | id, period_key, start_date, end_date, status, locked_at | 薪酬周期 |
| payroll_runs | id, payroll_period_id, run_no, formula_version, status, started_at, finished_at, error_message | 核算批次 |
| payslips | id, payroll_run_id, employee_id, base_salary, allowance_total, deduction_total, performance_bonus, net_amount, published_at | 工资单 |
| appraisal_cycles | id, cycle_name, start_date, end_date, status, template_jsonb | 绩效周期 |
| appraisal_records | id, cycle_id, employee_id, manager_id, self_score, manager_score, final_score, final_grade, status | 单人绩效结果 |
| audit_logs | id, actor_user_id, action, entity_type, entity_id, before_json, after_json, ip_addr, user_agent, correlation_id, prev_hash, record_hash, occurred_at | 审计链，建议追加 hash 链 |
| export_jobs | id, job_type, criteria_json, status, file_path, file_expire_at, created_by, finished_at | 异步导出 |
| import_jobs | id, job_type, source_file, preview_result_json, status, success_count, fail_count, error_file_path, created_by | 异步导入 |
| integration_events | id, event_type, business_key, payload_json, signature, status, retry_count, next_retry_at | Webhook 事件与重试 |

### 示例 API

OpenAPI 的价值在于：它既能驱动 Swagger UI，也能被代码生成工具、契约测试工具和 ZAP API Scan 直接消费。因此，样本程序最好把 OpenAPI 文档当成“一等交付物”，而不是后补附件。citeturn27view7turn26view5

| 接口 | 方法 | 说明 | 关键检测点 |
|---|---|---|---|
| /api/v1/auth/login | POST | 本地登录获取 access token 与 refresh token | 锁定策略、错误提示、审计记录 |
| /api/v1/employees | POST | 新增员工主档 | 必填项、编号唯一性、敏感字段处理 |
| /api/v1/employees/{id} | GET | 查询员工详情 | 对象级授权、字段脱敏 |
| /api/v1/candidates | POST | 新增候选人 | 重复检测、字段校验 |
| /api/v1/onboarding-cases/{id}/complete | POST | 完成入职流程并激活员工 | 状态流转、联动账号创建 |
| /api/v1/attendance/import-jobs | POST | 提交考勤批量导入任务 | 文件校验、异步任务、错误行导出 |
| /api/v1/payroll/periods/{periodKey}/runs | POST | 发起薪酬核算批次 | 长任务、回滚、一致性 |
| /api/v1/payslips/{id}/publish | POST | 发布工资单 | 角色权限、敏感操作确认 |
| /api/v1/reports/headcount/export | POST | 组织人数统计异步导出 | 大数据量导出、权限控制 |
| /api/v1/integration/webhooks/employee-status | POST | 外发员工状态变更事件 | 签名、幂等、失败重试 |
| /api/v1/system/about | GET | 管理员查看构建信息、迁移版本、profile | 版本识别、环境复现 |
| /actuator/health | GET | 系统健康检查 | 部署后冒烟、依赖状态识别 |

示例登录请求：

```json
{
  "username": "hr_admin",
  "password": "ChangeMe123!"
}
```

示例登录成功响应：

```json
{
  "code": "OK",
  "message": "success",
  "correlationId": "c4f1e302-3d49-4d2d-8a0f-f8c0d52a91b7",
  "data": {
    "accessToken": "<jwt>",
    "refreshToken": "<opaque-token>",
    "expiresIn": 3600,
    "user": {
      "userId": "U0001",
      "displayName": "员工0001",
      "roles": ["HR_ADMIN"],
      "dataScopes": ["ALL"]
    }
  }
}
```

示例发起薪酬核算请求：

```json
{
  "recalculate": false,
  "includeDepartments": ["D-HR-01", "D-DEV-01"],
  "formulaVersion": "v1.0.0"
}
```

示例发起薪酬核算响应：

```json
{
  "code": "ACCEPTED",
  "message": "payroll run submitted",
  "correlationId": "0f03cf1e-c0d2-4a9d-9a8e-5d0ed09b1b0e",
  "data": {
    "jobId": "JOB-PAY-202601-0001",
    "status": "QUEUED"
  }
}
```

## 安全性能与可测性设计

### 安全与合规检测点

上传的真实可靠性案例把账号锁定、会话超时、界面反馈、角色会话独立、越权访问、删除完整性、敏感操作确认和事务回滚都当成检查点；OWASP 则把访问控制失效、认证与会话失效、密码学失效、输入校验不足、日志与监控不足、API 对象级授权失效列为高风险区域。因此，这套样本程序应当重点做到：**权限默认拒绝、对象级鉴权、细粒度方法授权、令牌与会话治理、敏感数据保护、输入与文件校验、审计链完整、危险操作二次确认**。fileciteturn0file0 citeturn28view0turn28view1turn28view2turn28view3turn28view4turn28view5turn28view6turn28view7

我不建议在样本程序中预埋真正可利用的 SQL 注入或越权后门。更好的做法是：在 `lab` profile 下提供**故障注入**和**弱配置模拟器**，让工程师验证“系统能防住、能报警、能记录、能复现”，而不是把样本做成靶场。这一判断来自 CNAS 对方法、记录和结果有效性的关注，以及真实报告更偏向“确认控制措施是否有效”而不是“证明漏洞一定存在”。citeturn29view3turn29view5turn29view0turn28view4

| 检测点 | 必须实现 | 推荐默认值/机制 | 典型检测场景 |
|---|---|---|---|
| 身份认证 | 本地账号登录、密码哈希、失败锁定、密码修改后令牌失效 | 失败阈值可配置；密码使用 Argon2id 或 BCrypt；登录成功重置失败计数 | 暴力登录、弱口令、锁定后解锁 |
| 会话与令牌 | JWT Access + Refresh，支持注销与令牌失效 | access token 60 分钟；refresh token 7 天；`login_sessions` 记录会话 | 令牌过期、注销后重放、多设备会话 |
| 功能级授权 | 路由级 + 方法级双重控制 | Spring Security request-level + method-level，默认拒绝 | 非薪酬岗位调用发布工资单接口 |
| 对象级授权 | 按部门 / 本人 / 审批链校验对象访问 | Department Data Scope + Owner Check + Approver Check | 改 URL 访问他人员工档案或工资单 |
| 输入校验 | 语法 + 语义双层校验，文件上传验证 | DTO 校验 + 业务校验 + 文件类型/大小白名单 | XSS 字符串、非法日期、负数工资、异常文件 |
| 敏感数据保护 | 密码不可逆；核心敏感字段加密存储、界面脱敏 | `id_no_cipher`、`bank_card_cipher`；只显示掩码 | 数据库泄露演练、导出脱敏验证 |
| 审计链 | 关键操作记录 before/after、操作者、IP、UA、关联 ID | 追加式 `audit_logs`，可加入 `prev_hash`/`record_hash` | 删除候选人、发布工资单、重置密码 |
| 危险操作确认 | 不是所有按钮都直接生效 | 对工资发布、批量导入确认、角色授权变更进行二次确认 | 防误操作、操作可追溯 |
| 删除策略 | 核心业务多采用归档/失效，不做物理删除；可删资源必须级联受控 | 员工/工资/绩效不物理删除；草稿候选人可删 | 删除完整性、关联残留检查 |
| 接口安全 | 签名、幂等键、速率限制 | `X-Signature` + `Idempotency-Key` + Redis 计数器 | 重放攻击、重复回调、接口刷用 |

### 性能与可靠性检测点

RabbitMQ 的 Work Queue 设计目标就是把资源密集任务延后执行并交给后台 worker；consumer ack 和 publisher confirm 用于数据安全；Redis TTL 天然适合做速率限制和短期缓存；PostgreSQL 既支持事务回滚，也支持 SQL dump、文件级备份和持续归档等备份方式；Spring Boot/Actuator 与 OpenTelemetry 则可提供健康检查、日志、指标和追踪。基于这些能力，我建议把性能和可靠性的重点放在**并发登录、检索与报表、批量导入导出、薪酬长任务、队列失败恢复、备份恢复和健康检查**上。citeturn27view3turn27view4turn27view2turn22search7turn22search4turn22search5turn27view8turn27view1turn26view4

| 场景 | 建议数据规模 | 处理方式 | 建议基准 | 检测重点 |
|---|---|---|---|---|
| 并发登录 | 200 并发用户 | 同步鉴权 + Redis 失败计数 | 成功率 ≥ 99%，p95 ≤ 1.5s | 鉴权性能、锁定策略、日志完整性 |
| 员工检索/列表分页 | 2,000 员工、20+ 条件组合查询 | 同步分页查询 + 关键索引 + 缓存组织树 | p95 ≤ 800ms | 查询性能、排序/过滤正确性 |
| 考勤批量导入 | 50,000 行 CSV | 异步任务 + 预校验 + 错误行导出 | 提交请求 ≤ 2s，任务完成 ≤ 10 分钟 | 长任务稳定性、部分失败处理 |
| 报表导出 | 10,000 行以上 | 异步导出 CSV/XLSX | 提交请求 ≤ 2s，结果生成 ≤ 3 分钟 | 大数据量导出、文件过期与权限 |
| 薪酬核算 | 2,000 员工，5~10 薪资项 | 异步批次 + 事务提交 | 批次完成 ≤ 5 分钟 | 金额准确性、失败回滚、状态机 |
| Webhook 重试 | 100 个事件，10% 人工模拟失败 | 重试队列 + 指数退避 + 死信队列 | 最终可见失败原因，避免无声丢失 | 幂等、重试、告警、事件追踪 |
| 容灾恢复 | 一套完整样本库 | `pg_dump/pg_restore` 脚本 + Docker restore | 可在预定时限内完成恢复并通过冒烟 | 备份可用性、恢复一致性 |
| 健康检查 | 应用 + DB + Redis + MQ | `/actuator/health` + 自定义 about | 依赖异常能被准确暴露 | 可运维性、部署后验证 |

### 可测性设计

CNAS-CL01-A019 要求软件测试方法通常包括测试用例集、测试工具和相关程序；技术记录要覆盖测试输入项、环境、执行与评审；结果有效性要通过样例软件、内部测试或外部比对来监控。CNAS-CL01-G001 还要求信息管理系统具备审核路径、数据安全和完整性。对样本程序来说，这意味着要把“可测性”做成**程序特性**，而不是依赖工程师临时造数据、手工改配置、人工凑日志。citeturn29view1turn29view2turn29view3turn29view0turn29view6

| 可测性设计项 | 具体做法 | 对检测的价值 |
|---|---|---|
| `lab` profile | 使用 `application-lab.yml`，仅在实验 profile 启用 Demo 功能 | 将样本模式与“准生产模式”隔离 |
| 合成数据生成器 | 可按固定随机种子生成 2,000 员工、500 候选人、180 天考勤、12 个绩效周期 | 压测、边界测试、重复回归都可复现 |
| 固定时钟 | 所有业务时间通过 `Clock` 注入，可在 lab 模式冻结到指定日期 | 便于测试会话超时、月末薪酬、绩效结案 |
| 故障注入点 | 导出延迟、MQ nack、Webhook 5xx、工资公式异常、缓存关闭、外部签名失败 | 可重复演练性能、恢复、异常处理 |
| 日志级别控制 | 支持模块级日志级别；所有响应返回 `correlationId` | 便于故障定位和证据留存 |
| 自检端点 | `/actuator/health`、`/api/v1/system/about`、任务统计接口 | 便于部署后冒烟与版本确认 |
| 任务可视化 | 导入/导出/薪酬批次有任务表、执行日志、错误明细 | 长任务检测可观察、可核验 |
| 契约输出 | 自动生成 `openapi.yaml` 与 Swagger UI | 接口兼容与 ZAP API 扫描更容易 |
| 自动化脚本 | 一键启动、造数、跑冒烟、备份、恢复、压测、安全扫描 | 内部模拟检测效率显著提高 |
| 硬性禁区 | **不提供跳过鉴权的后门开关** | 避免样本质量下滑为“演示脚本” |

示例 `lab` 配置建议如下：

```yaml
app:
  lab:
    enabled: true
    fixed-clock: "2026-01-31T18:00:00+08:00"
    seed:
      enabled: true
      random-seed: 20260517
      employee-count: 2000
      candidate-count: 500
      attendance-days: 180
    failpoint:
      enabled: true
      export-delay-ms: 0
      payroll-extra-delay-ms: 0
      webhook-force-5xx-rate: 0.0
      mq-requeue-once: true
logging:
  level:
    com.example.hrsample: INFO
```

## 测试用例与检测清单

CNAS-RL02 要求机构依据风险评估制定能力验证和质量保证计划；A019 要求结果有效性监控；上传的真实可靠性案例又表明，在一个单项报告中也可能出现大量有效测试用例。因此，样本程序不宜只准备几条“演示流程”，而应至少准备一套**最小强覆盖集**。下面给出的用例集，适合作为贵司工程师内部模拟检测的“主清单”；在此基础上再扩展出更细的参数化和组合用例即可。citeturn29view5turn29view3turn29view6 fileciteturn0file0

### 功能、边界与安全用例

| 编号 | 类别 | 场景 | 步骤 | 预期结果 | 判定标准 | 优先级 |
|---|---|---|---|---|---|---|
| F-01 | 功能 | 登录、锁定与解锁 | 连续输错密码达到阈值，再输入正确密码；等待锁定期后再次登录 | 锁定期间拒绝登录；解锁后可正常登录；生成审计日志 | 返回码、提示文案、锁定时长、审计记录均符合 | P1 |
| F-02 | 功能 | 员工新增与转岗 | 新增员工；查看档案；执行转岗转部门；查看历史 | 员工建立成功；历史记录完整；数据范围同步变化 | 员工详情、历史记录、权限变化均正确 | P1 |
| F-03 | 功能 | 招聘转入职 | 新建需求、录候选人、安排面试、发 Offer、接受后转入职 | 状态机完整流转，自动生成入职单 | 每一步状态准确，不能越级跳转 | P1 |
| F-04 | 功能 | 入职完成激活账号 | 完成所有必填入职项后激活账号 | 未完成必填项不得激活；完成后账号可登录 | 业务阻断正确，联动账号创建成功 | P1 |
| F-05 | 功能 | 离职闭环 | 提交离职、完成交接、关闭账号、校验下期薪酬名单 | 离职后账号停用，后续期间不再进入工资单 | 状态、权限、薪酬联动正确 | P1 |
| F-06 | 功能 | 考勤异常补录与审批 | 制造缺卡记录，提交补录申请，经理审批 | 补录后汇总更新并留痕 | 工时计算正确，异常清除正确 | P1 |
| F-07 | 功能 | 薪酬核算、审批、锁定、发布 | 发起核算、复核、审批、锁定、发布工资单 | 锁定前可编辑，锁定后不可修改；员工能查看工资单 | 金额正确，状态机正确，不可变更性成立 | P1 |
| F-08 | 功能 | 绩效自评与经理评价 | 发布绩效周期，员工自评，经理评分，管理员结案 | 权重校验正确；结案后不可改 | 分数、等级、权限、结案状态均正确 | P2 |
| F-09 | 功能 | 报表异步导出 | 发起大范围导出，轮询状态，下载结果 | 请求快速返回任务 ID；完成后可下载 | 长任务、文件下载、权限控制正确 | P1 |
| B-01 | 边界 | 员工编号重复 | 以已存在员工编号再次新增员工 | 新增失败，提示唯一性冲突 | DB 与 API 都阻止重复数据入库 | P1 |
| B-02 | 边界 | 请假时间重叠 | 对同一员工提交时间交叉的两条请假单 | 第二条被拒绝 | 语义校验正确，无脏数据 | P1 |
| B-03 | 边界 | 跨天班次缺少签退 | 创建 22:00-06:00 班次并故意缺签退 | 系统标记异常并允许补录流程 | 跨天工时、异常识别、补录入口正确 | P2 |
| B-04 | 边界 | 公式异常回滚 | 人工配置非法公式后发起工资核算 | 批次失败但不产生半成品工资单；保留错误日志 | 事务回滚彻底，错误信息可见 | P1 |
| S-01 | 安全 | 未认证访问敏感接口 | 不带令牌调用工资发布/审计查询接口 | 返回 401/403，不泄露内部信息 | 认证拦截正确，错误响应无敏感细节 | P1 |
| S-02 | 安全 | 对象级越权 | 普通员工或经理修改 URL/ID 访问他人档案、工资单 | 拒绝访问并记录审计 | BOLA 被有效阻断 | P1 |
| S-03 | 安全 | 功能级越权 | 非 PAYROLL_ADMIN 用户调用工资单发布接口 | 拒绝访问 | BFLA 被有效阻断 | P1 |
| S-04 | 安全 | 恶意输入与文件上传 | 在文本框输入 XSS 载荷；上传非法扩展名/超大文件 | 输入被校验/转义，非法文件被阻断 | 输入和文件验证均成立 | P1 |
| S-05 | 安全 | 会话过期与注销后重放 | 登录后等待过期，或主动登出后重放令牌 | 令牌不可再用 | 会话治理有效，日志可追踪 | P1 |

### 性能、接口与回归用例

| 编号 | 类别 | 场景 | 步骤 | 预期结果 | 判定标准 | 优先级 |
|---|---|---|---|---|---|---|
| P-01 | 性能 | 200 并发登录 | 使用 k6 并发压测登录接口 | 成功率与时延满足基准 | p95、错误率、CPU/内存均在阈值内 | P1 |
| P-02 | 性能 | 50,000 行考勤导入 | 上传大文件并监控任务执行 | 请求立即返回，后台稳定执行并产出错误明细 | 吞吐、时长、内存占用、错误处理可接受 | P1 |
| P-03 | 性能 | 10,000 行报表导出 | 发起导出并观察任务状态与下载 | 导出成功，未阻塞前台请求 | 长任务机制正确，不导致接口超时 | P1 |
| P-04 | 可靠性 | MQ 失败与重试 | 模拟消息消费失败/网络抖动 | 自动重试；超过阈值进入死信并可见 | 任务不丢失，失败原因可追踪 | P1 |
| P-05 | 可靠性 | Webhook 目标端间歇失败 | 开启 5xx 故障注入，观察重试与幂等 | 自动重试；重复回调不产生重复业务后果 | 事件幂等、重试退避和审计正确 | P1 |
| I-01 | 接口 | OpenAPI 契约校验 | 用 openapi.yaml 驱动契约测试或生成客户端 | 契约与实现一致 | 无 doc drift，字段定义精确 | P1 |
| I-02 | 接口 | ZAP API Scan | 使用 OpenAPI 文档跑 ZAP API Scan | 不出现高危告警；中低危可解释 | 结果可复现，可形成证据 | P1 |
| I-03 | 接口 | CSV 导入模板兼容性 | 用标准模板、缺字段模板、乱序字段模板分别导入 | 标准成功；异常模板给出明确错误 | 兼容与错误诊断能力正确 | P2 |
| R-01 | 回归 | 数据库迁移后冒烟 | 空库迁移、造数、执行核心 8 条 smoke | 核心流程全部通过 | 迁移脚本与初始数据可重复 | P1 |
| R-02 | 回归 | 备份恢复后再执行冒烟 | `pg_dump/restore` 恢复后跑 smoke | 恢复环境可正常运行 | 备份真实可用，非纸面方案 | P1 |

上传的可靠性案例中出现的**账号锁定、会话时效、越权、删除完整性、危险操作确认、回滚**等点，建议全部列为 **P1**；这些点最能体现软件检测工程师在功能、异常、安全和可靠性四个方向上的综合能力。fileciteturn0file0

## 交付物与最终AI Prompt

上传的委托测试申请表与真实报告案例共同提示了一个重要事实：真正便于检测的交付物，从来不只是“一个可运行程序”，而是**代码 + 文档 + 环境 + 脚本 + 数据 + 账号 + 说明**的组合。因此，样本程序的交付目录必须模仿真实送检与检测工作所需的材料组织方式。fileciteturn0file3 fileciteturn0file4 fileciteturn0file0

### 交付物清单

| 交付物 | 内容要求 | 用途 |
|---|---|---|
| 源代码仓库 | 前端、后端、配置、测试、脚本、文档完整 monorepo | 作为被测软件主体 |
| OpenAPI 文档 | `openapi.yaml` + Swagger UI | 接口检测、契约测试、安全扫描 |
| 数据库初始化脚本 | Flyway 迁移脚本、基础字典数据、示例账号 | 库结构复现与冒烟 |
| 测试数据生成脚本 | 固定种子生成员工、候选人、考勤、绩效、薪酬期间数据 | 性能测试、回归测试、边界测试 |
| 自动化测试脚本 | 单元、集成、E2E、性能、安全扫描脚本 | 快速重复检测 |
| 部署脚本 | Dockerfile、docker-compose.yml、启动/停止脚本 | 环境快速搭建 |
| 使用说明文档 | README、启动说明、默认账号、角色矩阵、常见问题 | 工程师接手与操作 |
| 检测说明文档 | 功能清单、测试重点、故障注入说明、预期结果说明 | 内部模拟检测执行依据 |
| 备份恢复脚本 | `backup.sh`、`restore.sh` | 可靠性与恢复测试 |
| 任务与日志说明 | 导入导出任务表、日志字段、审计表说明 | 证据采集与问题复现 |

### 建议 Git 仓库结构

```text
hr-lab-sample/
├─ README.md
├─ docs/
│  ├─ architecture.md
│  ├─ business-modules.md
│  ├─ openapi.yaml
│  ├─ testing-guide.md
│  ├─ deployment-guide.md
│  ├─ fault-injection-guide.md
│  └─ sample-accounts.md
├─ backend/
│  ├─ pom.xml
│  └─ src/
├─ frontend/
│  ├─ package.json
│  └─ src/
├─ deploy/
│  ├─ docker-compose.yml
│  ├─ backend.Dockerfile
│  └─ frontend.Dockerfile
├─ scripts/
│  ├─ dev-up.sh
│  ├─ dev-down.sh
│  ├─ seed-demo-data.sh
│  ├─ backup.sh
│  ├─ restore.sh
│  └─ run-smoke.sh
├─ tests/
│  ├─ e2e/
│  ├─ perf/
│  ├─ security/
│  └─ contract/
└─ .github/
   └─ workflows/
      └─ ci.yml
```