[引入CodeQL安全扫描并迁移至uv包管理器]: 新增自动化代码安全分析工作流，将Python依赖管理从传统pip迁移到更高效的uv工具，提升项目安全性和开发效率

RealChuan · RealChuan · commit 7ce6810f29c9 · 2025-11-10T10:47:54.000+08:00
- **安全扫描增强**: 新增CodeQL安全分析工作流，定期自动扫描Python代码安全漏洞，支持push、pull_request和手动触发，提升代码安全性
- **依赖管理现代化**: 将项目依赖管理工具从pip迁移至uv，提供更快的包安装速度和更好的依赖解析，更新README文档详细说明uv使用方法
- **开发环境优化**: 在.gitignore中添加uv.lock文件忽略，更新项目文档包含uv安装指南和清华镜像加速配置，改善开发者体验
- **自动化流程完善**: 配置CodeQL每月定时扫描，忽略文档文件以提升扫描效率，确保代码质量持续监控
diff --git a/.github/workflows/codeql.yml b/.github/workflows/codeql.yml
@@ -0,0 +1,58 @@
+name: CodeQL Security Analysis
+
+on:
+  push:
+    paths-ignore:
+      - '**/*.md'
+      - '**/*.txt'
+      - '**/.gitignore'
+      - '**/LICENSE*'
+      - '**/README*'
+    branches-ignore:
+      - 'dependabot/**'
+  pull_request:
+    paths-ignore:
+      - '**/*.md'
+      - '**/*.txt'
+      - '**/.gitignore'
+      - '**/LICENSE*'
+      - '**/README*'
+    branches-ignore:
+      - 'dependabot/**'
+  schedule:
+    - cron: '0 0 1 * *'  # 每月1号运行
+  workflow_dispatch:
+
+jobs:
+  analyze:
+    name: CodeQL Analysis
+    runs-on: ubuntu-latest
+    permissions:
+      security-events: write
+      actions: read
+      contents: read
+
+    steps:
+      - name: Checkout repository
+        uses: actions/checkout@v5
+        with:
+          fetch-depth: 1  
+
+      - name: Setup Python
+        uses: actions/setup-python@v6
+
+      - name: Install uv and dependencies
+        run: |
+          pip install uv
+          uv sync --dev
+
+      - name: Initialize CodeQL
+        uses: github/codeql-action/init@v4
+        with:
+          languages: python
+
+      - name: Autobuild
+        uses: github/codeql-action/autobuild@v4
+
+      - name: Perform CodeQL Analysis
+        uses: github/codeql-action/analyze@v4
diff --git a/.gitignore b/.gitignore
@@ -162,4 +162,5 @@ cython_debug/
 # Others
 .vscode
 logs
-movie.parts
+movie.parts
+uv.lock
diff --git a/README.md b/README.md
@@ -23,22 +23,39 @@
 
 ## 🚀 快速开始
 
-### 安装依赖
+### 安装 uv
 
-推荐使用虚拟环境：
+首先需要安装 uv - 极速的 Python 包管理器和项目工具链：
+
+**使用 pip 安装（跨平台）：**
+
+```bash
+pip install uv -i https://pypi.tuna.tsinghua.edu.cn/simple
+```
+
+**验证安装：**
+
+```bash
+uv --version
+```
+
+### 安装项目依赖
+
+使用 uv 管理项目依赖：
 
 ```bash
-# 创建虚拟环境
-python -m venv venv
+# 使用 uv 创建虚拟环境并安装所有依赖（一步完成）
+uv sync --dev
 
-# 激活虚拟环境 (Linux/macOS)
-source venv/bin/activate
+# 或者分步执行：
+# 1. 创建虚拟环境（默认在 .venv 目录）
+uv venv
 
-# 或使用提供的脚本激活
-source activate_venv.sh
+# 2. 激活虚拟环境 (Linux/macOS)
+source .venv/bin/activate
 
-# 安装依赖
-pip install -e . -i https://pypi.tuna.tsinghua.edu.cn/simple 
+# 3. 安装项目依赖（可编辑模式）
+uv pip install -e .
 ```
 
 ### 同步依赖文件
@@ -49,10 +66,23 @@ pip install -e . -i https://pypi.tuna.tsinghua.edu.cn/simple
 # 生成 requirements.txt
 python sync_req.py
 
-# 使用生成的 requirements.txt 安装依赖
-pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple 
+# 使用 uv 通过 requirements.txt 安装依赖
+uv pip install -r requirements.txt
+```
+
+### 使用清华镜像加速（可选）
+
+如果需要使用国内镜像源：
+
+```bash
+# 设置环境变量使用清华镜像
+export UV_INDEX_URL=https://pypi.tuna.tsinghua.edu.cn/simple
+uv sync --dev
+
+# 或者单次命令指定镜像
+uv pip install -e . -i https://pypi.tuna.tsinghua.edu.cn/simple
 ```
 
 ### 使用说明
 
-👉 直接 `cd` 进对应目录，`python xxx.py -h` 即可开玩！
+👉 直接 `cd` 进对应目录，`uv run python xxx.py -h` 查看具体用法！
