docs: 新增V30.0版本相关设计文档与指南

新增服务器启动文档、设计说明书、风险清单等核心文档
补充前端集成蓝图、多租户实施清单、上线红线检查清单
添加质量保障文档与早期业务规格书

docs/quality/golive-redline-checklist.md

@@ -0,0 +1,48 @@
+# 上线前红线清单 (GoLive) - V30.0
+
+## 1. 安全红线
+- [ ] 环境变量 `.env` 是否已忽略提交 (检查 .gitignore)
+- [ ] 敏感密钥是否已进入 Vault (AWS Secrets Manager / HashiCorp Vault)
+- [ ] API 密钥是否通过环境变量注入，禁止硬编码
+- [ ] 跨租户数据隔离是否通过测试
+- [ ] SQL 注入防护是否生效 (参数化查询)
+
+## 2. 性能红线
+- [ ] 核心接口响应是否 `<200ms` (使用 APM 监控)
+- [ ] 内存占用是否符合 `--max-old-space-size=4096` 限制
+- [ ] 数据库慢查询是否 `<100ms` (检查 EXPLAIN 输出)
+- [ ] Redis 连接池是否配置合理 (推荐 20-50 连接)
+- [ ] 文件上传大小限制是否生效 (推荐 <10MB)
+
+## 3. 业务红线
+- [ ] 利润率红线 (B2B < 15%, B2C < 20%) 是否强制生效
+- [ ] 多租户数据隔离是否通过穿透测试
+- [ ] 订单状态机流转是否符合规范
+- [ ] 金额计算是否使用 decimal 精度
+
+## 4. 可用性红线
+- [ ] 健康检查接口 `/api/health` 是否返回 200
+- [ ] 关键依赖 (MySQL, Redis) 断连告警是否配置
+- [ ] 限流策略是否生效 (Rate Limit)
+- [ ] 灰度发布机制是否就绪
+
+## 5. 合规红线
+- [ ] GDPR/CCPA 数据删除接口是否实现
+- [ ] 操作日志是否完整记录 (审计追溯)
+- [ ] 敏感日志是否脱敏处理
+
+## 6. 自动化检查脚本
+```bash
+# 安全检查
+grep -r "secret\|password\|key" --include="*.ts" server/src/ | grep -v ".env"
+
+# 性能检查
+curl -o /dev/null -s -w "%{time_total}s" http://localhost:3000/api/health
+
+# 数据库检查
+mysql -e "SHOW PROCESSLIST;" | wc -l  # 检查连接数
+```
+
+---
+**审计人**: AI-1 (Kernel)
+**更新日志**: [AI-3 @ 2026-03-15] 补充自动化检查脚本与详细检查项