CrowdSec决策导入功能增强：支持IP白名单检查

在CrowdSec安全防护系统中，决策管理模块负责处理IP地址的封禁和放行规则。近期社区针对cscli decisions import命令的一个重要功能缺陷提出了改进需求——该命令在执行IP决策导入时未能检查IP地址是否存在于白名单中，可能导致误封合法IP地址的情况。

问题背景

CrowdSec的决策管理系统包含两个关键操作：

1. decisions add：添加单个IP决策时会自动检查白名单
2. decisions import：批量导入IP决策时却绕过了白名单检查

这种不一致的行为存在潜在风险，当管理员批量导入第三方提供的IP黑名单时，可能会意外封禁已被明确加入白名单的合法IP地址。

技术实现方案

开发团队经过讨论确定了以下技术实现路径：

1. API端点设计：

   • 新增批量检查端点或扩展现有检查端点
   • 支持POST请求体传递IP列表
   • 返回被白名单匹配的IP及其对应规则名称

2. 批量处理机制：

   • 支持用户自定义批量大小
   • 内置最大批量限制（考虑SQLite等后端限制）
   • 分批处理大规模IP列表

3. 用户交互改进：

   • 默认拒绝导入包含白名单IP的决策
   • 提供--bypass-allowlists强制导入选项
   • 完整报告所有被白名单匹配的IP地址

性能考量

虽然批量检查API能减少网络请求次数，但每个IP仍需在本地数据库执行查询。开发团队评估后认为：

1. 当前ORM框架(ent)的限制使得更高效的批量查询难以实现
2. 实际性能影响在合理范围内
3. 未来可考虑进一步优化数据库查询逻辑

用户价值

这一改进为用户带来以下核心价值：

1. 安全性提升：确保白名单规则始终生效，防止误封
2. 操作透明化：明确告知用户哪些IP被白名单过滤
3. 流程规范化：统一add和import操作的白名单检查行为

该功能已通过社区贡献合并到主分支，将包含在下一版本发布中，为CrowdSec用户提供更完善的决策管理体验。