code-auditing

code-auditing 技能提供了一套专业且多阶段的方法论，用于对代码库进行深入的技术审查。它专为需要结构化方法来维护高质量软件的开发人员、架构师和安全工程师而设计。无论是执行发布前的安全审查、调查技术债，还是清理无效代码，此技能都利用系统化的工作流程，确保您的整个存储库都能得到全面覆盖。

• 提供基于阶段的审计方法论，涵盖发现、文件层级分析、最佳实践验证、模式检测及库建议。

• 使用 knip 和 deadcode 等工具，自动检测无效代码（包括未使用的导入、导出、函数、变量和文件）。

• 系统化的安全评估，扫描硬编码的密钥、SQL 注入风险、XSS 漏洞以及缺失的输入验证。

• 性能与代码质量审计，针对循环复杂度、低效算法、阻塞操作、内存泄漏及异步/Promise 问题进行分析。

• 生成标准化且可执行的报告，包括执行摘要、优先级行动计划以及工作量估算（从关键问题到快速修复）。

• 支持 TypeScript 类型安全分析，确保代码符合现代标准，并识别“any”类型的滥用或过时模式。

• 在项目中使用此工具，验证对既定最佳实践的遵守情况，并识别将自定义逻辑替换为成熟、维护良好的生态系统套件的机会。

• 请务必验证工具回报的结果，以考虑动态导入、特定于框架的模式以及可能产生误报的复杂入口点。

• 与项目配置文件（如 package.json、tsconfig.json、requirements.txt）集成，以针对特定的技术栈调整分析内容。

• 输出的结果结构严谨，将调查结果对应至特定的文件位置与严重等级，有助于在开发生命周期中快速进行修复。