code-review

code-review 技能为审计软件仓库提供了一个结构化的框架，以确保符合高工程标准。它专为需要对合并请求 (PR)、遗留代码库或新实现进行深度分析的开发人员、软件工程师和质量保证专家而设计。通过应用系统化、多维度的评估方法，代理程序可以识别自动检查工具可能遗漏的关键缺陷，帮助团队在不牺牲安全性和稳定性的前提下保持开发速度。此技能涵盖了广泛的技术领域，包括针对 Python、JavaScript、TypeScript 和 Rust 的特定语言模式，以及通用的架构最佳实践。

• 安全性分析：主动扫描 SQL 注入、命令注入、跨站脚本 (XSS)、硬编码凭证以及缺失的身份验证或授权控制。

• 性能审计：评估算法效率，识别数据库交互中的 N+1 查询模式，检测内存泄漏，并标示异步执行环境中的阻塞操作。

• 正确性与可靠性：审查逻辑是否存在 off-by-one 错误、并发代码中的竞态条件、不当的资源处理以及不足的错误传播或恢复路径。

• 可维护性与质量：确保遵循命名规范，检查过度的函数复杂度与嵌套，识别重复的代码区块，并标记无效或无法触及的代码。

• 测试监督：验证测试套件的全面性，确保边界情况、极值以及关键路径都经过适当的模拟 (mocking) 与断言。

• 使用说明：代理程序利用如 npm audit、pip-audit、cargo audit 和 radon 等标准审计工具进行复杂度度量。用户应提供代码库路径或特定的文件上下文以进行审查。

• 输入/输出：接受源代码文件、目录路径或 PR diff 作为输入。回传一份详细报告，包含摘要、带有修复建议的关键问题清单、优先改进事项以及整体的合并判决。

• 限制：虽然代理程序可以执行静态分析，但当提供仓库访问权限以验证环境配置、依赖关系和项目特定的编码标准时，其效果最佳。