performance-testing-review-ai-review
Code mit KI-Analyse überprüfen
Diese Skill hilft Entwicklern, Sicherheitslücken, Leistungsprobleme und architektonische Probleme in ihrem Code zu identifizieren, indem sie KI-gestützte Analyse und automatisierte statische Analyse-Tools verwendet.
Die Skill-ZIP herunterladen
In Claude hochladen
Gehe zu Einstellungen → Fähigkeiten → Skills → Skill hochladen
Einschalten und loslegen
Teste es
Verwendung von "performance-testing-review-ai-review". Überprüfen Sie diesen Authentifizierungscode auf Schwachstellen
Erwartetes Ergebnis:
## Sicherheitsreview-Ergebnisse
**KRITISCH - SQL-Injection (CWE-89)**
- Datei: src/auth/login.ts
- Zeile: 42
- Problem: String-Verkettung mit Benutzereingaben ermöglicht SQL-Injection
- Lösung: Verwenden Sie parametrisierte Abfragen
**HOCH - Schwache Passwortspeicherung (CWE-916)**
- Datei: src/auth/user.ts
- Zeile: 15
- Problem: Passwort mit MD5 statt bcrypt/argon2 gehasht
- Lösung: Verwenden Sie bcrypt mit Kostenfaktor 12+
Verwendung von "performance-testing-review-ai-review". Analysieren Sie diese Datenbankabfrage auf Leistungsprobleme
Erwartetes Ergebnis:
## Leistungsanalyse
**HOCH - N+1-Abfrage erkannt**
- Datei: src/api/users.js
- Zeilen: 23-35
- Problem: Datenbank wird innerhalb einer Schleife für jeden Benutzer aufgerufen
- Auswirkung: 1000 Benutzer = 1001 DB-Aufrufe
- Lösung: Verwenden Sie JOIN oder Batch-Laden
Verwendung von "performance-testing-review-ai-review". Überprüfen Sie diese Microservices-Architektur
Erwartetes Ergebnis:
## Architektur-Review
**KRITISCH - Geteilte Datenbank**
- Problem: Service A und Service B teilen sich dieselbe Datenbank
- Verletzt: Bounded-Context-Prinzip
- Lösung: Implementieren Sie Database-per-Service-Muster
**MITTEL - Fehlender Circuit Breaker**
- Problem: Externe API-Aufrufe fehlen Resilience-Muster
- Risiko: Kaskadenfehler bei Ausfällen
- Lösung: Fügen Sie Circuit Breaker mit Fallback hinzu
Sicherheitsaudit
SicherAll 53 static findings are FALSE POSITIVES. The skill provides legitimate code review documentation using standard security tools (SonarQube, CodeQL, Semgrep, TruffleHog). The detected patterns (subprocess execution, environment variables, network calls) are examples of how to run security scanning tools in CI/CD pipelines - not malicious behavior. This is a security-positive skill that teaches best practices for identifying vulnerabilities.
Qualitätsbewertung
Was du bauen kannst
Automatisierte Pull-Request-Reviews
Einrichten von KI-gestütztem Code-Review in CI/CD-Pipelines, um sofortiges Feedback für jeden Pull-Request zu erhalten
Erkennung von Sicherheitslücken
Identifizierung von SQL-Injection, XSS, Auth-Bypasses und anderen OWASP Top 10-Sicherheitslücken im Code
Leistungsoptimierungs-Richtlinien
Erkennung von Leistungs-Anti-Patterns wie N+1-Abfragen, fehlende Indizes und synchrone Aufrufe
Probiere diese Prompts
Überprüfen Sie dieses Code-Diff auf Sicherheitsprobleme, Leistungsprobleme und Verstoß gegen Best Practices. Konzentrieren Sie sich nur auf die geänderten Dateien.
Führen Sie eine gründliche Sicherheitsüberprüfung dieses Codes durch. Suchen Sie nach OWASP Top 10-Sicherheitslücken, einschließlich Injections-Angriffen, Authentifizierungsschwachstellen und Offenlegung sensibler Daten. Geben Sie wo zutreffend CWE-Identifikatoren und CVSS-Scores an.
Analysieren Sie diesen Code auf Leistungsprobleme. Suchen Sie nach N+1-Abfragen, fehlenden Datenbankindizes, synchronen blockierenden Aufrufen, Speicherlecks und Skalierbarkeitsbedenken. Schlagen Sie konkrete Optimierungen vor.
Führen Sie eine umfassende Überprüfung durch, die Ergebnisse der statischen Analyse mit KI-Reasoning kombiniert. Bewerten Sie Sicherheit, Leistung, Architektur, Wartbarkeit und Testabdeckung. Formatieren Sie Ergebnisse als strukturierte Review-Kommentare mit Schweregraden und Fix-Beispielen.
Bewährte Verfahren
- Führen Sie automatisierte statische Analyse-Tools (CodeQL, Semgrep) vor dem KI-Review aus, um Kontext zu bieten
- Verwenden Sie Human-in-the-Loop für sicherheitskritische und architektonische Entscheidungen
- Richten Sie Quality Gates ein, um PRs mit kritischen Schweregrad-Problemen zu blockieren
- Verfolgen Sie Review-Metriken (DORA), um die Codequalität im Zeitverlauf zu messen und zu verbessern
Vermeiden
- Ausschließliche reliance auf KI ohne Ausführung tatsächlicher statischer Analyse-Tools
- Ignorieren falsch-positiver Ergebnisse von automatisierten Tools ohne Anpassung der Regeln
- Festlegen von Schweregrad-Schwellenwerten zu hoch und thus Verkennung echter Schwachstellen
- Verwendung von KI-Review als Ersatz für menschliche Sicherheitsexperten bei kritischen Systemen