Compétences code-review-ai-ai-review
📝

code-review-ai-ai-review

Sûr

Automatiser les revues de code avec l'IA

Transformez la revue de code manuelle en assurance qualité automatisée assistée par l'IA. Cette compétence combine des outils d'analyse statique avec les modèles Claude et GPT pour détecter tôt les vulnérabilités de sécurité, les problèmes de performance et les défauts d'architecture.

Prend en charge: Claude Codex Code(CC)
🥉 73 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Tester

Utilisation de "code-review-ai-ai-review". Examinez ce module d'authentification sensible à la sécurité

Résultat attendu:

  • ## Résultats de la revue de sécurité **CRITIQUE - Injection SQL** - Fichier : `src/auth/login.ts:42` - La concaténation de chaînes avec l'entrée utilisateur permet l'injection SQL - Correction : Utilisez des requêtes paramétrées **ÉLEVÉ - Stockage de mots de passe faible** - Fichier : `src/auth/user.ts:15` - Utilisation de MD5 pour le hachage des mots de passe - Correction : Utilisez bcrypt ou Argon2

Utilisation de "code-review-ai-ai-review". Analysez cette requête de base de données pour les problèmes de performance

Résultat attendu:

  • ## Analyse de performance **ÉLEVÉ - Requête N+1 détectée** - Fichier : `src/api/users.js:28` - La boucle contient 5 appels de base de données - Impact : 100 utilisateurs = 500 requêtes - Correction : Utilisez JOIN ou le chargement par lot

Utilisation de "code-review-ai-ai-review". Examinez les changements d'architecture microservices

Résultat attendu:

  • ## Revue d'architecture **AVERTISSEMENT - Base de données partagée** - Limites de service violées - Correction : Implémentez le pattern base de données par service **INFO - Circuit Breaker manquant** - Les appels API externes manquent de résilience - Recommandation : Ajoutez le pattern circuit breaker

Audit de sécurité

Sûr
v1 • 2/25/2026

All 53 static findings are false positives. The skill is a legitimate code review assistant that integrates security scanning tools (SonarQube, CodeQL, Semgrep, TruffleHog) with AI models. External commands, environment access, and network calls are all required for its core function of automated code analysis and GitHub integration.

1
Fichiers analysés
453
Lignes analysées
6
résultats
1
Total des audits
Problèmes à risque faible (6)
SKILL.md:369SKILL.md:372
External Command Execution
The skill contains examples of running static analysis tools (sonar-scanner, semgrep, codeql) via subprocess. These are hardcoded tool invocations required for code review functionality - not user input injection vectors.
SKILL.md:361SKILL.md:362
Environment Variable Access
Accesses GITHUB_TOKEN and ANTHROPIC_API_KEY environment variables. These are required for authenticating with GitHub API to post review comments and Claude API for AI analysis.
SKILL.md:285
Network Request to External URL
Contains a reference URL to cwe.mitre.org for vulnerability documentation. This is a documentation link, not a data exfiltration endpoint.
SKILL.md:324
File System Operations
Reads review-comments.json file to post comments via GitHub API. Standard file I/O for workflow automation.
SKILL.md:190-197
Secret Detection Tools
Shows integration with TruffleHog for secret scanning. This is a defensive security tool to DETECT leaked secrets, not to exfiltrate them.
SKILL.md:3SKILL.md:61
Weak Cryptographic Algorithm References
Mentions MD5 and SHA-1 in OWASP Top 10 context as vulnerabilities to DETECT (e.g., weak password hashing), not as algorithms the skill uses.

Motifs détectés

Code Execution + Network + Credentials Pattern
Audité par: claude

Score de qualité

38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
93
Sécurité
91
Conformité aux spécifications

Ce que vous pouvez construire

Revues automatisées de Pull Request

Intégrez-vous aux pipelines CI/CD pour examiner automatiquement chaque pull request, en publiant des commentaires structurés avec des feedbacks sur la sécurité, la performance et l'architecture.

Audits axés sur la sécurité

Exécutez une analyse de sécurité complète utilisant CodeQL et Semgrep pour identifier les injections SQL, XSS, contournements d'authentification et autres vulnérabilités critiques.

Optimisation des performances

Détectez les anti-patterns de performance courants tels que les requêtes N+1, les index de base de données manquants et les collections non limitées avant qu'ils n'atteignent la production.

Essayez ces prompts

Revue de code de base 
Examinez cette pull request pour les vulnérabilités de sécurité et les problèmes de qualité de code :

Description PR : {pr_description}

Diff du code :
{diff}

Concentrez-vous sur : bugs de sécurité, problèmes de performance et préoccupations de maintenabilité.
Analyse de sécurité complète 
Effectuez une analyse de sécurité approfondie de ce changement de code. Vérifiez :
1. Vulnérabilités d'injection SQL et de injection de commandes
2. Défauts d'authentification et d'autorisation
3. Pratiques cryptographiques non sécurisées
4. Risques d'exposition de données

Code :
{code_snippet}

Résultats d'analyse statique :
{static_results}
Revue d'architecture 
Analysez ce changement de code pour les préoccupations architecturales :
- Suit-il les principes SOLID ?
- Les dépendances sont-elles correctement gérées ?
- Y a-t-il une bonne séparation des préoccupations ?
- Des problèmes potentiels d'évolutivité ?

Code :
{code}

Contexte du système : {architecture_summary}
Revue Full Stack avec intégration CI 
Effectuez une revue de code complète combinant les résultats d'analyse statique avec l'analyse IA :

Diff :
{diff}

Problèmes SonarQube : {sonarqube}
Alertes CodeQL : {codeql}
Résultats Semgrep : {semgrep}

Fournissez des résultats priorisés avec des exemples de corrections actionnables.

Bonnes pratiques

  • Exécutez les outils d'analyse statique (CodeQL, Semgrep) avant l'analyse IA pour fournir des données contextuelles
  • Utilisez temperature=0.1-0.2 pour des revues de sécurité cohérentes et déterministes
  • Définissez des portes de qualité qui bloquent les PR avec des résultats de gravité CRITIQUE

Éviter

  • Reposer uniquement sur l'IA sans contexte d'analyse statique - l'IA peut manquer des patterns de vulnérabilités connus
  • Définir une température trop élevée (>0.5) conduisant à des résultats incohérents ou fabriqués
  • Ignorer les taux de faux positifs - vérifiez toujours manuellement les résultats critiques

Foire aux questions

Quels outils d'analyse statique cette compétence utilise-t-elle ?
La compétence s'intègre avec SonarQube, CodeQL, Semgrep, TruffleHog et GitGuardian pour une analyse de sécurité complète.
Quels modèles IA fonctionnent le mieux pour la revue de code ?
Claude 4.5 Sonnet et GPT-4o sont recommandés pour l'analyse détaillée. Pour les revues rapides de moins de 200 lignes, les modèles Haiku ou mini suffisent.
Ai-je besoin de clés API pour utiliser cette compétence ?
Oui, vous avez besoin de GITHUB_TOKEN pour publier des commentaires et de ANTHROPIC_API_KEY ou OPENAI_API_KEY pour l'analyse IA.
Cette compétence peut-elle détecter des secrets dans le code ?
Oui, elle inclut l'intégration TruffleHog pour détecter les clés API divulguées, mots de passe et autres informations d'identification sensibles.
Comment fonctionne l'intégration CI/CD ?
La compétence fournit des exemples de workflows GitHub Actions qui exécutent l'analyse statique, appellent les API IA et publient des commentaires de revue structurés.
Quelles langues sont prises en charge ?
La compétence prend en charge plus de 30 langues via les règles spécifiques de CodeQL et Semgrep.

Détails du développeur

Auteur

sickn33

Licence

MIT

Dépôt

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/code-review-ai-ai-review

Réf

main

Structure de fichiers

📄 SKILL.md