技能 code-review-ai-ai-review
📝

code-review-ai-ai-review

安全

Automatiser les revues de code avec l'IA

Transformez la revue de code manuelle en assurance qualité automatisée assistée par l'IA. Cette compétence combine des outils d'analyse statique avec les modèles Claude et GPT pour détecter tôt les vulnérabilités de sécurité, les problèmes de performance et les défauts d'architecture.

支持: Claude Codex Code(CC)
📊 70 充足
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“code-review-ai-ai-review”。 Examinez ce module d'authentification sensible à la sécurité

预期结果:

  • ## Résultats de la revue de sécurité **CRITIQUE - Injection SQL** - Fichier : `src/auth/login.ts:42` - La concaténation de chaînes avec l'entrée utilisateur permet l'injection SQL - Correction : Utilisez des requêtes paramétrées **ÉLEVÉ - Stockage de mots de passe faible** - Fichier : `src/auth/user.ts:15` - Utilisation de MD5 pour le hachage des mots de passe - Correction : Utilisez bcrypt ou Argon2

正在使用“code-review-ai-ai-review”。 Analysez cette requête de base de données pour les problèmes de performance

预期结果:

  • ## Analyse de performance **ÉLEVÉ - Requête N+1 détectée** - Fichier : `src/api/users.js:28` - La boucle contient 5 appels de base de données - Impact : 100 utilisateurs = 500 requêtes - Correction : Utilisez JOIN ou le chargement par lot

正在使用“code-review-ai-ai-review”。 Examinez les changements d'architecture microservices

预期结果:

  • ## Revue d'architecture **AVERTISSEMENT - Base de données partagée** - Limites de service violées - Correction : Implémentez le pattern base de données par service **INFO - Circuit Breaker manquant** - Les appels API externes manquent de résilience - Recommandation : Ajoutez le pattern circuit breaker

安全审计

安全
v1 • 2/25/2026

All 53 static findings are false positives. The skill is a legitimate code review assistant that integrates security scanning tools (SonarQube, CodeQL, Semgrep, TruffleHog) with AI models. External commands, environment access, and network calls are all required for its core function of automated code analysis and GitHub integration.

1
已扫描文件
453
分析行数
6
发现项
1
审计总数
低风险问题 (6)
SKILL.md:369SKILL.md:372
External Command Execution
The skill contains examples of running static analysis tools (sonar-scanner, semgrep, codeql) via subprocess. These are hardcoded tool invocations required for code review functionality - not user input injection vectors.
SKILL.md:361SKILL.md:362
Environment Variable Access
Accesses GITHUB_TOKEN and ANTHROPIC_API_KEY environment variables. These are required for authenticating with GitHub API to post review comments and Claude API for AI analysis.
SKILL.md:285
Network Request to External URL
Contains a reference URL to cwe.mitre.org for vulnerability documentation. This is a documentation link, not a data exfiltration endpoint.
SKILL.md:324
File System Operations
Reads review-comments.json file to post comments via GitHub API. Standard file I/O for workflow automation.
SKILL.md:190-197
Secret Detection Tools
Shows integration with TruffleHog for secret scanning. This is a defensive security tool to DETECT leaked secrets, not to exfiltrate them.
SKILL.md:3SKILL.md:61
Weak Cryptographic Algorithm References
Mentions MD5 and SHA-1 in OWASP Top 10 context as vulnerabilities to DETECT (e.g., weak password hashing), not as algorithms the skill uses.

检测到的模式

Code Execution + Network + Credentials Pattern
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
33
社区
93
安全
91
规范符合性

你能构建什么

Revues automatisées de Pull Request

Intégrez-vous aux pipelines CI/CD pour examiner automatiquement chaque pull request, en publiant des commentaires structurés avec des feedbacks sur la sécurité, la performance et l'architecture.

Audits axés sur la sécurité

Exécutez une analyse de sécurité complète utilisant CodeQL et Semgrep pour identifier les injections SQL, XSS, contournements d'authentification et autres vulnérabilités critiques.

Optimisation des performances

Détectez les anti-patterns de performance courants tels que les requêtes N+1, les index de base de données manquants et les collections non limitées avant qu'ils n'atteignent la production.

试试这些提示

Revue de code de base 
Examinez cette pull request pour les vulnérabilités de sécurité et les problèmes de qualité de code :

Description PR : {pr_description}

Diff du code :
{diff}

Concentrez-vous sur : bugs de sécurité, problèmes de performance et préoccupations de maintenabilité.
Analyse de sécurité complète 
Effectuez une analyse de sécurité approfondie de ce changement de code. Vérifiez :
1. Vulnérabilités d'injection SQL et de injection de commandes
2. Défauts d'authentification et d'autorisation
3. Pratiques cryptographiques non sécurisées
4. Risques d'exposition de données

Code :
{code_snippet}

Résultats d'analyse statique :
{static_results}
Revue d'architecture 
Analysez ce changement de code pour les préoccupations architecturales :
- Suit-il les principes SOLID ?
- Les dépendances sont-elles correctement gérées ?
- Y a-t-il une bonne séparation des préoccupations ?
- Des problèmes potentiels d'évolutivité ?

Code :
{code}

Contexte du système : {architecture_summary}
Revue Full Stack avec intégration CI 
Effectuez une revue de code complète combinant les résultats d'analyse statique avec l'analyse IA :

Diff :
{diff}

Problèmes SonarQube : {sonarqube}
Alertes CodeQL : {codeql}
Résultats Semgrep : {semgrep}

Fournissez des résultats priorisés avec des exemples de corrections actionnables.

最佳实践

  • Exécutez les outils d'analyse statique (CodeQL, Semgrep) avant l'analyse IA pour fournir des données contextuelles
  • Utilisez temperature=0.1-0.2 pour des revues de sécurité cohérentes et déterministes
  • Définissez des portes de qualité qui bloquent les PR avec des résultats de gravité CRITIQUE

避免

  • Reposer uniquement sur l'IA sans contexte d'analyse statique - l'IA peut manquer des patterns de vulnérabilités connus
  • Définir une température trop élevée (>0.5) conduisant à des résultats incohérents ou fabriqués
  • Ignorer les taux de faux positifs - vérifiez toujours manuellement les résultats critiques

常见问题

Quels outils d'analyse statique cette compétence utilise-t-elle ?
La compétence s'intègre avec SonarQube, CodeQL, Semgrep, TruffleHog et GitGuardian pour une analyse de sécurité complète.
Quels modèles IA fonctionnent le mieux pour la revue de code ?
Claude 4.5 Sonnet et GPT-4o sont recommandés pour l'analyse détaillée. Pour les revues rapides de moins de 200 lignes, les modèles Haiku ou mini suffisent.
Ai-je besoin de clés API pour utiliser cette compétence ?
Oui, vous avez besoin de GITHUB_TOKEN pour publier des commentaires et de ANTHROPIC_API_KEY ou OPENAI_API_KEY pour l'analyse IA.
Cette compétence peut-elle détecter des secrets dans le code ?
Oui, elle inclut l'intégration TruffleHog pour détecter les clés API divulguées, mots de passe et autres informations d'identification sensibles.
Comment fonctionne l'intégration CI/CD ?
La compétence fournit des exemples de workflows GitHub Actions qui exécutent l'analyse statique, appellent les API IA et publient des commentaires de revue structurés.
Quelles langues sont prises en charge ?
La compétence prend en charge plus de 30 langues via les règles spécifiques de CodeQL et Semgrep.

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/code-review-ai-ai-review

引用

main

文件结构

📄 SKILL.md