performance-testing-review-ai-review
Analyser le code avec l'IA
Cette compétence aide les développeurs à identifier les vulnérabilités de sécurité, les problèmes de performance et les problèmes architecturaux dans leur code en utilisant l'analyse alimentée par l'IA et des outils d'analyse statique automatisés.
Télécharger le ZIP du skill
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
Activez et commencez à utiliser
Tester
Utilisation de "performance-testing-review-ai-review". Review this authentication code for vulnerabilities
Résultat attendu:
## Résultats de la revue de sécurité
**CRITIQUE - Injection SQL (CWE-89)**
- Fichier: src/auth/login.ts
- Ligne: 42
- Problème: La concaténation de chaîne avec l'entrée utilisateur permet l'injection SQL
- Correction: Utiliser des requêtes paramétrées
**ÉLEVÉ - Stockage de mot de passe faible (CWE-916)**
- Fichier: src/auth/user.ts
- Ligne: 15
- Problème: Mot de passe hashé avec MD5 au lieu de bcrypt/argon2
- Correction: Utiliser bcrypt avec un facteur de coût 12+
Utilisation de "performance-testing-review-ai-review". Analyze this database query for performance issues
Résultat attendu:
## Analyse de performance
**ÉLEVÉ - Requête N+1 détectée**
- Fichier: src/api/users.js
- Lignes: 23-35
- Problème: Base de données appelée dans une boucle pour chaque utilisateur
- Impact: 1000 utilisateurs = 1001 appels DB
- Correction: Utiliser JOIN ou chargement par lot
Utilisation de "performance-testing-review-ai-review". Review this microservices architecture
Résultat attendu:
## Revue d'architecture
**CRITIQUE - Base de données partagée**
- Problème: Le Service A et le Service B partagent la même base de données
- Violation: Principe du contexte délimité
- Correction: Implémenter le pattern base de données-par-service
**MOYEN - Circuit breaker manquant**
- Problème: Les appels API externes manquent de pattern de résilience
- Risque: Défaillances en cascade pendant les pannes
- Correction: Ajouter un circuit breaker avec fallback
Audit de sécurité
SûrAll 53 static findings are FALSE POSITIVES. The skill provides legitimate code review documentation using standard security tools (SonarQube, CodeQL, Semgrep, TruffleHog). The detected patterns (subprocess execution, environment variables, network calls) are examples of how to run security scanning tools in CI/CD pipelines - not malicious behavior. This is a security-positive skill that teaches best practices for identifying vulnerabilities.
Score de qualité
Ce que vous pouvez construire
Revues automatisées de Pull Request
Configurez l'analyse de code alimentée par l'IA dans les pipelines CI/CD pour obtenir des commentaires instantanés sur chaque pull request
Détection des vulnérabilités de sécurité
Identifiez les injections SQL, les XSS, les contournements d'auth et autres vulnérabilités OWASP Top 10 dans le code
Guide d'optimisation de la performance
Détectez les anti-modèles de performance comme les requêtes N+1, les index manqués et les appels synchrones
Essayez ces prompts
Analysez ce diff de code pour les problèmes de sécurité, les problèmes de performance et les violations des bonnes pratiques. Concentrez-vous uniquement sur les fichiers modifiés.
Effectuez une revue de sécurité approfondie de ce code. Vérifiez les vulnérabilités OWASP Top 10, y compris les attaques par injection, les failles d'authentification et l'exposition de données sensibles. Fournissez les identifiants CWE et les scores CVSS le cas échéant.
Analysez ce code pour les problèmes de performance. Recherchez les requêtes N+1, les index de base de données manqués, les appels bloquants synchrones, les fuites de mémoire et les problèmes de scalabilité. Suggérez des optimisations concrètes.
Effectuez une revue complète combinant les résultats de l'analyse statique avec le raisonnement de l'IA. Évaluez la sécurité, la performance, l'architecture, la maintenabilité et la couverture de tests. Formatez les résultats comme des commentaires de revue structurés avec des niveaux de gravité et des exemples de correction.
Bonnes pratiques
- Exécutez les outils d'analyse statique automatisés (CodeQL, Semgrep) avant la revue IA pour fournir le contexte
- Utilisez l'humain dans la boucle pour les décisions critiques en matière de sécurité et d'architecture
- Configurez des seuils de qualité pour bloquer les PRs avec des problèmes de gravité critique
- Suivez les métriques de revue (DORA) pour mesurer et améliorer la qualité du code au fil du temps
Éviter
- Compter uniquement sur l'IA sans exécuter les vrais outils d'analyse statique
- Ignorer les faux positifs des outils automatisés sans ajuster les règles
- Configurer les seuils de gravité trop élevés et manquer de vraies vulnérabilités
- Utiliser la revue IA comme remplacement pour les experts en sécurité humains sur les systèmes critiques