Compétences code-review-assistant
📦

code-review-assistant

Sûr

Examiner les pull requests pour la sécurité et la qualité

Également disponible depuis: DNYoussef

Les revues de code prennent du temps et passent souvent à côté de vulnérabilités de sécurité ou de problèmes de performance. Cette compétence analyse automatiquement les pull requests afin de détecter les bugs, les risques de sécurité et les violations de style avant qu'ils n'atteignent la production.

Prend en charge: Claude Codex Code(CC)
🥉 78 Bronze
1

Télécharger le ZIP du skill

2

Importer dans Claude

Allez dans Paramètres → Capacités → Skills → Importer un skill

3

Activez et commencez à utiliser

Ressources lisibles par les agents

Utilisez ces liens lorsqu'un AI Agent, un crawler ou un script a besoin d'un contexte propre au lieu de lire toute la page.

Détail Markdown GET /skills/zhangchenlai-dev-code-review-assistant.md Manifest signé GET /api/skills/zhangchenlai-dev-code-review-assistant/manifest Lockfile signé GET /api/skills/zhangchenlai-dev-code-review-assistant/lockfile

Tester

Utilisation de "code-review-assistant". Examine cette fonction Python qui gère la connexion utilisateur

Résultat attendu:

SÉCURITÉ : La ligne 12 utilise MD5 pour le hachage des mots de passe — passer à bcrypt ou Argon2. PERFORMANCE : La ligne 8 interroge la base de données dans une boucle — utiliser plutôt un JOIN. STYLE : Le nom de fonction 'doThing' n'est pas clair — renommer en 'authenticate_user'.

Utilisation de "code-review-assistant". Vérifie ce composant React pour détecter des problèmes

Résultat attendu:

BUG : useEffect à la ligne 15 a une dépendance manquante 'userId', ce qui provoque des closures obsolètes. ACCESSIBILITÉ : Le bouton à la ligne 22 n'a pas d'aria-label. PERFORMANCE : La grande liste à la ligne 30 devrait utiliser la virtualisation.

Utilisation de "code-review-assistant". Audite cet endpoint API

Résultat attendu:

SÉCURITÉ : Aucune validation d'entrée sur le paramètre 'email' — ajouter une validation par regex ou par schéma. SÉCURITÉ : La requête SQL à la ligne 45 utilise la concaténation de chaînes — utiliser des requêtes paramétrées. PERFORMANCE : Aucune limitation de débit sur cet endpoint.

Audit de sécurité

Sûr
v1 • 5/21/2026

Static analysis flagged two high-severity patterns, both confirmed as false positives. The 'Weak cryptographic algorithm' alert at SKILL.md:4 was triggered by Unicode arrow characters in a Chinese description string, not actual cryptography. The 'High file entropy' alert was caused by UTF-8 encoded Chinese text, which naturally has higher byte entropy than ASCII. The skill contains only a markdown description file with no executable code, no network access, no file system operations, and no command execution. No malicious intent detected.

1
Fichiers analysés
34
Lignes analysées
2
résultats
1
Total des audits
Problèmes à risque faible (2)
SKILL.md:4
Static False Positive: Weak Cryptographic Algorithm
The static scanner flagged line 4 as containing a 'weak cryptographic algorithm'. The actual content is a Chinese description string with Unicode arrow characters. No cryptography is present. This is a false positive caused by non-ASCII symbols matching heuristic patterns.
SKILL.md:1
Static False Positive: High File Entropy
The static scanner reported 'high file entropy (6.24 bits)' suggesting possible binary or encrypted content. This is a false positive caused by UTF-8 encoded Chinese characters, which use 3 bytes per character and naturally raise byte-level entropy above typical ASCII text. The file is plain human-readable markdown.
Audité par: claude

Score de qualité

55
Architecture
95
Maintenabilité
85
Contenu
65
Communauté
100
Sécurité
83
Conformité aux spécifications

Ce que vous pouvez construire

Analyse de sécurité avant fusion

Analyser les pull requests pour détecter les vulnérabilités de sécurité avant leur fusion dans la branche main

Revue de qualité du code

Examiner le style du code, les conventions de nommage et les anti-patterns dans les contributions de l'équipe

Outil d'apprentissage pour juniors

Apprendre les bonnes pratiques en consultant des retours automatisés sur des projets personnels

Essayez ces prompts

Revue de PR basique 
Examine cette pull request pour détecter les bugs, les problèmes de sécurité et les problèmes de style de code
Revue axée sur la sécurité 
Effectue un audit de sécurité approfondi de ce code. Recherche les risques d'injection, la désérialisation non sécurisée, les secrets codés en dur et les failles d'authentification
Analyse de performance 
Analyse ce code pour détecter les goulots d'étranglement de performance. Vérifie les requêtes N+1, les fuites mémoire, les algorithmes inefficaces et les opérations bloquantes
Revue complète de l'architecture 
Examine cette PR de manière complète : sécurité, performance, maintenabilité, couverture de tests et adéquation architecturale. Fournis un plan d'action priorisé

Bonnes pratiques

  • Fournir le contexte complet du fichier, pas seulement le diff, pour une analyse plus précise
  • Examiner manuellement la sortie de la compétence avant d'agir sur des conclusions de sécurité critiques
  • Utiliser des prompts spécifiques pour des revues ciblées plutôt que des demandes générales

Éviter

  • Appliquer aveuglément chaque suggestion sans comprendre le contexte
  • Utiliser la compétence comme substitut à la revue par les pairs dans un contexte d'équipe
  • Ignorer les faux positifs au lieu d'affiner le prompt pour plus de clarté

Foire aux questions

Quels langages de programmation cette compétence prend-elle en charge ?
La compétence fonctionne avec tous les langages de programmation, notamment Python, JavaScript, Java, Go, Rust, et d'autres.
Cette compétence exécute-t-elle mon code ?
Non. L'analyse est entièrement statique et n'exécute ni ne compile votre code.
Cette compétence peut-elle remplacer les relecteurs de code humains ?
Non. Elle est conçue pour aider les relecteurs, pas pour les remplacer. Vérifiez toujours les conclusions critiques.
Quelle est la précision des conclusions de sécurité ?
La compétence utilise la correspondance de motifs et des heuristiques. Certaines conclusions peuvent être des faux positifs.
Fonctionne-t-elle avec Claude Code ?
Oui. La compétence est compatible avec Claude, Codex et Claude Code.
Quels types de problèmes peut-elle détecter ?
Les vulnérabilités de sécurité, les problèmes de performance, les violations de style et les bugs logiques.

Détails du développeur

Licence

MIT

Dépôt

https://github.com/zhangchenlai-dev/hermes-skill-store/tree/master/code-review-assistant

Réf

master

Structure de fichiers

📄 SKILL.md