スキル performance-testing-review-ai-review
📦

performance-testing-review-ai-review

安全

AI 分析によるコードレビュー

このスキルは、AI パワーによる分析と自動化された静的解析ツールを使用して、コード内のセキュリティ脆弱性、パフォーマンスの問題、アーキテクチャ上の問題点を特定するのに役立ちます。

対応: Claude Codex Code(CC)
🥉 74 ブロンズ
1

スキルZIPをダウンロード

2

Claudeでアップロード

設定 → 機能 → スキル → スキルをアップロードへ移動

3

オンにして利用開始

テストする

「performance-testing-review-ai-review」を使用しています。 この認証コードを脆弱性についてレビューしてください

期待される結果:

## セキュリティレビュー結果

**CRITICAL - SQL インジェクション(CWE-89)**
- ファイル:src/auth/login.ts
- 行番号:42
- 問題:ユーザー入力との文字列連結により SQL インジェクションが可能
- 修正:パラメータ化クエリを使用

**HIGH - 弱いパスワード保存(CWE-916)**
- ファイル:src/auth/user.ts
- 行番号:15
- 問題:パスワードが bcrypt/argon2 ではなく MD5 でハッシュ化されている
- 修正:コストファクター 12 以上の bcrypt を使用

「performance-testing-review-ai-review」を使用しています。 このデータベースクエリをパフォーマンス問題について分析してください

期待される結果:

## パフォーマンス分析

**HIGH - N+1 クエリ検出**
- ファイル:src/api/users.js
- 行番号:23-35
- 問題:各ユーザーに対してループ内でデータベースが呼び出されている
- 影響:ユーザー 1000 人 = DB 呼び出し 1001 回
- 修正:JOIN またはバッチ読み込みを使用

「performance-testing-review-ai-review」を使用しています。 このマイクロサービスアーキテクチャをレビューしてください

期待される結果:

## アーキテクチャレビュー

**CRITICAL - データベース共有**
- 問題:サービス A とサービス B が同じデータベースを共有している
- 違反:境界付きコンテキストの原則
- 修正:サービスごとのデータベースパターンを実装

**MEDIUM - サーキットブレーカー不足**
- 問題:外部 API 呼び出しに回復性パターンがない
- リスク:停止時の連鎖障害
- 修正:フェイルバック付きサーキットブレーカーを追加

セキュリティ監査

安全
v1 • 2/24/2026

All 53 static findings are FALSE POSITIVES. The skill provides legitimate code review documentation using standard security tools (SonarQube, CodeQL, Semgrep, TruffleHog). The detected patterns (subprocess execution, environment variables, network calls) are examples of how to run security scanning tools in CI/CD pipelines - not malicious behavior. This is a security-positive skill that teaches best practices for identifying vulnerabilities.

1
スキャンされたファイル
453
解析された行数
0
検出結果
1
総監査数
セキュリティ問題は見つかりませんでした
監査者: claude

品質スコア

38
アーキテクチャ
100
保守性
87
コンテンツ
50
コミュニティ
100
セキュリティ
91
仕様準拠

作れるもの

自動化されたプルリクエストレビュー

CI/CD パイプラインに AI パワーによるコードレビューを設定し、すべてのプルリクエストに対して即座にフィードバックを取得

セキュリティ脆弱性検出

SQL インジェクション、XSS、認証バイパス、その他の OWASP Top 10 脆弱性をコード内で特定

パフォーマンス最適化ガイダンス

N+1 クエリ、インデックス不足、同期呼び出しなどのパフォーマンスのアンチパターンを検出

これらのプロンプトを試す

基本的なコードレビューリクエスト 
このコード差分をセキュリティ問題、パフォーマンス問題、ベストプラクティス違反についてレビューしてください。変更されたファイルのみに焦点を当ててください。
セキュリティ重視のレビュー 
このコードの徹底的なセキュリティレビューを実行してください。インジェクション攻撃、認証の不備、機密データ露出など OWASP Top 10 の脆弱性をチェックしてください。該当する場合は CWE 識別子と CVSS スコアを提供してください。
パフォーマンス分析 
このコードをパフォーマンス問題について分析してください。N+1 クエリ、データベースインデックス不足、同期ブロッキング呼び出し、メモリリーク、スケーラビリティの懸念事項を探してください。具体的な最適化案を提案してください。
完全なマルチレイヤーレビュー 
静的解析結果と AI 推論を組み合わせた包括的なレビューを実施してください。セキュリティ、パフォーマンス、アーキテクチャ、保守性、テストカバレッジを評価してください。発見事項を重大度レベルと修正例付きの構造化されたレビューコメントとしてフォーマットしてください。

ベストプラクティス

  • AI レビューの前に自動静的解析ツール(CodeQL、Semgrep)を実行してコンテキストを提供
  • セキュリティ上重要な決定とアーキテクチャ上の決定にはヒューマンインザループを使用
  • 重大度レベルが critical の問題を含む PR をブロックする品質ゲートを設定
  • レビュー指標(DORA)を追跡して時間経過とともにコード品質を測定・改善

回避

  • 実際の静的解析ツールを実行せずに AI のみに依存
  • ルールを調整せずに自動化ツールの誤検出を無視
  • 重大度しきい値を高すぎる設定にして実際の脆弱性を見逃す
  • 重要なシステムでセキュリティ専門家の代わりとして AI レビューを使用

よくある質問

このスキルは静的解析にどのツールを使用しますか?
このスキルは、深い脆弱性分析のための CodeQL、コード品質のための SonarQube、カスタムルールのための Semgrep、シークレット検出のための TruffleHog と統合されています。
このスキルは人間のコードレビュー担当者を置き換えることができますか?
いいえ。このスキルはパターン検出を自動化することで人間のレビューを補強します。重要なセキュリティの決定とアーキテクチャレビューには引き続き人間の専門知識が必要です。
どのプログラミング言語がサポートされていますか?
このスキルは、さまざまな静的解析ツール統合を通じて、JavaScript、Python、Go、Java、Ruby、Rust を含む 30 以上の言語をサポートしています。
GitHub Actions とどう統合しますか?
静的解析ツール実行後に AI レビューステップを追加してください。ツールの結果を AI モデルにコンテキストとして渡して分析を強化します。
このスキルはコードを変更しますか?
いいえ。このスキルはコードを分析してレビューコメントを生成するだけです。変更の自動修正やコミットは行いません。
API の要件は何ですか?
このスキルは分析に Claude、GPT-4、その他の LLM を使用できます。API キーは CI/CD パイプラインの環境変数で設定します。

開発者の詳細

作成者

sickn33

ライセンス

MIT

リポジトリ

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/performance-testing-review-ai-review

参照

main

ファイル構成

📄 SKILL.md