performance-testing-review-ai-review
Анализ кода с помощью ИИ
Этот навык помогает разработчикам выявлять уязвимости безопасности, проблемы производительности и архитектурные недостатки в их коде с помощью анализа на базе искусственного интеллекта и автоматизированных инструментов статического анализа.
Скачать ZIP навыка
Загрузить в Claude
Перейдите в Settings → Capabilities → Skills → Upload skill
Включите и начните использовать
Протестировать
Использование «performance-testing-review-ai-review». Review this authentication code for vulnerabilities
Ожидаемый результат:
## Результаты проверки безопасности
**КРИТИЧЕСКАЯ - SQL-инъекция (CWE-89)**
- Файл: src/auth/login.ts
- Строка: 42
- Проблема: Конкатенация строк с пользовательским вводом позволяет осуществлять SQL-инъекцию
- Исправление: Используйте параметризованные запросы
**ВЫСОКАЯ - Слабое хранение паролей (CWE-916)**
- Файл: src/auth/user.ts
- Строка: 15
- Проблема: Пароль хешируется с помощью MD5 вместо bcrypt/argon2
- Исправление: Используйте bcrypt с фактором стоимости 12+
Использование «performance-testing-review-ai-review». Analyze this database query for performance issues
Ожидаемый результат:
## Анализ производительности
**ВЫСОКАЯ - Обнаружен N+1 запрос**
- Файл: src/api/users.js
- Строки: 23-35
- Проблема: База данных вызывается внутри цикла для каждого пользователя
- Влияние: 1000 пользователей = 1001 вызов БД
- Исправление: Используйте JOIN или пакетную загрузку
Использование «performance-testing-review-ai-review». Review this microservices architecture
Ожидаемый результат:
## Архитектурное ревью
**КРИТИЧЕСКАЯ - Общая база данных**
- Проблема: Сервис A и Сервис B используют одну и ту же базу данных
- Нарушение: Принцип ограниченного контекста
- Исправление: Реализуйте паттерн «база данных на сервис»
**СРЕДНЯЯ - Отсутствует автоматический выключатель**
- Проблема: Внешние API-вызовы не имеют паттерна отказоустойчивости
- Риск: Каскадные сбои во время отключений
- Исправление: Добавьте автоматический выключатель с запасным вариантом
Аудит безопасности
БезопасноAll 53 static findings are FALSE POSITIVES. The skill provides legitimate code review documentation using standard security tools (SonarQube, CodeQL, Semgrep, TruffleHog). The detected patterns (subprocess execution, environment variables, network calls) are examples of how to run security scanning tools in CI/CD pipelines - not malicious behavior. This is a security-positive skill that teaches best practices for identifying vulnerabilities.
Оценка качества
Что вы можете построить
Автоматизированное ревью Pull-запросов
Настройте ревью кода на базе ИИ в конвейерах CI/CD для мгновенной обратной связи по каждому pull-запросу
Обнаружение уязвимостей безопасности
Выявляйте SQL-инъекции, XSS, обходы аутентификации и другие уязвимости OWASP Top 10 в коде
Руководство по оптимизации производительности
Обнаруживайте антипаттерны производительности, такие как N+1 запросы, отсутствующие индексы и синхронные вызовы
Попробуйте эти промпты
Проверьте этот diff кода на наличие проблем безопасности, проблем производительности и нарушений лучших практик. Фокусируйтесь только на изменённых файлах.
Проведите тщательный анализ безопасности этого кода. Проверьте наличие уязвимостей OWASP Top 10, включая инъекционные атаки, недостатки аутентификации и раскрытие конфиденциальных данных. Укажите идентификаторы CWE и оценки CVSS там, где это применимо.
Проанализируйте этот код на предмет проблем производительности. Ищите N+1 запросы, отсутствующие индексы баз данных, синхронные блокирующие вызовы, утечки памяти и проблемы масштабирования. Предложите конкретные оптимизации.
Проведите комплексное ревью, объединив результаты статического анализа с рассуждениями ИИ. Оцените безопасность, производительность, архитектуру, поддерживаемость и покрытие тестами. Отформатируйте результаты в виде структурированных комментариев к ревью с уровнями серьёзности и примерами исправлений.
Лучшие практики
- Запускайте автоматизированные инструменты статического анализа (CodeQL, Semgrep) перед ревью на базе ИИ для предоставления контекста
- Используйте человека в цикле для решений, критичных для безопасности и архитектуры
- Установите пороги качества для блокировки PR с проблемами критической серьёзности
- Отслеживайте метрики ревью (DORA) для измерения и улучшения качества кода со временем
Избегать
- Полагаться исключительно на ИИ без запуска actual инструментов статического анализа
- Игнорировать ложноположительные результаты от автоматизированных инструментов без настройки правил
- Устанавливать слишком высокие пороги серьёзности и пропускать реальные уязвимости
- Использовать ревью на базе ИИ как замену экспертам по безопасности-человекам для критических систем
Часто задаваемые вопросы
Какие инструменты использует этот навык для статического анализа?
Может ли этот навык заменить человеческих ревьюеров кода?
Какие языки программирования поддерживаются?
Как интегрировать это с GitHub Actions?
Модифицирует ли этот навык код?
Каковы требования к API?
Сведения для разработчиков
Автор
sickn33Лицензия
MIT
Репозиторий
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/performance-testing-review-ai-reviewСсылка
main
Структура файлов
📄 SKILL.md