المهارات code-review
🔍

code-review

آمن ⚙️ الأوامر الخارجية⚡ يحتوي على سكربتات📁 الوصول إلى نظام الملفات

审查代码安全和性能

متاح أيضًا من: EricDuMingTong,getsentry,21pounder,supercent-io,coderabbitai,davila7,ANcpLua,21pounder,Cain96,Joseph OBrien,Joseph OBrien,Bind,Doyajin174,Claude Assistant

代码更改可能引入安全漏洞和性能问题,这些问题在后期修复成本很高。此技能自动对修改的文件进行全面的代码审查,检查OWASP Top 10问题、N+1查询和代码质量问题。

يدعم: Claude Codex Code(CC)
🥉 76 برونزي
1

تنزيل ZIP المهارة

2

رفع في Claude

اذهب إلى Settings → Capabilities → Skills → Upload skill

3

فعّل وابدأ الاستخدام

اختبرها

استخدام "code-review". 审查修改的文件是否存在安全问题

النتيجة المتوقعة:

  • ## 代码审查结果
  •  
  • ### 发现的关键问题
  • 1. user_service.py:42中的SQL注入
  • - 原始字符串拼接允许SQL注入
  • - 修复:使用SQLAlchemy ORM的参数化查询
  •  
  • 2. post_service.py:78中的N+1查询
  • - 循环中的惰性加载导致101次查询
  • - 修复:使用selectinload(User.posts)进行预加载
  •  
  • ### 建议的改进
  • - 考虑在外键上添加索引
  • - 添加用户身份验证的输入验证

استخدام "code-review". 检查数据库代码中的性能问题

النتيجة المتوقعة:

  • ## 性能审查
  •  
  • ### 检测到的ORM问题
  • - app/models/user.py:15 - posts关系上缺少预加载
  • - app/services/report.py:42 - 循环内的查询导致N+1模式
  •  
  • ### 优化建议
  • - 在用户查询中添加joinedload(User.posts)
  • - 将查询移到循环外部并使用批量加载
  • - 考虑在经常查询的列上添加数据库索引

استخدام "code-review". 审查OWASP Top 10漏洞

النتيجة المتوقعة:

  • ## 安全审计结果
  •  
  • ### 注入风险
  • - 身份验证破损:未配置会话超时
  • - 不安全的反序列化:对不可信数据使用pickle.loads()
  •  
  • ### XSS漏洞
  • - 模板对用户输入使用innerHTML(3处位置)
  •  
  • ### 建议
  • - 将innerHTML替换为textContent处理用户数据
  • - 对所有数据库操作使用参数化查询

التدقيق الأمني

آمن
v5 • 1/17/2026

Pure documentation skill with no executable code. All 207 static findings are false positives. The skill is a guide for reviewing code - it contains code examples of vulnerabilities (SQL injection, command injection) as teaching examples, not actual malicious implementations. The only executable file is a git helper script with safe read-only operations.

5
الملفات التي تم فحصها
1,473
الأسطر التي تم تحليلها
3
النتائج
5
إجمالي عمليات التدقيق

عوامل الخطر

⚙️ الأوامر الخارجية (3)
references/orm-optimization.md:1-400 references/owasp-top-10.md:1-450 SKILL.md:30-50
⚡ يحتوي على سكربتات (1)
references/owasp-top-10.md:260-300
📁 الوصول إلى نظام الملفات (1)
scripts/get_diff_files.sh:59-77
تم تدقيقه بواسطة: claude عرض سجل التدقيق →

درجة الجودة

64
الهندسة المعمارية
100
قابلية الصيانة
85
المحتوى
21
المجتمع
100
الأمان
91
الامتثال للمواصفات

ماذا يمكنك بناءه

提交前代码审查

在提交前审查所有修改的文件,以尽早发现安全问题和性能问题。

自动化安全扫描

系统化地检查代码更改是否存在OWASP Top 10漏洞,无需人工检查。

代码质量执行

确保所有更改始终遵守项目标准和编码规范。

جرّب هذه الموجهات

基础审查 
审查此仓库中修改的文件是否存在安全漏洞和性能问题。
安全重点 
对更改的文件执行安全审查。重点关注OWASP Top 10问题,如SQL注入、XSS和身份验证破损。
性能扫描 
分析修改的文件是否存在性能问题。查找N+1查询、低效循环和缺少数据库索引的情况。
完整审计 
对所有更改的文件进行全面的代码审查。检查安全性、性能、代码质量和项目标准。提供详细的发现和修复建议。

أفضل الممارسات

  • 在每次提交前审查更改,以尽早发现问题
  • 在合并前立即修复关键安全问题
  • 将审查输出作为团队学习的机会

تجنب

  • 跳过对简单更改的审查
  • 忽视小功能的性能警告
  • 依赖项更改时不更新安全检查

الأسئلة المتكررة

哪些AI工具支持此技能?
此技能适用于Claude、Codex和Claude Code。所有三种工具都可以调用代码审查工作流程。
它检查哪些安全问题?
该技能审查OWASP Top 10问题,包括SQL注入、XSS、身份验证破损和敏感数据泄露。
它会修改我的代码吗?
不会。该技能识别问题并建议修复。在对代码库进行任何更改之前,它会请求批准。
我的代码数据安全吗?
是的。所有分析都通过git操作在本地进行。代码不会发送到外部服务或第三方。
它可以审查任何编程语言吗?
该技能专注于Python和SQLAlchemy模式。它可以审查其他语言的一般安全和性能问题。
这与SonarQube或其他工具相比如何?
此技能提供AI驱动的上下文分析。静态工具(如SonarQube)通过附加指标和规则对其进行补充。

تفاصيل المطور

المؤلف

DavidDworetzky

الترخيص

MIT

المستودع

https://github.com/DavidDworetzky/Geist/tree/main/.claude/skills/code-review

مرجع

main

بنية الملفات

📁 references/

📄 orm-optimization.md

📄 owasp-top-10.md

📁 scripts/

📄 get_diff_files.sh

📄 SKILL.md