performance-testing-review-ai-review
使用 AI 分析进行代码审查
此技能帮助开发者使用 AI 驱动的分析和自动化静态分析工具,识别代码中的安全漏洞、性能问题和架构问题。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“performance-testing-review-ai-review”。 审查此身份验证代码是否存在漏洞
预期结果:
## 安全审查发现
**严重 - SQL 注入 (CWE-89)**
- 文件:src/auth/login.ts
- 行���:42
- 问题:与用户输入的字符串连接导致 SQL 注入
- 修复:使用参数化查询
**高危 - 弱密码存储 (CWE-916)**
- 文件:src/auth/user.ts
- 行号:15
- 问题:密码使用 MD5 而非 bcrypt/argon2 进行哈希
- 修复:使用 bcrypt,cost factor 为 12+
正在使用“performance-testing-review-ai-review”。 分析此数据库查询是否存在性能问题
预期结果:
## 性能分析
**高危 - 检测到 N+1 查询**
- 文件:src/api/users.js
- 行号:23-35
- 问题:在循环内为每个用户调用数据库
- 影响:1000 个用户 = 1001 次 DB 调用
- 修复:使用 JOIN 或批量加载
正在使用“performance-testing-review-ai-review”。 审查此微服务架构
预期结果:
## 架构审查
**严重 - 共享数据库**
- 问题:Service A 和 Service B 共享同一数据库
- 违反:有界上下文原则
- 修复:实现每服务一数据库模式
**中等 - 缺失熔断器**
- 问题:外部 API 调用缺少弹性模式
- 风险:中断期间级联故障
- 修复:添加带有降级的熔断器
安全审计
安全All 53 static findings are FALSE POSITIVES. The skill provides legitimate code review documentation using standard security tools (SonarQube, CodeQL, Semgrep, TruffleHog). The detected patterns (subprocess execution, environment variables, network calls) are examples of how to run security scanning tools in CI/CD pipelines - not malicious behavior. This is a security-positive skill that teaches best practices for identifying vulnerabilities.
质量评分
你能构建什么
自动化 Pull Request 审查
在 CI/CD 管道中设置 AI 驱动的代码审查,为每个 pull request 获取即时反馈
安全漏洞检测
识别代码中的 SQL 注入、XSS、认证绕过和其他 OWASP Top 10 漏洞
性能优化指导
检测性能反模式,如 N+1 查询、缺失索引和同步调用
试试这些提示
审查此代码差异中的安全问题、性能问题和最佳实践违规。仅关注更改的文件。
对此代码进行彻底的安全审查。检查 OWASP Top 10 漏洞,包括注入攻击、认证缺陷和敏感数据暴露。在适用时提供 CWE 标识符和 CVSS 评分。
分析此代码的性能问���。查找 N+1 查询、缺失的数据库索引、同步阻塞调用、内存泄漏和可扩展性问题。建议具体的优化措施。
结合静态分析结果与 AI 推理进行综合审查。评估安全性、性能、架构、可维护性和测试覆盖率。将发现格式化为带有严重性级别和修复示例的结构化审查评论。
最佳实践
- 在 AI 审查之前运行自动化静态分析工具(CodeQL、Semgrep)以提供上下文
- 对于安全关键和架构决策使用人机协作
- 设置质量门以阻止具有严重级别问题的 PR
- 跟踪审查指标(DORA)以随时间衡量和改进代码质量
避免
- 仅依赖 AI 而不运行实际的静态分析工具
- 在不调整规则的情况下忽略自动化工具的误报
- 将严重性阈值设置过高并遗漏真实漏洞
- 将 AI 审查用作关键系统上人类安全专家的替代品