技能 code-review-assistant
📦

code-review-assistant

安全

审查拉取请求的安全性和质量

也可从以下获取: DNYoussef

代码审查耗时较长,并且经常遗漏安全漏洞或性能问题。此技能会自动分析拉取请求,在代码进入生产环境之前发现错误、安全风险和风格违规。

支持: Claude Codex Code(CC)
🥉 78 青铜
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

Agent 可读资源

当 AI Agent、爬虫或脚本需要干净上下文、而不是读取完整页面时,请使用这些链接。

Markdown 详情 GET /skills/zhangchenlai-dev-code-review-assistant.md 已签名 manifest GET /api/skills/zhangchenlai-dev-code-review-assistant/manifest 已签名 lockfile GET /api/skills/zhangchenlai-dev-code-review-assistant/lockfile

测试它

正在使用“code-review-assistant”。 审查这个处理用户登录的 Python 函数

预期结果:

安全性:第 12 行使用 MD5 进行密码哈希处理 — 改用 bcrypt 或 Argon2。性能:第 8 行在循环中查询数据库 — 改用 JOIN。风格:函数名 'doThing' 不清晰 — 重命名为 'authenticate_user'。

正在使用“code-review-assistant”。 检查这个 React 组件是否存在问题

预期结果:

错误:第 15 行的 useEffect 缺少依赖项 'userId',导致过期闭包。可访问性:第 22 行的按钮缺少 aria-label。性能:第 30 行的大列表应使用虚拟化。

正在使用“code-review-assistant”。 审计这个 API endpoint

预期结果:

安全性:'email' 参数没有输入验证 — 添加 regex 或 schema 验证。安全性:第 45 行的 SQL 查询使用字符串拼接 — 使用参数化查询。性能:此 endpoint 没有速率限制。

安全审计

安全
v1 • 5/21/2026

Static analysis flagged two high-severity patterns, both confirmed as false positives. The 'Weak cryptographic algorithm' alert at SKILL.md:4 was triggered by Unicode arrow characters in a Chinese description string, not actual cryptography. The 'High file entropy' alert was caused by UTF-8 encoded Chinese text, which naturally has higher byte entropy than ASCII. The skill contains only a markdown description file with no executable code, no network access, no file system operations, and no command execution. No malicious intent detected.

1
已扫描文件
34
分析行数
2
发现项
1
审计总数
低风险问题 (2)
SKILL.md:4
Static False Positive: Weak Cryptographic Algorithm
The static scanner flagged line 4 as containing a 'weak cryptographic algorithm'. The actual content is a Chinese description string with Unicode arrow characters. No cryptography is present. This is a false positive caused by non-ASCII symbols matching heuristic patterns.
SKILL.md:1
Static False Positive: High File Entropy
The static scanner reported 'high file entropy (6.24 bits)' suggesting possible binary or encrypted content. This is a false positive caused by UTF-8 encoded Chinese characters, which use 3 bytes per character and naturally raise byte-level entropy above typical ASCII text. The file is plain human-readable markdown.
审计者: claude

质量评分

55
架构
95
可维护性
85
内容
65
社区
100
安全
83
规范符合性

你能构建什么

合并前安全扫描

在合并到主分支之前扫描拉取请求中的安全漏洞

代码质量审查

审查团队提交中的代码风格、命名约定和反模式

初级开发者学习工具

通过查看个人项目的自动反馈来学习最佳实践

试试这些提示

基础 PR 审查 
审查此拉取请求中的错误、安全问题和代码风格问题
安全专项审查 
对此代码执行深度安全审计。查找注入风险、不安全的反序列化、硬编码密钥和身份验证缺陷
性能分析 
分析此代码中的性能瓶颈。检查 N+1 查询、内存泄漏、低效算法和阻塞操作
完整架构审查 
全面审查此 PR:安全性、性能、可维护性、测试覆盖率和架构适配性。提供按优先级排序的行动计划

最佳实践

  • 提供完整文件上下文,而不只是 diff,以获得更准确的分析
  • 在根据关键安全发现采取行动之前,手动审查技能输出
  • 针对聚焦审查使用具体提示,而不是宽泛请求

避免

  • 在不了解上下文的情况下盲目应用每条建议
  • 在团队场景中将此技能用作同行审查的替代品
  • 忽略误报,而不是改进提示以提高清晰度

常见问题

此技能支持哪些编程语言?
此技能适用于任何编程语言,包括 Python、JavaScript、Java、Go、Rust 等。
此技能会执行我的代码吗?
不会。分析完全是静态的,不会运行或编译你的代码。
此技能可以替代人工代码审查者吗?
不能。它旨在辅助审查者,而不是替代他们。始终验证关键发现。
安全发现的准确性如何?
此技能使用模式匹配和启发式方法。某些发现可能是误报。
它可以与 Claude Code 配合使用吗?
可以。此技能兼容 Claude、Codex 和 Claude Code。
它可以检测哪些类型的问题?
安全漏洞、性能问题、风格违规和逻辑错误。

开发者详情

许可证

MIT

仓库

https://github.com/zhangchenlai-dev/hermes-skill-store/tree/master/code-review-assistant

引用

master

文件结构

📄 SKILL.md