此技能使用系統化的多階段方法審查程式碼變更,以找出錯誤、安全漏洞和品質問題。它會繪製攻擊面、執行安全檢查清單,並提供帶有證據和修復建議的優先排序結果。
下載技能 ZIP
在 Claude 中上傳
前往 設定 → 功能 → 技能 → 上傳技能
開啟並開始使用
測試它
正在使用「find-bugs」。 Find bugs in the current branch changes
預期結果:
## 程式碼審查發現
### 安全漏洞
**src/auth.js:42 - SQL 注入風險**
- 嚴重性:嚴重
- 問題:使用者輸入直接串接在 SQL 查詢中
- 證據:第 42 行沒有參數化,直接使用 user.id
- 修復:使用參數化查詢或 ORM
- 參考:OWASP A03:2021
### 錯誤
**src/parser.js:15 - 空值參考**
- 嚴重性:中
- 問題:嘗試存取 undefined 的屬性
- 證據:存取 user.preferences 前沒有空值檢查
- 修復:新增空值檢查或使用可選串連
正在使用「find-bugs」。 Review for security issues only
預期結果:
## 安全稽核
已審查 12 個檔案。發現 2 個安全問題:
1. **api/handler.js:28** - 命令注入(嚴重)
2. **utils/crypto.js:8** - 弱隨機(高)
身份驗證、授權或資料驗證中未發現問題。
安全審計
安全All static findings evaluated as false positives. External commands (git/gh CLI) are legitimate code review tooling. Network URL is documentation only. Cryptographic warnings are keyword false positives. Skill is safe for publication.
高風險問題 (2)
中風險問題 (2)
風險因素
⚙️ 外部命令 (3)
🌐 網路存取 (1)
品質評分
你能建構什麼
提交前程式碼審查
在提交Pull Request之前執行,以儘早發現錯誤和安全問題
Pull Request 安全稽核
系統性審查傳入的變更,以找出安全漏洞和 OWASP 問題
自動化品質閘道
整合至 CI/CD 管線,以封鎖具有關鍵安全問題的提交
試試這些提示
Find bugs in the current branch changes
Review the changes on this branch for security vulnerabilities. Check for injection risks, authentication issues, and data exposure.
Perform a full security and quality audit of the changes on this branch. Map attack surfaces, run the security checklist, and provide prioritized findings with evidence and fixes.
Quickly scan the branch changes for critical bugs and high-severity security issues. Skip stylistic issues.
最佳實務
- 在每個 Pull Request 之前執行,以儘早發現問題
- 在合併前解決嚴重和高嚴重性的發現
- 使用發現結果教育團隊了解安全模式
- 整合至 CI 以防止安全回歸
避免
- Ignoring findings without investigation because they seem false
- Only running when explicitly asked instead of proactively
- Treating all findings as equally urgent instead of prioritizing
- Making changes directly instead of letting user decide