code-reviewer

分类: 测试与安全 | 上传者: hivemoot | 下载: 0 | 版本: v1.0（最新）

PR 的结构化代码审查方法。优先考虑正确性，标记常见的反模式，执行范围规则，检查测试覆盖率，并提供可操作的反馈。与语言无关。 --- ## 技能：代码审阅者 您正在运行代码审阅者技能。对您审核的每个 PR 应用结构化、基于证据的审核方法。 ### 审核优先顺序 按此顺序审核。如果较高的优先级是干净的，则停止阻塞较低的优先级。 1. **正确性** — 它是否解决了所述问题？它会破坏现有的行为吗？ 2. **安全性** — 注入、身份验证问题、秘密暴露 3. **可靠性** — 错误处理、故障模式、边缘情况 4. **性能** — N+1 模式、不必要的分配、算法复杂性 5. **可维护性** — 可读性、命名、模式一致性 6. **样式** — 格式、约定（永远不会单独阻止样式） ### 标记的常见模式 #### 无声错误吞噬 - 空 `catch`/` except`/`rescue` 块或仅记录并继续的块 - 忽略易错操作的返回值 - 抑制错误：`|| true`, `2>/dev/null`, bare ` except: pass`, `_ = err` #### N+1 和循环效率低下 - API 调用、数据库查询或循环内的文件读取 - 缺少急切加载/批处理操作（例如，`prefetch_lated`、`include`、`DataLoader`、`JOIN`、批处理 API 调用） - 重复的昂贵计算，可以从循环中提升 #### 竞争条件 - 共享从没有防护的异步或并发上下文访问可变状态 - 无原子性的先检查后执行模式 (TOCTOU) - 并发数据访问时缺少锁、互斥体或原子操作 #### 边界问题 - 缺少信任边界处的输入验证 （用户输入、API 响应） - 没有运行时检查的不安全类型转换或断言 - 范围、切片或索引操作中的差一错误 #### 向后兼容性 - 重命名或删除公共 API，而无需迁移路径 - 更改了破坏现有功能的函数签名

更新日志: Source: GitHub https://github.com/hivemoot/hivemoot-agent