afrexai-code-reviewer

核心用法

afrexai-code-reviewer 是一个纯文档型的企业级代码审查框架，通过 SPEAR 五维评估体系 为代码审查提供结构化方法论。用户可通过自然语言指令触发审查，支持 GitHub PR、本地 diff、单文件或粘贴代码四种输入模式。核心工作流程为：输入代码 → 自动套用 SPEAR 框架 → 生成标准化评分报告。

SPEAR 框架的五个维度及其权重分别为：Security（安全，3x）、Performance（性能，2x）、Error Handling（错误处理，2x）、Architecture（架构，1.5x）、Reliability（可靠性，1.5x）。每个维度下设 10-12 项具体检查点，覆盖 60+ 种语言特定模式（TypeScript/Python/Go/Java/SQL 等）。评分采用扣分制：CRITICAL 问题扣 3 分、HIGH 扣 2 分、MEDIUM 扣 1 分、LOW 扣 0.5 分，最终换算为 0-100 分并给出五级 verdict（EXCELLENT/GOOD/NEEDS WORK/SIGNIFICANT ISSUES/BLOCK）。

显著优点

框架化思维：将主观代码审查转化为可量化的评分体系，大幅降低评审者认知负担，同时保证审查覆盖面的完整性。Security 维度 3 倍权重的设计体现了"安全优先"的工程原则。

语言覆盖全面：不仅提供通用检查项，还针对主流语言列出典型反模式（如 Python 的 bare except、Go 的 error 丢弃、JavaScript 的 any 类型滥用），实用性极强。

输出标准化：强制使用统一的 Markdown 报告模板，包含执行摘要、维度得分表、分级 findings、正向反馈、优先建议五大模块，便于团队沉淀审查知识。

零依赖设计：纯指导性 Skill，无需安装任何工具链或配置环境，开箱即用。

潜在缺点与局限性

执行依赖人工：该 Skill 仅为审查指南，不自动分析代码，所有检查需评审者手动完成，无法替代静态分析工具（如 SonarQube、CodeQL）的自动化能力。

评分主观性：虽然提供了扣分标准，但"God function >50 行"等阈值、以及问题严重程度的判定仍依赖评审者经验，不同人可能给出差异较大的评分。

语言更新滞后：新兴语言特性（如 Rust 的 async、Zig 的 comptime）或框架特定模式（如 React Server Components）可能未被及时覆盖。

大型 PR 适配性：虽提及>500 行 PR 应拆分，但未提供有效的增量审查策略，实际执行中可能因信息量过大而流于形式。

适合的目标群体

• 技术团队负责人：需要建立团队代码审查规范，统一评审标准
• 初级/中级开发者：希望系统学习代码质量维度，提升审查能力
• 开源项目维护者：处理外部贡献时快速评估 PR 质量
• 代码审计顾问：为客户提供结构化审查报告时作为方法论支撑

使用风险

性能风险：无。纯文档型 Skill，无计算开销。

依赖风险：无第三方依赖，但需注意该 Skill 本身不产生审查结果，实际效果完全取决于使用者的工程判断力。

误用风险：过度依赖评分可能导致"分数导向"而非"质量导向"的审查文化；建议将 SPEAR 作为辅助框架，而非唯一决策依据。

核心用法

afrexai-code-reviewer 是一款企业级代码审查工具，基于独创的 SPEAR 框架（Security-Performance-Error Handling-Architecture-Reliability）对代码进行五维度量化评估。支持 GitHub PR、本地 git diff、文件审查和代码片段粘贴等多种输入方式，无需任何依赖即可工作。

使用方法

• GitHub PR: Review PR #42 in owner/repo
• 本地变更: Review the staged changes in this repo
• 单文件审查: Review src/auth/login.ts for security issues
• 代码片段: 直接粘贴代码并说明"review this"

SPEAR 评分体系

| 维度 | 权重 | 关键检查项 |

|------|------|-----------|

| 🔴 Security (安全) | 3x | 硬编码密钥、SQL注入、XSS、SSRF等 |

| 🟡 Performance (性能) | 2x | N+1查询、内存泄漏、阻塞操作等 |

| 🟠 Error Handling (错误处理) | 2x | 空catch块、未检查空值、未处理Promise等 |

| 🔵 Architecture (架构) | 1.5x | 上帝函数、紧耦合、循环依赖等 |

| 📊 Reliability (可靠性) | 1.5x | 缺失测试、竞态条件、缺少校验等 |

评分公式：(S×3 + P×2 + E×2 + A×1.5 + R×1.5) / 10 × 10，满分100分。

显著优点

1. 语言无关: 支持 Python、Go、TypeScript、Java、SQL 等主流语言，提供语言特定检查规则
2. 量化评估: 1-10分制+权重计算，告别主观"LGTM"式评审
3. 企业级深度: 从基础 OWASP Top 10 到威胁建模级别的深度安全审查
4. 可操作性: 每个发现都包含具体文件位置、问题描述、影响分析和修复代码示例
5. 运营视角: 额外关注可运维性、回滚安全、监控埋点等生产环境要素

潜在局限

1. T3来源: 社区项目/个人开发者维护，长期更新依赖个人意愿
2. 无动态执行: 纯文档型 Skill，无法进行实际的静态分析工具调用（如 semgrep、CodeQL）
3. 大型PR吃力: 明确建议 >500 行的 PR 拆分审查，对超大变更处理能力有限
4. 缺少许可信息: LICENSE 字段标注为"Unknown"，企业使用需注意合规

适合人群

• 技术团队负责人/架构师：建立团队代码质量基线
• 安全工程师：PR 安全审查的最后一道防线
• 独立开发者：无专业安全团队时的自查工具
• 开源维护者：高频率 PR 审查的效率工具

常规风险

• 误报可能: 文档中的 eval()、pickle.loads() 等示例可能被误读为风险代码
• 规则更新滞后: 新型漏洞模式依赖维护者手动更新
• 评分主观性: 尽管量化，权重和扣分标准仍有调整空间

安全认证摘要

• 安全等级: S 级（92分）
• 类型: T-MD（纯 Markdown 文档型，无可执行代码）
• 外部调用: 无 API 调用
• 敏感信息: 无硬编码密钥
• 主要发现: 5 个威胁候选点经验证均为文档示例误报，已全部排除
• 建议: 适合企业使用，建议添加 LICENSE 文件以提升至 S+ 级