code-review

该技能为代码审查领域提供了一套结构化的方法论框架，核心用法是引导用户通过三轮评审流程（架构概览→逐行审查→边界加固）系统化地完成代码审查。其显著优点在于：维度覆盖全面，从Critical级别的安全漏洞到Low级别的文档规范均有涉及；提供明确严重等级标签（Critical/Major/Minor/Nitpick），消除评审歧义；包含大量反模式警示，帮助团队规避常见评审陷阱；反馈指导具体，附带正反案例对比。潜在局限性包括：纯文档形态无法自动化执行检查，依赖人工逐项核对；清单内容偏向通用性，特定技术栈（如Rust、Go）的深度检查点不足；对大型PR仍建议分多次会话审查，实操中需要配套工具支持。适合目标群体为：技术团队Lead建立评审规范、新入职开发者学习评审标准、以及希望提升代码质量的中大型工程团队。使用风险方面，主要依赖项为团队执行意愿和持续遵守度，无技术性能风险；需注意定期根据OWASP等安全标准更新安全清单，避免检查项过时。

核心用法

code-review 是一套系统化的代码审查方法论与检查清单，采用三阶段评审流程：

• 第一遍（2-5分钟）：把握整体架构、文件组织、API设计合理性
• 第二遍（主体时间）：逐行检查安全漏洞、性能问题、逻辑错误、边界条件
• 第三遍（5分钟）：强化边缘场景、并发安全、回滚能力、文档完整性

技能提供七大审查维度的详细检查清单：安全（Security）、性能（Performance）、正确性（Correctness）、可维护性（Maintainability）、测试（Testing）、无障碍（Accessibility）、文档（Documentation）。每个维度包含具体检查项，如SQL注入防护、N+1查询检测、竞态条件识别等。

评审反馈采用四级严重度标签：[CRITICAL]（阻断合并）、[MAJOR]（阻断合并）、[MINOR]（建议性）、[NIT]（风格微调），消除反馈歧义。

显著优点

1. 全面性与系统性：覆盖从安全漏洞到代码风格的完整谱系，避免评审盲点
2. 可操作性极强：每个检查项配具体示例，三阶段流程可立即落地
3. 反馈标准化：严重度标签机制使作者明确优先级，减少来回沟通成本
4. 反模式警示：明确列出7种常见评审陷阱（如橡皮图章、 bikeshedding、范围蔓延评审），帮助评审者自我校准
5. 零依赖、零风险：纯Markdown文档，无可执行代码，开箱即用

潜在缺点与局限性

1. 缺乏自动化集成：仅为人工检查清单，未提供CI/CD集成或自动扫描工具
2. 语言/框架通用性：部分检查项（如React的dangerouslySetInnerHTML）偏向Web技术栈，嵌入式/系统开发需自行适配
3. 上下文依赖：严重度判断依赖评审者经验，新手可能过度标记或漏判
4. 规模化挑战：超过400行的PR建议分多次评审，大团队需配套PR拆分规范

适合人群

• 技术团队负责人：建立团队统一的评审标准与文化
• 初级→中级开发者：系统学习高质量代码的判定维度
• 开源维护者：标准化外部贡献者的评审流程
• 安全/质量工程师：作为人工审计的补充框架

常规风险

• 执行落差：清单再完善，若评审者时间压力导致"橡皮图章"行为，效果归零
• 过度阻塞：严重度标签使用不当可能导致小团队协作摩擦，需配套"约定优于配置"的团队共识
• 版本滞后：安全威胁模式 evolves，清单内容需团队主动维护更新（当前v1.0，最后更新未标注）