npm - @tinkcarlos/skillora - Versions diffs - 0.2.0 - Mend

@tinkcarlos/skillora 0.2.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (234) hide show

package/.claude/skills/shared-references/advanced-debugging-techniques.md ADDED Viewed

@@ -0,0 +1,186 @@
+# 高级调试技术 (Advanced Debugging Techniques)
+## 5 Whys 根因分析法
+**核心原则**: 连续问 5 次"为什么"，直到找到根本原因。
+### 示例
+```
+问题: 用户登录失败
+Why 1: 为什么登录失败？
+→ 因为 API 返回 500 错误
+Why 2: 为什么 API 返回 500？
+→ 因为数据库查询超时
+Why 3: 为什么数据库查询超时？
+→ 因为 users 表没有索引
+Why 4: 为什么没有索引？
+→ 因为迁移脚本漏掉了索引创建
+Why 5: 为什么迁移脚本漏掉了？
+→ 因为没有 code review 检查索引
+根因: 缺少数据库迁移的 code review 检查项
+```
+### 5 Whys 模板
+```markdown
+## 5 Whys 分析: [问题描述]
+| # | 问题 | 答案 |
+|---|------|------|
+| 1 | 为什么 [症状]？ | 因为 [直接原因] |
+| 2 | 为什么 [直接原因]？ | 因为 [中间原因1] |
+| 3 | 为什么 [中间原因1]？ | 因为 [中间原因2] |
+| 4 | 为什么 [中间原因2]？ | 因为 [深层原因] |
+| 5 | 为什么 [深层原因]？ | 因为 [根本原因] |
+**根因**: [根本原因]
+**修复**: [修复方案]
+**预防**: [预防措施]
+```
+---
+## 鱼骨图 (Ishikawa Diagram)
+**用途**: 系统性分析问题的多个可能原因。
+### 6M 分类
+| 类别 | 英文 | 检查点 |
+|------|------|--------|
+| 人员 | Man | 操作错误、培训不足 |
+| 机器 | Machine | 硬件故障、配置错误 |
+| 材料 | Material | 数据质量、输入错误 |
+| 方法 | Method | 流程缺陷、算法错误 |
+| 测量 | Measurement | 监控不足、指标错误 |
+| 环境 | Mother Nature | 网络、第三方服务 |
+---
+## 二分法调试 (Binary Search Debugging)
+**用途**: 快速定位问题代码范围。
+```
+1. 确定问题存在的代码范围 (A-Z)
+2. 在中点 (M) 添加日志/断点
+3. 如果问题在 M 之前 → 范围缩小到 A-M
+4. 如果问题在 M 之后 → 范围缩小到 M-Z
+5. 重复直到定位到具体行
+```
+### Git Bisect
+```bash
+git bisect start
+git bisect bad HEAD
+git bisect good <last-known-good-commit>
+# Git 自动检出中间提交，测试后标记 good/bad
+git bisect reset  # 完成后重置
+```
+---
+## 橡皮鸭调试法 (Rubber Duck Debugging)
+**原理**: 向他人（或橡皮鸭）解释代码时，往往能发现问题。
+**步骤**:
+1. 逐行解释代码的预期行为
+2. 解释每个变量的值
+3. 解释每个条件分支
+4. 发现解释与实际不符的地方
+---
+## 时间线分析 (Timeline Analysis)
+**用途**: 分析间歇性问题或竞态条件。
+```markdown
+## 时间线: [问题描述]
+| 时间 | 事件 | 状态 | 备注 |
+|------|------|------|------|
+| T+0ms | 请求开始 | 正常 | |
+| T+50ms | 数据库查询 | 正常 | |
+| T+100ms | 缓存写入 | 🔴 失败 | 连接超时 |
+| T+150ms | 响应返回 | 异常 | 缓存未更新 |
+**发现**: T+100ms 缓存写入失败导致后续请求读取旧数据
+```
+---
+## 差异分析 (Diff Analysis)
+**用途**: 对比正常和异常情况的差异。
+| 对比项 | 正常情况 | 异常情况 | 差异 |
+|--------|----------|----------|------|
+| 环境 | 生产 | 测试 | 配置不同 |
+| 数据 | 小数据集 | 大数据集 | 数据量 |
+| 时间 | 白天 | 凌晨 | 定时任务 |
+| 用户 | 普通用户 | 管理员 | 权限 |
+---
+## 日志分析技巧
+### 关键日志模式
+```bash
+# 搜索错误
+grep -i "error\|exception\|fail" app.log
+# 搜索特定请求
+grep "request_id=abc123" app.log
+# 统计错误频率
+grep -c "ERROR" app.log
+# 查看错误上下文
+grep -B5 -A5 "ERROR" app.log
+```
+### 结构化日志查询
+```bash
+# JSON 日志
+cat app.log | jq 'select(.level == "error")'
+# 按时间范围
+cat app.log | jq 'select(.timestamp > "2024-01-01")'
+```
+---
+## 调试检查清单
+### 开始调试前
+- [ ] 能稳定复现问题吗？
+- [ ] 问题是什么时候开始的？
+- [ ] 最近有什么变更？
+- [ ] 只影响特定用户/环境吗？
+### 调试过程中
+- [ ] 使用了 5 Whys 吗？
+- [ ] 检查了日志吗？
+- [ ] 尝试了二分法吗？
+- [ ] 对比了正常/异常情况吗？
+### 修复后
+- [ ] 根因已确认？
+- [ ] 修复已验证？
+- [ ] 类似问题已排查？
+- [ ] 知识已记录？

package/.claude/skills/shared-references/code-quality-checklist.md ADDED Viewed

@@ -0,0 +1,218 @@
+# 代码质量检查清单 (Code Quality Checklist)
+## 核心原则
+```
+安全第一 → 性能优化 → 错误处理 → 代码质量 → 边界条件
+```
+---
+## 🔴 安全性检查 (Security - P0)
+| 检查项 | 风险 | 防护措施 | 检测方法 |
+|--------|------|----------|----------|
+| SQL 注入 | 数据泄露/篡改 | 参数化查询、ORM | 搜索字符串拼接 SQL |
+| XSS 攻击 | 用户数据窃取 | 输入转义、CSP、sanitize | 搜索 innerHTML/dangerouslySetInnerHTML |
+| CSRF | 伪造请求 | Token 验证、SameSite Cookie | 检查表单/API 是否有 CSRF 保护 |
+| 敏感信息泄露 | 密钥泄露 | 环境变量、.gitignore | 搜索硬编码密钥/密码 |
+| 权限验证 | 越权访问 | 每个端点检查 authz | 检查 API 是否有权限校验 |
+| 路径遍历 | 文件系统访问 | 路径规范化、白名单 | 搜索用户输入拼接路径 |
+| 命令注入 | 系统命令执行 | 参数化、白名单 | 搜索 exec/spawn/system |
+### 安全检查命令
+```bash
+# Node.js
+npm audit
+npx snyk test
+# Python
+pip-audit
+bandit -r .
+# 搜索硬编码密钥
+grep -rn "password\|secret\|api_key\|token" --include="*.py" --include="*.js" --include="*.ts"
+```
+---
+## 🔴 性能检查 (Performance - P1)
+| 问题 | 检测方法 | 解决方案 |
+|------|----------|----------|
+| N+1 查询 | 日志分析、ORM 警告 | 预加载 (eager loading)、JOIN |
+| 内存泄漏 | 监控工具、heap dump | 及时释放资源、WeakMap |
+| 大文件处理 | 压力测试 | 流式处理、分片上传 |
+| 竞态条件 | 并发测试 | 锁、原子操作、事务 |
+| 重复计算 | 性能分析 | 缓存、memoization |
+| 阻塞主线程 | UI 卡顿 | Web Worker、异步处理 |
+### 性能检测问题清单
+| # | 问题 | 必须回答 |
+|---|------|----------|
+| 1 | 1000 事件/秒会卡 UI 吗？ | 需要节流/防抖 |
+| 2 | 循环内有数据库查询吗？ | 需要批量查询 |
+| 3 | 大数组操作会阻塞吗？ | 需要分片处理 |
+| 4 | 有未取消的定时器/订阅吗？ | 需要清理 |
+---
+## 🔴 错误处理检查 (Error Handling - P1)
+| 检查项 | 要求 | 反模式 |
+|--------|------|--------|
+| 异常捕获 | 不吞掉异常，记录上下文 | `catch(e) {}` 空捕获 |
+| 错误日志 | 包含堆栈、请求ID、用户上下文 | 只记录 `error.message` |
+| 用户提示 | 友好信息，不暴露内部细节 | 直接显示堆栈 |
+| 降级策略 | 外部服务失败时有备选方案 | 直接抛出/崩溃 |
+| 重试机制 | 网络请求有重试+指数退避 | 无限重试/立即重试 |
+| 超时设置 | 所有外部调用有超时 | 无超时等待 |
+### 错误处理模式
+```javascript
+// ❌ 反模式
+try {
+  await api.call();
+} catch (e) {
+  // 吞掉异常
+}
+// ✅ 正确模式
+try {
+  await api.call();
+} catch (e) {
+  logger.error('API call failed', { error: e, context: { userId, requestId } });
+  throw new UserFacingError('服务暂时不可用，请稍后重试');
+}
+```
+---
+## 🔴 代码质量检查 (Code Quality - P2)
+| 检查项 | 标准 | 工具 |
+|--------|------|------|
+| 函数长度 | < 50 行 | ESLint/Pylint |
+| 圈复杂度 | < 10 | ESLint/radon |
+| 重复代码 | DRY 原则 | jscpd/pylint |
+| 命名规范 | 语义清晰、一致性 | 代码审查 |
+| 注释质量 | 解释 why，不是 what | 代码审查 |
+| 类型安全 | 避免 any/unknown | TypeScript strict |
+### 代码质量命令
+```bash
+# TypeScript
+npx tsc --noEmit --strict
+# ESLint
+npx eslint . --max-warnings 0
+# Python
+pylint --max-line-length=120 .
+flake8 --max-complexity 10 .
+```
+---
+## 🔴 边界条件检查 (Edge Cases - P1)
+| 场景 | 必须处理 | 检测方法 |
+|------|----------|----------|
+| 空值/null | 空检查、默认值 | 搜索 `.length`/`.map` 无空检查 |
+| 空数组/集合 | 循环前检查 | 搜索 `for`/`forEach` 无空检查 |
+| 边界值 | 0、-1、MAX_INT | 单元测试 |
+| 超时 | 设置合理超时 | 搜索无超时的网络请求 |
+| 并发 | 锁/原子操作 | 搜索共享状态修改 |
+| 编码 | UTF-8 处理 | 测试特殊字符 |
+### 边界条件检测问题
+| # | 问题 | 必须回答 |
+|---|------|----------|
+| 1 | 输入为 null/undefined 会怎样？ | 需要空检查 |
+| 2 | 数组为空会怎样？ | 需要空数组处理 |
+| 3 | 字符串为空/超长会怎样？ | 需要长度校验 |
+| 4 | 数字为 0/负数/超大会怎样？ | 需要范围校验 |
+| 5 | 并发调用会怎样？ | 需要并发控制 |
+---
+## 🔴 资源管理检查 (Resource Management - P1)
+| 检查项 | 要求 | 检测方法 |
+|--------|------|----------|
+| 文件句柄 | 使用后关闭 | 搜索 open/fopen 无 close |
+| 数据库连接 | 连接池、及时释放 | 搜索连接创建无释放 |
+| 事件监听 | 组件卸载时移除 | 搜索 addEventListener 无 remove |
+| 定时器 | 清除 interval/timeout | 搜索 setInterval 无 clear |
+| 订阅 | 取消订阅 | 搜索 subscribe 无 unsubscribe |
+---
+## 快速检查清单 (Quick Checklist)
+### 每次提交前必查
+- [ ] 🔴 无硬编码密钥/密码
+- [ ] 🔴 用户输入已验证/转义
+- [ ] 🔴 数据库查询已参数化
+- [ ] 🔴 异常已捕获并记录
+- [ ] 🔴 资源已正确释放
+- [ ] 空值/边界条件已处理
+- [ ] 无 console.log/print 调试代码
+- [ ] 类型检查通过
+- [ ] Lint 检查通过
+### 代码审查必查
+- [ ] 🔴 安全漏洞 (SQL注入/XSS/CSRF)
+- [ ] 🔴 权限验证
+- [ ] 🔴 错误处理完整性
+- [ ] 性能问题 (N+1/内存泄漏)
+- [ ] 边界条件处理
+- [ ] 代码可读性
+- [ ] 测试覆盖
+---
+## 输出契约
+### 代码质量报告模板
+```markdown
+## 代码质量检查报告
+### 安全性 (P0)
+| 检查项 | 状态 | 备注 |
+|--------|------|------|
+| SQL 注入 | ✅/❌ | |
+| XSS | ✅/❌ | |
+| 敏感信息 | ✅/❌ | |
+### 性能 (P1)
+| 检查项 | 状态 | 备注 |
+|--------|------|------|
+| N+1 查询 | ✅/❌ | |
+| 内存泄漏 | ✅/❌ | |
+### 错误处理 (P1)
+| 检查项 | 状态 | 备注 |
+|--------|------|------|
+| 异常捕获 | ✅/❌ | |
+| 降级策略 | ✅/❌ | |
+### 边界条件 (P1)
+| 检查项 | 状态 | 备注 |
+|--------|------|------|
+| 空值处理 | ✅/❌ | |
+| 超时设置 | ✅/❌ | |
+### 总结
+- P0 问题: X 个
+- P1 问题: X 个
+- P2 问题: X 个
+```

package/.claude/skills/shared-references/code-review-efficiency-guide.md ADDED Viewed

@@ -0,0 +1,125 @@
+# 代码审查效率指南 (Code Review Efficiency Guide)
+## 核心原则
+```
+小批量 + 高频率 > 大批量 + 低频率
+```
+---
+## 🔴 审查规模限制
+| 指标 | 推荐值 | 原因 |
+|------|--------|------|
+| 单次审查行数 | < 400 行 | 超过 400 行缺陷检出率下降 50% |
+| 单次审查时间 | < 60 分钟 | 注意力下降导致遗漏 |
+| 单次审查文件数 | < 10 个 | 上下文切换成本 |
+### 大型变更处理
+```
+大型变更 (> 400 行)
+       ↓
+拆分为多个小 PR
+       ↓
+按依赖顺序审查
+       ↓
+每个 PR 独立合并
+```
+---
+## 🔴 审查优先级
+| 优先级 | 关注点 | 时间分配 |
+|--------|--------|----------|
+| P0 | 安全漏洞、数据丢失风险 | 30% |
+| P1 | 逻辑错误、边界条件 | 30% |
+| P2 | 性能问题、资源泄漏 | 20% |
+| P3 | 代码风格、命名规范 | 10% |
+| P4 | 文档、注释 | 10% |
+---
+## 🔴 审查清单 (快速版)
+### 5 分钟快速审查
+- [ ] 变更目的清晰？
+- [ ] 无明显安全问题？
+- [ ] 无硬编码密钥？
+- [ ] 测试覆盖？
+### 15 分钟标准审查
+- [ ] 逻辑正确？
+- [ ] 边界条件处理？
+- [ ] 错误处理完整？
+- [ ] 无性能问题？
+- [ ] 代码可读？
+### 30 分钟深度审查
+- [ ] 架构合理？
+- [ ] 可扩展性？
+- [ ] 可维护性？
+- [ ] 测试充分？
+- [ ] 文档完整？
+---
+## 审查反馈技巧
+### 反馈分类
+| 类型 | 前缀 | 示例 |
+|------|------|------|
+| 必须修复 | `[MUST]` | `[MUST] 这里有 SQL 注入风险` |
+| 建议修改 | `[SHOULD]` | `[SHOULD] 建议添加空值检查` |
+| 可选优化 | `[COULD]` | `[COULD] 可以用 map 替代 for 循环` |
+| 疑问 | `[Q]` | `[Q] 这个逻辑的目的是什么？` |
+| 赞扬 | `[NICE]` | `[NICE] 这个抽象很优雅` |
+### 反馈原则
+| 原则 | 说明 |
+|------|------|
+| 对事不对人 | "这段代码" 而非 "你的代码" |
+| 提供建议 | 不只指出问题，还要给解决方案 |
+| 解释原因 | 说明为什么这样更好 |
+| 承认不确定 | "我不确定，但..." |
+---
+## 自动化辅助
+### 可自动化的检查
+| 检查项 | 工具 |
+|--------|------|
+| 代码格式 | Prettier, Black |
+| 静态分析 | ESLint, Pylint |
+| 类型检查 | TypeScript, mypy |
+| 安全扫描 | npm audit, bandit |
+| 测试覆盖 | Jest, pytest-cov |
+### 人工审查重点
+| 检查项 | 原因 |
+|--------|------|
+| 业务逻辑 | 需要领域知识 |
+| 架构决策 | 需要全局视角 |
+| 边界条件 | 需要创造性思维 |
+| 可读性 | 主观判断 |
+---
+## 审查效率指标
+| 指标 | 计算方式 | 目标 |
+|------|----------|------|
+| 审查速度 | 行数/小时 | 200-400 行/小时 |
+| 缺陷密度 | 缺陷数/千行 | 记录趋势 |
+| 审查覆盖率 | 已审查/总变更 | 100% |
+| 反馈响应时间 | 提交到首次反馈 | < 24 小时 |