npm - smart-commit-copilot-cli - Versions diffs - 0.1.4 → 0.1.6 - Mend

smart-commit-copilot-cli 0.1.4 → 0.1.6

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (150) hide show

package/src/code-review-skills/php-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,159 @@
+---
+name: php-code-reviewer
+review-domain: php
+description: "PHP 专项代码审查技能，用于开发者在 commit 前审查 PHP 应用、库与测试改动。结合语言特性（类型、自动加载、超全局、魔法方法）、安全边界与请求生命周期，识别真实缺陷并给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# PHP 代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `php` 且与当前 skill 匹配时，按本 skill 的 PHP 专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对 PHP 版本、框架与运行拓扑的特有假设
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据损坏、必现 crash、核心路径不可用 | 必须修复后才能提交 |
+| **P1** | 逻辑错误、功能异常、明显性能/可靠性回退 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用 PHP 专项视角。
+- 当前 diff 主要是 `.php`/`.phtml`、Composer、PHPUnit 配置或典型 PHP 项目路径改动时，使用 PHP 专项视角
+- 当前 diff 若明显偏前端、Java、Golang、Python 或类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了 PHP skill 就强行输出 PHP 专属问题
+### 2) 代码分析
+#### a) 语言类型与自动加载
+加载 `references/language-types-and-autoload.md`，检查严格类型、属性与返回值、枚举、命名空间与 Composer 自动加载边界。
+#### b) 包含、超全局与作用域
+加载 `references/inclusion-superglobals-and-scope.md`，检查 include/require 路径、`$_GET` 等超全局使用、错误抑制与可变调用风险。
+#### c) OOP、魔法方法与错误语义
+加载 `references/oop-magic-and-errors.md`，检查魔法方法、序列化钩子、异常捕获范围与错误信息泄露。
+#### d) 安全与 I/O 边界
+加载 `references/security-and-io-boundary.md`，检查 SQL、XSS、路径与上传、反序列化、会话与命令/网络出口。
+#### e) 请求生命周期与运行时
+加载 `references/request-lifecycle-and-runtime.md`，检查 FPM 下全局状态、析构与 shutdown 路径、以及常驻运行时差异。
+#### f) 性能、数据访问与测试
+加载 `references/performance-data-access-and-testing.md`，检查性能回退、数据访问模式与测试质量。
+#### g) 通用工程基线补充
+完成 PHP 专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计，以及当 diff 包含删除时的冗余与残留引用。PHP 专项维度只负责语言特性、运行时与 I/O 边界风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 语言类型与自动加载 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 包含、超全局与作用域 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | OOP、魔法方法与错误语义 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 安全与 I/O 边界 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 5 | 请求生命周期与运行时 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 6 | 性能、数据访问与测试 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜 PHP 小版本、部署拓扑或业务规则。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `language-types-and-autoload.md` | 严格类型、属性/枚举、命名空间与 Composer 自动加载 |
+| `inclusion-superglobals-and-scope.md` | include 路径、超全局、错误抑制与可变调用 |
+| `oop-magic-and-errors.md` | 魔法方法、序列化、异常与错误语义 |
+| `security-and-io-boundary.md` | SQL、XSS、文件路径、上传、反序列化、会话与命令执行 |
+| `request-lifecycle-and-runtime.md` | FPM、常驻运行时、shutdown 与跨请求状态检查项 |
+| `performance-data-access-and-testing.md` | 性能、数据访问、框架可见层与测试检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/php-code-review/references/inclusion-superglobals-and-scope.md ADDED Viewed

@@ -0,0 +1,21 @@
+# 包含、超全局与作用域
+## include / require
+- `include` vs `require` 语义：失败时是否应中断；是否在循环中重复包含。
+- 路径是否基于 `__DIR__` / `__FILE__` 解析，避免依赖当前工作目录。
+- `include_once` / `require_once` 在可变路径场景下是否仍可能重复加载逻辑。
+## 超全局与输入
+- `$_GET`、`$_POST`、`$_REQUEST`、`$_SERVER`、`$_FILES`、`$_COOKIE` 的使用：是否未校验即进入业务逻辑或拼接查询。
+- `filter_input` / 框架 Request 抽象与原生超全局混用是否绕过统一校验。
+## 作用域与错误抑制
+- 全局变量、静态属性是否在 FPM 请求间泄漏状态（见专项「请求生命周期」交叉项）。
+- `@` 抑制错误是否掩盖安全或逻辑失败；是否应改为显式处理。
+## 可变调用
+- `$fn()`、`$class::$method`、`call_user_func` 与来自外部的类名/方法名字符串是否可投毒。

package/src/code-review-skills/php-code-review/references/language-types-and-autoload.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 语言类型与自动加载
+审查 diff 中可见的 PHP 语法与工程边界，不臆测未出现的版本号。
+## 类型与声明
+- `declare(strict_types=1)` 与文件内标量/返回值类型是否一致；可空、联合类型（8.0+）、`mixed`、`never` 使用是否合理。
+- 属性类型、提升属性（constructor promotion）、只读属性（8.2+ `readonly`）是否与构造与序列化路径冲突。
+- `enum`（8.1+）分支是否穷尽； backed enum 与外部输入互转是否校验。
+## 命名空间与 use
+- `namespace` / `use` 是否引入歧义或错误别名；类名解析是否与自动加载约定一致。
+- 同一符号多次 `use`、条件 `class_exists` 与动态 `new $class` 的可控性。
+## Composer 与自动加载
+- `composer.json` / `composer.lock` 变更：约束范围、最低版本、废弃包、autoload `files` 过度加载。
+- PSR-4 路径与真实目录是否可能错位（审查 diff 中可见路径即可）。

package/src/code-review-skills/php-code-review/references/oop-magic-and-errors.md ADDED Viewed

@@ -0,0 +1,17 @@
+# OOP、魔法方法与错误语义
+## 魔法方法
+- `__get` / `__set` / `__isset` / `__unset`：是否造成无限递归、意外懒加载副作用或绕过类型约束。
+- `__call` / `__callStatic`：是否将不可信方法名转发到危险操作。
+- `__toString`：是否抛异常（PHP 7.4+ 前行为差异）、是否触发重逻辑或 I/O。
+- `__destruct`：是否抛异常、是否依赖已销毁资源、是否在请求结束时做非幂等写操作。
+## 序列化
+- `__sleep` / `__wakeup` / `__serialize` / `__unserialize`：与 `Serializable` 遗留接口混用风险；反序列化入口是否暴露给不可信数据。
+## 异常与错误
+- `try/catch/finally` 是否吞掉应向上传播的异常；`Throwable` vs `Exception` 捕获范围是否过宽。
+- 用户错误（TypeError、ArgumentCountError）与业务异常是否区分；错误消息是否泄露内部路径或查询。

package/src/code-review-skills/php-code-review/references/performance-data-access-and-testing.md ADDED Viewed

@@ -0,0 +1,16 @@
+# 性能、数据访问与测试检查清单
+## 性能与数据访问
+- 循环内查询、N+1、大数组物化与 `array_*` 在大集合上的复杂度是否明显退化。
+- OPcache 无关的明显低效是否出现在 diff 中，例如重复文件读取、同步远程调用无超时或重复序列化。
+## 框架可见层（仅 diff 可支撑时）
+- Laravel：`Route` 闭包过重、中间件顺序、`Eloquent` 批量赋值、`$guarded`/`$fillable`、N+1 与 `lazy` 是否合理。
+- Symfony：DI 配置、Form 与 CSRF、EntityManager flush 边界是否引入明显风险。
+## 测试
+- PHPUnit / Pest：断言是否稳定；`Mockery` 期望未验证；测试污染全局（`$_SERVER` 等）是否恢复。
+- 关键失败路径、异常分支与跨请求状态回归是否有最小测试或可复现用例。

package/src/code-review-skills/php-code-review/references/request-lifecycle-and-runtime.md ADDED Viewed

@@ -0,0 +1,15 @@
+# 请求生命周期与运行时检查清单
+## FPM 与跨请求状态
+- 单例、静态缓存、进程级全局是否持有用户或请求级数据导致串扰。
+- `register_shutdown_function`、析构阶段写库、发请求或补偿逻辑是否依赖不稳定的进程退出时机。
+## 常驻运行时（仅当 diff 体现 Swoole/RoadRunner/ReactPHP 等）
+- Worker、协程、连接池、定时器与容器对象是否在请求结束后正确重置，避免状态泄漏到下一次请求。
+- 不要在通用 PHP-FPM 假设上强行审查常驻运行时；仅在 diff 可见时指出相关问题。
+## 边界判断
+- 仅在 diff 可明确体现运行时模型、请求生命周期与全局状态路径时输出正式问题，避免猜测部署拓扑。

package/src/code-review-skills/php-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,39 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（crash、数据损坏） | 2.0-3.5 |
+| P0（安全漏洞、认证绕过） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响所有用户取下限，仅边界场景触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：出问题后可以快速定位修复，可在区间内上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## 硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 核心流程不可用 -> 评分上限 2.5
+- 跨请求状态污染或 FPM/Worker 全局残留导致用户数据串扰 -> 评分上限 2.5
+- 硬编码真实 credentials 或 secret 泄露 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 测试文件的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |

package/src/code-review-skills/php-code-review/references/security-and-io-boundary.md ADDED Viewed

@@ -0,0 +1,24 @@
+# 安全与 I/O 边界
+## SQL
+- 字符串拼接 SQL；预处理语句占位与动态列名/表名白名单。
+- 多语句、存储过程调用与权限最小化（diff 可见时）。
+## 输出与 XSS
+- `echo` / 模板输出是否转义；Blade `{!! !!}`、Twig `|raw` 等未转义出口是否与用户可控数据结合。
+## 路径与文件
+- `file_get_contents`、`fopen`、`include` 路径是否穿越（`..`）或来自用户输入未规范化。
+- 上传：`$_FILES` 类型与扩展名、MIME、存储路径、可执行扩展名。
+## 反序列化与会话
+- `unserialize` 对不可信数据；`allowed_classes` 选项是否使用。
+- `session_*` 配置、固定会话、Cookie 参数（`httponly`、`secure`、`samesite`）在 diff 可见时的合理性。
+## 命令与网络
+- `shell_exec`、`proc_open`、`passthru` 与参数注入；`curl` / `file_get_contents` 对 URL 的 SSRF 面。

package/src/code-review-skills/python-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,147 @@
+---
+name: python-code-reviewer
+review-domain: python
+description: "Python 专项代码审查技能，用于开发者在 commit 前审查 Python 应用、脚本与测试改动。重点识别真实缺陷、异常处理遗漏、安全漏洞、性能回退与可维护性问题，给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# Python 代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `python` 且与当前 skill 匹配时，按本 skill 的 Python 专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对 Python 框架和运行环境的特有假设
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据损坏、必现 crash、核心路径不可用 | 必须修复后才能提交 |
+| **P1** | 逻辑错误、功能异常、明显性能/可靠性回退 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用 Python 专项视角。
+- 当前 diff 主要是 `.py`、Python 依赖与项目配置改动时，使用 Python 专项视角
+- 当前 diff 若明显偏前端、Java、Golang 或类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了 Python skill 就强行输出 Python 专属问题
+### 2) 代码分析
+#### a) 异常与资源生命周期
+加载 `references/exception-and-lifecycle.md`，检查异常传播、错误语义一致性、资源释放、上下文管理与并发生命周期边界。
+#### b) 输入与数据安全
+加载 `references/input-and-data-security.md`，重点关注命令执行、反序列化、路径处理、鉴权边界、敏感数据泄露与注入风险。
+#### c) 性能与资源效率
+加载 `references/performance-and-resource-usage.md`，检查算法复杂度、循环开销、I/O、数据库访问模式、并发模型与内存占用。
+#### d) 可维护性与测试策略
+加载 `references/maintainability-and-testing.md`，检查职责边界、命名与可读性、接口演进、类型提示与测试覆盖质量。
+#### e) 通用工程基线补充
+完成 Python 专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计，以及当 diff 包含删除时的冗余与残留引用。Python 专项维度负责语言、运行时与服务端边界风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 异常与资源生命周期 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 输入与数据安全 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | 性能与资源效率 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 可维护性与测试策略 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜项目框架、运行环境或业务规则。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `exception-and-lifecycle.md` | 异常传播、资源释放、上下文管理与生命周期风险检查项 |
+| `input-and-data-security.md` | 输入校验、注入风险、鉴权边界与敏感数据保护检查项 |
+| `performance-and-resource-usage.md` | 算法复杂度、I/O 模式、并发模型与资源效率检查项 |
+| `maintainability-and-testing.md` | 可读性、职责拆分、接口演进与测试策略检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/python-code-review/references/exception-and-lifecycle.md ADDED Viewed

@@ -0,0 +1,15 @@
+# 异常与资源生命周期检查清单
+## 异常传播与错误语义
+- 输入参数、空值、边界值是否有明确处理。
+- 返回值类型和错误语义是否一致，避免吞异常或误捕获。
+- 时间、时区、编码、浮点比较等边界是否处理正确。
+- 异常链路是否可观测，日志是否保留定位信息且不泄露敏感数据。
+## 资源管理与生命周期
+- 文件、网络、数据库连接是否保证关闭（context manager/finally）。
+- 重试、超时、熔断策略是否合理，避免无限重试与资源放大。
+- 并发场景下共享状态、锁和竞态条件是否被正确处理。
+- 协程/线程池任务是否可取消、可收敛，避免泄漏与悬挂任务。

package/src/code-review-skills/python-code-review/references/input-and-data-security.md ADDED Viewed

@@ -0,0 +1,20 @@
+# 输入与数据安全检查清单
+## 输入与注入风险
+- 是否直接拼接用户输入到 SQL、命令行、模板或解释器执行语句。
+- 子进程调用是否避免 `shell=True`，参数是否做白名单校验。
+- 路径处理是否防止目录穿越（如 `../`）和任意文件访问。
+- 反序列化是否使用安全格式，避免加载不可信 pickle/yaml 对象。
+## 鉴权与权限边界
+- 鉴权逻辑是否在服务端强制执行，避免仅前端控制。
+- 权限边界是否正确，是否存在越权读写。
+- 错误信息是否暴露内部实现细节、堆栈或敏感配置。
+## 敏感数据保护
+- token、密钥、凭据是否被硬编码或写入日志。
+- 敏感字段是否最小化收集、传输和存储。
+- 临时文件、缓存和调试输出是否可能泄露个人信息或商业机密。

package/src/code-review-skills/python-code-review/references/maintainability-and-testing.md ADDED Viewed

@@ -0,0 +1,21 @@
+# 可维护性与测试策略检查清单
+## 可维护性与设计边界
+- 函数和类职责是否清晰，是否存在过长函数和隐式副作用。
+- 命名是否表达意图，是否避免单字母变量和歧义缩写。
+- 复杂分支是否可读，是否适合拆分为可测试单元。
+- 新增公共接口是否有最小必要注释与类型提示。
+## 接口演进与兼容性
+- 公开 API 的输入输出契约是否清晰且保持兼容。
+- 默认值、可选参数和异常语义是否与历史行为一致。
+- 配置项、环境变量和开关语义是否明确，避免隐式破坏。
+## 测试策略与回归防护
+- 新增逻辑是否有对应单测，关键分支是否覆盖。
+- 异常分支和失败路径是否有测试。
+- 测试是否稳定且无随机失败风险。
+- 关键回归场景是否具备最小可复现用例。

package/src/code-review-skills/python-code-review/references/performance-and-resource-usage.md ADDED Viewed

@@ -0,0 +1,21 @@
+# 性能与资源效率检查清单
+## 算法与数据结构
+- 是否在热点路径使用了明显低效的数据结构或算法。
+- 循环内是否有可外提的重复计算。
+- 列表/字典构建是否存在不必要拷贝或重复转换。
+## I/O 与外部依赖
+- 数据库调用是否存在 N+1 查询或重复请求。
+- 文件与网络 I/O 是否批量化，是否避免阻塞关键路径。
+- 大对象读取是否使用流式处理，避免一次性加载。
+- 重试策略是否导致雪崩或资源放大。
+## 并发与资源效率
+- CPU 密集任务是否错误放在单线程串行路径。
+- 协程/线程池使用是否合理，是否存在饥饿或泄漏风险。
+- 内存占用是否受控，缓存是否有淘汰策略。
+- 临时对象生命周期是否过长，是否可能导致峰值内存抖动。

package/src/code-review-skills/python-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,38 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（crash、数据损坏） | 2.0-3.5 |
+| P0（安全漏洞、认证绕过） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响所有用户取下限，仅边界场景触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：出问题后可以快速定位修复，可在区间内上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## 硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 核心流程不可用 -> 评分上限 2.5
+- 硬编码真实 credentials 或 secret 泄露 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 测试文件的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |