npm - smart-commit-copilot-cli - Versions diffs - 0.1.5 → 0.1.6 - Mend

smart-commit-copilot-cli 0.1.5 → 0.1.6

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (149) hide show

package/src/code-review-skills/cpp-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,165 @@
+---
+name: cpp-code-reviewer
+review-domain: cpp
+description: "C++ 专项代码审查技能，用于开发者在 commit 前审查库、二进制与 CMake/Conan 等工程改动。围绕 RAII 与对象生命周期、并发与内存模型、未定义行为、异常与 noexcept 契约、模板与 API/ABI、构建与工具链等问题给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# C++ 代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `cpp` 且与当前 skill 匹配时，按本 skill 的 C++ 专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对 CMake 布局、工具链版本与部署拓扑的特有假设
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据竞争、可证未定义行为、资源双重释放、核心路径不可用 | 必须修复后才能提交 |
+| **P1** | 逻辑错误、功能异常、资源泄漏或异常安全破坏、明显性能/可靠性回退 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用 C++ 专项视角。
+- 当前 diff 主要是 `.cpp`/`.hpp` 等源文件、`CMakeLists.txt`、Conan/vcpkg 配置等改动时，使用 C++ 专项视角
+- 当前 diff 若明显偏前端、Java、Go、Python、PHP、Rust、C# 或类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了 C++ skill 就强行输出 C++ 专属问题
+### 2) 代码分析
+#### a) 内存、RAII 与生命周期
+加载 `references/memory-raii-and-lifetimes.md`，检查 `new`/`delete`、智能指针、容器与迭代器失效、悬垂引用/指针、析构顺序与对象状态。
+#### b) 并发与内存模型
+加载 `references/concurrency-and-atomics.md`，检查 `std::thread`、`mutex`/`lock_guard`、`atomic`、数据竞争、锁顺序与死锁风险。
+#### c) 未定义行为与安全
+加载 `references/undefined-behavior-and-safety.md`，检查 `const` 正确性、别名与 `reinterpret_cast`、有符号溢出假设、空指针与边界。
+#### d) 异常与错误模型
+加载 `references/exceptions-and-error-model.md`，检查 `noexcept` 契约、异常安全等级、析构与回调中的异常、错误码或 `std::expected` 等（若 diff 可见）。
+#### e) 模板、API 与 ABI
+加载 `references/templates-api-and-abi.md`，检查 `concept`/`requires`、SFINAE、`inline`/ODR、`pimpl`、可见性与二进制兼容性风险。
+#### f) 性能与热路径
+加载 `references/performance-and-hot-paths.md`，检查不必要拷贝、分配回退、算法复杂度、热路径锁竞争与缓存友好性。
+#### g) 构建与工具链（若适用）
+加载 `references/build-and-tooling.md`，仅在 diff 出现 CMake/编译数据库/静态分析配置时检查目标、链接、警告与 Sanitizer 相关选项是否合理。
+#### h) 通用工程基线补充
+完成 C++ 专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计，以及当 diff 包含删除时的冗余与残留引用。C++ 专项维度只负责语言、ABI 与工具链风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 内存、RAII 与生命周期 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 并发与内存模型 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | 未定义行为与安全 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 异常与错误模型 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 5 | 模板、API 与 ABI | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 6 | 性能与热路径 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 7 | 构建与工具链（若适用） | ✅ 无问题 / ⚠️ 存在问题（简述） / 不适用 |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜具体编译器版本或未出现在 diff 中的第三方库行为。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `memory-raii-and-lifetimes.md` | RAII、智能指针、迭代器失效、生命周期检查项 |
+| `concurrency-and-atomics.md` | 线程、互斥、原子与数据竞争检查项 |
+| `undefined-behavior-and-safety.md` | UB、别名、`const`、边界检查项 |
+| `exceptions-and-error-model.md` | 异常安全、`noexcept`、错误传播检查项 |
+| `templates-api-and-abi.md` | 模板、concept、ODR、API/ABI 检查项 |
+| `performance-and-hot-paths.md` | 热路径分配、拷贝、锁竞争与复杂度检查项 |
+| `build-and-tooling.md` | CMake、编译选项、静态分析配置检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/cpp-code-review/references/build-and-tooling.md ADDED Viewed

@@ -0,0 +1,12 @@
+# 构建与工具链检查清单
+## CMake 与目标
+- `add_library` / `target_link_libraries` 是否错误公开私有依赖、或链接顺序导致符号缺失（diff 可证）。
+- 是否关闭关键警告或全局降低警告等级而无注释说明风险。
+## 工具配置
+- `compile_commands.json`、`.clang-tidy` 等变更是否明显禁用重要检查项或误配包含路径导致静态分析失效。
+仅在 diff 涉及构建/配置文件时启用本清单；不臆测 CI 或未展示的生成器行为。

package/src/code-review-skills/cpp-code-review/references/concurrency-and-atomics.md ADDED Viewed

@@ -0,0 +1,14 @@
+# 并发与内存模型检查清单
+## 线程与同步
+- 新增跨线程共享可变状态是否缺少 `mutex`、`lock_guard`/`unique_lock` 或其它可证同步，导致数据竞争。
+- 锁顺序是否引入可证死锁（嵌套锁、多把锁交叉获取）。
+- 在持锁范围内是否调用可能重入或回调用户代码的路径，导致同锁再入或顺序反转。
+## 原子与可见性
+- 对非原子类型的跨线程读写是否依赖「可见性」而无同步；`volatile` 是否被误当作线程同步手段。
+- `memory_order` 使用是否明显过弱，导致发布/获取语义不足（仅在 diff 展示具体顺序时可证）。
+仅在 diff 能支撑结论时报告问题；不猜测运行时调度或硬件细节。

package/src/code-review-skills/cpp-code-review/references/exceptions-and-error-model.md ADDED Viewed

@@ -0,0 +1,16 @@
+# 异常与错误模型检查清单
+## noexcept 与析构
+- 标记为 `noexcept` 的函数、移动构造/赋值或析构中是否新增可能抛出的操作且无 `try`/降级策略。
+- 析构函数中是否抛出异常（违反语言规则与惯例）。
+## 异常安全等级
+- 提供强/基本保证的 API 是否在失败路径上留下损坏不变量、泄漏资源或部分构造对象未清理（diff 可证）。
+## 错误传播
+- 若 diff 使用错误码、`std::expected` 或 `Outcome` 式 API，是否混用未检查返回值与异常两种模型导致遗漏错误处理。
+仅在 diff 能支撑结论时报告问题；不猜测调用方是否捕获异常。

package/src/code-review-skills/cpp-code-review/references/memory-raii-and-lifetimes.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 内存、RAII 与生命周期检查清单
+## 裸资源与智能指针
+- 新增 `new` 是否缺少对应 `delete`、或错误配对（数组 `new[]` 与标量 `delete` 混用）且 diff 可证。
+- `std::unique_ptr` / `std::shared_ptr` 是否与原始指针双重拥有同一对象，或从已释放指针再构造智能指针。
+- 自定义析构或 `reset` 顺序是否可能导致仍被引用的子对象先被销毁。
+## 容器与迭代器
+- 在遍历容器的同时是否对该容器进行可能使迭代器失效的插入/删除/再分配，且未使用可证安全 API（如 `erase` 返回值）。
+- 返回指向局部容器或临时对象的指针/引用/视图（如 `string_view` 指向已销毁临时量）。
+## 悬垂与生命周期
+- 回调、异步或延后执行是否捕获指针/引用而 diff 显示其指向对象可能已析构。
+- `std::move` 后是否仍使用移出对象状态而未重新赋值或文档保证。
+仅在 diff 能支撑结论时报告问题；不推断未展示的调用链或完整类层次。

package/src/code-review-skills/cpp-code-review/references/performance-and-hot-paths.md ADDED Viewed

@@ -0,0 +1,16 @@
+# C++ 性能与热路径检查清单
+## 拷贝、移动与分配
+- 热路径上是否引入了可避免的大对象拷贝、重复构造或退化为堆分配的临时对象。
+- 容器增长、字符串拼接、`shared_ptr` 计数开销或类型擦除是否在 diff 可见范围内明显回退。
+## 算法与缓存友好性
+- 算法复杂度是否在关键路径上退化；是否把原本批处理或顺序访问改成高频随机访问。
+- 数据布局、迭代顺序与访问模式是否明显破坏缓存局部性或 SIMD 友好性。
+## 锁竞争与并行热路径
+- 热路径是否在粗粒度锁、频繁原子操作或不必要的同步上退化。
+- 现代 C++ 异步/协程路径中，生命周期、执行器假设与恢复点是否引入可证的性能或资源回退。

package/src/code-review-skills/cpp-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,41 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（逻辑崩溃、数据损坏、数据竞争、明显 UB） | 2.0-3.5 |
+| P0（安全漏洞、权限绕过、密钥泄露） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响全量请求、全局状态或所有调用方取下限；仅局部边界触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：可快速定位、低风险修复的问题可上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## C++ 语境硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 可证的未定义行为（越界、错误别名、`reinterpret_cast` 破坏类型安全等）-> 评分上限 2.5
+- 可证的数据竞争或未同步跨线程读写非原子共享状态 -> 评分上限 2.5
+- 在 `noexcept` 或析构路径中新增可能抛出的操作且无兜底 -> 评分上限 3.0
+- 裸 `new`/`delete` 配对错误或双重释放可证 -> 评分上限 2.5
+- 硬编码真实凭证或 secret 泄露 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 测试、bench、示例中的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |

package/src/code-review-skills/cpp-code-review/references/templates-api-and-abi.md ADDED Viewed

@@ -0,0 +1,13 @@
+# 模板、API 与 ABI 检查清单
+## 模板与约束
+- 模板或 `concept`/`requires` 约束是否与实现不一致，导致 SFINAE 或约束过宽/过窄在 diff 中可证错误。
+- 特化或偏特化是否破坏主模板文档约定或 ODR（同一模板在不同翻译单元定义不一致）。
+## API 可见性与演进
+- 公共头文件中是否意外扩大 ABI 表面（内联实现变更、新增虚函数、改变类布局）且 diff 显示会影响二进制兼容。
+- `pimpl` 或前向声明边界是否被破坏（在头文件中包含本应隐藏的实现细节）。
+仅在 diff 能支撑结论时报告问题；不推断未列出的链接单元或版本策略。

package/src/code-review-skills/cpp-code-review/references/undefined-behavior-and-safety.md ADDED Viewed

@@ -0,0 +1,18 @@
+# 未定义行为与安全检查清单
+## 别名与类型安全
+- `reinterpret_cast` 是否用于绕过类型系统且违反严格别名或可证对齐/生命周期要求。
+- `const_cast` 去掉底层 `const` 后是否写入原本应为只读的对象。
+## 边界与算术
+- 数组、`*_bound`/`at` 与裸指针算术是否在 diff 中显示可能越界或差一错误。
+- 有符号整数溢出是否被当作可依赖行为（C++ 中通常为 UB，除非使用明确安全类型或检查）。
+## 空指针与未初始化
+- 解引用前是否缺少可证非空检查，或从可能为空的 `optional`/指针直接取值。
+- 未初始化读取、未默认成员在 ctor 外使用是否在 diff 中可见。
+仅在 diff 能支撑结论时报告问题；不推断优化级别或编译器特有行为。

package/src/code-review-skills/csharp-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,159 @@
+---
+name: csharp-code-reviewer
+review-domain: csharp
+description: "C# / .NET 专项代码审查技能，用于开发者在 commit 前审查类库、服务与 Razor 等改动。围绕 IDisposable 与资源、异步与取消、可空与类型安全、异常与 API 契约、Web/EF 数据边界、并发同步等问题给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# C# 代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `csharp` 且与当前 skill 匹配时，按本 skill 的 C# / .NET 专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对运行时版本、部署拓扑与未出现在 diff 中的框架行为的特有假设
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据竞争、可证内存损坏、资源泄漏导致不可用、核心路径崩溃 | 必须修复后才能提交 |
+| **P1** | 逻辑错误、功能异常、异步/可空误用导致高概率故障、明显 API 契约破坏、明显性能/可靠性回退 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用 C# 专项视角。
+- 当前 diff 主要是 `.cs`、`.cshtml`、`.razor`、`.csproj` 等改动时，使用 C# 专项视角
+- 当前 diff 若明显偏前端、Java、Go、Python、PHP、Rust、C++ 或类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了 C# skill 就强行输出 C# 专属问题
+### 2) 代码分析
+#### a) 资源与非托管互操作
+加载 `references/memory-resources-and-interop.md`，检查 `IDisposable`、`using`/`await using`、`Span`/`Memory`、`unsafe` 与句柄生命周期。
+#### b) 异步与取消
+加载 `references/async-and-cancellation.md`，检查 `async`/`await`、取消令牌传播、阻塞异步 API、死锁风险。
+#### c) 可空与类型
+加载 `references/nullable-types-and-patterns.md`，检查可空引用类型、`null` 合并与模式匹配、泛型与 `record` 等可见契约。
+#### d) 异常与 API 契约
+加载 `references/exceptions-and-api-contracts.md`，检查异常使用、公共 API 演进与日志敏感信息。
+#### e) Web 与数据边界（若适用）
+加载 `references/web-data-and-security.md`，仅在 diff 出现 ASP.NET、EF 或序列化配置时检查授权、注入与数据访问边界。
+#### f) 并发与同步
+加载 `references/concurrency.md`，检查 `lock`、`Interlocked`、并发集合与 `Task` 使用是否合理。
+#### g) 通用工程基线补充
+完成 C# / .NET 专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计，以及当 diff 包含删除时的冗余与残留引用。C# 专项维度只负责运行时、框架与类型系统相关风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 资源与非托管互操作 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 异步与取消 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | 可空与类型 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 异常与 API 契约 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 5 | Web 与数据边界（若适用） | ✅ 无问题 / ⚠️ 存在问题（简述） / 不适用 |
+| 6 | 并发与同步 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜具体 .NET SDK 版本或未出现在 diff 中的第三方包行为。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `memory-resources-and-interop.md` | IDisposable、Span、unsafe、句柄检查项 |
+| `async-and-cancellation.md` | async/await、取消、阻塞与死锁检查项 |
+| `nullable-types-and-patterns.md` | 可空引用、模式与泛型契约检查项 |
+| `exceptions-and-api-contracts.md` | 异常、API 演进与日志检查项 |
+| `web-data-and-security.md` | ASP.NET、EF、序列化边界检查项 |
+| `concurrency.md` | lock、原子、并发集合与 Task 检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/csharp-code-review/references/async-and-cancellation.md ADDED Viewed

@@ -0,0 +1,16 @@
+# C# 异步与取消检查清单
+## async / await
+- `async void` 是否仅用于事件处理；业务路径是否误用导致异常无法向上传播。
+- 是否在无必要时阻塞异步 API（`.Result`、`.Wait()`、`GetAwaiter().GetResult()`），尤其在库或 ASP.NET 请求线程上。
+- `ConfigureAwait(false)` 在库代码中的使用是否与调用方同步上下文假设一致（diff 可见时判断）。
+## 取消与超时
+- 长时间运行的异步操作是否接受并传播 `CancellationToken`；取消后是否正确收尾资源。
+- 超时与取消是否区分语义，避免吞掉 `OperationCanceledException` 当普通失败。
+## 死锁与并发误用
+- 是否在同步方法中错误地等待未完成的同线程延续导致死锁风险。

package/src/code-review-skills/csharp-code-review/references/concurrency.md ADDED Viewed

@@ -0,0 +1,15 @@
+# C# 并发与同步检查清单
+## lock 与同步原语
+- `lock` 目标是否私有且稳定；是否存在可证的死锁（嵌套锁顺序、跨 await 持锁）。
+- `Monitor`、`Mutex`、信号量是否在失败路径释放。
+## 并发集合与原子
+- `ConcurrentDictionary` 等用法是否仍需要额外同步（复合操作）。
+- `Interlocked`、易失字段是否与内存可见性需求匹配。
+## 线程与 Task
+- 是否不必要地 `Task.Run` 包装纯 CPU 同步代码导致线程池压力；后台任务是否在宿主关闭时可取消。

package/src/code-review-skills/csharp-code-review/references/exceptions-and-api-contracts.md ADDED Viewed

@@ -0,0 +1,16 @@
+# C# 异常与 API 契约检查清单
+## 异常使用
+- 是否用异常控制常规流程；是否在热路径抛出可避免的异常。
+- `catch` 是否过宽并吞掉应传播的异常；`when` 过滤器是否合理。
+- `OperationCanceledException` / `TaskCanceledException` 是否与取消语义区分处理。
+## 公共 API 演进
+- 新增 `throw`、变更返回可空性、变更枚举值是否在 diff 中可证破坏二进制或源码兼容。
+- `Obsolete` 迁移路径是否清晰。
+## 日志与敏感信息
+- 异常消息或日志是否可能写入密钥、令牌或 PII（diff 可见时）。

package/src/code-review-skills/csharp-code-review/references/memory-resources-and-interop.md ADDED Viewed

@@ -0,0 +1,16 @@
+# C# 资源、非托管与边界检查清单
+## IDisposable 与释放
+- `using` / `await using` 是否覆盖所有需要释放的对象；是否存在可证泄漏路径。
+- 实现 `IDisposable` 的类型是否正确实现释放模式（`Dispose(bool)`、`GC.SuppressFinalize`），终结器是否仅作兜底且逻辑安全。
+- 重复 `Dispose` 是否仍安全（幂等）。
+## Span、Memory 与不安全代码
+- `Span<T>` / `ReadOnlySpan<T>` 是否越界或指向已释放缓冲区；`stackalloc` 与异步混用是否导致悬垂。
+- `unsafe` / `fixed` / 指针算术是否在 diff 可证范围内安全；`Marshal` 与句柄生命周期是否配对。
+## 终结器与顺序
+- 析构顺序依赖是否脆弱；是否依赖其他对象的终结器顺序（应避免）。

package/src/code-review-skills/csharp-code-review/references/nullable-types-and-patterns.md ADDED Viewed

@@ -0,0 +1,15 @@
+# C# 可空引用、类型与模式检查清单
+## 可空引用类型
+- `#nullable` 上下文与 `?`、`!` 使用是否与契约一致；是否引入可证的 `NullReferenceException` 路径。
+- 公共 API 是否用可空注解准确表达允许 null 的契约。
+## null 与模式
+- `?.`、`??`、`is null` 是否覆盖分支；是否误用 `!` 压制警告而无运行时保证。
+- `record` / `init` / 主构造函数等是否与不可变意图一致，是否暴露可突变状态。
+## 泛型与约束
+- 泛型约束是否足够；`default`、未约束泛型上的 `== null` 等是否语义正确。

package/src/code-review-skills/csharp-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,41 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（逻辑崩溃、数据损坏、数据竞争、可证资源泄漏） | 2.0-3.5 |
+| P0（安全漏洞、权限绕过、密钥泄露） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响全量请求、全局状态或所有调用方取下限；仅局部边界触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：可快速定位、低风险修复的问题可上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## C# / .NET 语境硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 可证的数据竞争、`lock` 跨越 `await` 导致未定义行为风险 -> 评分上限 2.5
+- Web/API 层可证的注入、越权或开放重定向 -> 评分上限 2.5
+- `unsafe` / P/Invoke 引入可证内存损坏或句柄泄漏 -> 评分上限 2.5
+- 公共库主路径新增无契约的 `throw` 或破坏可空契约导致调用方崩溃 -> 评分上限 3.0
+- 硬编码真实凭证或 secret 泄露 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 测试、示例中的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |

package/src/code-review-skills/csharp-code-review/references/web-data-and-security.md ADDED Viewed

@@ -0,0 +1,15 @@
+# C# Web、数据与边界检查清单（diff 可见时）
+## ASP.NET 与 HTTP
+- 模型绑定、路由与授权特性是否一致；是否绕过授权检查（如误用 `[AllowAnonymous]`）。
+- 用户输入是否在进入业务逻辑前完成校验与编码；重定向 URL 是否开放重定向风险。
+## EF 与数据访问
+- 原始 SQL / `FromSqlRaw` 是否引入拼接注入；是否 N+1 或可证的过度加载。
+- 敏感查询是否缺少过滤导致越权读取（diff 可证）。
+## 序列化与配置
+- JSON/XML 反序列化是否扩大攻击面（多态、未知类型）；配置密钥是否误入源码。