npm - smart-commit-copilot-cli - Versions diffs - 0.1.5 → 0.1.7 - Mend

smart-commit-copilot-cli 0.1.5 → 0.1.7

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (168) hide show

package/src/code-review-skills/java-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,153 @@
+---
+name: java-code-reviewer
+review-domain: java
+description: "Java 专项代码审查技能，用于开发者在 commit 前审查 Java/Kotlin 服务、库与测试改动。重点识别并发与事务边界、异常与资源生命周期、接口与 API 契约、安全边界与性能回退，给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# Java 代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `java` 且与当前 skill 匹配时，按本 skill 的 Java 专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对 JVM、Spring 生态与部署拓扑的特有假设
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据损坏、必现崩溃、核心路径不可用 | 必须修复后才能提交 |
+| **P1** | 逻辑错误、功能异常、并发/资源泄漏、明显性能/可靠性回退 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用 Java 专项视角。
+- 当前 diff 主要是 `.java`、`.kt`、典型 Maven/Gradle 配置或 JVM 相关改动时，使用 Java 专项视角
+- 当前 diff 若明显偏前端、Python、Golang 或类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了 Java skill 就强行输出 Java 专属问题
+### 2) 代码分析
+#### a) 并发与资源生命周期
+加载 `references/concurrency-and-lifecycle.md`，检查线程安全、锁与可见性、`ExecutorService` 生命周期、异步回调中的上下文、I/O 与连接关闭。
+#### b) 异常处理与可靠性
+加载 `references/error-handling-and-reliability.md`，重点关注异常语义、错误传播、可恢复与不可恢复边界、日志与可观测性、超时与重试。
+#### c) 接口契约与可维护性
+加载 `references/api-contract-and-maintainability.md`，检查公开 API 兼容性、null 与 Optional 使用、DTO 与序列化边界、Spring/Web 层契约与可读性。
+#### d) 安全与信任边界
+加载 `references/security-and-trust-boundary.md`，检查鉴权边界、注入、SSRF、敏感日志与多租户/跨租户数据访问风险。
+#### e) 性能与资源效率
+加载 `references/performance-and-resource-usage.md`，检查集合与 Stream 使用、数据库访问模式、缓存一致性、大对象与热路径开销。
+#### f) 通用工程基线补充
+完成 Java 专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计，以及当 diff 包含删除时的冗余与残留引用。Java 专项维度只负责 JVM、服务边界与序列化相关风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 并发与资源生命周期 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 异常处理与可靠性 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | 接口契约与可维护性 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 安全与信任边界 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 5 | 性能与资源效率 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜项目框架、运行环境或业务规则。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `concurrency-and-lifecycle.md` | 线程安全、锁、异步任务与资源关闭检查项 |
+| `error-handling-and-reliability.md` | 异常语义、超时重试与可观测性检查项 |
+| `api-contract-and-maintainability.md` | API 契约、null、序列化与可读性检查项 |
+| `security-and-trust-boundary.md` | 鉴权、注入、SSRF 与敏感数据边界检查项 |
+| `performance-and-resource-usage.md` | 集合、数据库与缓存相关性能检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/java-code-review/references/api-contract-and-maintainability.md ADDED Viewed

@@ -0,0 +1,22 @@
+# Java 接口契约与可维护性检查清单
+## 公开 API 与兼容性
+- 对外接口（REST path、请求/响应 DTO、公开库 API）变更是否破坏向后兼容（删除字段、改语义、改 HTTP 状态约定）。
+- 序列化边界（JSON/XML）是否与 `record`/getter 命名、注解一致，避免静默字段丢失。
+## Spring / Web 层（仅当 diff 呈现相关注解或类型时）
+- 控制器方法参数校验是否缺失（`@Valid`、`@NotNull` 等与 DTO 是否匹配）。
+- `GET` 是否误带 body；`POST` 幂等与安全头是否在明显错误时出现。
+- 路径变量与查询参数是否与权限注解或业务假设一致（仅当 diff 可证时）。
+## 可读性与职责
+- 方法过长或类职责过多是否在本次变更中明显恶化。
+- 魔法数字与字符串是否应在常量或配置中集中（仅当重复或高风险时指出）。
+## 测试与可维护性
+- 关键分支或回归点是否在 diff 中缺少对应测试更新。
+- 测试是否依赖顺序、全局可变状态或真实外部服务且无隔离（diff 可见时）。

package/src/code-review-skills/java-code-review/references/concurrency-and-lifecycle.md ADDED Viewed

@@ -0,0 +1,27 @@
+# Java 并发与资源生命周期检查清单
+## 线程安全与可见性
+- 共享可变状态是否在无同步或错误同步下被多线程访问；`volatile` 是否误用于复合操作。
+- 单例或缓存是否为双重检查锁定等模式正确发布；`static` 可变集合是否被并发修改。
+- `synchronized` / `ReentrantLock` 临界区是否过大、是否存在锁顺序反转导致死锁的路径。
+## 异步与执行器
+- `ExecutorService`、`ScheduledExecutorService` 是否在应用生命周期内正确关闭，避免线程泄漏。
+- `CompletableFuture` 链是否指定合适执行器，避免在公共线程池上阻塞 I/O。
+- 异步回调中是否误用已结束的请求上下文（如已关闭的 `HttpServletRequest` 属性）。
+## 事务与边界（仅在 diff 可见时判断）
+- 长耗时或外部 I/O 是否被包在事务边界内导致连接占用过长（仅当代码明确呈现事务注解或模板用法时指出）。
+- 同类内自调用是否绕过代理导致事务失效（仅当 diff 能体现该结构时指出）。
+## 资源关闭
+- `InputStream` / `OutputStream` / `Connection` / `Statement` 等是否在异常路径上关闭；优先检查 `try-with-resources` 是否覆盖所有出口。
+- 实现 `AutoCloseable` 的客户端是否在 `finally` 或 try-with-resources 中关闭。
+## 可观测性
+- 并发失败路径是否保留可关联的 trace/request id（不泄露敏感载荷）。

package/src/code-review-skills/java-code-review/references/error-handling-and-reliability.md ADDED Viewed

@@ -0,0 +1,25 @@
+# Java 异常处理与可靠性检查清单
+## 异常语义
+- `catch (Exception)` 或 `catch (Throwable)` 是否吞掉关键错误或未重新抛出合适类型。
+- 业务异常与系统异常是否混淆，导致调用方无法区分可重试与不可重试失败。
+- 是否在不该抛出 checked exception 的层向上泄漏实现细节。
+## 错误传播与包装
+- 链式 cause 是否在包装时保留（`initCause` / 构造传入 cause），避免丢失根因栈。
+- 是否在日志中重复记录同一异常（同一请求路径多层 `log.error`）。
+## 超时与重试
+- 对外部调用（HTTP、消息、DB）是否在 diff 中呈现无限等待或缺失超时配置。
+- 重试是否缺少退避或幂等前提，可能导致重复副作用（仅当 diff 能支撑该结论时指出）。
+## 日志与敏感数据
+- 是否在异常或日志中输出 token、密码、完整 PII；堆栈是否在生产配置下泄露内部路径。
+## Optional 与 null
+- 是否对可能为 null 的返回值在未校验下解引用；`Optional` 是否用作字段或方法参数反模式（仅当明显时指出）。

package/src/code-review-skills/java-code-review/references/performance-and-resource-usage.md ADDED Viewed

@@ -0,0 +1,23 @@
+# Java 性能与资源效率检查清单
+## 集合与算法
+- 是否在热路径上对 `List` 做线性 `contains`/`remove`，应考虑 `Set`/`Map`（diff 能体现规模或循环时）。
+- 是否在循环内创建可避免的大对象或重复编译 Pattern。
+## Stream 与惰性
+- Stream 链是否在需要短路或限制处缺少 `limit`；是否在并行流上误用阻塞 I/O。
+## 数据访问
+- 是否在循环中执行查询或远程调用（N+1），diff 呈现明显嵌套调用时指出。
+- 批量操作是否误用逐条 insert/update；连接是否长时间持有。
+## 缓存
+- 缓存 key 是否可能冲突；失效策略是否与写路径一致（仅当 diff 呈现缓存读写时）。
+## 内存与 I/O
+- 是否一次性加载过大集合或文件到内存；大响应是否缺少流式处理（diff 可见时）。

package/src/code-review-skills/java-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,40 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（崩溃、数据损坏） | 2.0-3.5 |
+| P0（安全漏洞、权限绕过） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响全量请求或核心链路取下限，仅边界场景触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：可快速定位、低风险修复的问题可上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## Java 语境硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 核心服务主路径不可用 -> 评分上限 2.5
+- 线程/连接池明确泄漏且会持续放大 -> 评分上限 3.0
+- Web/API 层可证的注入、越权、SSRF 或开放重定向 -> 评分上限 2.5
+- 硬编码真实 credentials 或 secret 泄露 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 测试文件的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |

package/src/code-review-skills/java-code-review/references/security-and-trust-boundary.md ADDED Viewed

@@ -0,0 +1,20 @@
+# Java 安全与信任边界检查清单
+## 鉴权与租户边界
+- 控制器、服务层、批处理任务与异步消费者是否在服务端强制执行鉴权、资源归属或租户隔离校验。
+- Repository 查询、缓存键、批量更新与导出路径是否遗漏租户/用户范围约束，导致越权或跨租户读取。
+## 输入、注入与外部调用
+- SQL、JPQL、SpEL、命令、模板或路径拼接是否引入注入风险；动态查询是否仍保持参数化。
+- 对外部 URL、Webhook、回调地址、对象存储重定向或代理目标的访问是否可能引入 SSRF 或开放重定向。
+## 序列化、日志与敏感信息
+- JSON/XML 反序列化配置是否扩大攻击面；多态类型、默认 typing 或未知字段处理是否带来不可信输入风险。
+- 日志、异常、trace 属性或审计事件是否写入 token、密钥、完整 PII 或受保护业务字段。
+## 边界判断
+- 仅在 diff 可明确体现信任边界、输入来源与输出路径时输出正式安全问题，避免脱离上下文猜测部署拓扑或 Spring 默认配置。

package/src/code-review-skills/mobile-code-review/SKILL.md ADDED Viewed

@@ -0,0 +1,171 @@
+---
+name: mobile-code-reviewer
+review-domain: mobile
+description: "移动端专项代码审查技能，用于开发者在 commit 前审查 Android、iOS、Flutter、React Native、UniApp 等客户端与跨平台改动。重点识别生命周期、导航、异步副作用、权限与存储、性能与资源释放、弱网与设备状态下的真实缺陷，给出可执行修复建议。默认只输出审查结论，不直接修改代码。"
+---
+# 移动端代码审查
+## 问题门槛
+每条问题必须满足以下三点，否则不输出：
+1. **可定位**：能指向具体文件和新增行号
+2. **可自证**：仅凭当前 diff 和可见上下文即可成立，不依赖 diff 之外的假设
+3. **可修复**：给出具体修复方案，而非泛泛建议
+同一根因的多处表现合并为一条，不重复列举。
+## 审查模式
+你会收到一段共享的 diff 类型识别结果。
+- 当识别结果为 `mobile` 且与当前 skill 匹配时，按本 skill 的移动端专项标准审查
+- 当识别结果与当前 skill 不匹配时，不要提示用户选错了 skill，也不要中止审查
+- 不匹配时继续使用同一输出格式，但按现有通用 `code-review` 审查基线做稳妥审查
+- 不匹配时减少对 DOM、hydration、浏览器运行时、服务端渲染以及特定平台框架细节的假设
+## 适用范围
+本 skill 适用于以下客户端与跨平台改动：
+- Android 原生
+- iOS 原生
+- Flutter
+- React Native
+- UniApp
+优先关注用户可见功能、页面栈与导航、应用生命周期、异步状态、端侧存储、权限边界、崩溃风险与设备条件变化。
+## 严重级别
+| 等级 | 含义 | 处理 |
+|------|------|------|
+| **P0** | 安全漏洞、数据损坏、必现 crash、核心页面不可用、权限边界明显失守 | 必须修复后才能提交 |
+| **P1** | 主流程功能错误、状态恢复或导航失效、明显性能或稳定性回退、弱网下高概率失败 | 提交前修复 |
+| **P2** | 可维护性问题、测试不足、次级设备条件边界缺失、非阻塞设计问题 | 当前批次修复或登记后续任务 |
+| **P3** | 次要改进 | 可选 |
+## 工作流
+### 1) 确认审查范围
+先关注共享分类结果、`changedFiles` 与 diff 本身，再决定本次是否使用移动端专项视角。
+- 当前 diff 主要是 Android/iOS/Flutter/RN/UniApp 页面、导航、生命周期、权限、存储或端侧资源管理改动时，使用移动端专项视角
+- 当前 diff 若明显偏 Web 前端、后端、数据库或语言类型不匹配，则直接回到通用稳妥审查
+- 不因为用户选择了移动端 skill 就强行输出移动端专属问题
+### 2) 代码分析
+#### a) 生命周期与导航
+加载 `references/lifecycle-and-navigation.md`，检查页面挂载/卸载、前后台切换、订阅与监听释放、页面栈/返回栈、深链与路由状态是否一致。
+#### b) 异步状态与副作用
+加载 `references/async-state-and-side-effects.md`，重点关注请求竞态、取消与去重、重复提交、组件销毁后回调、状态回写时序与副作用泄漏。
+#### c) 存储、权限与安全边界
+加载 `references/storage-permissions-and-security.md`，检查本地存储、token/敏感信息、权限申请与拒绝分支、WebView/bridge、文件与剪贴板等边界。
+#### d) 性能与资源管理
+加载 `references/performance-and-resource-management.md`，检查列表与图片、线程/协程/定时器、重渲染、内存占用、资源释放、电量与启动开销。
+#### e) 设备条件与稳健性
+加载 `references/resilience-and-device-conditions.md`，检查弱网、离线、系统回收、屏幕旋转、应用恢复、不同设备能力与异常恢复路径。
+#### f) 测试与回归防护
+加载 `references/testing-and-regression-coverage.md`，检查主导航、权限拒绝、弱网/离线、恢复流程与关键回归路径是否具备最小测试防护。
+#### g) 通用工程基线补充
+完成移动端专项检查后，补充对通用 `code-review` 的以下基线检查：架构与设计、测试质量，以及当 diff 包含删除时的冗余与残留引用。移动端专项维度只负责客户端生命周期、端侧状态与设备条件风险，不替代通用工程审查。
+### 3) 整理问题列表
+确认每条问题满足门槛（可定位、可自证、可修复）。同一根因的多处表现合并为一条。不为凑数量降低标准。
+### 4) 评分
+加载 `references/scoring-guide.md`，**每次审查必须根据该指南给出具体评分**：先按最严重问题确定基准区间，再按影响广度、问题数量、可逆性在区间内微调，最终输出一个具体分值（如 8.5、7.0），不得只写区间或省略评分；纯文件删除时记为 N/A。
+### 5) 输出格式
+按以下格式输出：
+```markdown
+## 审查摘要
+**审查范围**：X 个文件，Y 行新增
+**评分**：X / 10（必须为具体分值，如 8.5；仅纯删除时为 N/A）
+**提交建议**：✅ 可以提交 / ✅ 可以提交，跟进修复 / 🔧 修复后提交 / 🚫 禁止提交
+**问题统计**：P0 × 个 / P1 × 个 / P2 × 个 / P3 × 个
+---
+## 各维度结果
+| # | 维度 | 结论 |
+|---|------|------|
+| 1 | 生命周期与导航 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 2 | 异步状态与副作用 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 3 | 存储、权限与安全边界 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 4 | 性能与资源管理 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 5 | 设备条件与稳健性 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+| 6 | 测试与回归防护 | ✅ 无问题 / ⚠️ 存在问题（简述） |
+---
+## 问题列表
+### P0 🔴 严重
+无
+### P1 🟠 高
+1. **[文件:行号] 问题标题**
+   - **问题**：一句话说明是什么问题
+   - **影响**：一句话说明会导致什么后果
+   - **修复**：具体方案
+### P2 🟡 中
+无
+### P3 🟢 低
+无
+---
+## 总体评价
+2-3 句话说明是否建议提交，以及还需要哪些修复或跟进。
+```
+**输出规则：**
+- 每次审查必须在「审查摘要」中给出根据 `references/scoring-guide.md` 计算的具体评分（X / 10），不得省略。
+- 直接给问题，不写前言铺垫。
+- 每条问题写清楚：位置、问题是什么、影响是什么、如何修复。
+- 只在有明确代码路径支撑时输出问题，不猜项目框架、运行环境或业务规则。
+- 如果共享分类结果提示应回到通用审查，则按通用基线保守审查，但仍然使用本 skill 的统一输出结构。
+- 禁止在模板之外添加"亮点"、"优点"、"表扬"等额外章节。
+- `## 总体评价` 只写 2-3 句连续段落，不用列表或子标题。
+## 参考文件
+| 文件 | 用途 |
+|------|------|
+| `lifecycle-and-navigation.md` | 生命周期、导航栈、订阅清理与页面一致性检查项 |
+| `async-state-and-side-effects.md` | 请求竞态、取消、重复提交与状态回写检查项 |
+| `storage-permissions-and-security.md` | 存储、权限、敏感数据与桥接边界检查项 |
+| `performance-and-resource-management.md` | 性能、内存、线程/协程、图片与资源释放检查项 |
+| `resilience-and-device-conditions.md` | 弱网、离线、恢复、设备条件变化与异常恢复检查项 |
+| `testing-and-regression-coverage.md` | 导航、权限、弱网与恢复路径的测试防护检查项 |
+| `scoring-guide.md` | 评分模型、区间规则和提交建议 |

package/src/code-review-skills/mobile-code-review/references/async-state-and-side-effects.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 移动端异步状态与副作用检查清单
+## 请求与竞态
+- 同一操作是否可能被重复点击、重复触发或并发触发，导致重复提交、重复导航或状态覆盖。
+- 新请求开始后，旧请求结果是否仍可能回写到当前页面，造成数据倒灌或闪烁。
+- 取消、超时、重试与失败分支是否区分处理，而不是全部吞掉或统一提示成功。
+## 状态一致性
+- loading、disabled、error、empty、success 等状态切换是否完整，是否存在缺少兜底恢复的路径。
+- 组件卸载后是否仍调用 `setState`、`notifyListeners`、`emit`、`setData` 或等价更新操作。
+- 本地 optimistic update 失败后，是否正确回滚而不是把错误状态留在界面上。
+## 副作用管理
+- effect、hook、watcher、listener、coroutine、task 是否会因为依赖变化或多次进入页面而重复注册。
+- 副作用是否依赖过期闭包、旧参数或旧上下文，导致回调使用陈旧数据。
+- 异步链路中的异常是否被记录并反馈给用户，而不是静默失败。

package/src/code-review-skills/mobile-code-review/references/lifecycle-and-navigation.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 移动端生命周期与导航检查清单
+## 生命周期
+- 页面、组件、Activity、ViewController 或订阅对象销毁后，是否仍可能收到异步回调并继续更新状态。
+- 监听器、通知、广播、事件总线、定时器、observer、stream subscription 是否在卸载时清理。
+- 前后台切换、系统回收、热重载或页面重建后，状态是否会丢失、重复初始化或重复触发副作用。
+## 导航与页面栈
+- push / replace / pop / dismiss / navigateBack 之后，页面栈是否与业务预期一致。
+- 返回手势、物理返回键、导航栏返回与自定义关闭动作是否保持一致。
+- 深链、路由参数、tab 切换或嵌套路由下，是否存在必需参数缺失、空值或错误恢复路径。
+## 可见性与页面恢复
+- 页面重新显示时，是否错误复用旧数据或漏掉必要刷新。
+- 页面不可见后仍持续占用资源（摄像头、定位、蓝牙、音频、动画、轮询）。
+- 系统中断后恢复时，是否保留了错误的 loading、禁用态或半完成表单状态。

package/src/code-review-skills/mobile-code-review/references/performance-and-resource-management.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 移动端性能与资源管理检查清单
+## 渲染与交互性能
+- 长列表、图片墙、动画与手势是否缺少分页、虚拟化、节流、防抖或缓存，导致明显掉帧。
+- 是否在热路径重复创建大对象、重复序列化、重复计算样式或重复触发昂贵渲染。
+- 图片、视频、Lottie、地图等重资源是否有尺寸控制、懒加载、占位和失败回退。
+## 资源释放
+- 定时器、协程、线程、handler、notification observer、stream、subscription、camera、location 等是否及时释放。
+- 页面退出后是否仍保留大对象引用、闭包或 context，导致内存泄漏。
+- 后台任务与前台 UI 生命周期是否正确解绑，避免页面销毁后仍占用 CPU、电量或网络。
+## 启动与稳定性
+- 初始化逻辑是否被放到首屏关键路径，导致冷启动明显变慢。
+- 异步初始化失败时是否会卡住启动流程、白屏或无限 loading。
+- 资源加载失败时是否存在降级策略，而不是直接阻塞整个页面。

package/src/code-review-skills/mobile-code-review/references/resilience-and-device-conditions.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 移动端设备条件与稳健性检查清单
+## 弱网与离线
+- 请求超时、断网、半连接、DNS 失败或服务端错误时，是否有清晰提示、重试或降级策略。
+- 是否把瞬时失败误当成功处理，导致 UI 状态与真实服务端状态不一致。
+- 离线缓存、重放队列或草稿箱存在时，是否处理了重复提交和冲突恢复。
+## 设备与系统状态
+- 屏幕旋转、分屏、折叠态、字体缩放、深色模式、低内存回收后，页面是否还能恢复到有效状态。
+- 应用从后台恢复、被系统杀死后重建、收到推送或外部分享唤起时，是否会进入非法页面状态。
+- 日期、时区、语言环境变化是否会破坏格式化、排序、缓存键或本地判断逻辑。
+## 兼容性与异常恢复
+- 不同平台分支或条件编译是否遗漏默认分支，导致某个平台直接不可用。
+- 新增能力是否假设设备一定支持传感器、相机、权限或系统 API，而没有可用性判断。
+- 捕获异常后是否真正恢复了可继续操作的状态，而不是仅记录日志后把页面留在坏状态。

package/src/code-review-skills/mobile-code-review/references/scoring-guide.md ADDED Viewed

@@ -0,0 +1,38 @@
+# 评分指南
+评分由**最严重的已确认问题**决定基准区间，再在区间内微调。
+## 第一步：确定基准区间
+| 最严重问题 | 分值区间 |
+|-----------|---------|
+| 无问题 | 9.0-10.0 |
+| 仅 P2/P3 | 7.5-9.0 |
+| P1 | 4.0-7.0 |
+| P0（主流程 crash、核心导航失效、权限失守） | 2.0-3.5 |
+| P0（敏感数据泄露、认证边界失守） | 1.0-2.5 |
+## 第二步：在区间内调整
+- **影响广度**：影响所有用户或常见机型取下限，仅边界设备或少数状态触发取上限，差距约 0.5-1.0 分
+- **问题数量**：每多一个独立同级别问题，向下移约 0.3-0.5 分
+- **可逆性**：问题是否容易恢复；若崩溃后可自动重试或快速回滚，可在区间内上浮 0.3-0.5 分
+> 多个问题时取区间下限附近；单个问题且影响有限时取区间上限附近。
+## 硬上限
+- 有任意 P0 -> 评分上限 3.5
+- 核心页面或主导航完全失效 -> 评分上限 2.5
+- 明文写入真实 secret、token 或隐私敏感数据 -> 评分上限 2.0
+- 纯文件删除（无逻辑变更）-> 评分记为 N/A
+- 仅测试代码中的问题 -> 最高计为 P2，不纳入 P0/P1 计数
+## 评分语义
+| 分值 | 提交建议 | 含义 |
+|------|---------|------|
+| 9.0-10.0 | ✅ 可以提交 | 无明显问题 |
+| 7.5-9.0 | ✅ 可以提交，跟进修复 | 有轻微问题，不影响提交 |
+| 4.0-7.0 | 🔧 修复后提交 | 存在 P1 问题，影响广取下限，影响窄取上限 |
+| 1.0-3.5 | 🚫 禁止提交 | 存在 P0 问题，必须修复 |

package/src/code-review-skills/mobile-code-review/references/storage-permissions-and-security.md ADDED Viewed

@@ -0,0 +1,19 @@
+# 移动端存储、权限与安全边界检查清单
+## 本地存储与敏感数据
+- token、手机号、身份证号、地理位置、密钥等敏感数据是否被明文写入普通存储、日志、剪贴板或可导出文件。
+- 缓存读写失败、版本升级或数据迁移失败时，是否有回退与兼容路径。
+- 是否把服务端可信数据和本地可篡改数据混用，导致客户端权限判断被绕过。
+## 权限申请与拒绝处理
+- 相机、相册、定位、麦克风、通知、蓝牙、文件访问等权限是否仅在真正需要时申请。
+- 权限被拒绝、永久拒绝或系统关闭时，是否提供明确反馈和可恢复路径，而不是直接崩溃或卡死。
+- 权限结果是否与当前页面生命周期同步，避免页面退出后继续弹框或继续执行危险操作。
+## 桥接与边界
+- WebView、JS bridge、原生模块桥接、文件分享入口是否校验输入来源和参数范围。
+- 外部 URL、intent、scheme、deeplink、分享回调是否校验合法性，避免跳转到未预期页面。
+- 调试日志、埋点和错误上报是否暴露了隐私字段、认证信息或内部错误细节。

package/src/code-review-skills/mobile-code-review/references/testing-and-regression-coverage.md ADDED Viewed

@@ -0,0 +1,21 @@
+# 移动端测试与回归防护检查清单
+## 主流程与导航回归
+- 页面栈、返回栈、深链唤起与关键跳转路径是否有最小可复现用例或自动化覆盖。
+- 导航参数、前后台恢复与系统回收后重建的主流程是否至少覆盖一条稳定回归路径。
+## 权限、失败与弱网场景
+- 权限拒绝、取消授权、重复申请与降级路径是否有测试或明确可验证的回归手段。
+- 弱网、超时、离线、服务端失败与重试路径是否覆盖 UI 状态回退、去重与错误提示。
+## 状态恢复与副作用
+- 关键异步流程是否覆盖重复点击、竞态回写、页面销毁后回调等高风险路径。
+- 本次改动若引入本地存储、缓存、草稿箱或恢复逻辑，是否有对应测试防止状态串写或恢复失败。
+## 测试质量
+- 测试是否只断言实现细节而未覆盖用户可见结果；是否容易因定时器、随机值或真实网络产生脆弱失败。
+- 如果当前仓库缺少自动化测试，也应确认是否至少补充了清晰的人工回归清单或最小复现步骤。