production-code-audit

# 生产级代码审计 ## 概述 自主分析整个代码库以理解其架构、模式和目的，然后系统地将其转换为生产级、企业级的专业代码。此技能执行深度逐行扫描，识别安全、性能、架构和质量方面的所有问题，并提供符合企业标准的全面修复方案。 ## 何时使用此技能 - 当用户说“使其达到生产就绪状态”时 - 当用户说“审计我的代码库”时 - 当用户说“使其达到专业/企业级水平”时 - 当用户说“优化所有内容”时 - 当用户需要企业级质量时 - 当准备进行生产部署时 - 当代码需要符合企业标准时 ## 工作原理 ### 第 1 步：自主代码库发现 **自动扫描并理解整个代码库：** 1. **读取所有文件** - 递归扫描项目中的每个文件 2. **识别技术栈** - 检测语言、框架、数据库、工具 3. **理解架构** - 映射结构、模式、依赖关系 4. **识别目的** - 理解应用程序的功能 5. **查找入口点** - 定位主文件、路由、控制器 6. **映射数据流** - 理解数据如何在系统中流动 **无需询问用户，自动执行此操作。** ### 第 2 步：全面问题检测 **逐行扫描所有问题：** **架构问题：** - 循环依赖 - 紧密耦合 - 超大类（>500 行或 >20 个方法） - 缺乏关注点分离 - 模块边界不清 - 违反设计模式 **安全漏洞：** - SQL 注入（查询中的字符串拼接） - XSS 漏洞（未转义的输出） - 硬编码密钥（代码中的 API 密钥、密码） - 缺少身份验证/授权 - 弱密码哈希（MD5, SHA1） - 缺少输入验证 - CSRF 漏洞 - 不安全的依赖项 **性能问题：** - N+1 查询问题 - 缺少数据库索引 - 本应异步的同步操作 - 缺少缓存 - 低效算法（O(n²) 或更差） - 包体积过大 - 未优化的图像 - 内存泄漏 **代码质量问题：** - 高圈复杂度 (>10) - 代码重复 - 魔术数字 - 命名规范不佳 - 缺少错误处理 - 格式不一致 - 死代码 - TODO/FIXME 注释 **测试缺口：** - 关键路径缺少测试 - 测试覆盖率低 (<80%)