Code Review Pro

セキュリティ、パフォーマンス、保守性、ベストプラクティスをカバーした深いコード分析。

このスキルを使用する場面

以下の場合にアクティベートします:

• ユーザーがコードレビューをリクエストしている
• セキュリティ脆弱性スキャンが必要
• パフォーマンス分析が必要
• 「このコードをレビューして」または「このコードを監査して」と言っている
• バグや改善を見つけたいと言っている
• リファクタリング提案をリクエストしている
• ベストプラクティス検証をリクエストしている

指示

1. セキュリティ分析（最優先）

   • SQLインジェクション脆弱性
   • XSS（クロスサイトスクリプティング）リスク
   • 認証・認可の問題
   • コード内のシークレットまたは認証情報
   • 安全でないデシリアライゼーション
   • パストラバーサル脆弱性
   • CSRF対策
   • 入力検証のギャップ
   • 安全でない暗号化
   • 依存関係の脆弱性

2. パフォーマンス分析

   • N+1クエリの問題
   • 非効率なアルゴリズム（Big O複雑度をチェック）
   • メモリリーク
   • 不要な再レンダリング（React/Vue）
   • インデックスの欠落（データベースクエリ）
   • ブロッキング操作
   • リソースクリーンアップ（ファイルハンドル、接続）
   • キャッシング機会
   • 過度なネットワーク呼び出し
   • 大きなバンドルサイズ

3. コード品質と保守性

   • コード重複（DRY違反）
   • 関数・メソッドの長さ（50行未満であるべき）
   • 循環複雑度
   • 不明確な命名
   • エラーハンドリングの欠落
   • スタイルの不一致
   • ドキュメントの欠落
   • 定数であるべきハードコード値
   • 神クラス・関数
   • 緊密な結合

4. ベストプラクティス

   • 言語固有のイディオム
   • フレームワークの規約
   • SOLIDの原則
   • デザインパターンの使用
   • テストアプローチ
   • ロギングと監視
   • アクセシビリティ（UIコードの場合）
   • タイプセーフティ
   • Null/Undefined処理

5. バグとエッジケース

   • ロジックエラー
   • オフバイワンエラー
   • レース条件
   • ヌルポインタ例外
   • 処理されないエッジケース
   • タイムゾーンの問題
   • エンコーディングの問題
   • 浮動小数点精度

6. 実行可能な修正を提供

   • 具体的なコード変更を表示
   • なぜ変更が必要かを説明
   • Before/Afterの例を含める
   • 重大度で優先順位付け

出力フォーマット

# コードレビューレポート

## 🚨 重大な問題（すぐに修正）
### 1. SQLインジェクション脆弱性（行X）
**重大度**: 重大
**問題**: ユーザー入力がSQLクエリに直接連結されている
**影響**: データベース侵害、データ盗難

**現在のコード:**
```javascript
const query = `SELECT * FROM users WHERE email = '${userEmail}'`;

修正後のコード:

const query = 'SELECT * FROM users WHERE email = ?';
db.query(query, [userEmail]);

説明: SQLインジェクションを防ぐために、常にパラメータ化クエリを使用してください。

⚠️ 高優先度の問題

2. パフォーマンス: N+1クエリの問題（行Y）

[詳細...]

💡 中優先度の問題

3. コード品質: 関数が長すぎます（行Z）

[詳細...]

✅ 低優先度・あると良いもの

4. ConstをLetの代わりに使用することを検討

[詳細...]

📊 サマリー

• 問題の総数: 12
  • 重大: 2
  • 高: 4
  • 中: 4
  • 低: 2

🎯 クイックウィン

影響が大きく、努力が少ない変更:

1. [修正1]
2. [修正2]

🏆 強み

• Xの優れたエラーハンドリング
• 明確な命名規則
• よく構造化されたモジュール

🔄 リファクタリング機会

1. メソッド抽出: 行X-YをcalculateDiscount()に抽出できます
2. 重複削除: [具体的なコードブロック]

📚 リソース

• OWASP SQL Injection Guide
• Performance Best Practices

## 例

**ユーザー**: 「この認証コードをレビューしてください」
**応答**: 認証ロジックを分析→セキュリティの問題を特定（弱いパスワードハッシング、レート制限なし）→トークン処理をチェック→CSRF対策の欠落を指摘→コード例を含めた具体的な修正を提供→重大度で優先順位付け

**ユーザー**: 「このReactコンポーネントのパフォーマンス問題を見つけてください」
**応答**: コンポーネントを分析→不要な再レンダリングを特定→useMemoやuseCallbackの欠落を見つける→大きなステートオブジェクトに注意→レンダリング内の高コスト操作をチェック→説明を付けた最適化版を提供

**ユーザー**: 「このAPIエンドポイントをレビューして」
**応答**: 入力検証をチェック→エラーハンドリングを分析→SQLインジェクションをテスト→認証をレビュー→レート制限をチェック→レスポンス構造を検討→コードサンプルで改善を提案

## ベストプラクティス

- セキュリティの問題を常に最優先にする
- 問題の具体的な行番号を提供する
- Before/Afterのコード例を含める
- **なぜ**それが問題なのかを説明する
- 言語・フレームワークのコンテキストを考慮する
- 批評するだけでなく、優れたコードも認める
- 大規模なリファクタリングは段階的な改善を提案する
- 推奨事項についてドキュメントにリンクする
- プロジェクトの制約（レガシーコード、期限）を考慮する
- 完璧主義と実用性のバランスを取る
- 影響のある変更に焦点を当てる
- 同様の問題をまとめる
- 推奨事項を実行可能にする