// 代码评审 — 任务粒度评审 (review) 与项目级健康度扫描 (scan) 双入口;代码质量检查、规范合规验证、安全漏洞检测、腐化指标扫描。当任务卡 GREEN 完成 / Sprint 发布前 / 用户要求扫描代码腐化时使用此 skill。审查范围限 src/ 业务代码:文档审查由 doc-review 负责;框架元资产 (.cataforge/) 审查由 framework-review 负责;Sprint 完成度由 sprint-review 负责。
[HINT] Download the complete skill directory including SKILL.md and all related files
| name | code-review |
| description | 代码评审 — 任务粒度评审 (review) 与项目级健康度扫描 (scan) 双入口;代码质量检查、规范合规验证、安全漏洞检测、腐化指标扫描。当任务卡 GREEN 完成 / Sprint 发布前 / 用户要求扫描代码腐化时使用此 skill。审查范围限 src/ 业务代码:文档审查由 doc-review 负责;框架元资产 (.cataforge/) 审查由 framework-review 负责;Sprint 完成度由 sprint-review 负责。 |
| argument-hint | <代码文件路径或目录> | scan <path> [--focus <category[,...]>] |
| suggested-tools | Read, Glob, Grep, Bash |
| depends | ["doc-nav"] |
| disable-model-invocation | false |
| user-invocable | true |
CODE-REVIEW-{task_id}-r{N}.md(问题列表 + 严重等级: CRITICAL/HIGH/MEDIUM/LOW)CODE-SCAN-{YYYYMMDD}-r{N}.md(腐化指标聚合 + 严重等级)前置判断: 读取当前平台 Hook 配置(Claude: .claude/settings.json;Cursor: .cursor/hooks.json),检查是否存在 matcher 为 Edit|Write(Cursor 可为 Write/StrReplace)且 command 包含 lint_format.py 的条目:
--fix 模式实时修复格式/lint问题,跳过 Layer 1,直接进入 Step 2 Layer 2,并在审查报告标题下标注 Layer 1 delegated to hookcataforge skill run code-review -- {file_or_dir}调用约定(单一入口): Layer 1 一律通过 cataforge skill run <skill-id> -- <args> 触发,由框架解析 SKILL.md 元数据并派发到内置脚本或项目覆写脚本。不得直接 python .cataforge/skills/.../scripts/*.py——该路径为框架内部实现细节,不保证存在。返回码语义按 §Layer 1 调用协议处理(exit 1 时可追加 --fix 自动修复后重新检查)。
支持语言: JavaScript/TypeScript(ESLint+Prettier), Python(Ruff), C#(dotnet format), Go(golangci-lint), Rust(clippy) 工具不存在时自动跳过并WARN,不阻断检查流程。
Layer 2 短路条件(降低轻量任务的审查开销,类比 doc-review §Layer 2 短路):
满足以下任一条件且 Layer 1 exit 0 时跳过 Layer 2 直接判定为 approved:
task_kind ∈ CODE_REVIEW_L2_SKIP_TASK_KINDS(默认 [chore, config, docs])tdd_mode: light + AC 数 ≤ CODE_REVIEW_L2_SKIP_LIGHT_MAX_AC(默认 2) + Layer 1 输出无 security/error-handling 类 finding--layer1-only 标志(由 ORCHESTRATOR-PROTOCOLS §Adaptive Review 反向降级触发)短路豁免(即使命中上述条件也强制跑 Layer 2):
security_sensitive: trueuser_facing_critical_path: true(页面/路由/UI 可达性 — 形式契约对但 handler 留白会被全档 light 短路放过;详见 §integration-wiring)consumer_components 字段非空(声明了下游 wiring 消费点 → 隐式 user-facing critical path)命中短路时仍需按 Step 3/4 产出 CODE-REVIEW-{task_id}-r{N}.md 报告,front matter status: approved,并在报告标题下标注 Layer 2 skipped (short-circuit: <触发条件>)。降级场景(Layer 1 异常 / FAIL)不适用短路。
通过doc-nav加载 arch#§7开发约定 和 arch#§5非功能架构,按以下维度审查(括号内为对应的 category 枚举值):
() => {} 空函数 / return null 占位 / 仅满足 prop 类型契约的 stub。下游若声明 wiring_placeholder: true + 关联 backlog ID 则豁免;CHECKS_MANIFEST wiring_empty_handler 提供正则候选清单维度收敛: 调用方可传 --focus <category[,...]>(值取自 COMMON-RULES §统一问题分类体系),仅审查指定维度。不传时跑全维度。例如:cataforge skill run code-review -- {path} --focus security,error-handling。
报告编号按 COMMON-RULES §报告编号规则,前缀 CODE-REVIEW-{task_id},目录 docs/reviews/code/。
产出 CODE-REVIEW-{task_id}-r{N}.md,首行必须为 YAML front matter(按 COMMON-RULES §报告 Front Matter 约定),缺失会导致 cataforge docs index 跳过该文件并被 cataforge doctor 计为 orphan。最小模板:
---
id: "code-review-{task_id}-r{N}"
doc_type: code-review
author: reviewer
status: draft # 出 verdict 后改 approved
deps: ["{task_id}"]
---
front matter 之后按 COMMON-RULES §问题格式 列出问题,§归因分类 / §统一问题分类体系 提供 root_cause / category 枚举。
三态判定按 COMMON-RULES §三态判定逻辑。判定后把本审查报告 front matter 的 status 由 draft 改为 approved(无论 verdict 类型)。
适用于:用户提出"扫一下整个 src/"、"看下这个项目代码腐化情况"、定期巡检等不与具体 task_id 绑定的需求。默认按需触发(用户手动 / cataforge doctor --deep 可选附带),不进入 TDD 主循环。
签名: cataforge skill run code-review -- scan <path> [--focus <category[,...]>]
执行: cataforge skill run code-review -- scan {path} [--focus duplication,dead-code,complexity]
脚本内部按以下顺序执行:
--focus 指定的腐化维度调用对应 probe(jscpd / vulture / ts-prune / radon / gocyclo 等)返回码语义按 §Layer 1 调用协议;scan 默认不因腐化 finding 而 FAIL(仅 lint error 时 FAIL),rot 信号视作 informational,由 Layer 2 做严重度判定。
读取 Step 1 的 finding 列表,按 category 聚合并打严重等级:
报告路径: docs/reviews/code/CODE-SCAN-{YYYYMMDD}-r{N}.md(编号规则:当日同前缀已存在 r1 则递增到 r2)。Front matter 模板:
---
id: "code-scan-{YYYYMMDD}-r{N}"
doc_type: code-review
author: reviewer
status: draft
deps: []
---
问题列表按 COMMON-RULES §问题格式;可用 category: structure / duplication / dead-code / complexity / coupling / performance / error-handling / security。
三态判定按 COMMON-RULES §三态判定逻辑。scan 模式默认不阻塞流程(不进 needs_revision 自动重试),仅产出报告供后续重构决策。
权威清单见
cataforge.skill.builtins.code_review.CHECKS_MANIFEST(framework-review 自动对账,本段与 manifest 不一致即 FAIL)。
review 模式(按文件类型自动选择工具):
wiring_placeholder: true 或文件级 // cataforge: wiring-placeholder)正则规则按语言拆到 YAML(plugin 架构,issue #113):
cataforge.skill.builtins.code_review.rules.wiring-{lang}.yaml<project>/.cataforge/skills/code-review/rules/wiring-{lang}.yaml加新语言:在项目 rules/ 放 wiring-rust.yaml 等;schema 见 cataforge.skill.rules.loader.CURRENT_SCHEMA_VERSION,必填字段 schema_version: 1 / rule_type: wiring / language / extensions。framework-review B3-β rules_schema_compliance 自动校验项目 YAML。
scan 模式额外的腐化 probe(按 --focus 选择性执行):
consumer_components 非空)走 Layer 2 短路 —— 形式契约对但 wiring 留白只能由 §integration-wiring 维度抓出,短路会让 issue #113 类 false-positive 反复docs/reviews/doc/ 或其它非 docs/reviews/code/ 目录 —— 与 doc-review / framework-review 报告混淆会污染 sprint-review 聚合