← 返回 Skills 市场
sallyface0

Code Health Scanner

作者 sallyface0 · GitHub ↗ · v1.0.0 · MIT-0
cross-platform ⚠ pending
44
总下载
0
收藏
0
当前安装
1
版本数
在 OpenClaw 中安装
/install code-health-scanner
功能描述
One-click Spring Boot code health diagnosis. Detects security vulnerabilities, performance anti-patterns, code quality issues, and dependency risks across Ja...
使用说明 (SKILL.md)

Code Health Scanner v1.0 — Spring Boot 代码健康扫描

一句话: 一键扫描你的 Spring Boot 项目,找出安全隐患、性能坑、代码坏味道,输出结构化健康报告。

Overview

Code Health Scanner 是一个轻量单角色扫描器,专为 Java / Spring Boot 项目设计。不需要复杂的多角色协奏——读代码、找问题、出报告、给修复建议,四步完事。

角色 Actor Responsibility
Scanner Main AI (you) 发现代码文件 → 按规则检测 → 分类定级 → 生成报告 → 提供修复建议

Supported Stacks

Stack Coverage Notes
Java 8-21 ✅ Full 语法、异常处理、资源管理
Spring Boot 2.x / 3.x ✅ Full 注解、事务、配置、安全
MyBatis / MyBatis Plus ✅ Full SQL 注入检测、Mapper 规范
JPA / Hibernate ✅ Partial N+1 查询、懒加载问题
Maven (pom.xml) ✅ Full 依赖版本、已知 CVE
Gradle 🟡 Partial 基本依赖检测

How It Works

用户指定项目路径 → Scanner 发现文件 → 逐文件检测 → 聚合分类 → 输出报告 → 可选自动修复

Phase 1: 项目发现

扫描指定目录,识别项目类型:

  1. 检测构建工具pom.xml (Maven) / build.gradle (Gradle)
  2. 识别源码目录src/main/java/ 为主扫描区域
  3. 识别配置目录src/main/resources/ (application.yml/properties)
  4. 排除目录target/, node_modules/, .git/, test/(默认排除,可通过参数包含)

Phase 2: 分类检测

按 4 大类逐文件扫描。详细规则见 references/rules/java-spring.md

Phase 3: 报告生成

输出结构化 Markdown 报告,包含:

  • 总体健康评分 (0-100)
  • 按严重度分组的 Issues
  • 每个 Issue 包含:文件位置、代码片段、风险说明、修复建议
  • 趋势分析(如果是增量扫描)

Phase 4: 自动修复 (可选)

低风险 Info 级问题可自动修复(如命名规范、注解缺失)。Critical/Warning 级仅提供修复建议,需用户确认后执行。

Severity Levels

Level Label Meaning Examples
🔴 Critical 可能导致线上事故或安全漏洞 SQL 注入、硬编码密码、资源泄漏
🟡 Warning 代码坏味道,长期会累积为技术债 N+1 查询、God Class、异常吞没
🟢 Info 风格/规范问题 命名不符规范、TODO 堆积

Detection Rules Summary

🔴 Critical (3 categories, ~12 rules)

Security

  • SQL Injection: 字符串拼接构建 SQL → 使用 #{param} 替代 ${param}
  • Hardcoded Secrets: 代码/配置中明文密钥 → 环境变量或配置中心
  • Insecure Deserialization: 不可信数据反序列化 → 白名单校验
  • Mass Assignment: @RequestBody 无 @Valid 校验 → 添加校验注解
  • Open Redirect: 用户可控的 redirect URL → URL 白名单

Reliability

  • NPE Risk: Optional.get() 无 isPresent() 检查、返回 null 无 @Nullable
  • Resource Leak: Stream/Connection 不在 try-with-resources 中
  • Transaction Missing: 写操作缺少 @Transactional

Configuration

  • Debug Mode in Prod: debug: true 在非 dev profile 中
  • Missing CSRF: 非 REST API 缺少 CSRF 保护
  • Actuator Exposure: /actuator 敏感端点暴露

🟡 Warning (4 categories, ~15 rules)

Performance

  • N+1 Query: JPA 关联在循环中懒加载
  • String Concatenation in Loop: 循环中使用 += 拼接字符串
  • Unnecessary Autoboxing: 频繁的 int↔Integer 转换
  • Collection Pre-sizing: new ArrayList\x3C>() 未指定初始容量(已知大小时)

Design

  • God Class: 类 >500 行 或 >20 方法 → 拆分
  • Long Method: 方法 >50 行 → 提取子方法
  • Too Many Parameters: 方法参数 >5 个 → 封装为参数对象
  • Circular Dependency: Bean 循环引用 → 重构或 @Lazy

Error Handling

  • Exception Swallowing: 空 catch 块
  • printStackTrace in Prod: 生产代码中的 e.printStackTrace()
  • Generic Exception Catch: catch(Exception e) 过于宽泛
  • Throws Exception: 方法抛出 Exception 而非具体异常

Testing (when test files are included)

  • Missing Assert: 测试方法无 assert 语句
  • Sleep in Test: Thread.sleep() 替代 awaitility

🟢 Info (2 categories, ~8 rules)

Convention

  • Naming: 类名非 PascalCase、方法名非 camelCase
  • Package Structure: 非标准 Spring Boot 分层
  • Comment Debt: TODO/FIXME/HACK 数量 >5
  • Missing Javadoc: public API 缺少文档注释

Dependencies

  • Version Lag: 依赖版本落后 latest release >2 个大版本
  • Unused Dependency: pom.xml 中声明但未使用的依赖
  • Snapshot in Prod: 生产构建使用 SNAPSHOT 版本
  • Transitive Conflict: 传递依赖版本冲突

Report Format

完整报告模板见 references/report-template.md

# 🔍 Code Health Report — [项目名]

**扫描时间:** 2026-05-18 11:00
**项目路径:** /path/to/project
**扫描范围:** 42 文件, 8,500 LOC
**健康评分:** 72/100 (🔴 2 | 🟡 7 | 🟢 12)

---

## 📊 总览

| 类别 | 🔴 Critical | 🟡 Warning | 🟢 Info |
|------|:-----------:|:----------:|:-------:|
| Security | 2 | 0 | 0 |
| Reliability | 0 | 1 | 2 |
| Performance | 0 | 3 | 0 |
| Design | 0 | 2 | 3 |
| Error Handling | 0 | 1 | 2 |
| Convention | 0 | 0 | 5 |

## 🔴 Critical Issues

### C-1: SQL Injection in UserMapper.java:34
- **Risk:** 用户输入直接拼入 SQL,可能导致数据泄露
- **Code:** `@Select("SELECT * FROM user WHERE name = '${name}'")`
- **Fix:** 改用 `@Select("SELECT * FROM user WHERE name = #{name}")`

...

## 🟡 Warning Issues
...

## 🟢 Info Issues
...

## 💡 Quick Wins (Top 3)
1. 修复 2 个 SQL 注入 → +10 分
2. 迁移 3 个硬编码密钥到环境变量 → +5 分
3. 为 public API 添加 Javadoc → +3 分

Health Score Formula

Health Score = 100 - (Critical × 15) - (Warning × 5) - (Info × 1)

Bounded: 0-100
Score ≥ 85: ✅ Healthy
Score 70-84: 🟡 Needs Attention
Score \x3C 70: 🔴 At Risk

Auto-Fix Protocol

可自动修复的 Info 级问题

Issue Auto-Fix Confidence
类名非 PascalCase 重命名文件 + 更新引用
@Override 缺失 添加注解 极高
未使用的 import 删除 import 行 极高
new ArrayList\x3C>()new ArrayList\x3C>(N) 自动推断 N 后替换 中(需确认 N)
空 catch 块 添加 log.error(...) 低(需了解业务意图)

自动修复工作流

Scanner 提示可修复项 → 用户 review → 逐项执行修复 → 输出变更摘要

Usage Modes

Mode 1: Quick Scan (默认)

  • 只扫 src/main/java/src/main/resources/
  • 跳过测试目录
  • 适合日常开发

Mode 2: Full Scan

  • 包含测试代码
  • 包含构建配置文件
  • 适合代码审查/发布前

Mode 3: Incremental Scan

  • 只扫 git diff 变更文件
  • 适合 CI 流水线
  • 需要 git 仓库

触发

用户说: "扫描这个项目" / "check my code" / "代码健康检查" / "代码有没有问题"
+ 项目路径

Model Configuration

Mode Recommended Model Reason
Quick Scan deepseek-v4-flash 速度快、成本低,适合日常使用
Full Scan deepseek-v4-pro 推理能力强,适合全面审查
Large Project (>500 files) Sub-agent 分模块并发 避免单次扫描超时

Workspace

扫描报告默认输出到 {项目路径}/code-health-reports/,命名格式:

code-health-report-{YYYY-MM-DD_HHmm}.md

File References

File Description
references/rules/java-spring.md 完整检测规则库(Java/Spring Boot 专项)
references/report-template.md 健康报告模板与评分标准

Extending to Other Stacks

Skill 设计为 Java/Spring Boot 优先,但规则引擎设计为可扩展。要支持新语言/框架:

  1. references/rules/ 新增对应规则文件(如 python-django.md
  2. 在 SKILL.md 的 "Supported Stacks" 表中新增行
  3. 在报告模板中追加对应语言的 Issue 示例

欢迎贡献额外语言规则。

能力标签
requires-sensitive-credentials
如何使用
  1. 确保已安装 OpenClaw(本地或 Docker 部署)
  2. 在对话框中输入安装命令:/install code-health-scanner
  3. 安装完成后,直接呼叫该 Skill 的名称或使用 /code-health-scanner 触发
  4. 根据 Skill 的参数说明提供必要输入,即可获得结构化输出
版本历史
v1.0.0
first-release java-spring-boot code-health-scanner one-click-diagnosis security-performance-quality
元数据
Slug code-health-scanner
版本 1.0.0
许可证 MIT-0
累计安装 0
当前安装数 0
历史版本数 1
常见问题

Code Health Scanner 是什么?

One-click Spring Boot code health diagnosis. Detects security vulnerabilities, performance anti-patterns, code quality issues, and dependency risks across Ja... 它是一个面向 Claude Code / OpenClaw 的 AI Agent Skill 插件,目前累计下载 44 次。

如何安装 Code Health Scanner?

在 OpenClaw 或 Claude Code 对话框中运行命令「/install code-health-scanner」即可一键安装,无需额外配置。

Code Health Scanner 是免费的吗?

是的,Code Health Scanner 完全免费,采用 MIT-0 许可证,可自由下载、安装和使用。

Code Health Scanner 支持哪些平台?

Code Health Scanner 跨平台运行,可在任意部署了 OpenClaw / Claude Code 的环境中使用(cross-platform)。

谁开发了 Code Health Scanner?

由 sallyface0(@sallyface0)开发并维护,当前版本 v1.0.0。

推荐 Skills
self-improving agent
Captures learnings, errors, and corrections to enable continuous improvement. Use when: (1) A command or operation fails unexpectedly, (2) User corrects Clau...
⬇ 463283 · by pskoett
Skill Vetter
Security-first skill vetting for AI agents. Use before installing any skill from ClawdHub, GitHub, or other sources. Checks for red flags, permission scope, and suspicious patterns.
⬇ 259410 · by spclaudehome
Polymarket
Query Polymarket prediction markets. Check odds, find trending markets, search events, track price movements.
⬇ 232503 · by joelchance
Self-Improving + Proactive Agent
Self-reflection + Self-criticism + Self-learning + Self-organizing memory. Agent evaluates its own work, catches mistakes, and improves permanently. Use when...
⬇ 200423 · by ivangdavila
Github
Interact with GitHub using the `gh` CLI. Use `gh issue`, `gh pr`, `gh run`, and `gh api` for issues, PRs, CI runs, and advanced queries.
⬇ 191115 · by steipete
ontology
Typed knowledge graph for structured agent memory and composable skills. Use when creating/querying entities (Person, Project, Task, Event, Document), linkin...
⬇ 190156 · by oswalpalash

💬 留言讨论