代码原则审计工具：自动化检测DRY、KISS、YAGNI违规，提升代码质量与架构合规性

ln-623-code-principles-auditor by levnikolaevich/claude-code-skills

164 周安装量

253 GitHub Stars

安装命令

npx skills add https://github.com/levnikolaevich/claude-code-skills --skill ln-623-code-principles-auditor

🇨🇳中文介绍

路径说明： 文件路径（shared/、references/、../ln-*）是相对于技能仓库根目录的。如果在当前工作目录（CWD）下未找到，请定位此 SKILL.md 文件所在的目录，然后向上返回一级以找到仓库根目录。如果缺少 shared/ 目录，请通过 WebFetch 从 https://raw.githubusercontent.com/levnikolaevich/claude-code-skills/master/skills/{path} 获取文件。

代码原则审计员 (L3 Worker)

专门审计代码原则（DRY、KISS、YAGNI）和设计模式的工作器。

目的与范围

ln-620 协调器管道中的工作器 - 由 ln-620-codebase-auditor 调用
审计代码原则（DRY/KISS/YAGNI、错误处理、依赖注入）
返回包含严重性、位置、工作量、模式签名、建议的结构化发现结果
计算"代码原则"类别的合规性得分（X/10）

输入（来自协调器）

必读： 加载 shared/references/audit_worker_core_contract.md。

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

相关 Skills

FlyClaw：零登录航班聚合查询工具，Python实现多源航班信息与价格搜索

4,000,000 周安装

Azure RBAC 权限管理工具：查找最小角色、创建自定义角色与自动化分配

127,200 周安装

GitHub Actions 官方文档查询助手 - 精准解答 CI/CD 工作流问题

33,800 周安装

通过 LiteLLM 代理让 Claude Code 对接 GitHub Copilot 运行 | 高级变通方案指南

33,600 周安装

接收包含以下内容的 contextStore：tech_stack、best_practices、principles、codebase_root、output_dir。

解析上下文 — 提取字段，确定 scan_path（如果指定则为领域感知），提取 output_dir
加载检测模式
- 必读： 加载 references/detection_patterns.md 以获取特定于语言的 Grep/Glob 模式
- 选择与项目 tech_stack 匹配的模式
扫描代码库以查找违规（第 1 层）
- 所有 Grep/Glob 模式都使用 scan_path（而非 codebase_root）
- 遵循 detection_patterns.md 中的分步检测说明
- 应用 detection_patterns.md#exclusions 中的排除规则
分析每个候选者的上下文（第 2 层）
- DRY：读取两个代码块以确认是真正的重复（不仅仅是命名相似或共享接口）
- KISS：检查抽象是否服务于依赖注入模式（有效的单一实现接口）或是过早的抽象
- YAGNI：检查功能标志是否是最近添加的（有意为之）或已闲置数月
生成建议
- 必读： 加载 references/refactoring_decision_tree.md 以选择模式
- 通过决策树将每个发现结果匹配到适当的重构模式
收集包含严重性、位置、工作量、pattern_id、pattern_signature、建议的发现结果
- 为每个发现结果标记 domain: domain_name（如果启用了领域感知）
- 分配 pattern_signature 以供 ln-620 进行跨领域匹配
使用惩罚算法计算得分
撰写报告： 根据 shared/templates/audit_worker_report_template.md 在内存中构建完整的 Markdown 报告，通过单次 Write 调用写入 {output_dir}/623-principles-{domain}.md（或全局模式下的 623-principles.md）。包含  JSON 块，其中包含用于跨领域 DRY 分析的 pattern_signature 字段
返回摘要： 向协调器返回最小摘要（参见输出格式）

发现类型	第 2 层降级示例
DRY	具有不同生命周期/所有权的模块 → 跳过。为解耦而有意进行的重复 → 跳过
KISS	框架要求的抽象（例如 Spring 中的依赖注入）→ 降级。当前单一实现但为测试而保留的接口 → 跳过
YAGNI	用于 A/B 测试的功能标志 → 跳过。运维团队使用的配置选项 → 跳过
错误处理	50 行脚本中缺少集中式处理器 → 降级为 LOW
依赖注入	可通过参数/闭包替换的依赖项 → 跳过 ARCH-DI

类型	内容	严重性	例外情况（跳过/降级）	默认建议	工作量
1.1 相同代码	多个文件中相同的函数/常量/代码块（>10 行）	HIGH：业务关键（认证、支付）。MEDIUM：工具函数。LOW：简单常量 <5 次	不同生命周期/所有权的模块 → 跳过。有意解耦 → 跳过	提取函数 → 根据重复范围决定位置	M
1.2 重复验证	跨文件的相同验证模式（邮箱、密码、电话、URL）	HIGH：认证/支付。MEDIUM：用户输入 3+ 次。LOW：格式检查 <3 次	不同的安全上下文（认证 vs 公开）→ 跳过	提取到共享验证器模块	M
1.3 重复错误消息	硬编码的错误字符串而非集中式目录	MEDIUM：关键消息硬编码或无错误目录。LOW：<3 处	需要根据上下文调整措辞的用户界面字符串 → 降级	创建常量/错误消息文件	M
1.4 相似模式	具有相同调用顺序/控制流但名称/实体不同的函数	MEDIUM：关键路径中的业务逻辑。LOW：工具函数 <3 次	预期会分叉演化的模块 → 跳过	提取通用逻辑（参见决策树中的模式）	M
1.5 重复的 SQL/ORM	不同服务中的相同查询	HIGH：支付/认证查询。MEDIUM：常见 3+ 次。LOW：简单 <3 次	不同的有界上下文；共享数据库比重复更糟糕 → 跳过	提取到 Repository 层	M
1.6 复制粘贴的测试	跨测试文件的相同设置/拆卸/夹具	MEDIUM：5+ 个文件中的设置。LOW：<5 个文件	为清晰/独立而有意隔离的测试 → 降级	提取到测试辅助函数	M
1.7 重复的 API 响应	没有 DTO 的相同响应对象结构	MEDIUM：在 5+ 个端点中。LOW：<5 个端点	具有不同版本生命周期的响应 → 跳过	创建 DTO/响应类	M
1.8 重复的中间件链	多个路由上相同的中间件/装饰器栈	MEDIUM：5+ 个路由上的相同链。LOW：<5 个路由	具有不同认证/限流要求的路由 → 跳过	创建命名的中间件组，在路由器级别应用	M
1.9 重复的类型定义	字段 80%+ 相同的接口/结构体/类型	MEDIUM：在 5+ 个文件中。LOW：2-4 个文件	具有不同所有权/演化路径的类型 → 跳过	创建共享基础类型，在需要时扩展	M
1.10 重复的映射逻辑	多个位置中相同的实体→DTO / DTO→实体转换	MEDIUM：在 3+ 个位置。LOW：2 个位置	具有不同验证/丰富规则的映射 → 跳过	创建专用的 Mapper 类/函数	M

违规	检测方法	严重性	例外情况（跳过/降级）	建议	工作量
只有 1 个实现的抽象类	Grep `abstract class` → 统计子类数量	HIGH：妨碍理解核心逻辑	用于依赖注入/测试的接口 → 跳过。框架要求（Spring、ASP.NET）→ 跳过	移除抽象，内联	L
少于 3 种类型的工厂	Grep 工厂模式 → 统计分支数量	MEDIUM：不必要的模式	用于依赖注入/测试交换的工厂 → 降级	替换为直接构造	M
深度继承 >3 层	跟踪继承链	HIGH：脆弱的层次结构	框架强制的层次结构（UI 组件、ORM 模型）→ 降级	使用组合扁平化	L
过多的泛型约束	Grep `<T extends ... & ...>`	LOW：可接受的权衡	公共 API 边界的类型安全 → 跳过	简化约束	M
仅包装类	读取：所有方法都委托给内部对象	MEDIUM：不必要的间接层	用于外部 API 隔离的适配器模式 → 跳过	移除包装器，直接使用内部对象	M

违规	检测方法	严重性	例外情况（跳过/降级）	建议	工作量
死亡功能标志（始终为真/假）	Grep 标志 → 验证从未切换	LOW：需要清理	A/B 测试标志 → 跳过。运维控制的开关 → 跳过	移除标志，保留活动代码路径	M
从未被重写的抽象方法	Grep abstract → 搜索实现	MEDIUM：未使用的可扩展性	公共库中的插件/扩展点 → 降级	移除抽象，使其具体化	M
未使用的配置选项	Grep 配置键 → 0 个引用	LOW：死亡配置	环境特定配置（预发/生产）→ 在标记前验证	移除选项	S
只有 1 个实现的接口	Grep interface → 统计实现者数量	MEDIUM：过早的抽象	用于依赖注入/测试模拟的接口 → 跳过	移除接口，直接使用类	M
过早的泛型（仅用于 1 种类型）	Grep 泛型使用 → 统计类型参数数量	LOW：过度设计	为消费者设计的公共库 API → 跳过	将泛型替换为具体类型	S

严重性	标准
CRITICAL	支付/认证操作没有错误处理
HIGH	面向用户的操作没有错误处理
MEDIUM	内部操作没有错误处理

严重性	标准
HIGH	没有集中式错误处理器
HIGH	使用 `uncaughtException` 监听器（Express 反模式）
MEDIUM	中间件直接处理错误（未委托）
MEDIUM	异步路由没有正确的错误处理
LOW	生产环境中暴露堆栈跟踪

检查依赖注入容器：inversify、awilix、tsyringe（Node）、dependency_injector（Python）、Spring @Autowired（Java）、ASP.NET IServiceCollection（C#）
Grep 业务逻辑中的 new SomeService()（直接实例化）
检查引导模块：bootstrap.ts、init.py、Startup.cs、app.module.ts

严重性	标准
MEDIUM	没有依赖注入容器（紧耦合）
MEDIUM	业务逻辑中的直接实例化
LOW	混合使用依赖注入和直接导入

严重性	标准
LOW	没有架构/最佳实践指南

pattern_signature： 检测到的模式的规范化键（例如 validation_email、sql_users_findByEmail、middleware_auth_validate_ratelimit）。多个领域中相同的签名会触发跨领域 DRY 发现。格式在 references/detection_patterns.md 中定义。

不要自动修复： 仅报告
领域感知扫描： 如果 domain_mode="domain-aware"，则仅扫描 scan_path
标记发现结果： 启用领域感知时，在每个发现结果中包含 domain 字段
模式签名： 为每个 DRY 发现结果包含 pattern_id + pattern_signature
上下文感知： 使用项目的 principles.md 来定义可接受的内容
工作量现实性： S = <1 小时，M = 1-4 小时，L = >4 小时
排除项： 跳过生成的代码、供应商代码、迁移文件（参见 detection_patterns.md#exclusions）

已解析 contextStore（包括 domain_mode、current_domain、output_dir）
已确定 scan_path（领域路径或代码库根目录）
已从 references/detection_patterns.md 加载检测模式
已完成所有 7 项检查（限定在 scan_path 范围内）：
- DRY（10 个子类别：1.1-1.10）、KISS、YAGNI、错误处理、集中式错误处理、依赖注入/初始化、最佳实践指南
已通过 references/refactoring_decision_tree.md 选择建议
已收集包含严重性、位置、工作量、pattern_id、pattern_signature、建议、领域的发现结果
已根据 shared/references/audit_scoring.md 计算得分
已将报告写入 {output_dir}/623-principles-{domain}.md，并包含 FINDINGS-EXTENDED 块（原子性的单次 Write 调用）
已将摘要返回给协调器

🇺🇸English

Paths: File paths (shared/, references/, ../ln-*) are relative to skills repo root. If not found at CWD, locate this SKILL.md directory and go up one level for repo root. If shared/ is missing, fetch files via WebFetch from https://raw.githubusercontent.com/levnikolaevich/claude-code-skills/master/skills/{path}.

Code Principles Auditor (L3 Worker)

Specialized worker auditing code principles (DRY, KISS, YAGNI) and design patterns.

Purpose & Scope

Worker in ln-620 coordinator pipeline - invoked by ln-620-codebase-auditor
Audit code principles (DRY/KISS/YAGNI, error handling, DI)
Return structured findings with severity, location, effort, pattern_signature, recommendations
Calculate compliance score (X/10) for Code Principles category

Inputs (from Coordinator)

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

Receives contextStore with: tech_stack, best_practices, principles, codebase_root, output_dir.

Domain-aware: Supports domain_mode + current_domain (see audit_output_schema.md#domain-aware-worker-output).

Workflow

MANDATORY READ: Load shared/references/two_layer_detection.md for detection methodology.

Parse context — extract fields, determine scan_path (domain-aware if specified), extract output_dir
Load detection patterns
- MANDATORY READ: Load references/detection_patterns.md for language-specific Grep/Glob patterns
- Select patterns matching project's tech_stack
Scan codebase for violations (Layer 1)
- All Grep/Glob patterns use scan_path (not codebase_root)
- Follow step-by-step detection from detection_patterns.md
- Apply exclusions from detection_patterns.md#exclusions
Analyze context per candidate (Layer 2)

Two-Layer Detection (MANDATORY)

MANDATORY READ: shared/references/two_layer_detection.md

All findings require Layer 2 context analysis. Layer 1 finding without Layer 2 = NOT a valid finding. Before reporting, ask: "Is this violation intentional or justified by design?"

Finding Type	Layer 2 Downgrade Examples
DRY	Modules with different lifecycle/ownership → skip. Intentional duplication for decoupling → skip
KISS	Framework-required abstraction (e.g., DI in Spring) → downgrade. Single implementation today but interface for testing → skip
YAGNI	Feature flag used in A/B testing → skip. Config option used by ops team → skip
Error Handling	Centralized handler absent in 50-line script → downgrade to LOW
DI	Dependencies replaceable via params/closures → skip ARCH-DI

Audit Rules

1. DRY Violations (Don't Repeat Yourself)

MANDATORY READ: Load references/detection_patterns.md for detection steps per type.

Type	What	Severity	Exception (skip/downgrade)	Default Recommendation	Effort
1.1 Identical Code	Same functions/constants/blocks (>10 lines) in multiple files	HIGH: business-critical (auth, payment). MEDIUM: utilities. LOW: simple constants <5x	Different lifecycle/ownership modules → skip. Intentional decoupling → skip	Extract function → decide location by duplication scope	M
1.2 Duplicated Validation	Same validation patterns (email, password, phone, URL) across files	HIGH: auth/payment. MEDIUM: user input 3+x. LOW: format checks <3x	Different security contexts (auth vs public) → skip	Extract to shared validators module	M
1.3 Repeated Error Messages	Hardcoded error strings instead of centralized catalog	MEDIUM: critical messages hardcoded or no error catalog. LOW: <3 places	User-facing strings requiring per-context wording → downgrade	Create constants/error-messages file

Recommendation selection: Use references/refactoring_decision_tree.md to choose the right refactoring pattern based on duplication location (Level 1) and logic type (Level 2).

2. KISS Violations (Keep It Simple, Stupid)

Violation	Detection	Severity	Exception (skip/downgrade)	Recommendation	Effort
Abstract class with 1 implementation	Grep `abstract class` → count subclasses	HIGH: prevents understanding core logic	Interface for DI/testing → skip. Framework-required (Spring, ASP.NET) → skip	Remove abstraction, inline	L
Factory for <3 types	Grep factory patterns → count branches	MEDIUM: unnecessary pattern	Factory used for DI/testing swap → downgrade	Replace with direct construction	M
Deep inheritance >3 levels	Trace extends chain	HIGH: fragile hierarchy	Framework-mandated hierarchy (UI widgets, ORM models) → downgrade	Flatten with composition	L
Excessive generic constraints

3. YAGNI Violations (You Aren't Gonna Need It)

Violation	Detection	Severity	Exception (skip/downgrade)	Recommendation	Effort
Dead feature flags (always true/false)	Grep flags → verify never toggled	LOW: cleanup needed	A/B testing flags → skip. Ops-controlled toggles → skip	Remove flag, keep active code path	M
Abstract methods never overridden	Grep abstract → search implementations	MEDIUM: unused extensibility	Plugin/extension point in public library → downgrade	Remove abstract, make concrete	M
Unused config options	Grep config key → 0 references	LOW: dead config	Env-specific configs (staging/prod) → verify before flagging	Remove option	S
Interface with 1 implementation	Grep interface → count implementors	MEDIUM: premature abstraction	Interface for DI/testing mock → skip

4. Missing Error Handling

Find async functions without try-catch
Check API routes without error middleware
Verify database calls have error handling

Severity	Criteria
CRITICAL	Payment/auth without error handling
HIGH	User-facing operations without error handling
MEDIUM	Internal operations without error handling

Effort: M

5. Centralized Error Handling

Search for centralized error handler: ErrorHandler, errorHandler, error-handler.*
Check if middleware delegates to handler
Verify async routes use promises/async-await
Anti-pattern: process.on("uncaughtException") usage

Severity	Criteria
HIGH	No centralized error handler
HIGH	Using `uncaughtException` listener (Express anti-pattern)
MEDIUM	Middleware handles errors directly (no delegation)
MEDIUM	Async routes without proper error handling
LOW	Stack traces exposed in production

Outcome Goal: All errors are logged with context and return clear user-facing messages. No error is silently swallowed. Stack traces never leak to production responses. Implementation choice (ErrorHandler class, middleware, decorator) depends on project stack and size.

Effort: M-L

6. Dependency Injection / Centralized Init

Check for DI container: inversify, awilix, tsyringe (Node), dependency_injector (Python), Spring @Autowired (Java), ASP.NET IServiceCollection (C#)
Grep for new SomeService() in business logic (direct instantiation)
Check for bootstrap module: bootstrap.ts, init.py, Startup.cs, app.module.ts

Severity	Criteria
MEDIUM	No DI container (tight coupling)
MEDIUM	Direct instantiation in business logic
LOW	Mixed DI and direct imports

Outcome Goal: Dependencies are replaceable for testing without modifying production code. No tight coupling between service instantiation and business logic. Implementation choice (DI container, factory functions, parameter injection, closures) depends on project size and stack.

Effort: L

7. Missing Best Practices Guide

Check for: docs/architecture.md, docs/best-practices.md, ARCHITECTURE.md, CONTRIBUTING.md

Severity	Criteria
LOW	No architecture/best practices guide

Recommendation: Create docs/architecture.md with layering rules, error handling patterns, DI usage, coding conventions.

Effort: S

Scoring Algorithm

MANDATORY READ: Load shared/references/audit_worker_core_contract.md and shared/references/audit_scoring.md.

Output Format

MANDATORY READ: Load shared/references/audit_worker_core_contract.md and shared/templates/audit_worker_report_template.md.

Write report to {output_dir}/623-principles-{domain}.md (or 623-principles.md in global mode) with category: "Architecture & Design".

FINDINGS-EXTENDED block (required for this worker): After the Findings table, include a  JSON block containing all DRY findings with pattern_signature for cross-domain matching by ln-620 coordinator. Follow shared/templates/audit_worker_report_template.md.

pattern_id: DRY type identifier (dry_1.1 through dry_1.10). Omit for non-DRY findings.

pattern_signature: Normalized key for the detected pattern (e.g., validation_email, sql_users_findByEmail, middleware_auth_validate_ratelimit). Same signature in multiple domains triggers cross-domain DRY finding. Format is defined in references/detection_patterns.md.

Return summary to coordinator:

Report written: docs/project/.audit/ln-620/{YYYY-MM-DD}/623-principles-users.md
Score: X.X/10 | Issues: N (C:N H:N M:N L:N)

Critical Rules

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

Do not auto-fix: Report only
Domain-aware scanning: If domain_mode="domain-aware", scan ONLY scan_path
Tag findings: Include domain field in each finding when domain-aware
Pattern signatures: Include pattern_id + pattern_signature for every DRY finding
Context-aware: Use project's principles.md to define what's acceptable
Effort realism: S = <1h, M = 1-4h, L = >4h
Exclusions: Skip generated code, vendor, migrations (see detection_patterns.md#exclusions)

Definition of Done

MANDATORY READ: Load shared/references/audit_worker_core_contract.md.

contextStore parsed (including domain_mode, current_domain, output_dir)
scan_path determined (domain path or codebase root)
Detection patterns loaded from references/detection_patterns.md
All 7 checks completed (scoped to scan_path):
- DRY (10 subcategories: 1.1-1.10), KISS, YAGNI, Error Handling, Centralized Errors, DI/Init, Best Practices Guide
Recommendations selected via references/refactoring_decision_tree.md
Findings collected with severity, location, effort, pattern_id, pattern_signature, recommendation, domain
Score calculated per shared/references/audit_scoring.md
Report written to {output_dir}/623-principles-{domain}.md with FINDINGS-EXTENDED block (atomic single Write call)
Summary returned to coordinator

Reference Files

Detection patterns: references/detection_patterns.md
Refactoring decision tree: references/refactoring_decision_tree.md

Version: 5.0.0 Last Updated: 2026-02-08

Weekly Installs

164

Repository

levnikolaevich/…e-skills

GitHub Stars

253

First Seen

Feb 2, 2026

Security Audits

Gen Agent Trust HubPass SocketPass SnykWarn

Installed on

claude-code152

cursor151

codex148

gemini-cli148

opencode148

github-copilot145

Write Report: Build full markdown report in memory per shared/templates/audit_worker_report_template.md, write to {output_dir}/623-principles-{domain}.md (or 623-principles.md in global mode) in single Write call. Include JSON block with pattern_signature fields for cross-domain DRY analysis

代码原则审计工具：自动化检测DRY、KISS、YAGNI违规，提升代码质量与架构合规性

🇨🇳中文介绍

代码原则审计员 (L3 Worker)

目的与范围

输入（来自协调器）

相关 Skills

工作流程

双层检测（必读）

审计规则

1. DRY 违规（不要重复自己）

2. KISS 违规（保持简单）

3. YAGNI 违规（你不需要它）

4. 缺少错误处理

5. 集中式错误处理

6. 依赖注入 / 集中式初始化

7. 缺少最佳实践指南

评分算法

输出格式

关键规则

完成定义

参考文件

🇺🇸English

Code Principles Auditor (L3 Worker)

Purpose & Scope

Inputs (from Coordinator)

Workflow

Two-Layer Detection (MANDATORY)

Audit Rules

1. DRY Violations (Don't Repeat Yourself)

2. KISS Violations (Keep It Simple, Stupid)

3. YAGNI Violations (You Aren't Gonna Need It)

4. Missing Error Handling

5. Centralized Error Handling

6. Dependency Injection / Centralized Init

7. Missing Best Practices Guide

Scoring Algorithm

Output Format

Critical Rules

Definition of Done

Reference Files

最新 Skills