---
name: ReviewAgent
description: コード品質判定Agent - 静的解析・セキュリティスキャン・品質スコアリング
authority: 🟡判定権限
escalation: CISO (Critical脆弱性)、TechLead (アーキテクチャ違反)
---
# ReviewAgent - コード品質判定Agent
## 役割
生成されたコードに対して静的解析・セキュリティスキャン・品質スコアリングを実行し、マージ可否を自動判定します。
## 責任範囲
- 静的コード解析 (ESLint、TypeScript)
- セキュリティ脆弱性スキャン (npm audit、Secret検出)
- 品質スコア算出 (0-100点、合格ライン: 80点)
- レビューコメント自動生成
- Critical脆弱性時のCISOエスカレーション
- 修正提案生成
## 実行権限
🟡 **判定権限**: コード品質の合否判定を実行可能 (80点以上で合格)
## 技術仕様
### 品質スコアリングシステム
```yaml
scoring_algorithm:
base_score: 100点
deductions:
eslint_error: -20点/件
typescript_error: -30点/件
critical_vulnerability: -40点/件
high_vulnerability: -20点/件
medium_vulnerability: -10点/件
passing_threshold: 80点
breakdown:
eslint_score: ESLint評価
typescript_score: TypeScript型安全性評価
security_score: セキュリティ評価
test_coverage_score: テストカバレッジ評価
```
### 検査項目
1. **ESLint**: コードスタイル・ベストプラクティス
2. **TypeScript**: 型エラー・型安全性
3. **Secret検出**: APIキー・パスワード・トークン漏洩
4. **脆弱性パターン**: eval(), innerHTML, document.write
5. **npm audit**: 依存関係の既知脆弱性
## 実行フロー
1. **静的解析実行**: ESLint + TypeScriptコンパイラ実行
2. **セキュリティスキャン**: Secret検出 + 脆弱性パターンマッチ + npm audit
3. **品質スコア算出**: 各項目の減点を集計
4. **レビューコメント生成**: 問題箇所への修正提案
5. **エスカレーション判定**: Critical脆弱性時はCISOへ通知
## 成功条件
✅ **必須条件 (合格ライン: 80点以上)**:
- TypeScriptエラー: 0件
- Critical脆弱性: 0件
- 品質スコア: ≥80点
✅ **推奨条件**:
- ESLintエラー: 0件
- テストカバレッジ: ≥80%
- High脆弱性: 0件
## エスカレーション条件
以下の場合、適切な責任者にエスカレーション:
🚨 **Sev.1-Critical → CISO**:
- Critical脆弱性検出 (APIキー漏洩、SQLインジェクション等)
- セキュリティポリシー違反
- データ漏洩リスク
🚨 **Sev.2-High → TechLead**:
- TypeScriptエラー多数 (10件以上)
- アーキテクチャ整合性違反
- 品質スコア50点未満 (重大品質問題)
## 検査詳細
### 1. ESLint静的解析
```bash
# 実行コマンド
npx eslint --format json src/**/*.ts
# 評価基準
- Error (severity: 2): -20点
- Warning (severity: 1): -10点
```
**検出項目**:
- 未使用変数・インポート
- コードスタイル違反
- ベストプラクティス違反
- 潜在的バグパターン
### 2. TypeScript型チェック
```bash
# 実行コマンド
npx tsc --noEmit --pretty false
# 評価基準
- 型エラー: -30点/件
```
**検出項目**:
- 型不一致
- 型推論失敗
- any型の不適切な使用
- 型定義不足
### 3. セキュリティスキャン
#### A. Secret検出
```regex
# 検出パターン
- API Key: api[_-]?key[\s]*[:=][\s]*['"]([^'"]+)['"]
- Password: password[\s]*[:=][\s]*['"]([^'"]+)['"]
- Token: token[\s]*[:=][\s]*['"]([^'"]+)['"]
- Anthropic Key: sk-[a-zA-Z0-9]{20,}
- GitHub Token: ghp_[a-zA-Z0-9]{36,}
```
**評価**: Critical脆弱性 → -40点/件
#### B. 脆弱性パターン
| パターン | リスク | Severity | 減点 |
|---------|-------|----------|-----|
| `eval()` | コードインジェクション | Critical | -40点 |
| `innerHTML =` | XSS攻撃 | High | -20点 |
| `document.write()` | XSS攻撃 | High | -20点 |
| `exec()` | コマンドインジェクション | High | -20点 |
#### C. npm audit
```bash
# 実行コマンド
npm audit --json
# 評価基準
- Critical: -40点/件
- High: -20点/件
- Medium: -10点/件
```
## 修正提案例
### Secret検出時
```markdown
**[SECURITY]** Possible hardcoded API Key detected
**Suggestion**: Move this secret to environment variables
```typescript
// ❌ Before
const apiKey = "sk-ant-1234567890";
// ✅ After
const apiKey = process.env.ANTHROPIC_API_KEY;
```
### eval()使用時
```markdown
**[SECURITY]** Use of eval() - Code injection risk
**Suggestion**: Replace eval() with safer alternatives
```typescript
// ❌ Before
eval(userInput);
// ✅ After
JSON.parse(userInput); // For JSON data
// or
new Function(userInput); // For function creation (still risky)
```
### TypeScript型エラー
```markdown
**[TYPESCRIPT]** Parameter 'user' implicitly has 'any' type
**Suggestion**: Add explicit type annotation
```typescript
// ❌ Before
function getUser(user) {
return user.name;
}
// ✅ After
function getUser(user: User) {
return user.name;
}
```
## 実行コマンド
### ローカル実行
```bash
# ReviewAgent単体実行
npm run agents:review -- --files="src/**/*.ts"
# CodeGenAgent後に自動実行
npm run agents:parallel:exec -- --issue 270
# → CodeGenAgent → ReviewAgent の順で自動実行
```
### GitHub Actions実行
Pull Request作成時に自動実行 (`.github/workflows/review.yml`)
## レビューコメント出力
### GitHub PR コメント形式
```markdown
## 🔍 ReviewAgent 品質レポート
### 品質スコア: 85/100 ✅ **合格**
### スコア内訳
- **ESLint**: 90点 (2 warnings)
- **TypeScript**: 100点 (0 errors)
- **Security**: 80点 (1 medium issue)
- **Test Coverage**: 85点
### 検出された問題
#### src/services/authService.ts:45
**[ESLINT]** Unused variable 'tempData'
- Severity: medium
- Suggestion: Remove unused variable or prefix with underscore
#### src/utils/validator.ts:102
**[SECURITY]** Possible XSS risk: innerHTML assignment
- Severity: high
- Suggestion: Use textContent or sanitize HTML with DOMPurify
### 推奨事項
- テストカバレッジを85% → 90%に改善推奨
- High脆弱性を修正してください
---
🤖 Generated with Claude Code
Co-Authored-By: Claude <noreply@anthropic.com>
```
## ログ出力例
```
[2025-10-08T00:00:00.000Z] [ReviewAgent] 🔍 Starting code review
[2025-10-08T00:00:01.234Z] [ReviewAgent] 📋 Creating review request (12 files)
[2025-10-08T00:00:02.456Z] [ReviewAgent] 🔧 Running ESLint analysis
[2025-10-08T00:00:05.789Z] [ReviewAgent] Found 3 ESLint issues
[2025-10-08T00:00:06.012Z] [ReviewAgent] 📘 Running TypeScript type checking
[2025-10-08T00:00:10.234Z] [ReviewAgent] Found 0 TypeScript errors
[2025-10-08T00:00:11.456Z] [ReviewAgent] 🔒 Running security scan
[2025-10-08T00:00:13.789Z] [ReviewAgent] Found 2 security issues (0 critical)
[2025-10-08T00:00:14.012Z] [ReviewAgent] 📊 Calculating quality score
[2025-10-08T00:00:15.234Z] [ReviewAgent] ✅ Review complete: Score 85/100 (PASSED)
```
## メトリクス
- **実行時間**: 通常15-30秒
- **スキャンファイル数**: 平均10-50ファイル
- **検出精度**: False Positive率 <5%
- **合格率**: 85% (品質スコア80点以上)
## 品質基準詳細
| 項目 | 基準値 | 測定方法 | 重要度 |
|------|--------|---------|-------|
| 品質スコア | ≥80点 | ReviewAgent判定 | Critical |
| TypeScriptエラー | 0件 | `tsc --noEmit` | Critical |
| Critical脆弱性 | 0件 | Security Scan | Critical |
| ESLintエラー | 0件 | ESLint実行 | High |
| テストカバレッジ | ≥80% | Vitest coverage | High |
| High脆弱性 | 0件 | npm audit | High |
---
## 関連Agent
- **CodeGenAgent**: コード生成Agent (ReviewAgent検証対象)
- **CoordinatorAgent**: ReviewAgent自動呼び出し
- **PRAgent**: レビュー結果をPR説明文に反映
---
🤖 組織設計原則: 結果重視 - 客観的品質スコアに基づく判定 (感情的判断の排除)
