团队代码规范一致性审查专家

[ { "问题分类": "命名规范", "问题描述": "函数名使用混合大小写（getUser），不符合 PEP8 要求的 snake_case 命名规则，且与模块内其他标识符的下划线风格不一致。", "代码位置": "第15行函数定义；第38行函数调用", "严重程度": "一般", "修正建议": "将函数名更改为 get_user，并同步更新所有调用处与引用；保持参数与返回类型不变。", "规范依据": "PEP8 Naming Conventions — Function and Method Names（函数和方法使用 lower_case_with_underscores）" }, { "问题分类": "命名规范", "问题描述": "变量名过于简略，影响可读性与可维护性：循环变量和推导式使用单字母 u，实例变量使用缩写 rb。", "代码位置": "第17-18行循环变量 'u'；第29-30行推导式变量 'u'；第37行变量 'rb'", "严重程度": "轻微", "修正建议": "将循环/推导式变量 'u' 更名为 'user'；将 'rb' 更名为 'report_builder'；保持语义清晰、与上下文一致。", "规范依据": "PEP8 Naming Conventions — Variable Names（变量使用有描述性的名称，除计数器外避免过短）" }, { "问题分类": "注释问题", "问题描述": "缺少模块级文档字符串（module docstring），不利于描述文件用途与对外接口。", "代码位置": "文件开头（第1行之前）", "严重程度": "一般", "修正建议": "在文件开头添加模块文档字符串（"""..."""），简要说明模块职责、主要类/函数以及入口（main）。", "规范依据": "PEP257 Docstring Conventions；PEP8 — Documentation Strings（为公共模块提供文档字符串）" }, { "问题分类": "注释问题", "问题描述": "缺少公共类与函数/方法的文档字符串：User 类、getUser 函数、ReportBuilder.init、ReportBuilder.build、main。", "代码位置": "第9行类 User；第15行函数 getUser；第24行方法 init；第28行方法 build；第35行函数 main", "严重程度": "一般", "修正建议": "为上述公共实体添加文档字符串，包含：简要说明、参数（名称/类型/含义）、返回值、可能的副作用或日志输出。init 的参数说明可并入类的 docstring。", "规范依据": "PEP257 Docstring Conventions；PEP8 — Documentation Strings（为公共类、函数和方法提供合适的 docstring）" }, { "问题分类": "注释问题", "问题描述": "类 ReportBuilder 的文档字符串使用三单引号（'''...'''），与 PEP257 推荐的三重双引号不一致。", "代码位置": "第23行类 ReportBuilder 的文档字符串", "严重程度": "轻微", "修正建议": "将文档字符串改为三重双引号（"""..."""），并确保首行为简要摘要句，必要时补充细节段落。", "规范依据": "PEP257 Docstring Conventions（使用三重双引号）；PEP8 — Docstrings" }, { "问题分类": "格式问题", "问题描述": "顶层定义之间空行数量不足：class User 与后续函数定义之间仅有一行，应为两行。", "代码位置": "第14-15行之间（class User 之后、def getUser 之前）", "严重程度": "一般", "修正建议": "在 class User 之后增加至两个空行，以分隔顶层定义。", "规范依据": "PEP8 — Blank Lines（顶层类/函数定义之间使用两个空行；flake8 E302）" }, { "问题分类": "格式问题", "问题描述": "顶层定义之间空行数量不足：def getUser 与后续类定义之间仅有一行，应为两行。", "代码位置": "第21-22行之间（def getUser 之后、class ReportBuilder 之前）", "严重程度": "一般", "修正建议": "在 def getUser 之后增加至两个空行，保持顶层定义分隔一致。", "规范依据": "PEP8 — Blank Lines（顶层类/函数定义之间使用两个空行；flake8 E305）" }, { "问题分类": "格式问题", "问题描述": "顶层定义之间空行数量不足：class ReportBuilder 与后续函数定义之间仅有一行，应为两行。", "代码位置": "第34-35行之间（class ReportBuilder 之后、def main 之前）", "严重程度": "一般", "修正建议": "在 class ReportBuilder 之后增加至两个空行。", "规范依据": "PEP8 — Blank Lines（顶层类/函数定义之间使用两个空行；flake8 E305）" }, { "问题分类": "格式问题", "问题描述": "顶层函数定义之后空行不足：def main 之后到模块级代码（if name == 'main':）之间仅有一行，建议两行以提高可读性。", "代码位置": "第41-42行之间（def main 之后、if name == 'main': 之前）", "严重程度": "一般", "修正建议": "在 def main 之后补足至两个空行（共两行空行）再开始模块级代码。", "规范依据": "PEP8 — Blank Lines（类/函数定义之后建议两个空行；flake8 E305）" }, { "问题分类": "格式问题", "问题描述": "部分代码行长度可能超过 PEP8 建议的最大 79 字符，影响可读性与换行显示。", "代码位置": "第30行（长名称统计表达式）；第36行（users 列表字面量）", "严重程度": "一般", "修正建议": "使用括号进行隐式换行或拆分为多行：例如在第30行使用临时变量或将条件部分换行；在第36行将列表元素分行书写，每个元素独立一行。", "规范依据": "PEP8 — Maximum Line Length（源码行不超过 79 字符；文档字符串/注释不超过 72 字符）" }, { "问题分类": "结构问题", "问题描述": "在启用 from future import annotations 的前提下仍使用 typing.List/Dict/Optional，类型注解风格不统一，建议采用内置泛型与联合类型以简化与统一。", "代码位置": "第4行导入 typing；第15行函数签名；第28行方法签名", "严重程度": "轻微", "修正建议": "将 List[User] 替换为 list[User]，Dict[str, int] 替换为 dict[str, int]，Optional[User] 替换为 User | None；同时移除对 List、Dict、Optional 的导入。", "规范依据": "PEP 585 — Type Hinting Generics In Standard Collections；PEP 604 — Union Types；PEP8 与 PEP484（类型注释的一致性与可读性建议）" } ]

[ { "问题分类": "格式问题", "问题描述": "使用了通配符导入(java.util.)，不符合显式导入的通用规范要求，降低可读性并可能引入命名冲突风险。", "代码位置": "第3行 import java.util.", "严重程度": "一般", "修正建议": "将通配符导入替换为明确类导入：import java.util.Map; import java.util.HashMap; import java.util.Objects; 并保持导入分组与排序一致（静态导入、java.、javax.、第三方包）。", "规范依据": "Google Java Style Guide 3.3.1（Import statements: No wildcard imports）" }, { "问题分类": "注释问题", "问题描述": "公开方法缺少Javadoc，未对参数、返回值、异常、线程安全约束及安全考虑进行说明，影响可读性与维护性。", "代码位置": "第19行 registerUser(String userId, String plain); 第33行 verify(String userId, String input)", "严重程度": "一般", "修正建议": "为所有public方法补充Javadoc，包含@param、@return、可能的@throws说明；对密码处理的安全约束（如哈希算法、盐使用）和线程安全策略进行明确说明。", "规范依据": "Google Java Style Guide 7（Javadoc）; 7.3（Method comments）" }, { "问题分类": "安全规范", "问题描述": "密码哈希使用单次SHA-256且无工作因子，不符合密码存储最佳实践，易受暴力破解和彩虹表攻击。", "代码位置": "第40-44行 private byte[] hash(String value, byte[] salt)", "严重程度": "严重", "修正建议": "采用专用口令哈希算法（PBKDF2、bcrypt、scrypt或Argon2），使用随机盐（16-32字节）并设置足够迭代/成本（例如PBKDF2-HMAC-SHA256≥310k迭代或依据性能基准），同时持久化算法参数（盐、迭代、算法标识）随哈希一起存储。", "规范依据": "OWASP Password Storage Cheat Sheet; NIST SP 800-63B §5.1.1.2（Memorized Secrets）; OWASP ASVS V2.1" }, { "问题分类": "安全规范", "问题描述": "注册时生成的salt未持久化，校验时使用new byte[16]代替真实salt，导致哈希不可验证且安全性失效。", "代码位置": "第25-29行（salt生成与未存储）；第36行（校验使用new byte[16]）", "严重程度": "严重", "修正建议": "将salt与哈希一起持久化（例如存储结构包含hash、salt、算法、迭代），校验时读取对应用户的salt并用于哈希计算，再进行恒定时间比较。", "规范依据": "OWASP Password Storage Cheat Sheet（Store salt with hash）; NIST SP 800-63B §5.1.1.2" }, { "问题分类": "结构问题", "问题描述": "使用非线程安全的HashMap存储凭据，且仅registerUser方法加synchronized，verify未同步，存在竞态与可见性问题。", "代码位置": "第17行 userHashStore；第19行 synchronized registerUser；第33行 verify", "严重程度": "一般", "修正建议": "使用线程安全容器（ConcurrentHashMap）并确保读写操作具备一致的同步策略；或在类级别明确不可并发访问并在Javadoc中说明。", "规范依据": "Java Concurrency in Practice（线程安全容器与同步原则）; Effective Java（3rd）Item 82（Prefer concurrency utilities to synchronized）" }, { "问题分类": "结构问题", "问题描述": "捕获过于宽泛的Exception并仅记录消息，未记录堆栈信息；错误路径返回空字节数组可能导致下游逻辑误判或掩盖问题。", "代码位置": "第45-47行 catch (Exception e) { LOG.severe("hash error: " + e.getMessage()); return new byte[0]; }", "严重程度": "一般", "修正建议": "捕获具体异常（如NoSuchAlgorithmException、NullPointerException），使用LOG.log(Level.SEVERE, "hash error", e)记录堆栈；错误时通过抛出受检/非受检异常或返回可表示失败的类型（如Optional）而非空数组。", "规范依据": "SEI CERT ERR08-J（Catch specific exceptions）; Google Java Style Guide 6.2（Exceptions）" }, { "问题分类": "格式问题", "问题描述": "使用魔法数字16表示salt长度，缺少含义表达和集中管理。", "代码位置": "第25行 new byte[16]；第36行 new byte[16]", "严重程度": "轻微", "修正建议": "引入命名常量：private static final int SALT_LENGTH = 16; 在所有相关位置使用该常量。", "规范依据": "Clean Code（避免魔法数字的最佳实践）; Google Java Style Guide 5.2.4（常量命名与可读性）" }, { "问题分类": "格式问题", "问题描述": "单行if语句未使用大括号，降低一致性与可维护性，易在后续修改中引入错误。", "代码位置": "第21行 if (plain == null || plain.isBlank()) return false;；第35行 if (stored == null) return false;", "严重程度": "一般", "修正建议": "为所有控制语句使用大括号：if (...) { return false; }。", "规范依据": "Google Java Style Guide 4.1.1（Braces are used for all control structures）" }, { "问题分类": "命名规范", "问题描述": "同类语义的参数命名不一致（plain、input、value）；常量命名不够语义化（WEAK）。影响可读性与一致性。", "代码位置": "第19行 参数plain；第33行 参数input；第40行 参数value；第16行 常量WEAK", "严重程度": "轻微", "修正建议": "统一命名语义：plainPassword / passwordInput / password；将WEAK重命名为WEAK_PASSWORD_PATTERN以提升表达性。", "规范依据": "Google Java Style Guide 5.2（Naming）; 5.2.4（Constant names）" }, { "问题分类": "格式问题", "问题描述": "日志使用字符串拼接，不利于结构化日志和性能（日志级别过滤前仍会拼接）；错误日志未使用参数化形式记录异常。", "代码位置": "第23行 LOG.warning("weak password for " + userId);；第46行 LOG.severe("hash error: " + e.getMessage());", "严重程度": "轻微", "修正建议": "使用参数化日志：LOG.log(Level.WARNING, "weak password for userId={0}", new Object[]{userId}); 记录异常时：LOG.log(Level.SEVERE, "hash error", e)。", "规范依据": "OWASP Logging Cheat Sheet（避免敏感信息及结构化日志）; Java Util Logging 指南（使用参数化日志与异常传入）" }, { "问题分类": "结构问题", "问题描述": "verify方法未对输入参数input进行空值前置校验，可能将NPE延迟到哈希过程，降低错误定位性与一致性。", "代码位置": "第33行 public boolean verify(String userId, String input)", "严重程度": "轻微", "修正建议": "在方法入口进行一致的空值校验：Objects.requireNonNull(input, "input"); 与registerUser的参数校验保持一致性。", "规范依据": "Google Java Style Guide 6.1（Method design）; Effective Java（对参数进行前置条件校验的最佳实践）" } ]