我独自开发了一个 AI 代码审查工具,历时三个月。以下是我的收获以及我为何开源它。
Source: Dev.to
问题
一个 PR 被打开后,放置几天,有人随便看一眼,敲下 “LGTM 👍” 并合并。几天后,生产环境因 SQL 注入漏洞而炸开锅——如果进行一次合适的审查,这个漏洞本可以在几秒钟内被发现。这样的情况随处可见——每个团队、每家公司,大家都知道它在发生。
我构建的内容
DevPulse 连接到你的 GitHub 或 GitLab 仓库,选取任意 PR,并在约 30 秒内完成一次完整的 AI 审查。它会提供具体、可操作的反馈,例如:
- “第 47 行 — 存在 SQL 注入漏洞,以下是代码片段以及修复方法。”
- “你在循环内部进行数据库调用——在负载下会导致服务器崩溃。”
- “这个 API 密钥被硬编码了——你以为以后会修复,但实际上不会。”
团队中的每位开发者都会收到基于其 PR 中实际发现的问题的 质量评分和等级(A+、A、B、C),帮助你了解谁始终编写干净代码,谁却经常凭 LGTM 通过。
点击任意开发者即可查看其完整档案——来自 GitHub/GitLab 的实时提交、PR 历史、贡献的仓库、他们引入的问题类别以及严重程度分布。
完整的 仓库扫描器 还能遍历整个代码库(不仅限于 PR),查找漏洞、过时的依赖以及已经潜伏数月的安全隐患。
技术栈
- 后端: Python、Django、Django REST Framework
- 前端: React + Vite,完全从零构建的自定义设计系统
- AI: Google Gemini API
- 集成: GitHub API 与 GitLab API(均已完整支持)
我独自构建时的收获
独自开发在开始时进展飞快,但到后期会非常残酷。第一个月我每天都在发布新功能;到了第三个月,我在后端、前端、AI Prompt 和 API 集成之间切换的时间,比实际编码的时间还多。
最难的并不是代码本身,而是独自做产品决策。每一个功能、设计选择和 API 设计都没有人可以讨论,导致不断自我怀疑。
这教会了我如何快速交付。单兵作战时没有 “让我先和团队确认一下” 的环节,你只能自己决定并实现。
为什么我开源它
一个人只能把东西做到有限的程度。产品已经可用,想法真实,问题也确实存在。现在它需要更多人参与。
我在寻找愿意帮助把它打造成真正有用工具的贡献者——不仅是修复 bug,而是一起定义它的未来。后端、前端、DevOps、设计、AI/ML——任何帮助都欢迎。如果你是对 LGTM 文化感到厌倦的开发者,克隆它、运行它、搞砸它,然后告诉我哪里有问题。
代码
- 后端 →
- 前端 →