Claude Code 托管 Code Review 是面向 Team/Enterprise 的研究预览功能。它不同于本地 /review:托管审查在 Anthropic 基础设施上运行,多组专门 Agent 并行分析 GitHub PR,然后把结果写回 GitHub inline comments。
它解决什么问题?
传统代码审查容易漏掉:
- 边界条件错误
- 新旧逻辑之间的隐性回归
- 鉴权/授权遗漏
- SQL 注入、日志泄密等安全问题
- 测试覆盖没有覆盖到的路径
托管 Code Review 的定位不是替代人类,而是在 PR 进入人类 review 之前先做一轮深度扫描。
工作流程
一次审查大致这样进行:
- PR 创建、更新或手动触发
- Claude 读取 PR diff 与相关代码上下文
- 多个 Agent 从不同角度找问题
- Verification 步骤过滤误报
- 结果按严重性去重、排序
- 以 GitHub inline comments 和 check run 形式返回
它不会默认 approve 或 block PR,因此不会直接破坏现有 branch protection。团队可以自行决定是否把审查结果接入 CI gate。
严重性标签
| 标签 | 含义 | 处理建议 |
|---|---|---|
| 🔴 Important | 合并前应修复的问题 | 优先处理 |
| 🟡 Nit | 较轻问题或改进建议 | 视情况修复 |
| 🟣 Pre-existing | 既有问题,不是本 PR 引入 | 可单独建 issue |
Claude 评论通常包含扩展 reasoning,可以看到它为什么判断这里有风险,以及它做了哪些验证。
手动触发命令
在 PR 顶层评论中输入:
text
@claude review立即审查,并订阅该 PR 后续 push 的自动审查。
text
@claude review once只审查当前 PR 状态,不订阅后续 push。
注意:命令要放在顶层 PR comment 里,而不是 inline diff comment。PR 必须 open,触发者需要对应仓库权限。
REVIEW.md:审查专用规则
CLAUDE.md 是项目通用指令;REVIEW.md 是审查专用最高优先级规则,放在仓库根目录。
示例:
markdown
# REVIEW.md
Important findings:
- Authentication or authorization bypass
- SQL injection or unsafe query construction
- Data loss or irreversible migration risk
Nit findings:
- Minor style issues only when they reduce readability
Do not comment on:
- Formatting issues already covered by CI
- Missing tests unless the PR changes security-sensitive logic一个关键区别:REVIEW.md 不展开 @import,需要把规则直接写在文件里。
适合开启的仓库
适合:
- 安全敏感后端服务
- 高频 PR 的大型团队
- 审查压力大的核心仓库
- 需要 AI 作为第二审查者的团队
不适合:
- 每天大量微小 PR 且成本敏感的仓库
- 文档或实验性原型仓库
- Zero Data Retention 组织
最佳实践
- 用
REVIEW.md定义什么算 Important - 不要让 AI 评论格式化问题,交给 CI
- 对 Important findings 设置人类确认流程
- 定期看误报,调整
REVIEW.md - 成本敏感仓库用手动触发而不是每次 push 自动审查
来源:Claude Code 官方文档 - Code Review | 整理:ClaudeEagle