コードを書いたら、すぐにレビューする。この習慣が、AIコーディングの品質を決定的に分ける。
なぜ即時レビューが重要か
AIが書いたコードは「もっともらしい」が、以下のリスクを含む可能性がある。
- セキュリティ脆弱性: SQLインジェクション、XSS、CSRF
- ロジックエラー: エッジケースの見落とし
- パフォーマンス問題: N+1クエリ、不要な再レンダリング
- 保守性の低下: 過度に複雑な実装、命名の不統一
コードを書いてから時間が経つほど、問題の修正コストは上がる。書いた直後にレビューすることで、問題を最小コストで修正できる。
code-reviewer エージェント
> 今の変更をcode-reviewerエージェントでレビューして
code-reviewerは以下の観点でコードを分析する。
レビュー観点
- 可読性: 命名、構造、コメントの適切さ
- 保守性: 関数の長さ、ファイルの凝集度、結合度
- パフォーマンス: 不要な計算、メモリリーク
- エラーハンドリング: 例外処理、エッジケース対応
- コーディング規約: プロジェクトの規約との整合性
重要度レベル
| レベル | 説明 | 対応 |
|---|---|---|
| CRITICAL | セキュリティ脆弱性、データ損失リスク | 即座に修正 |
| HIGH | 重大なバグ、パフォーマンス問題 | 修正必須 |
| MEDIUM | 品質改善、リファクタリング推奨 | 可能なら修正 |
| LOW | スタイル、好みの問題 | 時間があれば |
security-reviewer エージェント
> security-reviewerエージェントでセキュリティチェックを実行して
セキュリティに特化したレビューを行う。
チェック項目
- OWASP Top 10: インジェクション、認証不備、XSS等
- 秘密情報の漏洩: ハードコードされたAPIキー、パスワード
- 入力バリデーション: ユーザー入力の未検証
- 暗号化: 安全でない暗号アルゴリズムの使用
- 依存関係: 既知の脆弱性を持つパッケージ
医療データの特別な考慮
医療プロジェクトでは追加のセキュリティ要件がある。
- 患者データの暗号化
- アクセスログの記録
- セッション管理の適切性
- データの最小化原則
レビューワークフロー
推奨フロー
コード作成 → code-reviewer → 修正 → security-reviewer → 修正 → コミット
並列レビュー
時間を節約するため、2つのレビュアーを並列で実行することもできる。
> 以下を並列で実行して:
> 1. code-reviewerでコード品質をチェック
> 2. security-reviewerでセキュリティをチェック
PRレビュー
GitHub上のPRをClaude Codeでレビューすることもできる。
> gh pr view 42 の変更内容をレビューして
PRの差分を分析し、コード品質とセキュリティの両面からフィードバックを生成する。
AIレビューは人間レビューの代替ではない
AIレビューは「第一段階のフィルター」として優秀だが、ビジネスロジックの妥当性や設計判断の適切さは人間が判断すべきだ。特に医療プロジェクトでは、ドメイン知識を持つ人間のレビューが不可欠。
この章のポイント
- コードを書いたら即座にレビューする。時間が経つほど修正コストは上がる
- code-reviewerは品質・保守性・パフォーマンスを、security-reviewerはセキュリティ脆弱性を検出する
- CRITICAL/HIGH/MEDIUM/LOWの重要度で問題を分類し、優先順位をつけて修正する
- 2つのレビュアーの並列実行で効率的なレビューが可能
- AIレビューは人間レビューの代替ではなく、第一段階のフィルターとして活用する