repo-scan

repo-scan 技能概览

repo-scan 的作用

repo-scan 是一款跨技术栈的源码审计技能，帮助你快速判断一个仓库里有多少是自研代码、第三方代码，或是构建噪音。当你需要为 Code Review、迁移方案或重构决策做 repo-scan，又不想先手动翻看成千上万个文件时，它尤其有用。

适合谁安装

如果你处理的是遗留代码库、monorepo，或所有权边界不清晰的多语言仓库，就适合安装 repo-scan 技能。它对需要一次性把握 C++、Android、iOS 和 Web 代码结构的审查者、平台工程师和架构师尤其有价值。

它为什么不一样

repo-scan 的核心价值不只是列出依赖，而是会对文件进行分类，并给出可直接用于决策的结论，帮你判断哪些该保留、提取、合并或移除。这让它比通用提示词更偏向决策支持，也比特定生态的依赖工具更有用。

如何使用 repo-scan 技能

安装 repo-scan

按照技能文件中的 repo-scan 安装步骤操作，并保留固定 commit 的做法，以确保可复现性。先把它安装到你的 Claude skills 目录，再在敏感代码上运行之前，确认自己用的是预期的来源。

从正确的输入开始

要想把 repo-scan 用好，最好同时提供仓库路径、审计目标和范围边界。一个更好的提示词是：“扫描这个 monorepo，在重构 payments service 之前，找出核心资产、内嵌的第三方代码，以及可能的冗余内容。”这比“分析这个 repo”更有效，因为它明确告诉技能，什么样的结论才算有用。

先读这些文件

先从 SKILL.md 开始，再查看任何说明约定或例外情况的仓库级文档。如果存在，在信任扫描结果之前，先读 README.md、AGENTS.md、metadata.json，以及 rules/、resources/、references/ 或 scripts/ 这类支持目录。在这个仓库里，公开可见的源文件只有 SKILL.md，所以安装选择主要取决于该文档中描述的工作流，以及你对固定来源的自行审查。

把扫描接入评审流程

把 repo-scan 当作第一轮分流工具，再用代码审查或定向 grep 去验证最重要的发现。最佳流程是：先扫描仓库，检查被标记的模块，确认所有权和嵌入式库，最后把结果转化为重构或清理计划。

repo-scan 技能 FAQ

repo-scan 只适合大型仓库吗？

不是。它在大型或多语言仓库上最有价值，但如果较小的代码库里有大量 vendored code、生成产物或不清晰的模块边界，它也同样能派上用场。如果仓库本身已经很干净、文档也很完善，收益就会低一些。

repo-scan 和普通提示词有什么不同？

普通提示词可以概述一个仓库，但 repo-scan 旨在驱动一套可重复的审计流程，包含文件分类和结论输出。这让用于 Code Review 的 repo-scan 在你需要稳定一致的检查标准时，比一次性摘要更强。

repo-scan 适合新手吗？

适合，只要你能给出明确目标，并且批判性地阅读输出结果。这个技能更偏向做判断，而不是教你版本控制基础，所以新手最好配合具体问题使用，比如“哪些内容可以安全删除？”，而不是笼统地说“把一切都分析一下”。

什么情况下不该用 repo-scan？

如果你只需要高层产品说明、包依赖列表，或者运行时调试，就不该用它。如果仓库本身很小，或者真正重要的问题是行为测试而不是代码所有权，它也不是合适选择。

如何改进 repo-scan 技能

收紧审计边界

提升 repo-scan 结果的最好方法，是先定义你要看的仓库切片，以及你真正关心的决策。明确说明你要的是全仓扫描、单个服务，还是只看可能是第三方或死代码的文件。边界越窄，噪音结论越少，报告也越容易落地。

直接要求你会用到的输出

如果你需要的是清理计划，就让它按风险或工作量给模块排序。如果你需要的是 Code Review 辅助，就让它指出哪些嵌入式库和生成资产可能掩盖所有权问题。repo-scan 最适合的提示方式，是直接点明下游决策，而不只是说出仓库名称。

手动验证边缘情况

最常见的失败模式，是对生成文件、vendored code 或特定语言的构建输出过度相信第一轮分类。扫描完成后，先检查最靠前的被标记路径，并把它们和仓库约定对照起来，避免把看起来冗余、实际上仍有用途的代码删掉。

从发现走向行动

第一次拿到 repo-scan 输出后，针对最模糊的模块继续追问。例如：“这些被标记的目录里，哪些可以安全归档？”或者“哪些第三方库看起来是嵌入进去的，而不是声明式依赖？”这样能让 repo-scan 始终围绕具体下一步展开，也会让最终审计结果更有用。