🔍 维护者 PR 审核指南

语言： English | 中文

本指南适用于审核 pull request 的 NOFX 维护者。

📋 审核清单

1. 初步分类（24小时内）

• 检查 PR 与路线图的一致性

  • 是否符合我们当前的优先级？
  • 是否在路线图中？
  • 如果不在，我们是否应该接受它？

• 验证 PR 完整性

  • PR 模板的所有部分都已填写？
  • 变更描述清晰？
  • 相关 issue 已链接？
  • UI 变更有截图/演示？

• 应用适当的标签

  • 优先级：critical/high/medium/low
  • 类型：bug/feature/enhancement/docs
  • 区域：frontend/backend/exchange/ai/security
  • 状态：needs review/needs changes

• 分配审核者

  • 根据专业领域分配
  • 至少需要 1 个维护者审核

2. 代码审核

A. 功能审核

✅ **要问的问题：**

- 是否解决了所述问题？
- 边界情况是否处理？
- 是否会破坏现有功能？
- 方法是否适合我们的架构？
- 是否有更好的替代方案？

测试：

• 所有 CI 检查都通过？
• 贡献者进行了手动测试？
• 测试覆盖率足够？
• 测试有意义（不只是为了覆盖率）？

B. 代码质量审核

Go 后端代码：

// ❌ 差 - 拒绝
func GetData(a, b string) interface{} {
    d := doSomething(a, b)
    return d
}

// ✅ 好 - 批准
func GetAccountBalance(apiKey, secretKey string) (*Balance, error) {
    if apiKey == "" || secretKey == "" {
        return nil, fmt.Errorf("API credentials required")
    }

    balance, err := client.FetchBalance(apiKey, secretKey)
    if err != nil {
        return nil, fmt.Errorf("failed to fetch balance: %w", err)
    }

    return balance, nil
}

检查项：

• 有意义的变量/函数名
• 正确的错误处理（没有忽略错误）
• 复杂逻辑有注释
• 没有硬编码值（使用常量/配置）
• 遵循 Go 习惯用法和约定
• 没有不必要的复杂性

TypeScript/React 前端代码：

// ❌ 差 - 拒绝
const getData = (data: any) => {
  return data.map(d => <div>{d.name}</div>)
}

// ✅ 好 - 批准
interface Trader {
  id: string;
  name: string;
  status: 'running' | 'stopped';
}

const TraderList: React.FC<{ traders: Trader[] }> = ({ traders }) => {
  return (
    <div className="trader-list">
      {traders.map(trader => (
        <TraderCard key={trader.id} trader={trader} />
      ))}
    </div>
  );
};

检查项：

• 类型安全（除非绝对必要，否则不使用 any）
• 正确的 React 模式（hooks、函数式组件）
• 组件可重用性
• 可访问性（a11y）考虑
• 性能优化（需要时使用 memoization）

C. 安全审核

关键检查：

// 🚨 拒绝 - 安全问题
func Login(username, password string) {
    query := "SELECT * FROM users WHERE username='" + username + "'"  // SQL 注入！
    db.Query(query)
}

// ✅ 批准 - 安全
func Login(username, password string) error {
    query := "SELECT * FROM users WHERE username = ?"
    row := db.QueryRow(query, username)  // 参数化查询
    // ... 使用 bcrypt 进行正确的密码验证
}

• 没有 SQL 注入漏洞
• 前端没有 XSS 漏洞
• API 密钥/密码没有硬编码
• 用户输入已正确验证
• 认证/授权正确处理
• 日志中没有敏感数据
• 依赖项没有已知漏洞

D. 性能审核

• 没有明显的性能问题
• 数据库查询已优化（索引、没有 N+1 查询）
• 没有不必要的 API 调用
• 适当的缓存
• 没有内存泄漏

3. 文档审核

• 复杂逻辑有代码注释
• 如果需要，README 已更新
• API 文档已更新（如有 API 变更）
• 破坏性变更有迁移指南
• Changelog 条目（对于重大变更）

4. 测试审核

• 新函数有单元测试
• 新功能有集成测试
• 测试确实测试了功能（不只是覆盖率）
• 测试名称具有描述性
• 模拟数据真实

🏷️ 标签管理

优先级分配

使用这些标准来分配优先级：

Critical（严重）：

• 安全漏洞
• 生产环境破坏性 bug
• 数据丢失问题

High（高）：

• 影响许多用户的重大 bug
• 高优先级路线图功能
• 性能问题

Medium（中）：

• 常规 bug 修复
• 标准功能请求
• 重构

Low（低）：

• 次要改进
• 代码风格变更
• 非紧急文档

状态工作流

needs review → in review → needs changes → needs review → approved → merged
                       ↓
                   on hold

状态标签：

• status: needs review - 准备初次审核
• status: in progress - 正在积极审核
• status: needs changes - 审核者请求更改
• status: on hold - 等待讨论/决定
• status: blocked - 被另一个 PR/issue 阻塞

💬 提供反馈

编写好的审核评论

❌ 差的评论：

这是错的。
改这个。
你为什么这样做？

✅ 好的评论：

这种方法可能会导致并发请求的问题。
考虑在这里使用互斥锁或原子操作。

建议：将此逻辑提取到单独的函数中以提高可测试性：
```go
func validateTraderConfig(config *TraderConfig) error {
    // 验证逻辑
}

问题：你是否考虑过使用现有的 ExchangeClient 接口 而不是创建新接口？这将与代码库的其余部分保持一致。

### 评论类型

**🔴 阻塞性（必须解决）：**
```markdown
**阻塞性：** 这引入了 SQL 注入漏洞。
请改用参数化查询。

🟡 非阻塞性（建议）：

**建议：** 考虑在这里使用 `strings.Builder` 以提高
连接多个字符串时的性能。

🟢 赞扬（鼓励好的做法）：

**很好！** 很好地使用 context 进行超时处理。这正是
我们想看到的。

问题 vs 指令

❌ 指令（可能感觉强硬）：

改用工厂模式。
为这个函数添加测试。

✅ 问题（更协作）：

工厂模式在这里会更合适吗？它可能会使测试更容易。
你能为错误路径添加一个测试用例吗？我想确保我们
优雅地处理失败。

⏱️ 响应时间指南

✅ 批准标准

PR 应在以下情况下批准：

1. 功能性

   • ✅ 解决了所述问题
   • ✅ 现有功能没有退化
   • ✅ 边界情况已处理

2. 质量

   • ✅ 遵循代码标准
   • ✅ 结构良好且可读
   • ✅ 测试覆盖率足够

3. 安全性

   • ✅ 没有安全漏洞
   • ✅ 输入已验证
   • ✅ 密钥管理正确

4. 文档

   • ✅ 需要的地方有代码注释
   • ✅ 文档已更新（如适用）

5. 流程

   • ✅ 所有 CI 检查通过
   • ✅ 所有审核评论已处理
   • ✅ 已基于最新 dev 分支 rebase

🚫 拒绝标准

在以下情况下拒绝 PR：

立即拒绝：

• 🔴 引入安全漏洞
• 🔴 包含恶意代码
• 🔴 违反行为准则
• 🔴 包含抄袭代码
• 🔴 硬编码 API 密钥或密码

请求更改：

• 🟡 代码质量差（反馈被忽略后）
• 🟡 新功能没有测试
• 🟡 没有迁移路径的破坏性变更
• 🟡 与路线图不一致（未经事先讨论）
• 🟡 不完整（缺少关键部分）

关闭并说明：

• 🟠 重复功能
• 🟠 超出项目范围
• 🟠 已存在更好的替代方案
• 🟠 贡献者 >2 周无响应

🎯 特殊情况审核

悬赏 PR

需要额外注意：

• 所有验收标准都满足？
• 提供了演示视频/截图？
• 按悬赏 issue 中的规定工作？
• 私下讨论了付款信息？
• 优先审核（24小时周转）

破坏性变更

• 提供了迁移指南？
• 添加了弃用警告？
• 计划了版本升级？
• 考虑了向后兼容性？
• 为重大变更创建了 RFC？

安全 PR

• 由专注于安全的审核者验证？
• 没有公开披露漏洞？
• 如需要，协调披露？
• 准备了安全公告？
• 计划了补丁发布？

🔄 合并指南

何时合并

满足以下条件时合并：

• ✅ 至少 1 个维护者批准
• ✅ 所有 CI 检查通过
• ✅ 所有对话已解决
• ✅ 没有待处理的请求更改
• ✅ 已基于最新目标分支 rebase

合并策略

Squash Merge（大多数 PR 的默认策略）：

• 小型 bug 修复
• 单功能 PR
• 文档更新
• 保持 git 历史清洁

Merge Commit（复杂 PR）：

• 具有逻辑提交的多提交功能
• 保留提交历史
• 具有原子提交的大型重构

Rebase and Merge（很少使用）：

• 线性历史很重要时
• 提交已经结构良好

合并提交信息

格式：

<type>(<scope>): <PR 标题> (#123)

变更的简要描述。

- 关键变更 1
- 关键变更 2

Co-authored-by: 贡献者姓名 <[email protected]>

📊 要跟踪的审核指标

每月监控这些指标：

• 平均首次审核时间
• 平均合并时间
• PR 接受率
• 按类型分类的 PR 数量（bug/feature/docs）
• 按区域分类的 PR 数量（frontend/backend/exchange）
• 贡献者留存率

🙋 问题？

如果对 PR 不确定：

1. 询问其他维护者在私人频道
2. 向贡献者请求更多上下文
3. **标记为"on hold"**并添加到下次维护者同步
4. 如有疑问，保守一点 - 问比批准有风险的东西更好

🔗 相关资源

• 贡献指南
• 行为准则
• 安全政策
• 项目路线图

记住： 审核应该是尊重的、建设性的和教育性的。 我们在构建社区，而不仅仅是代码。🚀