私は、マージ前にバグを見つけるClaude Codeスキルを作りました

同じパターンに何度もぶつかりました。Claude CodeにPRをレビューしてもらい、「きれいに見える。たぶんテストを追加してみては」と言われ、そのままマージします。すると、どこかで何かが壊れます。

問題はClaudeではありません。構造化されていない1回のパスだけで、良いコードレビューができるわけではないということです。シニアエンジニアはまず正しさを確認し、次にセキュリティ、次にパフォーマンス、そしてテスト――それぞれを別々の集中したパスとして確認します。

深いPRレビュー — 5つの構造化パス

Deep PR Review はClaude Codeのスキル（1つのmarkdownファイル）で、5回の構造化されたレビュー・パスを実行します：

1. Correctness（正しさ） — ロジックエラー、エッジケース、レースコンディション、型安全性
2. Security（セキュリティ） — SQLインジェクション、XSS、認証の欠落、データ露出（OWASP準拠）
3. Performance（パフォーマンス） — N+1クエリ、上限のない処理、インデックスの欠落
4. Maintainability（保守性） — 死んだコード、複雑さ、命名の一貫性
5. Test Coverage（テストカバレッジ） — 「テストを追加して」といった一般論ではなく、具体的に欠けているテストシナリオ

見つかった各指摘には、重大度 + ファイル:行 + 具体的な修正案が付きます。出力は構造化された判断です：APPROVE / REQUEST_CHANGES / NEEDS_DISCUSSION。

実際に見つかったバグ

クイックレビューを通った、45行のExpressエンドポイントでは：

• 文字列補間によるSQLインジェクション
• 認証ミドルウェアなし — 任意のユーザーが検索できる
• LIKE '%query%' = リクエストごとに全テーブルスキャン
• limitパラメータの入力検証なし
• テストカバレッジがゼロ

30秒でインストール

mkdir -p .claude/skills
cp deep-pr-review.md .claude/skills/

それだけです。どんな言語でも動きます。

Polarで$19： https://buy.polar.sh/polar_cl_KzwbRqVqMgarD3NrOc00TYmKB3vwAJjKDq5be2HB7ym?utm_source=devto&utm_medium=post&utm_campaign=launch

ランディングページ： https://dpr.atlas1m.com