quodeq/quodeq

AI 驱动的代码质量评估

利用基于 LLM 的分析，并映射到 ISO 25010 和 CWE 分类，从六个质量维度评估任意代码库 —— Security（安全性）、Reliability（可靠性）、Maintainability（可维护性）、Performance（性能）、Flexibility（灵活性）以及 Usability（可用性）。

## 安装 ``` # 推荐 pipx install quodeq # 或使用 Homebrew brew install quodeq/tap/quodeq # 或使用 pip pip install quodeq ``` ### 从源码安装（开发） ``` git clone https://github.com/quodeq/quodeq.git cd quodeq uv sync ``` ## 前置条件 - Python 3.12+ - 一个 AI CLI 客户端（例如 [Claude Code](https://docs.anthropic.com/en/docs/claude-code)） - Node.js 18+ *（仅在从源码安装时需要 —— 预构建的 UI 已打包在 pip/brew 安装包中）* ## 使用方法 ### 启动 Dashboard ``` quodeq dashboard ``` 在 `http://localhost:4173` 打开 Web UI，您可以在其中浏览评估结果并启动新的评估。 ### 运行评估 ``` # Local repository（自动检测语言） quodeq evaluate /path/to/your/project # Remote repository quodeq evaluate git@github.com:org/repo.git # 仅特定维度 quodeq evaluate /path/to/project -d security,reliability # 特定语言插件 quodeq evaluate /path/to/project -p typescript ``` ### 配置 AI 客户端 ``` quodeq configure ``` ## CLI 参考 ### `quodeq evaluate` | Flag | Default | Description | |------|---------|-------------| | `repo` | *(必填)* | 代码库的路径或 URL | | `-p, --plugin` | 自动检测 | 插件 ID（typescript, python, kotlin, java, bash, mobile_ios） | | `-o, --output` | `~/.quodeq/evaluations` | 报告输出目录 | | `-m, --mode` | `numerical` | 评分模式：`numerical` 或 `grades` | | `-d, --dimensions` | 全部 | 要评估的维度，以逗号分隔 | | `--evidence-only` | off | 仅生成 JSON 证据（跳过评分） | | `--max-turns` | 200 | 每个维度的最大 AI 对话轮数 | | `--max-duration` | 1800 | 每个维度的最长时间（秒） | | `--no-prescan` | off | 跳过源文件计数 | ### `quodeq dashboard` | Flag | Default | Description | |------|---------|-------------| | `--port` | 4173 | Dashboard 服务器端口 | | `--evaluations` | `~/.quodeq/evaluations` | 评估结果目录 | | `--open` | true | 自动打开浏览器 | | `--no-build` | off | 跳过 Web UI 构建 | | `--api-host` | auto | 覆盖 Action API 主机 | | `--api-port` | auto | 覆盖 Action API 端口 | ## 支持的语言 | Plugin | Languages | |--------|-----------| | `typescript` | TypeScript, JavaScript | | `python` | Python | | `kotlin` | Kotlin | | `java` | Java | | `bash` | Bash, Shell | | `mobile_ios` | Swift (iOS) | ## 工作原理 1. **Plugin detection**（插件检测） —— 识别语言并加载匹配的评估器 2. **Prompt building**（Prompt 构建） —— 组装标准、知识库和特定维度的 prompt 3. **AI analysis**（AI 分析） —— 启动带有只读工具的 AI CLI 以进行代码探索 4. **Evidence collection**（证据收集） —— 发现结果通过 MCP tool calls 以 JSONL 流形式传输 5. **Scoring**（评分） —— 将发现结果映射到 ISO 25010 原则及 CWE 分类 6. **Reporting**（报告生成） —— 生成包含评分、违规和合规性的各维度报告 评估结果存储在 `~/.quodeq/evaluations/` 中，并在会话之间持久保存。 ## 开发 ``` # 运行测试 uv run pytest # 启动 Action API（用于 UI 开发） uv run python -m quodeq.action_api # 以开发模式启动 dashboard cd ui/web && npm install && npm run dev ``` ## 许可证 参见 [LICENSE](LICENSE)。

标签：AI代码审计, C2, Claude, CVE检测, CWE分类, IPv6支持, ISO 25010, MITM代理, Python, TLS抓取, 云安全监控, 人类对齐, 代码规范, 代码质量评估, 可维护性, 威胁情报, 开发者工具, 性能分析, 无后门, 软件安全, 逆向工具, 静态分析