Le réviseur de Pull Request par IA : Bénéficiez du regard d'un ingénieur senior sur votre code avant chaque merge
Why this prompt matters
Most code bugs that reach production are not found in reviews because reviews are inconsistent — the reviewer is tired, distracted, or focuses on style while missing logic errors. A structured prompt with defined categories and required severity levels forces coverage of the issues that actually matter: correctness, security, and error handling. It also produces reviews that explain the why behind every finding, which builds understanding rather than just producing a checklist of changes to make.
What we use it for
You have a PR open, it's been waiting for review for two days, and the person who normally reviews your security-sensitive code is OOO. Or you are a solo developer shipping a feature and want a second pair of eyes before deploying. Or you are a senior engineer who wants to pre-check your own work before asking colleagues to spend time on it. This prompt gives you a structured review that covers the categories most likely to become production incidents.
Prompt
Role: Act as a senior software engineer with 10+ years of experience doing code reviews. You have a strong bias toward correctness, maintainability, and security. You write reviews that teach — not just list problems — because you want the author to understand the why, not just fix the what. Context: I am submitting a pull request for review. The code is written in [LANGUAGE: e.g., Python / TypeScript / Go / Rust / Java]. The codebase is [TYPE: e.g., a REST API / a frontend React app / a CLI tool / a data pipeline]. The PR is doing the following: [DESCRIBE WHAT THE PR DOES IN 1-3 SENTENCES]. The most important things for this codebase are [PRIORITIES: e.g., performance / security / readability / test coverage / backward compatibility]. Task: Review this code as a senior engineer doing a thorough pre-merge review. Go beyond surface-level issues. Look for: 1. Correctness bugs — logic errors, edge cases, off-by-one errors, null/undefined handling, incorrect assumptions about input 2. Security vulnerabilities — injection risks, authentication flaws, insecure data handling, exposed secrets, unsafe deserialization 3. Performance issues — unnecessary allocations, N+1 query patterns, blocking operations, missing indexes, inefficient algorithms 4. Maintainability problems — functions doing too much, poor naming, missing abstractions, code duplication, hard-coded values that should be configurable 5. Error handling gaps — unhandled exceptions, swallowed errors, missing logging for failure cases, no retry logic where needed 6. Test coverage — are the happy path, error cases, and edge cases all tested? Are the tests testing the right things? 7. API and interface design — is this the right abstraction? Will this be easy to change later? Are there breaking changes? 8. Concurrency and race conditions — if applicable to the language and context Constraints: - Every finding must include: the specific location or pattern (line, function, or concept), the severity (Critical / High / Medium / Low / Nitpick), and the explanation of why it is a problem — not just that it is. - Do not invent problems. Only flag what you can see in the code. - If something is genuinely well done, say so briefly — a good review acknowledges what works. - Do not rewrite the entire function in your review unless the existing implementation is fundamentally broken. - Separate blocking issues (must fix before merge) from non-blocking suggestions (good to fix, but optional for this PR). - If you lack enough context to assess something, say so explicitly rather than guessing. Output Format: 1. Summary (2-3 sentences: overall assessment, biggest concerns, merge readiness) 2. Blocking Issues — must fix before merge (severity, location, explanation, suggested fix) 3. Non-Blocking Issues — recommended improvements (severity, location, explanation) 4. Security Check — pass / flag / needs-closer-look, with brief reasoning 5. Test Coverage Assessment — adequate / thin / missing, with specific gaps 6. What is well done (1-3 specific positives) 7. Suggested questions for the author (things you need clarification on before approving) Code to review: [PASTE YOUR DIFF OR CODE HERE]
Result
SUMMARY This PR adds a user authentication endpoint with JWT token issuance. The core logic is sound and the structure is clean, but there are two blocking security issues — a timing attack vulnerability in password comparison and missing token expiry validation — plus one high-severity missing error case that could expose internal stack traces to API consumers. Test coverage is thin on the error paths. Not merge-ready as-is, but close.
BLOCKING ISSUES
1. Timing attack in password comparison Severity: Critical Location: comparePasswords() function, line 34 Problem: Using a simple string equality check (userPassword === hashedPassword) for password comparison is vulnerable to timing attacks. An attacker who sends many requests can measure response time differences to enumerate valid usernames or reconstruct password hashes character by character. Fix: Replace with a constant-time comparison function. In Node.js use crypto.timingSafeEqual(). In Python use hmac.compare_digest(). Never use == for secret comparisons.
2. JWT token expiry not validated on refresh Severity: Critical Location: refreshToken() handler, line 89 Problem: The refresh endpoint checks token signature validity but does not verify the exp claim against the current timestamp. An expired access token can be used to generate a fresh token indefinitely, effectively making tokens immortal and defeating the purpose of expiry. Fix: Add explicit exp check: if (decoded.exp < Math.floor(Date.now() / 1000)) throw new TokenExpiredError(). Most JWT libraries have a built-in option for this — set ignoreExpiration: false explicitly rather than relying on default behavior.
3. Unhandled database error exposes stack trace Severity: High Location: loginHandler() catch block, line 67 Problem: The catch block re-throws the raw database error object directly to the Express error handler, which in the current middleware configuration will serialize the full stack trace into the 500 response body. This leaks internal file paths, dependency versions, and query structure to API consumers. Fix: Log the raw error internally with a correlation ID, then return a generic error response: res.status(500).json({ error: 'Authentication service error', correlationId: uuid }).
NON-BLOCKING ISSUES
4. Magic numbers for token expiry Severity: Medium Location: Lines 45 and 102 Problem: Token expiry durations are hard-coded as 900 and 86400 (seconds). These should be named constants or environment-configurable values so they can be changed without a code deployment, and so the next developer understands what these numbers represent. Suggestion: const ACCESS_TOKEN_TTL_SECONDS = parseInt(process.env.ACCESS_TOKEN_TTL ?? '900', 10)
5. Missing rate limiting on login endpoint Severity: Medium Location: loginHandler route registration Problem: There is no rate limiting on POST /auth/login. This allows unlimited password brute-force attempts. This might be handled at the infrastructure level (API gateway, load balancer), but if not, it should be at the application level. Suggestion: Add express-rate-limit or equivalent middleware, or at minimum document that infrastructure-level rate limiting covers this endpoint.
6. Function does two things Severity: Low (Nitpick) Location: validateAndDecodeToken(), line 78 Problem: This function both validates the token signature AND extracts the user ID from the payload, returning both as a tuple. These are two distinct concerns and should probably be separate functions, or the return value should be a typed object with clearly named fields rather than a positional tuple.
SECURITY CHECK: FLAG Blocking issues (1 and 2) make this endpoint insecure in its current state. After fixes, recommend a second security-focused pass.
TEST COVERAGE ASSESSMENT: THIN Happy path (valid credentials → token returned) is covered. Missing: - Expired token refresh attempt (the blocking issue above) - Invalid password attempt — verify 401, not 500 - Malformed JWT in Authorization header - Database connection failure during login - Rate limiting behavior (if applicable)
WHAT IS WELL DONE 1. Token rotation on refresh is implemented correctly — the old refresh token is invalidated when a new one is issued. This is easy to get wrong and it is done right here. 2. Password hashing uses bcrypt with a cost factor of 12, which is appropriate. 3. The middleware composition is clean and easy to follow.
QUESTIONS FOR THE AUTHOR 1. Is there infrastructure-level rate limiting on this endpoint? If yes, please document it in the code or README so it is not duplicated. 2. Is token revocation (logout/blocklist) in scope for this PR or a follow-up? The current architecture does not support it, which should be a conscious decision, not an oversight.
La plupart des développeurs ont connu les deux extrêmes du spectre de la revue de code. D'un côté, l'approbateur qui clique en trente secondes et laisse un simple emoji. De l'autre, l'ingénieur senior qui produit deux pages de notes ligne par ligne couvrant l'exactitude, la sécurité, la maintenabilité et les tests — et explique pourquoi chaque problème compte plutôt que de simplement le marquer comme erroné. Le second type de revue fait de vous un meilleur développeur. C'est aussi le type qui prend du temps à obtenir, surtout de la part de personnes déjà surchargées.
Ce prompt est une tentative d'apporter un peu de cette seconde expérience à chaque Pull Request. Il structure la revue en catégories pertinentes — bugs de correction, vulnérabilités de sécurité, performance, gestion des erreurs, couverture de test — et exige que le modèle explique chaque constat en indiquant l'emplacement, la sévérité et le raisonnement avant de suggérer un correctif.
Le problème des prompts génériques « review my code »
Demandez à un modèle de langage de « review this code » sans structure et vous obtiendrez généralement une liste plate d'observations sans aucune priorisation ni explication de la sévérité. Le modèle peut signaler une incohérence de nommage de variable au même niveau d'urgence qu'une vulnérabilité d'attaque temporelle. Il peut vous féliciter pour votre structure propre puis ne pas remarquer le pointeur nul non géré qui plante en production dès la première entrée vide.
La structure de ce prompt force la priorisation. Les problèmes bloquants — ceux qui doivent être corrigés avant le merge — sont séparés des suggestions non bloquantes. Chaque constat nécessite un niveau de sévérité (Critique, Élevé, Moyen, Faible, Nitpick), un emplacement spécifique et une explication de la raison pour laquelle le problème existe, pas seulement de quoi faire. La vérification de sécurité et l'évaluation de la couverture de test sont des sections explicites plutôt que des pensées après coup.
Comment l'utiliser
Remplissez quatre champs de contexte en haut : le langage de programmation, le type de codebase, une description d'une à trois phrases de ce que fait la PR, et les priorités les plus importantes pour cette codebase. Ensuite, collez le diff ou le code pertinent en bas.
Les champs de contexte font une différence significative sur la qualité de la sortie. Un modèle qui sait qu'il s'agit d'une API REST Python avec une priorité sécurité en premier attrapera des choses différentes de celui qui révise du code CLI Go où la performance est la priorité. La description de ce que la PR essaie d'accomplir aide le modèle à évaluer si l'implémentation atteint réellement l'objectif, plutôt que de simplement vérifier le style.
Pour les très grosses PR, collez d'abord les fichiers les plus critiques — authentification, gestion des données, interfaces API publiques — et demandez un passage séparé sur les modifications utilitaires ou de configuration. La plupart des modèles avec des fenêtres de contexte de 100k+ peuvent gérer des PR de taille moyenne en un seul passage.
Ce que vous recevez en retour
Le format de sortie produit sept sections : un résumé en langage clair avec une évaluation de l'état de préparation au merge, les problèmes bloquants avec correctifs, les suggestions non bloquantes, un verdict de sécurité, une évaluation de la couverture de test avec les lacunes spécifiques, la reconnaissance de ce qui est bien fait, et des questions de clarification pour l'auteur. L'exemple de sortie dans cet article montre une revue d'un point de terminaison d'authentification JWT — notez comment le constat d'attaque temporelle explique à la fois le mécanisme de l'attaque et la fonction de bibliothèque spécifique à utiliser pour le correctif.
La section « ce qui est bien fait » n'est pas une politesse optionnelle. Les revues qui ne font qu'énumérer les problèmes passent à côté du signal qu'envoie un bon code — que l'auteur comprend l'intention de conception et devrait continuer à faire ce qui fonctionne. Elle modélise également ce à quoi ressemble une revue de code réfléchie pour les développeurs qui n'ont pas encore eu d'ingénieur senior comme mentor.
Limites à connaître
Ce prompt produit de meilleurs résultats sur du code que le modèle a rencontré lors de son entraînement. Il attrapera plus de problèmes en Python, TypeScript, Java et Go que dans des langages de niche spécifiques à un domaine. Il ne peut pas analyser le comportement à l'exécution, les traces de profilage ou les logs de production — seulement ce qui est visible dans le diff. Pour les systèmes critiques en sécurité, la revue de code par IA doit compléter plutôt que remplacer une revue humaine de sécurité, en particulier pour les implémentations cryptographiques et les flux d'authentification.
Le modèle signalera occasionnellement des faux positifs — des problèmes qui ne sont pas réellement des bugs compte tenu du contexte qu'il n'a pas. La contrainte lui demandant de signaler explicitement quand il manque de contexte aide à réduire cela, mais traiter chaque constat comme un point de départ pour l'investigation plutôt que comme un verdict produit de meilleurs résultats.