Глубокий аудит кода за один прогон Claude Code.
На выходе — приоритизированный roadmap улучшений с пруфами из кода.
Если ты владелец продукта, тимлид, инвестор или просто человек, у которого есть кодовая база и нет ответа на вопрос «а что там вообще происходит и куда это всё катится» — это для тебя.
У любого живого проекта со временем накапливается технический долг. Это как захламлённая квартира: вроде жить можно, но новый шкаф уже не воткнуть, а лампочку поменять — это целое приключение, потому что выключатель завязан на стиральную машину через десять проводов.
В коде то же самое. Симптомы знакомые:
| Симптом | Что это значит на самом деле |
|---|---|
| «Здесь страшно трогать» | Нет тестов, изменения каскадируют непредсказуемо |
| Простая фича делается две недели вместо двух дней | Архитектурный долг съел скорость команды |
| Сайт тормозит, никто не знает почему | Нет мониторинга и замеров производительности |
| Зависимости не обновлялись с динозавров | Известные дыры в безопасности; supply chain-риск |
| «Тесты есть, но мы не уверены что они работают» | Test smells, низкое покрытие критичных путей |
Чтобы починить — сначала нужно увидеть. Этим и занимается аудит.
Раньше для этого нанимали консультанта на $200/час, который три недели ходил по коду и в конце выдавал PDF на 80 страниц. Сейчас — это делает Claude Code за пару часов и стоит как обед в кафе.
Эти пайплайны — готовый набор инструкций, который превращает Claude из «умного чатбота» в систематичного аудитора. Он не пропускает фазы, не придумывает находки из воздуха, и в конце выдаёт roadmap с приоритетами — что чинить сейчас, что через месяц, а что вообще не трогать.
|
Архитектурный аудит JS/TS с подготовкой к продакшену 13 фаз · MCP-first · single-arg autonomous mode. Это весь required input. ИИ сам:
Для: любого JS/TS проекта (Node-бэкенд, React/Next/Nuxt/Vue, монорепо, бот, CLI). Когда нужен не только linting, но и архитектурный взгляд + roadmap подготовки к продакшену. |
React / Next.js сайты — глубокий аудит 7 фаз: архитектура → roadmap.
Для: маркетинговых сайтов, e-commerce, SPA, лендингов на Next.js. Когда нужен глубокий проход с навигацией по графу кода. |
🛡️ |
Безопасный CI/CD на GitHub 6 этапов аудита + 4 фазы внедрения.
Для: любого GitHub-репо с CI или без. Учтены инциденты tj-actions, trivy-action, axios. |
|
Глубокий аудит БД, single-command автономный 14 фаз · 30 детекторов · 11 ORM · Serena+GitNexus Это весь required input. ИИ автоматически:
Default live behaviour: ИИ ищет DSN, проверяет read-only роль, переключается на live mode для глубоких findings. Если опасно (production user / нет read-only роли) — fallback на static с warning. Override: Для: проектов с БД (Postgres, MySQL, Mongo, ...). 11 ORM: Prisma, Drizzle, TypeORM, Sequelize, Mongoose, SQLAlchemy, Django, GORM, ActiveRecord, Hibernate, raw SQL. |
|
flowchart TD
A[У тебя проект] --> Z{Что болит<br/>сильнее всего?}
Z -- «CI красный или его нет,<br/>боюсь supply-chain» --> H[ci-hardening/]
Z -- «Тормозит, теряет данные,<br/>боюсь миграций» --> DB[database-audit/]
Z -- «Хочу понять что в коде» --> Q{JS/TS проект?<br/>Нужен быстрый<br/>первый проход?}
Q -- Да, архитектурный аудит<br/>с MCP + roadmap к продакшену --> N[nodejs-audit/]
Q -- Нужен глубокий аудит --> B{Это React или<br/>Next.js сайт?}
B -- Да, чистый фронт --> C[frontend/]
B -- Есть бэкенд / API --> D[codebase/]
B -- Не уверен --> E{Есть деньги,<br/>транзакции,<br/>auth?}
E -- Да --> D
E -- Нет --> F{Нужны hard gates<br/>и self-audit?}
F -- Да --> D
F -- Нет --> C
style N fill:#fff2a8,stroke:#b7950b,color:#000
style C fill:#fde7c8,stroke:#d97757,color:#000
style D fill:#d4e6f1,stroke:#2c3e50,color:#000
style H fill:#f5d5d5,stroke:#c0392b,color:#000
style DB fill:#d5f5e3,stroke:#27ae60,color:#000
Пайплайны не взаимоисключают друг друга. Хорошая последовательность для JS/TS:
nodejs-audit(быстрый обзор) → правки по roadmap →codebaseилиfrontend(глубокий) →database-auditесли есть БД →ci-hardeningчтобы зашить найденное в CI.
Главный артефакт всех пяти пайплайнов — ROADMAP. У nodejs-audit дополнительно — _meta.json для CI, QUICK-WINS.md с атомарными коммитами на неделю, ADR-DRAFTS/ с черновиками архитектурных решений и REFACTORING/ с file-level таргетами и fitness functions. У ci-hardening — готовый ci.yml. У database-audit — машинная сводка _meta.json и _known_unknowns.md (что осталось проверить). Это не «80 страниц красивых слов», а конкретный список:
🔴 Сейчас (Now):
└─ [critical] SQL-инъекция в /api/search — api/search.ts:42
→ как чинить, сколько займёт, что сломается если не починить
🟡 Дальше (Next):
└─ [high] N+1 запрос в загрузке профиля — lib/user.ts:118
→ меняет ответ с 4 секунд на 200 мс
🟢 Потом (Later):
└─ [medium] Дублирование логики валидации — 6 мест
→ не критично, но затрудняет добавление новых полей
Что есть у каждой находки
| Поле | Что это |
|---|---|
severity |
Насколько критично: critical / high / medium / low |
evidence |
Точное место в коде (файл:строка) с цитатой |
impact |
Что это значит для бизнеса |
fix |
Как чинить — конкретные шаги, не «улучшить X» |
effort |
Сколько времени займёт (S/M/L) |
confidence |
Насколько аудитор уверен в находке (high/medium/low) |
references |
Ссылки на документацию / OWASP / книги |
Никаких «возможно», «вероятно», «было бы неплохо». Только факты с пруфами.
| 1️⃣ | Дай ссылку на этот репозиторий своему разработчику (или нанятому подрядчику) и попроси прогнать аудит. Это ~2-3 часа его времени. |
| 2️⃣ | Получи ROADMAP.md — читать его можно прямо в GitHub или в любом текстовом редакторе. На русском, человекочитаемый. |
| 3️⃣ | Обсуди приоритеты с командой. Roadmap уже отсортирован по формуле (impact × confidence) / effort, но решение что брать в работу — за тобой. |
| 4️⃣ | Раз в квартал — повтори. Сравнишь динамику: что починили, что новое появилось, движется ли проект в правильном направлении. |
Если разработчика нет — можно прогнать самостоятельно. Нужен только установленный Claude Code и ~30 минут на установку зависимостей. Дальше — копипаст команды в чат.
|
claude.com/claude-code основной оркестратор |
oraios/serena семантика кода (LSP) |
npmjs.com/gitnexus граф кода + история |
Команды установки — в README конкретного пайплайна. Для ci-hardening хватает только Claude Code. Для database-audit опционально — psql/mysql/mongosh для live-mode.
| 📂 Read-only | Пайплайн ничего не меняет в коде. Только смотрит и пишет отчёт. |
| 🔬 Факты, не мнения | Каждая находка с измерением или цитатой. Никаких «мне кажется». |
| 🔥 Hot spots first | Чиним там, где часто ломается (методология Adam Tornhill). |
| 🧪 Тесты до рефакторинга | Сначала характеризационные тесты, потом изменения (Michael Feathers). |
| 🎯 Точечные fix'ы | Никаких переписываний с нуля. |
| ⚖️ Severity по импакту | Никто не получает critical за «непривычное именование». |
Не «придумано в гараже». В основе — классика индустрии:
|
Архитектура и тех.долг
Resilience и распределённые системы
Базы данных и схемы
|
Performance, A11y, SEO
Security и supply-chain
Когнитивные ошибки в анализе
|
MIT. Бери, форкай, адаптируй под себя — добавляй фазы, меняй пороги, расширяй чек-листы. Это набор markdown-инструкций + bash/python скриптов, не закрытый продукт.