Skip to content
Apothem
Konzepte

Audit-Prüfsequenz

Die Audit-Sequenz aus elf Befehlen, die Apothem vor dem Release überprüft.

Die Audit-Prüfsequenz ist der Qualitätssicherungs-Durchlauf aus elf Befehlen, der ein Projekt vor dem Release überprüft. Jeder Befehl auditiert einen Qualitätsbereich und gibt Befunde aus, die behoben oder ausdrücklich behandelt werden müssen.

Zwei kanonische Orchestratoren treiben diese elf Dimensionen an. /audit führt sie parallel als einen einzigen Nur-Bericht-Durchlauf aus — es liefert einen deduplizierten, nach Schweregrad triagierten Befundbericht und ändert niemals Quellcode. /fortress ist die geschlossene Behebungsschleife (erkennen → verifizieren → beheben → erneut auditieren → Tor) , die ein Projekt zu einem release-getorten Zustand härtet. Jede Dimension bleibt zudem einzeln aufrufbar.

Die elf Audit-Bereiche

BefehlAchseStandard
/code-reviewCodequalitätHandwerksprüfung je Datei
/code-auditCode-Korpusdateiübergreifende Forensik
/security-auditSicherheitOWASP ASVS v4 + Top 10
/perf-auditPerformanceCore Web Vitals + USE-Methode
/architecture-reviewArchitekturKonformität des Design-Artefakts
/ux-reviewEntwicklererfahrungCLI-Ergonomie + Onboarding
/a11y-auditBarrierefreiheitWCAG 2.2 AA
/docs-reviewDokumentationZehn-Dimensionen-Qualität
/dependency-auditAbhängigkeitenLizenz + CVE + Aktualität
/supply-chain-auditLieferketteSLSA + Sigstore + SBOM
/threat-model-auditBedrohungsmodellSTRIDE + PASTA

Release-Reife-Tore

Die Sequenz trägt zu den Release-Reife-Toren bei:

  • Lokales Tor: Lokale Konformitätsprüfungen bestehen.
  • GitHub-Tor (vor dem Umstieg): GitHub-seitige Verifikation — CI-Workflows grün bei jedem Commit, jeder Prüfung.
  • Audit-Tor: Vollständige Prüfsequenz abgeschlossen — alle elf Bereiche auditiert, Befunde behandelt, Beobachtungspunkte dokumentiert.

Behebungsschleife

Die Audit-Befehle sind Nur-Bericht: Sie liefern Befunde, wenden aber niemals Korrekturen an. Die Behebung läuft über /fortress, die geschlossene Schleife, die dem Muster „iterieren bis grün" folgt — Befunde werden triagiert und verifiziert, Korrekturen an der jeweils besitzenden Oberfläche jedes Befunds angewendet, das Audit erneut ausgeführt, und die Schleife läuft weiter, bis die Befunde bereinigt sind und das Release-Tor besteht. Die projektweite Anhebung auf den aktuellen Stand der Technik läuft über /elevate.

Warum die Sequenz existiert

Softwarequalität verfällt entlang mehrerer Dimensionen gleichzeitig. Eine einzige Prüfung kann Mängel übersehen, die zwischen Codequalität, Sicherheit, Performance, Architektur, Barrierefreiheit, Dokumentation, Abhängigkeitslage und Lieferkettenlage liegen. Die Audit-Sequenz legt diese Brillen getrennt an, damit das Release-Tor das vollständige Risikoprofil sieht.

On this page