監査レビューシーケンス
リリース前に Apothem をチェックする 11 コマンドの監査シーケンス。
監査レビューシーケンスは、リリース前にプロジェクトをチェックする 11 コマンドの品質保証スイープです。各コマンドは一つの品質領域を監査し、 修正または明示的な処置を要する所見を出力します。
これら 11 の次元は、2 つの正規オーケストレーターが駆動します。/audit は
これらを並列に、レポート専用の単一パスとして実行します —— 重複排除され、
深刻度でトリアージされた所見レポートを提示し、ソースコードを一切編集しません。
/fortress は閉じた是正ループ(検出 → 検証 → 是正 → 再監査 → ゲート)であり、
プロジェクトをリリースゲートで守られた状態まで堅牢化します。各次元は個別にも
呼び出し可能なままです。
11 の監査領域
| コマンド | 軸 | 基準 |
|---|---|---|
| /code-review | コード品質 | ファイル単位の作り込みレビュー |
| /code-audit | コードコーパス | ファイルをまたぐフォレンジック |
| /security-audit | セキュリティ | OWASP ASVS v4 + Top 10 |
| /perf-audit | パフォーマンス | Core Web Vitals + USE メソッド |
| /architecture-review | アーキテクチャ | 設計アーティファクトへの適合 |
| /ux-review | 開発者体験 | CLI のエルゴノミクス + オンボーディング |
| /a11y-audit | アクセシビリティ | WCAG 2.2 AA |
| /docs-review | ドキュメント | 10 次元の品質 |
| /dependency-audit | 依存関係 | ライセンス + CVE + 鮮度 |
| /supply-chain-audit | サプライチェーン | SLSA + Sigstore + SBOM |
| /threat-model-audit | 脅威モデル | STRIDE + PASTA |
リリース準備ゲート
このシーケンスはリリース準備ゲートに寄与します:
- ローカルゲート: ローカルの適合性チェックが通る。
- GitHub ゲート(カットオーバー前): GitHub 側の検証 —— すべての コミット、すべてのチェックで CI ワークフローがグリーンであること。
- 監査ゲート: レビューシーケンスが完了している —— 11 領域すべてが 監査され、所見が処置され、ウォッチ項目が文書化されている。
是正ループ
監査コマンドはレポート専用です。所見を提示するだけで、修正を適用することは
ありません。是正は /fortress を通じて実行されます。これは「グリーンになるまで
反復する」パターンに従う閉じたループです —— 所見をトリアージして検証し、
各所見の所有面に修正を適用し、監査を再実行し、所見が解消されリリースゲートを
通過するまでループを続けます。リポジトリ全体を現在のベストプラクティスへ
引き上げる作業は /elevate を通じて実行されます。
このシーケンスが存在する理由
ソフトウェアの品質は、複数の次元にわたって同時に劣化します。単一の レビューでは、コード品質、セキュリティ、パフォーマンス、アーキテクチャ、 アクセシビリティ、ドキュメント、依存関係の姿勢、サプライチェーンの姿勢の あいだに横たわる欠陥を見逃すことがあります。監査シーケンスはこれらの レンズを個別に適用するため、リリースゲートはリスクプロファイルの全体像を 見ることができます。