Skip to content
Apothem
Концепции

Последовательность аудиторской проверки

Последовательность из одиннадцати команд аудита, которая проверяет Apothem перед выпуском.

Последовательность аудиторской проверки — это проход по обеспечению качества из одиннадцати команд, который проверяет проект перед выпуском. Каждая команда проверяет одну область качества и выдаёт находки, которые должны быть исправлены или явно отработаны решением.

Эти одиннадцать измерений приводят в действие два канонических оркестратора. /audit запускает их параллельно как единый проход только для отчёта — он выдаёт дедуплицированный, отсортированный по серьёзности отчёт о находках и никогда не редактирует исходный код. /fortress — это замкнутый цикл устранения (обнаружение → проверка → устранение → повторный аудит → шлюз) , который закаляет проект до состояния, управляемого шлюзом выпуска. Каждое измерение также остаётся доступным для отдельного вызова.

Одиннадцать областей аудита

КомандаОсьСтандарт
/code-reviewКачество кодаРазбор мастерства по файлам
/code-auditКорпус кодаМежфайловая криминалистика
/security-auditБезопасностьOWASP ASVS v4 + Top 10
/perf-auditПроизводительностьCore Web Vitals + метод USE
/architecture-reviewАрхитектураСоответствие артефакту проектирования
/ux-reviewОпыт разработчикаЭргономика CLI + начало работы
/a11y-auditДоступностьWCAG 2.2 AA
/docs-reviewДокументацияКачество по десяти измерениям
/dependency-auditЗависимостиЛицензия + CVE + свежесть
/supply-chain-auditЦепочка поставокSLSA + Sigstore + SBOM
/threat-model-auditМодель угрозSTRIDE + PASTA

Шлюзы готовности к выпуску

Последовательность вносит вклад в шлюзы готовности к выпуску:

  • Локальный шлюз: Локальные проверки соответствия проходят.
  • Шлюз GitHub (перед переключением): Проверка на стороне GitHub — рабочие процессы CI зелёные на каждом коммите, в каждой проверке.
  • Шлюз аудита: Полная последовательность проверки завершена — все одиннадцать областей проверены, находки отработаны решениями, элементы для наблюдения задокументированы.

Цикл устранения

Команды аудита работают только на отчёт: они выдают находки, но никогда не применяют исправления. Устранение идёт через /fortress, замкнутый цикл, который следует шаблону «итерация до зелёного»: находки сортируются и проверяются, исправления применяются на поверхности-владельце каждой находки, аудит повторяется, и цикл продолжается, пока находки не будут устранены и шлюз выпуска не будет пройден. Подъём всего репозитория до текущего лучшего стандарта идёт через /elevate.

Зачем нужна эта последовательность

Качество программного обеспечения деградирует сразу по нескольким измерениям. Одна проверка может упустить дефекты, лежащие на стыке качества кода, безопасности, производительности, архитектуры, доступности, документации, состояния зависимостей и состояния цепочки поставок. Последовательность аудита применяет эти линзы по отдельности, чтобы шлюз выпуска видел полный профиль рисков.

On this page