studio@prod:~$ cat CHECKLIST.md // внутренние каноны, как есть

Что мы проверяем перед сдачей

Это наши внутренние рабочие правила, опубликованные без прикрас. Они выросли из реальных инцидентов на собственном продакшне и работают на каждом проекте – включая наши

01 / архитектура и данные

До первой строки кода

  • Схема данных и интеграций спроектирована до разработки, точки будущего роста названы явно
  • Миграции базы – только с журналом применения: схема на проде всегда сходится с репозиторием
  • Один источник правды для каждого модуля: копии кода с расхождениями запрещены
  • Для контента и дизайна – единый канон (шрифты, палитра, редполитика), зашитый в сборку, где применимо
02 / код и сборка

Пока пишется код

  • Рутину пишут ИИ-агенты, архитектурные решения принимает инженер – всегда
  • Линтеры и гейты встроены в сборку: стандарт держится автоматикой, без ручной дисциплины
  • Секреты – вне репозитория и вне кода, включая тестовые и одноразовые скрипты
  • Весь код под версионным контролем с первого дня, включая конфигурацию
03 / ai-аудит

Проверка машиной и человеком

  • Reasoning-модели сканируют код на уязвимости, дубли и хрупкие паттерны
  • Каждая находка ИИ сверяется с реальным кодом до фикса – чинить вслепую по отчёту модели запрещено
  • Чиним первопричину, движемся вперёд: латание симптомов вместо источника не принимается на ревью
  • Финальная приёмка – человеком. В прод уходит только то, что прошло весь контур
04 / деплой

Как изменения попадают на прод

  • Только цепочка preview → проверка → прод. Правок «сразу на живом» нет
  • Бэкап перед каждым структурным изменением – файлов и базы, с понятным путём отката
  • Деплой не трогает чужие зоны: список синхронизируемых путей задан явно, удаление – только осознанное
05 / верификация

После каждой выкатки

  • Прод проверяется живыми запросами снаружи – не только «локально работало»
  • Проверяется именно то, что видит пользователь: домен, контент, формы – вплоть до сквозной тестовой заявки
  • Мониторинг и алерты включаются вместе с запуском, падение видно раньше, чем его заметит клиент
06 / безопасность и данные

Персональные данные и доступы

  • Серверы в России, работа с персональными данными – по 152-ФЗ
  • Персональные данные не попадают в логи открытым текстом и не отправляются во внешние ИИ-модели: чувствительные контуры – fail-closed
  • Доступы – через выделенные учётки с минимальными правами; пароли в мессенджерах не принимаем и не отправляем
  • Формы защищены от спама и ботов без капчи, которая раздражает живых людей
07 / передача

Что остаётся у вас

  • Код, база и инфраструктура – ваши. Никакой привязки к нам как условию работы системы
  • Документация передачи: как устроено, как развивать, как откатить
  • 30 дней гарантии после сдачи входят в цену каждого формата

// этот чек-лист – живой документ: каждый инцидент на нашем собственном продакшне добавляет в него строку