studio@prod:~$ cat CHECKLIST.md // внутренние каноны, как есть
Что мы проверяем перед сдачей
Это наши внутренние рабочие правила, опубликованные без прикрас. Они выросли из реальных инцидентов на собственном продакшне и работают на каждом проекте – включая наши
01 / архитектура и данные
До первой строки кода
- Схема данных и интеграций спроектирована до разработки, точки будущего роста названы явно
- Миграции базы – только с журналом применения: схема на проде всегда сходится с репозиторием
- Один источник правды для каждого модуля: копии кода с расхождениями запрещены
- Для контента и дизайна – единый канон (шрифты, палитра, редполитика), зашитый в сборку, где применимо
02 / код и сборка
Пока пишется код
- Рутину пишут ИИ-агенты, архитектурные решения принимает инженер – всегда
- Линтеры и гейты встроены в сборку: стандарт держится автоматикой, без ручной дисциплины
- Секреты – вне репозитория и вне кода, включая тестовые и одноразовые скрипты
- Весь код под версионным контролем с первого дня, включая конфигурацию
03 / ai-аудит
Проверка машиной и человеком
- Reasoning-модели сканируют код на уязвимости, дубли и хрупкие паттерны
- Каждая находка ИИ сверяется с реальным кодом до фикса – чинить вслепую по отчёту модели запрещено
- Чиним первопричину, движемся вперёд: латание симптомов вместо источника не принимается на ревью
- Финальная приёмка – человеком. В прод уходит только то, что прошло весь контур
04 / деплой
Как изменения попадают на прод
- Только цепочка preview → проверка → прод. Правок «сразу на живом» нет
- Бэкап перед каждым структурным изменением – файлов и базы, с понятным путём отката
- Деплой не трогает чужие зоны: список синхронизируемых путей задан явно, удаление – только осознанное
05 / верификация
После каждой выкатки
- Прод проверяется живыми запросами снаружи – не только «локально работало»
- Проверяется именно то, что видит пользователь: домен, контент, формы – вплоть до сквозной тестовой заявки
- Мониторинг и алерты включаются вместе с запуском, падение видно раньше, чем его заметит клиент
06 / безопасность и данные
Персональные данные и доступы
- Серверы в России, работа с персональными данными – по 152-ФЗ
- Персональные данные не попадают в логи открытым текстом и не отправляются во внешние ИИ-модели: чувствительные контуры – fail-closed
- Доступы – через выделенные учётки с минимальными правами; пароли в мессенджерах не принимаем и не отправляем
- Формы защищены от спама и ботов без капчи, которая раздражает живых людей
07 / передача
Что остаётся у вас
- Код, база и инфраструктура – ваши. Никакой привязки к нам как условию работы системы
- Документация передачи: как устроено, как развивать, как откатить
- 30 дней гарантии после сдачи входят в цену каждого формата
// этот чек-лист – живой документ: каждый инцидент на нашем собственном продакшне добавляет в него строку