Аудит кодовой базы веб-приложения
Аудит кодовой базы — системный анализ накопленного технического долга, архитектурных проблем и рисков. Отличается от ревью тем, что охватывает весь проект, а не отдельный PR. Результат — приоритизированный список действий, а не просто список проблем.
Что включает аудит
1. Статический анализ кода 2. Зависимости и уязвимости 3. Покрытие тестами 4. Производительность сборки 5. Архитектурные паттерны 6. Документация и API-контракты
Статический анализ: TypeScript/JavaScript
# TypeScript: строгая проверка
npx tsc --noEmit --strict
# ESLint: анализ качества
npx eslint . --ext .ts,.tsx --format=json > eslint-report.json
# Поиск мёртвого кода
npx ts-prune # неиспользуемые экспорты
npx knip # неиспользуемые зависимости и файлы
# Дубликаты кода
npx jscpd --min-tokens 50 --reporters html src/
Анализ зависимостей
# npm audit
npm audit --json > audit-report.json
# Outdated packages
npm outdated --json
# Анализ bundle size
npx @next/bundle-analyzer
# Или
npx webpack-bundle-analyzer stats.json
# Лицензии зависимостей (риски GPL в коммерческих проектах)
npx license-checker --summary --onlyAllow "MIT;ISC;BSD;Apache-2.0"
Покрытие тестами
# Jest
npx jest --coverage --coverageReporters=json-summary
# Пороги покрытия
# В jest.config.ts:
coverageThreshold: {
global: {
branches: 60,
functions: 70,
lines: 70,
statements: 70,
},
},
Архитектурный анализ: что искать
// ПРОБЛЕМА: God Component (компонент делает всё)
// 500+ строк, множество useEffect, прямые API-вызовы в компоненте
// ПРОБЛЕМА: Prop drilling через 4+ уровня
<App user={user}>
<Layout user={user}>
<Sidebar user={user}>
<UserMenu user={user} /> // лучше: Context или Zustand
// ПРОБЛЕМА: Circular dependencies
// utils → services → utils (может вызвать неочевидные баги)
npx madge --circular src/
// ПРОБЛЕМА: Большие файлы
find src -name "*.ts" -o -name "*.tsx" | xargs wc -l | sort -n | tail -20
PHP/Laravel аудит
# PHPStan: статический анализ
./vendor/bin/phpstan analyse --level=5 app/
# PHP Insights
php artisan insights
# Поиск N+1 запросов (Clockwork, Laravel Debugbar)
# config/debugbar.php: 'capture_ajax' => true
# Unused routes
php artisan route:list --format=json | python3 -c "
import json, sys
routes = json.load(sys.stdin)
print(f'Total routes: {len(routes)}')
"
Отчёт по аудиту
Структура документа:
# Аудит кодовой базы MyProject — 2024-03
## Резюме
- **Критических проблем:** 3
- **Важных проблем:** 12
- **Рекомендаций:** 24
- **Технический долг (оценка):** 120 часов
## Критические проблемы
### 1. SQL Injection в UserController.php:142
**Риск:** Утечка всей БД
**Пример:** `DB::raw("SELECT * FROM users WHERE name = '{$name}'")`
**Решение:** Использовать параметризованные запросы
**Приоритет:** Исправить немедленно
### 2. Секреты в репозитории
**Файл:** .env.example содержит реальные API-ключи
**Решение:** Ротация ключей, добавление в .gitignore
## Важные проблемы
### 1. Покрытие тестами: 23%
**Текущее:** 23% строк, 18% веток
**Цель:** 60%+ строк, 50%+ веток
**Оценка работ:** 40 часов
## Дорожная карта
| Квартал | Задачи | Часов |
|---|---|---|
| Q1 2024 | Критические + безопасность | 30 |
| Q2 2024 | Рефакторинг архитектуры | 50 |
| Q3 2024 | Тесты + документация | 40 |
Аудит средней кодовой базы (50–200 файлов) — 3–7 рабочих дней. Крупный проект (500+ файлов) — 2–4 недели.