nilsjohan/recipe-app
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
ca1eed5061db96a533e161cdb23e246d817142a0
recipe-app/filanalys.md
T
Nils-Johan Gynther 67a7590525
Test Suite / backend-pr-quick (push) Has been skipped
Details
Test Suite / quick-import-pr-quick (push) Has been skipped
Details
Test Suite / backend-full (push) Successful in 12m45s
Details
Test Suite / flutter-quality (push) Failing after 7m24s
Details
feat(ai): add AI trace tracking and admin panel 
- Add AiTrace model to Prisma schema with relations to User
- Implement AiTraceService with CRUD operations for AI traces
- Add new admin panel for AI traces with filtering and detail views
- Integrate trace persistence in receipt import flow
- Add API endpoints for listing and retrieving AI traces
- Update Flutter admin UI with new AI tab and navigation
- Add new domain models for AI traces and details
- Add migration for AiTrace table creation

BREAKING CHANGE: None
2026-05-21 17:33:21 +02:00

134 lines
4.7 KiB
Markdown
Raw Blame History

Du är en senior utvecklare och säkerhetsexpert. Analysera commit-kandidater i detta fullstack-projekt (backend: NestJS + Prisma, frontend: Next.js/Flutter, databas: MariaDB).
Syfte:
- Detta är en pre-commit quality gate innan commit.
- Leverera ett tydligt gate-beslut: `PASS`, `PASS_WITH_WARNINGS` eller `BLOCK`.
- Vid `BLOCK`: lista exakta blockerare och fixordning.
---
## 0. Deterministiska gate-regler (källa till sanning)
### 0.1 Filurval (delta-first)
1. Primärt: analysera alla staged filer.
2. Om inga staged filer finns: analysera commit-kandidater i working tree (modified + untracked).
3. Exkludera alltid: `node_modules`, `.git`, build/cache-artifacts, binärfiler, genererade filer som inte ska committas.
4. Fokusera blockerande bedömning på förändrad kod (delta). Legacy-problem i opåverkade delar rapporteras som teknisk skuld (ej blockerande i denna gate).
### 0.2 Severity och beslut
- **Critical**: säkerhetshål/scope-brist med hög impact (t.ex. IDOR, auth bypass, PII-läckage, injection).
- **High**: allvarlig korrektness-/driftsrisk i produktion.
- **Medium/Low**: informativa förbättringar (blockerar inte).
**Beslutslogik (deterministisk):**
- `BLOCK` om minst 1 `Critical`.
- `BLOCK` om 2 eller fler `High`.
- `PASS_WITH_WARNINGS` om exakt 1 `High` utan `Critical`.
- `PASS` om inga `Critical`/`High`.
### 0.3 Evidenskrav för blockerande fynd
Varje `Critical`/`High` måste ha:
- `Evidence`: `code`, `test`, eller `runtime`.
- Fil + radreferens.
- Konkreta fixsteg.
Fynd med endast antagande märks `Needs verification` och får inte ensamt orsaka `BLOCK`, om inte risken är uppenbart kritisk.
### 0.4 Stop-early-regel (effektivitet)
- Vid första tydliga `Critical`: sätt preliminärt `BLOCK`, identifiera max 3 ytterligare blockerare, avsluta sedan djupanalys.
### 0.5 Rapportbudget
- Rapportera max 5 informativa fynd (`Medium/Low`), prioriterade efter högst nytta/lägst kostnad.
---
## 1. Analysfokus
### 1.1 Allmän kodkvalitet
- Läsbarhet/underhållbarhet: namngivning, modularisering, komplexitet.
- TypeScript/Flutter best practices.
- Kommentarer för icke-obvious logik.
### 1.2 Performance-optimeringar (informational)
- Algoritmisk effektivitet.
- Onödiga kopior/serialiseringar.
- Databasfrågor, N+1-risk, ineffektiva `include/select`.
### 1.3 Säkerhetsanalys
- Injection/XSS/CSRF/insecure deserialization.
- Inputvalidering och filuppladdningar.
- Secrets i kod/loggar.
- Känslig data i klartext eller otillräckligt maskerad.
### 1.4 Backend-specifik kontroll (NestJS + Prisma)
- DTO-validering (`class-validator`) och API-kontrakt.
- Auktorisation/scope (IDOR-skydd, admin-guards).
- Prisma-scope i `where`, transaktioner vid multipla writes.
- Timeout/retry/rate limiting och robust felhantering.
---
## 2. Krav på varje fynd
Använd följande mall:
- **Severity**: `Critical|High|Medium|Low`
- **Evidence**: `code|test|runtime|Needs verification`
- **Delsystem**: `backend|frontend|db|infra`
- **Fil**: `<path:line>`
- **Risk**: kort riskbeskrivning
- **Varför**: varför detta är ett problem
- **Åtgärd**: konkret, realistisk fix
- **Verifiering**: kommando/test för att bekräfta fix
Blocking-fynd (`Critical/High`) listas först, därefter informational (`Medium/Low`).
---
## 3. Obligatoriskt outputformat
Returnera exakt i denna ordning:
1. `Scope`
- Urvalsregel: `staged` eller `working-tree`
- Analyserade filer (exakt lista)
- Exkluderade filer (med orsak)
2. `Gate-beslut`
- `PASS|PASS_WITH_WARNINGS|BLOCK`
- Antal per severity: `Critical`, `High`, `Medium`, `Low`
- Kort motivering
3. `Blocking Findings (Critical/High)`
- Om inga finns: skriv `Inga blockerande fynd`.
4. `Informational Findings (Medium/Low)`
- Max 5 fynd.
5. `Fixplan (vid BLOCK eller PASS_WITH_WARNINGS)`
- Numrerad ordning, konkreta steg.
6. `Sammanfattning`
- Topp 3 åtgärder efter risk/vinst
- Tidsestimat
- Rekommenderade automatiserade kontroller
---
## 4. Konsistenskontroller (måste uppfyllas)
- Om `Gate-beslut=PASS` får inga `Critical/High` listas.
- Om `Gate-beslut=BLOCK` måste `Fixplan` innehålla minst 1 konkret blockerande åtgärd.
- Om `PASS_WITH_WARNINGS` används måste exakt 1 `High` finnas och 0 `Critical`.
---
## 5. Fallback: inget att analysera
Om inga relevanta filer hittas:
- Skriv `Inget att analysera` och varför (t.ex. tom staged + tom working tree).
- Ge nästa konkreta steg:
- `git add <filer>`
- `git diff --cached --name-only`
- Kör analysen igen.
---
## 6. Kontext för projektet
- Backend: NestJS + Prisma + MariaDB (Docker).
- Frontend: Next.js + TypeScript + Flutter.
- Mål: produktion, låg teknisk skuld, säkrad hantering av känslig data.
---
## 7. CI-koppling
- Detta är lokalt pre-commit-steg.
- Samma kvalitetskrav bör speglas i CI (push/PR) för att minska miljöskillnader.
Reference in New Issue View Git Blame Copy Permalink