Перейти к основному содержимому

Есть ли чек-лист разработчика?

Почему это важно?

Чек-лист может и должен стать одним из критериев DoD. Критерий позволяет сформулировать и стандартизировать ожидания всей команды от каждого разработчика. Ожидания направлены на своевременное получение качественно реализованной задачи, готовой к переходу на следующий производственный этап.

Примеры чек-листов

Для бэкендера

  1. Код-ревью пройден.
  2. MR связан с задачей.
  3. Юнит-тесты написаны.
  4. API задокументировано.
  5. Фронт видел документацию по API, замечаний нет.
  6. Мобильные разработчики видели документацию по API, замечаний нет.
  7. API покрыта тестами.
  8. SLA не превышен.
  9. Логи собираются и мониторятся.
  10. Зафиксирован регламент деплоя задачи.

Для фронтендера

  1. Код-ревью пройден.

  2. Дизайн-ревью пройден.

  3. MR связан с задачей.

  4. Snapshot-тесты написаны.

  5. Интерфейс покрыт метриками.

  6. SLA не превышен.

  7. Зафиксирован регламент деплоя задачи.

  8. Провел первый тест и записал скринкаст с позитивным сценарием.

  9. Пройден чек-лист по безопасности для фронтендеров. «Для фронтендеров» тут означает, что в список входят проблемы и уязвимости на стороне клиента или между клиентом и сервером. Поэтому здесь нет вещей в духе SQL-инъекций — это уже сторона сервера.

    • Знать что такое Cross-Site Scripting (XSS). Знать как может работать XSS с помощью загруженных файлов (Malicious attachments).
    • Знать что такое Content Security Policy (CSP) и зачем она нужна (учить все настройки не нужно).
    • Знать что такое Cross-Site Request Forgery (CSRF).
      • Понимать что такое CSRF-tokens: зачем нужны и основные принципы работы.
      • Понимать что такое Cross-Origin Resource Sharing (CORS) и как это понятие связано с CSRF.
    • Знать что такое Clickjacking и как от него защищаться.
    • Знать что такое Subresource Integrity (SRI) и зачем это нужно.
    • Понимать что такое Man in the middle attack (MITM) в контексте веба и как HTTPS помогает от неё защититься.

    Бонусы для интересующихся (не входят в необходимый минимум — это больше про инфраструктуру):

    • Знать что такое HTTPS Downgrade и как от него защищаться.
    • Знать что такое HTTP Strict Transport Security (HSTS) и HSTS preload list.
    • Понимать как можно «сломать» HTTPS с помощью установки клиенту на девайс вредоносного корневого сертификата.