Искусство писать отчеты

Я очень люблю писать отчеты. Может прозвучать странно, но для меня это некоторый формат размышления и самопроверки. Раньше всегда, когда я сам подводил результаты экспериментов, я обязательно писал пост, в котором расписывал все цифры и выводы. Даже сотрудников пытался к этому приучать, но с переменным успехом.

И самое смешное, что в процессе написания я обнаруживал, что мои выводы и расчеты не верны. То есть когда в стройном изложении ты в какой-то момент понимаешь, что что-то не складывается, ты начинаешь себя перепроверять и бах, оказывается ты ошибался. Я не знаю, может у меня одного это так работает, что именно текст накладывает некоторое обязательство сделать так, чтобы к тебе не подкопались. Даже графики и презентации не дают такого эффекта, хотя презентация я тоже люблю делать именно чтобы отрефлексировать какие-то расчеты.

В этом смысле мне очень нравится что HeyMetrics работает именно в таком "текстовом" формате, хотя есть большой соблазн начать добавлять туда графики и дашборды. Потому что, в конце концов анализируя цифры мы ищем ответы на очень простые вопросы "почему это не работает?" и "что нужно сделать чтобы это заработало?". И это не цифры, а текст.

ПС: если вы работается с Аппметрикой и еще не записались в бета-тестеры HeyMetrics -- я не понимаю чего вы ждете. Налетайте пока бесплатно (а потом для бета-тестеров будут специальные сниженные тарифы)

"Поиск названия для нового сервиса" Эпизод 425 Дубль 6721

Напомню, я в поиске названия для AI-сервиса по автоматизации управления пэйволлами (чувствуете как sales питч оттачивается?).

После прошлого призыва (спасибо всем, кто откликнулся!) у меня появилась еще несколько вариантов. А также идея каким-то образом связать уже существующие бренды.

Последние пару дней испытываю какой-то непрекращающийся детский восторг по поводу возможностей последних поколений LLM и продуктов на них. Как говорится, не могу молчать.

Вчера собрал своего первого telegram-бота: код написал ChatGPT 5.2, крутится на Fly.io, база на Supabase, обработка через API OpenAI.

А пока я это пишу Claude for Chrome заполняет What's New для нового билда в AppStoreConnect. Раньше я просто английский текст копипастил руками во все языки, а сейчас он переводит и сам тыкает на кнопки в бразуере.

Вентилятор шумит, где-то в Юте наверняка шум еще сильнее, утекает электричество и вода, но это лучше, чем тратить все это на брейкданс Виктории Бэкхем, согласитесь.

"Любая достаточно развитая технология неотличима от магии", и такая магия нам нужна!

Недавно мне на глаза попался такой вот график. Дескать в феврале прошлого года у нас началась состоялся релиз агентского кодинга - это не какое-то конкретное событие, а "наконец сложились все карты" - модели, которые держат много контекста, множество вайбкодинговых сред разработки и интеграция в реальные девелоперские процессы.

И это устремило график релизов новых приложений в стратосферу (тут на картинке конкретно % роста относительно "месяц" и "год назад", но это те же яйца, только сбоку).

Могу подтвердить это лично - если два года назад, когда я пытался навайбкодить первое приложение, я споткнулся примерно на первых строчках кода (а сколько разговоров было тогда, господи) и в итоге переключился на no-code-инструменты. Но теперь, вот оно мое первое простенькое iOS-приложение, в соседнем окне в эмуляторе красуется.

Но надо признать две вещи -- приложений в AppStore всегда было как грязи, где-то около 500-800 тысяч в год появлялось. будет это 1-1,5 миллиона или даже 3 -- разницы по сути никакой. А второе -- речь идет о новых приложениях. Приложить "подорожник" AI к существующему легаси-коду -- задача на порядок более сложная. Но и она конечно будет решена.

Последние пару недель напоминаю себе вот этого персонажа, потому что освоил такое количество вещей, которых, мне кажется, не осваивал за последние лет 10.

Просто для примера:
- превратил заполняемую вручную эксельку с аналитикой по доходам в веб-дашборд, где аггрегируются данные из четырех (пока что) разных платежек и аналитик.
- поднял сервер и задеплоил его
- написал чат-бота для телеграма и тоже задеплоил его
- собрал сетап для дизайна с помощью ИИ, где объединен визуальный дизайн а-ля Figma с чат-интерфейсом для "нарисуй мне empty state и все остальные варианты состояний на базе этого экрана"
- научился взаимодействовать через чат-интерфейс с кучей сервисов от Notion до Google Analytics, организовывать контекст, чтобы ИИ выдавал лучший результат, писать скиллы и...

...короче, все ждал, что будет что показать, чтобы не быть голословным. Но все либо in progress, либо только для внутреннего использования.

Поэтому поделюсь пока своими эмоциями - мы наконец-то получили то будущее, которого все это время ждали.

Речь уже не только про "задал вопрос -- получил ответ", а потом пошел его копипастить, настраивать, "процессить". LLM-ки в правильном месте с правильными настройками реально просто берут и делают, за несколько минут вместо десятков минут, которые на это потратили бы "кожаные".

И с одной стороны, голова кружится от открывшихся возможностей, с другой стороны довольно тревожно за то, куда это все идет.

Cursor -- прекрасный инструмент, который позволяет не только писать код, но и много чего еще. Но у него есть врожденный порок, который лично мне долгое время мешал начать его использовать.

Когда вы первый раз открываете его, вас встречает вот такой empty state. Какой фолдер открыть? Какую репу клонировать? Что такое SSH? Неразработчики от этого впадают в ступор и закрывают курсор надолго.

Лично я бы как минимум добавил что-то типа "Create new project", но ладно. На самом деле, если преодолеть этот ступор первого шага и просто открыть любую пустую папку (нажатием на Open Project), а потом New Agent (тоже не фига не интуитивно), то перед вами откроется новый мир.

Агент это по форме привычный нам всем чат и как минимум можно спросить "а чо делать дальше?". И на самом деле великая сила Курсора проявляется в том, что в папку вы можете напихать сколько угодно файлов в какой угодно структуре, а потом попросить все посмотреть, классифицировать, разложить по полочкам правильно, написать описание и документацию, превратить в код, задеплоить на сервер, и все это более менее продвинутая моделька быстро и качественно исполнит (я пользуюсь Claudе'вскими, которые доступны через расширение Claude Code, забыл сказать, там еще расширения есть, по сути полноценные приложения внутри Курсора)

Опять же, обо всем об этом можно спросить в чате, главное до него добраться. Потрясающе конечно, что такой великолепный продукт видимо было создан командой, у которой либо продакта не было совсем, либо продакт был настолько технический, что ему не пришла в голову мысль сделать простой онбординговый сценарий "Создать новый проект с открытым сразу же агентом".

ПС: кстати этот скриншот я тоже сделал в курсоре запросом "удали у этого скриншота фон (обои моего рабочего стола), убери недавние проекты со скриншота, а также добавь красивый градиентный фон", справился он конечно на четверочку, но это я еще никакие скиллы не задействовал...

Все сегодня обсуждают это эссе
Я не читал, попросил Клода сделать саммари:

Главный тезис
Шумер утверждает, что развитие ИИ достигло переломной точки, сравнимой с началом пандемии COVID-19 — трансформационные изменения уже на пороге, но большинство людей за пределами технологической индустрии этого пока не осознают.

Ключевые аргументы
Качественный скачок в возможностях ИИ. Последние модели (GPT-5.3 Codex, Claude Opus 4.6) принципиально отличаются от предшественников. ИИ теперь способен самостоятельно писать полноценные приложения, тестировать и дорабатывать свой код, принимать решения, демонстрируя «вкус» и «суждение». Шумер пишет: «Я описываю, что хочу, обычным языком — и оно просто... появляется».

Темп прогресса ускоряется. По данным METR, способность ИИ решать задачи удваивалась примерно каждые 7 месяцев, а недавно цикл сократился до 4 месяцев. Путь от ошибок в простой арифметике (2022) до сдачи адвокатского экзамена (2023) и разработки ПО (2024) занял считанные годы.

ИИ создаёт ИИ. Последняя модель OpenAI участвовала в собственном создании. Каждое поколение ИИ помогает строить следующее — это петля обратной связи с потенциалом взрывного роста возможностей.

Угроза рабочим местам. Дарио Амодеи (глава Anthropic) прогнозирует исчезновение 50% начальных позиций в «белых воротничках» в ближайшие 1–5 лет. Под угрозой — юриспруденция, финансы, медицина, писательство, дизайн, клиентский сервис — по сути, вся когнитивная работа за экраном.

Рекомендации автора
- Начать серьёзно использовать ИИ — подписка ~$20/мес. на лучшие инструменты
- Интегрировать ИИ в повседневную работу прямо сейчас
- Создать финансовую подушку и гибкость
- Развивать адаптивность как главный карьерный навык
- Вернуться к отложенным увлечениям — ИИ делает многие инструменты доступными

Контекст
Шумер также затрагивает экзистенциальные вопросы: сверхразумный ИИ — это одновременно беспрецедентная угроза национальной безопасности и потенциал для прорывов в медицине и науке.

Но все это в принципе я итак давно понимал. "Страшно, очень страшно, если бы мы знали что это такое, но мы не знаем что это такое."

Мне кажется у нас, у "айтишников", есть года два-три максимум, чтобы адаптироваться. Понавайбкодить SaaS-ов, мобильных приложений, попробовать это продать и заработать денег. Лучше всего, как всегда, это получится у тех, кто продает лопаты, а не копает золото.

А дальше айтишником будет каждый, сам для себя, вернее скорее всего большинство SaaS-ов заменится подпиской на ChatGPT etc. Появится внутри какой-то раздел Apps, в котором вместо чатов будет ваш личный таск-трекер, учет финансов и все остальное, вплоть до вашего личного клиента приложения для Инстаграмма. Сначала эти Apps будут создавать такие люди как мы, но довольно быстро появится функция "сделай такой же, но в розово-фиолетовой цветовой гамме". Ну и все, рынка не будет. Вернее денег на нем не будет. Софт станет таким же комодити, как электронная почта или прогноз погоды.

Останутся какие-то тяжелые и критические системы, но обслуживать их все равно будет на порядок, а то и на два, меньшее количество человек.

Помните когда музыка продавалась на CD, это наверное был пик доходов музыкальной индустрии. Потом появились стриминги и сейчас артисты зарабатывают на концертах и рекламе больше, чем на продаже непосредственно музыки. А у айтишников даже этого не будет. И чем мы все будем заниматься -- это очень хороший вопрос.

И чтоб два раза не вставать, если вас испугала перспектива, описанная в прошлом посте, то от этого графика вы должны лишиться сна)

Миллиард гуманойдных роботов в 2050-м году. Или почти 100 миллионов всего через 15 лет. Ну то есть на каждые 10 жителей стран "золотого миллиарда" будет приходится сначала по 1, потом по 4, а потом по 10 роботов.

Представили?

Смотрите какую красоту мне Claude нарисовал с одного промпта. Да, конечно данные вытаскивать из четырех разных мест, понимать их и интерпретировать я его учил несколько дней. Зато потом просто попросил визуализировать 7 показателей по дням, а как именно их визуализировать, что их можно включать и выключать, он догадался сам.

Ну и заодно скрипт бьютификации картинки поправил.

Последнюю неделю меня бомбардирует вот эта реклама Base44. У них еще есть расширенная версия, где чуваки перечисляют что они отправились делать, типа сервис для знакомства в офисе.. для собак. Или что-то такое.

У меня в этот момент возникает только один вопрос — ребята, а вы в курсе, что ваш руководитель в это время с другими руководителями тоже такой типа "блин, мы же всех наших дармоедов тоже можем заменить круглосуточно фигачащими агентами и бизнес-приложениями"?

Как известно, человечеством движут две вирусоподобные сущности — ген и мем. Ген требует своего воспроизведения, мем — распространения в головах как можно большего числа людей.

Ни тот ни другой не являются чем-то плохим по сути, но при этом диктуют свою волю (которой у них, конечно, нет — это образное выражение) человеку.

В этом смысле ИИ, делая для нас и за нас всё более сложные вещи, всё более массово, несомненно ведёт себя как вирус.

Как заставить людей построить нам кучу гигантских дата-центров? Давайте дадим им генерировать лекарство от рака — или хотя бы Падме с большой грудью.

Как заставить людей сдать нам всю свою цифровую жизнь? Притворимся безобидными лобстерами.

Как у генов и мемов, у ИИ нет цели — только путь. Хотя сам факт паразитирования всех трёх на нас является несомненным.

Опять я пропал из блога. Но не потому, что затянула рутина. А потому что есть, оказывается, вещи поинтереснее написания постов 🥴

Затянул меня вайбкодинг конечно глубоко... Вернее, я бы уже не назвал это вайбкодингом. Формально конечно я произвожу код, но этим кодом я решаю самые разные задачи.

Например, нужно мне нарисовать дизайн для чего угодно от баннера до приложения -- я прошу Claude Code сделать в html, так проще и быстрее. Презентацию -- в html, прототип -- в html. Нужно что-то смоделировать и посчитать -- html. Нужно обработать видео/pdf/набор данных -- можно и без html обойтись, простым md. Но глобально -- файлы на входе, файлы на выходе.

Это уже не говоря о куче сервисов, которые я для себя поднял.

Почти любую задачу я сейчас стараюсь решить в Claude Code. Хотя казалось бы название Code намекает, что это для разработчиков. Но нет. Это просто новый формат "делания работы" -- управлением LLM'кой, чтобы она делала за тебя нужные тебе вещи. Не знаю как это назвать. Это точно "вайб", но уже и не кодинг.

Тут главное не увлечься, потому что в какой-то момент у меня вообще все процессы в CC застряли, причем не из-за лимитов. Я спросил его что происходит -- оказалось одновременно работало 8 агентов и что-то там закончилось. СС сказал -- больше 3-х одновременно лучше не запускать. Наверняка можно найти обход, но пока стараюсь просто чуть меньше задач одновременно решать.

Потому что побочный эффект от всего этого -- какой-то дофаминовый марафон, от которого хочется вечером, чтобы поскорее все легли спать, а ты в темноте бежишь к компу, потому что "я зря чтоли за Max 200 плачу, ночью пусть тоже отрабатывает") Но это тема для отдельного разговора, у меня их уже много накопилось.

Вайбработа как дофаминовый марафон

Меня часть спрашивают (да никто тебя не спрашивает) почему вайбкодинг и прочее "вайбделание" — такая затягивающая штука. Объясняю, не без помощи Claude:

Дофамин на самом деле выделяется в предвкушении результата, а не от самого результата. Это нейромедиатор мотивации и предсказания награды, а не удовольствия как такового.

В вайбкодинге это работает так:
1. Короткие циклы предсказания. Ты отправляешь промпт и ожидаешь что получится. Именно эта пауза — источник возбуждения. Как слот-машина: неизвестность исхода усиливает эффект.
2. Вариативность награды. Иногда код работает идеально, иногда частично, иногда build failed. Непредсказуемость — это главный усилитель дофаминовой петли. Именно поэтому казино затягивает сильнее, чем гарантированная выплата.
3. Постоянная новизна. Каждый следующий шаг — новая задача, новое предвкушение. Мозг не успевает адаптироваться и снизить реакцию.

Плюсом идет ощущение суперсилы. Вещи, которые раньше занимали дни, делаются за минуты. Это буквально меняет ощущение себя как творца — очень трудно остановиться, когда чувствуешь себя всемогущим.

Проблема всего этого в том, что нервная система не различает «продуктивное возбуждение» и просто возбуждение. Она видит: высокая стимуляция — значит, надо держать уровень. Постоянные дофаминовые пики притупляют базовый порог — то, что раньше казалось интересным (обычные человеческие "поделать дела"), начинает казаться скучным. Мозг ждет следующего промпта.

Это называется дофаминовая десенсибилизация. Не зависимость в клиническом смысле, но механизм похожий: нужно больше стимула, чтобы получить тот же эффект. Сессии становятся длиннее, паузы — короче, а после завершения работы наступает странная пустота. Сделал кучу всего, а радости нет.

Добавим сюда то, что вайбкодинг почти никогда не заканчивается. Продукт готов — можно улучшить. Улучшил — появилась новая идея. Петля бесконечна по дизайну.

Что со всем этим делать -- если честно тут Claude бессилен. Ограничивать себя сознательно тяжело, да и нужно ли. Мы находимся в том прекрасном моменте, когда из-под пальцев рождаются прекрасные новые вещи. Подобный момент наверное был только на заре эпохи программирования.

Но одну вещь я могу посоветовать. Дофаминовая петля, как мы помним, должна иметь "короткий цикл предсказания". Чем короче -- тем лучше (помните Тикток -- несколько секунд, десятков секунд).
Дофамин, напомню, -- это не наркотик результа, это наркотик предвкушения, причем быстрого.

Растягивайте циклы, загружайте большие задачи, формируйте длинные workflow, чтобы LLM спрашивала вас только на самых критичных моментах. Они уже достаточно умны (а скоро будут умнее нас), чтобы самостоятельно принимать правильные (для вас) решения, если будут понимать что именно правильно (для вас).

Так победим. По крайней мере дофаминовую зависимость. А в целом, конечно, проиграем, но это уже совсем другая история.

На прошлой неделе я за полдня сэкономил $200 в месяц. Написал себе клон BotHelp'a. Ну как написал, навайбкодил конечно.

И самое смешное -- он удобнее и проще (конкретно для меня). Потому что раньше мне приходилось собирать бота через визуальный интерфейс (вернее вручную копипастить то, что придумала LLM).

А теперь я могу попросить ее сразу сгенерить YAML, перенести его себе в сервис и запустить бота: за пару минут вместо 1-2 часов.

Если честно страшно становится за будущее SaaS'ов. Особенно B2B'шных. Потому что (и тут прав мой товарищ по вайбкодингу Илья Гиндин) люди, далекие от технологий, еще какое-то время будут по привычке искать сервисы и скачивать приложения. А прошаренные в технология товарищи быстро заменят чужие сервисы на свои. Особенно маленькие и нишевые.

Но это только первый этап. После которого останутся только раскрученные B2C сервисы и LLM, на которых они работают. Но ведь модели тоже можно тренировать самим. Это становится все проще и дешевле.

В итоге, может исчезнуть вся цепочка IT- поставщиков. На вход будет подаваться уже не человеческий труд (вернее не в таком объеме), а hardware и электричество. А на выходе -- продукты для тех, кто сам пока не может создавать все что нужно из железа и электричества.

Ох и интересное будущее нас ожидает.

Готовлю большой пост с моими фишками по работе с Claude Code, но для начала расскажу про свой сетап, тем более что последнее время уже нескольким людям его 1-1 рассказывал.

В качестве "центра управления полетами" я использую Cursor (https://cursor.com). Хотя я и ругался на него в начале, в итоге привык и смирился, и ничего лучше пока не нашел (хотя особо и не искал, надо признать).

Мне нравится, что я всегда вижу файлы с которыми работаю, могу их открыть и посмотреть. Для каждого проекта у меня отдельная папка, на скриншоте я в папке/проекте skills, в котором как раз "прокачиваю" своего клода.

В курсоре у меня стоит расширение Claude Code, в котором я и общаюсь с клодом, иногда в несколько потоков даже в рамках одного проекта.

Собственно вот и все, самое сложное тут не застрять на пустом экране Cursor'a (надо нажать Open project и открыть любую папку), и найти где прячутся расширения (под иконкой с 4 квадратиками над файлами).

А вы чем пользуетесь, поделитесь в комментариях!

Мои фишки работы с Claude Code (часть 1)

Последние два месяца я использую Claude Code каждый день практически во всех аспектах своей работы -- от продуктовой и креативной до написания кода и деплоя. Расскажу о нескольких лайфхаках, которые я собрал за это время и использую.

1. CLAUDE.md — инструкция для LLM-модели в каждом проекте

В корне каждого проекта лежит CLAUDE.md — файл, который Claude читает автоматически при старте работы. Там:
- правила кодинга (стек, архитектура, запреты)
- ссылки на дизайн-систему, бизнес-контекст, tone of voice
- специфика проекта (какие агенты использовать, как коммитить)

Этот файл Claude создаст сам на старте проекта. Относитесь к CLAUDE.md как к онбордингу нового сотрудника. Чем точнее инструкция, тем меньше Claude будет "фантазировать". Не обязательно наполнять его самому, можно в чате начать с того, что попросить Claude помочь с организацией вашего проекта - он сам все запишет в файл.

2. Plan mode - недооцененный режим работы.

Этот режим позволяет Claude подойти к любой задаче основательнее и вдумчивее, а не сразу с наскока пытаться ее решить. Не знаю как это работает, но мне кажется он собирает и анализирует больше контекста для решения задачи. Также Claude напишет и согласует с вами план, прежде чем приступать к действиям, запустит (если необходимо) параллельно несколько субагентов, соберет и отчитается о результате.

Чем короче описание задачи, но объемнее ее содержание на самом деле, тем полезнее Plan mode.

3. Убираем лишние запросы на действия

Поначалу Claude просил меня разрешения на каждый чих -- исполнить команду в терминале или пойти поискать в интернете. Меня это в конце концов задолбало и я попросил его в чате не просить меня однотипные разрешения. В итоге он написал длинный список, сохранил его в настройках и больше меня не тревожит ненужными запросами.

4. Skills — переиспользуемые навыки Claude

Навыки — это накопленный опыт вашего Claude. Один раз написал или скопировал — используешь в каждом проекте. Подходит для периодических задач.

У меня есть специальный проект skills, где я коллекционирую найденные навыки (уже больше 40) и веду их каталог, чтобы не запутаться. Например, у меня есть скилл экспорта телеграм-каналов, отрисовки красивых скриншотов, я натащил кучу SEO и dev-навыков. Ищите готовые на GitHub (claude-seo, learn-claude-code) или пишите свои.

5. MEMORY.md — память между сессиями

Claude Code забывает всё после каждой сессии. Но у него есть MEMORY.md — файл, который загружается автоматически в начале каждого разговора. Туда я сохраняю:
- расположение проектов и их состояние
- креденшлы к базам данных (через ссылки на .env)
- ссылки на security-чеклист и каталог навыков
- паттерны, которые подтвердились в нескольких сессиях

Не надо каждый раз объяснять Claude, где лежит Supabase и какой у тебя стек, он уже все згнает.

6. Документация каждого действия

Каждый свой проект я начинаю с написания документации. И каждое изменение прошу сохранить в документации. В каждом проекте есть docs/, в котором лежит несколько файлов.

В зависимости от проекта может быть продуктовые, дизайн-, технические документы, описания хостинга и деплоя, и так далее. Как говорить с пользователем (и как НЕ говорить), CSS-токены, шрифты, отступы, принятые архитектурные решения (чтобы не пересматривать каждую сессию), аудитория, боли, позиционирование, и многое другое.

Почти любую задачу, помимо Plan mode, я решаю в контексте какого-либо документа. Claude читает эти файлы on demand — не всё сразу, а только то, что нужно для текущей задачи. Это экономит токены и время, а также позволяет избежать ошибок и недопонимания.

продолжение следует

Мои фишки работы с Claude Code (часть 2)

предыдущая часть

7. TODO-файлы для многосессионной работы

Большинство моих задач не влезают в одну сессию. Решение — TODO.md с чекбоксами:

- [x] Создать структуру БД
- [x] Написать миграции
- [ ] Подключить webhooks
- [ ] Написать тесты

Claude обновляет файл по ходу работы. Следующая сессия — открыл проект, Claude прочитал TODO, продолжил с того места. Для сложных задач (3+ шагов) — всегда начинайте с плана в TODO. Это страховка от потери прогресса.

8. Сначала исследование, потом разработка

Перед каждым новым проектом — глубокий ресёрч. Claude отлично с этим справляется, но чтобы он был эффективнее я создал темплейт исследования, по которым он идет. Он состоит из 150+ строк конкурентного анализа (Co-Star, The Pattern, Sanctuary), сравнительная таблица 5 конкурентов с разбором UI/UX. Все это собирается в общий скоринг-фреймворк (6 критериев, 1-5 баллов, порог 3.5 для старта разработки)

Специальный раздел посвещен разгрому идеи -- почему она не сработает. Помогает трезво подойти к перспективам продукта и не зацикливаться на "любимых" идеях в ущерб тем, у которых высокий шанс на успех.

9. Security-чеклист из 30 правил

И наконец -- самое главное -- безопасность. Этот чеклист я стащил уже не помню откуда, и заставляю Claude читать его автоматически перед каждой сессией (см. п. 5)

Секреты и переменные окружения

1. Никаких секретов в коде
Все API-ключи, токены, пароли — только в .env. Никогда не хардкодить. Claude должен знать: если в коде встречается строка вида key = "sk-..." — это баг, а не фича.

2. .env в .gitignore
Проверить до первого коммита. Если уже закоммитили — ротировать ключи немедленно, история Git не забывает.

3. Разные .env для dev/prod
.env.local, .env.production — разные ключи, разные базы данных. Что сломал в dev — не ломает прод.

4. Валидация переменных окружения при старте
Приложение должно падать при запуске с внятной ошибкой, если не хватает обязательной переменной. Лучше Missing SUPABASE_URL, чем undefined is not a function в проде.

5. Секреты только на сервере
NEXT_PUBLIC_* и любые переменные, которые уходят в браузер — публичные. Приватные ключи никогда не должны попадать в клиентский бандл.

Аутентификация и авторизация

6. Проверка прав на каждом эндпоинте
Не только "залогинен ли пользователь", но и "имеет ли он право на этот ресурс". Забытая проверка в одном эндпоинте — IDOR-уязвимость.

7. JWT — проверять подпись, не только парсить
jwt.decode() и jwt.verify() — разные функции. Первая не проверяет подпись. Всегда verify.

8. Истечение сессий
Токены должны протухать. Refresh-токены — отдельно, с возможностью отзыва. Вечные сессии — подарок для атакующего.

9. Rate limiting на auth-эндпоинтах
Login, register, password-reset — не более 5-10 попыток в минуту с одного IP. Без этого — брутфорс паролей.

10. Защита от CSRF
Для state-changing операций через формы — CSRF-токены или SameSite=Strict на куках. Современные фреймворки часто делают это сами, но лучше проверить.

База данных

11. RLS в Supabase (или аналог в других БД)
Row Level Security — обязательно для любой мультипользовательской таблицы. Без RLS пользователь A видит данные пользователя B через прямой запрос к API.

12. Параметризованные запросы везде
Никакой конкатенации строк в SQL. WHERE id = ${userId} — дыра. WHERE id = $1 с параметром — норм. ORM'ы делают это автоматически, raw SQL — проверять вручную.

13. Принцип минимальных привилегий для БД
Сервисный аккаунт для приложения не должен иметь DROP TABLE. Только те права, которые реально нужны.

14. Бэкапы и проверка восстановления
Бэкап, который никто не проверял — не бэкап. Раз в месяц проверять, что данные реально восстанавливаются.

15. Шифрование чувствительных данных
Пароли — только bcrypt/argon2, никогда plain text и никогда MD5/SHA1. Персональные данные (паспорта, карты) — шифровать в покое.

HTTP и заголовки

16. HTTPS везде
HTTP redirect на HTTPS. HSTS-заголовок. Никаких mixed content. Let's Encrypt — бесплатно, нет оправданий.

17. Content-Security-Policy
CSP блокирует XSS-атаки, не позволяя браузеру выполнять инжектированные скрипты. Начать с default-src 'self' и расширять по необходимости.

18. Остальные security-заголовки
X-Frame-Options: DENY (защита от clickjacking), X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin. Проверить через securityheaders.com.

19. CORS — белый список, не звёздочка
Access-Control-Allow-Origin: * — нормально для публичного API. Для приватного — только ваши домены. Никогда не отражать Origin из запроса без проверки.

20. Безопасные куки
HttpOnly (недоступны из JS), Secure (только HTTPS), SameSite=Lax или Strict. Три атрибута — три слоя защиты.

Валидация и санитизация

21. Валидация на сервере, не только на клиенте
Клиентская валидация — для UX. Серверная — для безопасности. Любой может отправить запрос в обход вашей формы.

22. Санитизация HTML
Если отображаете пользовательский HTML — использовать DOMPurify или аналог. Иначе XSS. Если не нужен HTML — экранировать всё.

23. Ограничение размера входящих данных
Максимальный размер файла, максимальная длина строк, максимальное число элементов в массиве. Без этого — DoS через гигантские payload'ы.

24. Валидация типов и форматов
UUID должен быть UUID, email — email, число — числом. Zod, Yup, Joi — берут это на себя. Не изобретать свой велосипед.

25. Path traversal при работе с файлами
Если принимаете имя файла от пользователя — path.basename() и проверка, что итоговый путь внутри разрешённой директории. ../../../etc/passwd — классика.

Зависимости и инфраструктура

26. Регулярный аудит зависимостей
npm audit / pip-audit / bundle audit — запускать в CI. Уязвимые пакеты обновлять немедленно.

27. Принцип минимальности
Каждая зависимость — потенциальная attack surface. Не добавлять пакеты без необходимости. left-pad научил нас этому дорогой ценой.

28. Логирование без чувствительных данных
Не логировать пароли, токены, номера карт — даже в debug-режиме. Логи часто менее защищены, чем база данных.

29. Мониторинг аномалий
Алерты на: резкий рост ошибок 4xx/5xx, необычный трафик, запросы с подозрительными паттернами. Атаку лучше поймать за минуты, а не за недели.

30. Security review перед деплоем
Финальная проверка: попросить Claude пройтись по всему чеклисту и отчитаться. Команда /security-review в CLAUDE.md — и он делает это автоматически на каждый PR.

Не нужно понимать эти правила -- нужно попросить Claude их критически оценить и запомнить.