Berapa lama audit seperti ini berlangsung?

Tergantung ukuran codebase. Produk vibe-coded kecil bisa dibaca dalam beberapa hari, monolit dua belas tahun butuh berminggu-minggu. Yang penting urutannya, bukan kecepatannya - cepat di awal berarti lambat di akhir.

Mengapa mulai dari peta, bukan dari keamanan?

Tanpa konteks, pemindaian keamanan adalah teater. AI menemukan hal-hal generik yang sering bahkan bukan masalah di sistem konkret ini. Pertama kami beri model peta mermaid, dan baru kemudian kami minta ia mencari SQL injection, auth bypass, dan celah nyata lainnya.

Apakah proses ini juga berlaku untuk vibe-coder yang meluncurkan produk dalam sebulan?

Ya, bahkan lebih. Dalam sistem vibe-coded AI suka memasukkan paket terbaru hanya karena terbaru, meninggalkan fungsi pembantu yang tidak dipanggil, dan tidak menanyakan tentang file .env atau kunci API yang di-hardcode. Ketujuh tahap berlaku, jalannya hanya lebih pendek.

Apakah benar 100% sistem warisan bocor?

Berdasarkan pengalaman kami dalam setahun terakhir, ya, setiap sistem memiliki setidaknya satu masalah keamanan kritis yang tidak diketahui pemiliknya. Model terus menguat, internet penuh dengan scanner otomatis, dan legacy code tetap di tempatnya. Pertanyaannya hanya kapan orang lain menemukan celah itu lebih dulu.

Audit kode warisan dengan AI dalam tujuh tahap

★ Inti sari

Setengah tahun terakhir kami mengaudit puluhan codebase warisan, dan 100% memiliki setidaknya satu masalah keamanan kritis yang tidak diketahui pemilik.
Panduan untuk dua kelompok, vibe-coder yang membangun produk dalam hitungan bulan dengan Claude Code atau Codex, dan pemilik sistem lama dengan monolit dua belas tahun.
Urutan lebih penting daripada kecepatan. Tujuh tahap, peta, paket dan versi, titik integrasi, lapisan asinkron, kode mati, infrastruktur dan keamanan, prioritas.
Model dalam setahun menjadi sangat kuat dalam menemukan celah. Yang dulu butuh spesialis keamanan seminggu, Claude atau Codex menemukan dalam satu jam, dan penyerang menggunakan keuntungan yang sama.
Kode mati membingungkan agen AI itu sendiri. Perintah standar /review dan /security-review adalah higiene minimum yang dilewati kebanyakan tim.

#kode warisan#vibe-coding#keamanan#Claude Code#Codex#kode mati#audit kode

Pertanyaan yang sering diajukan

Berapa lama audit seperti ini berlangsung?: Tergantung ukuran codebase. Produk vibe-coded kecil bisa dibaca dalam beberapa hari, monolit dua belas tahun butuh berminggu-minggu. Yang penting urutannya, bukan kecepatannya - cepat di awal berarti lambat di akhir.
Mengapa mulai dari peta, bukan dari keamanan?: Tanpa konteks, pemindaian keamanan adalah teater. AI menemukan hal-hal generik yang sering bahkan bukan masalah di sistem konkret ini. Pertama kami beri model peta mermaid, dan baru kemudian kami minta ia mencari SQL injection, auth bypass, dan celah nyata lainnya.
Apakah proses ini juga berlaku untuk vibe-coder yang meluncurkan produk dalam sebulan?: Ya, bahkan lebih. Dalam sistem vibe-coded AI suka memasukkan paket terbaru hanya karena terbaru, meninggalkan fungsi pembantu yang tidak dipanggil, dan tidak menanyakan tentang file .env atau kunci API yang di-hardcode. Ketujuh tahap berlaku, jalannya hanya lebih pendek.
Apakah benar 100% sistem warisan bocor?: Berdasarkan pengalaman kami dalam setahun terakhir, ya, setiap sistem memiliki setidaknya satu masalah keamanan kritis yang tidak diketahui pemiliknya. Model terus menguat, internet penuh dengan scanner otomatis, dan legacy code tetap di tempatnya. Pertanyaannya hanya kapan orang lain menemukan celah itu lebih dulu.

Kode warisan dan AI. Panduan bertahap untuk membenahi codebase dan menemukan bug kritis

Pertanyaan yang sering diajukan

Lainnya dari blog

Cara Kita Mengendalikan Komputer Akan Berubah Total - Tebakan Saya sebagai Praktisi AI

Saya Merancang Sistem AI yang Bisa Mengakhiri Korupsi dan Nepotisme di Lituania

Saya mengadu OpenAI vs Google di 8 adegan sinematik. Hasilnya tidak seperti dugaan saya.