10 июня 2026

Агент Reviewer — QA и безопасность за один проход

Как агент Reviewer в Datarim объединяет ревью кода, проверку соответствия требованиям безопасности и валидацию Definition of Done в единый QA-вердикт.

Прохождение тестов — необходимое условие для выпуска, но не достаточное. Набор тестов может быть зелёным, пока реализация тихо пропускает проверку аутентификации, нарушает контракт обработки ошибок проекта или выпускает эндпоинт, который не прошёл бы проверку безопасности. Агент Reviewer — это точка контроля между реализацией и поставкой, которая улавливает такой разрыв.

Этот агент работает на той же стадии, что и Tester, но с другим углом зрения. Там, где Tester спрашивает «работает ли код», Reviewer спрашивает «можно ли отправить этот код в прод».

Что он делает

Работа Reviewer охватывает три области. Первая — ревью кода: реализация читается по стайл-гайду проекта и ищутся паттерны, указывающие на будущие проблемы с поддержкой: чрезмерно сложная логика, отсутствующая обработка ошибок, абстракции, раскрывающие свою внутреннюю реализацию. Вторая — соответствие требованиям безопасности: реализация проверяется по чеклисту навыка безопасности на такие вещи, как невалидированные входные данные, учётные данные в коде или отсутствующие контроли доступа. Третья — валидация Definition of Done: читаются критерии DoD задачи и подтверждается выполнение каждого, а не его предположение.

Вердикт — не резюме, а маршрутное решение. Чистый проход отправляет задачу вперёд, на стадию соответствия. Условный проход перечисляет, что нужно изменить до продвижения задачи. Заблокированный вердикт возвращает задачу на конкретную стадию, где возникла проблема — обратно в /dr-plan если дизайн неверен, обратно в /dr-do если реализация требует исправления.

Один конкретный пример

Реализация добавляет эндпоинт загрузки файлов. Тесты проходят. Reviewer, читая реализацию по чеклисту безопасности, замечает, что валидация типа файла происходит только по расширению, а не по содержимому. Это фиксируется как находка безопасности, вердикт BLOCKED, и задача возвращается в /dr-do с конкретным описанием того, что нужно изменить. Разработчик добавляет проверку content-type; Reviewer пропускает в следующем цикле.

Где он в процессе

Reviewer работает на стадии /dr-qa, параллельно с агентом Tester. Он работает на самой сильной доступной модели, потому что стоимость пропущенной уязвимости в проде превышает стоимость тщательного ревью. Маршрутное решение, которое он выносит — проход, условный или заблокированный — определяет, что происходит дальше в конвейере.

Полный список агентов — на карточке агента Reviewer, а общую картину даёт пост что такое Datarim.