Claude-Code-Projekt prüfen lassen, Architektur, Security und Infrastruktur im Blick
Claude Code baut viel und sehr schnell, aber ein produktionsreifes Projekt entscheidet sich an Auth, RLS, Secrets, Dependencies und Infrastruktur. Ich prüfe ein mit Claude Code gebautes Projekt auf genau diese Punkte und behalte es danach laufend technisch im Blick, statt es bei einem Einmal-Audit zu belassen.
- Baseline ab 790 €
- Feste Monatsabos
- Repo + CVE + Infrastruktur
- Deutscher Ansprechpartner
Direkter Ansprechpartner
Timo Wevelsiep
Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer
Ich prüfe Code, Security und Infrastruktur und mache sichtbar, was vor Launch, Kundeneinsatz oder Due Diligence technisch riskant ist.
Ich habe produktive Software-, Infrastruktur- und Cloud-Systeme für Kunden weltweit begleitet, darunter Europa, VAE, Asien, Australien und Amerika: von automatisierten Standortplattformen über Cloud-Migrationen bis zu Remote-Access-Systemen für Industrieanlagen.
Für Fragen wie:
- Ist dieser Release produktionsreif?
- Welche CVEs sind wirklich kritisch?
- Sind Auth, Datenzugriff und Tenant-Isolation sauber?
Claude Code baut viel und schnell, aber Production-Lücken bleiben
Claude Code generiert in kurzer Zeit ganze Features, Migrationen und Deployments. Das Tempo ist beeindruckend, doch die Entscheidungen, die über echte Produktion bestimmen, fallen oft nicht oder unvollständig. Diese Lücken sehe ich in Claude-Code-Projekten am häufigsten:
- Authentifizierung ohne sauberes Rollen- und Rechtekonzept
- Supabase-RLS nicht aktiv, zu offen oder pro Tabelle inkonsistent
- Secrets und API-Keys im Frontend, in Configs oder im Repository
- Dependencies mit bekannten CVEs, oft mehrere Versionen veraltet
- Tests fehlen, sind nur Platzhalter oder decken die kritischen Pfade nicht ab
- Infrastruktur ohne Backup-, Wiederherstellungs- und Rollback-Plan
- kein Monitoring und kein Logging, wenn im Betrieb etwas bricht
- offene oder ungedrosselte Endpunkte ohne Rate Limiting
Warum auch starker AI-Code eine unabhängige Prüfung braucht
Claude Code schreibt oft sauberen, gut lesbaren Code. Genau das ist die Falle: Code, der gut aussieht, wird selten hinterfragt. Lesbarkeit ist kein Beleg dafür, dass Tenant-Isolation greift, Secrets nicht leaken oder die Infrastruktur einen Ausfall übersteht.
Das Modell optimiert auf den Prompt vor sich, nicht auf das Gesamtsystem. Es sieht selten die ganze Angriffsfläche, kennt den Datenfluss zwischen mehreren Tabellen nicht im Detail und prüft nicht, ob eine Dependency seit dem Trainingsstand eine neue CVE bekommen hat. Wer denselben Assistenten den eigenen Code bewerten lässt, bekommt zudem leicht eine zu wohlwollende Einschätzung.
Eine unabhängige Prüfung schaut von außen auf das Repository und die Infrastruktur, mit klarem Schweregrad pro Befund und menschlicher Priorisierung. Nicht, um Claude Code schlechtzureden, sondern um die Lücken zu schließen, die zwischen schnellem Bauen und echter Produktion liegen.
Was ich am Claude-Code-Projekt im Claude Code Review prüfe
Ich schaue auf die Punkte, die über Produktionsreife entscheiden, und ordne jeden Befund nach Schweregrad ein. Geprüft werden:
- Repo und Architektur: Struktur, Abhängigkeiten, offensichtliche Schwachstellen
- Security und Zugriffskontrolle: Auth, Rollen, exponierte Secrets
- CVEs und Dependencies: bekannte Schwachstellen in eingesetzten Paketen
- Datenbank und RLS: Tenant-Isolation, Policies, Zugriffsschutz
- Infrastruktur, Deployment, Backups und Monitoring
- Production-Readiness: was vor echten Nutzern noch fehlt
Einmal prüfen reicht nicht: laufende Aufsicht
Ein Einmal-Audit beschreibt einen Zustand von gestern. Mit Claude Code entstehen Features im Tagesrhythmus: Jede neue Funktion bringt neue Abhängigkeiten, jede Woche tauchen neue CVEs auf, und mit jedem Prompt verschiebt sich die Architektur ein Stück. Ein Maßnahmenplan, der vier Wochen alt ist, deckt diese Bewegung nicht mehr ab.
Genau hier setzt Veriploy an: Das Projekt wird einmal geprüft (Baseline) und danach laufend technisch im Blick behalten, mit Oversight, Guard oder Launch. So bleibt die Risikoampel aktuell, statt mit jedem Merge zu veralten.
Im laufenden Abo beobachte ich neue Dependencies und CVEs, kommentiere riskante Änderungen früh, und vor größeren Releases liefere ich eine menschliche Einschätzung statt eines automatischen Scores. Async Sparring und ein direkter Kanal gehören je nach Paket dazu.
Baseline oder laufendes Abo
Der Einstieg erfolgt mit einer einmaligen Prüfung, danach entscheidet das Team, ob laufende Aufsicht sinnvoll ist. Die Preise sind fest und transparent.
| Baseline 790 € | Abo ab 990 €/Mon | |
|---|---|---|
| Umfang | Tiefe initiale Baseline: Repo, Architektur, Dependencies, Config | Laufende Reviews auf Basis der Baseline |
| Ergebnis | Risikoampel, CVE-Baseline, Secrets-Check, Paket-Empfehlung | Wiederkehrende Reports mit Fix-Priorisierung |
| CVEs und Dependencies | Vollständige Baseline als Referenzpunkt | Laufendes CVE- und Dependency-Monitoring |
| Begleitung | Einmalig, mit Empfehlung fürs passende Abo | Async Sparring und direkter Kanal je nach Paket |
| Passt für | Sauberer Startpunkt vor jedem Abo | Projekte, die mit Claude Code weiterwachsen |
So läuft der Claude-Code-Review ab
- 01
Fit-Check
Kostenloser Erstkontakt: kurze Klärung, ob ein Review zum Claude-Code-Projekt passt und welche Frage im Vordergrund steht. Unverbindlich und ohne Aufwand auf Projektseite.
- 02
Scope und Zugänge
Festlegen, welches Repository, welche Umgebungen und welche Bereiche geprüft werden. Read-only-Zugang wird eingerichtet, der Fokus auf Tests, CI/CD und Betriebsfähigkeit wird abgestimmt.
- 03
Technische Analyse
Prüfung von Testabdeckung kritischer Pfade, CI/CD-Pipeline und Build-Gates, Betriebsfähigkeit mit Monitoring, Logging und Rollback sowie der Kontextlücken, die Claude Code zwischen einzelnen Prompts entstehen lässt. Dazu Auth, RLS, Secrets und CVEs in den Dependencies.
- 04
Report und Handlungsempfehlungen
Befunde landen in einem verständlichen Report: Risikoampel, priorisierte Findings und konkrete Handlungsempfehlungen mit Einordnung, was jetzt, vor dem Launch oder später dran ist.
- 05
Nächster Schritt
Aus der Baseline wird bei Bedarf eine laufende Begleitung: Oversight, Guard oder Launch halten Tests, CI/CD und Dependencies aktuell, während das Projekt mit Claude Code weiterwächst.
Viele Projekte starten mit einem Baseline-Review. Wird das Produkt danach weiter mit AI entwickelt, kann ich es laufend begleiten.
Was ich für den Review brauche
- Read-only-Zugriff auf das Repository
- kurze Beschreibung von Stack, Tool und Ziel
- Infos zu Hosting und Deployment
- Datenbank- und Auth-Kontext
- Hinweise auf sensible Daten oder Nutzerrollen
- offene Fragen oder konkrete Sorgen
Was der Review liefert
- verständliche Risikoampel
- Top-Risiken auf einen Blick
- priorisierte Findings
- konkrete Handlungsempfehlungen
- Einordnung: jetzt fixen, vor Launch fixen, später einplanen
- optionale Empfehlung für Oversight, Guard oder Launch
So sieht ein Befund aus
Service-Role-Key von Supabase liegt im Frontend-Bundle und ist über die ausgelieferte JavaScript-Datei abrufbar. Empfehlung: Key serverseitig halten, rotieren und nur über eine geschützte Route nutzen.
Claude Code selbst prüfen lassen oder unabhängig?
| Claude Code prüft sich selbst | Veriploy unabhängig | |
|---|---|---|
| Blickwinkel | Optimiert auf den aktuellen Prompt | Außenblick auf Repo und Infrastruktur |
| CVEs und Dependencies | Stand des Trainings, kein Live-Abgleich | Laufendes Monitoring mit Alerts |
| Tenant-Isolation | Sieht selten den ganzen Datenfluss | Gezielte Prüfung von RLS und Policies |
| Vor dem Release | Automatische, oft wohlwollende Einschätzung | Menschliche Priorisierung im Paket enthalten |
| Über Zeit | Bewertet nur den Moment des Prompts | Fortlaufend, mit jeder neuen Änderung |
Häufige Fragen
Ist Claude-Code-Output schlechter als handgeschriebener Code?
Nicht grundsätzlich. Claude Code liefert oft sauberen, lesbaren Code. Die Risiken liegen weniger in der Syntax als in Architektur- und Betriebsentscheidungen: Rollen, RLS, Secrets, Dependencies und Infrastruktur. Genau diese Punkte prüfe ich, unabhängig davon, wie der Code entstanden ist.
Kann ich Claude Code nicht einfach selbst um ein Review bitten?
Das ist möglich, aber derselbe Assistent, der den Code gebaut hat, bewertet ihn oft zu wohlwollend und sieht selten die ganze Angriffsfläche oder neue CVEs seit dem Trainingsstand. Ein unabhängiges Claude Code Review schaut von außen auf Repo und Infrastruktur und priorisiert die Befunde menschlich.
Macht ihr auch die Fixes?
Im Abo nicht. Ich prüfe, priorisiere und erkläre, was zu tun ist. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt die Prüfung unabhängig von der Umsetzung.
Braucht ihr Repo-Zugriff?
Ja, standardmäßig read-only. Lesezugriff auf das Repository reicht für die Prüfung. Schreibrechte brauche ich nicht, weil ich die Fixes nicht selbst committe.
Was kostet das?
Der Einstieg ist fest kalkuliert: Baseline 790 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat, größere Projekte mit Scale auf Anfrage. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.
Wie schnell bekomme ich Ergebnisse?
Die Baseline liefere ich innerhalb weniger Werktage. Im laufenden Abo gibt es regelmäßige Reports und bei kritischen CVEs zeitnah einen Hinweis.
- Cursor-Code prüfen lassen, vom Prototyp zur produktionsreifen Codebasis
- CodeRabbit Alternative? Wann ein Tool reicht und wann ein Mensch auf Repo, CVEs und Infrastruktur schauen sollte
- AI-App production-ready machen, technische Risiken vor dem Kundeneinsatz erkennen
- Repo Review Abo, regelmäßiger Senior-Blick auf Code, CVEs und Architektur
Erkennst du diese Risiken in der eigenen App?
Der AI-App Risiko-Self-Check ordnet Produktstatus, Stack, Auth, Datenzugriff, Infrastruktur, CVEs und deinen technischen Kenntnisstand ein und zeigt, ob ein Review sinnvoll ist.
Claude-Code-Projekt prüfen lassen und danach im Blick behalten.
Der Einstieg erfolgt mit der Baseline, danach laufende Aufsicht im passenden Paket.
Repo-Fit prüfen
Kurz das Projekt beschreiben.
Direkter Kontakt zu mir, kein anonymes Ticket-System. Ich melde mich mit einer ersten Einschätzung und dem passenden Einstieg.
Timo Wevelsiep
Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer