Claude Code Review

Claude-Code-Projekt prüfen lassen, Architektur, Security und Infrastruktur im Blick

Claude Code baut viel und sehr schnell, aber ein produktionsreifes Projekt entscheidet sich an Auth, RLS, Secrets, Dependencies und Infrastruktur. Ich prüfe ein mit Claude Code gebautes Projekt auf genau diese Punkte und behalte es danach laufend technisch im Blick, statt es bei einem Einmal-Audit zu belassen.

Pakete ansehen
  • Baseline ab 790 €
  • Feste Monatsabos
  • Repo + CVE + Infrastruktur
  • Deutscher Ansprechpartner
Timo Wevelsiep

Direkter Ansprechpartner

Timo Wevelsiep

Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer

Ich prüfe Code, Security und Infrastruktur und mache sichtbar, was vor Launch, Kundeneinsatz oder Due Diligence technisch riskant ist.

Ich habe produktive Software-, Infrastruktur- und Cloud-Systeme für Kunden weltweit begleitet, darunter Europa, VAE, Asien, Australien und Amerika: von automatisierten Standortplattformen über Cloud-Migrationen bis zu Remote-Access-Systemen für Industrieanlagen.

Für Fragen wie:

  • Ist dieser Release produktionsreif?
  • Welche CVEs sind wirklich kritisch?
  • Sind Auth, Datenzugriff und Tenant-Isolation sauber?
01

Claude Code baut viel und schnell, aber Production-Lücken bleiben

Claude Code generiert in kurzer Zeit ganze Features, Migrationen und Deployments. Das Tempo ist beeindruckend, doch die Entscheidungen, die über echte Produktion bestimmen, fallen oft nicht oder unvollständig. Diese Lücken sehe ich in Claude-Code-Projekten am häufigsten:

  • Authentifizierung ohne sauberes Rollen- und Rechtekonzept
  • Supabase-RLS nicht aktiv, zu offen oder pro Tabelle inkonsistent
  • Secrets und API-Keys im Frontend, in Configs oder im Repository
  • Dependencies mit bekannten CVEs, oft mehrere Versionen veraltet
  • Tests fehlen, sind nur Platzhalter oder decken die kritischen Pfade nicht ab
  • Infrastruktur ohne Backup-, Wiederherstellungs- und Rollback-Plan
  • kein Monitoring und kein Logging, wenn im Betrieb etwas bricht
  • offene oder ungedrosselte Endpunkte ohne Rate Limiting
02

Warum auch starker AI-Code eine unabhängige Prüfung braucht

Claude Code schreibt oft sauberen, gut lesbaren Code. Genau das ist die Falle: Code, der gut aussieht, wird selten hinterfragt. Lesbarkeit ist kein Beleg dafür, dass Tenant-Isolation greift, Secrets nicht leaken oder die Infrastruktur einen Ausfall übersteht.

Das Modell optimiert auf den Prompt vor sich, nicht auf das Gesamtsystem. Es sieht selten die ganze Angriffsfläche, kennt den Datenfluss zwischen mehreren Tabellen nicht im Detail und prüft nicht, ob eine Dependency seit dem Trainingsstand eine neue CVE bekommen hat. Wer denselben Assistenten den eigenen Code bewerten lässt, bekommt zudem leicht eine zu wohlwollende Einschätzung.

Eine unabhängige Prüfung schaut von außen auf das Repository und die Infrastruktur, mit klarem Schweregrad pro Befund und menschlicher Priorisierung. Nicht, um Claude Code schlechtzureden, sondern um die Lücken zu schließen, die zwischen schnellem Bauen und echter Produktion liegen.

03

Was ich am Claude-Code-Projekt im Claude Code Review prüfe

Ich schaue auf die Punkte, die über Produktionsreife entscheiden, und ordne jeden Befund nach Schweregrad ein. Geprüft werden:

  • Repo und Architektur: Struktur, Abhängigkeiten, offensichtliche Schwachstellen
  • Security und Zugriffskontrolle: Auth, Rollen, exponierte Secrets
  • CVEs und Dependencies: bekannte Schwachstellen in eingesetzten Paketen
  • Datenbank und RLS: Tenant-Isolation, Policies, Zugriffsschutz
  • Infrastruktur, Deployment, Backups und Monitoring
  • Production-Readiness: was vor echten Nutzern noch fehlt
04

Einmal prüfen reicht nicht: laufende Aufsicht

Ein Einmal-Audit beschreibt einen Zustand von gestern. Mit Claude Code entstehen Features im Tagesrhythmus: Jede neue Funktion bringt neue Abhängigkeiten, jede Woche tauchen neue CVEs auf, und mit jedem Prompt verschiebt sich die Architektur ein Stück. Ein Maßnahmenplan, der vier Wochen alt ist, deckt diese Bewegung nicht mehr ab.

Genau hier setzt Veriploy an: Das Projekt wird einmal geprüft (Baseline) und danach laufend technisch im Blick behalten, mit Oversight, Guard oder Launch. So bleibt die Risikoampel aktuell, statt mit jedem Merge zu veralten.

Im laufenden Abo beobachte ich neue Dependencies und CVEs, kommentiere riskante Änderungen früh, und vor größeren Releases liefere ich eine menschliche Einschätzung statt eines automatischen Scores. Async Sparring und ein direkter Kanal gehören je nach Paket dazu.

05

Baseline oder laufendes Abo

Der Einstieg erfolgt mit einer einmaligen Prüfung, danach entscheidet das Team, ob laufende Aufsicht sinnvoll ist. Die Preise sind fest und transparent.

Baseline 790 €Abo ab 990 €/Mon
UmfangTiefe initiale Baseline: Repo, Architektur, Dependencies, ConfigLaufende Reviews auf Basis der Baseline
ErgebnisRisikoampel, CVE-Baseline, Secrets-Check, Paket-EmpfehlungWiederkehrende Reports mit Fix-Priorisierung
CVEs und DependenciesVollständige Baseline als ReferenzpunktLaufendes CVE- und Dependency-Monitoring
BegleitungEinmalig, mit Empfehlung fürs passende AboAsync Sparring und direkter Kanal je nach Paket
Passt fürSauberer Startpunkt vor jedem AboProjekte, die mit Claude Code weiterwachsen
Ablauf

So läuft der Claude-Code-Review ab

  1. 01

    Fit-Check

    Kostenloser Erstkontakt: kurze Klärung, ob ein Review zum Claude-Code-Projekt passt und welche Frage im Vordergrund steht. Unverbindlich und ohne Aufwand auf Projektseite.

  2. 02

    Scope und Zugänge

    Festlegen, welches Repository, welche Umgebungen und welche Bereiche geprüft werden. Read-only-Zugang wird eingerichtet, der Fokus auf Tests, CI/CD und Betriebsfähigkeit wird abgestimmt.

  3. 03

    Technische Analyse

    Prüfung von Testabdeckung kritischer Pfade, CI/CD-Pipeline und Build-Gates, Betriebsfähigkeit mit Monitoring, Logging und Rollback sowie der Kontextlücken, die Claude Code zwischen einzelnen Prompts entstehen lässt. Dazu Auth, RLS, Secrets und CVEs in den Dependencies.

  4. 04

    Report und Handlungsempfehlungen

    Befunde landen in einem verständlichen Report: Risikoampel, priorisierte Findings und konkrete Handlungsempfehlungen mit Einordnung, was jetzt, vor dem Launch oder später dran ist.

  5. 05

    Nächster Schritt

    Aus der Baseline wird bei Bedarf eine laufende Begleitung: Oversight, Guard oder Launch halten Tests, CI/CD und Dependencies aktuell, während das Projekt mit Claude Code weiterwächst.

Viele Projekte starten mit einem Baseline-Review. Wird das Produkt danach weiter mit AI entwickelt, kann ich es laufend begleiten.

Was ich für den Review brauche

  • Read-only-Zugriff auf das Repository
  • kurze Beschreibung von Stack, Tool und Ziel
  • Infos zu Hosting und Deployment
  • Datenbank- und Auth-Kontext
  • Hinweise auf sensible Daten oder Nutzerrollen
  • offene Fragen oder konkrete Sorgen

Was der Review liefert

  • verständliche Risikoampel
  • Top-Risiken auf einen Blick
  • priorisierte Findings
  • konkrete Handlungsempfehlungen
  • Einordnung: jetzt fixen, vor Launch fixen, später einplanen
  • optionale Empfehlung für Oversight, Guard oder Launch
Beispielbefund

So sieht ein Befund aus

veriploy-reportKritisch
SEC-04Secrets

Service-Role-Key von Supabase liegt im Frontend-Bundle und ist über die ausgelieferte JavaScript-Datei abrufbar. Empfehlung: Key serverseitig halten, rotieren und nur über eine geschützte Route nutzen.

Vergleich

Claude Code selbst prüfen lassen oder unabhängig?

Claude Code prüft sich selbstVeriploy unabhängig
BlickwinkelOptimiert auf den aktuellen PromptAußenblick auf Repo und Infrastruktur
CVEs und DependenciesStand des Trainings, kein Live-AbgleichLaufendes Monitoring mit Alerts
Tenant-IsolationSieht selten den ganzen DatenflussGezielte Prüfung von RLS und Policies
Vor dem ReleaseAutomatische, oft wohlwollende EinschätzungMenschliche Priorisierung im Paket enthalten
Über ZeitBewertet nur den Moment des PromptsFortlaufend, mit jeder neuen Änderung
FAQ

Häufige Fragen

  • Ist Claude-Code-Output schlechter als handgeschriebener Code?

    Nicht grundsätzlich. Claude Code liefert oft sauberen, lesbaren Code. Die Risiken liegen weniger in der Syntax als in Architektur- und Betriebsentscheidungen: Rollen, RLS, Secrets, Dependencies und Infrastruktur. Genau diese Punkte prüfe ich, unabhängig davon, wie der Code entstanden ist.

  • Kann ich Claude Code nicht einfach selbst um ein Review bitten?

    Das ist möglich, aber derselbe Assistent, der den Code gebaut hat, bewertet ihn oft zu wohlwollend und sieht selten die ganze Angriffsfläche oder neue CVEs seit dem Trainingsstand. Ein unabhängiges Claude Code Review schaut von außen auf Repo und Infrastruktur und priorisiert die Befunde menschlich.

  • Macht ihr auch die Fixes?

    Im Abo nicht. Ich prüfe, priorisiere und erkläre, was zu tun ist. Die Umsetzung läuft separat über Wevelsiep Advisory bzw. WZ-IT oder das eigene Team. So bleibt die Prüfung unabhängig von der Umsetzung.

  • Braucht ihr Repo-Zugriff?

    Ja, standardmäßig read-only. Lesezugriff auf das Repository reicht für die Prüfung. Schreibrechte brauche ich nicht, weil ich die Fixes nicht selbst committe.

  • Was kostet das?

    Der Einstieg ist fest kalkuliert: Baseline 790 € einmalig. Laufende Aufsicht startet bei 990 € pro Monat (Oversight), weiter mit Guard 1.950 € und Launch 3.900 € pro Monat, größere Projekte mit Scale auf Anfrage. Alle Preise netto zzgl. USt. Laufende Pakete starten mit 3 Monaten Mindestlaufzeit, danach monatlich kündbar, sofern nicht anders vereinbart.

  • Wie schnell bekomme ich Ergebnisse?

    Die Baseline liefere ich innerhalb weniger Werktage. Im laufenden Abo gibt es regelmäßige Reports und bei kritischen CVEs zeitnah einen Hinweis.

Erkennst du diese Risiken in der eigenen App?

Der AI-App Risiko-Self-Check ordnet Produktstatus, Stack, Auth, Datenzugriff, Infrastruktur, CVEs und deinen technischen Kenntnisstand ein und zeigt, ob ein Review sinnvoll ist.

Risiko-Self-Check starten

Claude-Code-Projekt prüfen lassen und danach im Blick behalten.

Der Einstieg erfolgt mit der Baseline, danach laufende Aufsicht im passenden Paket.

Pakete ansehen
Repo-Fit

Repo-Fit prüfen

Kurz das Projekt beschreiben.

Direkter Kontakt zu mir, kein anonymes Ticket-System. Ich melde mich mit einer ersten Einschätzung und dem passenden Einstieg.

Timo Wevelsiep

Timo Wevelsiep

Softwareentwickler, Cloud-Architekt, Gründer & Geschäftsführer

[email protected]

Mit dem Absenden wird die Datenschutzerklärung akzeptiert.

oder