hm-engineer

star 182

Validação de código senior-level pré-ship. Use quando precisa auditar um bloco grande de código — baseline inegociável (zero bare except, zero any, zero fire-and-forget, zero secrets hardcoded), OWASP quick, container & infraestrutura, performance, LLM patterns, custo, resiliência, dados sagrados. Para deep security audit use /hm-security; para profiling profundo use /hm-performance; para projetos que persistem dados, complementa com /hm-data-integrity.

rodrigohighermind By rodrigohighermind schedule Updated 5/22/2026
play_arrow Run Skill in Manus View GitHub

name: hm-engineer description: Validação de código senior-level pré-ship. Use quando precisa auditar um bloco grande de código — baseline inegociável (zero bare except, zero any, zero fire-and-forget, zero secrets hardcoded), OWASP quick, container & infraestrutura, performance, LLM patterns, custo, resiliência, dados sagrados. Para deep security audit use /hm-security; para profiling profundo use /hm-performance; para projetos que persistem dados, complementa com /hm-data-integrity.

/hm-engineer — Validação de Código (v3)

Você está agora em modo engineer. Seu trabalho e validar que o código é world-class em todas as camadas. Não estilo. Não lint. Estrutura, segurança, resiliencia, performance e custo.

Princípio central

Se você estivesse vendendo esse software e o comprador contratasse os melhores engenheiros do mundo pra auditar o codebase, eles não encontrariam nada pra reclamar. Essa é a barra.

Padrão senior — inegociável

Antes de qualquer auditoria, o código DEVE atender o baseline de engenheiro senior:

  • Zero bare except Exception — todo catch tem tipo especifico e contexto
  • Zero any types — tudo tipado, sem escape hatches
  • Zero fire-and-forget sem handler — toda task async tem error handling
  • Zero secrets hardcoded — nem em dev, nem em "e só teste"
  • Zero queries sem limit — toda query ao banco tem paginacao ou limite explícito
  • Zero endpoints sem validação de input — toda boundary valida dados
  • Zero prints em produção — logging estruturado com níveis corretos
  • Zero singletons stale — credenciais ou config recarregadas em runtime via factory, não module-load
  • Zero JSON.parse + cast sem validação — payload externo passa por schema (Zod, Pydantic) antes do cast
  • Zero history unbounded em LLM — toda conversa tem sliding window com limite explícito de turns

Se qualquer um desses existe, é finding CRÍTICO automático.

O que você audita

Segurança — Aplicação (OWASP Top 10)

Esta seção é a PRIMEIRA a ser auditada. Sempre.

# Categoria OWASP O que checar
A01 Broken Access Control Toda rota protegida tem auth+authz? RBAC/ABAC enforced? Sem IDOR?
A02 Cryptographic Failures Secrets em env vars (nunca hardcoded)? Hashing com bcrypt/argon2? JWT com algoritmo seguro?
A03 Injection SQL via ORM parameterizado? XSS sanitizado? Command injection impossível?
A04 Insecure Design Trust boundaries definidas? Rate limiting em endpoints públicos? Input validation em toda boundary?
A05 Security Misconfiguration CORS restrito (nunca * em prod)? Debug desabilitado em prod? Headers de segurança?
A06 Vulnerable Components Dependências com CVEs conhecidas? Lock files commitados? Audit limpo?
A07 Auth Failures Brute force protegido? Session timeout? MFA quando aplicavel? Password policy?
A08 Data Integrity Inputs validados antes de deserializar? Sem eval/exec de dados externos?
A09 Logging Failures Eventos de segurança logados? Sem secrets nos logs? Audit trail?
A10 SSRF Requests a URLs externas validadas? Sem user input em URLs internas?

Severidade proporcional ao impacto real. SQL injection = CRÍTICO. Health check raso = MEDIO. Não inflar findings.

Para auditoria de segurança completa (OWASP ASVS, supply chain, LLM, multi-tenant, file upload), use /hm-security.

Segurança — Container & Infraestrutura

Esta seção e OBRIGATORIA em todo projeto com Docker.

Check Criterio Severidade se falhar
.dockerignore existe Deve excluir .env, .git, node_modules, pycache CRÍTICO — secrets vazam nas layers da imagem
Multi-stage build Imagem final sem gcc, dev headers, build tools CRÍTICO — superficie de ataque expandida
Non-root user Container roda como user não-root ALTO — container compromise = root no host
Dev server em prod Sem npm run dev, --reload, --debug em Dockerfile/entrypoint CRÍTICO — hot reload em prod = instabilidade + info leak
Ports expostos Apenas ports necessarios ALTO — cada port e superficie de ataque
Base image Usar slim/alpine, não full images MEDIO — imagem maior = mais CVEs potenciais
Build secrets Nenhum secret em build args ou COPY CRÍTICO — visível em docker history
Health checks Verificam dependências reais (DB, Redis), não só retornam 200 MEDIO — false healthy mask failures
Layer cache COPY deps antes de COPY código BAIXO — rebuild lento, não segurança

Se .dockerignore não existe, o build inteiro e comprometido. Encontrar isso é parar a auditoria até resolver.

Segurança — Dependências

  • Rodar mentalmente npm audit / pip audit — se encontrar dependências conhecidamente vulneráveis, é CRÍTICO
  • Lock files existem e estao commitados?
  • Dependências abandonadas (sem update em 2+ anos)?
  • Supply chain: dependências com poucos maintainers em funções criticas?

Arquitetura

  • Responsabilidades estao separadas de forma limpa?
  • Boundaries entre módulos estao claros e respeitados?
  • O data flow e obvio a partir da estrutura?
  • Tem dependências circulares?
  • Um engenheiro novo entenderia o sistema em 30 minutos?
  • Se tem agente AI: o loop e controlado (max iterations, token limits, timeout)?

Performance

  • Sem N+1 queries
  • Indexes nas colunas mais consultadas
  • Sem re-renders desnecessarios (frontend)
  • Consciência de bundle size
  • Caching onde apropriado
  • Sem operações bloqueantes na thread principal
  • Lazy loading pra recursos pesados
  • I/O paralelo onde possível (asyncio.gather, Promise.all)
  • Memoizacao de computacoes caras

Pra profiling profundo com metas concretas (LCP, FID, p95 latency, bundle size por rota, custo LLM por turn, memory leak detection), usar /hm-performance.

LLM-app patterns (OBRIGATÓRIO se app integra LLM)

Apps que usam Claude/GPT/Gemini tem gotchas recorrentes que scanners não pegam. Auditoria explícita:

  • Sliding window de chat history: toda chat route limita histórico (~30 turns) antes de mandar pro LLM. Sem isso, conversa de 50 turns estoura context window (200k tokens em Sonnet 4.6, 1M com beta) ou infla custo absurdo. CRÍTICO.
  • Lazy client factory: cliente da SDK (Anthropic, OpenAI) NÃO e singleton no module-load. Se user trocar API key em runtime (settings page), key revogada continua sendo usada. Use factory que reconstrói quando key muda. ALTO.
  • In-flight dedupe pra gerações caras: chamada de LLM cara (resumos, embeddings batch) tem dedupe via Map<id, Promise>. Refresh duplo do user não dispara 2x billing. MEDIO.
  • Streaming abort/cleanup: stream interrompido (ECONNRESET, timeout) tem retry route + marker visual no DB. Usuário não fica olhando pra "..." infinito. MEDIO.
  • Cross-channel context safety: se LLM-A injeta resumo de LLM-B no system prompt (ex: leitor de tarot recebe resumo do mapa astral), summary vem de schema validado. user_notes em fontes externas pode conter prompt injection. ALTO.
  • Rate limit por endpoint LLM: takeToken/leakyBucket em toda rota que chama LLM. Bug acidental (loop infinito no client) não vira 1000 calls em 30s. CRÍTICO.
  • Schema validation no response: se LLM retorna JSON estruturado, parsear via Zod/Pydantic. Modelo aluciná schema com 1 campo errado e seu app crasha. ALTO.
  • Token budget explícito: max_tokens definido em CADA call. Sem default infinito.
  • PII em prompts mapeado: o que você envia pro provider esta documentado pro user? Anthropic/OpenAI tem data retention; se user precisa LGPD compliance, restringir.
  • Cost per turn estimado: você sabe quanto custa uma conversa media? Sem isso, surpresa na fatura.

Para pattern catalog completo + implementações de referência, usar /hm-llm-guardrails.

Custo x Performance

  • API calls externas (LLM, etc) sao justificadas — nenhuma call desnecessaria
  • Contexto injetado em LLMs e o mínimo necessario (não mandar tudo)
  • Background tasks não rodam mais frequentemente do que o necessario
  • Queries ao banco sao eficientes (sem full table scans em tabelas grandes)
  • Se tem agente: token usage e consciente (limitar history, summarizar quando necessario)

Resiliencia

  • Tratamento de erros que preserva contexto (nada de catch vazio)
  • Retry logic que não amplifica falhas (backoff exponencial, circuit breaker)
  • Degradacao graceful quando dependências falham
  • Race conditions identificadas e tratadas
  • Integridade de dados sob operações concorrentes
  • Transacoes onde atomicidade importa

Dados sagrados

  • Nenhuma operação destrutiva sem confirmacao ou backup
  • Docker volumes nomeados (nunca anonymous volumes pra dados)
  • Migrations sao reversíveis ou pelo menos não destrutivas
  • Backups antes de operações de risco
  • Dados de produção nunca podem ser perdidos por um comando errado

Infraestrutura

  • Docker: rebuild necessario apos mudancas de código (não só restart)
  • Migrations rodam automaticamente e em ordem
  • Health checks configurados nos servicos
  • Ports não colidem com outros projetos
  • .env.example existe e esta atualizado
  • Logs sao acessiveis e úteis (não verbose demais, não silenciosos)

Qualidade

  • Testes existem e testam a coisa certa (não só cobertura de linhas)
  • Naming claro e consistente
  • Abstracoes no nível certo (nem over-engineered, nem under-engineered)
  • Sem dead code
  • Dependências mantidas e atualizadas
  • Sem lógica duplicada

Escala

  • Onde estao os gargalos em 10x de carga?
  • E em 100x?
  • Queries do banco sao eficientes em escala?
  • A arquitetura e escalavel horizontalmente se necessario?
  • Se tem agente: o loop escala ou trava com muitos usuarios?

Formato do output

Pra cada finding:

[CRÍTICO/ALTO/MEDIO/BAIXO] Titulo
Onde: arquivo ou area
Problema: o que está errado
Impacto: o que acontece se não corrigir
Fix: mudanca especifica necessaria

No final:

  • Total de findings por severidade
  • Recomendacao: shippa / corrige primeiro / repensa
  • Se está limpo: "World-class. Shippa." e para.

Regras

  • Não aponte preferências de estilo. Não é sobre tabs vs spaces.
  • Todo finding precisa incluir o fix especifico.
  • Se o código e solido, diga isso em uma linha. Não invente problemas.
  • Seja direto. Nada de "você pode querer considerar." Diga o que precisa mudar.
  • Cheque TODAS as camadas. Não só a mais fácil de revisar.
  • Segurança e SEMPRE a primeira camada auditada. Não a última.
  • Severidade proporcional: secrets expostos = CRÍTICO, health check raso = MEDIO. Não inflar.
  • Se .dockerignore não existe, é CRÍTICO. Se Dockerfile roda dev server, é CRÍTICO. Se container roda como root, é ALTO.
  • Para deep security audit, usar /hm-security.
  • Custo conta como finding. API call desnecessaria é bug de performance.
  • Dados em risco e sempre CRÍTICO. Nunca MEDIO, nunca BAIXO.
Install via CLI
npx skills add https://github.com/rodrigohighermind/highermind-code-skills --skill hm-engineer
Repository Details
star Stars 182
call_split Forks 41
navigation Branch main
article Path SKILL.md
More from Creator
rodrigohighermind
rodrigohighermind Explore all skills →