olaf/Hosting-Backoffice
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
dc4123e3889ca27e27c377ad4a38720143288886
Hosting-Backoffice/reviews/chatgpt-consolidation-20260518-045303.md
T

9.3 KiB
Raw Blame History

1. Zusammenfassung

Claude benennt mehrere valide Architektur-Risiken. Übernommen werden vor allem die Punkte, die direkt sicherheits-, compliance- oder konsistenzrelevant sind:

  • Tenant-Isolation muss technisch erzwungen werden.
  • Secrets dürfen nicht direkt in Fachmodellen gespeichert werden.
  • Superadmin-Zugriffe brauchen Schutzmechanismen.
  • Kritische Statuswechsel brauchen State Machines und Historisierung.
  • Retry/DLQ-Verhalten muss begrenzt und beobachtbar sein.
  • Domänensprache und Modulgrenzen müssen vereinheitlicht werden.

Nicht übernommen wird die Empfehlung „zurück ans Reißbrett“. Stattdessen werden konkrete Projektdateien ergänzt/geändert.

2. Übernommene Punkte

2.1 Tenant-Isolation

Übernehmen:

  • PostgreSQL Row Level Security für tenant-bezogene Tabellen.
  • Tenant-Kontext zentral auf Request-/Job-Ebene.
  • Automatischer Model-Scope zusätzlich zu RLS.
  • Tests gegen Cross-Tenant-Zugriffe.

2.2 Secrets-Management

Übernehmen:

  • Keine API-Keys, Passwörter oder Auth-Codes direkt in Business-Tabellen.
  • Speicherung nur als Secret-Referenz.
  • Verschlüsselung at-rest über Secret-Backend.
  • Rotation und Zugriffsaudit dokumentieren.

2.3 Audit-Log

Übernehmen:

  • Hash-Chain allein reicht nicht als Revisionssicherheit.
  • Audit-Log als append-only behandeln.
  • Export/Archivierung für Compliance ergänzen.
  • Keine Aussage „GoBD-konform“ ohne Verfahrensdokumentation.

2.4 Domain-Management

Übernehmen:

  • Domainmodell um produktionsrelevante Attribute erweitern.
  • Auth-Codes nur als Secret-Referenz.
  • Status für Transfer-Lock, DNSSEC, Whois-Privacy und Expiry ergänzen.

2.5 Kritische Flows

Übernehmen:

  • Vertragsstatus, Zahlungsstatus, Kündigungen und Domain-Transfers nicht als freies CRUD.
  • State Machines einführen.
  • Statusübergänge historisieren.

2.6 Adapter-Resilienz

Übernehmen:

  • Circuit Breaker ergänzen.
  • Health Checks je Adapter.
  • Retry-Limits, Backoff-Caps und DLQ-Verhalten definieren.

2.7 Domänensprache

Übernehmen:

  • Einheitliche Begriffe festlegen.
  • tenant_id, organisation_id, customer_id, kunde nicht vermischen.
  • Fachsprache in Datenmodell, Code und API vereinheitlichen.

2.8 Versionierung von Produkten/Verträgen

Übernehmen:

  • Preise, Produktbedingungen und Vertragsstände versionieren.
  • Rechnungen müssen reproduzierbar bleiben.

2.9 Superadmin

Übernehmen:

  • Superadmin-Zugriffe begrenzen.
  • Break-Glass-Prozess dokumentieren.
  • Kritische Aktionen auditieren.
  • Optional 4-Augen-Freigabe für besonders kritische Aktionen.

3. Abgelehnte oder verschobene Punkte

Abgelehnt

  • „Zurück ans Reißbrett“
    Nicht notwendig. Die Kritikpunkte werden als konkrete Architektur- und Implementierungsänderungen eingearbeitet.

  • Vollständiges Event Sourcing für alle kritischen Flows sofort
    Zu groß für den nächsten Schritt. Stattdessen: State Machines, Statushistorien, Audit-Events.

  • Vollständige Microservice-Aufteilung nach Bounded Contexts
    Wird nicht sofort umgesetzt. Ziel bleibt zunächst ein modularer Monolith mit klaren Modulgrenzen.

Verschoben

  • Externer Timestamp-Service für Audit-Logs
    Später prüfen. Kurzfristig wichtiger: append-only Audit, Export, Archivierung, Berechtigungsschutz.

  • Vollständiges DNS-Record-Management
    Nur umsetzen, wenn das Backoffice tatsächlich DNS-Zonen verwalten soll. Kurzfristig werden Domain-Statusfelder ergänzt.

  • Formale GoBD-Zertifizierung
    Verschoben. Zuerst technische Grundlagen und Verfahrensdokumentation vorbereiten.

4. Neue/geänderte Dateien

Architektur / ADRs

Neu:

  • docs/adr/0020-tenant-isolation-rls.md
  • docs/adr/0021-secrets-management.md
  • docs/adr/0022-audit-log-and-archiving.md
  • docs/adr/0023-state-machines-for-critical-flows.md
  • docs/adr/0024-adapter-resilience-circuit-breaker.md
  • docs/adr/0025-domain-language.md
  • docs/adr/0026-superadmin-break-glass.md
  • docs/adr/0027-product-contract-versioning.md

Ändern:

  • docs/adr/0017-adapter-resilience.md

Security / Tenancy

Neu:

  • app/Support/Tenancy/TenantContext.php
  • app/Http/Middleware/ResolveTenantContext.php
  • app/Models/Concerns/BelongsToTenant.php
  • app/Jobs/Middleware/ResolveTenantForJob.php
  • tests/Feature/Security/TenantIsolationTest.php
  • tests/Feature/Security/TenantContextRequiredTest.php

Neu/ändern:

  • database/migrations/XXXX_enable_rls_for_tenant_tables.sql
  • database/migrations/XXXX_add_tenant_id_indexes.sql

Secrets

Neu:

  • config/secrets.php
  • app/Services/Secrets/SecretStore.php
  • app/Services/Secrets/VaultSecretStore.php
  • app/Services/Secrets/DatabaseEncryptedSecretStore.php
  • app/Services/Secrets/SecretReference.php
  • tests/Feature/Security/SecretStorageTest.php
  • docs/security/secrets-management.md

Ändern:

  • app/Models/RegistrarAccount.php
  • app/Models/Domain.php

Erwartete Änderung:

  • Keine Spalten wie api_key, password, auth_code.
  • Stattdessen Spalten wie secret_reference, auth_code_secret_reference.

Audit / Compliance

Neu:

  • app/Models/AuditLog.php
  • app/Services/Audit/AuditLogger.php
  • app/Services/Audit/AuditArchiveExporter.php
  • database/migrations/XXXX_create_audit_logs_table.php
  • database/migrations/XXXX_restrict_audit_log_mutations.sql
  • tests/Feature/Audit/AuditLogAppendOnlyTest.php
  • docs/compliance/audit-log.md
  • docs/compliance/gobd-verfahrensdokumentation-template.md

Domain-Management

Ändern:

  • app/Models/Domain.php
  • database/migrations/XXXX_extend_domains_table.php

Ergänzen:

  • dnssec_status
  • transfer_lock_enabled
  • whois_privacy_enabled
  • expiry_date
  • expiry_notification_status
  • auth_code_secret_reference
  • registrar_status
  • last_registry_sync_at

Neu:

  • app/Enums/Domain/DnssecStatus.php
  • app/Enums/Domain/RegistrarStatus.php
  • app/Enums/Domain/ExpiryNotificationStatus.php

State Machines / Statushistorie

Neu:

  • app/StateMachines/ContractStateMachine.php
  • app/StateMachines/PaymentStateMachine.php
  • app/StateMachines/CancellationStateMachine.php
  • app/StateMachines/DomainTransferStateMachine.php

Neu:

  • database/migrations/XXXX_create_contract_status_history_table.php
  • database/migrations/XXXX_create_payment_status_history_table.php
  • database/migrations/XXXX_create_domain_transfer_status_history_table.php

Neu:

  • tests/Feature/StateMachines/ContractStateMachineTest.php
  • tests/Feature/StateMachines/PaymentStateMachineTest.php
  • tests/Feature/StateMachines/DomainTransferStateMachineTest.php

Adapter / Retry / DLQ

Neu:

  • config/adapters.php
  • app/Support/Adapters/CircuitBreaker.php
  • app/Support/Adapters/AdapterHealthCheck.php
  • app/Support/Adapters/RetryPolicy.php
  • app/Support/Adapters/DeadLetterHandler.php
  • app/Console/Commands/CheckAdapterHealthCommand.php
  • tests/Feature/Adapters/CircuitBreakerTest.php
  • tests/Feature/Queue/DeadLetterHandlingTest.php

Ändern:

  • docs/adr/0017-adapter-resilience.md

Ergänzen:

  • Max Retry Count
  • Exponential Backoff Cap
  • DLQ nach endgültigem Fehlschlag
  • Alerting-Schwelle
  • Poison-Message-Handling

Domänensprache / Modulgrenzen

Neu:

  • docs/domain/glossary.md
  • docs/domain/module-boundaries.md

Ändern:

  • docs/api/openapi.yaml
  • betroffene Models, DTOs, Requests und Resources

Festlegung:

  • Einheitlich verwenden:
    • tenant für Mandant/Systemgrenze
    • customer für Kunde
    • contract für Vertrag
    • product für Produkt
    • invoice für Rechnung

Produkt- und Vertragsversionierung

Neu:

  • app/Models/ProductVersion.php
  • app/Models/ContractVersion.php
  • database/migrations/XXXX_create_product_versions_table.php
  • database/migrations/XXXX_create_contract_versions_table.php
  • tests/Feature/Billing/ProductVersioningTest.php
  • tests/Feature/Billing/InvoiceReproducibilityTest.php

Ändern:

  • app/Models/Product.php
  • app/Models/Contract.php
  • app/Models/Invoice.php

Superadmin / Break-Glass

Neu:

  • app/Policies/SuperadminPolicy.php
  • app/Services/Security/BreakGlassAccessService.php
  • app/Models/PrivilegedAccessGrant.php
  • database/migrations/XXXX_create_privileged_access_grants_table.php
  • tests/Feature/Security/BreakGlassAccessTest.php
  • docs/security/break-glass.md

Ergänzen:

  • zeitlich begrenzte Rechte
  • Begründungspflicht
  • Audit-Log für jede privilegierte Aktion
  • optional 4-Augen-Freigabe für definierte Aktionen

5. Konkrete nächste Schritte

  1. docs/adr/0020-tenant-isolation-rls.md erstellen und RLS als verbindliche Entscheidung festhalten.
  2. Tenant-Kontext mit TenantContext, Middleware und Model-Concern implementieren.
  3. RLS-Migration für alle tenant-bezogenen Tabellen ergänzen.
  4. Cross-Tenant-Sicherheitstests schreiben und in CI verpflichtend machen.
  5. docs/adr/0021-secrets-management.md erstellen.
  6. Registrar- und Domain-Secrets aus Fachmodellen entfernen und durch Secret-Referenzen ersetzen.
  7. Adapter-ADR 0017 um Circuit Breaker, Health Checks, Retry-Limits und DLQ-Regeln erweitern.
  8. State Machines für Vertrag, Zahlung, Kündigung und Domain-Transfer definieren.
  9. Produkt- und Vertragsversionierung als Tabellen und Tests ergänzen.
  10. docs/domain/glossary.md erstellen und Begriffe im Code vereinheitlichen.
  11. Break-Glass-Zugriffe für Superadmin modellieren und auditieren.
  12. Audit-Log append-only absichern und Archivierungsdokumentation ergänzen.
Reference in New Issue View Git Blame Copy Permalink