§01
Umumiy ko'rinish
- Bu nima: US healthtech platform tomonidan sog'liqni saqlash muassasalarini akkreditatsiya qilish uchun SaaS. Backend (API), frontend va facility-portal (muassasa portali) qismlaridan iborat. GCP (Cloud Build) da deploy qilingan.
- Turi / holati / roli: web-app (healthcare SaaS) · active · contributor (security) — foydalanuvchi 134 kommitdan 8 tasini kiritgan; asosiy mualliflar — Anton Kim <anton@US healthtech platform> (65, US healthtech platform asoschisi/CTO) va uzaxirr (61). Ammo foydalanuvchining hissasi PR orqali merge qilingan jamlangan xavfsizlik bloki (branch US healthtech platform/davr).
- Faol davri: repo 2026-03-20 → 2026-04-18; foydalanuvchi hissasi — ixcham xavfsizlik sprinti 2026-03-28.
§02
Stek
- Tillar: TypeScript (frontend), Python (backend — SEC tiketlar profiliga ko'ra: JWT middleware, 22 ta API endpoint, FastAPI-ga o'xshash).
- Frameworklar/kutubxonalar: frontend — Next.js 15 + React 19 + Tailwind CSS 4 + TanStack Query 5; facility-portal (alohida frontend); backend — JWT/RBAC li Python API.
- Infra/deploy: GCP Cloud Build (
cloudbuild.yaml,.gcloudignore), docker-compose, Playwright (.playwright-cli), GitHub Actions. - E'tiborga molik vositalar: katta CLAUDE.md (29KB) + README (28KB); Linear tiketlar (SEC-*).
§03
Nima qilindi
Barcha 8 ta muallif kommiti — xavfsizlikni mustahkamlash (xabarlar/SEC-* tiketlarga ko'ra):
- Autentifikatsiya (
7b3a97bSEC-001/002): User modeli + JWT middleware + RBAC dependency lar. - Auth endpointlar (
c152764SEC-004/006): login/logout/refresh + admin seed. - RBAC enforcement (
46d4a22SEC-003): BARCHA 22 ta API endpointda RBAC majburiy qilindi. - Web zaifliklari (
14a2098SEC-010/011/012): SSRF himoyasi, path traversal tuzatildi, URL validatsiyasi. - Reja/hujjatlar (
dcc5e29,bb1986d): xavfsizlik ish rejasi v2 + 40 ta Linear tiket + audit natijalari bilan spec yangilanishlari. - PR #1, #2 (US healthtech platform/davr) orqali merge qilindi.
- Hajm: 8 ta kommit, ammo bu tarqoq tuzatishlar emas, balki to'liq xavfsizlik paketi (auth + authz + injection himoyasi).
§04
Texnik chellenjlar
Diff lar/tiketlar bo'yicha (foydalanuvchi mualliligi — xavfsizlik bloki):
- JWT + RBAC noldan (SEC-001..004): User modeli, JWT middleware, RBAC dependency lar, login/logout/refresh, admin seed — va barcha 22 ta endpointda RBAC enforcement (tanlab emas). → Avtorizatsiyaga tizimli yondashuv ("bitta route ga tokenni yamab qo'yish" emas).
- OWASP sinflarini yopish (SEC-010..012): SSRF himoyasi (tashqi URL validatsiyasi), path traversal tuzatilishi, kiruvchi URL validatsiyasi. → Web zaifliklarini bilish va ularni tibbiy (sezgir) platformada maqsadli yopish.
- Xavfsizlik jarayon sifatida: ish rejasi v2 + 40 ta tiket + audit natijalari bilan spec yangilanishlari → bir martalik patch emas, balki tuzilgan xavfsizlik dasturi. → Foydalanuvchining ma'lum xavfsizlik ekspertizasiga mos keladi (STRIDE audit, AES-GCM TOTP, admin_v2 dagi lockout).
§05
AI yordamida ishlab chiqish
- Topilgan sessiyalar: tegishli katalogda 0 (normalizatsiya orqali tekshirilgan).
.claude/+ katta CLAUDE.md bor → AI yordami ehtimoli yuqori (US healthtech platform jamoasi umuman AI-native), ammo bu yerda foydalanuvchi sessiyalari yo'q. - AI bilan nima qilingan: foydalanuvchi hissasi bo'yicha ma'lumot yo'q; umumiy kod bazasi jamoa ishi.
- AI vorkflow patternlari: CLAUDE.md kontekst sifatida; Playwright testlar.
§06
Yutuqlar va metrikalar
- Foydalanuvchi hissasi: to'liq auth/authz qatlami (22 ta endpointda JWT+RBAC) + healthcare platformada SSRF/path-traversal/URL injection larni yopish. Kommit hajmi bo'yicha kichik, ammo qiymati bo'yicha yuqori (tibbiy ma'lumotlar uchun xavfsizlik-kritik).