Résistance aux attaques externes, isolation multi-tenant, authentification, injections, XSS, IDOR, exposition de secrets en source, configuration Docker.

CP-SEC

Duplication, lisibilité, typage, DTOs de validation, conventions, possibilité pour un nouvel entrant de reprendre la codebase sans régression.

CP-QUAL

N+1, requêtes séquentielles, cascades HTTP côté frontend, caches manquants, algorithmes dégradés, index DB absents.

CP-PERF

Cohérence des modules, frontières, couplage, séparation backend/frontend, DI, duplication d'autorisation, services fantômes.

CP-ARCH

CVEs connues, versions pinnées vs flottantes, lockfiles, politique de mise à jour, Dependabot/Renovate.

CP-DEP

Couverture réelle sur les modules métier sensibles, e2e, configuration CI, blocage sur tests rouges, flakiness.

CP-TEST

Conteneurisation, CI/CD, secrets, TLS, variables d'env, backups, durcissement serveur, NODE_ENV, sync DB auto.

CP-DEVOPS

Transferts hors UE, politique de confidentialité vs code, droit d'accès/portabilité, anonymisation à la suppression, rétention des logs.

CP-DATA

Contraintes FK, normalisation, JSONB non indexé, types scalaires inappropriés, index, migrations vs synchronize.

CP-DB

Logging structuré, agrégation, APM (Sentry/Datadog), corrélation request-id, healthchecks complets, rétention logs, métriques métier.

CP-OBS

Qualité du traitement d'erreurs (catches vides, silent swallows), retry + backoff + circuit breakers, idempotence, gestion des timeouts, graceful degradation, process.exit / crash-on-uncaught, failovers, race conditions, concurrence.

CP-RESIL

Règles du domaine, états impossibles qui sont en réalité atteignables (enum invalide, transitions de statut non gardées), contradictions entre règles, edge cases aux bornes, abus possibles (négocier un prix à 0, double-spend, race sur le stock), idempotence des opérations critiques.

CP-LOGIC

Secrets dans l'historique Git complet (pas seulement HEAD), typosquat / dependency-confusion, signatures de commits, provenance des images, conformité des licences transitives, contamination GPL/AGPL dans un produit propriétaire.

CP-SUPPLY

DR RTO/RPO déclaré vs testé, backup restore réellement joué, runbooks d'incident, capacité et marge de charge, chaos engineering, feature-flag hygiene (flags stale), plan de rollback testé, zero-downtime migrations.

CP-OPS

Conformité WCAG 2.2 AA, Core Web Vitals (LCP/INP/CLS), SEO technique (canonicals, sitemap, structured data), i18n complétude, consent/cookies, analytics privacy-first.

CP-UX

Lead time for changes, deploy frequency, change failure rate, MTTR (DORA), code churn hotspots, bus factor par module, code mort/ghost code, densité de TODO/FIXME/HACK par fichier, flakiness des tests, onboarding time.

CP-VELO

Threat model documenté et à jour (STRIDE), surface LLM/IA (prompt injection, PII leakage, eval suite, cost anomaly detection), traçabilité IP (CLAs, contributors externes), sous-traitants RGPD vs politique affichée, ADRs à jour.

CP-GOV