Вы допромптились до работающего приложения. Оно делает то, что нужно. Вы им гордитесь — и правильно. Но между «работает на моей машине» и «готово для реальных пользователей» есть пропасть.
Вот что я проверяю, когда фаундер приносит мне свой вайб-кодинг проект.
1. Секреты не в коде
ИИ-инструменты обожают хардкодить API-ключи. Проверьте ваш репозиторий на всё, что выглядит как ключ, токен или пароль. Перенесите их в переменные окружения. Если они хоть раз были закоммичены — ротируйте их, git-история помнит всё.
2. Зависимости не безнадёжно устарели
ИИ-модели обучены на старом коде. Ваш package.json может ссылаться на пакеты с известными уязвимостями. Запустите npm audit и действительно прочитайте результат.
3. Аутентификация — не просто «вроде работает»
ИИ-сгенерированная аутентификация часто проверяет «счастливый путь», но упускает граничные случаи — истёкшие токены, повышение привилегий, фиксация сессий. Если в вашем приложении есть аккаунты пользователей — это заслуживает внимательного ревью.
4. Обработка ошибок — не только console.log
Когда что-то ломается в продакшене, об этом должны узнавать вы, а не пользователи. Настройте нормальные error boundaries, логирование и в идеале сервис отслеживания ошибок.
5. Деплой без ручных действий
Если ваш процесс деплоя — «зайти по SSH на сервер и выполнить пару команд», вы в одной опечатке от даунтайма. Настройте CI/CD — пуш в main, и оно выкатывается.
6. Есть реальные тесты
Не исчерпывающее покрытие — просто достаточно, чтобы знать, что критические пути работают. Может ли пользователь зарегистрироваться? Может ли он выполнить основное действие? Проходит ли процесс оплаты?
7. Приложение выдерживает нагрузку больше, чем вы и ваш друг
ИИ не думает о производительности. Запросы к базе данных без индексов, N+1 запросы, нет кеширования, нет CDN. С 2 пользователями это не важно. С 200 — очень даже.
8. Инфраструктура не комично перепровижена
Та база данных за $200/мес, которую вы подняли в 2 часа ночи, потому что ИИ предложил? Вам, скорее всего, нужен тариф за $15. Подберите правильный размер для всего.
9. Кто-то другой мог бы разобраться в коде
Если вас собьёт автобус (или вы просто захотите выходной), сможет ли кто-то другой разобраться, что происходит? Понятные имена, какая-то структура, README, который не является дефолтным от фреймворка.
10. Приложение реально задеплоено с HTTPS
Не localhost. Не IP-адрес. Настоящий домен с TLS. Это базовый минимум для доверия пользователей.
Большинству вайб-кодинг проектов нужно исправить примерно половину из этого списка. Хорошая новость: ничего из этого не требует переписывания приложения. Всё это можно добавить поверх того, что вы уже построили.
Не уверены, где стоит ваш проект? Запишитесь на вводный звонок — 30 минут, €50, и я дам честную оценку.
Нужна помощь с подготовкой проекта к продакшену?