zen/start
1
0
Fork 0
Code Issues Pull Requests Actions Packages Releases Activity

docs: rewrite DEV.md with security guidelines and structure

Browse Source 
Expand the development guide from a minimal overview into a
comprehensive reference covering:

- Code standards: single responsibility, control flow, input
  validation, promise handling, and variable scoping
- Security section: treat all external input as malicious, use
  path.join over string concatenation, no secrets in code
- Reorganize publication steps to include version bump before
  build/publish for a logical workflow
- Add project context note clarifying the scaffolding role of
  @zen/start
This commit is contained in:
Hyko
2026-04-13 15:19:41 -04:00
parent 59a33380df
commit ca0fafe6ff
3 changed files with 113 additions and 34 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/DEV.md
+56 -17
View File
@@ -1,17 +1,60 @@
# DEV # Guide de développement
## Standards Ce document couvre les conventions de code, les règles de sécurité et la procédure de publication du package `@zen/start`.
On suit ces deux guides : Pour les conventions de rédaction : [LANGUE.md](./dev/LANGUE.md) et [REDACTION.md](./dev/REDACTION.md).
- [GUIDE.md](./dev/GUIDE.md) : conventions générales de rédaction et de structure Pour les conventions de commit : [COMMITS.md](./dev/COMMITS.md).
- [REDACTION.md](./dev/REDACTION.md) : règles de style, ton et formatage
Pour la procédure de publication du package : voir section [Publication](#publication) ci-dessous.
> **Contexte projet** : `@zen/start` est un CLI qui génère un projet Next.js avec le CMS `@zen/core` déjà intégré. Lors d'une assistance ou d'une revue, partez du principe que le rôle de ce package est de scaffolder — pas d'exécuter du code applicatif.
--- ---
## Publier le package ## Standards de code
Le package `@zen/start` est publié sur le registre npm à `https://git.hyko.cx`. ### Principes généraux
**Une fonction, une responsabilité.** Si elle fait deux choses, c'est deux fonctions. Si elle ne tient pas sur un écran, la découper.
**Le flux de contrôle se lit de haut en bas.** Pas de récursion non bornée, pas de callbacks imbriqués à plus de deux niveaux. Quelqu'un qui lit le code pour la première fois doit pouvoir suivre l'exécution sans se perdre.
**Les données entrantes sont suspectes.** On valide en entrée de fonction. On ne suppose pas que l'appelant a fait le travail.
**Les promesses ne s'ignorent pas.** Chaque `Promise` est `await`ée ou `.catch()`ée. Une promesse silencieuse qui échoue est un bug invisible.
**La portée des variables est minimale.** On déclare au plus près de l'usage. Pas de variables réutilisées pour deux rôles différents.
---
## Sécurité
### Données entrantes
Toute donnée externe est considérée malveillante par défaut : arguments CLI, chemins de fichiers, noms de projet fournis par l'utilisateur. On valide et on assainit avant tout usage dans des chemins ou des commandes shell.
### Système de fichiers
On ne construit jamais un chemin par concaténation de chaînes brutes. On utilise `path.join` ou `path.resolve` :
```js
// ✓
const dest = path.join(targetDir, 'package.json')
// ✗
const dest = targetDir + '/package.json'
```
### Secrets
Aucun token, clé API ou credential dans le code. Le token d'authentification au registre npm est configuré localement, jamais commité.
---
## Publication
Le package `@zen/start` est publié sur le registre npm hébergé sur `https://git.hyko.cx`.
### 1. Configurer l'authentification ### 1. Configurer l'authentification
@@ -23,15 +66,7 @@ npm config set //git.hyko.cx/api/packages/zen/npm/:_authToken TOKEN
Remplacer `TOKEN` par le token généré. Remplacer `TOKEN` par le token généré.
### 2. Build et publish ### 2. Bump de version
```bash
npm publish
```
---
## Bump de version
Modifier `"version"` dans `package.json` en suivant [semver](https://semver.org/) : Modifier `"version"` dans `package.json` en suivant [semver](https://semver.org/) :
@@ -41,4 +76,8 @@ Modifier `"version"` dans `package.json` en suivant [semver](https://semver.org/
| `feat` | MINOR `1.X.0` | | `feat` | MINOR `1.X.0` |
| Breaking change | MAJOR `X.0.0` | | Breaking change | MAJOR `X.0.0` |
--- ### 3. Build et publish
```bash
npm publish
```
docs/dev/COMMITS.md
+56
View File
@@ -0,0 +1,56 @@
# Conventions de commit
Tous les messages de commit sont rédigés en **anglais**, en suivant le format [Conventional Commits](https://www.conventionalcommits.org/) :
```
<type>(<scope>): <description courte>
```
---
## Types
| Type | Usage |
|------|-------|
| `feat` | New feature |
| `fix` | Bug fix |
| `refactor` | Code restructuring without behavior change |
| `style` | Formatting only (spaces, commas, no logic change) |
| `docs` | Documentation only |
| `test` | Add or update tests |
| `chore` | Maintenance, dependencies, build config |
| `perf` | Performance improvement |
| `revert` | Revert a previous commit |
---
## Exemples
```
feat(auth): add OAuth2 login support
fix(api): handle null response from payment gateway
refactor(storage): extract upload logic into helper
docs(guide): add git commit message conventions
chore(deps): update dependencies
perf(db): cache user metadata on repeated reads
revert: revert "feat(auth): add OAuth2 login support"
```
---
## Règles
- **Scope** : facultatif, précise la zone touchée `auth`, `api`, `storage`, `ui`, `config`
- **Description** : minuscules, sans point final, en anglais
- Un commit = une intention. Ne pas mélanger fix et refactor
- Pas de `wip`, `fix fix`, `oups` ou messages vides
## Breaking changes
Ajouter `!` après le type et un pied de page `BREAKING CHANGE:` :
```
feat(api)!: remove legacy query parameter
BREAKING CHANGE: the `legacy` param is no longer accepted, use `version` instead.
```
docs/dev/GUIDE.md → docs/dev/LANGUE.md
+1 -17
View File
@@ -1,4 +1,4 @@
# GUIDE # LANGUE
## Langue du code ## Langue du code
@@ -16,22 +16,6 @@ Tout ce qui est **visible par l'utilisateur** est en **français** :
- Slugs et noms de dossiers qui correspondent à des routes URL - Slugs et noms de dossiers qui correspondent à des routes URL
- Documentations, README.md - Documentations, README.md
## Messages de commit Git
Tous les messages de commit doivent être rédigés en **anglais**, en suivant le format conventional commits :
```
<type>(<scope>): <description courte>
```
Types courants : `feat`, `fix`, `refactor`, `style`, `docs`, `test`, `chore`
Exemples :
- `feat(auth): add OAuth2 login support`
- `fix(api): handle null response from payment gateway`
- `docs(guide): add git commit message conventions`
- `chore(deps): update dependencies`
## Guide de rédaction ## Guide de rédaction
Se référer à `REDACTION.md` avant de rédiger tout contenu textuel. Se référer à `REDACTION.md` avant de rédiger tout contenu textuel.