Audit-Vorlage
api
Prüfe deine API gegen ihren veröffentlichten Contract — und gegen das, was der Code tatsächlich tut.
Mappt auf: RFC 9110HTTP Semantics — der Standard, der HTTP-Methoden, Status-Codes und Header-Felder definiert./9457 · OpenAPIOpenAPI Specification — ein standardisiertes, sprachunabhängiges Beschreibungsformat für HTTP-APIs.
Spezialisten, parallel
Jeder Befund ist belegbasiert und übersteht ≥2-von-3 adversarielle Skeptiker.
Wie dieses Audit arbeitet
Zwölf Spezialisten-Agenten prüfen eine API-Oberfläche über Resource-Modeling, HTTP-Semantik und Status-Codes, das Error-Envelope, Auth und Authorization auf Objektebene, Versioning, Pagination, Idempotency, Rate-Limits, Schema-Rigorosität, Docs, Webhooks und Observability. Jeder Befund nennt eine Handler-file:line, einen Schema-Pfad oder ein Request/Response-Paar und die verletzte Regel — RFC 9110HTTP Semantics — der Standard, der HTTP-Methoden, Status-Codes und Header-Felder definiert., RFC 9457Problem Details for HTTP APIs — ein standardisiertes JSON-Format für maschinenlesbare Fehlerantworten., OpenAPIOpenAPI Specification — ein standardisiertes, sprachunabhängiges Beschreibungsformat für HTTP-APIs. 3.1, GraphQL-Spec oder gRPCgRPC Remote Procedure Calls — ein performantes RPC-Framework, das Protocol Buffers über HTTP/2 nutzt.-Konventionen. Jede Abweichung zwischen veröffentlichtem Contract und Implementierung wird als eigener Befund mit beiden Fundstellen erfasst.
Wann du es einsetzt
Interne API für Partner öffnen
Ein internes Endpoint-Set wird zum öffentlichen Contract. Das Audit gleicht jede Operation mit ihrer OpenAPIOpenAPI Specification — ein standardisiertes, sprachunabhängiges Beschreibungsformat für HTTP-APIs. oder SDLSchema Definition Language — die Syntax zum Deklarieren von Typen und Operationen einer GraphQL-API. ab, markiert Verben im Pfad und inkonsistente Collection-Patterns und deckt fehlende Page-Size-Limits und unauthentifizierte mutierende Endpoints auf, bevor externe Entwickler darauf bauen.
Nachdem ein Payments-Endpoint doppelt abgebucht hat
Ein Retry hat in Produktion eine zweite Charge erzeugt. Das Audit prüft Idempotency-Keys auf Money- und Side-Effect-POSTs, Optimistic ConcurrencyEine Kontrollmethode, die konkurrierende Schreibzugriffe per Versionsprüfung statt per Sperre erkennt. auf Read-Modify-Write-Pfaden und die Webhook-Delivery-Semantik und liefert das Idempotency-Key-Handling samt Storage als Vorher/Nachher-Fix.
Spec-Drift vor der SDK-Generierung bereinigen
Du generierst Client-SDKs aus einer OpenAPIOpenAPI Specification — ein standardisiertes, sprachunabhängiges Beschreibungsformat für HTTP-APIs.-Spec, die nicht mehr zu den Handlern passt. Das Audit lintet die Spec und erstellt eine Contract-Drift-Matrix pro Operation — entfernte Felder, verengte Typen, geänderte Defaults, falsche Status-Codes — damit die generierten Clients nicht länger an echten Responses brechen.
Was du bekommst
Eine pro Dimension benotete Scorecard plus ein nach Priorität sortiertes Tracking-Issue und pro Befund ein deutsches GitHub-Issue, jedes mit Management-Summary und Vorher/Nachher-Fix.