Vibecoding Pro
Harness Claude isolé, worktrees git, tests CI obligatoires, MCP servers RBAC — 12 toolkits, un atelier audit-ready.
Passe du dev solo au dev pro.
Pas encore d'achat possible — inscris-toi pour être prévenu·e en priorité au lancement.
Harness Claude et envs séparés, branches isolées, tests CI et coverage, IA tenue hors prod, dashboard de santé, file d'emails multi-provider et skills MCP maison. 12 toolkits pour un atelier audit-ready.
# Le scénario qu'on refuse de revivre.
Tu codes avec Claude, Cursor, ou GPT. Tu produis 10× plus qu'avant. Tu produis aussi des bugs subtils 10× plus vite, parce que l'IA hallucine, parce que tu valides moins, parce que les PRs deviennent trop grosses pour être relues sérieusement. Trois mois plus tard, tu as un repo avec 200 TODOs, 0% de couverture de test, des secrets dans le code, et tu n'oses plus toucher à la partie auth parce que tu ne te souviens plus pourquoi elle marche.
L'extension Vibecoding Pro reprend les pratiques pro et les adapte au workflow IA-assisté : harness Claude avec envs séparés (dev/staging/prod isolés), worktrees git pour travail parallèle sans collision, tests CI obligatoires (Vitest + Playwright + golden tests), coverage + lint + type-check + audit CVE + SBOM, IA confinée hors prod (FS/réseau restreints, PR en lecture seule), dashboard santé Grafana, file d'emails multi-providers, skills MCP maison (articles, Cal.com, newsletter), et framework pour construire tes propres skills.
# Les angles morts que ce bundle ferme.
Chaque ligne est un risque mesuré, pas un fantasme. Si tu reconnais ton stack dans une d'elles, c'est que ce bundle est pour toi.
IA avec accès filesystem complet en prod
→ Une hallucination peut effacer ta DB ou exfiltrer tes secrets. Vu en vrai.
Pas de tests CI
→ Régression silencieuse, tu la découvres via un client mécontent 3 jours plus tard.
PRs énormes, IA non auditée
→ Tu mergeses des dizaines de lignes que tu n'as pas relues. Bugs et vulnérabilités glissent.
Skills/commandes IA non versionnées
→ Ton workflow personnel n'est pas reproductible, tu repars de zéro à chaque machine.
# Les maillons verrouillés dans la kill-chain.
La chaîne MITRE ATT&CK décompose une attaque en 13 tactiques, de la reconnaissance à l'impact. Ce bundle rend impraticables les maillons surlignés ci-dessous — l'attaquant ne peut plus enchaîner.
maillons en couleur : verrouillés par X03 · maillons grisés : couverts par d'autres bundles (cf. /bundles)
# Ce qu'il y a dans la boîte.
Chaque toolkit est livré avec son code, son runbook, et ses tests. Pas de SaaS caché, pas d'abonnement implicite — tu possèdes tout ce que tu déploies.
- T-08-01Harness Claude + envs séparésWorkspaces dev/staging/prod, profils .claude/ isolés.
- T-08-02Branches isolées + worktrees ClaudeWorktrees git pour du travail parallèle sans collision.
- T-08-03Tests automatisés CIVitest + Playwright + GitHub Actions, golden tests.
- T-08-04Coverage + qualité CI/CDSeuil de couverture, lint, type-check, audit des dépendances (CVE), SBOM et signature des artefacts.
- T-08-05IA isolée de la prodContainer FS/réseau restreints, no eval, env guards, PR en lecture seule.
- T-08-06MCP servers sécurisésAllowlist + RBAC + scopes OAuth, audit. Partagé entre le bunker (X01) et l’atelier dev (X03).
- T-08-07Dashboard santé infra/sécu/CRMGrafana + requêtes Plausible : métriques, logs, traces et alerting.
- T-08-08Email Queue & multi-SMTP routerFile d'envoi priorisée, bascule multi-providers et étalement des envois newsletter.
- T-08-11Skill MCP création d'articles MDXCommande perso : générer un article structuré (frontmatter + Schema + cliffhanger).
- T-08-12Skill MCP gestion Cal.comCommande perso : booker, relancer, déplacer ou annuler un RDV.
- T-08-13Skill MCP newsletter BeehiivCommande perso : drafter, segmenter, publier et mesurer une newsletter.
- C-08-05Framework skills/commandes/MCP persoMéthode et architecture pour construire ses propres skills — chapeau de T-08-11/12/13.
# Techniques d'attaque contrées par X03.
Ce que X03ajoute en propre, détaillé. Référencé MITRE ATT&CK (cliquable) — chaque technique pointe vers la fiche officielle.
- T1195.002Supply Chain Compromise: Compromise Software Supply Chain
Dépendance npm compromise injectée par l'IA. Audit dépendances + SBOM + signature artefacts détecte l'intrusion.
- T1059.007Command and Scripting Interpreter: JavaScript
IA qui exécute du code arbitraire en prod = backdoor par accident. Sandbox FS/réseau + PR read-only neutralise.
- T1554Compromise Host Software Binary
Skill MCP compromise = exécution arbitraire. Allowlist + RBAC + scopes OAuth (T-08-06) cadenasse.
# Contre-mesures posées par X03.
Référentiel D3FEND (MITRE), pendant défensif d'ATT&CK. Ci-dessous, ce que X03 pose en propre.
- D3-EALExecutable Allowlisting
MCP servers allowlistés + RBAC + scopes OAuth, IA confinée à un container sans accès prod.
- D3-DEMDependency Evaluation
Audit CVE des dépendances en CI, SBOM généré à chaque build, signature des artefacts.
- D3-ANCIAuthentication Cache Invalidation
Tests CI obligatoires (Vitest + Playwright), coverage minimum, golden tests sur les paths critiques.
- D3-SAORSystem Activity Monitoring
Dashboard Grafana santé infra/sécu/CRM, file d'emails priorisée multi-SMTP avec failover.
# Tu hésites ? Lis ça.
IA "tenue hors prod" — concrètement ?
L'IA tourne dans un container avec : FS limité au repo de travail, réseau coupé sauf vers GitHub/registry npm, env vars sanitisées (pas de secrets prod), PR en read-only par défaut. Tu peux merger ses propositions toi-même après revue, mais l'IA ne peut RIEN écrire en prod directement.
Les skills MCP maison, c'est documenté ?
Oui — C-08-05 (Framework skills/commandes/MCP perso) est le chapeau pédagogique des T-08-11/12/13. Tu apprends à construire tes propres skills à partir des trois exemples livrés.
Coverage / lint / type-check — quel seuil ?
Le bundle pose 60% coverage, 0 warning lint, 0 erreur type. Sont ajustables, mais sont des seuils minimum sains pour du dev IA-assisté.
# Pas encore en vente, mais réserve ta place.
Laisse-moi ton email — tu seras prévenu·e en priorité au lancement, avec une réduction pré-achat. Aucune newsletter, aucun spam : juste l'annonce du jour J.