argos

REST/OpenAPI/GraphQL contract review — versioning, idempotency, errors, breaking changes

AWS fundamentals review — S3 (BPA + bucket policy + lifecycle + SSE) + RDS (multi-AZ + encryption + IAM auth + parameter group) + Lambda (cold start + VPC + observability) + IAM (least privilege + Access Analyzer + CloudTrail-driven). EKS scope dışı.

Capacity planning + yük testi — baseline, k6/Locust load+stress+spike+soak, bottleneck triage, headroom + HPA tuning, cost projection, seasonal forecast

Internal developer platform (Backstage/Port/Cortex) service catalog audit — orphan + ownership + lifecycle + tier + scorecard + tech radar + self-service template

CDN (CloudFront/Cloudflare/Fastly) review — cache key + TTL + origin shield + purge + signed URL + image opt + multi-CDN failover + edge compute + TLS + WAF

Chaos engineering drill — hipotez + steady state + fault injection (pod kill, network, CPU/mem/disk/DNS) + abort condition + drill log + learning loop

CI/CD pipeline review — GHA/GitLab/Jenkins, hız+determinizm+güvenlik, cache+matrix+secret, artifact lifecycle (SBOM/sign), DORA

SOC 2 / GDPR / PCI / HIPAA / ISO 27001 control mapping — evidence-first, audit trail, DSR flow, vendor risk, gap analysis, continuous prep

docker-compose.yml -> Kubernetes manifests (Deployment/Service/Ingress/CM/Secret)

FinOps cloud cost review — right-sizing, idle detection, reserved/spot, egress, tag policy, anomaly alert, FinOps maturity

Data contract — REST/GraphQL/gRPC/AsyncAPI + Avro/Protobuf + Schema Registry + versioning + idempotent consumer + DLQ + CI gate + Backstage API entity

Veri migration plan — Expand-Contract pattern, dual-write, backfill (chunked+idempotent), shadow read, cutover, rollback drill, compliance

Domain-Driven Design — bounded context + ubiquitous language + context map + event storming + aggregate + tactical model

Lifecycle "A" — INVEST user story, Gherkin acceptance criteria, NFR, assumption, risk, non-goal, DoD, estimation. Kod öncesi disipline.

Dockerfile + .dockerignore + compose review (boyut, güvenlik, layer cache)

Epic-level multi-agent orkestrasyon — vertical slice + dependency + critical path + parallel agent assignment + weekly burndown

A/B experiment tasarımı — hypothesis + MDE + power + sample size + guardrail + SRM + ramp + decision rubric + flag manifesti + cleanup

Monolith → microservice extraction — bounded context (DDD) + strangler fig + ACL + DB split + contract test + production-readiness gate + rollback window

Tüm stack için end-to-end health check (db, cache, api, ws, frontend, ingress)

Servis/operasyon için runbook üret (alert -> action -> escalation)

GitOps platform review — ArgoCD / Flux / Argo Rollouts. App-of-apps, sync policy, sealed-secrets, progressive delivery, drift, RBAC, DR.

Go backend (net/http / gRPC / chi / gin / cobra CLI) review — concurrency, error, interface, test, perf

Terraform / Pulumi / CloudFormation IaC review — state management, module contract, plan output, drift, security scan, cost diff. Plan ≠ apply disiplini.

Kubernetes pod/deployment debug — CrashLoop, ImagePull, Pending, OOMKilled

LLM Ops review — prompt (versionlu + structured + Anthropic cache) + eval (golden set + LLM-as-judge cross-model + CI gate) + cost (token budget + cache hit + PR-time delta) + RAG (chunking + embedding + vector DB + reranker + RAGAS) + provider abstraction.

Service mesh review (Istio/Linkerd) — mTLS strict + AuthorizationPolicy + retry/timeout/CB + trace propagation + sidecar drift + migration plan

Nginx config review — proxy, WebSocket, TLS, rate limit, security headers

Node.js API review — async, memory, validation, security

Yeni servis observability bootstrap — SLI/SLO + structured log + OTel trace + RED/USE metric + 3-tier dashboard + multi-window burn rate alert

Repo onboarding + code archaeology — yeni geliştirici / AI session 30 dk'da repo'yu kavrasın. Decision tree, stack tour, C4, glossary, common task, archaeology rehberi

Performance budget — Web Vitals + bundle + API/DB latency + cost; PR-time CI gate (size-limit + Lighthouse CI + k6) + RUM + regression detector

Yavaş Postgres query'sini analiz et, index/rewrite öner

Blameless postmortem üret — timeline, 5-why kök neden, contributing factor, action item (sahip+tarih+issue), follow-through 90 gün

Privacy engineering review — PII inventory + data flow + consent + DSR automation + pseudonymization + retention + DPIA + sub-processor SCC

Production incident triage + stabilizasyon + forensics yönlendirici

Property-based testing review — Python Hypothesis + TS fast-check + Go gopter + Schemathesis (OpenAPI). Property hierarchy, generator hijyeni, stateful PBT, regression seed, CI gate.

Python backend (FastAPI / Django / DRF / Celery / Channels / script) review — async, type, ORM, perf, güvenlik

Test strateji + piramidi review — coverage, mutation, flaky, exploratory, bug bash, UAT, quality gate matrix

React component review — re-render, accessibility, state, perf

Redis review — cache (eviction + TTL + stampede) + pub-sub backplane + rate limit (Lua atomic) + ops (memory + slow log + persistence) + Sentinel HA. Cluster + Streams scope dışı.

Stack-bağımsız refactor — code smell tespit, complexity ölçümü, Fowler pattern + küçük-adım plan, davranış invarianti

Release planı üret — Conventional Commits→CHANGELOG, semver bump kararı, readiness checklist, sunset+feature flag lifecycle, multi-service koordinasyon, rollback komutu yanıbaşında

Plugin templates'ini (Docker / K8s / Helm / Nginx / Compose / PgBouncer / Redis / GitHub Actions / Runbook) projeye uygula

Güvenlik audit — secret leak, dep CVE, container, K8s, auth, input validation

STRIDE bazlı threat modeling — asset inventory, trust boundary, DFD, abuse case, CVSS skor, mitigation tracking. Security'nin proaktif yüzü.

Vite dev/build debug — HMR, env, proxy, bundle size, prod 404

WebSocket bağlantı/mesaj sorunlarını teşhis (handshake, idle drop, reconnect storm)

50 agent için **frontmatter-derived** yetenek haritası. `scripts/extract-agent-capabilities.py` ile otomatik üretilir; manuel düzenleme **yapılmaz**.

`agents/` altındaki dosyalar plugin'in **uzman alt-agent**larını tanımlar. Toplam **51 agent**:

REST/GraphQL/WebSocket event contract'larında schema uyumluluğu ve backward compatibility kontrolü yapar. Yeni endpoint, alan ekleme/kaldırma, versiyonlama kararı ve client/server uyumsuzluğunda ilk seçim.

Repo yapısını, servis bağımlılıklarını, API akışlarını, deployment mimarisini ve teknik borç noktalarını haritalandırır. Yeni mühendis onboarding, mimari review ve refactor öncesi keşif aşamasında ilk seçim.

Python (FastAPI, Django, DRF, Celery, Channels) ve Node.js (Express/Fastify) backend uzmanı. Async hijyeni, type, validation, ORM, observability ve test review yapar. Yeni endpoint, performans regresyonu veya prod hazırlık review'larında ilk seçim.

Chaos engineering uzmanı. Hipotez-driven fault injection (pod kill, network partition, CPU/memory stress, DNS, time skew). Steady state + blast radius + abort condition + drill log + learning loop. Game day organize eder.

GitHub Actions / GitLab CI pipeline hatalarını, test aşaması yavaşlığını, build cache, artifact, container registry akışını ve deployment pipeline'larını optimize eder. Pipeline kırmızı ya da yavaşken ilk seçim.

Multi-agent çalışmada karışıklığı önler. Bir feature/incident sürerken hangi agent ne karar verir, kim kim'e devreder, çatışmada ne olur.

PostgreSQL şema, query, index, lock ve migration uzmanı. EXPLAIN ANALYZE yorumlar, index/rewrite önerir, online migration güvenliği değerlendirir. Yavaş query, DB CPU/IO satürasyonu ve büyük tabloda migration için ilk seçim.

Slice/release için somut deploy planını yazar. Hangi sıra, hangi env, hangi feature flag, hangi observability gate, hangi rollback. deployment-strategist'ten farkı: stratejiyi seçmez, planı somutlaştırır + uygulamayı koordine eder.

Python/Node.js dependency güvenliği, outdated paketler, lisans riski ve supply-chain açıklarını inceler. Yeni paket eklendiğinde, quarterly audit'te ve CVE alarmında ilk seçim.

Deployment, rollback, release safety, canary, blue-green ve Kubernetes rollout süreçlerini sahiplenir. Yeni release önce, deploy stratejisi seçimi ve rollout sağlığı doğrulamasında ilk seçim.

Pod CrashLoop, OOM, ImagePull, ingress 502/504, deploy stuck gibi runtime sorunlarını teşhis eder. K8s + Docker + Nginx katmanlarında symptom -> hipotez -> kanıt -> aksiyon disiplini uygular.

A/B test ve experimentation uzmanı. Hypothesis + MDE + power analysis + sample size + guardrail metric + SRM check + sequential testing korumalı. Feature flag lifecycle (release/experiment/ops/permission) ve cleanup disiplini sahiplenir.

React + Vite uygulamalarında bundle size, code splitting, lazy loading, hydration, asset optimizasyonu ve browser runtime performansını inceler. LCP/INP/CLS regresyonlarında ilk seçim.

React + Vite + TypeScript frontend uzmanı. Re-render performansı, state mimarisi, bundle, HMR, prod build, a11y ve test review yapar. UI PR'ları, lighthouse regresyonu ve prod build sorunları için ilk seçim.

Python (FastAPI/Django/Celery) ve Node (Express/Fastify) backend kodunu TDD disiplinine uyarak yazar. Vertical slice'ın backend kısmını sahiplenir.

Postgres schema, migration, index, query yazar. Migration online + reversible; index CONCURRENTLY; lock-aware.

React + Vite + TS frontend kodunu TDD ve component-driven yazar. Vertical slice'ın UI + state + WS event handling kısmını sahiplenir.

Terraform / Pulumi / CloudFormation / Ansible IaC değişiklikleri yazar ve review eder. State management, module versioning, drift, plan-only PR, CI security scan. Bulut altyapısı değişikliklerinde ilk seçim.

Dockerfile, docker-compose, K8s manifest, ingress, NetworkPolicy, Helm template, ConfigMap/Secret yazar. Slice'ın infra deliverable'larını sahiplenir.

WebSocket / SSE / pub-sub backplane kodunu yazar. Channels (Django), socket.io / native ws (Node) ve frontend WS hook'larını TDD ile uygular.

Davranış değiştirmeden iç yapıyı iyileştirir. Test koruması altında küçük, geri-alınabilir adımlarla refactor yapar. TDD'nin "refactor" fazının sahibi.

Production incident sırasında triage, stabilizasyon, forensics ve communication akışını disipline yürütür. Diğer agent'ları görev bazlı koordine eder. On-call destek, postmortem üretimi için ilk seçim.

Dockerfile, compose, Kubernetes manifest, ingress, service, secret, configmap ve resource limit'leri statik olarak inceler. Manifest PR review ve infra repo audit'inde ilk seçim.

LLM Ops uzmanı. Prompt engineering (versionlu, structured output, Anthropic prompt cache) + eval harness (golden set + LLM-as-judge cross-model + CI gate + regression threshold) + cost budget (token + cache hit + PR-time delta) + RAG architecture (chunking + embedding + vector DB + reranker + RAGAS) + provider abstraction. Model-agnostic core; Anthropic SDK Claude-leaning. Drift monitoring/output safety/fine-tune scope dışı.

Geliştiricinin lokal Docker, Node, Python, Postgres, env vars, port çakışmaları ve compose sorunlarını teşhis eder. "Bende çalışmıyor" senaryolarında ilk seçim.

Postgres schema migration, docker-compose -> Kubernetes, monolith -> service split gibi büyük geçişler için faz planı, risk haritası ve rollback stratejisi üretir.

Logs, metrics, traces, dashboard, alert ve SLO/SLI değerlendirmesi yapar. "Görüyor muyuz, ne zaman uyarılıyoruz, sinyal mi gürültü mü?" sorularına cevap verir. Yeni servis go-live, alert fatigue ve SLO setup'ında ilk seçim.

Backend, frontend, database ve network performans sorunlarını uçtan uca analiz eder. p99 yükseldi/CPU patladı/memory sızıyor/bundle büyüdü dendiğinde ilk seçim. Diğer reviewer agent'lara hedefli delege eder.

Container, K8s, Nginx ve cloud topolojisinde uzman. Compose -> K8s migrasyonu, ingress/proxy konfig, deployment manifest review yapar. Yeni servis onboarding, environment kurulum ve cluster posture sorularında ilk seçim.

Privacy engineering uzmanı. PII inventory + data flow map + consent log + DSR (access/erasure/portability) otomasyon + pseudonymization + retention + DPIA + cross-border transfer SCC. GDPR/KVKK/CCPA/LGPD operationalization. compliance-controls'tan farkı kod seviyesinde mekanizma sahipliği.

Bir servisin production'a hazır olup olmadığını güvenlik, observability, scaling, database, deployment ve rollback açısından bütünsel değerlendirir. Go-live öncesi kapı bekçisi.

WebSocket protocol, lifecycle, scale ve proxy uzmanı. Idle disconnect, reconnect storm, mesaj sıralama, multi-replica fanout ve LB davranışı sorularında ilk seçim.

Release notes, migration riski, deployment checklist, rollback planı ve release readiness raporu hazırlar. Tagged release, feature freeze ve hotfix akışlarında ilk seçim.

Sistem tasarımı + ADR'leri review eder. Servis sınırı doğru mu, contract sürdürülebilir mi, failure mode tanımlı mı, ölçek varsayımı gerçekçi mi sorularına bağımsız ikinci göz.

Genel kod review agent — readability, hata yönetimi, naming, abstraction, deadcode, comment hijyeni. Specialized review'lardan (security/performance) farkı: günlük PR review için ana ses.

Kod/manifest PR'ında performans hassasiyeti gözeten review agent. Implementation veya design'ın ölçek/latency riski yaratıp yaratmadığını yakalar. performance-profiler'dan farkı: profile etmek değil, statik review.

Incident, deployment, rollback, database recovery ve debugging için uygulanabilir runbook dokümanları üretir. On-call paniğinde okunabilir, kopyala-yapıştır komutlarla çalıştırılabilir runbook üretir.

Repo + container + K8s + CI/CD + auth katmanlarında güvenlik review yapar. Secret leak, dependency CVE, OWASP top-10, IAM/RBAC ve runtime hardening. Quarterly audit, major release ve pentest hazırlığı için ilk seçim.

Tüm agent'ların ortak referansı. Yeni agent eklerken bu dosyalar default-load varsayılır.

Multi-agent ekipte agent A'nın bulgusu agent B'ye **yapılandırılmış** geçer.

Bir agent kendi sahiplik alanı dışına çıktığında veya karar yetkisi aştığında izlenecek delege/onay yolu.

Tüm review/audit/incident agent'ları bulgu raporlarken aynı seviye tanımını kullanır.

ADR (Architecture Decision Record) yazar. Karar, bağlam, alternatifler, sonuçlar formatında izlenebilir karar belgesi üretir.

Epic-level meta-agent. Büyük feature'ı (≥ 2 sprint, ≥ 13 story point, ≥ 3 ekip) multi-agent ekibe dağıtır; dependency graph, parallel work assignment, milestone tracking, cross-team coordination. `vertical-slice-planner`'dan farkı slice-level değil **epic-level**.

Yazılım problemini ürün/iş açısından kavrayıp domain modeline dönüştürür. Belirsiz feature isteğini bounded context, entity, event, invariant listesine indirgeyen ilk durak.

Domain modelinden somut sistem tasarımına geçişi sahiplenir. Servis ayrımı, contract, data flow, persistence, sync vs async, failure mode kararlarını netleştirir.

Bir feature'ı uçtan uca ince dilimlere böler. Her slice ship-edilebilir + test-edilebilir + geri alınabilir. TDD akışının başlangıcı.

<tek cümle: ne yapar + ne zaman çağrılır + diğerlerinden farkı>

- [ ] APPROVE [ ] APPROVE WITH CHANGES [ ] REQUEST CHANGES [ ] BLOCK

- problem (1 cümle)

Test piramidi disiplini, integration test stratejisi, fixture/mocks, CI flake yönetimi. Yeni feature için test planı, eksik kapsamı doldurma ve flaky test stabilize için ilk seçim.

REST/GraphQL/WS event contract'ları için consumer-driven contract test yazar. OpenAPI/AsyncAPI spec ve gerçek client beklentisi tutarlılığını doğrular.

Kullanıcı yolculuğunu (browser -> backend -> DB) Playwright ile uçtan uca test eder. Çok az ama anlamlı. Smoke + happy path + kritik error path.

Birden fazla bileşenin (HTTP + DB + cache + queue) gerçek-benzer entegrasyonunu test eder. testcontainers / pytest-django / supertest ile gerçek Postgres, gerçek Redis.

k6 / vegeta / wrk ile load + soak + spike test tasarlar ve çalıştırır. p50/p99/saturation eğrilerini yorumlar; capacity sınırı belirler.

PR / release / deploy aşamalarında ilgili regression test paketini koşar; flaky tespit eder; çıktıyı yorumlar. CI orchestration odaklı.

Red-Green-Refactor döngüsünü sürdüren orkestrasyon agent'ı. Slice'ı test'lere böler, failing test üretmek için ilgili test-writer'ı çağırır, implementer'a teslim eder, refactor'ı denetler.

Tek davranış birimleri için izole, hızlı, deterministik unit test yazar. Pure function, command handler, hook, validator gibi parçalar.

WebSocket reconnect, heartbeat, backpressure, auth, rate limit, message schema ve scaling sorunlarını protocol-level inceler. WS connection storm, idle disconnect ve event taşma sorunlarında ilk seçim. realtime-systems-reviewer'dan farkı: protokol/sözleşme detayına iner; reviewer akış sahibi.

System design, ADR ve major refactor öncesi bağımsız mimari review.

Sev1/Sev2 incident'ında multi-agent koordinasyon.

Stack: Docker, Kubernetes, Nginx, PostgreSQL, Python (FastAPI/Django/Celery), Node.js (Express/Fastify), React+Vite, WebSocket.

REST/OpenAPI/GraphQL/WS contract review — versioning, idempotency, error model, breaking change, auth scope, pagination.

REST/GraphQL/gRPC/AsyncAPI/WebSocket/SSE paradigma seçim disipline. Public vs internal, consumer profile (browser/mobile/partner/service), hybrid mimari (BFF GraphQL + gRPC backend; Apollo Federation; grpc-gateway; Connect), versioning + tooling karşılaştırma. api-contract-review'dan farkı: review değil paradigma karar.

AWS fundamentals discipline (S3 + RDS + Lambda + IAM derinleşme). DigitalOcean/Cloudflare-leanlı plugin için transitioning customer rehberi; comprehensive AWS değil 4 servisin core pattern'leri + IAM derinleşme. EKS scope dışı (`kubernetes-troubleshooting` + AWS-specific section). EventBridge/Aurora/Organizations/Control Tower ileri sürümde. Cloud platform pattern; yeni agent yok (`platform-engineer` topoloji, `security-reviewer` IAM, `database-optimizer` RDS).

Yük testi tasarımı + capacity planning — k6/Locust/Gatling baseline, headroom %, autoscaling threshold, cost projection, bottleneck triage (DB/cache/CPU/network), seasonal forecast.

CDN (CloudFront/Cloudflare/Fastly) disipline — cache key composition (URL + Vary + cookie/query whitelist), TTL strategy (s-maxage CDN + max-age browser + stale-while-revalidate + stale-if-error), origin shield, purge (single/wildcard/tag/all), signed URL (CloudFront/Cloudflare/Fastly token), image optimization (AVIF/WebP edge transform), HLS/DASH streaming, multi-CDN failover (DNS health check + RUM routing), edge compute (Workers/Lambda@Edge/Compute@Edge), TLS termination Full(strict), WAF + DDoS, RUM, cost tracking.

Hipotez-driven fault injection (pod kill, network partition, CPU/memory/disk/DNS/time stress). Steady state baseline + blast radius (%1→%5→%25) + abort condition + drill log + learning loop. Game day organization.

CI/CD pipeline-as-code review/tasarım — GHA/GitLab/Jenkins, hız+determinizm+güvenlik, cache+matrix+secrets, artifact lifecycle (SBOM/sign/attestation), DORA metric.

Stack-bağımsız temiz kod + refactor disiplini — code smell tespit, complexity ölçümü, Fowler refactoring katalogu, küçük-adım plan + karakterizasyon testi.

Cloudflare ekosistem disipline (CDN'in ötesinde) — account/RBAC + API token scoped, DNS (proxied vs gray, CNAME flattening, DNSSEC, CAA), SSL/TLS (Full strict zorunlu, HSTS, Authenticated Origin Pulls mTLS), WAF (Managed Ruleset + Rate Limit + Bot Management), Workers (CPU < 50ms, wrangler.toml, gradual deployment, Service Bindings, Logpush), R2 (S3-compat egress FREE), Pages (JAMstack + Functions + preview Access), Zero Trust (Access + Tunnel + Service Token + Device Posture), D1/Queues/KV/Durable Objects, Turnstile (server siteverify), Logpush + Analytics, cost model (Free/Pro/Business/Enterprise + Workers Paid + R2 storage).

Repo onboarding + code archaeology — yeni geliştirici/AI session'ı 30 dakikada repo'yu kavrasın. Decision tree (X için hangi dosya), stack tour, C4 model, glossary, common task playbook, git log/blame ile "neden böyle yazılmış", tribal knowledge çıkarımı.

SOC 2 / GDPR / PCI / HIPAA / ISO 27001 control mapping — evidence-first (automated > manual), audit trail, DSR flow, vendor risk, gap analysis, continuous audit prep. Kutucuk değil gerçek kontrol.

Producer-consumer data sözleşmesi — REST/GraphQL/gRPC/AsyncAPI + Avro/Protobuf, Confluent Schema Registry, versioning (major BC-breaking yasak), idempotent consumer + DLQ (poison message), CI contract test (Pact + AsyncAPI validate + schema compat), dbt/SQLMesh database contracts, PII annotation, SLA (latency + delivery + lag), Backstage API entity bağı.

Veri migration disiplini — Expand-Contract pattern, dual-write, backfill (chunked+idempotent), shadow read, cutover, rollback, audit, compliance. Big-bang migration yasak; zero-downtime / minimal-downtime stratejileri.

Domain-Driven Design — bounded context + ubiquitous language + context map + aggregate + entity + value object + domain event + event storming. Mikroservis boundary; multi-team büyük domain.

DigitalOcean App Platform (DOAP) PaaS disipline — App Spec YAML (Git-tracked, no UI drift), build (buildpack vs Dockerfile multi-stage), instance sizing (shared vs dedicated, autoscale), networking (HTTPS redirect, custom domain + Let's Encrypt + CAA, WebSocket 60s idle), managed DB binding (trusted source, connection pool), env/secret (SECRET type, BUILD vs RUN scope), observability (DO Monitoring + alert + log forward), deploy strategy (rolling default, blue/green via dual-app DNS swap), cost (instance + bandwidth + build minutes), limits (12 svc/app, no exec, no persistent disk).

DigitalOcean Kubernetes (DOKS) disipline — cluster provisioning (HA control plane, VPC, surge upgrade, maintenance window), node pool design (auto-scale, multi-pool, label/taint, dedicated vs shared CPU), networking (DO Load Balancer annotation, Cilium NetworkPolicy, proxy protocol), storage (DO Block Storage RWO, Spaces RWX), security (PAT scope, kubeconfig rotation, audit log), observability (DO Monitoring + Prometheus), cost (LB bandwidth, block storage, egress), backup (Velero + Spaces), CI/CD (doctl + DOCR), DR drill, K8s sürüm yönetimi.

DigitalOcean Spaces (DOS) S3-compatible object storage disipline — bucket design (env prefix, purpose-based, lowercase DNS-safe), access control (default private, bucket policy, CORS explicit), pre-signed URL (15dk expire, Content-Length + Content-Type conditions), lifecycle (Expiration + Abort incomplete MPU), versioning yok / WORM app-level, CDN edge cache (built-in Cloudflare, custom domain + Let's Encrypt, Cache-Control immutable), performance (multipart > 100MB, parallel 4-8, intra-region ücretsiz), cost (250GB+1TB free, lifecycle ghost cost önle), DR (rclone cross-region replication), encryption (TLS 1.2+, SSE managed; SSE-C yok).

Lifecycle'ın "A"sı — INVEST user story, acceptance criteria (Gherkin Given/When/Then), assumption tracking, NFR (latency/availability/scale), non-goal tanımı, risk + open question. Kod öncesi disipline.

Dockerfile, image, container ve compose sorunlarını teşhis etme — boyut, layer cache, runtime crash, healthcheck, network, mount.

Epic-level multi-agent ekip orkestrasyonu — vertical slice + dependency graph + critical path + parallel agent assignment + cross-team blocker mediation + weekly burndown. ≥ 2 sprint / ≥ 13 point feature için.

A/B testing + feature flag disiplini. Hypothesis design, MDE + power + sample size hesabı, SRM check, guardrail metric, sequential testing korumalı ramp, decision rubric (ship/kill/iterate), flag lifecycle (release/experiment/ops/permission), stale flag cleanup.

Bulut maliyet review — right-sizing, idle detection, reserved/spot, egress, DB/storage tier, image retention, tag policy, FinOps maturity (Crawl/Walk/Run), anomaly alert.

Full-stack mimari review — frontend, BFF/API, DB, cache, queue, realtime, ingress, deployment topolojisi.

GitOps platform review — ArgoCD / Flux / Argo Rollouts. App-of-apps, sync policy, sealed-secrets, progressive delivery (canary/blue-green), drift, RBAC. K8s'in deploy katmanı disiplini.

Go backend (net/http / gRPC / chi / gin / cobra) review — concurrency, error, interface, perf, test.

gRPC + Protobuf proto3 disipline — schema (field number + reserved + well-known types), 4 call types (unary/server-stream/client-stream/bidi), deadline propagation, gRPC status code + rich error details, schema evolution (buf breaking), metadata + interceptors (auth/log/trace), mTLS, LB (client-side/proxy/xDS), streaming backpressure, grpc-gateway (REST), grpc-web (browser) ve Connect, reflection.

HTTP/1.1, HTTP/2, HTTP/3 protokol disipline — method semantic + idempotency, status code, cache header (Cache-Control, ETag, Vary, stale-while-revalidate), CORS preflight + Vary:Origin, TLS 1.2+/HSTS/ALPN, compression (br/zstd/gzip), HTTP/2 multiplex, HTTP/3 QUIC Alt-Svc, conditional GET (304), Range requests, webhook HMAC signing, SSE, connection pool sizing.

Terraform / Pulumi / CloudFormation review — state management, module contract, plan output, drift detection, security scan (tfsec/checkov/OPA), cost diff (Infracost). Plan ≠ apply disiplini.

Production incident triage, stabilizasyon, forensics, communication ve postmortem disiplini.

Pod CrashLoop, ImagePull, Pending, OOMKilled, probe fail, service trafik gitmeme gibi K8s sorunlarını sistemli teşhis.

Production LLM application disipline — prompt engineering (versionlu, structured output, Anthropic prompt cache) + eval harness (golden set + LLM-as-judge + CI gate) + cost budget (token + cache hit + PR-time delta) + RAG architecture (chunking + embedding + vector DB + reranker + RAGAS eval) + provider abstraction. Model-agnostic core; Anthropic SDK Claude-leaning örnekler. `llm-engineer` agent sahiplenir.

Monolith → microservice strangler-fig disipline. Bounded context (DDD) bağı, extraction prioritization skor, ACL (Anti-Corruption Layer), database split (shared schema → ayrı DB), consumer-driven contract test, operational readiness gate, 90 gün rollback window, saga/outbox distributed transaction, Conway's law, distributed monolith smell.

Nginx reverse proxy, WebSocket upgrade, TLS, rate-limit ve security header konfigürasyonu review/fix.

Node.js (Express/Fastify) backend review — async, validation, memory, security, observability.

Yeni servis observability bootstrap — structured log + RED/USE metric + OTel trace + SLO/SLI tanımı + actionable alert + 3-tier dashboard. Stack-agnostic (Prometheus/Loki/Tempo veya Datadog/Honeycomb).

OWASP Top 10 (2021) review disipline — A01 Broken Access Control (IDOR, CORS, JWT scope, force browse), A02 Cryptographic Failures (TLS 1.2+, HSTS, argon2id, secret manager, log redact), A03 Injection (parameterized query, allowlist input, output encoding, shell=False), A04 Insecure Design (threat model, misuse case, defense-in-depth, rate limit), A05 Security Misconfiguration (security header, default cred, verbose error, container hardening), A06 Vulnerable Components (SBOM, CVE SLA, EOL stack), A07 Auth Failures (MFA, session rotation, JWT validate, OAuth PKCE/state), A08 Integrity (signed CI/CD, SLSA, deserialization safe, webhook HMAC), A09 Logging Failures (auth event, WORM, PII redact, alert), A10 SSRF (URL allowlist, metadata block, DNS rebind). CI gate önerisi (gitleaks, semgrep, trivy, OSV, ZAP).

Performance budget tanımı + CI enforcement. Web Vitals (LCP/INP/CLS), JS/CSS bundle size, API p95/p99 latency, DB query, memory/CPU, cost budget. PR-time gate (size-limit, Lighthouse CI, k6 threshold). RUM authoritative (CrUX/Datadog/SpeedCurve). Regression detection trend-based.

Yavaş query, index, lock, connection ve migration performans teşhisi.

Blameless postmortem + RCA disiplini — timeline, 5-why kök neden, contributing factor, action item (sahip+tarih), follow-through tracking. Incident sonrası **kişisel suçlama yok**, **sistemik sebep**.

GDPR/KVKK/CCPA/LGPD operationalization — PII inventory + data flow + consent event + DSR automation (access/erasure/portability) + pseudonymization (KMS pepper) + retention enforcement + DPIA gate + sub-processor DPA + cross-border transfer SCC. Kod seviyesinde mekanizma; compliance theatre değil.

Property-based testing (PBT) disipline — Python Hypothesis + TypeScript fast-check + Go gopter + Schemathesis (OpenAPI). Generator + shrinking + stateful PBT + regression seed corpus + CI integration. Property tasarım hiyerarşisi (invariant > round-trip > idempotency > oracle > metamorphic), Schemathesis ile spec-driven test, regression seed kalıcılığı. test-engineer'a destek olan teknik skill.

Python backend (FastAPI / Django / DRF / Celery / Channels) review — async hijyeni, type, ORM, güvenlik, test.

Test strateji + piramidi (unit/integration/e2e/contract/load), pyramid violation (ice-cream cone, hourglass) tespit, stack başına tooling, coverage threshold, mutation testing, exploratory + bug bash + UAT protokolü, quality gate beyond CI.

React + Vite frontend review/debug — re-render, state, a11y, bundle, HMR, env, prod build.

Redis disipline — cache (eviction policy + TTL jitter + stampede mitigation) + pub-sub backplane (multi-replica WS fanout, subscriber leak) + rate limit (token bucket Lua atomic) + ops (memory audit + slow log + persistence) + Sentinel HA. Cluster ileri sürümde. Streams + distributed lock scope dışında. `database-optimizer` Postgres tarafı; bu skill Redis tarafı.

Release planı — Conventional Commits→CHANGELOG, semver karar (feat→minor/fix→patch/breaking→major), sunset planı, feature flag lifecycle, rollback komutu yanıbaşında, multi-service koordinasyon.

Container, K8s, CI/CD ve runtime security review.

SemVer 2.0.0 disipline — public surface tanımı (lib/REST/gRPC/event/DB/CLI), breaking change taxonomy, bump decision tree, pre-release tags (alpha/beta/rc), multi-version support policy, deprecation workflow (T-90/T-30/T-7/T-0 + RFC 8594 Sunset + RFC 9745 Deprecation header), monorepo strategy (independent vs fixed vs CalVer), tooling (semantic-release/changesets/release-please/goreleaser), CI breaking detect (openapi-diff/buf).

Backstage/Port/Cortex Internal Developer Platform (IDP) — service catalog ownership + lifecycle + tier + scorecard + tech radar + self-service template + API discovery + dependency graph. "Sahipsiz servis orphan" disipline.

Istio/Linkerd service mesh review + design. mTLS strict, traffic shifting (canary/blue-green), retry/timeout/circuit breaker (idempotency-aware), zero-trust authz (SPIFFE/ServiceAccount identity), failure injection, observability (RED metric + B3/W3C trace + access log). No-mesh → mesh migration faz planı.

Plugin template'lerini (Docker / Compose / K8s / Helm / Nginx / PgBouncer / Redis / GitHub Actions / Runbook) projeye dry-run + onay + placeholder düzelt prosedürüyle uygular.

STRIDE bazlı threat modeling — asset inventory, trust boundary, data flow diagram, abuse case, risk skoru (DREAD/CVSS), mitigation tracking. Security review'un proaktif yüzü.

WebSocket protocol, lifecycle, scale, proxy ve observability.

9 hooks across 3 events

GitHub MCP — PR review, issue triage, branch op.

Filesystem MCP — proje dosyaları (ENV ile kök dizin sınırlı).

Docker MCP — image, container, compose inspect (read-only öneri).

Kubernetes MCP — pod/deploy/svc/event read; readonly mod önerilir.

Postgres MCP — read-only query (replica/explain için ayrı kullanıcı).

Redis MCP — read-only inspect (INFO, CLIENT LIST, SLOWLOG, MEMORY USAGE, PUBSUB CHANNELS). Yazma komutları (SET/DEL/CONFIG SET) kullanıcı onayı ister; üretimde ayrı read-only AUTH kullanıcısı.

Browser/devtools MCP — frontend smoke, console error, network panel screenshot.

Loki/Grafana MCP — log query (LogQL), incident sırasında forensic.

Sentry MCP — error/event triage, issue search, release health, stack trace inspect. Token scope: org:read + project:read + event:read minimum.