SilwayApp Codecheck

Referans hedef:

• Ürün: ryva.dev
• Video: Ryva walkthrough
• Multitenancy breakdown: Convex multitenancy in Ryva
• Teknik breakdown: How Ryva works under the hood
• İzlenilmesi gereken adımlar: The real reason Ryva is hard to copy

Hedef: Silway'i prototip/vibe-coded halinden çıkarıp Ryva'nın 7 günde güvenli ve tam çalışan core ürün çıkarma hızına daha yakın, production-grade bir yapıya taşımak.

Karar

Henüz production-ready değil.

Ürün yönü iyi, ama mevcut implementasyonda kritik güvenlik sınırı hataları, tutarsız AI runtime, boş database migration'ları, backend/AI tarafında başarısız TypeScript build'leri, frontend lint hataları, mock UI yüzeyleri ve operasyonel SaaS yerine dekoratif hissettiren bir tasarım sistemi var.

MVP için en hızlı yol stack'i sadeleştirmek olabilir:

• Her şeyi Next.js + TypeScript'e taşımak.
• App verisi/control plane için Supabase yerine Convex kullanmak.
• Auth, org ve MVP billing için Clerk kullanmak.
• Agent/AI tarafında Vercel AI SDK + Vercel AI Gateway kullanmak.
• Deploy için Docker Compose yerine Vercel'e geçmek.
• Paket yöneticisi olarak npm yerine pnpm'e geçmek.
• AI agent'ların tutarlı build edebilmesi için repo içine docs ve agent talimatları eklemek.

Mutlaka Düzeltilmeli

1. Public service-role route'ları

Dosyalar:

• backend/src/index.ts:27-30
• backend/src/routes/profile.ts:14-51
• backend/src/routes/setup.ts:43-107
• backend/src/routes/genesis.ts:111-166

Problem: /api/setup, /api/genesis ve /api/profile public mount edilmiş ama Supabase service-role client kullanıyor. X-User-Id, user_id ve request'ten gelen role alanına güveniliyor.

Etki: Auth olmadan profile mutate edilebilir, admin atanabilir, kullanıcılar org'lara bağlanabilir.

Fix: Tüm service-role write işlemlerinde doğrulanmış auth zorunlu olmalı, user/role server-side çıkarılmalı, client'tan gelen identity/role alanları yetki kaynağı olmamalı.

2. Genesis link üretimi public

Dosyalar:

• backend/src/routes/genesis.ts:36-68
• frontend/middleware.ts:14-25
• frontend/app/admin/genesis/page.tsx:32-40

Problem: Herkes /api/genesis/create çağırıp onboarding token/link alabiliyor. /admin route'u da middleware tarafından bypass ediliyor.

Fix: /admin ve /api/genesis/create admin-only auth ile korunmalı, rate limit eklenmeli, token üretimi audit edilmeli.

3. AI path backend güvenliğini bypass ediyor

Dosyalar:

• frontend/lib/api.ts:25-32
• backend/src/index.ts:24-25
• ai-engine/core/server.py:19-24
• docker-compose.yml:21-25

Problem: Frontend direkt http://localhost:3002/chat endpoint'ine post ediyor. Böylece authenticated /api/chat, org scoping ve persistence bypass ediliyor. AI service CORS'u da wildcard.

Fix: Browser sadece authenticated backend'i çağırmalı. AI service backend'e private kalmalı veya internal service token istemeli.

4. Backend ve AI contract uyuşmuyor

Dosyalar:

• ai-engine/Dockerfile:1-13
• ai-engine/package.json:5-8
• ai-engine/core/server.py:118-120
• backend/src/routes/chat.ts:160-173

Problem: AI Dockerfile/package script'leri Node/TS server bekliyor, ama gerçek server Python/FastAPI. Backend /generate çağırıyor; Python /chat expose ediyor. Stream protokolleri farklı.

Fix: Tek runtime ve tek stream contract seçilmeli. Güçlü öneri: AI runtime'ı TypeScript'e taşıyıp Vercel AI SDK kullanmak.

5. Data integrity açıkları

Dosyalar:

• backend/src/routes/genesis.ts:127-185
• backend/src/routes/chat.ts:33-43
• backend/src/routes/chat.ts:133-135

Problemler:

• Genesis consume atomic değil.
• Conversation upsert, client'ın verdiği ID üzerinden created_by ve org_id overwrite edebiliyor.

Fix:

• Genesis token önce atomic claim edilmeli, sonra org/profile oluşturulmalı.
• Conversation ID'leri server-side üretilmeli.
• Var olan conversation için id + org_id + created_by ile ownership kontrol edilmeli.

6. Database source of truth yok

Dosyalar:

• backend/supabase/migrations/001_initial_schema.sql
• backend/supabase/migrations/002_genesis_tokens.sql
• DATABASE.md:3-47

Problem: Migration dosyaları boş; schema/RLS sadece dokümanda var.

Supabase kalacaksa: gerçek migration, constraint, index, RLS policy ve transactional RPC yazılmalı.

Daha iyi MVP önerisi: app verisini Convex'e taşımak. Convex schema, query, mutation, action, realtime sync ve generated client API'leri TypeScript'te tuttuğu için AI agent'ların güvenli şekilde geliştirmesi split SQL + Node + Python yapısına göre daha hızlı ve kolay olur. Ryva referansı için özellikle Convex multitenancy in Ryva okunmalı.

Code Quality Bulguları

Build ve test yüzeyi zayıf

Dosyalar:

• backend/tsconfig.json:6-16
• ai-engine/tsconfig.json:6-13
• backend/package.json:5-9
• frontend/package.json:5-9
• ai-engine/package.json:5-8

Bulgular:

• Backend TypeScript build fail ediyor.
• AI TypeScript build fail ediyor.
• Frontend next build başarılı.
• Frontend eslint çalışıyor ama 19 error / 18 warning ile fail ediyor.
• Test script'i ve app test dosyası yok.

Fix:

• Shared TypeScript packaging düzeltilmeli.
• Auth, onboarding, chat ve ownership için integration test eklenmeli.
• Agent'lar için root seviyede tek task runner script'i olmalı.

Repo hygiene kötü

Dosyalar:

• .gitignore:1-2
• ai-engine/venv/**
• ai-engine/core/__pycache__/**
• ai-engine/server.log

Problem: virtualenv, pycache ve log dosyaları tracked.

Fix: generated artifact'lar git'ten çıkarılmalı, .gitignore genişletilmeli, Docker kalacaksa .dockerignore eklenmeli.

Ürün ekranları mock-first

Dosyalar:

• frontend/app/[slug]/workspace/page.tsx:44-103
• frontend/app/[slug]/workspace/team/page.tsx:7-13
• frontend/app/[slug]/workspace/settings/page.tsx:46-211
• frontend/app/[slug]/workspace/sources/page.tsx:41-85

Problem: UI gerçek aksiyon alınabilir gibi görünüyor ama çoğu local state veya hard-coded value.

Fix: Ya gerçek persistence bağlanmalı ya da desteklenmeyen kontroller açıkça disabled olmalı.

Design Bulguları

Mevcut tasarım fazla dekoratif:

• centered onboarding hero'ları;
• glass card'lar;
• radial gradient'ler;
• Lottie/leaf decoration;
• büyük display type;
• çok fazla izole card;
• mobile/tablet blackout;
• "data arteries", "neural network" gibi metafor copy.

Dosyalar:

• frontend/app/globals.css:87-95
• frontend/app/genesis/welcome/page.tsx:51-159
• frontend/components/genesis/BackgroundDecorator.tsx
• frontend/app/genesis/invite/page.tsx:128-137
• frontend/app/[slug]/workspace/sources/page.tsx:88-190
• frontend/app/[slug]/workspace/page.tsx:35-103

Hedef yön:

• Ryva gibi sparse SaaS dashboard;
• persistent left sidebar;
• compact page header;
• marketing card yerine dense table/list;
• neutral white/zinc palette;
• 1px border;
• 6-8px radius;
• minimal shadow;
• glass/radial decorative background yok;
• gerçek workflow panelleri: projects, decisions, sources, owner, status, last sync, timestamps.

Agent design kuralları:

• Landing/hero yerine önce gerçek product screen build et.
• Operasyonel data için table/list kullan.
• Typography compact ve predictable olsun.
• Icon'ları sadece scan etmeyi kolaylaştırıyorsa kullan.
• Visible focus state bırak.
• State anlatmıyorsa decorative animation kullanma.
• Mobile'ı bloklama; sidebar collapse et.

Stack Sadeleştirme Önerileri

1. Supabase yerine Convex

App database ve backend functions için Convex kullan.

Neden:

• TypeScript schema, query, mutation ve action.
• Agent'lar data access'i daha kolay anlar.
• SQL migration, RLS, service-role route ve frontend type split-brain'i azalır.
• Realtime data modelin içinde gelir.
• Ryva'nın multitenancy/data-control yaklaşımına daha yakın bir geliştirme modeli verir.

2. Auth, org ve MVP billing için Clerk

Auth ve org'lar için Clerk, MVP subscription için Clerk Billing kullan.

Neden:

• Auth/org setup daha hızlı.
• Protected route hikayesi daha temiz.
• Billing user/org'a bağlanabilir, custom Stripe sync layer'ını hemen yazmak gerekmez.
• Clerk'in Convex integration dokümanı var.

3. Vercel AI SDK ve AI Gateway

Agent'lar için Vercel AI SDK agents ve Vercel AI Gateway kullan.

Neden:

• Tek TypeScript AI surface.
• Streaming UI daha kolay.
• Provider switching daha kolay.
• AI routing/billing/observability pattern'ları merkezi.
• Mevcut Python/Node/Express stream mismatch'i kalkar.

4. Her şeyi TypeScript'e taşı

Öneri:

• MVP için Python AI service'i kaldır.
• Zorunlu sebep yoksa ayrı Express backend'i kaldır.
• App logic'i Next.js route handler/server action + Convex function'larına taşı.
• Shared type'lar gerçek backend function'lardan gelsin.

Neden:

• Agent'lar için tek dil.
• Daha az context switching.
• AI-assisted implementation daha hızlı.
• Refactor ve test daha kolay.

5. Paket yöneticisi olarak pnpm'e geç

Öneri:

• npm lockfile'ları yerine workspace-aware pnpm kullan.
• Root pnpm-workspace.yaml ekle.
• frontend, backend ve geçiş sürecindeki paketleri workspace package olarak yönet.
• CI/agent komutlarını pnpm install --frozen-lockfile, pnpm -C frontend build, pnpm -C frontend lint gibi netleştir.

Neden:

• Monorepo/workspace yönetimi daha temiz.
• Daha hızlı install.
• Daha deterministik lockfile.
• Agent'ların hangi package içinde hangi komutu çalıştıracağı daha net olur.

6. MVP deploy için Docker Compose'u kaldır

Vercel for Next.js kullan.

Neden:

• Daha hızlı deploy loop.
• Agent'ların maintain edeceği infra azalır.
• Preview deployment product/design iteration'ı hızlandırır.
• Mevcut Dockerfile'lar zaten dev server çalıştırıyor, production artifact değil.

7. Repo-local agent docs ekle

Oluştur:

• /docs/architecture.md
• /docs/security.md
• /docs/data-model.md
• /docs/ui-guidelines.md
• /docs/agent-playbook.md
• AGENTS.md
• opsiyonel repo-local agent config'leri: agents/ veya .codex/agents/

Neden:

• Agent'ların security, data boundary ve UI taste'i koruması için stabil kurallar gerekir.
• Ryva benzeri hızı prototype debt biriktirmeden tekrar etmeyi sağlar.

8. AI agent altyapı seçenekleri

Kullanılabilecek araçlar:

• Memory için mem0.
• Third-party integration/tooling için Composio.
• Güvenli AI code execution için Vercel Sandbox veya E2B.
• Doküman parsing ve document-understanding agent'ları için LlamaIndex / LlamaParse.
• Claude Code benzeri CLI arayüz istenirse React tabanlı terminal UI için Ink.

Neden:

• Agent memory ayrı bir katman olursa ürün içi asistan geçmiş kararları ve kullanıcı tercihlerini daha iyi taşıyabilir.
• Composio entegrasyonları Slack, GitHub, Gmail, Linear gibi tool bağlantılarını hızlı açar.
• Sandbox execution agent'ların kod çalıştırmasını ana deploy/runtime'dan izole eder.
• LlamaParse manuel doküman işleme saatlerini VLM destekli saniyelik otomasyona çevirebilir.
• Ink ile internal CLI ya da agent operator UX'i hızlıca oluşturulabilir.

Agent mimarisi için How Ryva works under the hood ve ürün moat/differentiation tarafı için The real reason Ryva is hard to copy referans alınmalı. Amaç sadece tool eklemek değil; memory, integrations, decision state ve UI feedback loop'unu tek ürün davranışı gibi çalıştırmak.

Önerilen Sıra

1. Stack kararını ver: mevcut stack mi, yoksa Next + Convex + Clerk + Vercel AI SDK mı?
2. Auth boundary'yi hemen düzelt.
3. Chat'i tek authenticated backend path'e bağla.
4. Data source of truth'u gerçek yap.
5. Tracked generated artifact'ları kaldır.
6. Auth, onboarding, chat ve ownership testleri ekle.
7. Starter/root page'i değiştir.
8. Dashboard/sources/team/settings ekranlarını Ryva gibi dense work surface olarak redesign et.
9. /docs ve agent instruction'ları ekle.
10. Agent altyapısı için memory, integrations, sandbox ve document parsing kararlarını ver.
11. Vercel preview deploy flow'a geç.

Audit sonuçları:

• Backend: 2 moderate npm vulnerability.
• Frontend: 2 moderate npm vulnerability.
• AI engine: 0 npm vulnerability.