Заказчик навайбкодил сервис на 70к строк и принес доводить до прода. Зря я взялся

[gowizard]

Фриланс, в основном веб. В мае пришел заказчик, владелец сети автосервисов, не программист. За три месяца в Cursor навайбкодил себе систему онлайн-записи: Next.js, Supabase, 70к строк. И она даже работает, восемь точек реально пользуются.
Дальше он захотел продавать ее другим сервисам и принес мне, доведи до прода. Полез внутрь: миграций нет, схема менялась руками через дашборд. RLS политики дырявые, любой авторизованный видит записи чужих автосервисов простым запросом к REST. Расчет стоимости работ скопирован в четырех местах с немного разной логикой, какая из них правильная не знает никто. Сервисный ключ Supabase лежит в клиентском бандле.
Оценил месяц и 200к рублей. На второй неделе понял что дешевле переписать ядро. А заказчик любую мою правку встречает в штыки, у него же все работало, а я по его ощущениям только ломаю. Расскажите как вы оцениваете такие проекты чтобы не вляпываться, ну или просто посмейтесь.

[infern]

200к за месяц разгребания чужой свалки это ты сам себя на дно рынка положил. такое берется только по часам, фикспрайс на проект неизвестного качества это казино где банкуешь не ты

[marianna]

На второй неделе понял что дешевле переписать ядро

вот здесь главная ошибка, и она не техническая. Слово переписать заказчику говорить нельзя никогда, для него это значит выкинуть то за что он уже заплатил тремя месяцами своей жизни. Подача другая: фиксируем текущее поведение тестами, потом наводим порядок внутри, снаружи ничего не меняется. Characterization tests по живым сценариям, их кстати агент же отлично и генерит. Заказчик видит что все работает как раньше, ты спокойно меняешь кишки.

[juniorredteam]

Про дырявый RLS, это не мелочь и не задвигай ее в конец списка. Знакомый разгребал похожий вайбкод, там база клиентов с телефонами торчала наружу. Кончилось жалобой, проверкой РКН и штрафом по 152-ФЗ. Так что покажи заказчику как его данные читаются чужим аккаунтом, прямо при нем, с его же телефона. После такой демонстрации разговоры что ты все ломаешь обычно заканчиваются.

[jownby]

вайбкодеры это новый рынок работы для нас. не ной, а благодари лол

[postgres_andy]

@juniorredteam, а стек какой? если это некст с супабейзом, так там RLS из коробки же, включил и забыл, что вы там неделями чините

[arsa4soles]

там RLS из коробки же, включил и забыл

ты ОП по диагонали читал? стек назван в первом же абзаце. и RLS из коробки выключен, его надо включить на каждой таблице и написать политики. вайбкодер их даже написал, спросил у агента, агент сделал using true чтобы ничего не падало. вот тебе и из коробки

[theopal]

@marianna, Делаю такие проекты регулярно, схема устаканилась. Сначала продаю аудит на 2-3 дня за 40-60к, без обязательств по починке. На выходе документ: список дыр с серьезностью и оценка работ по каждой. Дальше заказчик сам решает что чинить, и торгуется уже не с моими хотелками, а со списком который сам же оплатил. Психологически совсем другой разговор, ты больше не человек который ломает рабочее, ты исполнитель утвержденного плана. Конверсия таких аудитов в нормальные контракты у меня выше половины.

[postgres2]

Сначала продаю аудит на 2-3 дня за 40-60к

поддержу и дополню: в аудит первым пунктом гонять gitleaks по репе и смотреть клиентский бандл на ключи. у вайбкоженных проектов сервисный ключ во фронте в девяти случаях из десяти, и это самый наглядный пункт для непрограммиста. открываешь его базу через curl без пароля у него на глазах, и вопрос а зачем вообще что-то чинить отпадает навсегда

[delphin]

открываешь его базу через curl без пароля у него на глазах

работает безотказно, сам так делал. только показывай на копии а не на боевой, а то один раз заказчик увидел как я тяну его клиентов курлом и решил что это я их и слил. демонстрируй на тестовом стенде с фейковыми данными, нервы целее