Automatisierung des Reverse Engineerings: Wie GITVERSE Codebasen in Architektur-Prompts übersetzt
von Denis Shokhirev, Enterprise AI Architect aus Erlangen. Bei DennisCraft AI Studio setze ich produktive KI-Agenten für DACH-B2B-Kunden um – auf Basis von Claude, Supabase, n8n, Doppler und selbstgehosteter Postgres. In den letzten 6 Monaten habe ich 14 produktive Agenten ausgeliefert. Der typische Engpass: Veraltete, schlecht dokumentierte Codebasen kosten Tage beim Reverse Engineering, bevor Automatisierung überhaupt starten kann. Reverse Engineering als Flaschenhals in regulierten Märkten
von Denis Shokhirev, Enterprise AI Architect aus Erlangen. Bei DennisCraft AI Studio setze ich produktive KI-Agenten für DACH-B2B-Kunden um – auf Basis von Claude, Supabase, n8n, Doppler und selbstgehosteter Postgres. In den letzten 6 Monaten habe ich 14 produktive Agenten ausgeliefert. Der typische Engpass: Veraltete, schlecht dokumentierte Codebasen kosten Tage beim Reverse Engineering, bevor Automatisierung überhaupt starten kann.
Reverse Engineering als Flaschenhals in regulierten Märkten
In DACH-Projekten fehlt oft aktuelle Dokumentation, Architekturdiagramme oder klare Modulgrenzen. Jede neue Codebasis bedeutet 2–4 Tage manuelle Überprüfung, Abhängigkeiten nachziehen, versteckte Risiken identifizieren. Ohne diese Schritte ist eine stabile Bereitstellung von KI-Agenten im Compliance-Umfeld nicht möglich.
Compliance-Verpflichtungen und menschliche Fehler
DSGVO, ISO 27001 oder BSI Grundschutz fordern lückenlose Nachvollziehbarkeit der Architektur. Fehlende Datenflüsse oder verdeckte Endpunkte bedeuten schnell eine Woche Bugfixing oder ein Compliance-Risiko. Automatisiertes Reverse Engineering ist keine Komfortfunktion, sondern eine Produktionsnotwendigkeit.
GITVERSE-Pattern: Von Code zu strukturierten Prompts
GITVERSE ist für mich kein Produkt, sondern ein erprobtes Muster: Mittels LLMs, statischer Analyse und Codesuche werden Architektur- und Design-Prompts direkt aus dem Code extrahiert. Ziel: Strukturierte Kontextinfos für KI-Agenten, ohne manuelle Dokumentation.
Automatisierungspipeline im Detail
- Repository klonen und für semantische Suche indizieren (Supabase als Vektor-Storage).
- Statische Analyse mit semgrep, bandit und gitleaks: Auffinden von Mustern, Schwachstellen und Antipatterns.
- Automatische Generierung von Architektur-Prompts: Modulbeschreibungen, Datenmodelle, Abhängigkeitsdiagramme.
- Orchestrierung in n8n bei jedem Pull Request, Berichte in Postgres – für Audit-Trails und Compliance.
import subprocess
def run_semgrep(pfad):
result = subprocess.run(
["semgrep", "--config", "auto", pfad],
capture_output=True, text=True)
return result.stdout
def architektur_prompt(codebase_pfad):
bericht = run_semgrep(codebase_pfad)
prompt = f"Extrahiere Modulgrenzen, Datenmodelle und Abhängigkeiten:\n{bericht}"
# LLM-Aufruf (z.B. Claude) – in der Praxis mit API-Key/SDK
return prompt
Vergleich: Welche Tools bringen echten Mehrwert?
| Tool | Zweck | Beitrag zum GITVERSE-Prozess |
|---|---|---|
| semgrep | Mustererkennung, Code Smells, Datenflussanalyse | Findet versteckte Abhängigkeiten und Architekturfehler schnell |
| bandit | Sicherheitsprüfung für Python-Code | Markiert unsichere Imports, SQL-Injection, Hardcoded-Secrets |
| gitleaks | Suche nach Geheimnissen (Credentials, API-Keys) | Automatischer Credential-Check im Audit |
| n8n | Workflow-Orchestrierung | Automatisiert Analyse und Prompt-Generierung bei jedem PR |
Architektur-Prompts: Von statischer Analyse zum LLM
Strukturierte Prompt-Generierung
Manuell Prompts für LLMs zu schreiben ist nicht skalierbar. Ich entwickle Templates, die sich automatisch mit Analyseergebnissen füllen – etwa Modulübersichten, Datenmodelle, Systemdiagramme – und dann an Claude oder GPT-4 weitergegeben werden.
def baue_prompt(analyse):
return (
"Sie sind Software-Architekt. Beschreiben Sie auf Basis der Analyse die Architektur:\n"
f"{analyse}\n"
"Struktur: [Module], [Datenfluss], [Abhängigkeiten], [Risiken]."
)
Validierung und Optimierung
Jedes Template teste ich an echten Produktiv-Codebasen und vergleiche LLM-Ausgaben mit manuell extrahierter Architektur. Werden Beziehungen falsch erkannt, passe ich das Template oder die Analyse an.
Integration in CI/CD und Audit für Compliance
DACH-Kunden erwarten, dass jeder Pull Request automatisch eine Reverse-Engineering-Pipeline durchläuft und prüfbare Berichte erzeugt. Meine Lösung: n8n steuert die Analyse, Ergebnisse landen in Supabase oder Postgres, Benachrichtigungen gehen an Slack/Teams. So entsteht ein Audit-Trail für ISO 27001, DSGVO oder NIS2.
name: reverse-engineering
on: [pull_request]
jobs:
audit:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Statische Analyse
run: semgrep --config auto .
- name: Prompt-Generierung
run: python generate_prompts.py
- name: Ergebnisse speichern
run: curl -X POST https://mein-supabase-url/reports
FAQ
Welches Tool bringt den größten Mehrwert im Reverse Engineering?
semgrep – deckt besonders schnell komplexe Muster und Abhängigkeitsprobleme auf, die bandit oder gitleaks nicht finden.
Wie stabil sind LLM-generierte Architektur-Prompts im Betrieb?
Die Stabilität steigt mit optimierten Templates. Anfangs wurden oft Modulgrenzen falsch erkannt, nach Anpassungen liegt die Trefferquote bei über 85 % (manuelle Validierung).
Lässt sich die CI/CD-Integration für kleine Projekte weglassen?
Für Prototypen eventuell, aber eine prüfbare Automatisierung ist für Compliance im DACH-Markt unerlässlich.
Wie gehen Sie mit NDA-geschützten oder teils geschlossenen Codebasen um?
Ich setze auf selbstgehostete Postgres-Instanzen und isolierte Pipelines. LLM-Requests laufen on-prem oder über abgesicherte APIs.
Wie schnell lässt sich ein GITVERSE-Pipeline nachrüsten?
In 1–2 Tagen sind semgrep, bandit, n8n und Templates eingerichtet. Die größte Hürde: Anpassung an kundenspezifische Code-Strukturen.
An welcher Stelle im Reverse Engineering entdecken Sie die meisten Architektur-Risiken: Statische Analyse, manuelles Review oder erst bei der KI-Integration? Konkrete Praxisfälle interessieren mich. Ich biete einen kostenlosen 30-min Stack-Audit für DACH-B2B-Teams mit KI-Projekten im regulierten Umfeld. Kontaktieren Sie mich auf LinkedIn oder unter @ger_dennis_ai.
Turn your process into an AI system
Fixed price. Production quality. DACH B2B focus.