About Portfolio Services Blog Contact
EN DE RU
Let's talk →
July 15, 2026 · 3 min read

Automatisierung des Reverse Engineerings: Wie GITVERSE Codebasen in Architektur-Prompts übersetzt

von Denis Shokhirev, Enterprise AI Architect aus Erlangen. Bei DennisCraft AI Studio setze ich produktive KI-Agenten für DACH-B2B-Kunden um – auf Basis von Claude, Supabase, n8n, Doppler und selbstgehosteter Postgres. In den letzten 6 Monaten habe ich 14 produktive Agenten ausgeliefert. Der typische Engpass: Veraltete, schlecht dokumentierte Codebasen kosten Tage beim Reverse Engineering, bevor Automatisierung überhaupt starten kann. Reverse Engineering als Flaschenhals in regulierten Märkten

Denis Shokhirev
Denis Shokhirev
Enterprise AI Architect
Telegram LinkedIn

von Denis Shokhirev, Enterprise AI Architect aus Erlangen. Bei DennisCraft AI Studio setze ich produktive KI-Agenten für DACH-B2B-Kunden um – auf Basis von Claude, Supabase, n8n, Doppler und selbstgehosteter Postgres. In den letzten 6 Monaten habe ich 14 produktive Agenten ausgeliefert. Der typische Engpass: Veraltete, schlecht dokumentierte Codebasen kosten Tage beim Reverse Engineering, bevor Automatisierung überhaupt starten kann.

Reverse Engineering als Flaschenhals in regulierten Märkten

In DACH-Projekten fehlt oft aktuelle Dokumentation, Architekturdiagramme oder klare Modulgrenzen. Jede neue Codebasis bedeutet 2–4 Tage manuelle Überprüfung, Abhängigkeiten nachziehen, versteckte Risiken identifizieren. Ohne diese Schritte ist eine stabile Bereitstellung von KI-Agenten im Compliance-Umfeld nicht möglich.

Compliance-Verpflichtungen und menschliche Fehler

DSGVO, ISO 27001 oder BSI Grundschutz fordern lückenlose Nachvollziehbarkeit der Architektur. Fehlende Datenflüsse oder verdeckte Endpunkte bedeuten schnell eine Woche Bugfixing oder ein Compliance-Risiko. Automatisiertes Reverse Engineering ist keine Komfortfunktion, sondern eine Produktionsnotwendigkeit.

GITVERSE-Pattern: Von Code zu strukturierten Prompts

GITVERSE ist für mich kein Produkt, sondern ein erprobtes Muster: Mittels LLMs, statischer Analyse und Codesuche werden Architektur- und Design-Prompts direkt aus dem Code extrahiert. Ziel: Strukturierte Kontextinfos für KI-Agenten, ohne manuelle Dokumentation.

Automatisierungspipeline im Detail

  1. Repository klonen und für semantische Suche indizieren (Supabase als Vektor-Storage).
  2. Statische Analyse mit semgrep, bandit und gitleaks: Auffinden von Mustern, Schwachstellen und Antipatterns.
  3. Automatische Generierung von Architektur-Prompts: Modulbeschreibungen, Datenmodelle, Abhängigkeitsdiagramme.
  4. Orchestrierung in n8n bei jedem Pull Request, Berichte in Postgres – für Audit-Trails und Compliance.

import subprocess

def run_semgrep(pfad):
    result = subprocess.run(
        ["semgrep", "--config", "auto", pfad],
        capture_output=True, text=True)
    return result.stdout

def architektur_prompt(codebase_pfad):
    bericht = run_semgrep(codebase_pfad)
    prompt = f"Extrahiere Modulgrenzen, Datenmodelle und Abhängigkeiten:\n{bericht}"
    # LLM-Aufruf (z.B. Claude) – in der Praxis mit API-Key/SDK
    return prompt

Vergleich: Welche Tools bringen echten Mehrwert?

Tool Zweck Beitrag zum GITVERSE-Prozess
semgrep Mustererkennung, Code Smells, Datenflussanalyse Findet versteckte Abhängigkeiten und Architekturfehler schnell
bandit Sicherheitsprüfung für Python-Code Markiert unsichere Imports, SQL-Injection, Hardcoded-Secrets
gitleaks Suche nach Geheimnissen (Credentials, API-Keys) Automatischer Credential-Check im Audit
n8n Workflow-Orchestrierung Automatisiert Analyse und Prompt-Generierung bei jedem PR

Architektur-Prompts: Von statischer Analyse zum LLM

Strukturierte Prompt-Generierung

Manuell Prompts für LLMs zu schreiben ist nicht skalierbar. Ich entwickle Templates, die sich automatisch mit Analyseergebnissen füllen – etwa Modulübersichten, Datenmodelle, Systemdiagramme – und dann an Claude oder GPT-4 weitergegeben werden.


def baue_prompt(analyse):
    return (
        "Sie sind Software-Architekt. Beschreiben Sie auf Basis der Analyse die Architektur:\n"
        f"{analyse}\n"
        "Struktur: [Module], [Datenfluss], [Abhängigkeiten], [Risiken]."
    )

Validierung und Optimierung

Jedes Template teste ich an echten Produktiv-Codebasen und vergleiche LLM-Ausgaben mit manuell extrahierter Architektur. Werden Beziehungen falsch erkannt, passe ich das Template oder die Analyse an.

Integration in CI/CD und Audit für Compliance

DACH-Kunden erwarten, dass jeder Pull Request automatisch eine Reverse-Engineering-Pipeline durchläuft und prüfbare Berichte erzeugt. Meine Lösung: n8n steuert die Analyse, Ergebnisse landen in Supabase oder Postgres, Benachrichtigungen gehen an Slack/Teams. So entsteht ein Audit-Trail für ISO 27001, DSGVO oder NIS2.


name: reverse-engineering
on: [pull_request]
jobs:
  audit:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Statische Analyse
        run: semgrep --config auto .
      - name: Prompt-Generierung
        run: python generate_prompts.py
      - name: Ergebnisse speichern
        run: curl -X POST https://mein-supabase-url/reports

FAQ

Welches Tool bringt den größten Mehrwert im Reverse Engineering?

semgrep – deckt besonders schnell komplexe Muster und Abhängigkeitsprobleme auf, die bandit oder gitleaks nicht finden.

Wie stabil sind LLM-generierte Architektur-Prompts im Betrieb?

Die Stabilität steigt mit optimierten Templates. Anfangs wurden oft Modulgrenzen falsch erkannt, nach Anpassungen liegt die Trefferquote bei über 85 % (manuelle Validierung).

Lässt sich die CI/CD-Integration für kleine Projekte weglassen?

Für Prototypen eventuell, aber eine prüfbare Automatisierung ist für Compliance im DACH-Markt unerlässlich.

Wie gehen Sie mit NDA-geschützten oder teils geschlossenen Codebasen um?

Ich setze auf selbstgehostete Postgres-Instanzen und isolierte Pipelines. LLM-Requests laufen on-prem oder über abgesicherte APIs.

Wie schnell lässt sich ein GITVERSE-Pipeline nachrüsten?

In 1–2 Tagen sind semgrep, bandit, n8n und Templates eingerichtet. Die größte Hürde: Anpassung an kundenspezifische Code-Strukturen.

An welcher Stelle im Reverse Engineering entdecken Sie die meisten Architektur-Risiken: Statische Analyse, manuelles Review oder erst bei der KI-Integration? Konkrete Praxisfälle interessieren mich. Ich biete einen kostenlosen 30-min Stack-Audit für DACH-B2B-Teams mit KI-Projekten im regulierten Umfeld. Kontaktieren Sie mich auf LinkedIn oder unter @ger_dennis_ai.

Ready to build?

Turn your process into an AI system

Fixed price. Production quality. DACH B2B focus.

Start a project → ← All articles