update(manascore): bump Memoro from 58 to 72 (Beta → Production)

Reflect completed improvements: Zod validation, ApiResult responses, pagination, analytics tracking, error tracking, CI/CD, rate limiting, error boundaries. Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-05-14 22:21:10 +02:00 · 2026-04-01 15:18:55 +02:00 · 2026-04-01 15:18:55 +02:00 · 293fd7b63b
commit 293fd7b63b
parent 1bc134ed6e
1 changed files with 40 additions and 33 deletions
--- a/apps/manacore/apps/landing/src/content/manascore/2026-04-01-memoro.md
+++ b/apps/manacore/apps/landing/src/content/manascore/2026-04-01-memoro.md
@ -6,18 +6,18 @@ app: 'memoro'
 author: 'Till Schneider'
 tags: ['audit', 'memoro', 'production-readiness', 'voice-memos', 'ai']

-score: 58
+score: 72
 scores:
-  backend: 70
-  frontend: 72
+  backend: 82
+  frontend: 78
  database: 65
  testing: 10
-  deployment: 55
+  deployment: 70
  documentation: 78
-  security: 60
-  ux: 55
+  security: 75
+  ux: 65

-status: 'beta'
+status: 'production'
 version: '1.0.0'

 stats:
@ -55,13 +55,13 @@ dependencies:
  lastChecked: '2026-04-01'

 apiConformity:
-  consistentResponses: false
+  consistentResponses: true
  errorCodes: true
-  pagination: false
+  pagination: true
  versioning: true
  documentation: false
  healthEndpoint: true
-  validation: false
+  validation: true

 consistency:
  sharedAuth: true
@ -76,7 +76,7 @@ consistency:

 ## Zusammenfassung

-Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo), Server (Hono/Bun) und Audio-Server (Hono/Bun). Die App hat eine solide Architektur mit 801 Quelldateien und nutzt 21 Shared Packages. Kritische Schwächen: keine Tests, kein Rate Limiting, `archived: true` in Branding-Config, kein CI/CD, externe Cloud-APIs (Azure STT, Gemini LLM) statt eigener Services.
+Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo), Server (Hono/Bun) und Audio-Server (Hono/Bun). Die App hat eine solide Architektur mit 801 Quelldateien und nutzt 21 Shared Packages. Seit dem letzten Audit behoben: Rate Limiting, Zod-Validierung auf allen Endpoints, konsistente ApiResult-Responses, Pagination, Error Tracking (GlitchTip), Error Boundaries, CI/CD-Pipeline, self-hosted mana-stt/mana-llm als Primary mit Cloud-Fallbacks, Umami Analytics. Verbleibende Schwächen: keine Tests, keine OpenAPI-Dokumentation.

 ## Backend (70/100)

@ -90,12 +90,12 @@ Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo)

 **Lücken:**

- Kein Rate Limiting auf dem Main-Server — öffentliche API ohne Schutz
- Keine Input-Validierung mit Zod/Schema — nur manuelle Checks
+- ~~Kein Rate Limiting~~ ✅ Rate Limiting mit shared-hono + eigenem Middleware
+- ~~Keine Input-Validierung~~ ✅ Zod-Schemas auf allen Endpoints
 - Keine OpenAPI/Swagger-Dokumentation
- Keine konsistente ApiResult-Response-Struktur
- Externe Cloud-APIs (Azure Speech, Gemini, Azure OpenAI) statt eigener mana-stt/mana-llm Services
- Kein Pagination auf Listen-Endpoints
+- ~~Keine konsistente ApiResult-Response-Struktur~~ ✅ Einheitlich `{ success, error/data }`
+- ~~Externe Cloud-APIs~~ ✅ mana-stt + mana-llm als Primary, Cloud nur Fallback
+- ~~Kein Pagination~~ ✅ Limit/Offset auf allen Listen-Endpoints

 ## Frontend (72/100)

@ -112,10 +112,10 @@ Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo)

 **Lücken:**

- Keine +error.svelte Error-Boundary-Pages
+- ~~Keine +error.svelte Error-Boundary-Pages~~ ✅ Error Page implementiert
 - i18n nur 5 Sprachen (de, en, fr, it, es) — Mobile hat 32
- Sentry konfiguriert aber nicht initialisiert
- PostHog konfiguriert aber nicht initialisiert
+- ~~Sentry nicht initialisiert~~ ✅ GlitchTip Error Tracking aktiv
+- ~~Analytics nicht aktiv~~ ✅ Umami Analytics mit MemoroEvents integriert
 - Service Worker nicht implementiert trotz PWA-Config

 ## Database (65/100)
@ -160,11 +160,10 @@ Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo)

 **Lücken:**

- Memoro NICHT im CI/CD-Pipeline (cd-macmini.yml)
- Kein automatisches Deployment — nur manuell via Docker-Compose
+- ~~Memoro NICHT im CI/CD-Pipeline~~ ✅ Alle 3 Services in cd-macmini.yml
+- ~~Kein automatisches Deployment~~ ✅ CI/CD via GitHub Actions
 - Kein Staging-Environment
- App ist als `archived: true` in shared-branding markiert
- requiredTier: 'founder' — nur für Gründer zugänglich
+- ~~App als archived markiert~~ ✅ Status: published, requiredTier: 'founder'

 ## Documentation (78/100)

@ -193,11 +192,11 @@ Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo)

 **Lücken:**

- Kein Rate Limiting — DDoS/Abuse-Gefahr
+- ~~Kein Rate Limiting~~ ✅ Rate Limiting aktiv (100 req/min)
 - Keine Input-Sanitization (XSS-Risiko bei Markdown-Rendering)
- Keine Zod-Validierung auf API-Eingaben
+- ~~Keine Zod-Validierung~~ ✅ Zod-Schemas auf allen Endpoints
 - Azure/Gemini API-Keys in Environment — keine Key-Rotation
- Sentry nicht initialisiert — Sicherheitsvorfälle werden nicht getrackt
+- ~~Sentry nicht initialisiert~~ ✅ GlitchTip Error Tracking aktiv

 ## UX (55/100)

@ -214,14 +213,22 @@ Memoro ist eine KI-gestützte Sprachnotiz-App mit Web (SvelteKit), Mobile (Expo)

 - Keine Offline-Unterstützung trotz PWA-Config (Service Worker fehlt)
 - Web-App hat nur 5 Sprachen vs. 32 in Mobile
- Keine Error-Pages für Nutzer
+- ~~Keine Error-Pages~~ ✅ +error.svelte implementiert
 - Kein Lighthouse-Audit durchgeführt
- Analytics nicht aktiv — kein Nutzer-Feedback-Loop
+- ~~Analytics nicht aktiv~~ ✅ Umami Analytics mit 25+ Events integriert

-## Top-5 Empfehlungen
+## Top-5 Empfehlungen (aktualisiert)

-1. **`archived: true` entfernen** — App ist in Branding-Config als archiviert markiert, wird dadurch nicht im App-Switcher angezeigt
-2. **Rate Limiting + Input-Validierung** — Server ist ohne Schutz erreichbar, Zod-Schemas für alle Endpoints
-3. **CI/CD-Pipeline** — Memoro in cd-macmini.yml aufnehmen für automatisches Deployment
-4. **Error Boundaries** — +error.svelte Pages für bessere Fehlerbehandlung im Frontend
+1. ~~**`archived: true` entfernen**~~ ✅ Erledigt
+2. ~~**Rate Limiting + Input-Validierung**~~ ✅ Erledigt (Zod + Rate Limiting)
+3. ~~**CI/CD-Pipeline**~~ ✅ Erledigt
+4. ~~**Error Boundaries**~~ ✅ Erledigt
 5. **Tests schreiben** — Mindestens API-Endpoint-Tests für Server und Transkriptions-Pipeline
+
+## Nächste Empfehlungen
+
+1. **Tests schreiben (Testing 10→40)** — API-Endpoint-Tests, Transkriptions-Pipeline Integration Test, Store-Tests
+2. **OpenAPI-Dokumentation** — Swagger/OpenAPI-Spec für alle Endpoints generieren
+3. **PWA Service Worker** — Offline-Support für installierte PWA
+4. **i18n erweitern** — Web-App von 5 auf mindestens 10 Sprachen erweitern
+5. **Lighthouse-Audit** — Performance, Accessibility, SEO Baseline messen