Agentic Dev-Setup · 10-Punkte-Checkliste

Warum es eine Checkliste braucht

Wenn ein Agent in eurem Repo schreiben darf, ändert sich der Threat-Model. Ein einzelner Pull-Request kann hunderte Files anfassen. Code-Review-Workflows, die für menschliche Geschwindigkeit gebaut wurden, kippen.

Wir haben in fünf aktuellen Engagements gesehen, welche zehn Punkte sich als verbindlich herauskristallisiert haben — bevor man überhaupt produktiv arbeiten kann.

Die zehn Punkte (Kurzform)

1. IDE + MCP-Bootstrap absichern — keine Tool-Activation ohne explizite Whitelist.
2. Sandbox- und Schreibrechte sauber trennen — Agent-Branch hat keinen Push-Access auf Main.
3. Code-Review-Pfad für Agent-Commits — getrennte Review-SLAs, Bot-Identity klar markiert.
4. CI-Gates — TypeScript, Tests, Lint, Build, Schema-Check. Keine Bypass-Optionen für Agents.
5. Eval-Suite für Prompt-Regression — jeder Prompt-Change durchläuft eine Goldset-Eval.
6. Secrets-Hygiene — Agents bekommen nie Service-Role-Keys. Read-only-Mock in Dev.
7. Bot-Identity-Trennung — separate GitHub-Account oder Bot-Suffix, kein User-Spoofing.
8. Persistente Memory-Boundaries — was darf der Agent zwischen Sessions wissen?
9. Cost-Caps pro PR und pro Repo — Hard-Stop bei Budget-Überschreitung.
10. Rollback-Drill — alle zwei Wochen wird der “Agent-Commit-Revert”-Pfad geprobt.

Wie ihr die Checkliste nutzt

Die ausführliche Version mit konkreten Konfigurationen, Beispiel-Diffs und CI-Snippets liegt im PDF unten. Print-optimiert, vier Seiten, mit Spalten für „Status”, „Owner” und „Letzter Check”.

Wenn ihr nach dem Download Fragen habt — wir buchen jederzeit einen kostenlosen Demo-Termin.