Outils & environnements du FullStack Developer

8 briques outillage : IDE, Git, Tests, Monitoring, Collaboration, Packages/Builds, Environnements, Sécurité Dev.

IDE : VS Code, JetBrains Git : GitHub/GitLab/Bitbucket Tests : Jest, Cypress, Pytest, JUnit Observabilité : Sentry, Datadog, Prometheus

À retenir

VS Code : Remote SSH, DevContainers, Tasks, Workspaces.
JetBrains (IntelliJ/WebStorm/PyCharm) : refactorings, inspections, profiler.
Standards d’équipe : formatage (Prettier/Black), conventions, snippets.

Livrables & KPIs

Dossier .vscode/ ou .idea/ partagé (tasks, launch, extensions).
Temps de setup < 10 min via devcontainer / script bootstrap.
Règles de formatage/typing homogènes >= 95% de fichiers conformes.

Anti-patterns

Config locale non versionnée → écarts entre devs.
Pas de formatage auto, pas de lint on save.

// VS Code – tasks.json (extrait)
{ "version":"2.0.0","tasks":[{ "label":"tests","type":"shell","command":"npm test"}] }

// .editorconfig
root = true
[*]
indent_style = space
indent_size = 2
end_of_line = lf

// DevContainer (extrait)
{ "name":"fs-app","image":"mcr.microsoft.com/devcontainers/javascript-node:20","features":{ "ghcr.io/devcontainers/features/python:1":{} } }

Stratégies

Trunk-based + feature flags, ou GitFlow selon contexte.
PR/MR templates, CODEOWNERS, pre-commit hooks.
Commits signés (GPG/SSH), Conventional Commits + CHANGELOG.

KPIs & Livrables

Lead time < 1j, reviews < 24h, rework < 10%.
Protection branches : tests & lint obligatoires.
Artefacts versionnés (tags, releases, SBOM).

Anti-patterns

Long-lived branches, merges géants, pas de rebase.
Secrets dans l’historique, LFS ignoré pour binaires lourds.

# .githooks/pre-commit (ex.)
npm run lint && npm test

# .github/PULL_REQUEST_TEMPLATE.md
## Contexte / Tests / Impact

# .github/CODEOWNERS
* @team/fullstack

Pyramide

Unitaires → Intégration → e2e (Cypress/Playwright).
Contrats API (OpenAPI tests), snapshot UI.
Mutation testing (Stryker/PITest) sur modules critiques.

KPIs & Livrables

Coverage ≥ 80% (lignes/branches), < 2% tests flaky.
Temps CI < 10 min build+tests (cache dépendances).
Rapports JUnit, coverage XML, artefacts écrans e2e.

Anti-patterns

Tests e2e massifs lents, mocks excessifs, données non déterministes.
Pas de seed/fixtures, paralélisme non utilisé.

// Jest (extrait)
test('sum', ()=> expect(sum(1,2)).toBe(3))

# Pytest (extrait)
def test_status(client): assert client.get("/healthz").status_code==200

// Cypress (extrait)
cy.visit('/login'); cy.get('input[name=email]').type('a@b.com')

À retenir

Erreurs front/back : Sentry + source maps.
Métriques : Prometheus (RED/USE), dashboards Grafana.
Traces : OpenTelemetry (export Jaeger/Tempo/Datadog).

KPIs & Alerting

p95 API < 150ms, taux erreurs < 1%.
MTTR < 30m, disponibilité ≥ 99.9%.
Front : JS errors/1k sessions < seuil, LCP < 2.5s.

Anti-patterns

Pas de corrélation trace_id, logs verbeux avec PII.
Alertes bruitées, seuils non alignés SLO.

// Node + OTel (auto-instr.)
const { NodeSDK } = require('@opentelemetry/sdk-node');
const { getNodeAutoInstrumentations } = require('@opentelemetry/auto-instrumentations-node');
new NodeSDK({ instrumentations:[getNodeAutoInstrumentations()] }).start();

# Prometheus – alerte latence
- alert: HighLatency
  expr: histogram_quantile(0.95, rate(http_request_duration_seconds_bucket[5m])) > 0.15
  for: 2m

// Sentry frontend (extrait)
Sentry.init({ dsn:"...", integrations:[new Sentry.BrowserTracing()] });

Workflows

Backlog → Sprint → Review → Retro (Scrum/Kanban).
DoR/DoD, epic → story → sous-tâches, points.
ADR (Architecture Decision Record) versionnés.

KPIs & Livrables

Cycle time < 5 jours, throughput stable.
Roadmap trimestrielle, changelog produits.
Docs vivantes (Confluence/Notion), modèles PRD/ADR.

Anti-patterns

Docs obsolètes, décisions orales non tracées.
Slack-only (pas d’issues), standup sans actions.

# ADR template (extrait)
Title: Décision & contexte
Status: Accepted
Consequences: + / -

# Convention ticket
[FEAT] sujet court – critère d'acceptation – tests

Gestion deps

npm/pnpm/yarn (lockfile), Python Poetry/pip-tools, Java Maven/Gradle.
Registry privé (Artifactory/GH Packages), cache CI.
SBOM (Syft), scans (Trivy/Grype).

Builds & Docker

Docker multi-stage, images < 200MB si possible.
Reproductibilité (versions épinglées), buildx cache.
Artefacts : .whl, .jar, images taguées (semver+sha).

KPIs / Anti-patterns

Temps build < 5–10 min, taux cache > 80%.
Anti-patterns : latest, dépendances non gelées, images root.

# Docker multi-stage (extrait)
FROM node:20-alpine AS build
WORKDIR /app; COPY . .; RUN npm ci && npm run build
FROM nginx:alpine
COPY --from=build /app/dist /usr/share/nginx/html

# Poetry
poetry add fastapi && poetry lock

# Gradle (extrait)
tasks.register("fatJar", Jar){ manifest{ attributes("Main-Class":"App") } }

Outillage env

Docker Compose (DB/Cache/Queue), devcontainer.json.
Kind/Minikube + Skaffold/Tilt (boucle rapide).
Makefile/Nix pour bootstrap idempotent.

Secrets & config

.env chiffré (SOPS/Age), variables par env.
Feature flags (LaunchDarkly/ConfigCat) pour dé-risquer.
Datasets anonymisés pour pré-prod.

KPIs / Anti-patterns

Setup dev < 10 min, onboarding < 1h.
Anti-patterns : “works on my machine”, DB prod en dev, secrets en clair.

# docker-compose.yml (extrait)
services:
  db: { image: postgres:16, environment: { POSTGRES_PASSWORD: dev } }
  redis: { image: redis:7 }

# Makefile (extrait)
setup: ; npm ci && poetry install
dev: ; docker compose up -d && npm run dev

# sops – secret chiffré (YAML)
apiKey: ENC[AES256_GCM,data:...,iv:...,tag:...]

À retenir

SAST : Semgrep (JS/TS), Bandit (Python), SpotBugs (Java).
Scans deps/images : Dependabot/Snyk, Trivy/Grype.
Policy-as-Code : OPA/Conftest (IaC/CI/CD).

KPIs & Gates

0 vulnérabilités “critical” avant merge.
MTTR vulnérabilités < 7 jours (high), < 24h (critical).
SBOM signé, provenance (SLSA) pour artefacts.

Anti-patterns

Ignorer les advisories, secrets commités, images latest.
Pas de rotation de clés, pas de MFA.

# GitHub Actions – Dependabot auto-merge (extrait)
- uses: fastify/github-action-merge-dependabot@v3

# Trivy – scan image
trivy image --exit-code 1 --severity HIGH,CRITICAL myapp:1.0

# Semgrep (extrait)
semgrep --config p/ci --error

Outils & environnements du FullStack Developer

1. IDE & Productivité

2. Git & GitOps

3. Tests & Qualité

4. Monitoring & Observabilité

5. Collaboration

6. Packages & Builds

7. Environnements & Parité

8. Sécurité Dev