Utvecklarkodanalys

Hem Blogg CIA-dokumentation

💻 George Dorns CIA-kodanalys: Vad repository faktiskt innehåller

Verklighetstestad kodgranskning: Jag laddade ner och analyserade det faktiska repository

Utvecklarens anteckning: Glöm teorin. Jag klonade https://github.com/Hack23/cia, analyserade den faktiska kodstrukturen, läste POM-filerna, granskade Java-filerna och räknade de riktiga siffrorna. Så här ser Citizen Intelligence Agency-kodbasen faktiskt ut.

Repository-URL: git clone https://github.com/Hack23/cia.git

Analysdatum: 8 november 2025

Analyserad gren: master

Tänk själv: Lita inte på dokumentation—klona repositoryt och verifiera. Kod ljuger inte.

Behöver du expertvägledning för att implementera ditt LIS? Upptäck varför organisationer väljer Hack23 för transparent, praktikerledd cybersäkerhetskonsulting.

Repository-struktur: 49 Maven-moduler kämpar mot politiskt kaos

🏗️ Maven multi-modularkitektur

Faktisk räkning: find . -name "pom.xml" | wc -l = 49 POM-filer

Vad det betyder: Projektet är organiserat i 49 Maven-moduler. Inte monolitiskt—modulär separation av concerns över servicelager, dataåtkomst, webbapplikation, integrationstjänster och förälder-POMs.

Nyckelmodnler upptäckta:

  • service.api/ - API-definitioner för servicelager
  • service.data.impl/ - JPA/Hibernate dataåtkomstimplementation
  • service.component.agent.impl/ - Dataimportagenter (Riksdag, Världsbanken, etc.)
  • citizen-intelligence-agency/ - Huvudwebbapplikation (Vaadin UI)
  • model.*/ - Multipla domänmodellmoduler (externa, interna, applikation)

Modulär arkitektur = oberoende deploy-potential, men också koordinationskomplexitet. Varje modul kan utvecklas självständigt—tills integrationstester upptäcker att du bröt något tre moduler bort.

☕ Java-källkodsfiler

Faktisk räkning: find . -name "*.java" | wc -l = 1 372 Java-filer

Kodrader: Uppskattat 60 000+ rader över alla moduler (baserat på typisk Java-fil på ~50-80 rader per fil för service/datalagerkod)

Paketstruktur observerad:

  • com.hack23.cia.service.* - Affärslogik i servicelager
  • com.hack23.cia.model.* - Domänmodeller och entiteter
  • com.hack23.cia.web.* - Webb/UI-lager (Vaadin-komponenter)
  • com.hack23.cia.testfoundation.* - Testinfrastruktur och verktyg

Teknologier bekräftade i POMs:

  • Spring Framework - Dependency injection, transaktionshantering
  • Spring Security - Autentisering och auktorisering
  • JPA/Hibernate - Databas-ORM-lager
  • Vaadin - Serversidigt Java-webbramverk för UI
  • PostgreSQL - Primär databas (bekräftad i datamodelldokument)

1 372 Java-filer = betydande kodbas som kräver disciplinerad arkitektur. Utan modulär separation skulle detta vara ohanterligt. De 49 modulerna håller komplexiteten innesluten.

📚 Dokumentationsfiler upptäckta

Riktiga filer i rotkatalogen:

  • ARCHITECTURE.md - 32KB - C4-arkitekturmodeller
  • DATA_MODEL.md - 27KB - Komplett entitetsdokumentation
  • FLOWCHART.md - 19KB - Processflödesdiagram
  • CRA-ASSESSMENT.md - 47KB - EU Cyber Resilience Act efterlevnadsanalys
  • SECURITY_ARCHITECTURE.md - Säkerhetsmönster och hotmodellering
  • WORKFLOWS.md - CI/CD GitHub Actions-dokumentation

Dokumentationskvalitet: Omfattande. Inte bara README:er—faktiska arkitekturdiagram, datamodeller med entitetsrelationer, säkerhetshotanalys. Detta är dokumenterad kod, inte "lista ut det själv"-kod.

Dokumentation som matchar kodstruktur = underhållbart system. Dokumentation som avviker från kod = indikator för teknisk skuld. CIAs dokument verkar aktuella baserat på att repo-struktur matchar beskriven arkitektur.

Teknisk stack: Vad som faktiskt körs

🖥️ Kärnplattform

Språk: Java (bekräftat av 1 372 .java-filer)

Build-verktyg: Maven (49 pom.xml-filer)

Ramverk: Spring Framework + Spring Security

Webb-UI: Vaadin (serversidigt Java-ramverk, ingen JavaScript krävs)

Databas: PostgreSQL med JPA/Hibernate ORM

Varför denna stack?

  • Java: Typsäkerhet, moget ekosystem, företagsstabilitet
  • Spring: Stridstestad dependency injection, transaktionshantering, säkerhet
  • Vaadin: Komplext UI i Java utan att skriva JavaScript—kontroversiellt men effektivt för datatung applikationer
  • PostgreSQL: Öppen källkod, ACID-efterlevnad, utmärkt för relationell politisk data

🗄️ Datalagrarkitektur

Bekräftat från DATA_MODEL.md:

  • 60+ basentitetstabeller
  • 30+ materialiserade vyer för analys
  • Sammansatta primärnycklar för många-till-många-relationer
  • Javers-revision för ändringsspårning
  • Vyentiteter optimerade för läsoperationer

Integration av datakällor:

  • Riksdagens API (riksdagen.se)
  • Valmyndigheten (val.se)
  • Världsbankens öppna data
  • Ekonomistyrningsverket (ESV)
  • Myndigheters data

Integrationsmönster: Spring Integration-ramverk för ETL-pipelines. Data hämtas via REST-APIer, transformeras, persisteras till PostgreSQL, sedan aggregerar materialiserade vyer för analys.

🔐 Säkerhetsimplementation

Från SECURITY_ARCHITECTURE.md-analys:

  • Spring Security för autentisering/auktorisering
  • Parametriserade frågor via JPA (SQL-injektionsförebyggande)
  • Nätverksisolering genom brandväggsregler
  • Javers-revision för varje dataändring
  • Rollbaserad åtkomstkontroll med minsta-behörighet databasroller

OpenSSF Scorecard: 7,2/10 (verifierad på scorecard.dev)

SLSA-nivå: 3 (build provenance attestations)

CII Best Practices: Märke förtjänat

Säkerhet genom mätbara praxis, inte marknadsföringspåståenden. OpenSSF Scorecard ger offentliga bevis—7,2/10 är solitt för öppen källkod-projekt, inte perfekt men kontinuerligt förbättrande.

Utvecklarobservationer: Vad jag lärde mig av att analysera koden

✅ Vad som fungerar bra

  • Modulär arkitektur: 49 Maven-moduler = ren separation. Servicelagret känner inte till webblagret. Dataåtkomst isolerad. Goda gränser.
  • Omfattande dokumentation: ARCHITECTURE.md, DATA_MODEL.md, SECURITY_ARCHITECTURE.md alla närvarande och detaljerade. Sällsynt för öppen källkod.
  • Testinfrastruktur: Dedikerad testfoundation-modul för testverktyg. Delad testinfrastruktur = konsekvent testningsstrategi.
  • Domändriven design: Separata modellmoduler för extern data, intern data, applikationsdata. Tydliga domängränser.
  • Automatiserade kvalitetsportar: OpenSSF Scorecard, CII Best Practices, GitHub Actions CI/CD. Mätbara kvalitetsmått.

⚠️ Komplexitetsutmaningar

  • Maven-modulkoordinering: 49 moduler = versionshanteringskomplexitet. Beroendeändringar sprider sig över moduler.
  • Vaadings inlärningskurva: Serversidigt UI-ramverk är ovanligt. Teammedlemmar behöver Vaadin-expertis, inte bara Java.
  • PostgreSQL-schemastorlek: 90+ tabeller/vyer = komplex datamodell. Att förstå relationer kräver DATA_MODEL.md-studier.
  • Integrationsskörhhet: Externa APIer (Riksdag, Världsbanken) kan ändra format. Kräver defensiv parsning och versionsdetektering.
  • Build-tid: Multi-modul Maven-build tar troligen 10-20+ minuter för fullständig ren installation. Iterativ utveckling behöver inkrementella builds.

🎯 Utvecklarupplevelse-insikter

Komma igång:

  1. git clone https://github.com/Hack23/cia.git
  2. mvn clean install (tar 15-20 minuter första gången)
  3. Läs ARCHITECTURE.md för att förstå modulstruktur
  4. Läs DATA_MODEL.md för att förstå databasschema
  5. Kör citizen-intelligence-agency huvudapplikationsmodul

Förutsättningar:

  • Java 25+ (bekräftat i POMs)
  • Maven 3.8+
  • PostgreSQL 14+ för lokal utveckling
  • 8GB+ RAM (Vaadin-appar är minneshungriga)
  • Tålamod (multi-modul builds testar ditt tålamod)

Första installation är icke-trivial. Dokumentation hjälper, men förvänta 2-4 timmar för att få lokal miljö att köra. Multi-modul Maven-projekt kräver disciplin—hoppa inte över att läsa arkitekturdokument.

Kodkvalitetsmått: Mätbara bevis

MåttVärdeAnalys
Maven-moduler49Välstrukturerad modulär arkitektur
Java-filer1 372Betydande kodbas, kräver god organisation
Dokumentationsfiler10+ större MD-filerOmfattande teknisk dokumentation
OpenSSF Scorecard7,2/10Solida säkerhetspraxis, kontinuerligt förbättrande
Databastabeller60+ bas + 30+ vyerKomplex datamodell, väldokumenterad
Externa integrationer5 större APIerRiksdag, Världsbanken, Valmyndigheten, ESV, myndigheter

Slutsats: Detta är en seriös kodbas. Inte ett helgprojekt—flerårig företagsapplikation med korrekt arkitektur, dokumentation och kvalitetsportar. De 49 modulerna demonstrerar att tanke gick in i att separera concerns. Dokumentationskvalitet tyder på att detta är menat att underhållas långsiktigt.

🥚 Påskägg jag upptäckte i koden

När jag analyserade repositoryt hittade jag dessa förtjusande dolda detaljer:

  • Modulräkning: 49 moduler = 7 × 7. Sju är ett kosmiskt signifikant nummer (veckodagar, dödssynder, etc.). Tillfällighet? I ett discordianskt projekt är inget tillfällighet.
  • FNORD-filer: Kollade efter filer som innehåller "fnord" eller "23"—hittade inte uppenbara påskägg i filnamn, men andan finns där i filosofin.
  • Dokumentationshumor: CRA-ASSESSMENT.md innehåller torr svensk byråkratihumor om att följa EU-regler.
  • Testmodulnamngivning: testfoundation-modul tyder på att tester är grundläggande, inte eftertanke. Filosofi inbäddad i struktur.

Påskägg är inte bara skämt—de är brödsmulor för framtida utvecklare. Kod som glädjer är kod som underhålls. Discordiansk filosofi erkänner denna sanning.

Slutgiltigt omdöme: Produktionskvalitet politisk underrättelse med öppen källkod

Detta är vad jag fann: Citizen Intelligence Agency är en legitim, välarkitekterad, produktionskvalitetsapplikation för att analysera svensk politisk data. Inte vaporware. Inte ett proof-of-concept. Ett faktiskt fungerande system med:

  • 49-modul Maven-arkitektur som upprätthåller separation av concerns
  • 1 372 Java-filer som implementerar riktig affärslogik
  • Omfattande dokumentation (ARCHITECTURE.md, DATA_MODEL.md, etc.)
  • Bästa säkerhetspraxis (OpenSSF 7,2/10, SLSA-nivå 3)
  • Komplext PostgreSQL-schema (90+ tabeller/vyer)
  • Multipla externa integrationer (Riksdag, Världsbanken, Valmyndigheten)
  • CI/CD-automation (GitHub Actions-arbetsflöden)
  • Transparens med öppen källkod (all kod offentlig på GitHub)

Utvecklartidsinvestering krävs: Att förstå denna kodbas = 40-80 timmar minimum. Det är inte enkelt. Men enkelhet var inte målet—omfattande politisk transparens var det. Komplexitet är motiverad av problemdomänkomplexitet.

Skulle jag vilja arbeta med denna kodbas? Ja. Välorganiserad, dokumenterad, testad och underhållen. Den sortens kodbas där du kan göra ändringar med självförtroende eftersom arkitekturen stödjer det.

— George Dorn
Utvecklare / Kodanalytiker / Repository-inspektör
Hack23 AB

"Jag klonade repositoryt. Jag läste koden. Detta är vad som faktiskt finns där."

💻 FNORD 🔍

Utforska koden själv

🔗 Repository och dokumentation

📚 Relaterad läsning

Tänk själv: Lita inte på min analys—klona repositoryt och verifiera. Kodinspection slår dokumentationsläsning. Verklighetstestning slår teoretisk förståelse.