ultisuite-backend/project-plan/definition-of-done.md

# Definition of Done (DoD)

Ce document définit le minimum à atteindre avant de considérer une livraison "done".

## Backend

- [ ] Spécification API et contrat DTO à jour.
- [ ] Validation payload + gestion erreurs normalisée.
- [ ] Ownership et permissions vérifiés sur mutations.
- [ ] Logs et métriques ajoutés pour endpoint/worker concerné.
- [ ] Migrations DB fournies si modèle impacté.
- [ ] Tests d'intégration ajoutés sur cas nominal + erreurs clés.
- [ ] Documentation d'exploitation mise à jour (config, limites, dépendances).

## Frontend

- [ ] Flux UI branché sur backend réel (pas de mock en fallback silencieux).
- [ ] États loading/empty/error gérés proprement.
- [ ] Navigation URL/state cohérente, sans régression UX majeure.
- [ ] Accessibilité minimale respectée (clavier, libellés, focus).
- [ ] Tracking erreurs front en place (console propre, fallback utilisateur).
- [ ] Tests e2e ou tests ciblés ajoutés sur parcours modifié.

## Sécurité

- [ ] Aucune donnée sensible en clair (credentials/tokens) dans DB, logs, réponses API.
- [ ] Contrôles authn/authz testés (accès autorisé/refusé).
- [ ] Inputs externes validés et bornés (taille, type, format).
- [ ] Endpoints sensibles protégés contre abus (rate limit/idempotency si nécessaire).
- [ ] Surface WS/Webhook durcie (signature, token, origine, timeout).

## Tests

- [ ] Tests unitaires/intégration ajoutés pour la logique créée/modifiée.
- [ ] Cas d'échec et cas limites couverts.
- [ ] CI exécute automatiquement les tests pertinents.
- [ ] Aucune régression sur les parcours critiques connus.

## Observabilité

- [ ] request-id/correlation-id présent dans logs serveur.
- [ ] Métriques métier ajoutées (succès, erreurs, latence, queue depth selon besoin).
- [ ] Alertes pertinentes définies pour incidents probables.
- [ ] Healthcheck du composant concerné vérifiable en environnement cible.
- [ ] Dashboard ou vue de suivi disponible pour le run en production.