Wann sollte Ihre Pipeline auf einen Menschen warten?

Stellen Sie sich vor: Ihre CI/CD-Pipeline hat gerade ein neues Feature gebaut und getestet. Alle Checks bestanden. Der Security-Scan fand nichts Verdächtiges. Die Staging-Umgebung läuft mit der neuen Version ohne Probleme. Jetzt will die Pipeline dieselbe Version in die Produktion schieben. Soll sie einfach weitermachen oder anhalten und auf ein „Ja“ von jemandem warten?

Diese Frage stellt sich in jedem Team, das eine Deployment-Pipeline mit mehreren Umgebungen aufbaut. Die Antwort ist kein einfaches Ja oder Nein. Sie hängt davon ab, wie sehr Sie jeder Umgebung vertrauen und wie viel Risiko Sie bereit sind zu akzeptieren.

Argumente für die automatische Pipeline

In frühen Umgebungen wie der Entwicklung lassen die meisten Teams Änderungen automatisch durch die Pipeline fördern. Der Build ist erfolgreich, Tests bestehen, Security-Scans sind sauber – und die Pipeline deployt diese Version sofort in die nächste Umgebung. Niemand muss einen Knopf drücken. Das nennt sich automatische Promotion.

Automatische Promotion ist schnell. Entwickler müssen nicht darauf warten, dass jemand ein Deployment ins Staging freigibt, jedes Mal wenn sie einen kleinen Fix pushen. Die Pipeline kann Dutzende Änderungen pro Tag verarbeiten, ohne dass das Team zum Engpass wird. Für frühe Umgebungen, in denen Fehler billig sind, ist diese Geschwindigkeit wertvoll.

Aber automatische Promotion ist nicht für jede Situation richtig. Je näher eine Änderung an die Produktion kommt, desto größer sind die Auswirkungen, wenn etwas schiefgeht. Irgendwann möchte das Team vielleicht innehalten, sich die Testergebnisse aus dem Staging ansehen und dann entscheiden, ob die Änderung weitergeschoben werden soll.

Wann Sie einen Menschen brauchen

Manuelle Promotion bedeutet, dass die Pipeline an einer bestimmten Umgebungsgrenze stoppt und auf die Erlaubnis zur Fortsetzung wartet. Dies geschieht normalerweise vor der Produktion oder vor einer Umgebung, auf die echte Benutzer zugreifen. Die Pipeline hat bereits alle Vorbereitungen getroffen – die neue Version ist gebaut, im Staging getestet und sicherheitsgeprüft – aber sie geht erst in die Produktion, wenn jemand sie freigibt.

Teams entscheiden sich typischerweise basierend auf zwei Faktoren für manuelle Promotion: wie kritisch die Zielumgebung ist und wie groß die Änderung ist.

Für Produktionsumgebungen nutzen viele Teams die manuelle Promotion als letztes Sicherheitsnetz. Alle automatischen Tore wurden passiert. Staging läuft normal. Aber das Team möchte trotzdem, dass jemand bewusst prüft, bevor die Änderung die Benutzer erreicht. Die Person, die die Freigabe erteilt, ist normalerweise ein Senior Engineer, Tech Lead oder jemand, der die vollen Auswirkungen der Änderung auf das System versteht.

Bei großen Änderungen – Datenbankmigrationen, Architekturänderungen oder größere Library-Updates – wird manuelle Promotion oft sogar für Staging-Umgebungen verwendet. Das Team möchte sicherstellen, dass jemand aufpasst, bevor die Änderung in die nächste Stufe übergeht.

Das übliche Muster: Automatisch früh, manuell spät

Der häufigste Ansatz ist eine Kombination: automatische Promotion für frühe Umgebungen, manuelle Promotion für die letzte. Die Pipeline fördert sich selbst von der Entwicklung ins Staging und stoppt dann am Produktions-Gate, um auf Freigabe zu warten. Oder die Pipeline fördert automatisch ins Staging, das QA-Team prüft manuell und gibt dann die Freigabe für die Produktion.

Das folgende Flussdiagramm veranschaulicht dieses übliche Muster mit einem Entscheidungspunkt für risikoreiche Änderungen:

flowchart TD Dev[Entwicklung] -->|auto-promote| Staging[Staging] Staging -->|auto-promote| PreProd[Pre-Production] PreProd --> IsHighRisk{Ist dies eine risikoreiche Änderung?} IsHighRisk -->|Nein| AutoProd[Auto-promote in Produktion] IsHighRisk -->|Ja| ManualGate[Manuelles Freigabe-Gate] ManualGate -->|freigegeben| Prod[Produktion] ManualGate -->|abgelehnt| Stop[Stopp / Rollback]

Manche Teams wenden eine abgestufte manuelle Promotion an. Zum Beispiel erfordert der Wechsel ins Staging die Freigabe eines Senior Developers, während der Wechsel in die Produktion die Freigabe sowohl des Tech Leads als auch des QA-Teams erfordert. Je höher die Umgebung, desto mehr Personen müssen zustimmen.

Was manuelle Promotion nicht ist

Manuelle Promotion ist kein Ersatz für automatisierte Gates. Automatisierte Gates laufen weiterhin in jeder Umgebung. Die Pipeline prüft weiterhin Builds, Tests und Sicherheit, bevor sie anhält und auf Freigabe wartet. Manuelle Promotion fügt eine Ebene menschlicher Entscheidungen oben auf die automatisierten Prüfungen. Sie ersetzt sie nicht.

Wenn Ihre Pipeline automatisierte Prüfungen überspringt und sich vollständig auf manuelle Freigaben verlässt, betreiben Sie keine manuelle Promotion. Sie betreiben manuelles Deployment mit zusätzlichen Schritten. Der Wert der manuellen Promotion liegt darin, beides zu haben: gründliche automatisierte Verifikation plus informiertes menschliches Urteilsvermögen.

Eine praktische Checkliste für die Entscheidung

Wenn Sie Promotionsregeln für Ihre Pipeline festlegen, stellen Sie sich diese Fragen:

  • Wird diese Umgebung von echten Benutzern genutzt? Wenn ja, erwägen Sie manuelle Promotion.
  • Kann ein Fehler hier die Datenintegrität beeinträchtigen oder Ausfallzeiten verursachen? Wenn ja, ist manuelle Promotion sicherer.
  • Hat das Team genug Vertrauen in die automatisierten Tests für diese Umgebung? Wenn nicht, fügen Sie manuelle Überprüfung hinzu.
  • Ist dies eine Routineänderung (Konfigurationsupdate, kleines Feature) oder eine risikoreiche Änderung (Schema-Migration, Library-Upgrade)? Risikoreiche Änderungen profitieren von manueller Freigabe, selbst im Staging.
  • Wie lange dauert die manuelle Freigabe? Wenn es Stunden dauert, vermeidet das Team möglicherweise häufige Deployments. Balancieren Sie Sicherheit mit Geschwindigkeit.

Das Fazit

Manuelle Promotion ist eine bewusste Pause, kein Gatekeeper, der alles verlangsamt. Nutzen Sie sie dort, wo die Kosten eines Fehlers höher sind als die Kosten des Wartens auf eine menschliche Überprüfung. Lassen Sie die Pipeline in frühen Umgebungen laufen. Lassen Sie für die Produktion und risikoreiche Änderungen eine Person entscheiden. Die besten Pipelines kombinieren automatisierte Gründlichkeit mit menschlichem Urteilsvermögen an den richtigen Stellen.