44-7 · Kapitel 44 · 4 Min. Lesezeit

Was mir sechs verschiedene Organisationen über CI/CD beigebracht haben

Jedes Engineering-Team beginnt mit denselben Grundbedürfnissen. Doch wie sie ihre Delivery-Prozesse aufbauen, hängt von Risiko, Teamgröße und Compliance ab. Drei wiederkehrende Muster.

Was mir sechs verschiedene Organisationen über CI/CD beigebracht haben

Jedes Engineering-Team, mit dem ich gearbeitet habe, startete am selben Punkt: Sie mussten Änderungen dorthin bringen, wo Nutzer sie verwenden können. Aber wie sie ihren Delivery-Prozess aufbauten, sah völlig unterschiedlich aus – je nachdem, wer sie waren.

Ein Startup mit drei Leuten braucht nicht dieselbe Pipeline wie ein Fintech-Unternehmen unter regulatorischer Aufsicht. Ein mobiles Team, das in App-Stores ausliefert, steht vor ganz anderen Zwängen als ein Datenbank-Team, das Legacy-Systeme betreut. Doch wenn man all diese Fälle genau betrachtet, zeigen sich immer dieselben drei Muster.

Das erste Muster: Alle beginnen mit denselben Grundbedürfnissen

Unabhängig von der Organisation braucht jedes Team drei Dinge:

Eine Möglichkeit, Änderungen dorthin zu bringen, wo Nutzer darauf zugreifen können
Die Zuversicht, dass diese Änderungen nichts kaputt machen
Eine Möglichkeit, Probleme zu beheben, wenn sie unweigerlich auftreten

Ein kleines Startup erfüllt diese Bedürfnisse mit einer einfachen Pipeline und grundlegendem Monitoring. Ein reguliertes Unternehmen fügt Genehmigungsschritte und Audit-Trails hinzu. Ein SaaS-Unternehmen mit mehreren Teams baut einen Service-Katalog und Golden Paths. Ein Mobile-First-Team implementiert gestaffelte Rollouts und Remote-Konfiguration. Ein Team, das mit Legacy-Datenbanken arbeitet, entwickelt sichere Migrationsstrategien. Ein Infrastruktur-lastiges Team fügt Governance für Infrastructure-as-Code und Drift-Erkennung hinzu.

Das sind keine unterschiedlichen Ansätze. Es sind dieselben Antworten auf dieselben Fragen – nur mit unterschiedlichen Komplexitätsstufen.

Das zweite Muster: Das Risiko bestimmt, wie viel Sicherheit du brauchst

Je größer die Auswirkungen eines Fehlers, desto mehr Sicherheitsvorkehrungen baust du ein.

Ein kleines Startup kann ein paar Minuten Ausfallzeit verkraften, weil es wenige Nutzer hat. Ein Fintech-Unternehmen kann keinen einzigen Transaktionsfehler tolerieren, weil das Risiko direkt Kunden und Regulierungsbehörden trifft. Ein SaaS-Unternehmen mit mehreren Teams kann nicht zulassen, dass ein Team den Service eines anderen Teams lahmlegt. Ein Mobile-First-Team kann kein Update ausrollen, das auf Tausenden Geräten abstürzt. Ein Team, das Legacy-Datenbanken betreut, darf keine Daten verlieren, weil die Wiederherstellung Tage dauert. Ein Infrastruktur-lastiges Team kann keine Konfigurationsdrift zulassen, weil die Auswirkungen das gesamte System betreffen.

Dein Risikoprofil bestimmt, wie streng dein Prozess sein muss. Baue nicht mehr Sicherheit ein, als dein tatsächliches Risiko erfordert. Baue nicht weniger ein, als dein Risiko verlangt.

Das dritte Muster: Automatisierung ist nicht das Ziel

Automatisierung ist ein Werkzeug, um repetitive manuelle Arbeit zu reduzieren. Niemand automatisiert um der Automatisierung willen.

Ein Startup automatisiert das Deployment, weil es keine Lust mehr hat, sich jedes Mal auf Server einzuloggen. Ein reguliertes Unternehmen automatisiert Audit-Trails, weil es unmöglich ist, jede Entscheidung manuell zu protokollieren. Ein SaaS-Unternehmen automatisiert Golden Paths, weil es nicht jedes neue Team von Grund auf schulen kann. Ein Mobile-First-Team automatisiert gestaffelte Rollouts, weil es nicht praktikabel ist, Tausende Geräte einzeln zu steuern. Ein Legacy-Datenbank-Team automatisiert Migrationen, weil manuelle Änderungen zu riskant sind. Ein Infrastruktur-Team automatisiert die Drift-Erkennung, weil die manuelle Überprüfung der Infrastruktur in großem Maßstab unpraktisch ist.

Automatisierung löst einen konkreten Schmerz. Wenn du diesen Schmerz noch nicht hast, automatisiere noch nicht.

Wo jede Organisation beginnt

Der Unterschied liegt nicht darin, was sie letztendlich aufbauen. Der Unterschied liegt darin, wo sie beginnen und was sie zuerst priorisieren.

Ein Startup beginnt mit der einfachstmöglichen Pipeline. Es fügt Sicherheitsvorkehrungen nur dann hinzu, wenn etwas anfängt wehzutun.

Ein reguliertes Unternehmen beginnt mit Compliance. Dann findet es heraus, wie es den Prozess beschleunigen kann, ohne die Compliance zu verlieren.

Ein SaaS-Unternehmen mit mehreren Teams beginnt mit Konsistenz zwischen den Teams. Dann fügt es Flexibilität innerhalb vereinbarter Grenzen hinzu.

Ein Mobile-First-Team beginnt mit der Kontrolle über die Distribution. Dann baut es Observability auf, um die Auswirkungen seiner Releases zu überwachen.

Ein Legacy-Datenbank-Team beginnt mit sicheren Migrationsmustern. Dann richtet es den Anwendungs-Deployment-Prozess darum herum aus.

Ein Infrastruktur-lastiges Team beginnt mit Governance. Dann stellt es sicher, dass Infrastrukturänderungen die darauf laufenden Anwendungen nicht stören.

Wie du das auf dein Team anwendest

Es gibt kein einzelnes Muster, das auf jede Organisation passt. Aber es gibt ein Framework, mit dem du deinen eigenen Startpunkt finden kannst.

Erstens: Finde heraus, was gerade am meisten wehtut. Ist das Deployment noch manuell? Werden Fehler erst entdeckt, nachdem sie in Produktion gegangen sind? Machen dich Datenbankänderungen nervös? Driften Infrastrukturkonfigurationen ständig vom gewünschten Zustand ab?

Zweitens: Finde die Fallstudie, die deiner Situation am nächsten kommt. Wenn dein Team klein ist, beginne mit dem Startup-Muster. Wenn du unter regulatorischer Aufsicht stehst, beginne mit dem Muster des regulierten Unternehmens. Wenn du mehrere Teams hast, beginne mit dem SaaS-Multi-Team-Muster.

Drittens: Baue jeweils eine Sicherheitsebene nach der anderen. Beginne mit einer einfachen Pipeline. Füge grundlegendes Monitoring hinzu. Füge Genehmigungsschritte nur für risikoreiche Änderungen hinzu. Füge die nächste Ebene nur hinzu, wenn der Bedarf tatsächlich auftritt.

Eine kurze praktische Checkliste

Bevor du deine nächste Pipeline entwirfst oder ein weiteres Tool hinzufügst, stelle dir diese Fragen:

Was ist das tatsächliche Risiko, wenn diese Änderung fehlschlägt?
Welcher manuelle Schritt verursacht gerade die meiste Reibung?
Kann ich das mit einem einfacheren Ansatz lösen, bevor ich Automatisierung hinzufüge?
Entspricht diese Sicherheitsvorkehrung dem tatsächlichen Risikoniveau, oder überengineere ich?

Die konkrete Erkenntnis

Dein Delivery-Prozess wird sich verändern, wenn dein Team, dein Produkt und deine Risiken wachsen. Kopiere nicht die Pipeline von jemand anderem. Verstehe, was du jetzt tatsächlich brauchst, baue das Einfachste, das dieses Bedürfnis erfüllt, und füge Komplexität nur hinzu, wenn der Schmerz es rechtfertigt. Das Muster, das heute für dich funktioniert, wird nicht das Muster sein, das du nächstes Jahr brauchst. Das ist normal. So entwickeln sich gute Engineering-Organisationen.