5-4 · Kapitel 5 · 5 Min. Lesezeit

Warum DBAs und Security Engineers ständig Ihre Releases blockieren (und wie Sie das beheben)

Erfahren Sie, warum DBAs und Security Engineers zu Engpässen in Ihrer CI/CD-Pipeline werden und wie Sie durch frühe Einbindung und Shift-Left-Praktiken Releases beschleunigen.

Warum DBAs und Security Engineers ständig Ihre Releases blockieren (und wie Sie das beheben)

Sie haben ein Feature fertig. Die Entwickler haben den Code abgeschlossen. QA hat freigegeben. Die Staging-Umgebung sieht gut aus. Sie planen das Release für heute Abend.

Dann schaut sich der DBA die Änderung an und sagt: „Diese Migration wird die Tabelle für fünf Minuten sperren. Die Produktion ist zu dieser Zeit ausgelastet. Das können wir nicht machen.“

Oder der Security Engineer prüft die Upload-Funktion und stellt fest: keine Dateityp-Prüfung, keine Größenbeschränkung, direkter öffentlicher Zugriff auf hochgeladene Dateien. Er sagt: „Das kann nicht raus.“

Das Release ist verzögert. Schon wieder.

Dieses Szenario wiederholt sich jede Woche in Teams auf der ganzen Welt. Die übliche Reaktion ist, dem DBA oder dem Security Engineer die Schuld zu geben, weil sie blockieren. Aber das eigentliche Problem ist, wie und wann sie eingebunden werden.

Das Problem des DBA mit späten Änderungen

Datenbankadministratoren sind dafür verantwortlich, die Datenbank stabil, verfügbar und performant zu halten. Sie kennen das Produktionsverhalten: welche Tabellen hohen Traffic haben, wann die Last Spitzen erreicht und welche Operationen Sperren verursachen. Ein Entwickler, der eine Schemaänderung auf seinem Laptop mit ein paar hundert Zeilen testet, erlebt nicht, was passiert, wenn dieselbe Migration gegen Millionen von Zeilen unter aktiven Transaktionen läuft.

Wenn ein DBA eine Änderung zum ersten Mal am Release-Gate sieht, hat er nur zwei Optionen: genehmigen oder ablehnen. Er hat keinen Kontext darüber, wie kritisch das Feature ist, ob es einen Workaround gibt oder ob die Migration in sicherere Schritte aufgeteilt werden kann. Also entscheidet er sich standardmäßig für Vorsicht. Er bittet um mehr Zeit. Er schlägt einen anderen Ansatz vor. Das Release stockt.

Der DBA will Sie nicht blockieren. Er versucht, einen Vorfall zu verhindern, den er um 2 Uhr morgens beheben müsste.

Das Dilemma des Security Engineers

Security Engineers erleben dasselbe Muster. Sie werden im letzten Moment hinzugezogen, bekommen ein Feature überreicht und sollen es schnell absegnen. Aber sie sehen Dinge, die das Team während der Entwicklung übersehen hat: ungeprüfte Eingaben, fehlende Authentifizierungsprüfungen, offene Endpunkte, Risiken von Datenlecks.

Wenn sie ohne Prüfung zustimmen, tragen sie das Risiko. Wenn sie ablehnen, werden sie zum Blocker. Keine der beiden Optionen ist gut.

Security Engineers sagen nicht gerne Nein. Sie wollen, dass Features sicher ausgeliefert werden. Aber wenn sie erst am Ende konsultiert werden, ist ihr einziges Druckmittel das Veto. Sie nutzen es, weil die Alternative darin besteht, eine Sicherheitslücke auszuliefern.

Die Ursache: Späte Einbindung

Beide Rollen werden aus demselben Grund zu Engpässen: Sie werden als Gatekeeper am Ende der Pipeline behandelt, statt als Kollaborateure während des gesamten Prozesses. Das Team baut das Feature, testet es und bittet erst dann um Genehmigung. Zu diesem Zeitpunkt bedeutet jedes Problem Nacharbeit, Verzögerung oder eine riskante Ausnahme.

Das ist kein Personenproblem. Es ist ein Workflow-Problem.

Shift Left: Prüfungen nach vorne verlagern

Die Lösung besteht darin, DBAs und Security Engineers einzubeziehen, bevor Code geschrieben wird, nicht erst, wenn er bereit zum Deployment ist. Dieser Ansatz wird oft als Shift Left bezeichnet – Prüfungen früher im Auslieferungsprozess durchführen.

Der Kontrast zwischen altem und neuem Ablauf ist deutlich:

flowchart TD subgraph Old[Alter Ablauf: Späte Prüfung] A1[Dev baut Feature] --> A2[QA testet] A2 --> A3[Release-Gate] A3 --> A4[DBA/Security-Prüfung] A4 --> A5{Freigegeben?} A5 -- Nein --> A6[Blockiert / Nacharbeit] A5 -- Ja --> A7[Release] end subgraph New[Neuer Ablauf: Shift Left] B1[Dev + DBA/Security frühe Prüfung] --> B2[Dev baut Feature] B2 --> B3[QA testet] B3 --> B4[Release-Gate] B4 --> B5[Release] end A6 -.->|rot| A6 A5 -.->|rot| A6 B1 -.->|grün| B1

Für Datenbankänderungen bedeutet das: Ein Entwickler bespricht die geplante Schemaänderung während des Designs mit dem DBA. Der DBA kann sagen:

Diese Migration ist sicher im laufenden Betrieb ausführbar.
Diese Änderung erfordert zuerst eine Backfill-Strategie.
Diese Tabelle benötigt ein Wartungsfenster.
Wir sollten dies in mehrere kleinere Migrationen aufteilen.

Der Entwickler passt den Plan an, bevor er Code schreibt. Wenn die Änderung die Release-Phase erreicht, weiß der DBA bereits Bescheid und hat den Ansatz bereits genehmigt. Keine Überraschung, keine Verzögerung.

Für die Sicherheit gilt dasselbe Prinzip. Bevor ein Upload-Feature gebaut wird, fragt das Team: „Welche Sicherheitsrisiken bringt dieses Feature mit sich?“ Der Security Engineer gibt frühzeitig Anleitung: Dateitypen prüfen, Größenbeschränkungen durchsetzen, Dateien außerhalb des Web-Roots speichern, Authentifizierung für den Zugriff verlangen. Der Entwickler setzt dies von Anfang an um. Wenn das Feature fertig ist, ist die Sicherheitsprüfung eine Formalität, keine Entdeckungsreise.

Asynchron arbeiten

DBAs und Security Engineers früh einzubeziehen bedeutet nicht, dass sie an jedem Daily Standup teilnehmen oder in jedem Design-Meeting sitzen müssen. Das skaliert nicht. Stattdessen können sie wiederverwendbare Artefakte bereitstellen:

Ein DBA veröffentlicht Richtlinien für sichere Schemaänderungen: welche Operationen im laufenden Betrieb sicher sind, welche ein Wartungsfenster erfordern, wie man die Sperrdauer abschätzt.
Ein Security Engineer pflegt eine Sicherheits-Checkliste für häufige Feature-Typen: Datei-Upload, Authentifizierung, API-Endpunkte, Datenexport.
Beide Rollen bieten Sprechstunden oder asynchrone Review-Slots an, in denen Entwickler vor dem Schreiben von Code Fragen stellen können.

Entwickler nutzen diese Ressourcen zur Selbstprüfung, bevor sie ein formelles Review anfordern. Der DBA oder Security Engineer muss nur noch Randfälle oder risikoreiche Änderungen prüfen. Der Rest folgt den etablierten Mustern.

Die praktische Checkliste

Stellen Sie sich vor Ihrem nächsten Release diese Fragen:

Hat der DBA die Datenbankänderungen gesehen, bevor die Entwicklung begann?
Hat der Security Engineer das Feature-Design auf Risiken geprüft?
Gibt es schriftliche Richtlinien für sichere Migrationen und Sicherheitsprüfungen?
Können Entwickler vor der Beantragung eines Reviews eine Selbstprüfung anhand dieser Richtlinien durchführen?
Gibt es einen Prozess für asynchrone Konsultationen, nicht nur für Last-Minute-Gates?

Wenn die Antwort auf eine dieser Fragen Nein lautet, haben Sie Ihren nächsten Engpass gefunden.

DBAs und Security Engineers sind Beschützer, keine Blockierer

Sie existieren, um Produktionsvorfälle und Datenlecks zu verhindern. Das ist eine gute Sache. Das Problem ist, wenn sie gezwungen sind, diese Aufgabe im ungünstigsten Moment zu erledigen. Wenn Sie sie früh einbeziehen, können sie führen, beraten und schützen, ohne das Release zu stoppen. Wenn Sie sie spät einbeziehen, haben sie keine andere Wahl, als es zu stoppen.

Optimieren Sie das Timing, und der Blocker verschwindet.