23-4 · Chapitre 23 · 7 min de lecture

Quand une modification de base de données nécessite plus qu'une simple revue de code

Découvrez pourquoi les pipelines CI/CD pour bases de données sont essentiels : validation syntaxique, détection de patterns dangereux, dry run et approbation basée sur les risques.

Quand une modification de base de données nécessite plus qu'une simple revue de code

Un développeur ouvre une pull request. La modification semble simple : ajouter une nouvelle colonne pour suivre les préférences utilisateur. Un collègue relit le code, l'approuve, et la modification est fusionnée. Vingt minutes plus tard, la base de données de production commence à accumuler des verrous. Les requêtes qui prenaient quelques millisecondes en prennent désormais plusieurs secondes. Le déploiement est annulé, mais les dégâts sont déjà faits.

Ce scénario se produit dans les équipes qui traitent les modifications de base de données de la même manière que les modifications de code applicatif. Une revue de code détecte les erreurs logiques et les problèmes de style, mais elle détecte rarement ce qui se passe lorsqu'une migration s'exécute sur une table contenant dix millions de lignes. La différence entre une migration sûre et une migration dangereuse n'est pas toujours visible dans le diff.

Pourquoi les pipelines de base de données sont différents

Les pipelines applicatifs vérifient que le code compile, que les tests passent et que l'artefact est déployable. Les pipelines de base de données ont un rôle différent : ils vérifient qu'une modification de schéma ne va pas corrompre les données existantes, verrouiller les tables trop longtemps ou dégrader les performances des requêtes après le déploiement.

Une seule migration peut entraîner une perte de données, déclencher des verrous longs ou rendre l'application inutilisable jusqu'à la fin de la migration. Ces risques ne sont pas théoriques. Chaque équipe qui gère une base de données de production a une histoire de migration qui a mal tourné.

Le pipeline pour les modifications de base de données existe pour détecter ces problèmes avant qu'ils n'atteignent la production. Il ne remplace pas la revue de code. Il ajoute une couche de vérification que la revue de code seule ne peut pas fournir.

Ce qui se passe après un commit

Lorsqu'un développeur commit un fichier de migration dans une branche de fonctionnalité, le pipeline de base de données commence automatiquement à exécuter des vérifications. Ces vérifications ont lieu avant qu'un relecteur humain ne regarde la modification.

La première vérification est la validation syntaxique. Le pipeline lit le fichier de migration et confirme que chaque instruction SQL peut être analysée sans erreur. Cela semble trivial, mais cela évite une perte de temps courante : un relecteur passant dix minutes à examiner une migration qui échoue dès la première ligne.

La deuxième vérification détecte les patterns dangereux. Supprimer une table, retirer une colonne ou modifier le type d'une colonne sont des opérations qui peuvent détruire des données. Le pipeline signale ces modifications comme étant à haut risque. Il ne les bloque pas automatiquement, mais il s'assure que tout le monde sait ce qui est en jeu.

La troisième vérification est un dry run. Le pipeline exécute la migration dans un environnement de test qui reflète la production aussi fidèlement que possible. Le dry run mesure la durée de la migration, vérifie si elle provoque des verrous de table et si les index doivent être reconstruits. Il vérifie également que les données de test restent cohérentes après la migration.

Tous ces résultats sont rassemblés dans un rapport unique qui est attaché à la pull request. Le relecteur voit le statut de la syntaxe, la liste des opérations risquées, la durée du dry run et tout avertissement concernant des problèmes potentiels. Il n'a pas besoin d'exécuter la migration manuellement ou de deviner ce qui pourrait se passer.

Le diagramme suivant résume les étapes du pipeline, du commit à la fusion :

flowchart TD A[Developer commits migration file] --> B[Pipeline triggers] B --> C[Syntax validation] C --> D[Schema diff against production] D --> E[Performance impact analysis] E --> F[Risk assessment] F --> G{Low risk?} G -- Yes --> H[Auto-approve] H --> I[Notify reviewer] I --> J[Merge if approved] G -- No --> K[Flag for human review] K --> L[Reviewer approves or rejects] L --> J F --> M[Generate pipeline report] M --> N[Attach report to pull request]

Approbation basée sur les risques

Toutes les migrations n'ont pas besoin du même niveau d'examen. Ajouter une colonne nullable avec une valeur par défaut est à faible risque. Supprimer une table qui pourrait encore être référencée par le code applicatif est à haut risque. Le pipeline doit refléter cette différence.

L'approbation basée sur les risques signifie que le pipeline exige des approbateurs différents selon le niveau de risque de la migration. Une migration à faible risque peut nécessiter l'approbation d'un développeur senior. Une migration à haut risque qui supprime une colonne ou exécute un backfill sur une grande table nécessite l'approbation d'un DBA ou d'un ingénieur principal qui comprend l'impact sur la production.

La configuration du pipeline définit ce qui est considéré comme à haut risque. Les patterns courants incluent :

Les instructions DROP TABLE ou DROP COLUMN
ALTER COLUMN qui modifie les types de données
Les migrations qui prennent plus d'une minute lors du dry run
Les opérations qui nécessitent des verrous exclusifs sur de grandes tables

Lorsque le pipeline détecte un pattern à haut risque, il bloque la fusion jusqu'à ce que l'approbateur désigné donne son approbation explicite. Il ne s'agit pas de bureaucratie. Il s'agit de s'assurer que la personne qui comprend la base de données de production a la possibilité d'examiner la modification avant qu'elle ne soit appliquée.

Le rapport qui reste avec la pull request

Le rapport du pipeline n'est pas seulement destiné au relecteur. C'est un enregistrement de ce qui a été vérifié et de ce qui a été trouvé. Lorsque quelqu'un examine la pull request des semaines plus tard, il peut voir si la migration a été validée, quels risques ont été identifiés et qui l'a approuvée.

Cela est important pour le débogage. Si une migration cause des problèmes après le déploiement, l'équipe peut consulter le rapport du pipeline pour voir si le dry run montrait des signes d'avertissement qui ont été ignorés. C'est également important pour les audits. Un environnement réglementé a besoin de preuves que les modifications de base de données ont été examinées et approuvées conformément à la politique.

Ce que le pipeline ne fait pas

Le pipeline vérifie qu'une migration est sûre à essayer. Il ne garantit pas que la migration réussira en production. Les environnements de production ont des distributions de données différentes, des modèles de charge différents et des contraintes de timing différentes. Un dry run qui prend trente secondes en staging pourrait prendre cinq minutes en production parce que la table est plus grande ou que le serveur est plus occupé.

Le pipeline ne gère pas non plus le timing de la migration. Exécuter une migration pendant les heures de pointe est risqué, quelle que soit la qualité des tests. La décision du moment où appliquer la migration, de la manière de gérer les verrous et de ce qu'il faut faire si quelque chose tourne mal appartient à un processus distinct.

Liste de contrôle pratique pour la mise en place d'un pipeline de base de données

Si vous construisez un pipeline de base de données pour votre équipe, voici les éléments à mettre en place en premier :

Validation syntaxique à chaque commit. Détectez les SQL cassés avant qu'ils n'atteignent un relecteur.
Détection des patterns dangereux. Signalez automatiquement les opérations DROP, ALTER COLUMN et autres opérations à haut risque.
Dry run dans un environnement représentatif. Mesurez la durée, les verrous et la cohérence des données.
Règles d'approbation basées sur les risques. Définissez ce qui est considéré comme à haut risque et qui peut l'approuver.
Rapport attaché à la pull request. Rendez les résultats de validation visibles pour les relecteurs et les lecteurs futurs.

Commencez par ces cinq éléments. Ils couvrent les points de défaillance les plus courants et donnent à votre équipe une méthode cohérente pour examiner les modifications de base de données.

L'essentiel à retenir

Un pipeline de base de données n'est pas un outil pour exécuter des migrations. C'est un mécanisme pour s'assurer que chaque modification de base de données reçoit le niveau d'examen approprié avant de toucher la production. La vérification syntaxique détecte les fautes de frappe. Le dry run détecte les problèmes de performance. L'approbation basée sur les risques garantit que la bonne personne examine la bonne modification.

Lorsque ces éléments fonctionnent ensemble, votre équipe peut avancer plus rapidement car elle a confiance que le pipeline détectera les problèmes tôt. Et lorsqu'une migration tourne mal, vous avez les données pour comprendre pourquoi.