37-5 · Bab 37 · 4 menit baca

Mengapa Setiap Persetujuan Deployment Harus Meninggalkan Jejak yang Dapat Diaudit

Pelajari pentingnya jejak audit dalam persetujuan deployment CI/CD. Artikel ini membahas tiga pilar bukti yang dapat diaudit, cara pipeline menangkapnya, dan checklist praktis untuk kepatuhan.

Mengapa Setiap Persetujuan Deployment Harus Meninggalkan Jejak yang Dapat Diaudit

Enam bulan lalu, sebuah perubahan dilakukan. Beberapa jam kemudian, data transaksi mulai menghilang. Tim memperbaikinya dengan cepat, menambal masalahnya, dan melanjutkan pekerjaan. Sekarang manajemen ingin tahu apa yang sebenarnya terjadi. Siapa yang menyetujui perubahan itu? Informasi apa yang mereka gunakan sebagai dasar keputusan? Perubahan persis apa yang disetujui?

Tanpa catatan yang memadai, tim hanya memiliki ingatan samar dan saling menyalahkan. Skenario ini terjadi di organisasi setiap hari. Solusinya bukan hanya proses persetujuan yang lebih baik. Ini tentang memastikan setiap persetujuan meninggalkan bukti yang dapat diperiksa berbulan-bulan atau bertahun-tahun kemudian.

Persetujuan Bukan Sekadar Centang

Banyak tim menganggap persetujuan sebagai formalitas belaka. Seseorang mengklik tombol di Jira, mengirim jempol di Slack, atau menandatangani di thread email. Itu bukan persetujuan. Itu hanya gestur.

Persetujuan sejati adalah keputusan terdokumentasi bahwa seseorang telah meninjau perubahan tertentu dan memutuskannya aman untuk dilanjutkan. Dokumentasi harus bertahan lama setelah semua orang melupakan detailnya. Dokumentasi harus menjawab tiga pertanyaan:

Siapa yang menyetujui ini?
Informasi apa yang mereka gunakan untuk memutuskan?
Perubahan persis apa yang mereka setujui?

Ketiga bagian ini membentuk jejak audit. Tanpa itu, Anda tidak memiliki cara untuk merekonstruksi apa yang terjadi ketika sesuatu berjalan salah. Dan sesuatu pasti akan berjalan salah.

Tiga Pilar Bukti yang Dapat Diaudit

Siapa yang Menyetujui

Ini berarti individu yang dapat diidentifikasi. Bukan nama tim. Bukan "engineer on-call." Orang spesifik yang nama, peran, dan tanggung jawabnya jelas.

Jika sistem Anda menggunakan persetujuan otomatis berdasarkan kebijakan, sistem harus mencatat kebijakan mana yang dipicu dan siapa yang membuat kebijakan tersebut. Otomatisasi tidak menghilangkan akuntabilitas. Otomatisasi mengalihkannya ke pembuat kebijakan.

Apa yang Mereka Gunakan sebagai Dasar

Persetujuan harus merujuk pada bukti yang mendukung keputusan. Ini bisa berupa:

Hasil pengujian yang menunjukkan tidak ada regresi performa pada basis data
Laporan pemindaian keamanan tanpa temuan kritis
Data monitoring yang membuktikan status produksi saat ini sehat
Untuk perubahan darurat, laporan insiden yang menjelaskan mengapa proses normal tidak bisa menunggu

Tanpa konteks ini, persetujuan hanyalah stempel karet. Anda tidak bisa membedakan apakah pemberi persetujuan membuat keputusan berdasarkan informasi atau hanya membersihkan tiket agar proses tetap berjalan.

Perubahan Apa yang Disetujui

Ini memerlukan referensi langsung ke perubahan spesifik. Nomor pull request. Hash commit. Tautan ke catatan perubahan dengan detail lengkap.

Tanpa referensi ini, ambiguitas muncul. Apakah persetujuan mencakup versi yang benar-benar di-deploy, atau versi yang dimodifikasi setelahnya? Apakah pemberi persetujuan melihat diff final, atau draf awal? Pertanyaan-pertanyaan ini penting saat Anda menyelidiki sebuah insiden.

Apa yang Paling Sering Terlewatkan

Tim biasanya ingat mencatat persetujuan untuk perubahan yang lolos. Tapi bagaimana dengan perubahan yang ditolak?

Ketika seorang reviewer memblokir deployment, keputusan itu juga perlu dicatat. Mungkin penolakannya benar. Mungkin itu kesalahan. Bagaimanapun, tanpa catatan, tim tidak bisa belajar dari keputusan masa lalu. Mereka mungkin mengulangi kesalahan yang sama, atau lebih buruk, mereka mungkin mengesampingkan penolakan yang valid karena tidak ada yang ingat alasannya.

Perubahan yang ditolak sama pentingnya dengan yang disetujui. Mereka mewakili keputusan yang membentuk apa yang akhirnya mencapai produksi. Perlakukan mereka dengan ketelitian dokumentasi yang sama.

Bagaimana Pipeline Harus Menangkap Bukti

Pipeline CI/CD adalah tempat alami untuk menangkap bukti ini. Bukan lampiran email. Bukan PDF di folder bersama. Bukan tangkapan layar yang ditempel di halaman wiki. Pipeline itu sendiri harus merekam semuanya secara otomatis.

Berikut cara kerjanya dalam praktik:

Misalnya, pipeline GitLab CI dapat mendefinisikan job persetujuan manual yang mencatat jejak audit ke file terstruktur:

approve-production:
  stage: deploy
  when: manual
  only:
    - main
  script:
    - |
      echo "{\"approver\":\"$GITLAB_USER_LOGIN\",\
            \"timestamp\":\"$(date -u +%Y-%m-%dT%H:%M:%SZ)\",\
            \"commit\":\"$CI_COMMIT_SHA\",\
            \"pipeline_id\":\"$CI_PIPELINE_ID\"}" > audit-log.json
    - cat audit-log.json
  artifacts:
    paths:
      - audit-log.json
    expire_in: never

Ketika sebuah perubahan mencapai gate persetujuan manual, pipeline berhenti dan memberi tahu pemberi persetujuan. Pemberi persetujuan meninjau perubahan, bersama dengan hasil pengujian, pemindaian, atau data monitoring yang dilampirkan pada pipeline run. Ketika mereka menyetujui atau menolak, pipeline mencatat:

Identitas pemberi persetujuan (dari sistem autentikasi)
Stempel waktu
Artifak atau hash commit yang di-deploy
Tautan ke bukti yang mereka tinjau
Komentar apa pun yang mereka tambahkan

Informasi ini disimpan bersama catatan deployment. Setiap deployment kini memiliki catatan perubahan lengkap: siapa yang menyetujuinya, kapan, berdasarkan apa, dan versi apa yang dikirim.

Mengapa Ini Penting untuk Audit

Audit tidak harus menyakitkan jika bukti Anda terorganisir. Auditor bisa masuk, menarik riwayat deployment, dan melihat persis apa yang terjadi untuk perubahan apa pun dalam setahun terakhir. Tidak perlu berburu arsip email. Tidak perlu bertanya ke anggota tim apa yang mereka ingat. Tidak ada cerita yang saling bertentangan.

Catatan yang sama membantu tim Anda sendiri selama tinjauan pasca-insiden. Ketika sesuatu rusak, Anda bisa melacak kembali melalui rantai persetujuan. Anda bisa melihat apakah pemberi persetujuan memiliki informasi yang tepat. Anda bisa mengidentifikasi celah dalam proses tinjauan Anda. Anda bisa meningkatkan tata kelola tanpa menebak-nebak.

Checklist Praktis untuk Persetujuan yang Dapat Diaudit

Sebelum Anda menyebut proses persetujuan selesai, verifikasi poin-poin ini:

Setiap persetujuan mencatat individu spesifik yang menyetujui, bukan grup atau peran
Setiap persetujuan menautkan ke bukti yang mendukung keputusan
Setiap persetujuan merujuk pada perubahan yang tepat (hash commit, nomor PR, atau catatan perubahan)
Perubahan yang ditolak dicatat dengan detail yang sama seperti yang disetujui
Pipeline menangkap data ini secara otomatis, bukan melalui dokumentasi manual
Catatan disimpan bersama artifak deployment, bukan di sistem terpisah

Kesimpulan

Bukti yang dapat diaudit mengubah persetujuan dari hambatan birokrasi menjadi jaring pengaman. Ketika semuanya berjalan baik, Anda tidak pernah melihat catatan itu. Ketika sesuatu rusak, catatan itu menjadi pembeda antara memahami apa yang terjadi dan hanya menebak. Bangun pipeline Anda untuk menangkap siapa yang menyetujui, apa yang mereka ketahui, dan apa yang mereka setujui. Simpan secara otomatis. Simpan selamanya. Diri Anda di masa depan akan berterima kasih saat tinjauan insiden berikutnya tiba.