11-8 · Глава 11 · 5 мин. чтения

Когда пайплайн решает, кто утверждает деплой

Узнайте, как внедрить риск-ориентированное управление деплоем: пайплайн сам оценивает риск изменений и применяет соответствующие политики утверждения.

Когда пайплайн решает, кто утверждает деплой

Представьте: разработчик исправляет опечатку на странице документации. Изменение — одна строка, никакой логики не затронуто, база данных не тронута. Но процесс деплоя всё равно требует двух утверждений, 30-минутного ожидания в стейджинге и подписи инженер-менеджера. Исправление, которое должно дойти до пользователей за пять минут, занимает полдня.

Теперь представьте обратное: разработчик меняет скрипт миграции базы данных, который может заблокировать таблицу в продакшене. Тот же пайплайн обрабатывает это изменение точно так же, как и исправление опечатки. Никакого дополнительного ревью, никаких дополнительных проверок. Изменение проходит незаметно, и команда обнаруживает проблему только когда запросы начинают падать по таймауту.

Оба сценария нерабочие, но по противоположным причинам. Первый замедляет безопасные изменения. Второй пропускает опасные. Проблема в том, что большинство пайплайнов деплоя применяют одинаковые правила к каждому изменению, независимо от того, что именно изменилось.

Почему универсальная модель утверждения не работает

Большинство команд начинают с простой модели утверждения: каждый деплой требует ревью. Это работает, когда команда маленькая и каждое изменение значимо. Но по мере роста кодовой базы модель ломается. Правка CSS и рефакторинг платежного модуля требуют одинакового согласования. Разработчики начинают обходить систему: группируют изменения, чтобы уменьшить количество деплоев, или, что хуже, пропускают ревью целиком, потому что процесс кажется бюрократией.

Настоящая проблема в том, что риск неоднороден. Изменение в README-файле несёт почти нулевой операционный риск. Изменение в миграции базы данных или модуле аутентификации несёт значительный риск. Обрабатывать их одинаково — значит быть либо слишком строгим для безопасных изменений, либо слишком мягким для рискованных.

Как пайплайн может оценивать риск автоматически

Вместо того чтобы полагаться на людей в оценке каждого изменения, можно научить пайплайн оценивать риск на основе изменённых файлов. Это называется скорингом риска, и работает он через правила, которые присваивают баллы изменениям в зависимости от их области.

Простой набор правил может выглядеть так:

Вот как эта логика транслируется в конфигурацию пайплайна GitLab CI:

stages:
  - test
  - deploy

deploy:
  stage: deploy
  script:
    - echo "Deploying to production..."
  rules:
    - if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
      changes:
        - "db/**/*"
        - "config/**/*"
      when: manual
      allow_failure: false
    - if: '$CI_PIPELINE_SOURCE == "merge_request_event"'
      changes:
        - "docs/**/*"
        - "README.md"
      when: on_success
    - when: on_success

Изменения в файлах docs/ или README.md: 0 баллов
Изменения в конфигурационных файлах (.env, config/): 3 балла
Изменения в бизнес-логике в src/: 7 баллов
Изменения в платежных модулях или модулях аутентификации: 20 баллов
Изменения в файлах миграций базы данных: 25 баллов

Пайплайн сканирует пул-реквест или коммит, проверяет каждый изменённый файл по этим правилам и суммирует общий балл. Этот балл затем определяет, что происходит дальше.

Сопоставление баллов риска с политиками деплоя

Как только пайплайн получает балл риска, он может применять разные политики в зависимости от результата. Типичная настройка может включать три уровня:

Следующая диаграмма иллюстрирует, как пайплайн сопоставляет баллы риска с политиками деплоя:

flowchart TD A[Изменение отправлено] --> B{Сканировать изменённые файлы} B --> C[Присвоить балл риска] C --> D{Балл <= 5?} D -->|Да| E[Низкий риск] E --> F[Автоутверждение] F --> G[Деплой в продакшен] D -->|Нет| H{Балл 6-15?} H -->|Да| I[Средний риск] I --> J[Требуется одно утверждение коллеги] J --> G H -->|Нет| K[Высокий риск] K --> L[Требуется два утверждения] L --> M[Деплой в стейджинг] M --> N[Запуск смоук-тестов и мониторинг] N --> O{Проверки пройдены?} O -->|Да| G O -->|Нет| P[Блокировка деплоя]

Низкий риск (баллы 0-5): Изменение может идти прямо в продакшен без ручного утверждения. Пайплайн запускает автоматические тесты, и если они проходят, деплой выполняется. Это охватывает исправления документации, незначительные изменения конфигурации или рефакторинг, не затрагивающий критических путей.

Средний риск (баллы 6-15): Изменение требует одного утверждения от коллеги или старшего инженера. Пайплайн приостанавливается после прохождения тестов и ждёт ручного согласования перед продолжением в продакшен.

Высокий риск (баллы 16+): Изменение требует двух утверждений и должно провести не менее одного часа в стейджинге с прохождением проверок мониторинга. Пайплайн сначала деплоит в стейджинг, запускает смоук-тесты, проверяет частоту ошибок и задержки, и только затем разрешает финальное продвижение в продакшен.

Эти пороги не фиксированы. Разные окружения могут иметь разные правила. В среде разработки можно считать всё низким риском, потому что там нет реальных пользователей. В стейджинге можно немного повысить пороги. В продакшене применяются самые строгие правила.

Реальная выгода — в согласованности, а не в идеальной точности

Скоринг риска никогда не будет идеально точным. Изменение в одной строке утилитарной функции может сломать что-то неожиданное, если эта функция вызывается во многих местах. Крупный рефакторинг, затрагивающий много файлов, может быть безопасным, если он только переименовывает переменные.

Но идеальная точность — не цель. Цель — заменить ad-hoc человеческие суждения согласованным, прозрачным процессом. Без скоринга риска каждый деплой начинается с обсуждения: «Нужно ли этому утверждение? Кто должен ревьюить? Достаточно ли это рискованно, чтобы требовать времени в стейджинге?» Эти обсуждения тратят время и создают несогласованность. На одной неделе небольшое изменение пропускают, на следующей — тот же тип изменения блокируют.

Со скорингом риска правила записаны и применяются автоматически. Команда может спорить о правилах один раз, когда их настраивает, вместо того чтобы спорить о каждом отдельном деплое. А поскольку правила прозрачны, команда может пересматривать и корректировать их со временем, по мере того как узнаёт, какие изменения на самом деле вызывают проблемы.

Как это меняет поведение команды

Риск-ориентированное управление деплоем делает больше, чем просто автоматизирует утверждения. Оно меняет то, как разработчики думают о структуре кода. Когда команда знает, что любое изменение в db/migrations/ автоматически запускает политику высокого риска, они становятся более осторожными с тем, что попадает в эту папку. Они могут отделить изменения схемы базы данных от скриптов миграции данных, чтобы простой бэкфилл данных не вызывал такого же внимания, как изменение схемы.

Это также поощряет лучшую модуляризацию. Если команда замечает, что изменения в определённом модуле всегда получают высокий балл риска, они могут реорганизовать этот модуль, чтобы изолировать действительно чувствительные части от рутинных обновлений. Со временем кодовая база становится более осознанно структурированной вокруг границ риска.

Практический чеклист для настройки скоринга риска

Если вы хотите внедрить этот подход, вот стартовый чеклист:

Определите, какие папки и шаблоны файлов представляют разные уровни риска в вашей кодовой базе
Определите систему баллов с чёткими значениями для каждого шаблона
Установите пороги для низкого, среднего и высокого риска в каждом окружении
Определите политику деплоя для каждого уровня риска (необходимые утверждения, время в стейджинге, проверки мониторинга)
Реализуйте логику скоринга риска в конфигурации вашего CI/CD пайплайна
Запускайте скоринг на каждом пул-реквесте и логируйте результаты для видимости
Пересмотрите правила скоринга через месяц и скорректируйте их на основе полученного опыта

Пайплайн становится лицом, принимающим решения

Когда вы добавляете риск-ориентированное управление деплоем, ваш пайплайн перестаёт быть просто инструментом, который выполняет команды. Он становится системой принятия решений, которая оценивает изменения, применяет правила и определяет подходящий путь в продакшен. Пайплайн не заменяет человеческое суждение полностью, но резервирует человеческое внимание для изменений, которые действительно в нём нуждаются.

Речь не об устранении контроля. Речь о применении правильного уровня контроля к правильному изменению. Маленькие, безопасные изменения движутся быстро. Крупные, рискованные изменения получают то внимание, которого заслуживают. И команда перестаёт тратить энергию на обсуждение того, что должно быть очевидным.