37-2 · Глава 37 · 5 мин. чтения

Не все изменения одинаковы: стандартные, нормальные и экстренные изменения

Узнайте, как классифицировать изменения в CI/CD по уровню риска: стандартные, нормальные и экстренные. Практическое руководство по внедрению пропорционального контроля в пайплайн.

Не все изменения одинаковы: стандартные, нормальные и экстренные изменения

Разработчик открывает пул-реквест, чтобы исправить опечатку на странице "О компании". Три дня спустя исправление всё ещё ждёт утверждения. Тем временем другая команда готовится мигрировать схему платёжной базы данных — и тоже ждёт того же процесса согласования. Исправление опечатки и миграция базы данных обрабатываются одинаково: оба требуют встречи, подписи и слота в следующем окне релиза.

Эта ситуация раздражает, но она распространена. Когда каждое изменение проходит через один и тот же конвейер утверждения, мелкие правки застревают за тяжеловесными процессами, а изменения с высоким риском могут не получить должного внимания. Проблема не в управлении как таковом. Проблема в том, что все изменения рассматриваются как одинаково рискованные.

Почему универсальное утверждение не работает

Желание контролировать каждое изменение исходит из благих намерений: никто не хочет сломать продакшен. Но когда процесс утверждения не различает обновление текста и миграцию схемы, происходят две вещи. Во-первых, низкорисковые изменения накапливаются в ожидании утверждений, которые не добавляют реальной безопасности. Во-вторых, команда привыкает к процессу и перестаёт задумываться. Когда всё требует подписи, люди перестают думать, имеет ли эта подпись значение. Они просто ждут галочки.

Результат — система, которая замедляет безопасные изменения, не делая рискованные более безопасными. Решение не в отказе от управления, а в том, чтобы сделать управление пропорциональным риску.

Три категории изменений

Большинство зрелых команд делят изменения на три категории по степени риска и изученности: стандартные, нормальные и экстренные. У каждой категории свой путь утверждения.

Следующая диаграмма показывает, как изменение попадает в пайплайн и направляется в соответствующий процесс утверждения в зависимости от классификации.

flowchart TD A[Запрос изменения] --> B{Это экстренный случай?} B -->|Да| C[Экстренное изменение] C --> D[Внести изменение немедленно] D --> E[Документировать и провести пост-ревью] B -->|Нет| F{Процедура документирована и проверена?} F -->|Да| G[Стандартное изменение] G --> H[Автоматическое утверждение в пайплайне] H --> I[Развернуть] F -->|Нет| J[Нормальное изменение] J --> K{Оценка уровня риска} K -->|Низкий| L[Ревью коллегой] K -->|Высокий| M[CAB или ревью нескольких заинтересованных сторон] L --> N[Утвердить и развернуть] M --> N

Стандартные изменения

Стандартное изменение — это то, что команда делала много раз раньше. Процедура известна, результат предсказуем, а риск хорошо понятен. Примеры: обновление статического контента на маркетинговой странице, добавление сервера для обработки пиков трафика или повторный запуск пайплайна, упавшего из-за временной сетевой проблемы.

Поскольку команда уже точно знает, что произойдёт, и имеет проверенную процедуру, стандартные изменения не требуют ручного ревью или утверждения. Команда просто следует документированной процедуре. Ключевое требование — процедура должна быть документирована и аудитируема. Если что-то пойдёт не так, команда сможет отследить и проверить, правильно ли была выполнена процедура.

Стандартные изменения — это область, где автоматизация раскрывается в полной мере. Если процедура действительно предсказуема, её следует закодировать в CI/CD пайплайне. Сам пайплайн становится механизмом утверждения: если автоматические проверки пройдены, изменение проходит.

Нормальные изменения

Нормальное изменение — это то, что команда раньше не делала, или риск не до конца понятен. Примеры: добавление функции, меняющей бизнес-логику, обновление версии базы данных или изменение конфигурации безопасности.

Нормальные изменения требуют ревью. Ревьюером может быть коллега-разработчик, член команды безопасности или Совет по изменениям (CAB) — в зависимости от уровня риска. Но ревью не обязательно означает медленный процесс. Для низкорисковых нормальных изменений достаточно быстрого ревью одним-двумя людьми. Для высокорисковых нормальных изменений ревью может включать больше заинтересованных сторон и дополнительное тестирование.

Ключевой момент: нормальные изменения не заблокированы по умолчанию. Они рецензируются пропорционально. Команда, имеющая чёткие критерии, что делает изменение низкорисковым или высокорисковым, может автоматически направлять каждое изменение на соответствующую глубину ревью.

Экстренные изменения

Экстренное изменение — это то, что должно быть сделано немедленно для исправления проблемы на живом сервере. Примеры: падение продакшен-сервера, повреждение данных или активная эксплуатация уязвимости безопасности. В таких ситуациях ожидание ревью или встречи по утверждению только усугубит проблему.

Для экстренных изменений есть быстрый трек. Команда может внести изменение немедленно, но с условием: изменение должно быть задокументировано и оценено постфактум. Команда должна записать, что было изменено, кто изменил, почему это было экстренно и каково было влияние. После разрешения инцидента команда оценивает, было ли экстренное изменение уместным или требует дальнейшей корректировки.

Быстрый трек — не бесплатный пропуск. Это компромисс: скорость сейчас, ответственность потом. Команды, злоупотребляющие экстренным треком, классифицируя рутинные изменения как экстренные, со временем потеряют доверие и создадут реальный риск.

Как классифицировать изменения

Три категории полезны только в том случае, если у команды есть чёткие критерии для каждой. Без критериев классификация становится произвольной. То, что для одного — стандартное изменение, для другого — нормальное, и вся система рушится.

Начните с определения, что делает изменение стандартным. Хорошее эмпирическое правило: если команда выполняла одно и то же изменение как минимум пять раз без инцидентов и процедура полностью документирована, это кандидат на статус стандартного. Если есть хоть какая-то неопределённость — оно относится к нормальной категории.

Для нормальных изменений определите, что делает изменение высокорисковым или низкорисковым. Общие факторы: затрагивает ли изменение схему базы данных? Влияет ли на аутентификацию или авторизацию? Меняет ли обработку денег? Требует ли план отката? Чем больше ответов «да», тем выше риск.

Для экстренных изменений определите, что считается экстренным. Опечатка на лендинге — не экстренный случай. Падение продакшена, затрагивающее платящих клиентов — да. Команда должна согласовать примеры реальных экстренных ситуаций и примеры ситуаций, которые выглядят срочными, но не являются таковыми.

Интеграция классификации в пайплайн

Как только критерии ясны, следующий шаг — интегрировать классификацию в CI/CD пайплайн. Это не означает создание сложной системы утверждения. Это означает добавление простого поля в запрос изменения или тикет развёртывания, где разработчик указывает классификацию изменения. Пайплайн затем может направить изменение на соответствующий путь ревью.

Например, workflow GitHub Actions может автоматически присвоить пул-реквесту метку standard, если он затрагивает только документацию или конфигурационные файлы, и пропустить шаг ручного утверждения:

name: Classify Change
on: pull_request

jobs:
  classify:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/labeler@v5
        with:
          repo-token: "${{ secrets.GITHUB_TOKEN }}"
          configuration-path: .github/labeler.yml

  deploy-standard:
    if: contains(github.event.pull_request.labels.*.name, 'standard')
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Deploy without manual approval
        run: echo "Deploying standard change..."

И сопутствующий файл .github/labeler.yml определяет, какие пути соответствуют метке standard:

standard:
  - changed-files:
      - any-glob-to-any-file: ['docs/**', 'config/**', '*.md']

Для стандартных изменений пайплайн может выполняться автоматически после обычных тестов. Для нормальных изменений пайплайн может приостановиться и уведомить соответствующих ревьюеров. Для экстренных изменений пайплайн может разрешить развёртывание, но запустить требование пост-документирования.

Цель — не построить бюрократию. Цель — сделать пайплайн отражением понимания риска командой. Когда пайплайн обрабатывает классификацию автоматически, команда тратит меньше времени на процессы и больше — на реальную работу.

Практический чек-лист

Перед следующим развёртыванием задайте эти вопросы:

Делали ли мы это изменение раньше с документированной процедурой? Если да — рассматривайте как стандартное и автоматизируйте утверждение.
Это изменение новое или неопределённое? Если да — определите уровень риска и назначьте соответствующего ревьюера.
Нужно ли это изменение для исправления проблемы на живом сервере? Если да — вносите изменение сейчас, но документируйте всё и запланируйте пост-инцидентный разбор.

Вывод

Управление изменениями — это не про замедление всех. Это про применение правильного уровня контроля к правильному изменению. Стандартные изменения должны летать. Нормальные изменения должны получать пропорциональное ревью. Экстренные изменения должны получать скорость с ответственностью. Когда команда согласовывает критерии и встраивает их в пайплайн, утверждение становится умнее, а не тяжелее.