37-3 · Глава 37 · 5 мин. чтения

Утверждение на основе риска: когда изменение действительно требует одобрения?

Узнайте, как внедрить утверждение на основе риска в CI/CD. Статья объясняет, как отличать изменения с низким риском от критических и автоматизировать процесс одобрения.

Утверждение на основе риска: когда изменение действительно требует одобрения?

Представьте два изменения, которые поступают в один день. Одно меняет цвет кнопки на внутренней панели управления. Другое изменяет схему базы данных, отвечающую за оформление заказа. Если оба изменения должны пройти один и тот же процесс утверждения — заседание CAB, подпись руководителя или долгую очередь ожидания — команда быстро потеряет терпение. Небольшие изменения задерживаются, а рискованные изменения не получают должного внимания.

Такое случается во многих инженерных организациях. Единый процесс утверждения для каждого изменения часто превращается в бюрократию, а не в защиту. Люди ждут, контекст устаревает, и появляется самый опасный побочный эффект: команды перестают ясно оценивать риск каждого изменения.

Проблема утверждения каждого изменения

Когда каждое изменение требует одинакового одобрения, команды могут потерять чувство ответственности. Разработчик может подумать: «Кто-то другой проверит это позже». Но человек, ближе всего находящийся к изменению, обычно понимает его лучше всех. Если утверждение становится единственным механизмом контроля качества, команда становится менее внимательной, а не более.

Чрезмерное утверждение создает иллюзию безопасности. Рецензенты вынуждены проверять слишком много изменений за слишком короткое время. Изменения с высоким риском могут получить поверхностную проверку, в то время как изменения с низким риском ждут в той же очереди. Процесс выглядит контролируемым, но фактический риск не управляется должным образом.

Принцип утверждения на основе риска

Утверждение на основе риска начинается с простого принципа: чем выше риск, тем более строгим должен быть путь утверждения. Изменения с низким риском могут двигаться быстро. Изменения с высоким риском должны проверяться людьми, которые понимают возможное влияние.

Многие команды уже делают это неформально. Проблема в том, что без четкой структуры граница между «требует утверждения» и «не требует утверждения» становится размытой. Решения зависят от того, кто запросил изменение, кто дежурит или насколько нервно в организации на этой неделе. Лучшая модель привязывает путь утверждения к фактическому риску изменения.

Определение порогов утверждения

Порог утверждения — это линия, которая определяет, может ли изменение выполняться автоматически или должно ждать одобрения человека. Эта линия должна быть явной, последовательной и привязанной к наблюдаемым характеристикам изменения.

Полезные критерии включают:

Затрагивает ли изменение пользовательские данные?
Изменяет ли оно схему базы данных или путь миграции?
Может ли оно повлиять на доступность сервиса?
Включает ли оно платежи, аутентификацию, безопасность или другие критически важные потоки?
Изменяет ли оно инфраструктуру, от которой зависят многие системы?
Затрагивает ли оно компонент с историей хрупкого поведения?

Лучшие пороги могут быть обнаружены автоматически. Конвейер может увидеть, что запрос на слияние содержит файлы миграции базы данных, изменения Terraform, конфигурацию подписи мобильного приложения или изменения политик секретов в продакшене. Затем он может направить развертывание по правильному пути утверждения, не полагаясь на догадки.

Следующий фрагмент GitLab CI демонстрирует, как конвейер может автоматически определять риск и условно требовать ручного утверждения:

stages:
  - test
  - deploy
  - approval
  - production

risk-check:
  stage: test
  script:
    - if git diff --name-only $CI_MERGE_REQUEST_DIFF_BASE_SHA...$CI_SHA | grep -E "^(migrations/|payment/)"; then
    -   echo "HIGH_RISK=true" >> risk.env
    - else
    -   echo "HIGH_RISK=false" >> risk.env
    - fi
  artifacts:
    reports:
      dotenv: risk.env

approval-job:
  stage: approval
  needs: [risk-check]
  rules:
    - if: $HIGH_RISK == "true"
      when: manual
      allow_failure: false
  script:
    - echo "Изменение требует ручного утверждения перед развертыванием в продакшене"

deploy-production:
  stage: production
  needs: [approval-job]
  script:
    - echo "Развертывание в продакшене"

Следующая блок-схема иллюстрирует, как изменение может быть оценено по этим критериям и направлено на соответствующий путь утверждения.

flowchart TD A[Изменение отправлено] --> B{Оценка риска} B -->|Низкий риск| C[Стандартное изменение] C --> D[Без формального утверждения] D --> E[Развертывание] B -->|Средний риск| F[Обычное изменение] F --> G[Ревью коллеги] G --> H{Утверждено?} H -->|Да| E H -->|Нет| I[Доработка и повторная отправка] I --> A B -->|Высокий риск| J[Экстренное изменение] J --> K[Быстрый путь утверждения] K --> L{Утверждено?} L -->|Да| E L -->|Нет| I

Три практические категории изменений

Многие команды могут начать с трех категорий.

Стандартные изменения — это изменения с низким риском и повторяющиеся. Примеры включают обновления контента, хорошо протестированные изменения конфигурации или развертывания, следующие известному безопасному шаблону. Эти изменения должны выполняться без формального утверждения. Команда остается ответственной за качество.

Обычные изменения несут умеренный риск. Они могут потребовать ревью от одного или двух человек, которые понимают затронутую область. Обычно это может происходить асинхронно. Формальная встреча редко необходима.

Экстренные изменения вносятся для устранения инцидента или предотвращения немедленного ущерба. Им нужен быстрый путь с минимальными препятствиями, с последующей документацией. Цель — не замедлить восстановление. Цель — убедиться, что организация знает, что было изменено, почему и что следует улучшить после инцидента.

Как это меняет поведение команды

Когда утверждение зарезервировано для значимого риска, команды становятся более внимательными. Они знают, что небольшие изменения — это их ответственность. Они также знают, что крупные изменения получат дополнительное внимание от людей, которые могут помочь выявить слепые зоны.

Это поддерживает культуру ответственности, а не культуру передачи задач. Разработчики не могут спрятаться за утверждением. Ревьюеры не завалены тривиальными запросами. Организация тратит свое внимание там, где оно действительно имеет значение.

Практический чек-лист

Определите критически важные компоненты, такие как базы данных, платежные потоки, аутентификация, состояние инфраструктуры и общие сервисы.
Определите объективные пороги для каждой категории риска.
Задокументируйте, какой путь утверждения применяется к стандартным, обычным и экстренным изменениям.
Сделайте так, чтобы конвейер обнаруживал индикаторы риска, где это возможно.
Записывайте утверждения и подтверждения как часть записи о развертывании.
Периодически пересматривайте пороги, потому что риск меняется по мере развития системы и команды.

Управление, которое помогает движению доставки

С утверждением на основе риска управление становится помощником доставки, а не ее блокировщиком. Оно дает изменениям с низким риском быстрый путь, а изменениям с высоким риском — то внимание, которого они заслуживают.

Смысл не в том, чтобы утверждать все. Смысл в том, чтобы утверждать правильные вещи. Здоровая CI/CD система должна различать рутинное движение и реальную опасность. Когда это различие ясно, команды могут двигаться быстрее, не делая вид, что каждое изменение одинаково безопасно.

Конкретный вывод: Начните с определения того, какие изменения в вашей среде действительно являются высокорискованными. Дайте рутинным изменениям быстрый путь. Дайте рискованным изменениям более тщательное ревью. Эффективное утверждение — это не контроль каждого движения. Это гарантия того, что изменения, которые могут причинить реальный ущерб, получат должное внимание до того, как попадут в продакшен.