5-4 · Глава 5 · 4 мин. чтения

Почему DBA и инженеры безопасности блокируют ваши релизы (и как это исправить)

Функция готова, код написан, QA подписал, стейджинг работает. Вы планируете релиз на вечер. Но DBA или security engineer говорят: «Нет». Разбираем, почему так происходит и как сдвинуть проверки влево.

Почему DBA и инженеры безопасности блокируют ваши релизы (и как это исправить)

У вас есть готовая функция. Разработчики закончили код. QA подписал. Стейджинг выглядит хорошо. Вы планируете релиз на вечер.

Затем DBA смотрит на изменение и говорит: «Эта миграция заблокирует таблицу на пять минут. Продакшн в это время загружен. Мы не можем этого сделать».

Или инженер безопасности проверяет функцию загрузки файлов и не находит ни валидации типа файла, ни ограничения размера, а файлы доступны напрямую всем. Он говорит: «Это нельзя выпускать».

Релиз откладывается. Снова.

Этот сценарий повторяется в командах каждую неделю. Обычная реакция — обвинять DBA или инженера безопасности в том, что они блокируют процесс. Но настоящая проблема в том, как и когда их подключают.

Проблема DBA с изменениями на поздних этапах

Администраторы баз данных отвечают за стабильность, доступность и производительность базы. Они знают поведение продакшна: какие таблицы имеют высокий трафик, когда наступает пик нагрузки и какие операции вызывают блокировки. Разработчик, тестирующий изменение схемы на своем ноутбуке с несколькими сотнями строк, не видит того, что произойдет, когда та же миграция запустится на миллионах строк под активными транзакциями.

Когда DBA видит изменение впервые на этапе релизного гейта, у него есть только два варианта: одобрить или отклонить. У него нет контекста о том, насколько критична функция, есть ли обходной путь или можно ли разбить миграцию на более безопасные шаги. Поэтому он по умолчанию проявляет осторожность. Он просит больше времени. Он просит другой подход. Релиз застревает.

DBA не пытается вас заблокировать. Он пытается предотвратить инцидент, который ему придется исправлять в 2 часа ночи.

Дилемма инженера безопасности

Инженеры безопасности сталкиваются с той же ситуацией. Их подключают в последний момент, передают функцию и просят быстро одобрить. Но они видят то, что команда упустила при разработке: непроверенные входные данные, отсутствие проверок аутентификации, открытые эндпоинты, риски утечки данных.

Если они одобряют без проверки, они берут на себя риск. Если отклоняют — становятся блокирующим фактором. Ни один вариант не хорош.

Инженеры безопасности не любят говорить «нет». Они хотят, чтобы функции выходили безопасно. Но когда с ними советуются только в конце, их единственный рычаг — вето. Они его используют, потому что альтернатива — выпустить уязвимость.

Коренная причина: позднее подключение

Обе роли становятся узкими местами по одной причине: к ним относятся как к гейткиперам в конце конвейера, а не как к соавторам на протяжении всего процесса. Команда создает функцию, тестирует ее и только потом просит одобрения. К этому моменту любая проблема означает переделку, задержку или рискованное исключение.

Это не проблема людей. Это проблема процесса.

Shift Left: перенесите проверку раньше

Решение — подключать DBA и инженеров безопасности до того, как написан код, а не после того, как он готов к развертыванию. Этот подход часто называют shift left — перемещение проверок на более ранние этапы потока доставки.

Контраст между старым и новым потоком очевиден:

flowchart TD subgraph Old[Старый процесс: поздняя проверка] A1[Разработка функции] --> A2[Тестирование QA] A2 --> A3[Релизный гейт] A3 --> A4[Проверка DBA/Security] A4 --> A5{Одобрено?} A5 -- Нет --> A6[Блокировка / Переделка] A5 -- Да --> A7[Релиз] end subgraph New[Новый процесс: Shift Left] B1[Раннее обсуждение с DBA/Security] --> B2[Разработка функции] B2 --> B3[Тестирование QA] B3 --> B4[Релизный гейт] B4 --> B5[Релиз] end A6 -.->|red| A6 A5 -.->|red| A6 B1 -.->|green| B1

Для изменений в базе данных это означает, что разработчик обсуждает планируемое изменение схемы с DBA на этапе проектирования. DBA может сказать:

Эта миграция безопасна для выполнения онлайн.
Для этого изменения сначала нужна стратегия обратного заполнения (backfill).
Для этой таблицы требуется окно обслуживания.
Стоит разбить это на несколько более мелких миграций.

Разработчик корректирует план до написания кода. Когда изменение доходит до стадии релиза, DBA уже знает о нем и уже одобрил подход. Никаких сюрпризов, никаких задержек.

Для безопасности применяется тот же принцип. Прежде чем создавать функцию загрузки файлов, команда спрашивает: «Какие риски безопасности вносит эта функция?» Инженер безопасности дает рекомендации заранее: валидировать типы файлов, установить ограничения размера, хранить файлы вне корня веб-сервера, требовать аутентификацию для доступа. Разработчик реализует это с самого начала. Когда функция готова, проверка безопасности — это формальность, а не сессия по обнаружению проблем.

Сделайте это асинхронным

Подключение DBA и инженеров безопасности на ранних этапах не означает, что они должны присутствовать на каждом ежедневном стендапе или сидеть на каждом совещании по дизайну. Это не масштабируется. Вместо этого они могут предоставить многоразовые артефакты:

DBA публикует руководство по безопасным изменениям схемы: какие операции безопасны онлайн, какие требуют окна обслуживания, как оценить продолжительность блокировки.
Инженер безопасности поддерживает чек-лист безопасности для типовых функций: загрузка файлов, аутентификация, API-эндпоинты, экспорт данных.
Обе роли проводят часы приема или асинхронные слоты для ревью, где разработчики могут задать вопросы до написания кода.

Разработчики используют эти ресурсы для самопроверки перед запросом формального ревью. DBA или инженер безопасности проверяют только граничные случаи или изменения с высоким риском. Остальное следует установленным шаблонам.

Практический чек-лист

Перед вашим следующим релизом задайте эти вопросы:

Видел ли DBA изменения в базе данных до начала разработки?
Проверил ли инженер безопасности дизайн функции на риски?
Существуют ли письменные руководства по безопасным миграциям и проверкам безопасности?
Могут ли разработчики самостоятельно проверить себя по этим руководствам перед запросом ревью?
Есть ли процесс асинхронной консультации, а не только проверки в последний момент?

Если ответ на любой из этих вопросов «нет», вы нашли свое следующее узкое место.

DBA и инженеры безопасности — защитники, а не блокировщики

Они существуют для предотвращения инцидентов на продакшне и утечек данных. Это хорошо. Проблема в том, что их заставляют выполнять эту работу в самый неподходящий момент. Когда вы подключаете их рано, они могут направлять, советовать и защищать, не останавливая релиз. Когда вы подключаете их поздно, у них нет выбора, кроме как остановить его.

Исправьте тайминг — и блокировщик исчезнет.