Auditálhatóság az IT-ban? A jelenlegi formájában egyre kevésbé értelmezhető.
Őszintén: néha már úgy érzem, hogy a QA-tól elvárjuk, hogy varázsoljon. A klasszikus definíciónk még mindig az, hogy:
„A QA ellenőrzi a megfelelést a specifikációnak.”
Ez nagyjából akkor működött, amikor a rendszerek nem úgy viselkedtek, mint egy felhőbe kidobott, önálló életet élő szürkeállomány. A monolit, determinisztikus világban volt állapot, idő, és volt értelme annak, hogy „nézzünk rá, és majd megmondjuk, jó-e”.
Na, ez ma nincs így.
A modern rendszerekben nincs egységes állapot. Pont.
Kubernetes, autoscaling, serverless, provider-managed mesh-ek… Minden olyan, mintha folyamatosan egy olyan házban laknánk, ahol a falakat néha átrendezik, néha ki is veszik alólunk, és senki nem szól előre.
A valóság:
- elosztott,
- lokálisan konzisztens (néha),
- globálisan inkonzisztens (gyakran),
- folyamatos mozgásban lévő állapottér.
És akkor valaki megkérdezi:
„De mi most miért nem tudjuk egyértelműen lekérdezni, hogy a rendszer éppen mit csinál?”
Hát… azért, mert nincs egyértelmű „most”. Nincs globális óra, nincs total ordering, nincs olyan, hogy „központi igazság”.
Ez nem QA-hiba. Ez a modern infrastruktúrák fizikája.
A QA mindig késik — mert a rendszer gyorsabb nála
Egyszer auditon a Kubernetesben kiadunk egy kubectl get pods-ot. Mire lefutott, az egyik pod már meg is halt. A bizottság kérdezi: „De hát az előző outputban még ott volt”. Persze hogy ott volt — két másodperccel ezelőtt.
A QA a saját eszközeivel mindig múltat néz:
- terraform state → múlt
- ansible inventory → régebbi múlt
- kubectl → nagyon közeli múlt, de még mindig múlt
Ebből megfelelést kimondani olyan, mintha egy sportbírónak a meccs tegnap esti videója alapján kéne ítélkeznie arról, hogy most ki rúgja a labdát.
A megfelelőségi szabványok még mindig a 90-es években élnek
Nem rossz szándékból, egyszerűen így születtek. ISO, SOC, PCI, mind feltételezi, hogy:
- a rendszer állapota stabil,
- az események időben rendezhetők,
- és mindenhol ugyanazt kellene látnunk.
Ja. Persze. Kubernetes alatt. Vagy AWS alatt, ahol a control plane néha megváltozik annélkül, hogy bárki megemlítené.
A gyakorlat sajnos:
📌 papír szintjén megfelelünk,
💻 gépileg nem feltétlen igazolható,
🤷 a kettő közé meg majd kitalálunk valami narratívát.
A felhőszolgáltatók control plane-je egy fekete doboz
A control plane nem determinisztikus, nem transzparens, és a provider kénye-kedve szerint módosítható.
Volt már olyan, hogy egy AWS szolgáltatás egyszerűen másképp viselkedett hétfőn, mint pénteken. Ticket? Release note? Bármi? Semmi.
A QA ebbe nem lát bele. Nem is láthat — mert a platform nem engedi.
Ez nem minőségbiztosítási kérdés. Ez iparági architektúra-korlát.
A klasszikus QA egy olyan rendszert próbálna leírni, amely nem definiálja önmagát
A régi feltevés:
„Mutasd a rendszer állapotát, én pedig összevetem a specifikációval.”
A gond csak az, hogy:
- nincs egységes állapot,
- nincs közös idővonal,
- nincs olyan entitás, hogy „a rendszer”.
A modern elosztott rendszerek inkább egy folyamatos, eseményekből álló felhő — nem egy szép, statikus állapotgép.
És ettől függetlenül még mindig van, aki megkérdezi:
„Jó, jó, de akkor mikor fogjuk tudni egyben látni az egész rendszert?”
Soha. Ez a lényeg. Ez a rendszer természete.
A QA nem halt meg — csak rossz modellhez van kötve
A QA ott működik, ahol:
- van stabil állapot,
- van determinisztikus specifikáció,
- a változások követhetők.
Ez ma a felhőben nincs meg.
A QA nem hibás — a környezet változott meg alatta. Gyorsan. Úgy, hogy még nem adtunk hozzá új auditálási módszertant.
Ha valódi, gépileg verifikálható QA-t akarunk:
- kriptografikusan bizonyítható állapot,
- deklaratív, globálisan konzisztens specifikáció,
- real-time event sourcing alapú auditrail.
Ezekből jelenleg sok még kutatási téma — vagy nagyon drága, ezért nekiálltam implementálni egyet.
🧨 Zárás: nem több dokumentáció kell — hanem új paradigma
A QA egy tükröt tart. A baj az, hogy a rendszer, amit tükröznie kellene, önmagában sem ad koherens képet.
Több papír, több checklista, több screenshot nem fogja ezt megoldani.
A QA-nak nem „fejlődnie” kell — hanem eszköztárat váltani:
- rendszerelméleti,
- kriptográfiai,
- eseményalapú,
- és elosztott rendszerekre szabott auditálási modellre.
Amíg ez nincs, addig minden audit csak rész-igazságot tud elmondani.
De ez nem a QA gyengesége. Ez a modern felhő-infrastruktúrák realitása — akár tetszik, akár nem.
- Tovább (Auditálhatóság az IT-ban? A jelenlegi formájában egyre kevésbé értelmezhető.)
- 1305 megtekintés
