Melhores Práticas de Governança
Um resumo condensado das 25 práticas de governança mais importantes para frotas Rust - extraído de todas as páginas desta seção.
-
Fixar toolchain em
rust-toolchain.toml: Frota em Rust 1.97.0, edição 2024 - Upgrades de Edição e Toolchain. -
rustfmt + clippy
-D warningsno main: Estilo não debatido em revisão - Padrões de Codificação e Diretrizes de API. -
Diretrizes de API Rust para crates públicos: Nomenclatura, erros, docs com exemplos.
-
Crates de domínio proíbem imports de framework: axum/sqlx ficam nas camadas de infra/binário.
-
Bibliotecas
thiserror, bináriosanyhow: Limites claros de erro. -
Negar
unwrapno caminho da requisição: Clippy ou política de crate. -
Dois revisores para
unsafe: Comentários de SAFETY obrigatórios - Governança de Unsafe e Dependências. -
Miri em crates FFI nightly: Capturar UB antes da produção.
-
cargo audit em cada build principal: SLA de CVE documentado.
-
cargo deny licença/proibições: Sem conflitos GPL surpreendentes.
-
cargo vet para dependências de produção: Rastro de evidências para novos crates.
-
SBOM em releases: CycloneDX com imagem/CLI - Diretrizes de Contribuição.
-
ADRs em
docs/adr/: Substituir, nunca deletar - Convenções de Documentação. -
Runbooks no repositório com
last_verified: Atualizações trimestrais de drill. -
README: proprietário, on-call, ordem de deploy: Onboarding em minutos.
-
Template de PR: intenção, risco, rollback: Mesmo template da frota.
-
CODEOWNERS em migrações e unsafe: Revisores corretos automaticamente.
-
Spikes de 2-3 dias com critérios: Antes de adotar novos crates - Spikes, PoCs e Adoção de Novos Crates.
-
PoC != produção: Checklist de hardening antes do merge.
-
Bump de MSRV é evento de comunicação: CHANGELOG + aviso ao consumidor.
-
Trem dedicado para migração de edição: Sem correções de edição mistas e pontuais.
-
Site de SME atualizado com padrões da frota: Linkado de CONTRIBUTING.
-
Catálogo de lições aprendidas mantido: Post-mortem alimenta entradas de LL.
-
Rubrica de carreira usa evidências de impacto: Não trivialidades - Crescimento na Carreira.
-
Retro de governança anual: Podar regras que não se pagam mais.
FAQs
Quão rigoroso para startup pequena?
Adote 1-10 primeiro; adicione vet/SBOM conforme os clientes exigirem.
Processo de exceções?
ADR com data de expiração; não um allow silencioso.
Quem é dono da governança?
Stewards de plataforma/guilda; squads seguem, propõem mudanças via PR.
Open source vs interno?
Licença mais rigorosa e semver de API em crates publicados.
Aplicação sem perda de confiança?
Automatizar regras objetivas; discutir design subjetivo em revisão.
Governança Polars/ML?
Mesmo caminho de auditoria; adicionar revisão de manipulação de dados para transformações de PII.
Governança Wasm?
Gates de CI de tamanho + versionamento de contrato de host em ADR.
Auditoria falhando dep?
Corrigir, substituir crate, ou aceitação de risco documentada com expiração.
Governança de onboarding?
Semana 1: documento de padrões + 10 principais lições aprendidas + PR de baseline clippy.
Medir ROI da governança?
CFR, MTTR de CVE, tempo de onboarding, taxa de incidentes repetidos.
Relacionados
- Padrões de Codificação e Diretrizes de API - convenções
- Governança de Unsafe e Dependências - segurança
- Upgrades de Edição e Toolchain - toolchain
- Melhores Práticas de Liderança Técnica - pessoas
- Melhores Práticas de Entrega Empresarial - envio
Versões da Stack: Esta página foi escrita para Rust 1.97.0 (edição 2024), Tokio 1.x, Axum 0.8, serde 1.0, sqlx 0.8, clap 4, e Polars 0.46+.