Хорошая история из серии «скрипт был почти правильный, пока не удалил всё».
The Register рассказал кейс консультанта по тест-автоматизации. У клиента была система управления тестами, куда складывались видеозаписи test evidence. Роликов накопилось около 600, вручную удалять их было долго, поэтому консультант написал скрипт для очистки.
Он отладил код, прошёлся по значениям, проверил один файл, всё выглядело нормально. Потом скрипт удалил не только этот файл, а весь контейнер с видео и другими данными.
Проект был в разгаре, данные были важные, но консультант решил не признаваться. Он сообщил о потере данных как о проблеме системы и завёл тикет в поддержку.
Через неделю данные восстановили из бэкапа. Поддержка так и не нашла точную причину, зато взяла вину на себя: мол, один из SaaS-скриптов вышел из-под контроля и удалил контент.
Смешно читать, страшно узнавать себя.
Инженерный урок тут простой:
- destructive scripts должны сначала работать в dry-run
- удаление по контейнеру или префиксу требует явного allowlist
- перед массовой операцией нужен лимит на количество затронутых объектов
- лог «что будет удалено» важнее, чем уверенность автора
- бэкап спасает не от ошибки, а от катастрофы после ошибки
