Buenas Prácticas de Gobernanza
Un resumen condensado de las 25 prácticas de gobernanza más importantes para organizaciones Python, extraídas de cada página de esta sección.
-
Ruff + pyright en CI: Automatiza el estilo y el tipado en las rutas modificadas - Estándares y Guías de Estilo de Codificación.
-
Dominio libre de importaciones de frameworks: Núcleo testeable en paquetes
domain/. -
Plantilla cookiecutter de flota: Los nuevos servicios comienzan de forma consistente.
-
Documentación como código en
docs/: ADR, RFC, runbook, especificación - Convenciones de Documentación. -
Secciones mínimas de README: Desarrollo, despliegue, propietarios, dashboards.
-
ADR reemplaza, nunca elimina: El rastro de auditoría se preserva.
-
URL de Runbook en anotaciones de alerta: El personal de guardia encuentra los pasos a las 3 AM.
-
Plantilla de PR con rollback: Requerido para cambios de servicio - Guías de Contribución.
-
CODEOWNERS en rutas críticas: Las migraciones necesitan DBA + propietario del servicio.
-
Squash merge a main: Historial lineal; despliegue desde etiquetas SHA.
-
uv.lock confirmado; sincronización congelada: Imágenes de producción reproducibles - Gobernanza de Dependencias y Cadena de Suministro.
-
pip-audit en CI: Bloquea la fusión de CVEs críticos.
-
SLA de CVE publicado: 7 días para críticos, 30 días para altos.
-
SBOM por artefacto de lanzamiento: Listo para auditoría del cliente.
-
Lista de aprobación de nuevas dependencias: Las actualizaciones de PR van a
approved-dependencies.md. -
Calendario EOL publicado trimestralmente: Python, Django, APIs públicas - Política de Deprecación y Actualización.
-
Cabeceras HTTP Sunset: Deprecación de API para clientes visible.
-
Métricas de uso antes de la eliminación: Cero tráfico durante 30 días más período de aviso.
-
Spikes con tiempo limitado de 2-3 días: Criterios escritos primero - Spikes, PoCs y Adopción de Nuevas Herramientas.
-
ADR después de adoptar/rechazar spike: Evita la re-discusión de herramientas.
-
PoC ≠ producción: Lista de verificación de endurecimiento antes del piloto.
-
El gremio de plataforma posee los estándares: Revisión trimestral de la configuración de ruff y las plantillas.
-
Catálogo de lecciones aprendidas mantenido: Los post-mortems alimentan los IDs de LL.
-
Rúbrica de carrera publicada: Alcance claro para senior/staff/principal - Crecimiento Profesional.
-
La gobernanza sirve a la entrega: Si una regla bloquea sin reducción de riesgo, revísala.
Preguntas Frecuentes
¿Qué tan pesada debe ser la gobernanza?
Suficiente para prevenir incidentes repetidos; lo suficientemente ligera para que la CI aplique la mayoría de las reglas.
¿Startup vs. empresa?
Comienza con lockfile, CI, README, runbook; añade SBOM y lista de permitidos según lo requieran los clientes.
¿Quién es el propietario del programa de gobernanza?
Ingeniería de plataforma con aportaciones de seguridad y personal de EM.
¿Proceso de excepciones?
Ticket de exención con tiempo limitado y aprobación de IC o arquitecto; sin excepciones permanentes.
¿Contribuciones de código abierto?
CLA + mismos estándares de lint/test que los internos.
¿Métricas de gobernanza?
CFR, antigüedad de CVE, número de ADR, porcentaje de cobertura de runbooks, tasa de adopción de plantillas.
¿Múltiples repositorios vs. monorepo?
Mismos estándares; índice central para ADRs en todos los repositorios si es multi-repo.
¿Código generado por IA?
Mismas puertas de revisión y seguridad; sin omitir pip-audit.
¿Industrias reguladas?
Añade un aviso formal de cambio; conserva el SBOM y los registros de aprobación durante 7 años.
¿Revisar la gobernanza en sí?
Retro anual: qué reglas previnieron problemas vs. añadieron fricción.
Relacionado
- Estándares y Guías de Estilo de Codificación - reglas de código
- Convenciones de Documentación - reglas de documentación
- Gobernanza de Dependencias y Cadena de Suministro - cadena de suministro
- Política de Deprecación y Actualización - ciclo de vida
- Catálogo de Lecciones Aprendidas - memoria operativa
Versiones de Stack: Esta página fue escrita para Python 3.14.0 (estable 3.14, mantenimiento 3.13), FastAPI 0.115+, Django 5.2, Flask 3.1, Pydantic 2, PyTorch 2.6+, pandas 2.2+, Polars 1.x, ruff 0.9+, y uv 0.6+.