Melhores Práticas de Governança
Um resumo condensado das 25 práticas de governança mais importantes para organizações Python - extraídas de todas as páginas desta seção.
-
Ruff + pyright em CI: Automatize estilo e tipagem em caminhos alterados - Padrões e Guias de Estilo de Codificação.
-
Domínio livre de imports de framework: Núcleo testável em pacotes
domain/. -
Template de cookiecutter de frota: Novos serviços começam consistentes.
-
Docs-as-code em
docs/: ADR, RFC, runbook, spec - Convenções de Documentação. -
Seções mínimas de README: Desenvolvimento, implantação, proprietários, dashboards.
-
ADR substituem, nunca excluem: Trilha de auditoria preservada.
-
URL do Runbook em anotações de alerta: On-call encontra os passos às 3 da manhã.
-
Template de PR com rollback: Obrigatório para alterações de serviço - Diretrizes de Contribuição.
-
CODEOWNERS em caminhos críticos: Migrações precisam de DBA + proprietário do serviço.
-
Squash merge para main: Histórico linear; implante a partir de tags SHA.
-
uv.lock commitado; sincronização congelada: Imagens de produção reproduzíveis - Governança de Dependência e Cadeia de Suprimentos.
-
pip-audit em CI: CVEs críticos bloqueiam o merge.
-
SLA de CVE publicado: 7 dias para crítico, 30 dias para alto.
-
SBOM por artefato de release: Auditoria de cliente pronta.
-
Lista de aprovação de novas dependências: PR atualiza
approved-dependencies.md. -
Calendário de Fim de Vida (EOL) publicado trimestralmente: Python, Django, APIs públicas - Política de Depreciação e Upgrade.
-
Cabeçalhos HTTP Sunset: Depreciação de API ao cliente visível.
-
Métricas de uso antes da remoção: Zero tráfego por 30 dias mais período de aviso.
-
Spikes com tempo limitado de 2-3 dias: Critérios escritos primeiro - Spikes, PoCs e Adoção de Novas Ferramentas.
-
ADR após adoção/rejeição de spike: Evita relitigação de ferramentas.
-
PoC ≠ produção: Checklist de hardening antes do piloto.
-
Guilda de plataforma é dona dos padrões: Revisão trimestral da configuração do ruff e dos templates.
-
Catálogo de Lições Aprendidas mantido: Post-mortems alimentam IDs de LL.
-
Rubrica de carreira publicada: Escopo sênior/staff/principal claro - Crescimento na Carreira.
-
Governança serve à entrega: Se uma regra bloqueia sem redução de risco, revise-a.
FAQs
Quão pesada deve ser a governança?
O suficiente para prevenir incidentes repetidos; leve o suficiente para que a CI aplique a maioria das regras.
Startup vs. empresa?
Comece com lockfile, CI, README, runbook; adicione SBOM e allowlist conforme os clientes exigirem.
Quem é o dono do programa de governança?
Engenharia de plataforma com entrada da equipe de segurança e de gerentes de engenharia (EM).
Processo de exceções?
Ticket de dispensa com prazo definido e aprovação de IC ou arquiteto; sem exceções permanentes.
Contribuições para open source?
CLA + mesmos padrões de lint/teste que os internos.
Métricas de governança?
CFR, idade de CVEs, contagem de ADRs, % de cobertura de runbooks, taxa de adoção de templates.
Multi-repo vs. monorepo?
Mesmos padrões; índice central para ADRs entre repositórios se for multi-repo.
Código gerado por IA?
Mesmos gates de revisão e segurança; sem pular o pip-audit.
Indústrias regulamentadas?
Adicione change advisory formal; retenha SBOM e registros de aprovação por 7 anos.
Revisar a própria governança?
Retrospectiva anual: quais regras preveniram problemas vs. adicionaram atrito.
Relacionados
- Padrões e Guias de Estilo de Codificação - regras de código
- Convenções de Documentação - regras de documentação
- Governança de Dependência e Cadeia de Suprimentos - cadeia de suprimentos
- Política de Depreciação e Upgrade - ciclo de vida
- Catálogo de Lições Aprendidas - memória operacional
Versões da Stack: Esta página foi escrita para Python 3.14.0 (estável 3.14, manutenção 3.13), FastAPI 0.115+, Django 5.2, Flask 3.1, Pydantic 2, PyTorch 2.6+, pandas 2.2+, Polars 1.x, ruff 0.9+ e uv 0.6+.