你用什么标准在 rollback 和 hotfix 之间做选择？

Question

Accepted Answer

默认 **rollback** —— 它是恢复到已知良好状态最快、最可靠的方式。只有当 rollback 不可能、或比向前修复更危险时，才动用 **hotfix**。在一场进行中的 incident 里，优先级是**先止血**，再诊断。

## 决策标准

- **rollback 安全且可行吗？** 如果上一个版本已知良好，且没有发生不可逆的事，就 rollback。这通常就是答案。
- **这次糟糕的发布是否制造了不可逆的状态？** 一次**数据库 migration** 或数据损坏，可能让 rollback 比 bug 本身更糟。如果你无法安全回退，就必须向前修复。
- **我们理解这个修复吗？** rollback 不需要诊断 —— 这正是它的威力。一个你没完全理解的 hotfix 可能加深 incident；在压力下绝不要把一个猜测推上生产。
- **到达安全状态的时间。** 选那条以最小风险最快到达稳定的路径。一个单行、被充分理解的 hotfix 可以胜过一个复杂的 rollback；而一个有风险的向前修复永远胜不过一次干净的回退。
- **爆炸半径与严重度。** 一次彻底宕机要求尽可能最快的恢复（通常是 rollback）；一次轻微降级也许允许一次谨慎的 hotfix。

## 一张快速决策表

| 情形 | 选择 |
| --- | --- |
| 上一版本已知良好、无 migration | Rollback |
| 已发布不可逆的 DB migration | Hotfix / 向前修复 |
| 原因未知、影响严重 | Rollback（争取时间） |
| 微不足道、被充分理解的单行修改 | Hotfix |
| Rollback 本身有风险/未经测试 | Hotfix |

## 取舍与陷阱

- **Rollback** 安全，但只治症状 —— 你仍然欠一个真正的修复和一次 postmortem。
- **Hotfix** 解决根因，却跳过了正常的安全网；hotfix 里有 bug 很常见，恰恰因为它们是赶出来的。
- **未经测试的 rollback 路径**是个陷阱 —— 如果你从没演练过，它可能在你最需要时失效。在需要之前先演练 rollback。
- 警惕在压力下**在生产环境调试**；如果你离一个有把握的修复还差几分钟以上，就 rollback 然后冷静地调查。

## 为什么这很重要

这个决定发生在最糟糕的时刻 —— 系统宕机、时钟在走、所有人在看。一位对它有清晰、演练过规则的 Tech Lead 能大幅削减 MTTR，并避免那个经典错误：在 incident 中途想耍聪明，而那个无聊的回退明明就在手边。先恢复，事后再聪明。

情形	选择
上一版本已知良好、无 migration	Rollback
已发布不可逆的 DB migration	Hotfix / 向前修复
原因未知、影响严重	Rollback（争取时间）
微不足道、被充分理解的单行修改	Hotfix
Rollback 本身有风险/未经测试	Hotfix