Użyj tego runbooka dla aplikacji no-code, by szybko wykrywać problemy, triage’ować wpływ, bezpiecznie cofać zmiany, komunikować się jasno i zapobiegać powtórkom.
Incydent to każdy nieoczekiwany problem, który uniemożliwia korzystanie z aplikacji, sprawia, że jest ona bardzo wolna, lub naraża dane. W aplikacjach no-code może to wyglądać jak nagłe błędy logowania, zepsute ekrany po zmianie, automatyzacje tła, które przestały działać, błędy API, lub „udane” workflowy, które po cichu zapisują błędne wartości w bazie.
Spisany runbook zamienia stresującą sytuację w zestaw małych, jasnych działań. Redukuje zgadywanie, przyspiesza decyzje (jak rollback) i pomaga wszystkim mieć te same fakty. Większość opóźnień podczas incydentów nie jest techniczna — wynika z niepewności: czy to prawdziwe? kto prowadzi? co się zmieniło? co powiedzieć użytkownikom?
Ten playbook jest dla każdego, kto ma do czynienia z aplikacją, gdy coś idzie nie tak: twórców wprowadzających zmiany, właścicieli operacji lub platformy zarządzających wdrożeniami i dostępami, zespołów wsparcia, które słyszą pierwsze zgłoszenia, oraz właścicieli produktu lub biznesu oceniających wpływ i priorytety.
Jest świadomie lekki i przydatny także dla zespołów budujących na platformach takich jak AppMaster, gdzie możesz mieć logikę wizualną, generowane serwisy i wiele opcji wdrożeniowych.
Obejmuje cały cykl incydentu: wykrycie i potwierdzenie problemu, szybkie triage, stabilizację i odzyskanie (w tym decyzje o rollbacku), komunikację podczas przerwy, a potem krótki przegląd po incydencie, żeby ten sam problem występował rzadziej.
Nie obejmuje długoterminowego przeprojektowania architektury, dogłębnej analizy bezpieczeństwa ani złożonych procedur zgodności. Jeśli przetwarzasz dane regulowane lub krytyczną infrastrukturę, dodaj surowsze kroki do tego runbooka.
Incydenty wydają się chaotyczne, gdy nie wiesz, jak wygląda „normalnie”. Zdefiniuj swoją bazę, żeby zespół szybko dostrzegł prawdziwe problemy. W aplikacji no-code wczesne sygnały zwykle pochodzą z mieszanki zdrowia platformy, metryk biznesowych i zgłoszeń od ludzi.
Zapisz sygnały, które będziesz obserwować codziennie, nie tylko podczas awarii. Powszechne to: dostępność, wskaźnik błędów, wolne ekrany, nieudane logowania, błędy płatności i skoki w liczbie zgłoszeń do supportu lub wiadomości od użytkowników.
Zdefiniuj prosty język dotyczący powagi, żeby każdy mógł go użyć:
Ustal cele reakcji, które wytworzą tempo działań. Przykładowe cele: potwierdzenie w ciągu 5 minut, pierwsza aktualizacja w 15 minut, i dążenie do stabilizacji w 60 minut (nawet jeśli pełna naprawa zajmie dłużej).
Zdecyduj o rolach zanim będą potrzebne. Wskaż, kto może ogłosić incydent, kto go prowadzi i kto jest zastępcą, jeśli ta osoba jest offline. W zespołach AppMaster często jest to właściciel logiki Business Process plus osoba zastępcza, która potrafi obsłużyć wdrożenia lub eksporty.
Na koniec, trzymaj jedno współdzielone miejsce na notatki z incydentu. Używaj znaczników czasu dla każdego działania (co się zmieniło, kiedy, przez kogo), żeby później odtworzyć historię bez zgadywania.
Potwierdź wpływ, zanim utkniesz na dashboardach. Zadaj jedno jasne pytanie: kto nie może czego zrobić teraz? „Support nie może otwierać zgłoszeń” jest bardziej użyteczne niż „aplikacja jest wolna”. Jeśli możesz, odtwórz problem przy użyciu tej samej roli i urządzenia, co dotknięty użytkownik.
Następnie ustal zasięg. Czy to jedno konto, segment klientów, czy wszyscy? Zrób szybkie podziały: region, typ konta, web vs mobile, jedna funkcja vs cała aplikacja. W narzędziach no-code coś może wyglądać na globalne, gdy w rzeczywistości to reguła uprawnień lub pojedynczy zepsuty ekran.
Potem sprawdź, co się zmieniło. Przejrzyj ostatnie 1–2 godziny pod kątem release’u, przełącznika konfiguracji, edycji schematu bazy lub importu danych. Na platformach takich jak AppMaster zmiany w procesach biznesowych, modelach danych lub ustawieniach uwierzytelniania mogą wpływać na wiele przepływów naraz, nawet jeśli UI wygląda poprawnie.
Zanim obwinisz aplikację, wyklucz zależności zewnętrzne. Dostawcy email/SMS, płatności (jak Stripe) i integracje (Telegram, usługi AWS, API AI) mogą zawieść lub zaczynać throttle. Jeśli aplikacja psuje się tylko przy wysyłce wiadomości lub obciążaniu kart, przyczyną może być problem zewnętrzny.
Użyj prostego checklistu decyzyjnego:
Gdy skategoryzujesz powagę i zakres, możesz przejść od „czy to realne?” do „co robimy najpierw?” bez zgadywania.
Otwórz rekord incydentu natychmiast. Nadaj mu prosty tytuł, który opisuje wpływ na użytkownika, a nie podejrzaną przyczynę (np. „Brak działania checkoutu dla klientów z UE”). Zapisz czas rozpoczęcia (pierwszy alert lub pierwsze zgłoszenie). To stanie się jedynym miejscem decyzji, znaczników czasu i zmian.
Przydziel role, żeby prace się nie dublowały. Nawet w małym zespole wskazanie właścicieli zmniejsza błędy pod presją. Minimum to:
Zapisz dwie rzeczy: co wiesz na pewno i jaka jest twoja aktualna hipoteza. „Wiadomo” może być: wskaźnik błędów wzrósł, konkretny endpoint zwraca błąd, tylko mobile jest dotknięte. Hipoteza może być błędna, ale powinna kierować następnym testem. Aktualizuj obie, gdy pojawią się nowe informacje.
Gdy sytuacja jest niestabilna, ustal cadence aktualizacji co 15 minut. Jeśli nic się nie zmieniło, powiedz to. Regularne aktualizacje powstrzymują boczne dyskusje i zapobiegają powtarzającym się pytaniom „jakieś wieści?”.
Wybierz pierwsze działanie zawierające szkody. Celem jest szybkie ograniczenie szkód, nawet jeśli przyczyna nie jest jeszcze znana. Typowe pierwsze kroki to wstrzymanie zadań w tle, wyłączenie ryzykownego feature flagu, ograniczenie ruchu do modułu lub przełączenie na znaną, bezpieczną konfigurację. W AppMaster często oznacza to wyłączenie konkretnego flow w Business Process Editor lub tymczasowe ukrycie ścieżki UI, która wywołuje błędy.
Jeśli containment nie poprawi metryk w jednym oknie cadence, zacznij równolegle plan rollbacku.
Gdy potwierdzisz, że to realny incydent, przejdź od „szukania błędu” do „zatrzymania krwawienia”. Stabilizacja daje czas. Chroni też użytkowników, przychody i dane, podczas gdy prowadzisz dalsze śledztwo.
Zacznij od najmniejszej zmiany, która redukuje szkody. Zawieranie często jest szybsze niż pełna naprawa, bo możesz wyłączyć nową funkcję, wstrzymać workflow lub zablokować ryzykowną ścieżkę wejścia bez przebudowy.
Jeśli podejrzewasz uszkodzenie danych, najpierw zatrzymaj zapisy. To może oznaczać tymczasowe wyłączenie formularzy, wstrzymanie automatyzacji aktualizujących rekordy lub zablokowanie endpointu API przyjmującego zmiany. Odczytywanie złych danych boli, ale zapisywanie ich mnoży pracę naprawczą.
Jeśli użytkownicy są zablokowani, traktuj logowanie jako priorytet. Sprawdź ustawienia uwierzytelniania i flow logowania przed innymi działaniami. Wszystko inne jest wolniejsze, jeśli użytkownicy (i twój zespół) nie mają dostępu do aplikacji.
Jeśli aplikacja jest wolna lub pojawiają się timeouty, zmniejsz obciążenie i usuń kosztowne ścieżki. Wyłącz ciężkie ekrany, wstrzymaj zadania batchowe i dezaktywuj nowe integracje, które powodują wzrost zapytań. W AppMaster containment może być tak proste, jak wyłączenie problematycznego Business Process lub tymczasowe usunięcie akcji UI, która uruchamia kosztowny łańcuch.
Zachowuj działania przemyślane i dokumentowane. Pod presją zespoły powtarzają kroki lub przypadkowo cofają naprawy. Zapisz każdą zmianę i jej efekt.
Prosta sekwencja stabilizacyjna:
Celem jest „bezpieczne i używalne”, a nie „całkowicie naprawione”. Gdy wpływ jest opanowany, możesz spokojnie diagnozować i wybrać właściwy rollback lub naprawę.
Gdy coś się psuje, szybkość ma znaczenie, ale wygrywa najbezpieczniejszy ruch. Zwykle masz trzy praktyczne opcje: rollback, wypuszczenie poprawki naprzód, lub częściowe odwrócenie (wyłączenie jednej funkcji, pozostawiając resztę).
Najpierw jasno określ, co „rollback” oznacza w twojej konfiguracji. Może to być wdrożenie poprzedniej wersji aplikacji, cofnięcie zmiany konfiguracji lub przywrócenie stanu bazy danych. Na platformach takich jak AppMaster „wersja” może obejmować logikę backendu, UI web, buildy mobilne i ustawienia środowiska.
Użyj tych kontroli ryzyka, aby zdecydować, czy rollback jest bezpieczny:
Ustal prostą regułę go/no-go przed wykonaniem działania. Wybierz 2–3 metryki, które muszą się poprawić w ciągu 10–15 minut po akcji, np. wskaźnik błędów, sukces logowania, zakończenie checkoutu lub opóźnienia API. Jeśli nie idą w dobrym kierunku, zatrzymaj i zmień strategię.
Zaplanuj też wycofanie rollbacku. Wiedz, jak go cofnąć, jeśli starsza wersja spowoduje nowe problemy: którą kompilację ponownie wdrożyć, jaką konfigurację przywrócić i kto zatwierdza tę kolejną zmianę. Miej jedną osobę odpowiedzialną za ostateczną decyzję „ship”, żeby nie zmieniać kursu w trakcie działania.
Milczenie pogarsza sytuację. Stosuj prosty, powtarzalny sposób informowania ludzi, podczas gdy zespół prowadzi dochodzenie.
Zacznij od wewnętrznych aktualizacji. Poinformuj osoby, które będą zadawać pytania jako pierwsze, i tych, którzy mogą usunąć blokery. Krótkie i rzeczowe komunikaty powinny trafiać do:
W aktualizacjach zewnętrznych trzymaj się tego, co wiesz. Unikaj zgadywania przyczyny lub obwiniania dostawcy. Użytkownicy głównie chcą trzech rzeczy: potwierdzenia, zakresu wpływu i kiedy dostaną kolejną informację.
Trzymaj jedną linię statusu spójną we wszystkich kanałach:
Gdy użytkownicy są zdenerwowani, najpierw to przyznaj, potem bądź konkretny: „Wiemy, że checkout zawodzi dla niektórych klientów. Od teraz wycofujemy ostatnią zmianę. Następna aktualizacja za 30 minut.” Nie obiecuj terminów, kredytów ani stałych poprawek podczas incydentu.
Ogłoś resolved tylko wtedy, gdy główny objaw zniknął, a kluczowe kontrole są czyste (logowania, główne przepływy, wskaźniki błędów). Użyj monitoring wtedy, gdy zastosowano poprawkę (np. rollback lub przywrócenie konfiguracji), ale trzeba jeszcze obserwować powtórki. Zawsze podaj, co będziesz monitorować, przez jaki czas i kiedy opublikujesz ostateczną aktualizację.
Gdy system jest stabilny, przejdź od gaszenia pożaru do zebrania najmniejszego zestawu faktów wyjaśniających objawy. Celem nie jest idealny root cause — to prawdopodobna przyczyna, którą można poprawić bez pogarszania sytuacji.
Różne objawy wskazują na innych podejrzanych. Wolne strony często oznaczają wolne zapytania do bazy, nagły spike ruchu lub opóźnienie usługi zewnętrznej. Timeouty mogą wynikać z zablokowanego procesu, przeciążonego backendu lub integracji czekającej zbyt długo. Skok błędów lub retry zwykle łączy się z ostatnią zmianą, złym inputem lub awarią upstream.
Wykonaj jedną prawdziwą ścieżkę użytkownika end-to-end na normalnym koncie testowym. To często najszybszy sygnał, bo dotyka UI, logiki, bazy i integracji.
Skoncentruj się na kilku sprawdzeniach:
Jeśli korzystasz z AppMaster, często mapuje się to bezpośrednio na krok Business Process, zmianę Data Designer lub konfigurację wdrożenia.
Jeśli szybkie kontrole wskazują jasnego winowajcę, wybierz najbezpieczniejszy ruch: utrzymaj aktualne ograniczenie lub zastosuj małą, trwałą naprawę. Usuń rate limits, feature toggles lub obejścia tylko wtedy, gdy podróż powiodła się dwukrotnie, a wskaźnik błędów utrzymuje się stabilnie przez kilka minut.
Jest 10:15 we wtorek. Zespół wypuszcza małą zmianę do portalu klienta na AppMaster. W ciągu minut użytkownicy widzą puste strony po logowaniu, a nowe zamówienia przestają wpływać.
Support dostaje trzy zgłoszenia: „Logowanie działa, potem portal się nie ładuje.” Monitoring pokazuje spike 500 i spadek udanych wywołań API. Traktujesz to jako realny incydent.
Incident lead robi szybkie potwierdzenie: loguje się jako testowy użytkownik na desktopie i mobile i sprawdza czas ostatniego deploymentu. Czas pasuje do wydania, więc zakładasz, że ostatnia zmiana jest zaangażowana, dopóki nie udowodnisz inaczej.
Pierwsze 30 minut może wyglądać tak:
O 10:40 błędy wracają do normy. Obserwujesz dalej metryki, a support potwierdza spadek nowych zgłoszeń.
Później zespół robi krótki przegląd: co złapało to pierwsze (alerty vs support), co spowalniało działania (brak właściciela, niejasne kroki rollbacku) i co zmienić. Częsta poprawka to dodanie checklisty smoke-testów dla trzech najważniejszych flow portalu i uczynienie rollbacku udokumentowanym, jednokrokowym procesem.
Większość incydentów pogarsza się z jednego z dwóch powodów: ludzie pozwalają systemowi dalej wyrządzać szkody podczas dochodzenia, albo zmieniają za dużo rzeczy za szybko. Ten runbook ma chronić przed obiema pułapkami.
Typową pułapką jest badanie problemu, gdy aplikacja nadal zapisuje złe dane. Jeśli workflow się zapętla, integracja tworzy duplikaty, albo błąd uprawnień pozwala niewłaściwym użytkownikom edytować rekordy — najpierw wstrzymaj proces. W AppMaster może to oznaczać wyłączenie Business Process, odłączenie integracji modułu lub tymczasowe ograniczenie dostępu, by problem się nie rozprzestrzeniał.
Inną pułapką jest „naprawianie” na chybił-trafił. Gdy kilka osób klika i zmienia ustawienia, tracisz linię czasu. Nawet drobne edycje mają znaczenie podczas incydentu. Uzgodnij jednego lidera zmian, prowadź prosty log zmian i unikaj nakładania poprawek na nieznane przyczyny.
Błędy, które powtarzalnie wydłużają przestoje:
Komunikacja jest częścią odzysku. Dziel się tym, co wiesz, czego nie wiesz i kiedy pojawi się następna aktualizacja. „Cofamy wdrożenie i potwierdzimy poprawność zdarzeń billingowych w ciągu 15 minut” jest lepsze niż „Sprawdzamy to”.
Nie zamykaj incydentu tylko dlatego, że błędy ustały. Zweryfikuj krótką checklistą: kluczowe ekrany ładują się, nowe rekordy zapisują się poprawnie, krytyczne automatyzacje uruchamiają się raz, a backlogi (kolejki, retry, zadania zaplanowane) są opróżnione lub bezpiecznie wstrzymane.
Gdy coś się psuje, mózg chce robić dziesięć rzeczy naraz. Użyj tego, by zachować spokój, chronić ludzi i przywrócić usługę.
Przypnij tę sekcję tam, gdzie zespół ją zobaczy.
Poświęć minutę, by wyznaczyć właściciela incydentu. Jedna osoba decyduje, reszta wspiera.
Stabilizuj i ogranicz (10 minut): Zatrzymaj krwawienie przed szukaniem przyczyny. Wyłącz ryzykowną ścieżkę (feature toggle, tymczasowy banner, pauza kolejek) i przetestuj jedną kluczową podróż end-to-end. Wybierz podróż najważniejszą dla biznesu, niekoniecznie najłatwiejszą do przetestowania.
Przywróć usługę (10–20 minut): Wybierz najbezpieczniejszy ruch: rollback do ostatniej znanej dobrej wersji lub zastosuj minimalną poprawkę. Na platformach takich jak AppMaster może to oznaczać ponowne wdrożenie poprzedniego builda lub cofnięcie ostatniej zmiany, a następnie potwierdzenie, że wskaźniki i czasy odpowiedzi wróciły do normalności.
Komunikuj (przez cały czas): Publikuj krótką aktualizację ze skalą wpływu, co użytkownicy powinni zrobić i kiedy będzie następna aktualizacja. Przygotuj support krótkim, dwuzdaniowym skryptem, żeby wszyscy mówili to samo.
Zamknij porządnie (zanim zapomnisz): Zapisz, co się stało, co zmieniłeś i kiedy usługa wróciła. Przydziel następne kroki z właścicielem i terminem (dostosowanie monitoringu, uzupełnienie testów, porządki w danych, poprawka follow-up).
Incydent nie jest w pełni „zamknięty”, gdy aplikacja działa. Najszybszy sposób na zmniejszenie przyszłych przestojów to uchwycenie tego, co się wydarzyło, póki pamięć jest świeża, a potem przekształcenie wniosków w małe, realne zmiany.
Zaplanuj krótki przegląd po incydencie w ciągu 2–5 dni. Zachowaj atmosferę bez obwiniania i praktyczne podejście. Celem nie jest znalezienie winnego, lecz uczynienie następnego incydentu łatwiejszym do obsłużenia.
Spisz raport, który ktoś będzie mógł przeczytać za kilka miesięcy: co widzieli użytkownicy, kiedy wykryto, co próbowano, co zadziałało i kiedy usługa wróciła. Dołącz root cause, jeśli jest znany, i zanotuj czynniki przyczyniające się, jak brak alertów, niejasne właścicielstwo czy mylące kroki release’u.
Przekształć wnioski w zadania z właścicielami i terminami. Skup się na najmniejszych zmianach, które zapobiegną powtórzeniu:
Wybierz jedną miarę zapobiegawczą na incydent, nawet małą. „Każda zmiana ról wymaga drugiego recenzenta” lub „Migracje danych muszą być uruchamiane najpierw na kopii stagingowej” mogą zapobiec powtórkom.
Trzymaj ten runbook obok procesu budowy i release. Jeśli budujesz z AppMaster, zapisz, gdzie każda aplikacja jest wdrożona (AppMaster Cloud, AWS, Azure, Google Cloud lub self-hosted), kto może szybko redeployować i kto może cofnąć zmianę. Jeśli chcesz jedno miejsce na tę dokumentację, trzymanie jej przy notatkach projektu AppMaster (appmaster.io) ułatwia odnalezienie, gdy każda minuta się liczy.
Kiedy powinniśmy traktować problem jako incydent dla aplikacji no-code?Użyj go zawsze, gdy nieoczekiwany problem blokuje podstawowe zadania, sprawia, że aplikacja jest praktycznie nieużywalna, lub grozi błędnymi / niebezpiecznymi zmianami danych. Jeśli użytkownicy nie mogą się zalogować, płatności zawodzą, automatyzacje przestały działać albo rekordy zapisywane są niepoprawnie — traktuj to jak incydent i postępuj według runbooka.
Jaki jest najszybszy sposób, by potwierdzić, że incydent jest rzeczywisty i zmierzyć jego skalę?Zacznij od wpływu na użytkownika: kto nie może czego zrobić teraz i od kiedy. Potem odtwórz problem na tym samym roli i urządzeniu oraz sprawdź, czy dotyczy jednego konta, segmentu czy wszystkich użytkowników — to zapobiegnie gonieniu fałszywych tropów.
Jak szybko zdecydować SEV1 vs SEV2 vs SEV3?Oznacz jako SEV1, gdy większość użytkowników jest zablokowana lub gdy zagrożone są pieniądze/bezpieczeństwo/dane. SEV2 to kluczowa funkcja ze sposobem obejścia, a SEV3 to drobne lub ograniczone błędy. Szybka decyzja jest ważniejsza niż idealna klasyfikacja.
Kto co powinien robić podczas incydentu, zwłaszcza w małym zespole?Wybierz jednego incident leada, który podejmuje ostateczne decyzje, a następnie przydziel naprawiającego (fixer), osobę do komunikacji i notującego. W małym zespole jedna osoba może pełnić kilka ról, ale rola lead powinna być jasna.
Jak wygląda "containment" w AppMaster lub podobnych platformach no-code?Zatrzymanie szkody szybko, nawet jeśli przyczyna nie jest jasna. W AppMaster to często oznacza wyłączenie konkretnego Business Process, tymczasowe ukrycie akcji UI, która powoduje błędy, lub wstrzymanie automatyzacji zapisujących dane.
Kiedy powinniśmy cofnąć wdrożenie, a kiedy wypuścić szybką poprawkę?Wycofaj zmianę, gdy awaria zaczęła się tuż po wdrożeniu i masz znaną, działającą poprzednią wersję, która szybciej przywróci usługę. Wybierz poprawkę "forward" tylko wtedy, gdy możesz wykonać małą, niskoryzykowną zmianę i szybko ją zweryfikować.
Co powoduje, że rollback jest niebezpieczny w aplikacjach no-code?Rollback jest ryzykowny, gdy zmieniał się schemat bazy danych, gdy wykonane zostały nieodwracalne zapisy (zwroty, zmiany statusów, wysłane wiadomości) lub gdy kolejki/webhooki mogą zostać ponownie przetworzone przez starszą logikę. W takich przypadkach najpierw ustabilizuj środowisko i zweryfikuj, czego oczekuje starsza wersja.
Jeśli podejrzewamy uszkodzenie danych, co powinniśmy zrobić najpierw?Najpierw zatrzymaj zapisy, jeśli podejrzewasz korupcję danych — złe zapisy mnożą pracę porządkową. Praktycznie oznacza to wyłączenie formularzy, wstrzymanie automatyzacji aktualizujących rekordy lub zablokowanie endpointów przyjmujących zmiany, dopóki nie potwierdzisz, że nowe rekordy nie są już nieprawidłowo modyfikowane.
Co powinniśmy mówić podczas awarii i jak często aktualizować?Wysyłaj krótkie, rzeczowe aktualizacje w stałych odstępach z informacją, co jest dotknięte, co robicie i kiedy będzie następna aktualizacja. Unikaj spekulacji lub obwiniania dostawców — użytkownicy potrzebują jasności i przewidywalnych komunikatów.
Kiedy można uznać incydent za "rozwiązany" a kiedy za "monitorowany"?Ogłoś "resolved" dopiero, gdy główny objaw zniknął, a kluczowe kontrole (logowania, podstawowy workflow, wskaźniki błędów) są czyste. Użyj "monitoring", gdy zastosowano naprawę, ale nadal obserwujesz system i podasz, co i jak długo będziesz monitorować.
21 sty 2026
8 min
20 sty 20268 min
20 sty 20268 minEksperymentuj z AppMaster z darmowym planem.
Kiedy będziesz gotowy, możesz wybrać odpowiednią subskrypcję.
