Was passiert an einem Quality Gate?
Ein Quality Gate ist ein automatisierter Prüfpunkt in der CI/CD-Pipeline. Es prüft, ob Code-Qualität, Testabdeckung, Security-Scans und andere Kriterien erfüllt sind. Nur wenn alle Bedingungen bestanden sind, darf das Release den nächsten Schritt in der Pipeline nehmen.
CI/CD ImplementierungEin Quality Gate ist ein automatisierter Entscheidungspunkt in der Pipeline, der den Fortschritt eines Artefakts an objektive Kriterien knüpft. Erst wenn alle definierten Bedingungen erfüllt sind, darf das Artefakt die nächste Stage erreichen. Andernfalls bricht die Pipeline ab und liefert die Begründung. Das Gate ersetzt subjektive Bauchentscheidungen durch messbare Schwellwerte.
Typische Kriterien sind Testabdeckung über einem Mindestwert, keine offenen kritischen Findings aus statischer Codeanalyse, ein bestandener Dependency- und Lizenz-Scan, erfolgreiche SBOM-Generierung und das Einhalten von Performance-Budgets. Werkzeuge wie SonarQube bündeln mehrere dieser Metriken zu einem konfigurierbaren Gate.
In der Industrie sind Quality Gates der Ort, an dem normative Anforderungen technisch durchgesetzt werden. Verlangt ISO 26262 eine bestimmte Testabdeckung oder fordert der Cyber Resilience Act eine vollständige SBOM, lässt sich genau das als nicht verhandelbares Gate verankern. Die Compliance ist damit nicht mehr eine manuelle Prüfung am Jahresende, sondern bei jedem Build erzwungen.
Der häufigste Fehler ist ein zu strenges oder zu willkürlich gesetztes Gate: Wenn ein Gate ständig aus nachvollziehbaren Gründen blockt, beginnen Teams, es zu umgehen oder Schwellwerte abzusenken. Gute Gates messen Aussagekräftiges, sind im Team abgestimmt und entwickeln sich mit dem Reifegrad mit, statt von Anfang an unrealistisch hoch zu liegen.
Gate erzwingt SBOM für CRA-Konformität
Ein Gerätehersteller verankert die SBOM-Generierung als Quality Gate. Kann für ein Release keine vollständige Software-Stückliste erzeugt werden, bricht die Pipeline ab — die CRA-Anforderung ist damit technisch unausweichlich.
Testabdeckung als harte Grenze
Bei einem Automotive-Zulieferer lässt das Gate nur Builds mit der nach ISO 26262 geforderten Testabdeckung passieren. Sinkt die Abdeckung unter den Schwellwert, kommt der Code nicht in den Integrationsstrang.
- Worin unterscheidet sich ein Quality Gate von einem normalen Test?
- Ein Test prüft eine konkrete Funktionalität. Ein Quality Gate aggregiert mehrere Kriterien — Tests, Coverage, Security-Findings, Lizenzen — zu einer einzigen Pass/Fail-Entscheidung über das gesamte Artefakt und steuert damit den Pipeline-Fluss.
- Quality Gate oder Code Review — was ist der Unterschied?
- Ein Code Review ist eine menschliche Begutachtung von Änderungen durch Kolleginnen und Kollegen. Ein Quality Gate ist eine automatisierte, objektive Schwellwert-Prüfung in der Pipeline. Beide ergänzen sich: Das Gate erzwingt messbare Mindeststandards, das Review beurteilt Design und Kontext, die sich nicht in Metriken fassen lassen.
- Wie verhindere ich, dass Teams das Quality Gate umgehen?
- Indem die Schwellwerte realistisch und gemeinsam gesetzt werden, das Gate aussagekräftige statt willkürliche Metriken misst und es zentral verwaltet ist, sodass Anpassungen sichtbar im Review landen statt still im Projekt zu verschwinden.
- Sollte ein Quality Gate die Pipeline immer hart abbrechen?
- Für kritische Kriterien wie Sicherheitslücken oder fehlende SBOM ja. Für weiche Kriterien kann ein gestuftes Vorgehen sinnvoll sein, bei dem Verstöße zunächst als Warnung sichtbar werden, bevor sie nach einer Übergangsphase zum harten Abbruch führen.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance