预防为主，何以为辅？——《混沌工程》译者序

在敏捷软件开发中，质量内建是一种将质量意识融入开发各环节的流行做法，其理念是“预防为主”，旨在减少返工成本。然而，这种做法可能会导致一个错觉，即所有软件故障都可通过预防避免。事实上，当线上事故发生时，人们往往会指责开发、测试和运维人员，因为他们被期望不出错（参考来源）。

在云原生和微服务盛行的复杂系统中，个人无法掌握所有细节，团队成员对系统的理解各不相同，再加上通信过程中的信息损失，合作开发软件时不可避免地会产生不可预测的“暗债”。尽管通过软件测试和故障演练可以提高软件质量，但这些经常基于固定测试用例和相同流程的方法，无法使软件系统适应生产环境中的意外情况。

由于“人无完人”，“暗债”的产生是不可避免的，且其不可预知性意味着无法实现全面预防。根据“面向恢复的计算”（参考来源）的理念，系统失效不可避免，不能通过推导方法预测所有故障，且人的行为是系统失效的主要原因。

面对复杂系统中的“暗债”，我们可以采取三个措施：承认“暗债”的存在，提高故障发现和修复的速度，并建立警示标志。这些措施有助于在用户未察觉前快速发现并修复故障。

在承认“暗债”不可避免的基础上，实施“不按常理出牌”的安全实验，测试软件系统的稳定性，从而快速发现并修复故障，有效补充“预防为主”的质量内建策略。这种工程实践被称为混沌工程。