Guida Tecnica 16 luglio 2025

Feature Flags Best Practice: Come Usarle Senza Creare Caos

Feature flags best practice per team di sviluppo: evita il flag debt, abilita canary deployment e rilasci zero downtime senza creare caos.

Dashboard di gestione feature flag con flag attivi, percentuali di rollout e kill switch

In questo articolo:

Cosa Sono Davvero le Feature Flag
Come i Team Usano Male le Feature Flag
Canary Deployment e Blue Green Deployment con le Flag
Come Prevenire il Debito da Feature Flag
Zero Downtime Deployment: il Lato Operativo
Conclusione

Le feature flags best practice non riguardano solo l’attivare e disattivare funzionalità. Usate correttamente, diventano uno strumento centrale per ridurre il rischio dei rilasci, abilitare i canary deployment e supportare strategie di zero downtime deployment. Usate male, si accumulano in una delle forme più insidiose di debito tecnico: complessità invisibile sparsa nel codebase, senza un owner chiaro e senza una data di scadenza. Questo articolo copre ciò che funziona davvero su scala, basandosi su pattern che distinguono i team che rilasciano con sicurezza da quelli che hanno paura di deployare il venerdì.

Cosa Sono Davvero le Feature Flag

Una feature flag è un branch condizionale nel codice che controlla se una determinata funzionalità è attiva per un dato utente, coorte o ambiente. La definizione sembra semplice. La realtà operativa è più complessa.

Le feature flag si dividono in diverse categorie, ciascuna con cicli di vita e regole di ownership diverse:

Release flags: controllano se una funzionalità è visibile agli utenti. Sono temporanee per definizione. Una volta che la funzionalità è completamente rilasciata, la flag deve essere rimossa.

Experiment flags: supportano l’A/B testing. Hanno una data di fine legata alla timeline dell’esperimento.

Ops flags: sono kill switch per il controllo operativo. Un processore di pagamenti che va down, un’API di terze parti che si comporta male. Queste flag possono essere permanenti, ma devono essere documentate come tali.

Permission flags: limitano l’accesso per livello utente o ruolo. Sono effettivamente configurazione, non gestione dei rilasci, e appartengono al layer di permessi piuttosto che essere sparse nel codice delle funzionalità.

Confondere queste categorie è dove la maggior parte dei team sbaglia. Ogni flag deve avere un tipo, un owner e una data di scadenza o una giustificazione per la permanenza. Senza questi metadati, si accumula lavoro di prevenzione del debito tecnico che si pagherà in seguito.

Come i Team Usano Male le Feature Flag

Il pattern di uso scorretto più comune è trattare le flag come configurazione permanente senza dirlo esplicitamente. Una flag aggiunta per gestire un rollout nel Q1 è ancora nel codebase nel Q4 perché nessuno era responsabile della sua rimozione. Moltiplicato per decine di release, si ottiene un codebase dove il percorso di esecuzione effettivo è impossibile da ragionare senza leggere lo stato della flag da un sistema esterno.

Un secondo pattern è l’annidamento delle flag. Quando la flag B ha senso solo se la flag A è vera, e la flag C dipende sia da A che da B, si è creata una complessità combinatoria che nessuna test suite coprirà completamente. Se si trovano flag annidate, trattarlo come un segnale che l’architettura sottostante ha bisogno di chiarimenti, non di più flag.

Un terzo pattern è usare le flag come sostituto di una corretta strategia di branching. Le flag non sostituiscono lo sviluppo trunk-based. Lo abilitano. I team che usano le flag per evitare di unire branch di lunga durata stanno aggiungendo complessità di flag sopra la complessità di integrazione, non riducendola.

Infine, i team spesso non hanno un processo sistematico per la pulizia delle flag. Rimuovere una flag richiede leggere il codice, verificare che non sia più necessaria, testare la rimozione e deployare. Se quel processo non è parte del workflow standard, le flag si accumulano. In un progetto di legacy modernization che abbiamo gestito, il cliente aveva oltre 200 flag attive in produzione, meno di 30 delle quali erano effettivamente in uso.

Canary Deployment e Blue Green Deployment con le Flag

Le feature flag sono il meccanismo che rende pratico il canary deployment senza richiedere infrastrutture separate. Un canary deployment instrada una piccola percentuale del traffico verso la nuova versione di una funzionalità mentre la maggior parte continua sul percorso stabile. Con le flag, lo si implementa nel codice: servire il nuovo percorso al 5% degli utenti, monitorare i tassi di errore e la latenza, poi espandere il rollout in modo incrementale.

Il requisito operativo chiave è che il sistema di flag deve supportare rollout basati su percentuale e targeting per coorte a runtime, senza un deploy del codice. Se cambiare una percentuale di rollout richiede un deploy, si perde il beneficio di sicurezza.

Il blue green deployment è un pattern complementare. Si eseguono due ambienti identici, si cambia il traffico tra di essi e si può fare rollback istantaneamente tornando indietro. Le feature flag aggiungono granularità al blue green: si può fare uno switch blue green a livello infrastrutturale controllando anche l’esposizione delle funzionalità a livello utente. Insieme danno due meccanismi di rollback indipendenti.

La regola critica per gli scenari canary e blue green: la valutazione della flag deve essere coerente all’interno di una sessione utente. Se un utente vede il nuovo flusso di checkout nella pagina uno e il vecchio nella pagina due, si ha un’esperienza rotta e dati sperimentali inaffidabili.

Come Prevenire il Debito da Feature Flag

La prevenzione del debito tecnico nella gestione delle flag si riduce a tre pratiche.

Registrazione delle flag. Ogni flag deve essere registrata in un sistema centrale con: nome, tipo (release/experiment/ops/permission), owner, data di creazione, data di rimozione prevista o giustificazione per la permanenza. Nessuna flag entra in produzione senza questi metadati.

Alert di scadenza automatici. La pipeline CI o il sistema di gestione delle flag deve avvisare l’owner quando una flag supera la data di rimozione prevista. Non un processo di revisione manuale. Un gate automatizzato che crea un ticket o fa fallire un check.

Audit trimestrali delle flag. Anche con l’automazione, una revisione trimestrale di tutte le flag attive ripaga l’investimento. Cercare flag dove il team proprietario si è sciolto, flag dove il rollout è al 100% da più di due sprint, e flag annidate a tre o più livelli. Ognuna è candidata alla pulizia immediata.

Abbiamo visto team ridurre il numero di flag attive del 60% in un singolo sprint una volta implementate queste tre pratiche. Il carico di manutenzione scende significativamente e il codebase diventa più facile da ragionare.

Zero Downtime Deployment: il Lato Operativo

Le feature flag sono una parte del zero downtime deployment. Le altre parti sono la strategia di migrazione del database, i contratti API backward-compatible e la configurazione degli health check.

Un pattern di fallimento comune: un team usa le flag per controllare l’esposizione delle funzionalità ma deploya una migrazione del database che non è backward compatible. La flag è off, ma la modifica dello schema rompe comunque il vecchio percorso del codice. Il zero downtime deployment richiede che ogni stato intermedio del sistema sia valido. Le flag controllano l’esposizione delle funzionalità. Non sostituiscono una pianificazione attenta delle migrazioni.

Per le modifiche allo schema, il pattern standard è: espandere prima (aggiungere la nuova colonna o tabella senza rimuovere la vecchia), poi migrare i dati, poi contrarre (rimuovere la vecchia struttura). Le flag possono controllare quale percorso legge o scrive su quale struttura durante la finestra di migrazione.

Il versioning dell’API funziona in modo simile. Quando si cambia un contratto tra servizi, si eseguono entrambe le versioni simultaneamente. La flag controlla quale versione chiamano i consumatori interni. Una volta che tutti i consumatori sono sulla nuova versione, si rimuove la flag e si depreca la vecchia versione.

I team che combinano le flag con una disciplina corretta delle migrazioni possono rilasciare modifiche al database, modifiche alle API e rilasci di funzionalità in modo continuo, senza finestre di manutenzione. È così che si ottiene il miglioramento del 70% nella velocità di deployment che osserviamo nei progetti di modernizzazione: non deployando più velocemente in modo sconsiderato, ma rendendo ogni deployment più piccolo e indipendentemente reversibile.

Conclusione

Le feature flags best practice sono una disciplina, non una funzionalità. I pattern che funzionano: categorizzazione rigorosa, metadati obbligatori, scadenza automatica e valutazione coerente all’interno delle sessioni. I pattern che creano debito: flag temporanee permanenti, condizionali annidati e flag usate come sostituto di decisioni architetturali. Combinata con strategie di canary deployment e blue green deployment, una gestione corretta delle flag è uno degli strumenti più affidabili per mantenere il zero downtime deployment su scala.

Hai un codebase con questi problemi? Parliamo del tuo sistema

Torna al Blog English version

Read in English