最后的拯救方案 - 安全模式_安全_胖纸



 写点什么

引言：天猫客户端用户众多，如何保证天猫 App 的稳定性是非常重要的任务，而启动阶段的保护是其中关键的一环。

天猫安全模式致力于解决 APP 启动阶段的 crash 等问题，同时具备自修复能力、同步热修复能力，是一整套启动保护的解决方案。

天猫安全模式的由来

问题：APP 在使用过程中，有时会遇到线上无法修复的启动 crash 问题，用户无法使用 APP

思考：

我们能否避免这样的问题发生？有没有办法让程序自动修复该问题？

我们怎么样能更好的修复同类问题？

结论：

我们需要一个可以保证 APP 顺利启动并解决重大问题的解决方案 - 安全模式

天猫安全模式设计

天猫安全模式重点放在了解决启动阶段问题上，从配置后台、客户端能力、数据、测试四个方面给出了统一的解决方案，同时也考虑到了不同 APP 的兼容性问题

配置后台

统一的配置后台，具备灰度发布机制

客户端能力

在 APP 连续 Crash 情况下具备分级、无感自修复能力
具备同步热修复能力
具备指定触发某项特定功能的能力
具备功能注册能力，可以方便的后期扩展安全模式

数据统计及告警

统一的数据平台
监控告警功能，让你及时发现问题
可以查看热修复成功率等数据

快速测试

优化预发环境下测试
优化每次回归验证安全模式的难度等

天猫安全模式的发展

安全模式到目前为止经历了 4 个大的版本，功能一直在不断的完善，下图介绍了每个版本的主要功能

天猫安全模式的原理

APP crash 的原因有很多，每个 APP 设计的方案也有不同，将其所有的异常错误都捕捉到很困难，因此我们换了个方式，完全从用户的角度来思考什么是异常退出，也就是打标记 flag 方式

如何判断异常退出：
- APP 启动时记录一个 flag 值
- 满足以下条件时，将 flag 值清空：
  - APP 正常启动 10 秒
  - 用户正常退出应用
  - 用户主动从前台切换到后台
- 如果在启动阶段发生异常，则 flag 值不会清空，通过 flag 值就可以判断出客户端是否异常退出
- 每次异常退出，flag 值都会 +1
安全模式的分级执行策略：
- 安全模式中根据 flag 值的大小做了分级执行策略，目前分为两级安全模式，连续 crash 2 次为一级安全模式，连续 crash 3 次及以上为二级安全模式
- 业务线可以在一级安全模式中注册行为，比如某业务要清空缓存数据，这样在进入一级安全模式时，安全模式就会自动调用注册的行为，尝试修复客户端
- 如果一级安全模式无法修复 APP，则会进入二级安全模式，二级安全模式会将 APP 恢复到初次安装状态，将 Document、Library、Cache 三个根目录清空
热修复执行策略：
- 老版本热修复策略：二级安全模式中触发
  - 问题：连续 crash 3 次后触发，在有问题的情况下，能打开这么多次 APP 的用户太少了，我们能不能更快的修复呢？
- 新版本修复策略：
  - 将热修复从具体的级别中剥离，只要发现配置中需要热修复，APP 就会同步阻塞进行热修复，保证修复的及时性
灰度方案：
- 安全模式制定了简单的灰度策略，灰度时，配置中会同时包含灰度、正式两份配置，也会包含灰度的概率
- APP 根据特定算法算出自己是否满足灰度条件，如果满足，则使用灰度配置，否则使用正式配置