TL;DR
- RBAC для control-plane, строгая валидация JWT и сокрытие секретов повышают безопасность.
- Новые расширенные mock-билдеры для LLM и MCP доступны во всех клиентах.
- Добавлены отчет об оптимизации LLM и функции для реалистичного тестирования AI-агентов.
Key Changes
MockServer 7.2.0 предлагает значительные обновления, сфокусированные на безопасности и расширенных возможностях тестирования AI/LLM.
Улучшения Безопасности:
- Control-plane Role-Based Authorization (RBAC): Теперь доступна (по умолчанию отключена) гранулированная система контроля доступа к операциям control plane MockServer на основе ролей (
admin,mutate,read). Это интегрируется с OIDC-аутентификацией для безопасных сред. - Валидация JWT:
JWTValidatorтеперь принимает исключительно асимметричные алгоритмы (RS*, ES*, PS*, EdDSA), отклоняя алгоритмы HMAC для предотвращения подделки из-за путаницы алгоритмов. - Сокрытие Секретов: Опциональная функция (
redactSecretsInLog) маскирует конфиденциальные значения заголовков (например,Authorization,Cookie) и настроенные поля JSON в логах и на дашборде, улучшая конфиденциальность данных. - Обновление DOMPurify: Версия
dompurifyзафиксирована на3.4.11для устранения множества уязвимостей безопасности.
- Control-plane Role-Based Authorization (RBAC): Теперь доступна (по умолчанию отключена) гранулированная система контроля доступа к операциям control plane MockServer на основе ролей (
Протоколы AI, LLM и Агентов:
- LLM и MCP Mock Builders: Идиоматические билдеры для мокирования LLM (completions, tool calls, streaming, многошаговые диалоги) и мокирования MCP-серверов теперь доступны во всех восьми клиентах (Java, Node, Python, Ruby, Go, Rust, .NET, PHP).
- Экспорт Оптимизации LLM: Позволяет проксировать вызовы LLM через MockServer для генерации отчета по оптимизации (Markdown) или структурированного JSON-отчета. Этот отчет выявляет неэффективность, такую как повторяющиеся системные промпты, низкий коэффициент кэширования и перерасход модели, предоставляя оценку экономии и рекомендации по исправлению. Включает вердикт на дашборде (оценка A–F) и новые KPI (cache-hit rate, one-shot rate).
- Улучшенное Мокирование Embedding и Rerank: Embedding
httpLlmResponseтеперь поддерживает Gemini, Ollama и Bedrock. Новое действие rerank мокирует эндпоинты Cohere и Voyage. - A2A Mock Builder: Поддерживает streaming (
withStreaming()) и push-уведомления (withPushNotifications(webhookUrl)) для реалистичного тестирования взаимодействия между агентами. - Строгое Применение Структурированного Вывода: Опция
enforceOutputSchemaгарантирует, что мокированные completions соответствуют ихoutputSchema, выдавая502в случае несоответствия, имитируя поведение реального провайдера. - Корректные Тела Ошибок LLM Chaos для Провайдеров: Инъекция ошибок теперь генерирует реалистичные формы ошибок для различных провайдеров (Anthropic, OpenAI, Gemini, Ollama), что позволяет точно тестировать логику повторных попыток/backoff SDK.
Impact for QA Teams
Эти обновления значительно расширяют возможности MockServer для QA. Команды теперь могут создавать более безопасные тестовые среды с детальным контролем доступа и лучше защищать конфиденциальные данные в логах. Расширенные функции мокирования AI/LLM позволяют реалистично тестировать сложные AI-интеграции, проводить оптимизацию производительности, анализ затрат и надежную валидацию обработки ошибок для приложений на базе LLM.
