TL;DR

  • RBAC для control-plane, строгая валидация JWT и сокрытие секретов повышают безопасность.
  • Новые расширенные mock-билдеры для LLM и MCP доступны во всех клиентах.
  • Добавлены отчет об оптимизации LLM и функции для реалистичного тестирования AI-агентов.

Key Changes

MockServer 7.2.0 предлагает значительные обновления, сфокусированные на безопасности и расширенных возможностях тестирования AI/LLM.

  • Улучшения Безопасности:

    • Control-plane Role-Based Authorization (RBAC): Теперь доступна (по умолчанию отключена) гранулированная система контроля доступа к операциям control plane MockServer на основе ролей (admin, mutate, read). Это интегрируется с OIDC-аутентификацией для безопасных сред.
    • Валидация JWT: JWTValidator теперь принимает исключительно асимметричные алгоритмы (RS*, ES*, PS*, EdDSA), отклоняя алгоритмы HMAC для предотвращения подделки из-за путаницы алгоритмов.
    • Сокрытие Секретов: Опциональная функция (redactSecretsInLog) маскирует конфиденциальные значения заголовков (например, Authorization, Cookie) и настроенные поля JSON в логах и на дашборде, улучшая конфиденциальность данных.
    • Обновление DOMPurify: Версия dompurify зафиксирована на 3.4.11 для устранения множества уязвимостей безопасности.
  • Протоколы AI, LLM и Агентов:

    • LLM и MCP Mock Builders: Идиоматические билдеры для мокирования LLM (completions, tool calls, streaming, многошаговые диалоги) и мокирования MCP-серверов теперь доступны во всех восьми клиентах (Java, Node, Python, Ruby, Go, Rust, .NET, PHP).
    • Экспорт Оптимизации LLM: Позволяет проксировать вызовы LLM через MockServer для генерации отчета по оптимизации (Markdown) или структурированного JSON-отчета. Этот отчет выявляет неэффективность, такую как повторяющиеся системные промпты, низкий коэффициент кэширования и перерасход модели, предоставляя оценку экономии и рекомендации по исправлению. Включает вердикт на дашборде (оценка A–F) и новые KPI (cache-hit rate, one-shot rate).
    • Улучшенное Мокирование Embedding и Rerank: Embedding httpLlmResponse теперь поддерживает Gemini, Ollama и Bedrock. Новое действие rerank мокирует эндпоинты Cohere и Voyage.
    • A2A Mock Builder: Поддерживает streaming (withStreaming()) и push-уведомления (withPushNotifications(webhookUrl)) для реалистичного тестирования взаимодействия между агентами.
    • Строгое Применение Структурированного Вывода: Опция enforceOutputSchema гарантирует, что мокированные completions соответствуют их outputSchema, выдавая 502 в случае несоответствия, имитируя поведение реального провайдера.
    • Корректные Тела Ошибок LLM Chaos для Провайдеров: Инъекция ошибок теперь генерирует реалистичные формы ошибок для различных провайдеров (Anthropic, OpenAI, Gemini, Ollama), что позволяет точно тестировать логику повторных попыток/backoff SDK.

Impact for QA Teams

Эти обновления значительно расширяют возможности MockServer для QA. Команды теперь могут создавать более безопасные тестовые среды с детальным контролем доступа и лучше защищать конфиденциальные данные в логах. Расширенные функции мокирования AI/LLM позволяют реалистично тестировать сложные AI-интеграции, проводить оптимизацию производительности, анализ затрат и надежную валидацию обработки ошибок для приложений на базе LLM.