MÓDULO 2.2

📊 Análise de Trade-offs

Toda decisão arquitetural é uma troca. Não existe almoço grátis em engenharia de software. Aprenda a identificar, avaliar e documentar trade-offs para tomar decisões com confiança.

7
Tópicos
35 min
Duração
Interm.
Nível
Estrat.
Tipo
1

⚖️ O que são Trade-offs

Toda decisão arquitetural favorece um atributo em detrimento de outro. Não existe almoço grátis em arquitetura de software. Consistência vs. disponibilidade. Simplicidade vs. flexibilidade. Performance vs. manutenibilidade. Arquitetos juniores buscam a solução perfeita. Arquitetos sêniores sabem que toda solução tem custo.

💡 O Princípio Fundamental

Trade-offs existem porque recursos são finitos — tempo, dinheiro, atenção, complexidade cognitiva:

  • First-order trade-offs — Diretos e óbvios: mais cache = mais performance, mas também mais complexidade de invalidação
  • Second-order trade-offs — Indiretos e sutis: microsserviços dão autonomia, mas aumentam latĂȘncia de rede e dificuldade de debugging
  • Hidden trade-offs — Só aparecem em produção: eventual consistency parece OK até um usuário ver dados inconsistentes e perder confiança

📊 Caso Real: Google Spanner

O Google Spanner prometeu “o melhor dos dois mundos” — consistência forte E disponibilidade global:

  • Custo: US$1B+ em R&D, relógios atômicos em cada datacenter, infraestrutura global proprietária
  • Trade-off escondido: Latência de escrita mais alta que bancos regionais (commits distribuídos são lentos)
  • Lição: Você pode “comprar” trade-offs com dinheiro suficiente, mas nunca eliminá-los completamente. E você não tem o budget do Google

💡 Dica Prática

Quando alguém apresentar uma solução “sem desvantagens”, pergunte: “O que estamos sacrificando que ainda não percebemos?” Todo sistema tem trade-offs. Se você não os encontrou, é porque não procurou o suficiente.

✓ O que FAZER

  • Documentar trade-offs explicitamente em ADRs
  • Buscar “good enough” em vez de “perfeito”
  • Revisitar trade-offs quando o contexto muda

✗ O que NÃO fazer

  • Acreditar que existe solução sem custo
  • Ignorar trade-offs de segunda ordem
  • Decidir baseado em opinião do mais sênior sem análise
2

💰 Custo vs. Performance

Mais performance geralmente significa mais dinheiro — servidores maiores, CDNs, caching layers, engenheiros especializados. O ponto ótimo é onde o custo marginal de performance excede o benefício marginal. Um e-commerce que responde em 100ms vs. 200ms pode não ter diferença perceptível. Mas de 200ms para 2s, perde 53% dos usuários mobile (Google).

💡 A Curva de Custo-Benefício

  • Zona 1 (Quick Wins): Caching simples, CDN, queries otimizadas. Custo baixo, impacto alto. US$50/mês de Redis pode reduzir latência em 10x
  • Zona 2 (Otimização): Right-sizing de instâncias, reserved vs. spot, connection pooling. Custo moderado, impacto moderado
  • Zona 3 (Diminishing Returns): Custom hardware, reescrita em linguagem de baixo nível, edge computing global. Custo altíssimo, impacto marginal

📊 Caso Real: Basecamp vs. Cloud

Em 2023, a Basecamp (37signals) saiu da cloud e economizou US$7M/ano:

  • Antes: US$3.2M/ano em AWS para workloads previsíveis e estáveis
  • Depois: US$600K em servidores próprios (Dell R7625, NVMe storage) para a mesma carga
  • Trade-off aceito: Perdem elasticidade da cloud, mas não precisam dela — carga é previsível
  • Lição: Cloud não é sempre mais barata. Para workloads estáveis, servidores próprios podem custar 5-10x menos

💡 Dica Prática

Calcule o custo por request do seu sistema. Se cada request custa US$0.001 e você tem 1M requests/dia, são US$1.000/dia. Agora pergunte: “Se eu reduzir a latência em 50ms, isso gera mais receita que o custo da otimização?” Se não, pare de otimizar.

⚠️ Armadilha: Over-provisioning

Uma startup pagando US$5.000/mês em AWS para servir 100 usuários está queimando runway. Antes de escalar infraestrutura, pergunte: “O gargalo é o servidor ou o código?” Na maioria das vezes, um índice no banco ou um cache de 10 linhas resolve o problema que 3 instâncias novas não resolvem.

3

🏎️ Velocidade vs. Qualidade

Entregar rápido acumula dívida técnica. Refatorar tudo atrasa features. O equilíbrio muda conforme o estágio do produto — startups pré-PMF devem priorizar velocidade; produtos maduros com milhões de usuários devem priorizar estabilidade.

💡 Quadrante de Dívida Técnica (Martin Fowler)

  • Deliberada + Prudente: “Sabemos que não está ideal, mas precisamos entregar agora. Vamos pagar a dívida no próximo sprint” — Aceitável
  • Deliberada + Imprudente: “Não temos tempo para testes” — Perigosa, acumula rápido
  • Acidental + Prudente: “Agora que aprendemos mais, percebemos que podia ser melhor” — Natural e inevitável
  • Acidental + Imprudente: “O que é camadas?” — Falta de conhecimento, precisa de mentoria

📊 Caso Real: Facebook

O Facebook é o case mais famoso de mudança de prioridade velocidade → qualidade:

  • 2004-2014: Lema: “Move fast and break things.” Velocidade acima de tudo. Deploys múltiplos por dia, bugs em produção corriqueiros
  • 2014: Com 1.3B usuários, cada bug afetava milhões. Custo de “quebrar coisas” ficou inaceitável
  • Novo lema: “Move fast with stable infrastructure.” Introduziram testes rigorosos, canary releases, feature flags
  • Lição: O trade-off velocidade vs. qualidade não é estático — muda conforme a base de usuários cresce

✓ O que FAZER

  • Reservar 20% do sprint para pagar dívida técnica
  • Definir quality gates mínimos (testes em fluxos críticos)
  • Aceitar dívida técnica deliberada e documentada

✗ O que NÃO fazer

  • Dizer “vamos refatorar depois” sem data no calendário
  • Exigir 100% de cobertura de testes em MVP
  • Ignorar dívida técnica até que o sistema pare
4

🔒 Segurança vs. Usabilidade

Mais segurança geralmente significa mais atrito para o usuário. MFA é mais seguro mas adiciona passos. Zero Trust é ideal mas complexo de implementar. Segurança que ninguém usa não protege ninguém. A arte é encontrar o nível adequado de segurança para o contexto.

💡 Segurança Progressiva

Aplique segurança proporcional ao risco da operação:

  • Risco baixo (ver catálogo): Sem autenticação necessária. Máxima usabilidade
  • Risco médio (editar perfil): Sessão autenticada com timeout razoável
  • Risco alto (transferência bancária): MFA, confirmação por SMS/email, limites diários
  • Risco crítico (acesso admin): Hardware token, IP allowlist, audit logging completo

📊 Caso Real: NIST e Senhas

Em 2017, o NIST (National Institute of Standards and Technology) revolucionou suas guidelines de senha:

  • Antes: Senhas com maiúsculas, minúsculas, números, símbolos, troca a cada 90 dias. Resultado: usuários anotavam em post-its
  • Depois: Passphrases longas e simples (“cavalo-bateria-grampeador-correto”), sem troca obrigatória. Mais seguras E mais usáveis
  • Lição: A solução mais segura “na teoria” era menos segura na prática porque os usuários a contornavam

💡 Dica Prática

Implemente risk-based authentication: se o usuário está no mesmo dispositivo, IP e horário habitual, peça apenas a senha. Se algo mudou (novo país, novo dispositivo), exija MFA. O Stripe e o GitHub fazem isso — segurança forte sem atrito desnecessário.

⚠️ Alerta: Segurança por Obscuridade

Nunca dependa de “ninguém vai descobrir” como estratégia de segurança. API keys hardcoded, endpoints não documentados “secretos”, segurança baseada em URLs longas — tudo isso é descoberto em minutos com ferramentas automatizadas. Segurança real assume que o atacante conhece o sistema.

5

🧩 Flexibilidade vs. Complexidade

Sistemas flexíveis são inevitavelmente mais complexos. Plugin systems, feature flags, configuração dinâmica, abstrações genéricas — tudo tem custo cognitivo e operacional. YAGNI (You Ain’t Gonna Need It) é a arma mais poderosa contra over-engineering.

💡 O Espectro da Flexibilidade

  • Hardcoded: Zero flexibilidade, zero complexidade. OK para protótipos e MVPs
  • Configurável: Variáveis de ambiente, config files. Baixa complexidade, flexibilidade moderada
  • Plugin System: Extensões carregadas dinamicamente. Alta flexibilidade, alta complexidade
  • DSL/Scripting: Usuário define comportamento. Máxima flexibilidade, complexidade explosiva

📊 Dados: IBM Research sobre YAGNI

Um estudo da IBM Research sobre features planejadas “para o futuro”:

  • 80% das features “para o futuro” nunca são usadas
  • Cada abstração prematura adiciona em média 3-5 arquivos e 200-500 linhas de código para manter
  • Custo de remover uma abstração errada é 3-5x maior que o custo de adicioná-la
  • Lição: “E se precisarmos mudar isso no futuro?” é a pergunta que mais gera over-engineering

✓ O que FAZER

  • Aplicar YAGNI rigorosamente até ter evidência concreta de necessidade
  • Preferir código específico que resolve o problema atual
  • Adicionar extension points só onde já houve mudança real

✗ O que NÃO fazer

  • Criar interfaces para classes que só terão uma implementação
  • Construir plugin systems que só você vai usar
  • Dizer “e se precisarmos trocar o banco?” como justificativa para abstrair tudo
6

🌐 Consistência vs. Disponibilidade

O CAP Theorem é o trade-off mais fundamental em sistemas distribuídos: durante partições de rede, você escolhe consistência (rejeitar requests) ou disponibilidade (servir dados potencialmente desatualizados). A escolha depende do domínio: bancos escolhem consistência; redes sociais escolhem disponibilidade.

💡 CAP na Vida Real: PACELC

O CAP Theorem foi expandido pelo PACELC, que é mais útil na prática:

  • Se Partition (P): escolha entre Availability (A) e Consistency (C)
  • Else (E): mesmo sem partição, escolha entre Latency (L) e Consistency (C)
  • DynamoDB: PA/EL — prioriza disponibilidade e latência. Eventual consistency por padrão
  • PostgreSQL (réplicas síncronas): PC/EC — prioriza consistência sempre, ao custo de latência

📊 Caso Real: Netflix vs. Banco do Brasil

Dois sistemas com escolhas opostas, ambas corretas para o contexto:

  • Netflix: Eventual consistency. Catálogo pode estar 30s desatualizado. 99.99% uptime para 230M assinantes. “É melhor mostrar um catálogo levemente desatualizado do que não mostrar nada”
  • Banco do Brasil: Strong consistency obrigatória. Se você transferiu R$1.000, o saldo deve refletir imediatamente. Downtime eventual é aceitável, dados incorretos não
  • Lição: O mesmo trade-off tem respostas opostas. Contexto define a resposta certa

💡 Dica Prática

Use tunable consistency quando possível: different operations, different requirements. No DynamoDB, reads de catálogo usam eventual consistency (barato, rápido). Reads de saldo do usuário usam strong consistency (mais caro, mais lento, mas correto). Você escolhe por operação, não por sistema.

⚠️ Armadilha: “Eventual” não significa “quando quiser”

Eventual consistency garante que eventualmente todos os nós convergirão. Mas “eventualmente” pode ser milissegundos ou horas, dependendo da implementação. Se seu SLA exige convergência em <5s, você precisa de bounded staleness, não eventual consistency genérica.

7

📐 Análise de Trade-offs na Prática

Decisões arquiteturais sem método viram “achismo do mais sênior”. Um framework estruturado garante que todas as perspectivas sejam consideradas, trade-offs sejam explícitos e a decisão seja documentável.

🛠️ Framework de Análise em 5 Passos

1

Liste as Opções

Mínimo 3 alternativas. “Fazer ou não fazer” não é análise. Ex: PostgreSQL vs. DynamoDB vs. CockroachDB para o serviço de pagamentos.

2

Defina Critérios com Pesos

Performance (peso 3), custo (peso 5), expertise do time (peso 4), ecossistema (peso 2). Pesos refletem as prioridades do projeto.

3

Avalie com Spike/PoC

Time-box de 2-3 dias para testar a opção mais provável. Perguntas específicas: “Conseguimos fazer X com esta tecnologia?”

4

Documente em ADR

Contexto, decisão, alternativas rejeitadas e por quê, consequências positivas e negativas. O “por quê” é mais importante que o “o quê”.

5

Defina Gatilhos de Revisão

“Se ultrapassarmos 10k req/s, reavaliamos.” “Se o time crescer para 20+, reconsideramos microsserviços.” Decisões não são eternas.

📊 Caso Real: ATAM no Spotify

O ATAM (Architecture Tradeoff Analysis Method) é usado por empresas como Spotify e ThoughtWorks:

  • Processo: Stakeholders avaliam cenários de qualidade contra a arquitetura proposta
  • Resultado: Discordâncias entre stakeholders revelam riscos ocultos que ninguém teria identificado sozinho
  • Exemplo: “O que acontece se tivermos 10x o tráfego esperado?” — Engenharia diz “autoscaling resolve”, finanças diz “o custo dispara”. Ambos estão certos — é um trade-off

💡 Dica Prática

Use o conceito de “reversibility score” para cada decisão: 1 (fácil de reverter) a 5 (quase impossível). Decisões com score 1-2 podem ser tomadas rápido. Decisões com score 4-5 exigem análise profunda, PoC e consenso. Não gaste energia analítica em decisões facilmente reversíveis.

✓ O que FAZER

  • Usar weighted decision matrix para decisões significativas
  • Validar com PoC time-boxed (2 semanas máx)
  • Incluir stakeholders não-técnicos na análise

✗ O que NÃO fazer

  • Decidir baseado em preferência pessoal sem dados
  • Gastar 3 meses analisando uma decisão facilmente reversível
  • Deixar o HiPPO (Highest Paid Person’s Opinion) decidir sozinho

📋 Resumo do Módulo

Não existe almoço grátis — Toda decisão favorece um atributo em detrimento de outro
Custo vs. Performance tem ponto ótimo — Quick wins primeiro, diminishing returns depois
Velocidade vs. Qualidade muda com o estágio — Startups priorizam velocidade, produtos maduros priorizam estabilidade
Segurança progressiva é o caminho — Atrito proporcional ao risco da operação
YAGNI rigoroso evita over-engineering — 80% das features “para o futuro” nunca são usadas
CAP/PACELC: contexto define a resposta — Banco = consistência; streaming = disponibilidade
Use frameworks estruturados — Weighted matrix, PoC time-boxed, reversibility score, ADRs

Próximo Módulo:

2.3 - 🛠️ Escolhendo a Stack Certa — Tecnologia é meio, não fim. Como escolher sem cair no hype

← Voltar para Trilha Próximo Módulo →