В первый раз, когда я доверял проверенному чеку и все равно попал впросак, это произошло не потому, что требование было неверным — оно просто пришло поздно. В итоге мы добавили 30-секундное окно действительности в качестве прокси-защиты, потому что выполнение происходило в другом мире, чем проверка. Это не была история модели; это была история свежести. В рабочем процессе на основе требований доказательства имеют полураспад. Снимки вращаются, состояния инструментов меняются, и политики переключаются. Чек может быть действителен в момент проверки и все равно быть небезопасным к моменту выполнения. Если бы это была просто медленная проверка, задержка могла бы решить проблему. Реальная проблема заключается в дрейфе — чек приходит после того, как среда изменилась.
Робо становится интересным, если он рассматривает свежесть как работу протокола. Чек должен иметь TTL, чтобы последующие шаги знали, исполнять ли, обновлять или повторно связывать. Когда это окно явно указано, устаревшие требования перестают попадать в поток. Когда оно не указано, каждая команда изобретает свои таймеры, и "проверенный" превращается в предложение. Существует трение, конечно; обеспечение свежести добавляет трафик обновления и больше накладных расходов на связывание. $ROBO подходит прямо в конце как операционный капитал для финансирования обновления, повторного связывания и работы по вызовам, когда мир движется быстрее, чем проверка. Тест прост: логика таймера исчезает из приложений, и обновление становится автоматическим.