CWIX — Coalition Warrior Interoperability eXercise — проводиться раз на рік у Бидгощі під егідою JFC Brunssum. Три тижні. Сотні націй і вендорів. Реальні партнерські стеки, підключені до тієї ж мережі, що й ваш. Це єдине місце у світі, де чесне тестування інтероперабельності NATO відбувається у масштабі, і воно безжальне. Код, який «пройшов відповідність» удома, регулярно провалює перше міжвендорське рукостискання на майданчику.

Рішення — не чекати Брюсселя. Рішення — це коаліційний тестовий стенд: цілеспрямовано спроєктована установка, яка проганяє ваш interop-код через симульовані партнерські стеки щоразу, коли ви пушите коміт. Ця стаття — інженерний розбір: що містить стенд, які інструменти йому належать і як його запускати, щоб перший день на CWIX був нудним, а не катастрофічним.

Навіщо потрібен коаліційний тестовий стенд

Економіка очевидна. Баг, знайдений на CWIX, коштує приблизно на два порядки дорожче, ніж баг, знайдений у CI. Команда у відрядженні, вікно тестування фіксоване, а партнерський стек, з яким треба повторно тестувати, може бути недоступним до наступного року. Гірше — довіра партнерів швидко руйнується: вендор, чий шлюз спотворив Link 16 J3.2 surface track першого дня, буде тихо обійдений до кінця навчання. Результат акредитації йде слідом за цим першим враженням.

Глибша проблема в тому, що CWIX зазвичай — це перший раз, коли іноземний стек бачить ваші повідомлення. Ви писали за ADatP-3 буквально по букві. Ви прогнали інструмент відповідності STANAG. Ваші повідомлення чисто парсяться вашим власним емітером і вашим власним споживачем. Нічого з цього не доводить, що ваш код взаємодіє з німецьким екземпляром JCHAT, французьким шлюзом SICF-NG чи терміналом JREAP-C виробництва США від іншого вендора з іншою інтерпретацією того самого STANAG. Коаліційний тестовий стенд переносить момент першого контакту з Брюсселя на ваш ноутбук. Дивіться наш повний посібник з інтероперабельності NATO для ширшої картини.

Тест-піраміда для interop-коду

Interop-код заслуговує на власну тестову піраміду. Форма знайома; шари специфічні.

Unit — структура повідомлення. Чисті тести парсера й серіалізатора wire-формату. Round-trip відомого правильного байтового буфера до in-memory структури і назад. Граничні поля (bit-packed enumerations у J-series, fixed-length identifiers в ADatP-34) заслуговують на власні property-based тести з Hypothesis, jqwik чи fast-check. Покриття на цьому шарі має бути близько повним — ці тести дешеві, і вони ловлять баги тихого спотворення, які людина ніколи не помітить у hex-дампі.

Integration — round-trip одного протоколу. Підніміть стек протоколу in-process, надішліть згенероване повідомлення в емітер, прокрутіть через loopback transport і переконайтесь, що споживач відновлює еквівалентну структуру. Тут ловите помилки байтового порядку, помилки конверсії часу (NATO time, UTC, GPS time, leap seconds) і помилки систем координат (WGS-84 vs MGRS vs UTM). Використовуйте Testcontainers, якщо в шляху реальний брокер (NATS, ActiveMQ, RabbitMQ для NFFI).

System — мультипротокольний шлюз. Більшість коаліційних систем — це шлюзи. Трек входить як Link 16 J3.2, виходить як ADatP-34 NFFI і дзеркалюється у CoT/MQTT-фід для клієнтів ситуаційної обізнаності. Системний шар з'єднує повний конвеєр у docker-compose чи k3d-кластері, прокачує повідомлення й перевіряє крос-протокольні інваріанти — стабільність track ID, точність позиції в межах толерансу, збереження грифа.

CWIX — реальні партнерські стеки. Вершина піраміди неминуча: ви не можете повністю симулювати партнерський стек, якого ніколи не бачили. Але піраміда тримає цю вершину вузькою. До часу, коли ви приземлитеся в Бидгощі, дев'яносто п'ять відсотків багів мають бути вже мертві.

Генератори повідомлень

Стенд живе і помирає на реалізмі згенерованого трафіку. Напівдостовірні генератори дають хибну впевненість.

Генератори J-series для Link 16. Створіть параметризований генератор на кожну сім'ю J-series повідомлень — J2 surveillance, J3.2 surface track, J7 information management, J12 mission management. Бітова точність важлива: неправильне значення reserved-поля за замовчуванням пройде ваш декодер і провалить партнерський. Інструменти на кшталт виводу симулятора MIDS-LVT і опублікованого NSA каталогу J-Series Message Catalog — це довідник. Оберніть їх у fuzzer, що варіює оголошений гриф, source TN і track quality.

Емітери ADatP-34 (NFFI). Повідомлення NFFI 1.3 / IP1 / IP2 поверх SOAP чи REST. Будуйте емітери, що виробляють і відповідні, і навмисно майже-відповідні payloads — парсери партнерів різняться у строгості, і ваш стенд має оголювати строгість вашого споживача також. XSD NFFI, опубліковані NATO NCIA, — це контракт; валідуйте кожне згенероване повідомлення проти них перед передачею.

Ін'єкція CoT і MQTT. Cursor-on-Target XML поверх TCP чи MQTT — lingua franca тактичних SA-клієнтів (ATAK, WinTAK, iTAK). Генеруйте CoT-події з реалістичними stale times, geo-fenced extents і різноманітними detail extensions. Mosquitto у контейнері покриває бік брокера; для вищої точності запустіть TAK Server CE.

Фабрики повідомлень MIP4-IES. MIP4 Information Exchange Specification Multilateral Interoperability Programme (раніше відома як JC3IEDM на рівні моделі даних) керує структурованим обміном C2. Фабрики MIP4 важчі — RDF triples і SPARQL-based assertion — але незамінні, якщо ваш код торкається національної системи C2.

Симулятори партнерських стеків

Жоден симулятор не покриває весь спектр. Комбінуйте їх.

Симулятори термінала JREAP-C. JREAP (Joint Range Extension Applications Protocol) несе Link 16 поверх IP. Кілька вендорів постачають симулятори термінала JREAP-C; відкритий набір NavyJTIDS ВМС США та комерційні пропозиції від ViaSat чи Ultra поширені. Прогалина точності — таймінг: реальні термінали вносять динаміку слотів синхронізації J-series, яку чисто програмні симулятори згладжують.

JISR-Lite. Референсна реалізація NATO Joint Intelligence, Surveillance and Reconnaissance. Відмінна для STANAG 4609 motion imagery metadata і STANAG 4559 CSD product query/retrieval. Запустіть у VM; спрямуйте свій код на її endpoints. Прогалина точності — масштаб каталогу: реальні коаліційні CSD містять на порядки більше продуктів, ніж референсний датасет.

Референсні стеки NCI Server. NCIA публікує референсні реалізації для кількох FMN spiral services — directory, messaging, situational awareness publish/subscribe. Це не сертифіковані партнерські стеки, але вони експонують wire-формати і потоки автентифікації, які ви маєте відповідати. Прогалина точності — ланцюги довіри сертифікатів: реальні FMN-вузли термінуються на ієрархіях PKI, які ви не можете ідеально відтворити без коаліційних CA.

Симульовані FMN-вузли. Підніміть мінімальний FMN-вузол з референсних сервісів NCIA плюс локальний PKI (step-ca чи smallstep) для тканини довіри. Налаштуйте профілі сервісів FMN Spiral 4 чи Spiral 5 залежно від навчання, до якого готуєтесь. Пройдіть цю конфігурацію з дисципліною пакета доказів акредитації — див. акредитація CWIX.

Набори тестів відповідності

Звіти відповідності STANAG NATO необхідні і недостатні. Вони доводять, що ваші повідомлення відповідають синтаксичним і семантичним правилам стандарту. Вони не доводять, що німецький партнер зрозуміє ваш смисл.

Запускайте набори все одно. Каталоги повідомлень ADatP-3 постачаються з валідаторами; STANAG 4774/4778 confidentiality metadata має свої. Валідація NFFI XSD не обговорюється. FMN compliance gates на спіраль gated на задокументованих доказах — ваш стенд має емітувати ці докази як build artefact. Поєднайте звіти відповідності з доказами якості ПЗ NATO AQAP-2110, щоб рев'юери акредитації продовжували рухатись; див. наш розбір AQAP-2110.

Розрив між «пройшов тест» і «взаємодіє з людьми» закривається лише репетицією з партнерським стеком. J3.2 surface track, що ідеально відповідає, але використовує простір track number, який стикається з виділеним партнеру, провалить human-judged interop першого ж дня. Документуйте переговори щодо виділення явно у конфігурації стенда; трактуйте їх як тестові дані.

Безперервна інтеграція для interop

Стенд має запускатися на кожному pull request. Якщо запускається лише вночі, команда вже прийняла тижні дрейфу до моменту прибуття CWIX.

Запікайте стенд в одну CI-задачу: GitHub Actions, GitLab CI чи Azure DevOps Pipelines — усі підходять. Використовуйте контейнеризовані симулятори, щоб задача була герметичною. Захопіть детермінований корпус повідомлень — курований набір J-series, NFFI, CoT і MIP4 повідомлень з відомими правильними очікуваними результатами — і програвайте його кожного білда. Snapshot-регресія будь-якого виходу wire-формату: зміна одного байта в серіалізаторі — це саме той баг, що ламає партнера.

Походження важливе. Кожен прогін стенда має емітувати підписаний bundle артефактів — звіти відповідності, версію корпусу повідомлень, версії симуляторів, ваш SBOM. Прив'яжіть це до контролів ланцюга постачань, описаних у примусовому застосуванні SBOM у оборонних конвеєрах.

Ключовий висновок: Стенд — це не окремий проєкт. Він є частиною кодової бази, версіонується з кодом, належить інженерам, які пишуть interop-логіку. Аутсорсингові стенди застарівають; внутрішні еволюціонують з кожним PR і ловлять регресії того ж дня, коли ті з'являються.

Негативні тести

Більшість interop-багів виринають на нещасливому шляху. Стенд має навмисно його ганяти.

Спотворені повідомлення. Обрізайте кадри Link 16 J-series посеред поля. Спотворюйте bit-packed enumerations у reserved-значення. Надсилайте NFFI payloads з навмисно невалідними XSD. Ваш споживач має відхиляти, логувати й продовжувати — ніколи не падати, ніколи тихо не приймати, ніколи не пропагувати.

Безпекові оверлеї. Варіюйте STANAG 4774 confidentiality metadata: надсилайте повідомлення з грифом NATO SECRET споживачу з допуском лише до NATO RESTRICTED. Споживач має відмовити й аудитувати, не понижувати. Порушення прив'язки STANAG 4778 — неспівпадіння підпису на metadata-bound payload — мають fail closed.

Неправильне поводження з грифом. Cross-domain помилки фатально-кар'єрні в коаліційних операціях. Ін'єктуйте змішані за грифом батчі у свій шлюз і перевіряйте, що правило найвищого грифа діє на весь батч. Ін'єктуйте повідомлення без метаданих грифа взагалі — ваш код має відхиляти, ніколи не назначати за замовчуванням.

Граничні випадки розбіжності часу. Годинники дрейфують, GPS time і UTC розходяться через leap seconds, а партнерські системи іноді повідомляють час у полях, що не відповідають їхній wire-спеці. Прокачуйте стенд навмисно зміщеними мітками часу (позитивними й негативними) і перевіряйте, що ваш код clamps, відхиляє чи логує за вимогою — ніколи тихо не приймає повідомлення з датою наступного року.

Підготовка до CWIX

За шість тижнів починається репетиційний цикл. Заморозьте scope стенда; жодних нових фіч до Брюсселя. Підніміть внутрішній «mini-CWIX» — закрита подія тривалістю два-три дні, де кожна команда у компанії, що торкається системи, підключається одночасно. Мета — не знайти нові баги; мета — зробити operations і travel-команди вільними у потоці на майданчику до зустрічі з реальним партнером.

За чотири тижні запустіть генеральну репетицію з партнером. Скоординуйтесь з дружнім вендором чи союзним підрозділом для одноденного віртуального обміну. Навіть єдине зовнішнє з'єднання оголить припущення, які стенд запік. Захопіть кожен pcap, кожен лог; уроки годують корпус стенда наступного року.

За два тижні зафіксуйте артефакт. Тегніть білд. Випаліть набір образів симуляторів на ноутбуки, що їдуть у Бидгощ. Pre-stage кожен звіт відповідності, кожен SBOM, кожен підписаний bundle доказів у форматі, який очікують рев'юери акредитації JFC Brunssum.

На майданчику дисципліна — логування. Захоплюйте кожен байт на кожному інтерфейсі, секретному й несекретному, з синхронізованими годинниками. Тріаж у реальному часі, але нічого не вирішуйте деструктивно — цінність CWIX — не баги, які ви виправляєте під час навчання; це баги, які ви виправляєте у стенді опісля, щоб вони ніколи не повторилися. Цикл lessons-learned, виконаний сумлінно, — це те, що годує чистий прогін наступного року й через рік.