导语:
11 月 22 日,软件工程在“AI 生成 + 合规交付”上进入攻坚:GitHub 宣布 Copilot Workspace 面向企业 GA,支持从 Issue→设计→变更计划→PR 的全链路辅助;JetBrains AI Assistant 推出多智能体 Code Review/性能剖析模式;Atlassian Compass 与 Backstage 打通,服务得分卡默认覆盖 SLO/Security/AI 治理;SLSA 1.1 发布正式文本,要求构建与供应链双向可证明。工程团队需要重新定义“交付控制权”,让 AI 助手、质量、合规和审计保持同步。
1. Copilot Workspace GA:计划即代码
- 引入“Planning as Code”,将需求拆分、设计草图、风险提示输出为可审阅文档;自动生成待办与变更计划。
- Workspace 默认读取安全/合规守则,生成的 PR 会附上引用链与边界说明,避免越权调用。
- 支持自托管 Runner 与企业私有模型,日志可入 SIEM。
2. JetBrains AI 多智能体评审
- 新增“Perf Agent”与“Security Agent”,并行生成性能与安全审查清单;支持在 IDE 内做本地冷/热路径剖析并建议补丁。
- 评审结果与代码片段形成结构化记录,可输出为 SARIF/OTel 事件,进入集中审计。
3. Compass + Backstage:服务得分卡
- Compass Scorecards 默认包含 SLO、变更失败率、漏洞 SLA、AI 组件清单;可作为 Backstage Catalog 的扩展视图。
- 质量门槛与发布策略绑定:未达分数线的服务禁止自动化发布。
4. SLSA 1.1:可证明供应链
- 正式文本要求构建器、源、依赖可互相证明:需要不可变日志(Rekor)、双向 SBOM、签名产物与策略执行证明。
- 对 AI 模型/提示的溯源提出附录建议:模型版本、提示、数据源均需记录,可类比软件制品。
企业策略
- 规划—交付一体化:让 Copilot Workspace/类似工具进入需求/设计阶段,并与风险/合规模板绑定,输出可审计计划。
- 评审双轨:性能与安全评审并行;使用 SARIF/OTel 记录审查证据,统一收敛到审计平台。
- 服务得分卡:将 SLO、部署频率、变更失败率、AI 组件清单、SBOM 纳入强制得分卡,未达标不发布。
- 供应链证明:升级 CI 以满足 SLSA 1.1:签名、不可变日志、可重建、SBOM + AI Prompt/模型清单,一键留痕。
行动清单
- 在两条核心业务链路试点 Copilot Workspace,验证计划质量、引用链与变更风险提示,建立审批与留痕。
- 在 JetBrains 开启性能/安全双 Agent 评审,输出 SARIF 与 OTel 到 SIEM/Observability。
- 为服务 Catalog 附加 Compass Scorecards,绑定发布策略;未达标的服务启用人工审批。
- 更新 CI/CD:启用签名、Rekor 日志、SBOM,收集 AI 模型/提示元数据以满足 SLSA 1.1。
风险与案例
- 风险:AI 工具可能生成越权调用或过度工程;得分卡指标与业务目标不一致会导致“指标游戏”;日志不全会让合规失效。
- 案例:一 SaaS 团队用 Workspace 生成设计/风险文档,PR 审核时间缩短 35%,同时通过内部合规审计;金融团队在 Backstage 启用强制得分卡,减少了 20% 的非合规发布;游戏公司将 SLSA 1.1 落地后,第三方审计一次通过。
结语
AI 已介入需求到发布的全链路,但控制权必须留在工程团队。以计划即代码、双轨评审、得分卡和供应链证明构建防护网,才能在提速的同时守住质量与合规。
