导语:
11 月 23 日,软件工程继续在“AI 交付 + 可证明性”上深化:Copilot Workspace 企业版开启“执行计划审计”视图,自动附上需求、设计、风险、引用链;JetBrains AI Assistant 加入架构图推理与性能剖析多智能体;Atlassian Compass 把 AI 组件清单与 SLO/变更失败率绑定为默认 Scorecard;SLSA 1.1 发布落地指南,强调签名、可重建与 AI 模型/Prompt 溯源。交付不再只看速度,还要证明过程可信。
1. Copilot Workspace:执行计划审计
- Workspace 自动生成的计划与代码变更会附引用链、合规提示、风险清单,并生成审计包(签名 JSON + diff)。
- 支持“边写边评审”:性能/安全 Agent 与代码生成并行运行,提出阻断级建议。
2. JetBrains AI:架构与性能多 Agent
- 新增“架构 Agent”可以读取项目结构生成 C4 级别草图;“Perf Agent”接入本地 profiler,输出热路径与建议补丁。
- SARIF/OTel 输出默认开启,可直接送往 SIEM/Observability。
3. Compass Scorecards:AI 清单内建
- Scorecards 强制记录 AI 组件(模型、Prompt、数据源)、SLO、变更失败率;不达标的服务禁止自动发布。
- Backstage 插件更新后可直接展示 Scorecard 状态与阻断原因。
4. SLSA 1.1 落地指南
- 官方指南给出签名、Rekor 日志、SBOM、可重建步骤,并增加 AI 模型/Prompt 元数据字段。
- 建议把策略与证明放入 CI,生成“交付凭证包”。
企业策略
- 计划即凭证:让 Workspace 生成的计划、引用与风险成为审计素材,签名并存档;阻断级建议必须闭环。
- 多 Agent 评审:性能/安全/架构三条线并行评审,记录 SARIF/OTel,形成可检索证据。
- 得分卡门禁:Compass Scorecards 绑定发布策略,未达标不发布;AI 组件清单与 SLO 一同评审。
- 供应链证明:按 SLSA 1.1 配置签名、SBOM、Rekor、可重建,AI 模型/Prompt 元数据同样收集。
行动清单
- 在两个核心项目开启 Workspace 审计包与边写边评审,评估代码质量与审计完整度;
- JetBrains 启用架构/性能 Agent,导出 SARIF/OTel 到 SIEM;
- Compass Scorecards 接入 Backstage,设定发布阻断阈值;
- CI/CD 生成交付凭证包(签名+SBOM+Rekor+Prompt 元数据),存档至制品库。
风险提示
- 审计缺口:未签名的计划/日志在合规审查中无效;
- 阻断过载:过多阻断建议可能拖慢交付,需要风险分级;
- 得分卡偏差:指标未与业务目标对齐会引发“指标游戏”。
结语
AI 提速了交付,但可信度需要凭证支撑。把计划、评审、得分卡与供应链证明统一为可验证资产,工程团队才能在快速交付与合规之间取得平衡。
