导语:
11 月 24 日,软件工程把“AI 生成”与“可证明交付”绑定:Copilot Workspace 企业版增加“执行计划审计包”,自动签名需求/设计/风险/引用;JetBrains AI Assistant 推出架构 + 性能多 Agent 并发评审;Atlassian Compass 将 AI 组件清单、SLO、变更失败率纳入默认 Scorecard,与 Backstage 打通;SLSA 1.1 发布实施指南,强调签名、可重建和 AI 模型/Prompt 溯源。计划、评审、发布都需要凭证化。
1. Copilot Workspace:计划即凭证
- 生成的计划/设计/风险清单附引用链与边界说明,并打包签名 JSON;PR 自动附上影响面与合规提示。
- 支持“边写边评审”:性能/安全 Agent 与代码生成并行运行,阻断风险变更。
2. JetBrains AI:多 Agent 并行评审
- 架构 Agent 读取项目结构生成 C4 草图;Perf Agent 连接本地 profiler 输出热路径与补丁建议;Security Agent 提示依赖风险。
- SARIF/OTel 导出默认开启,可流入 SIEM/Observability 形成审计链。
3. Compass Scorecards:AI 清单强制化
- Scorecards 默认要求记录 AI 组件(模型/Prompt/数据源)、SLO、变更失败率;分数与发布策略绑定,不达标禁止自动发布。
- Backstage 插件展示 Scorecard 状态与阻断原因。
4. SLSA 1.1:供应链凭证
- 指南给出签名、Rekor 日志、SBOM、可重建步骤,并新增 AI 模型/Prompt 元数据字段;建议在 CI 产出“交付凭证包”。
企业策略
- 计划凭证化:让 Workspace 计划、引用、风险成为审计材料,签名并存档;阻断级建议必须闭环。
- 多 Agent 评审常态化:性能/安全/架构三线并行评审,输出 SARIF/OTel,作为发布门禁证据。
- 得分卡门禁:Compass Scorecards 与 Backstage/发布策略绑定,AI 组件清单与 SLO 必须满足阈值;未达标需人工审批。
- 供应链证明自动化:按 SLSA 1.1 配置签名、SBOM、Rekor、可重建,收集 AI 模型/Prompt 元数据,形成交付凭证包。
行动清单
- 在两条核心链路试点 Workspace 审计包与边写边评审,评估审计完整度与速度;
- JetBrains 开启架构/性能 Agent,导出 SARIF/OTel 到 SIEM;
- Compass Scorecards 接入 Backstage,设置发布阻断阈值,定期复核指标;
- CI/CD 生成交付凭证包(签名 + SBOM + Rekor + Prompt 元数据),存档制品库。
风险提示
- 审计缺口:未签名的计划/日志在审计中无效;
- 阻断过载:过多阻断建议可能拖慢交付,需风险分级;
- 指标游戏:Scorecard 指标未与业务对齐会激励错误行为;
- 供应链遗漏:未记录模型/Prompt 元数据将导致合规缺口。
结语
AI 提速了交付,但可信度需要凭证。把计划、评审、得分卡与供应链证明固化为可验证资产,团队才能在速度与合规之间保持平衡。
