导语:
11 月 25 日,软件工程继续把 AI 生成与可证明交付绑定:Copilot Workspace 企业版为每次计划/变更生成签名审计包;JetBrains AI Assistant 增强架构/性能/安全多 Agent 并行评审;Atlassian Compass 将 AI 组件清单、SLO、变更失败率作为默认 Scorecard 门槛;SLSA 1.1 实施指南强调签名、可重建与模型/Prompt 溯源。交付流水线正在“凭证化”。
1. Copilot Workspace:计划即凭证
- 需求/设计/风险拆解附引用链与边界说明,输出签名 JSON 审计包;PR 自动附影响面与合规提示。
- 支持性能/安全 Agent 与代码生成并行,阻断风险变更;重放功能便于审计。
2. JetBrains AI:多 Agent 并行评审
- 架构 Agent 生成 C4 草图,Perf Agent 结合本地 profiler 给出热路径补丁,Security Agent 识别依赖/配置风险。
- SARIF/OTel 导出默认开启,可入 SIEM/Observability 形成证据链。
3. Compass Scorecards:AI 清单强制
- Scorecards 默认要求 AI 组件(模型/Prompt/数据源)、SLO、变更失败率;分数与发布策略绑定,不达标禁止自动发布。
- Backstage 插件展示 Scorecard 状态与阻断原因,支持例外审批。
4. SLSA 1.1:供应链凭证
- 指南要求签名、Rekor 日志、SBOM、可重建步骤,并新增 AI 模型/Prompt 元数据字段;建议 CI 产出“交付凭证包”。
企业策略
- 计划凭证化:把 Workspace 计划/引用/风险签名存档,阻断级建议必须闭环;重放纳入审计。
- 多 Agent 常态化:性能/安全/架构评审并行,输出 SARIF/OTel 作为发布门禁证据。
- 得分卡门禁:Scorecards 与发布策略绑定,AI 组件清单/SLO/变更失败率必须达标;例外需审批留痕。
- 供应链证明自动化:按 SLSA 1.1 启用签名、SBOM、Rekor、可重建,收集模型/Prompt 元数据形成凭证包。
行动清单
- 在两条核心链路启用 Workspace 审计包与多 Agent 评审,评估质量/速度;
- Compass Scorecards 接入 Backstage,设定发布阻断阈值并每周复核;
- CI/CD 生成交付凭证包(签名 + SBOM + Rekor + Prompt 元数据),存档制品库;
- 对阻断/例外建立工单化流程,确保审计可追溯。
风险提示
- 审计缺口:未签名计划/日志在审计中无效;
- 阻断过载:过多阻断会拖慢交付,需风险分级;
- 指标游戏:Scorecard 指标未与业务对齐会激励错误行为;
- 供应链遗漏:未记录模型/Prompt 元数据将形成合规缺口。
结语
AI 提速交付,但凭证决定信任。把计划、评审、得分卡与供应链证明固化为流水线资产,团队才能在速度与合规之间稳态前行。
