导语:
11 月 27 日,软件工程继续强化“AI 生成 + 可证明交付”:Copilot Workspace 企业版为计划/变更生成签名审计包并支持重放;JetBrains AI Assistant 的架构/性能/安全多 Agent 并行评审增加 SARIF/OTel 导出;Atlassian Compass 将 AI 组件清单、SLO、变更失败率作为默认 Scorecard 门槛;SLSA 1.1 实施指南强调签名、可重建与模型/Prompt 溯源。交付流水线正在凭证化与留痕化。
1. Copilot Workspace:计划即凭证
- 需求/设计/风险拆解附引用链与边界说明,输出签名 JSON 审计包;PR 自动附影响面与合规提示。
- 性能/安全 Agent 与代码生成并行,阻断风险变更;重放便于审计与 RCA。
2. JetBrains AI:多 Agent 并行评审
- 架构 Agent 生成 C4 草图;Perf Agent 联动 profiler 输出热路径补丁;Security Agent 识别依赖与配置风险。
- SARIF/OTel 导出默认开启,可入 SIEM/Observability 形成证据链。
3. Compass Scorecards:AI 清单强制
- Scorecards 默认要求 AI 组件(模型/Prompt/数据源)、SLO、变更失败率;分数与发布策略绑定,不达标禁止自动发布。
- Backstage 插件展示 Scorecard 状态与阻断原因,支持例外审批留痕。
4. SLSA 1.1:供应链凭证
- 指南要求签名、Rekor 日志、SBOM、可重建步骤,并新增 AI 模型/Prompt 元数据字段;建议 CI 产出“交付凭证包”。
企业策略
- 计划凭证化:把 Workspace 计划/引用/风险签名存档,阻断级建议闭环,重放纳入审计;
- 多 Agent 常态化:性能/安全/架构评审并行,输出 SARIF/OTel 作为发布门禁证据;
- 得分卡门禁:Scorecards 与发布策略绑定,AI 组件清单/SLO/变更失败率必须达标;例外需审批留痕;
- 供应链证明自动化:按 SLSA 1.1 启用签名、SBOM、Rekor、可重建,收集模型/Prompt 元数据形成凭证包。
行动清单
- 在核心链路启用 Workspace 审计包与多 Agent 评审,评估质量/速度;
- Compass Scorecards 接入 Backstage,设发布阻断阈值并定期复核;
- CI/CD 生成交付凭证包(签名 + SBOM + Rekor + Prompt 元数据),存档制品库;
- 为阻断/例外建立工单化流程,确保审计可追溯。
风险提示
- 审计缺口:未签名计划/日志在审计中无效;
- 阻断过载:过多阻断拖慢交付,需风险分级;
- 指标游戏:Scorecard 指标未与业务对齐会激励错误行为;
- 供应链遗漏:未记录模型/Prompt 元数据形成合规缺口。
结语
AI 提速交付,但凭证决定信任。把计划、评审、得分卡与供应链证明固化为流水线资产,团队才能在速度与合规之间稳态前行。
