우리는 AI 생성 코드가 tech debt가 되는 것을 막는 오픈소스 IDP를 만들었습니다
Source: Dev.to
당신의 팀은 지난달에 AI가 생성한 컴포넌트 47개를 배포했습니다. 보안 검토를 통과한 것은 몇 개였나요?
망설였다면, 당신만 그런 것이 아닙니다. 팀들은 방어 장치를 구축하는 속도보다 AI 코드 생성을 더 빠르게 도입하고 있습니다. 그 결과 우리는 AI limbo engineering이라고 부르는 현상이 나타납니다 — 아무도 감사하지 않고, 테스트하지 않으며, 결정에 대한 추적도 할 수 없는 아름다운 코드.
우리는 이를 해결하기 위해 Forge Space를 만들었습니다.
Forge Space란?
AI 코드 생성에 거버넌스를 추가하는 오픈 소스 내부 개발자 플랫폼입니다. Backstage를 떠올리되, 더 가볍고 generate‑to‑ship 파이프라인에 집중합니다.
모든 AI 생성에는 다음이 제공됩니다:
- A‑F 점수 카드 – 보안, 품질, 접근성 및 컴플라이언스를 포괄
- 정책 검사 – 구성 가능한 규칙에 따라 차단하거나 경고
- 감사 추적 – 프롬프트부터 프로덕션까지의 전 과정
60초 안에 시작하기
npx forge-init이 명령은 프로젝트에 거버넌스 파일들을 자동으로 생성합니다:
.forge/
policies/
security.policy.json # no-secrets, dep scanning
quality.policy.json # lint, tests, function size
compliance.policy.json # license headers, audit trail
scorecard.json # threshold and weight config
features.json # feature flag seed
.github/workflows/
scorecard.yml # PR scorecard comments
policy-check.yml # blocks on violations이제 모든 PR에 점수가 매겨집니다:
npx forge-scorecard --threshold 70Forge Space Scorecard
━━━━━━━━━━━━━━━━━━━━
Security: 85/100 (weight: 30%)
Quality: 78/100 (weight: 30%)
Compliance: 90/100 (weight: 20%)
Operations: 72/100 (weight: 20%)
━━━━━━━━━━━━━━━━━━━━
Overall: 81/100 (B)세 가지 내장 정책 팩
보안 (병합 차단)
- no-secrets – 하드코딩된 자격 증명 및 API 키 스캔
- dep‑vulnerabilities – 종속성 트리에서 고위/치명적인 CVE 표시
품질 (경고)
- lint-clean – ESLint가 오류 없이 통과
- tests-present – 새로운 모듈에 최소 하나의 테스트 파일 포함
- no-large-functions – 함수가 50줄 이하 유지
컴플라이언스 (경고)
- audit-trail – 생성 로그가 보존됨
- feature-flagged – 새로운 기능이 기능 플래그 뒤에 있음
맞춤 정책도 추가할 수 있습니다:
{
"name": "custom",
"rules": [
{
"id": "max-bundle-size",
"severity": "block",
"check": "bundle-size",
"threshold": 3072
}
]
}CLI를 넘어: 전체 플랫폼
Forge Space는 CI 체크 이상입니다. 웹 앱(siza.forgespace.co)은 다음을 제공합니다:
- AI 코드 생성 및 인라인 A‑F 품질 점수 제공
- 서비스 카탈로그를 통해 서비스, API, 라이브러리를 추적
- 골든 패스 템플릿으로 거버넌스가 내장된 새로운 프로젝트를 스캐폴딩
- BYOK 지원 — Anthropic, OpenAI, Google API 키를 직접 가져와 사용
MCP 게이트웨이는 JWT 인증, RBAC, 감사 로깅이 포함된 중앙 허브를 통해 AI 도구 호출을 라우팅합니다.
왜 Backstage만 사용하지 않을까?
Backstage는 전용 플랫폼 팀이 있는 대기업에 탁월합니다. 하지만 여러분이 5–50명의 개발자로 구성된 팀이라면:
| 기능 | Backstage | Forge Space |
|---|---|---|
| 설정 시간 | 며칠에서 몇 주 | npx forge-init |
| 플랫폼 팀 필요 여부 | 예 | 아니오 |
| 비용 | 인프라 + 유지보수 | 무료 티어, 자체 호스팅 가능 |
| AI‑네이티브 | 플러그인 생태계 | 내장 생성 + 스코어링 |
| 초점 | 서비스 카탈로그 | 생성‑후‑배포 거버넌스 |
우리는 Backstage를 대체하는 것이 아닙니다. 우리는 지금 거버넌스가 필요한데 플랫폼 팀을 정당화할 수 없는 팀들을 위해 그 격차를 메우고 있습니다.
It’s open source
Everything is MIT licensed across 9 repos:
- @forgespace/core – 스코어카드 엔진, 정책 평가기, CLI 도구
- @forgespace/ui-mcp – UI 생성을 위한 MCP 서버 (30개 이상의 도구)
- @forgespace/siza-gen – AI 생성용 컨텍스트 어셈블러
- mcp-gateway – 인증 및 감사를 포함한 중앙 라우팅 허브
- siza – Next.js 웹 앱 + Electron 데스크톱 앱
All on npm. All on GitHub.
다음 단계
우리는 더 많은 기능을 만들기 전에 실제 팀에 이 도구를 전달하는 데 집중하고 있습니다. 만약 여러분이:
- 시도해 보고 싶다면: siza.forgespace.co (무료 티어, 신용카드 필요 없음)
- 셀프‑호스트하고 싶다면:
npx forge-init+ 문서 확인 - 기여하고 싶다면: 좋은 첫 번째 이슈가 기다리고 있습니다
이 내용이 마음에 든다면 GitHub에서 별표를 눌러 주세요.