software

我们构建了一个开源 IDP,阻止 AI 生成的代码成为技术债务

发布: (2026年3月8日 GMT+8 04:21)
5 分钟阅读
原文: Dev.to

Source: Dev.to

封面图片:我们构建了一个开源 IDP,防止 AI 生成的代码成为技术债务

你的团队上个月交付了 47 个 AI 生成的组件。有多少通过了安全审查?

如果你犹豫了,你并不孤单。团队采纳 AI 代码生成的速度快于他们构建防护措施的速度。其结果就是我们所谓的 AI limbo engineering —— 美观的代码却没有人审计、没有人测试,也没有人能追溯到决策。

我们构建了 Forge Space 来解决这个问题。

什么是 Forge Space?

一个开源的内部开发平台,为 AI 代码生成添加治理功能。可以把它想象成 Backstage,但更轻量,专注于 generate-to-ship 流程。

每一次 AI 生成都会得到:

  • A‑F 评分卡,涵盖安全性、质量、可访问性和合规性
  • 策略检查,根据可配置规则阻止或警告
  • 审计追踪,从提示(prompt)到生产的全链路记录

60 秒快速入门

npx forge-init

这将在你的项目中生成治理文件:

.forge/
  policies/
    security.policy.json    # no-secrets, dep scanning
    quality.policy.json     # lint, tests, function size
    compliance.policy.json  # license headers, audit trail
  scorecard.json            # threshold and weight config
  features.json             # feature flag seed
.github/workflows/
  scorecard.yml             # PR scorecard comments
  policy-check.yml          # blocks on violations

现在每个 PR 都会被评分:

npx forge-scorecard --threshold 70
Forge Space Scorecard
━━━━━━━━━━━━━━━━━━━━
Security:    85/100 (weight: 30%)
Quality:     78/100 (weight: 30%)
Compliance:  90/100 (weight: 20%)
Operations:  72/100 (weight: 20%)
━━━━━━━━━━━━━━━━━━━━
Overall: 81/100 (B)

三个内置策略包

安全(阻止合并)

  • no-secrets – 扫描硬编码的凭证和 API 密钥
  • dep‑vulnerabilities – 标记依赖树中高危/严重的 CVE

质量(警告)

  • lint-clean – ESLint 零错误通过
  • tests-present – 新模块至少包含一个测试文件
  • no-large-functions – 函数行数保持在 50 行以下

合规(警告)

  • audit-trail – 生成日志被保留
  • feature-flagged – 新功能通过特性标记控制

您也可以添加自定义策略:

{
  "name": "custom",
  "rules": [
    {
      "id": "max-bundle-size",
      "severity": "block",
      "check": "bundle-size",
      "threshold": 3072
    }
  ]
}

超越 CLI:完整平台

Forge Space 不仅仅是 CI 检查。Web 应用(siza.forgespace.co)为您提供:

  • AI 代码生成,带有内联 A‑F 质量评分
  • 服务目录,用于跟踪您的服务、API 和库
  • 黄金路径模板,用于搭建新项目并内置治理
  • BYOK 支持 — 自带 Anthropic、OpenAI 或 Google API 密钥

MCP 网关通过中心枢纽路由 AI 工具调用,提供 JWT 认证、基于角色的访问控制 (RBAC) 和审计日志。

Source:

为什么不直接使用 Backstage?

Backstage 对拥有专职平台团队的大型企业非常出色。但如果你的团队只有 5–50 名开发者:

功能BackstageForge Space
设置时间几天到几周npx forge-init
是否需要平台团队
成本基础设施 + 维护免费层,可自行托管
AI 原生支持插件生态系统内置生成 + 评分
关注点服务目录生成即交付治理

我们并不是要取代 Backstage。我们是在为那些需要 立即 实施治理、但又无法为平台团队提供正当理由的团队填补空白。

开源

所有 9 个仓库均采用 MIT 许可证:

  • @forgespace/core – 记分卡引擎、策略评估器、CLI 工具
  • @forgespace/ui-mcp – 用于 UI 生成的 MCP 服务器(30+ 工具)
  • @forgespace/siza-gen – AI 生成的上下文组装器
  • mcp-gateway – 带身份验证和审计的中心路由枢纽
  • siza – 基于 Next.js 的网页应用 + Electron 桌面应用

全部托管在 npm。全部托管在 GitHub。

接下来怎么办

我们专注于在构建更多功能之前,将其交到真实团队手中。如果你:

  • 想试用: siza.forgespace.co(免费层,无需信用卡)
  • 想自行托管: npx forge-init + 查看文档
  • 想要贡献: 我们有适合新手的 Issue 等待中

如果你认同,请在 GitHub 上给我们加星。

0 浏览
#software #programming #community
查看原文
Share:
Back to Blog

相关文章

阅读更多 »