Многоуровневое ИИ-ревью кода: фреймворк для PR, созданных ИИ

Многоуровневое ревью ИИ-кода: фреймворк для PR, созданных ИИ

Инструменты ИИ меняют то, как код попадает в вашу очередь на ревью. Диффы становятся больше и появляются быстрее. Зачастую они являются результатом работы ИИ, а не человеческой мысли.

Это не проблема, пока ваш процесс ревью остается прежним.

Исследования показывают, что инструменты ИИ для написания кода могут увеличивать текучесть кода (code churn) и снижать уровень его повторного использования. Одно из исследований выявило, что в коде, сгенерированном ИИ, часто больше уязвимостей безопасности, чем в коде, написанном человеком.

Инструменты ИИ помогают командам выпускать продукт быстрее. Но если относиться к каждому pull request от ИИ так же, как к человеческому, это создает «узкие места» или скрытые дефекты.

Вам нужен многоуровневый подход. Соотносите усилия на ревью с риском вносимых изменений.

Используйте эти три сигнала, чтобы определить уровень ревью:

• Происхождение кода (Code Origin): Использовал ли человек небольшое предложение от ИИ или ИИ набросал всю фичу целиком? Код от ИИ часто выглядит правильным, но в нем отсутствует глубокая логика. • Масштаб изменений (Change Scope): Сколько строк изменилось? Большие диффы имеют большую площадь потенциальных ошибок. • Радиус поражения (Blast Radius): Какие части системы затрагивает код? Изменения в аутентификации или платежах — это высокий риск. Изменения в документации — низкий риск.

Назначайте уровни на основе этих сигналов:

• Уровень 1 (Skim): Для кода, написанного только человеком, или небольших скриптов с помощью ИИ. Один ревьюер проверяет наличие захардкоженных ключей. Время выполнения: 4 часа. • Уровень 2 (Scrutinize): Для умеренных изменений от ИИ или крупных диффов от человека. Один ревьюер проверяет логику и покрытие тестами. Время выполнения: 24 часа. • Уровень 3 (Sign-off): Для любого критически важного кода или крупных диффов, сгенерированных ИИ. Требуется подпись двух ревьюеров, включая техлида. Сканирование безопасности и планы отката обязательны. Время выполнения: 48 часов.

«Радиус поражения» является приоритетным фактором. Крошечное изменение логики платежей, сделанное ИИ, всегда относится к Уровню 3.

Это можно автоматизировать. Используйте workflow в GitHub Actions для чтения размеров диффов и путей к файлам. Автоматически назначайте метки, такие как review/tier-1 или review/tier-3.

Эта система — не наказание. Это способ гарантировать, что нужные люди уделяют должное внимание нужному коду.

Создайте матрицу. Добавьте метки. Используйте данные, чтобы со временем корректировать свои пороги.

Источник: https://dev.to/vuong_ngo/tiered-ai-code-review-a-framework-for-ai-generated-prs-4fgb

Дополнительное обучающее сообщество: https://t.me/GyaanSetuAi