Guardian

Guardian 是什麼？

Guardian 是針對 AI 輔助程式碼變更的發佈決策層。它不僅偵測問題，還會依據政策評估高風險或 AI 密集的程式碼更新，並產生明確的發佈決策（通過、帶警告通過，或封鎖），附上證據。

此產品設計用來協助小型工程團隊標準化程式碼發佈前的核准流程。Guardian 在桌面、CLI 及 CI 工作流程中套用相同的政策驅動檢查，並包含人類核准流程及高風險覆寫的稽核歷史。

主要功能

• 發佈決策層（不僅是偵測）： 針對 AI 輔助程式碼變更產生明確的通過/不通過決策及理由，而非僅列出問題清單。
• AI 密集 / 大幅變更的審核路由： 辨識 AI 輔助或異常大型的重構 pull request，並在發佈前路由至更嚴格的審核路徑。
• 依團隊規則執行政策： 將架構、安全及品質規則定義為政策，套用至高風險變更，並以白話說明浮現違規。
• 具問責的人類核准工作流程： 針對高風險流程，記錄指定核准者、覆寫擁有者及理由於稽核歷史中。
• 跨環境的本地優先政策即程式碼工作流程： 將政策即程式碼保存在儲存庫中，並支援桌面 + CLI 流程，可在需要時本地執行。

如何使用 Guardian

1. 定義團隊政策（架構、安全及品質規則），並以政策即程式碼形式儲存在儲存庫中。
2. 在桌面/CLI 或 CI 工作流程中使用 Guardian，確保 AI 輔助及異常大型變更在發佈前一致評估。
3. 檢視高風險變更的政策執行結果，包含變更違反政策的說明。
4. 必要時執行人類核准： 選擇適當決策路徑（通過、帶警告通過，或封鎖），若覆寫封鎖，則提供指定核准者/擁有者及理由。
5. 依賴發佈決策介面取得最終答案： 使用明確決策加上稽核軌跡佐證的證據。

使用案例

• 控制大型 AI 輔助 pull request： 當開發者使用 Copilot/Claude/Cursor 等工具建立大型 PR 時，Guardian 偵測 AI 密集或異常大型變更，並在發佈前路由至更嚴格評估。
• 捕捉 AI 生成工作中的架構偏移： Guardian 突顯 AI 密集變更中的架構及政策違規，並向審核者說明其重要性。
• 將安全及品質規則納入發佈閘道： 團隊可將架構、安全及品質政策套用至高風險變更，確保發佈決策符合儲存庫規則。
• 跨工具標準化核准行為： 因桌面、CLI 及 CI 均套用相同儲存庫政策，團隊可減少審核者及決策方式的變異。
• 維護覆寫的稽核軌跡： 若高風險項目儘管封鎖仍獲准，Guardian 會記錄誰核准、誰覆寫及原因，確保決策可稽核。

常見問題

• Guardian 一發現問題就立即停止變更嗎？ 不是。Guardian 是發佈決策層，會產生發佈決策（通過、帶警告通過，或封鎖）並附上證據，而非僅列出問題。

• Guardian 視哪些變更為較高風險？ 它聚焦於 AI 輔助變更及異常大型的重構 pull request，並路由至更嚴格的評估路徑。

• Guardian 如何處理高風險核准的問責？ 針對高風險流程，它要求指定核准者及覆寫擁有者，並將理由記錄於稽核歷史中。

• 政策在哪定義及儲存？ Guardian 使用儲存在儲存庫的政策即程式碼，並支援可在需要時本地執行的桌面 + CLI 流程。

• 最終決策如何傳達？ Guardian 明確回應發佈閘道問題，以通過、帶警告通過，或封鎖決策，並由稽核軌跡佐證。

替代方案

• 手動程式碼審核搭配內部檢查清單： 團隊依賴審核者和文件決定可發佈內容，而非依政策驅動的發佈閘道產生可稽核決策表面。
• 靜態分析或安全掃描器： 這些工具通常強調偵測與問題回報；Guardian 定位為產生治理式發佈決策（包含證據與核准/覆寫歷史），而非僅「發現問題」。
• 軟體交付的通用政策/合規平台： 相鄰類別包含管理治理工作流程的工具，但 Guardian 專注於依 policy-as-code 決策 AI 輔助與異常大型程式碼變更，涵蓋 desktop/CLI/CI。
• 僅代理審核（聊天/工作階段式）： 若團隊僅依賴代理建議，無一致政策執行與明確發佈決策表面，決策品質會因提示、模型與操作者而異——Guardian 設計用以標準化發佈閘道流程。