Как бизнесу проверять качество кода, когда его пишет ИИ

Что такое качество кода

Для бизнеса качество кода — вопрос устойчивости продукта: можно ли его развивать, поддерживать, безопасно обновлять и не тратить лишние ресурсы на исправление ошибок. Обычно код оценивают по четырем критериям:

• читаемость: понятно, что написал один разработчик, что добавил другой и как это связано с логикой продукта;
• поддерживаемость: если каждое изменение ломает соседние части продукта, команда быстро теряет скорость;
• оптимизация ресурсов: качественный код решает задачу без лишней нагрузки на инфраструктуру;
• безопасность: в качественном коде нет рискованных зависимостей и решений, которые могут повлиять на данные пользователей или стабильность сервиса.

Можно посчитать количество багов, количество возвратов задач после того, как их закрыли, а потом вернули с багами, обращение в саппорт-тикеты. Как часто вы падаете, как вам нужно много или мало времени на то, чтобы релиз откатить или восстановиться из бэкапа. Но одну цифру не выведешь. Качество кода — абстрактное понятие.

Евгений Антонов, ведущий технический менеджер проектов и тимлид в Яндексе

Почему ручная проверка кода стала узким местом

Раньше один разработчик писал код, а тимлид или другой коллега проверял изменения в запросе на слияние. На это заранее закладывали время в рабочем цикле: команда понимала, что часть ресурса уйдет на проверку.

У такого подхода всегда были ограничения. Проверка требует внимания и времени, а у разработчиков есть свои задачи и срочные релизы. Поэтому в командах возникали вопросы: насколько внимательно проверили код, не подтвердили ли изменения формально, не превратилась ли проверка в процесс ради галочки.

С появлением больших языковых моделей и сервисов на базе искусственного интеллекта нагрузка выросла. Разработчики стали писать код быстрее, а значит, выросло и количество изменений, которые нужно проверять.

Закладывать время на проверку кода стало сложнее. Раньше висело один-два запроса на слияние, тимлид или другой разработчик могли быстро подключиться, посмотреть их и подтвердить, что все хорошо. Сейчас может быть 10-20 запросов в день.

Юрий Петров, руководитель отдела мобильной разработки Friflex

Как автоматизировать проверку кода

Один из вариантов — подключать ИИ-агента, который помогает проверять код до того, как к нему перейдет человек. Такой агент не заменяет ответственного разработчика, но снимает часть рутинной нагрузки: находит типовые проблемы, оставляет комментарии и помогает быстрее понять, где изменения требуют особого внимания.

Так машина помогает проверить код, который тоже мог быть написан с помощью машины. Для команды это способ сохранить контроль над качеством, когда скорость разработки растет быстрее, чем возможности ручной проверки.

По нашим наблюдениям, если большая языковая модель пишет код, то ревью собственного кода она проводит плохо. С человеком работает похожая логика: когда он проверяет сам себя, то часто делает это хуже, чем внешний проверяющий. С машинами как будто должно быть иначе, но на практике мы видим, что модели хорошо проверяют работу других моделей.

Поэтому у нас есть свой агент, мы сейчас внедряем его в процессы разработки. Он помогает проводить проверку кода, смотрит изменения, оставляет комментарии, и с ним интересно общаться. Пока мы выбрали такой путь.

Юрий Петров, руководитель отдела мобильной разработки Friflex

Зачем нужны защитные ограничения

Защитные ограничения или guardrails — это правила и технические барьеры, которые помогают удерживать ИИ-систему в заданных границах. Например, она не должна раскрывать персональные данные, использовать запрещенные источники, придумывать факты, выдавать непроверенный результат за окончательное решение.

Для бизнеса это вопрос управляемости. ИИ помогает ускорить работу, но ответственность за продукт, данные и пользователей все равно остается на компании. Если система ошибется в критичном процессе, пострадают не только разработчики: последствия могут затронуть клиентов, репутацию, деньги и безопасность.

Разработчики не всегда видят разницу между лицензиями MIT, Apache, BSD и лицензиями, которые могут создавать риски для компании. Таких аспектов много. Они могут напрямую повлиять на бизнес, в том числе на юридическую часть. Поэтому проверка кода становится еще важнее, и командам нужны автоматизированные инструменты.

Петр Чернышев, генеральный директор Friflex

Что такое ИИ-обвязка

В области разработки с искусственным интеллектом сейчас популярно понятие AI harness или «ИИ-обвязка». Это набор инструментов, правил и технических решений, которые помогают встроить модель в рабочий процесс команды.

Сама по себе модель не знает, какие стандарты действуют в проекте и какие действия ей точно нельзя выполнять. Все это важно настроить вокруг нее: подготовить контекст, ограничить доступы, определить сценарии проверки и понять, как оценивать результат.

ИИ-обвязка, если она грамотно настроена, помогает тратить меньше токенов, не отправлять модели лишние данные, безопаснее работать с кодом и сохранять контроль над результатом.