ИИ в проекте — чек-лист
Проверка для тимлида, EM и ИБ. Цель — убедиться, что LLM/Copilot используются осознанно, а не "каждый как хочет". См. основную статью и итоги.
Политика и governance
- В wiki есть политика AI (1–2 страницы): scope, tools, secrets, review.
- Политика согласована с ИБ.
- Указана дата пересмотра политики и владелец страницы.
- Ссылка на политику в онбординг-пакете и README репозитория.
- Есть whitelist одобренных инструментов (Copilot org, локальная модель и т.д.).
- Процедура заявки на новый AI-инструмент описана.
Данные и секреты
- Секреты, ключи API, пароли запрещены в публичных LLM.
- ПДн и prod-данные запрещены в промптах без явного DPA/контура.
- Загрузка всего репозитория в публичный чат запрещена.
- Команда знает, куда сообщать о случайной утечке в промпт.
- Различие enterprise и личного аккаунта задокументировано.
Разработка и code review
- PR с AI-кодом проходит обычный review и CI.
- В PR есть AI disclosure (шаблон в wiki или описании PR).
- Автор объясняет код на review, не ссылается только на модель.
- Зоны auth, payments, PII — elevated/security review (2 approve / checklist).
- Запрещён merge "не разбирался, CI прошёл".
- Большие AI-генерации дробятся на обозримые PR.
Лицензии и IP
- Заказчик/договор учитывает IP сгенерированного кода (7.07).
- Новые зависимости от AI-предложений проходят license check / SCA в CI.
- Команда знает риск GPL/чужих сниппетов в генерации.
QA и аналитика
- QA не принимает "тесты от модели" без проверки покрытия и границ.
- BA валидирует user story и требования от модели с заказчиком.
- ИИ не заменяет приёмку и sign-off релиза.
- Тестовые данные для промптов — синтетические или обезличенные.
Документация
- Release notes и ADR от модели проходят факт-чек человеком.
- Release notes не публикуются с галлюцинированными версиями/API.
Junior и обучение
- Наставник проверяет, что junior объясняет решение без подсказки модели.
- В onboarding описаны ожидания по Copilot (вайб-кодинг).
- Правила учебных/собеседовательных задач по ИИ ясны.
Удалённая команда
- Политика AI доступна всем TZ (удалёнка), не только офису.
- Disclosure в PR позволяет async review без созвона.
DoD и процесс
- DoD при необходимости включает AI disclosure и security review.
- Инциденты с промптами связаны с процессом инцидентов.
Обучение и awareness
- Onboarding включает 15-мин walkthrough политики AI.
- Раз в полгода — напоминание в канале #engineering (примеры инцидентов без секретов).
- В культуре кода review упоминает AI policy.
- Security champions знают SEC checklist для auth/payments PR.
Метрики (опционально)
- Отслеживается доля PR с AI disclosure (не для KPI штрафов).
- Post-mortem утечек в промпт — action items закрыты.
Оценка зрелости
| Галочек | Уровень |
|---|---|
| < 50% | Срочно: политика + запрет секретов + disclosure |
| 50–80% | Рабочий уровень: усилить review high-risk и QA |
| > 80% | Зрелая практика: пересмотр политики по расписанию |
Не формальность
Чек-лист на retro с участием одного разработчика и представителя ИБ даёт реалистичную картину, чем галочки "для галочки" у EM в одиночку.
Быстрая самопроверка (5 минут)
- Политика AI есть в wiki и linked из onboarding?
- Последний PR с Copilot имел disclosure?
- Секреты в промпт — явный запрет в policy?
Два "нет" — приоритет на статью 1 и согласование с ИБ.