这是一个创建于 43 天前的主题,其中的信息可能已经有所发展或是发生改变。
领导一拍脑袋让我做一个工具,每天扫描前一天 svn 上提交的代码(也就是说,历史提交的不管)
生成报告,比如不好的代码,安全漏洞等,然后找到这个文件当天的提交人,给提交人和项目主管发邮件。
这个我已经做了一个基于 sonarQube 的,
因为 sonarQube 已经生成在线的报告了,所以我邮件里只写有几个漏洞几个问题,然后贴一个在线地址。
但是领导一拍脑袋非要往 AI 上靠。就是要做一个基于大模型的扫描工具。
就说现在有没有现成的这种 AI 工具了?
没有的话,要怎么做?我能想到的是 openai 的结构化输出,把每个文件作为输入,生成类似 sonarQube 那样的 json 报告,但是吧,项目组内部用的工具,翻墙是不可能翻墙的。那种不知道哪里的小店卖的 API ,也是不敢用的。用开源大模型吧,又担心输出结构不稳定。
ps:版本控制工具只能是 svn ,git 肯定是推不动的。
生成报告,比如不好的代码,安全漏洞等,然后找到这个文件当天的提交人,给提交人和项目主管发邮件。
这个我已经做了一个基于 sonarQube 的,
因为 sonarQube 已经生成在线的报告了,所以我邮件里只写有几个漏洞几个问题,然后贴一个在线地址。
但是领导一拍脑袋非要往 AI 上靠。就是要做一个基于大模型的扫描工具。
就说现在有没有现成的这种 AI 工具了?
没有的话,要怎么做?我能想到的是 openai 的结构化输出,把每个文件作为输入,生成类似 sonarQube 那样的 json 报告,但是吧,项目组内部用的工具,翻墙是不可能翻墙的。那种不知道哪里的小店卖的 API ,也是不敢用的。用开源大模型吧,又担心输出结构不稳定。
ps:版本控制工具只能是 svn ,git 肯定是推不动的。
4 条回复 • 2024-08-12 08:56:38 +08:00
 |
1
dallaslu 43 天前
这个场合 svn 与 git 区别不大。svn 也可使用 hook 将修改的文件和 diff 输出,或者使用脚本 checkout 当日更改。
也可以用国产的模型嘛,结构不稳定也没关系,容错,补充 promopt 重试。这家不稳定就换另一家,折腾一段时间,领导一拍大腿,可能这事儿就过去了 |
 |
3
c466934322 43 天前
大佬,我很好奇一个问题:如果开发只修改了一个注释,或者只是改了一个变量名(比如因为上一次拼错了字母),这种情况下,你们是整个文件建议还是增量建议?
|
 |
4
cleanery OP @c466934322 还是针对整个文件, 增量建议那也太麻烦了. 这就是领导拍脑袋的东西, 我还要解析代码块, 我可不想这么做.
|
Select Language