代码审查已死，代码审查万岁

在AI生成代码日益普及的今天，传统的合并前人工审批流程正面临结构性挑战。当90%的软件开发人员采用AI工具，代码产出量翻倍甚至三倍，而审查者数量无法同步增长时，仪式性的“批准”按钮往往沦为形式。Salesforce报告显示，代码量增加约30%，而审查延迟增加，大型PR的审查者参与度下降。更重要的是，AI生成的代码语法整洁、风格一致，但可能在边界条件或领域假设上出错，人工审查难以从代码本身验证正确性。

解决方案在于将验证重心从人类注意力转向自动化门控。一个可靠的四层质量门控管道可以拦截大多数错误：第一层是代码风格和格式化检查，确保基础一致性；第二层包括静态分析和安全扫描，捕获不安全模式如SQL注入、缺失认证；第三层是测试执行与覆盖率门槛，特别是对AI生成代码提高覆盖率要求；第四层是分支保护规则，强制所有检查通过才能合并。这些自动化门控提供可审计的证据，比人类的“点击批准”更可靠。

人类审查并未完全消失，而是被重新聚焦于高风险变更：认证授权逻辑、支付计费流程、数据访问边界、基础设施配置、依赖供应链变更、大规模架构调整以及AI代理配置文件。这类变更需要人类的判断力来评估上下文和潜在影响。同时，后合并审查机制允许在代码部署后抽样审查，发现遗漏的问题并将其转化为新的自动化规则，形成持续改进的反馈循环。

在合规性方面，审计需求从“谁批准了”转变为“哪些检查执行了、哪些策略被执行、哪些例外被批准”。SOC 2、ISO 27001等框架更看重控制的一致性和可审计性，而确定性的自动化门控比可变的人工审查更容易审计。最终，团队应致力于让每个变更都通过定义好的执行系统，并记录可验证的结果，而非依赖于人类浏览每一行代码。此外，对于AI生成代码占比较高的团队，平台如Codacy还能跨仓库发现模式，帮助在问题变为生产事故前定位执行缺口。