こんにちは！

Federico Calò

Sviluppatore Software | Divulgatore Tecnico

Creo applicazioni web moderne e strumenti digitali personalizzati per aiutare le attività a crescere attraverso l'innovazione tecnologica. La mia passione è unire informatica ed economia per generare valore reale.

お問い合わせ

自己紹介

La mia passione per l'informatica è nata tra i banchi dell'Istituto Tecnico Commerciale di Maglie, dove ho scoperto il potere della programmazione e il fascino di creare soluzioni digitali. Fin da subito, ho capito che l'informatica non era solo codice, ma uno strumento straordinario per trasformare idee in realtà.

Durante gli studi superiori in Sistemi Informativi Aziendali, ho iniziato a intrecciare informatica ed economia, comprendendo come la tecnologia possa essere il motore della crescita per qualsiasi attività. Questa visione mi ha accompagnato all'Università degli Studi di Bari, dove ho conseguito la Laurea in Informatica, approfondendo le mie competenze tecniche e la mia passione per lo sviluppo software.

Oggi metto questa esperienza al servizio di imprese, professionisti e startup, creando soluzioni digitali su misura che automatizzano processi, ottimizzano risorse e aprono nuove opportunità di business. Perché la vera innovazione inizia quando la tecnologia incontra le esigenze reali delle persone.

スキル

Analisi Dati & Modelli Previsionali

Trasformo i dati in insights strategici con analisi approfondite e modelli predittivi per decisioni informate

プロセス自動化

Creo strumenti personalizzati che automatizzano operazioni ripetitive e liberano tempo per attività a valore aggiunto

カスタムシステム

Sviluppo sistemi software su misura, dalle integrazioni tra piattaforme alle dashboard personalizzate

const federico = {
  nome: "Federico Calò",
  ruolo: "Sviluppatore Software",
  città: "Bari, Italia",
  missione: "Aiutare attraverso l'informatica",
  passioni: [
    "Codice Pulito",
    "Innovazione",
    "Crescita Continua"
  ]
};

ミッション

Credo fermamente che l'informatica sia lo strumento più potente per trasformare le idee in realtà e migliorare la vita delle persone.

🚀

テクノロジーの民主化

La mia missione è rendere l'informatica accessibile a tutti: dalle piccole imprese locali alle startup innovative, fino ai professionisti che vogliono digitalizzare la propria attività. Ogni realtà merita di sfruttare le potenzialità del digitale.

💡

ITとビジネスの融合

Non è solo questione di scrivere codice: è capire come la tecnologia possa generare valore reale. Intrecciando competenze informatiche e visione economica, aiuto le attività a crescere, ottimizzare processi e raggiungere nuovi traguardi di efficienza e redditività.

🎯

カスタムソリューション

Ogni attività è unica, e così devono esserlo le soluzioni. Sviluppo strumenti personalizzati che rispondono alle esigenze specifiche di ciascun cliente, automatizzando processi ripetitivi e liberando tempo per ciò che conta davvero: far crescere il business.

テクノロジーでビジネスを変革

Dicembre 2024

Visualizza

Master SQL

RoadMap.sh

Novembre 2024

Visualizza

Oracle Certified Foundations Associate

Oracle

Ottobre 2024

Visualizza

People Leadership Credential

Connect

Settembre 2024

💻 Linguaggi & Tecnologie

☕Java

🐍Python

📜JavaScript

🅰️Angular

⚛️React

🔷TypeScript

🗄️SQL

🐘PHP

🎨CSS/SCSS

🔧Node.js

🐳Docker

🌿Git

💼

12/2024 - Presente

Custom Software Engineering Analyst

Accenture

Bari, Puglia, Italia · Ibrida Analisi e sviluppo di sistemi informatici attraverso l'utilizzo di Java e Quarkus in Health and Public Sector. Formazione continua su tecnologie moderne per la creazione di soluzioni software personalizzate ed efficienti e sugli agenti.

💼

06/2022 - 12/2024

Analista software e Back End Developer Associate Consultant

Links Management and Technology SpA

Esperienza nell'analisi di sistemi software as-is e flussi ETL utilizzando PowerCenter. Formazione completata su Spring Boot per lo sviluppo di applicazioni backend moderne e scalabili. Sviluppatore Backend specializzato in Spring Boot, con esperienza in progettazione di database, analisi, sviluppo e testing dei task assegnati.

💼

02/2021 - 10/2021

Programmatore software

Adesso.it (prima era WebScience srl)

Esperienza nell'analisi AS-IS e TO-BE, evoluzioni SEO ed evoluzioni website per migliorare le performance e l'engagement degli utenti.

🎓

2018 - 2025

Laurea in Informatica

Università degli Studi di Bari Aldo Moro

Bachelor's degree in Computer Science, focusing on software engineering, algorithms, and modern development practices.

📚

2013 - 2018

Diploma - Sistemi Informativi Aziendali

Istituto Tecnico Commerciale di Maglie

Technical diploma specializing in Business Information Systems, combining IT knowledge with business management.

お問い合わせ

プロジェクトをお考えですか？お気軽にお問い合わせください。

* Campi obbligatori. I tuoi dati saranno utilizzati solo per rispondere alla tua richiesta.

AI 生成コード用の CI/CD ガードレール

I CI/CD ガードレール それらは自動的な防御の最終ラインを表します。低品質の AI コード。品質ゲート、ポリシーの強制および自動拒否パイプラインを単純なビルドおよびデプロイメントツールからシステムに変換します。標準を満たさないコードを積極的にブロックする品質保証チームによって定義されます。

この記事では、AI コードに特定の品質ゲートを実装する方法を説明します。 CI/CD パイプライン、自動拒否用に SonarQube を構成、ポリシーをコードとして統合 OPA と Kyverno を使用して、リアルタイムダッシュボードを備えた監視システムを構築します。

何を学ぶか

AI コードのマルチレベル品質ゲートを設計する方法
AI 固有のしきい値を使用した高度な SonarQube 構成
自動適用のための Open Policy Agent (OPA) を使用したコードとしてのポリシー
セキュリティスキャンの CI/CD パイプラインへの統合
自動拒否: マージをブロックするタイミングと方法
AI コードの品質を監視およびアラートするダッシュボード

高品質のゲートアーキテクチャ

AI コードの効果的な品質ゲートシステムであり、複数のレベルで構成されており、特定の責任を伴う。各レイヤーはプログレッシブフィルターとして機能します: コントロール最も速くて最も安価なものが最初に実行され、最も完全なものは前のものが実行されている場合にのみ実行されます。彼らは克服されています。

品質ゲートのレベル


レベル
段階
コントロール
時間

L1
事前コミット
リンティング、フォーマット、秘密検出
10 秒未満

L2
プルリクエスト
SAST、単体テスト、カバレッジチェック
5分未満

L3
CI パイプライン
SonarQube 分析、依存関係スキャン、突然変異テスト
15分未満

L4
マージ前
結合テスト、DAST、パフォーマンスチェック
30分未満

L5
導入後
煙テスト、モニタリング、カナリア分析
継続的

Quality Gates を備えた CI/CD パイプライン


# .github/workflows/ai-code-quality.yml
name: AI Code Quality Pipeline

on:
  pull_request:
    branches: [main, develop]

jobs:
  # L2: Controlli rapidi sulla PR
  quick-checks:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Secret Detection
        uses: trufflesecurity/trufflehog@main
        with:
          extra_args: --only-verified

      - name: Lint and Format Check
        run: |
          pip install ruff
          ruff check src/ --output-format=github
          ruff format src/ --check

      - name: Unit Tests with Coverage
        run: |
          pytest tests/ --cov=src --cov-report=xml \
                 --cov-fail-under=75

  # L3: Analisi approfondita
  deep-analysis:
    needs: quick-checks
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: SonarQube Analysis
        uses: sonarsource/sonarqube-scan-action@master
        env:
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}
          SONAR_HOST_URL: ${{ secrets.SONAR_HOST_URL }}

      - name: Quality Gate Check
        uses: sonarsource/sonarqube-quality-gate-action@master
        timeout-minutes: 5
        env:
          SONAR_TOKEN: ${{ secrets.SONAR_TOKEN }}

      - name: Dependency Security Scan
        uses: snyk/actions/python@master
        env:
          SNYK_TOKEN: ${{ secrets.SNYK_TOKEN }}

      - name: SAST with Semgrep
        uses: returntocorp/semgrep-action@v1
        with:
          config: >-
            p/python
            p/security-audit
            p/owasp-top-ten

AI コード用の SonarQube 構成

SonarQube は、高品質ゲートシステムの中心です。標準構成では不十分です AI が生成したコードの場合: パーソナライズされた品質プロファイル しきい値あり典型的な AI エラーパターンを捕捉する、より制限的な追加ルール。


// Quality Gate "AI Code Strict" - Configurazione SonarQube
{
  "name": "AI Code Strict",
  "conditions": [
    {
      "metric": "new_coverage",
      "op": "LT",
      "error": "75",
      "warning": "80"
    },
    {
      "metric": "new_duplicated_lines_density",
      "op": "GT",
      "error": "5",
      "warning": "3"
    },
    {
      "metric": "new_maintainability_rating",
      "op": "GT",
      "error": "1"
    },
    {
      "metric": "new_reliability_rating",
      "op": "GT",
      "error": "1"
    },
    {
      "metric": "new_security_rating",
      "op": "GT",
      "error": "1"
    },
    {
      "metric": "new_security_hotspots_reviewed",
      "op": "LT",
      "error": "100"
    },
    {
      "metric": "new_cognitive_complexity",
      "op": "GT",
      "error": "10"
    }
  ]
}

AI パターンのカスタムルール

標準のしきい値に加えて、SonarQube でカスタムルールを作成できます。 AI コードの特定のパターンを検出します。これらのルールは、次のようなアンチパターンを捕捉します。組み込みルールでは、汎用例外の過剰な使用や不足した問題などはカバーされません。入力検証とニアミス重複。

Open Policy Agent を使用したコードとしてのポリシー

オープンポリシーエージェント (OPA) 品質ポリシーをコードとして定義できます。他のソフトウェア成果物と同様に、バージョン管理とテストが行われます。 OPA ポリシーは次のとおりです。 AI コードの品質ルールを自動的に適用するために CI/CD パイプラインに統合されています。


# Policy OPA per qualità del codice AI (Rego language)
# policies/ai_code_quality.rego

package ai_code_quality

# Regola: blocca merge se la coverage e sotto la soglia
deny[msg] {
    input.coverage.new_code < 75
    msg := sprintf("Coverage insufficiente: %v%% (minimo 75%%)",
                   [input.coverage.new_code])
}

# Regola: blocca merge se ci sono vulnerabilità critiche
deny[msg] {
    vuln := input.security.vulnerabilities[_]
    vuln.severity == "CRITICAL"
    msg := sprintf("Vulnerabilità critica: %s (CWE-%s)",
                   [vuln.description, vuln.cwe])
}

# Regola: blocca merge se la complessità cognitiva è troppo alta
deny[msg] {
    func := input.complexity.functions[_]
    func.cognitive_complexity > 15
    msg := sprintf("Complessità cognitiva troppo alta in %s: %v (max 15)",
                   [func.name, func.cognitive_complexity])
}

# Regola: blocca merge se ci sono secrets hardcoded
deny[msg] {
    secret := input.secrets[_]
    msg := sprintf("Secret hardcoded trovato: %s alla riga %v",
                   [secret.type, secret.line])
}

# Regola: warning se la duplicazione è sopra soglia
warn[msg] {
    input.duplication.new_code > 3
    msg := sprintf("Duplicazione al %v%% (soglia warning: 3%%)",
                   [input.duplication.new_code])
}

# Decisione finale
allow {
    count(deny) == 0
}

自動拒否: いつ、どのようにブロックするか

自動拒否は、準拠していないコードがユーザーに到達することを防ぐメカニズムです。メインブランチ。ブロック基準を明確に定義し、コミュニケーションをとることが重要です拒否の理由を明確に説明し、解決のための実用的なガイダンスを提供します。

AI コードの自動拒否基準


基準
しきい値
アクション

重大な脆弱性 (CRITICAL/HIGH)
0 許容される
即時マージのブロック

ハードコードされた秘密
0 許容される
即時ブロック + セキュリティ チームに警告

新しいコードカバレッジ
<75%
テストが追加されるまでブロックする

認知の複雑さ
機能あたり 15 個以上
リファクタリングされるまでブロックする

新しいコードの重複
>5%
重複排除までブロックする

クオリティ ゲート SonarQube
失敗した
解決するまでブロックされる

効果的なフィードバックループ

マージがブロックされた場合、開発者は明確で具体的なフィードバックを受け取る必要があります実行可能な。「品質ゲートが失敗しました」のような一般的なメッセージでは十分ではありません。システムどのファイル、どの行、どのメトリクスがブロックの原因となったかを正確に示す必要があります。問題を解決する方法についての提案が含まれます。


# Sistema di feedback per quality gate failure
class QualityGateFeedback:
    """Genera feedback actionable per quality gate failures"""

    def generate_pr_comment(self, gate_results):
        """Genera un commento PR con dettagli del fallimento"""
        sections = []

        if gate_results["coverage"]["failed"]:
            sections.append(self._coverage_feedback(gate_results["coverage"]))

        if gate_results["security"]["failed"]:
            sections.append(self._security_feedback(gate_results["security"]))

        if gate_results["complexity"]["failed"]:
            sections.append(self._complexity_feedback(gate_results["complexity"]))

        return {
            "title": "Quality Gate: FAILED",
            "summary": f"{len(sections)} problemi da risolvere prima del merge",
            "sections": sections,
            "auto_suggestions": self._generate_fix_suggestions(gate_results)
        }

    def _coverage_feedback(self, coverage_data):
        return {
            "title": "Coverage Insufficiente",
            "current": f"{coverage_data['actual']}%",
            "required": f"{coverage_data['threshold']}%",
            "uncovered_files": coverage_data["uncovered_files"],
            "action": "Aggiungi test per i file elencati sopra, "
                      "concentrandoti sui percorsi di errore e casi limite"
        }

    def _generate_fix_suggestions(self, results):
        """Genera suggerimenti automatici di fix"""
        suggestions = []
        for issue in results.get("issues", []):
            if issue["type"] == "hardcoded_secret":
                suggestions.append(
                    f"Riga {issue['line']}: sostituisci con "
                    f"os.getenv('{issue['suggested_env_var']}')"
                )
            elif issue["type"] == "high_complexity":
                suggestions.append(
                    f"Funzione {issue['function']}: "
                    f"decomponila in funzioni più piccole"
                )
        return suggestions

モニタリングダッシュボード

リアルタイムダッシュボードは、高品質のパイプラインの健全性を監視するために不可欠です。問題のある傾向が重大になる前に特定します。ダッシュボードに表示される必要があります現在の状態と長期的な傾向の両方を把握できるため、チームリーダーは AI コード管理の決定に情報を提供します。

ダッシュボードに表示するメトリクス

ゲート通過率: 最初の試行で品質ゲートを通過した PR の割合
平均修正時間: 品質ゲートの障害を解決するまでの平均時間
最も失敗したルール: 最も多くの失敗を引き起こすルール (トレーニングの必要性を特定)
AI と人間のコードの比率: スプリントごとの合計に占める AI コードの割合
欠陥回避率: 品質ゲートを通過した本番環境のバグ
パイプラインの実行時間: フィードバックループを最適化するためのパイプライン期間

しきい値の調整とキャリブレーション

クオリティゲートのしきい値は静的ではありません。それらは、以下に基づいて時間をかけて調整する必要があります。チームとプロジェクトの実際のデータ。制限が厳しすぎるしきい値は開発を遅らせ、それらは開発者をイライラさせます。しきい値が緩すぎると、低品質のコードが通過してしまいます。推奨されるアプローチは、中程度のしきい値から始めて、徐々にしきい値を厳しくすることです。

結論

CI/CD ガードレールは、AI によって生成されたコードの品質自動化の基礎です。マルチレベルの品質ゲート、特定のしきい値で構成された SonarQube、コードとしてのポリシー OPA と実用的なフィードバックによる自動拒否により、堅牢なシステムが形成されます。開発をあまり遅くすることなくコードベースを保護します。

次回の記事ではさらに詳しく掘り下げていきます 複雑さの評価: メトリクス認知負荷、ハルステッドメトリクス、アーキテクチャフィットネス関数、およびそれらを評価する方法 AI コードにより、システム全体の複雑さが増減します。

自動化は人間の判断に取って代わるものではなく、それを増幅させます。ガードレールシステム適切に設計されているため、開発者は繰り返しの検証作業から解放され、セマンティックおよびアーキテクチャの品質に焦点を当てます。

レベル	段階	コントロール	時間
L1	事前コミット	リンティング、フォーマット、秘密検出	10 秒未満
L2	プルリクエスト	SAST、単体テスト、カバレッジチェック	5分未満
L3	CI パイプライン	SonarQube 分析、依存関係スキャン、突然変異テスト	15分未満
L4	マージ前	結合テスト、DAST、パフォーマンスチェック	30分未満
L5	導入後	煙テスト、モニタリング、カナリア分析	継続的

基準	しきい値	アクション
重大な脆弱性 (CRITICAL/HIGH)	0 許容される	即時マージのブロック
ハードコードされた秘密	0 許容される	即時ブロック + セキュリティチームに警告
新しいコードカバレッジ	<75%	テストが追加されるまでブロックする
認知の複雑さ	機能あたり 15 個以上	リファクタリングされるまでブロックする
新しいコードの重複	>5%	重複排除までブロックする
クオリティゲート SonarQube	失敗した	解決するまでブロックされる