BitFun 可配置开发体验与工程治理总览

June 12, 2026 · View on GitHub

范围：BitFun 加载外部软件工程后的产品需求、架构边界、执行安全、渐进质量治理和复杂项目支撑能力。用途：作为拆分后的入口文档。产品需求文档回答产品定位和体验要求，设计文档回答架构边界，实施计划回答阶段落地，子模块文档回答局部契约。

文档结构

文档	角色	主要内容
research/external-research.md	调研文档	外部产品、论文、标准和趋势信号
product-requirements.md	产品需求	产品定位、用户画像、体验路径、产品规格、关键边界、平台差异和成功指标
design.md	架构设计	设计目标、领域模型、配置层级、模块边界和架构风险
implementation-plan.md	实施计划	按用户收益切片组织快速路径、上下文保障、团队治理、复杂生命周期能力的阶段落地
traceability-matrix.md	追踪矩阵	需求、设计、功能规格、执行阶段和测试方法的映射
architecture/security-boundary.md	安全边界	prompt 注入、hook/MCP/网络/凭据/shell、执行位置、沙箱等级和应急放行规则
features/configurable-policy-profile.md	配置化策略	任务、操作、环境、项目和团队配置如何共同决定内部策略画像、提示、验证和审查
architecture/evidence-pack.md	证据包设计	证据包负责人、状态、生命周期、风险接受和 PR/审查/回放投影契约
governance/metrics-spec.md	指标规格	开发效率、安全提示、质量治理和阶段退出指标的公式、分母、窗口和负责人
governance/self-governance-notes.md	自身治理说明	记录 BitFun 仓库自身作为内部验证项目暴露出的文档、边界和治理问题

BitFun 面向任意目标项目提供可配置的智能体开发体验。产品定位和需求以 product-requirements.md 为准，本文只保留文档导航和稳定边界。

快速开发：质量保障要求较低、探索性、演示、文档和低风险改动优先完成任务，只给必要提示和轻量结果摘要。
上下文保障：核心路径、权限、网络、数据迁移、发布或团队 PR 等场景触发验证建议、风险说明和审查人建议。
团队治理：项目或组织通过配置启用统一规则、审查强度、强制检查、门禁、风险接受和审计。
执行安全：prompt 注入、恶意 hook、MCP、网络、凭据、跨目录写入、删除和发布凭据等风险始终走独立安全边界，并展示执行位置、沙箱等级和授权范围。
阶段收益：每个阶段都先交付可解释的用户收益，同时说明必要技术前置、延期边界和质量一致性要求。

配置化策略把这些能力组合成按需显露的开发路径：

默认快速路径
  -> 风险出现时进入上下文保障
  -> 项目或组织需要时进入团队治理
  -> 安全边界始终启用

证据包、交付物图谱、质量数据面和评测系统作为后台支撑能力使用；普通任务只展示完成任务所需的摘要、提示和下一步建议。Harness 作为内部工程术语，仅用于描述受控执行、证据校验、策略约束和评估回放能力。

这些准则适用于产品需求、架构设计、实施计划和子模块文档。非通用准则只写在对应子模块，并说明触发条件、退出条件和与全局准则的关系。

默认轻量，关键风险强保护：普通低风险开发不进入重流程；凭据、网络外发、危险 shell、跨目录写、删除、发布、主动配置和 prompt 注入等安全风险始终走安全边界。
按动作效果判定，不按工具名称判定：tool、MCP、skills、插件、hook、shell 和内置能力都映射为能力、目标、数据、来源和副作用，再由策略判断。
未知能力默认受限：新增扩展必须声明能力和可能副作用；未声明、声明不完整或运行时行为超出声明时，不能按低风险处理。
用户确认不是万能授权：确认只在指定范围、期限、执行域和能力内生效；组织策略、安全拒绝和关键凭据保护不能被本地确认绕过。
模型只参与解释和候选判断：风险解释、建议检查和候选影响可以由模型辅助；授权、阻断、审计、状态写入和策略变更必须由确定性策略和内核事实执行。
体验和性能预算常驻：风险判断、提示、事件和扫描不能明显拖慢默认路径；高成本分析、深度证据和完整图谱默认按需、异步或离线执行。
扩展契约先于生态运行时：先稳定内核 hook、事件、打点、能力声明、工具复写候选和插件效果候选；真实插件运行时、OpenCode 兼容或其他生态适配后置接入。