简介
自动化拉取请求合规审查确保代码变更在合并前满足监管要求。heygrc 是一款 GitHub 应用,能够在每个拉取请求开启的瞬间对其进行审查,并标记出可能危及控制项(control)的变更,无论代码是由人工还是 AI 代理编写。通过将合规检查直接嵌入开发工作流,它帮助团队及早发现问题,避免后续昂贵的审计整改。
什么是 heygrc?
heygrc 是一款专为需要满足 ISO 27001、SOC 2、GDPR 等众多框架的开发团队设计的合规审查工具。它作为 GitHub 应用运行,在每个拉取请求(PR)开启时自动对其进行审查。该产品会扫描代码变更,找出可能违反合规控制项的修改,然后发布内联评论和检查状态,该状态可在合并前设为必过。这种"左移"方法将合规验证从审计室转移到了日常代码审查流程中。
该产品由 ISMS Copilot 构建,目前支持 76 个框架。它对于使用 Claude Code、Cursor、Copilot 或 Codex 等 AI 编码助手的团队尤其有用,因为 AI 代理可以快速生成大量代码。heygrc 确保速度不会超越安全与合规控制。对于有 SOC 2、ISO 27001、PCI DSS、HIPAA 或其他标准合规义务的组织来说,该工具对于维持持续合规非常有价值。
heygrc 的主要功能
实时 PR 合规检查
heygrc 在每个拉取请求创建时立即对其进行审查。它会扫描差异,找出可能削弱控制项的变更,例如减少审计日志保留期或修改加密设置。
广泛的框架覆盖
该产品支持 76 个合规框架,包括 ISO 27001、SOC 2、SOC 1、GDPR、DORA、NIS 2、欧盟 AI 法案、PCI DSS、HIPAA、NIST CSF 等。用户可以选择适用于其公司的框架。
具体控制项引用
每个发现结果都会引用具体的控制条款(例如 ISO 27001:2022 A.8.15、SOC 2 CC6.1)。这消除了模糊的警告,让开发者有明确的理由调整代码。
公司上下文感知
heygrc 会针对用户的行业、数据类型和托管区域进行审查,而不是使用通用检查清单。这减少了误报,使每次审查都更具相关性。
专为 AI 生成代码设计
该工具将 AI 编写的代码与人工编写的代码同等对待。它会标记任何代理引入的合规风险,使团队能够安全地采用 AI 助手,而不会面临控制项失效的风险。
通过 GitHub 检查状态把关合并
heygrc 会在每个 PR 上发布检查状态。分支保护规则可以要求此检查在合并前通过,从而使合规成为 CI 管道中的硬性门槛。
heygrc 的使用场景
将合规左移到工程工作流中
传统上只在审计准备期间审查合规的团队,现在可以使用 heygrc 在拉取请求阶段发现问题。这降低了发布周期后期修复的成本和精力。
支持 SOC 2 和 ISO 27001 合规
正在寻求或维持 SOC 2 Type II 或 ISO 27001 认证的公司需要证明代码变更不会违反控制项。heygrc 会自动针对这些框架进行验证,并提供检查证据。
安全采用 AI 编码工具
当开发者使用 Claude Code、Cursor、Copilot 或 Codex 时,代码产出速度远超人工合规审查的跟进能力。heygrc 通过在上线前检查每个 AI 生成的变更是否存在合规风险,填补了这一空白。
如何使用 heygrc
- 安装 GitHub 应用 – 将 heygrc 添加到你的 GitHub 仓库中。无需 CI 配置或 YAML 文件。
- 设置框架和上下文 – 选择你的公司必须满足的合规框架(例如 SOC 2、ISO 27001),并提供相关的公司上下文,如行业和数据类型。通常不到两分钟即可完成接入。
- 每个 PR 都会受到审查 – 在下一个拉取请求上,heygrc 会发布带有内联评论和检查状态的审查。你可以选择在分支保护规则中要求该检查必须通过。
整个设置大约在两分钟内完成,第一个 PR 审查会自动开始。
heygrc 的目标受众
- 工程团队:使用 GitHub 并需要将合规检查嵌入日常代码审查流程
- 合规官与安全经理:希望通过在代码合并前发现问题来降低审计风险
- DevOps 与平台工程师:管理 CI/CD 管道并需要增加合规门槛
- 初创公司与成长型企业:正在争取 SOC 2 或 ISO 27001 认证
- 企业:必须遵守多个框架(如 DORA、PCI DSS、HIPAA)且拥有多样化代码库
- 使用 AI 编码助手的团队:希望在保持开发速度的同时保持合规节奏
heygrc 免费吗?
| 计划 | 价格 | 功能 |
|---|---|---|
| 免费 | 0 元 | 每个计费周期内提供一定数量的拉取请求审查,适用于公共和私有仓库。超出免费配额后采用按使用量计费。 |
具体数字和使用量阈值仍在发布时最终确定。官方定价页面将提供完整细节。heygrc 目前处于早期访问阶段,感兴趣的团队可以加入等待列表。
heygrc 的优缺点
| 方面 | 优点 | 缺点 |
|---|---|---|
| 设置 | 几分钟内完成安装,无需 YAML 或 CI 配置。 | 目前仅支持 GitHub(其他平台尚未公布)。 |
| 框架覆盖 | 覆盖 76+ 个框架,包括 SOC 2、ISO 27001 等。 | 并非所有框架的规则深度都相同;覆盖广度可能有所差异。 |
| AI 代码支持 | 对 AI 生成的代码与人工代码一视同仁地进行审查。 | 早期访问阶段——针对新型 AI 模式的规则可能仍在完善中。 |
| 控制项引用 | 每个发现结果都引用具体条款,使修复方向明确。 | 需要一定的合规框架知识才能理解条款。 |
| 定价 | 提供免费层;无需前期承诺。 | 超出免费层后按使用量计费;具体成本尚未公布。 |
| 集成 | 原生集成 GitHub 检查状态,用于把关合并。 | 尚未提供与 GitLab、Bitbucket 或其他 Git 平台的直接集成。 |
关于 heygrc 的常见问题
heygrc 覆盖哪些框架?
heygrc 目前支持 76 个框架,包括 ISO 27001、SOC 2、SOC 1、GDPR、DORA、NIS 2、欧盟 AI 法案、PCI DSS、HIPAA、NIST CSF 等。用户只需选择适用于其公司的框架。
有免费层吗?
有。heygrc 免费提供一定数量的拉取请求审查。超出后转为按使用量计费。相同条款适用于公共和私有仓库。具体数字仍在发布时最终确定。
heygrc 会阻止拉取请求合并吗?
只有当您配置它时才如此。heygrc 会发布一个 GitHub 检查状态。您可以选择在分支保护规则中要求该检查通过;否则,它仅提供反馈而不进行阻止。
heygrc 与普通的 bug 机器人或 linter 有何不同?
Bug 机器人和 linter 捕获软件缺陷,如语法错误或安全漏洞。heygrc 捕获与合规相关的变更,并针对特定监管框架进行衡量。它回答的问题是"这个代码变更是否仍满足我们的合规要求?"而不是"这段代码是否正确?"
我什么时候可以开始使用 heygrc?
heygrc 目前处于早期访问阶段。您可以在产品网站上加入等待列表,团队会在他们接入新团队时与您联系。
heygrc 能否审查由 Claude Code 或 Copilot 等 AI 代理编写的代码?
可以。heygrc 会审查每个拉取请求,无论代码是由人工还是 AI 代理编写。这确保了快速生成的 AI 变更永远不会超越合规控制。
heygrc 标签
heygrc、拉取请求合规审查、SOC 2 合规、ISO 27001 合规、自动化合规检查、GitHub 合规检查、AI 代码审查合规、左移合规、合规即代码、DORA 合规、NIST CSF、PCI DSS 合规、HIPAA 合规、CI/CD 合规
