配置企业版
在组织中安全试用和部署 OpenCode,覆盖数据边界、SSO、内部 AI 网关、分享禁用和私有 npm 注册表。
OpenCode Enterprise 面向希望把代码和上下文数据控制在自有基础设施内的组织。它通过集中式配置、SSO 和内部 AI gateway,把个人工具变成可治理的团队能力。
这一篇用 10 分钟换什么:你会知道企业试用前要关掉哪些风险、哪些配置应该集中管理、什么时候需要内部 AI gateway,以及私有 npm registry 怎么处理。
先给结论:企业落地先管数据边界
官方企业页说明:OpenCode 不存储你的代码或上下文数据。处理发生在本地,或通过直接 API 调用发送给你选择的 AI provider。
真正要治理的是这些边界:
| 边界 | 企业默认建议 |
|---|---|
| AI provider | 走可信 provider 或内部 AI gateway |
/share | 试用期直接禁用 |
| SSO | 用集中配置接入组织身份系统 |
| 模型访问 | 禁用未批准 provider 和模型 |
| 私有 registry | 开发者运行 OpenCode 前先完成 npm 登录 |
“OpenCode 不存储代码”不等于“数据不会离开组织”。如果你选择外部 AI provider、启用 /share 或接入外部 MCP,数据边界仍然要单独评估。
企业试用到部署的路径
flowchart LR
Trial[小范围内部试用] --> Baseline[安全基线]
Baseline --> DisableShare[禁用 share]
Baseline --> Provider[确认 provider / 内部 AI gateway]
Baseline --> Registry[确认私有 npm registry]
DisableShare --> Central[集中式配置]
Provider --> Central
Registry --> Central
Central --> SSO[SSO 集成]
SSO --> Rollout[组织级 rollout]先试用,再集中配置。不要第一天就把所有开发者都接入企业网关。
试用期先做什么
OpenCode 是开源工具,团队可以先在内部项目中试用。试用目标不是“看看回答聪不聪明”,而是验证安全和流程:
- 选一个非敏感仓库。
- 只做只读任务。
- 明确 provider 和模型。
- 禁用
/share。 - 记录需要的权限、MCP、Skill、Plugin。
- 确认日志、CI、终端输出不会泄露密钥。
试用结束后,再联系 OpenCode 团队讨论定价和实施。
禁用分享功能
如果用户启用 /share,对话及关联数据会发送到用于托管共享页面的服务,并通过 CDN 边缘网络提供访问。
企业试用期建议直接禁用:
{
"$schema": "https://opencode.ai/config.json",
"share": "disabled"
}这应该进入团队共享的项目配置或集中式配置,而不是靠每个人手动记住。
集中式配置解决什么
企业版可以通过集中式配置统一组织行为:
- 只允许访问内部 AI gateway。
- 禁用未经批准的外部 provider。
- 固定 share 策略。
- 固定权限基线。
- 接入组织 SSO。
- 让不同团队使用同一套安全默认值。
集中式配置的价值是减少个人机器上的漂移。开发者可以保留个人偏好,但安全策略和 provider 边界应该统一。
SSO 和内部 AI gateway
通过 SSO,OpenCode 可以使用组织已有身份系统获取内部 AI gateway 的凭据。这样做的目标是:
- 不让个人到处复制 provider key。
- 让模型访问可审计、可撤销。
- 把请求路由到组织批准的基础设施。
- 统一控制哪些模型能用、谁能用。
内部 AI gateway 适合已经有企业模型接入层、合规要求、审计要求或统一账单的团队。
自托管分享页
官方企业页说明,自托管 share pages 在路线图中。即使未来可用,敏感组织也应该先默认禁用 /share,再评估是否把分享页面放到自有基础设施里。
分享功能的正确默认值是:先禁用,再按用例和合规要求开。
私有 npm registry
OpenCode 通过 Bun 的 .npmrc 支持私有 npm registry。使用 JFrog Artifactory、Nexus 或类似产品时,开发者运行 OpenCode 前要先登录私有 registry。
登录示例:
npm login --registry=https://your-company.jfrog.io/api/npm/npm-virtual/也可以手动配置 ~/.npmrc:
registry=https://your-company.jfrog.io/api/npm/npm-virtual/
//your-company.jfrog.io/api/npm/npm-virtual/:_authToken=${NPM_AUTH_TOKEN}不要把真实 _authToken 写进仓库。用环境变量、secret manager 或本机凭据管理。
代码所有权和定价
官方说明:你拥有 OpenCode 生成的所有代码,没有许可限制或所有权声明。
企业版采用按席位定价。如果组织有自己的 LLM gateway,OpenCode 不对使用的 token 另收费。具体价格和实施方案需要联系官方。
企业上线前检查
上线前至少确认:
/share是否禁用或有明确策略。- AI 请求是否只走可信 provider 或内部 gateway。
- SSO 是否能撤销离职员工访问。
- provider key 是否不在仓库、日志、CI 输出里。
- MCP、Skill、Plugin 是否有审批清单。
- 私有 npm registry 是否已登录,且 token 不进仓库。
- 团队公共配置是否可 review、可回滚。
接下来去哪
安全、分享与团队使用
从个人安全基线扩展到团队治理。
权限配置
先把读写文件、shell、外部目录和工具调用边界收紧。
配置网络
企业代理、NO_PROXY 和自定义 CA 从这里排查。
GitHub 集成
CI / PR 自动化接入前先做只读验证。