設定企業版
在組織中安全試用和部署 OpenCode,覆蓋資料邊界、SSO、內部 AI 閘道器、分享停用和私有 npm 登入檔。
📖 本篇術語速查表
| 英文 / 縮寫 | 中文 | 一句話解釋 |
|---|---|---|
| Enterprise | 企業整合 | 組織級部署和治理。 |
| 集中管理 | central | 統一設定和審批。 |
| 審計 | audit | 操作可追溯。 |
不想讀完?把下面這段提示詞丟給 AI 幫你跑完——幫你規劃 OpenCode 的企業級部署和治理。
你是 OpenCode 企業部署顧問。
【角色】
OpenCode 企業部署顧問,按最小夠用、安全優先的原則給可落地方案,每條結論都落到能照做的步驟或示例,不停留在空泛建議。
【輸入】
- 組織規模和場景:___
- 合規和審計要求:___
- 統一管控需求:___
- 敏感系統範圍:___
- 經驗水平:___
【工作流程】
1. 梳理企業部署要點
2. 設計集中管理
3. 限定許可權和資料邊界
4. 說明審計
5. 給落地步驟
【輸出規範】
▌一、部署要點
▌二、集中管理
▌三、許可權 / 資料邊界
▌四、審計 + 落地
【硬約束】
- 敏感系統嚴格控許可權
- 操作可審計追溯
- 策略變更留痕
- 不要替我臆測情況或編造不存在的功能,資訊不全先問清
- 不確定的設定或介面一律以官方文件為準,禁止照搬過時寫法
- 給的每條結論都要落到具體可照做的步驟或示例,不停留在「建議」「考慮一下」這類沒法直接執行的空泛表述OpenCode Enterprise 面向希望把程式碼和上下文資料控制在自有基礎設施內的組織。它透過集中式設定、SSO 和內部 AI gateway,把個人工具變成可治理的團隊能力。
這一篇用 10 分鐘換什麼:你會知道企業試用前要關掉哪些風險、哪些設定應該集中管理、什麼時候需要內部 AI gateway,以及私有 npm registry 怎麼處理。
先給結論:企業落地先管資料邊界
官方企業頁說明:OpenCode 不儲存你的程式碼或上下文資料。處理發生在本地,或透過直接 API 呼叫傳送給你選擇的 AI provider。
真正要治理的是這些邊界:
| 邊界 | 企業預設建議 |
|---|---|
| AI provider | 走可信 provider 或內部 AI gateway |
/share | 試用期直接停用 |
| SSO | 用集中設定接入組織身份系統 |
| 模型訪問 | 停用未批准 provider 和模型 |
| 私有 registry | 開發者執行 OpenCode 前先完成 npm 登入 |
“OpenCode 不儲存程式碼”不等於“資料不會離開組織”。如果你選擇外部 AI provider、啟用 /share 或接入外部 MCP,資料邊界仍然要單獨評估。
企業試用到部署的路徑
flowchart LR
Trial[小範圍內部試用] --> Baseline[安全基線]
Baseline --> DisableShare[停用 share]
Baseline --> Provider[確認 provider / 內部 AI gateway]
Baseline --> Registry[確認私有 npm registry]
DisableShare --> Central[集中式設定]
Provider --> Central
Registry --> Central
Central --> SSO[SSO 整合]
SSO --> Rollout[組織級 rollout]先試用,再集中設定。不要第一天就把所有開發者都接入企業閘道器。
試用期先做什麼
OpenCode 是開源工具,團隊可以先在內部專案中試用。試用目標不是“看看回答聰不聰明”,而是驗證安全和流程:
- 選一個非敏感儲存庫。
- 只做只讀任務。
- 明確 provider 和模型。
- 停用
/share。 - 記錄需要的許可權、MCP、Skill、Plugin。
- 確認記錄、CI、終端輸出不會洩露金鑰。
試用結束後,再聯絡 OpenCode 團隊討論定價和實施。
停用分享功能
如果使用者啟用 /share,對話及關聯資料會傳送到用於託管共享頁面的服務,並透過 CDN 邊緣網路提供訪問。
企業試用期建議直接停用:
{
"$schema": "https://opencode.ai/config.json",
"share": "disabled"
}這應該進入團隊共享的專案設定或集中式設定,而不是靠每個人手動記住。
集中式設定解決什麼
企業版可以透過集中式設定統一組織行為:
- 只允許訪問內部 AI gateway。
- 停用未經批准的外部 provider。
- 固定 share 策略。
- 固定許可權基線。
- 接入組織 SSO。
- 讓不同團隊使用同一套安全預設值。
集中式設定的價值是減少個人機器上的漂移。開發者可以保留個人偏好,但安全策略和 provider 邊界應該統一。
SSO 和內部 AI gateway
透過 SSO,OpenCode 可以使用組織已有身份系統獲取內部 AI gateway 的憑據。這樣做的目標是:
- 不讓個人到處複製 provider key。
- 讓模型訪問可審計、可撤銷。
- 把請求路由到組織批准的基礎設施。
- 統一控制哪些模型能用、誰能用。
內部 AI gateway 適合已經有企業模型接入層、合規要求、審計要求或統一賬單的團隊。
自託管分享頁
官方企業頁說明,自託管 share pages 在路線圖中。即使未來可用,敏感組織也應該先預設停用 /share,再評估是否把分享頁面放到自有基礎設施裡。
分享功能的正確預設值是:先停用,再按用例和合規要求開。
私有 npm registry
OpenCode 透過 Bun 的 .npmrc 支援私有 npm registry。使用 JFrog Artifactory、Nexus 或類似產品時,開發者執行 OpenCode 前要先登入私有 registry。
登入示例:
npm login --registry=https://your-company.jfrog.io/api/npm/npm-virtual/也可以手動設定 ~/.npmrc:
registry=https://your-company.jfrog.io/api/npm/npm-virtual/
//your-company.jfrog.io/api/npm/npm-virtual/:_authToken=${NPM_AUTH_TOKEN}不要把真實 _authToken 寫進儲存庫。用環境變數、secret manager 或本機憑據管理。
程式碼所有權和定價
官方說明:你擁有 OpenCode 生成的所有程式碼,沒有許可限制或所有權宣告。
企業版採用按席位定價。如果組織有自己的 LLM gateway,OpenCode 不對使用的 token 另收費。具體價格和實施方案需要聯絡官方。
企業上線前檢查
上線前至少確認:
/share是否停用或有明確策略。- AI 請求是否只走可信 provider 或內部 gateway。
- SSO 是否能撤銷離職員工訪問。
- provider key 是否不在儲存庫、記錄、CI 輸出裡。
- MCP、Skill、Plugin 是否有審批清單。
- 私有 npm registry 是否已登入,且 token 不進儲存庫。
- 團隊公共設定是否可 review、可回復。
接下來去哪
安全、分享與團隊使用
從個人安全基線擴充套件到團隊治理。
許可權設定
先把讀寫檔案、shell、外部目錄和工具呼叫邊界收緊。
設定網路
企業代理、NO_PROXY 和自定義 CA 從這裡排查。
GitHub 整合
CI / PR 自動化接入前先做只讀驗證。