Banking
Policy System Code Review per i sistemi policy admin (Solvency II, IDD), Configuration Audit per cloud DORA-compliant, scansione credenziali nei repository dei sistemi vigilati.
Vedi il settore → PER IT
Costruire un team di agenti AI per l'IT engineering.
Polyant è il software per costruire agenti AI dentro i flussi IT engineering e DevOps. Review automatica delle pull request prima del merge, scansione credenziali nei repository, monitoraggio CVE sulle dipendenze, audit settimanale delle configurazioni cloud rispetto a baseline NIS2 e DORA.
4 agenti specializzati
24/7 operatività
GitHub integrazione nativa
Il ritmo dello sviluppo software cambia.
Cambia il tempo della review delle PR standard: la review automatica copre i pattern di sicurezza, qualità, test coverage; lo sviluppatore senior si concentra sulla revisione architetturale. Cambia il momento dell'identificazione di credenziali esposte: pre-commit hook vs scoperta dopo settimane. Cambia il monitoraggio CVE sulle dipendenze: pattern strutturato giornaliero vs gestione reattiva post-incident. Cambia l'audit delle configurazioni cloud: review settimanale automatica vs audit periodico manuale.
03 SQUADRA IT
Una squadra di agenti specializzati nei flussi IT engineering e DevOps.
Per il team IT di una grande azienda, una squadra di agenti lavora dentro il ciclo del codice e accanto al runtime operativo. Ciascun agente fa la sua parte e passa il lavoro al successivo, sotto la stessa configurazione e lo stesso registro audit.
01 CODE REVIEW
Code Review Pre-Merge
Review automatica delle pull request prima del merge: bug evidenti, problemi di sicurezza, anti-pattern, suggerimenti puntuali pubblicati come commenti strutturati direttamente sulla PR.
Vedi l'agente Proposta n. 2024-081 In revisione
Disclosure mancante
art. 21 TUF · strumento finanziario regolato
Alt. 1 …nel rispetto dell'art. 21 TUF e delle disposizioni Consob vigenti.
Alt. 2 …con disclosure completa allegata al documento di offerta.
Traccia audit registrata · 14:31
02 SECRETS
Secret Detection
Scansione dei repository per credenziali in chiaro, token API esposti, chiavi private nei commit accidentali: pre-commit hook per il blocco preventivo, scan giornaliero su tutta la storia del repository.
Vedi l'agente SCADA · live 2 anomalie
Sottostazione SE-104 tensione fuori range
Linea LV-22 corrente picco
NIS2 classify material · 24h timer
Alert al CISO · ticket aperto
03 DEPS
Dependency Watcher
Monitoraggio CVE sulle dipendenze in produzione (npm, Maven, PyPI) con alert su nuove vulnerabilità e suggerimento dell'upgrade path coerente con la compatibilità del codice esistente.
Vedi l'agente Settimana 23 48 fornitori critici
Materie prime · alluminio prezzo +12%
Geopolitica · Mar Rosso attivo
Capacity tier 1 ok
Brief al direttore supply chain
04 CLOUD AUDIT
Configuration Audit
Audit settimanale delle configurazioni cloud (AWS, Azure, GCP) rispetto a baseline CIS Benchmark, NIS2 e DORA, identificazione dei drift dalla configurazione di riferimento, alert puntuale al CISO.
Vedi l'agente Audit settimanale 4 sistemi
HIS · accessi OK
LIS · referti OK
FSE 2.0 · tracciabilità VERIFICA
RIS · privacy OK
1 anomalia · alert al responsabile AGENAS
Quattro agenti, quattro momenti, una stessa configurazione.
Per il team IT di un'azienda B2B SaaS regolata, una squadra di agenti presidia il ciclo del codice dalla PR al deploy e l'infrastruttura cloud sottostante.
MAR 16:20 Code Review
MER 11:05 Secret Detection
GIO 03:00 Dependency
DOM 07:00 Cloud Audit
MAR 16:20 Code Review Pre-Merge
La PR riceve i commenti strutturati prima del merge.
Per il responsabile engineering di un'azienda B2B SaaS regolata, il martedì pomeriggio una developer junior apre una pull request sul repository GitHub. Code Review Pre-Merge si attiva dal webhook: legge il diff, identifica tre osservazioni puntuali — una libreria con CVE noto, naming variabili non coerente con la convenzione del team, mancanza di test unitari sulla funzione nuova — e pubblica i commenti strutturati sulla PR. La developer aggiorna la libreria, corregge il naming, scrive i test. Il senior rivede la PR focalizzandosi sull'architettura e approva il merge.
MER 11:05 Secret Detection
Il commit con la chiave AWS viene bloccato pre-merge.
Un mercoledì mattina, durante un refactor di configurazione, un developer committa per errore una access key AWS dentro un file di test. Il pre-commit hook attiva Secret Detection: l'agente riconosce il pattern della chiave, blocca il commit sul lato locale, propone la rimozione e l'estrazione su variabile d'ambiente. In parallelo, lo scan giornaliero sull'intera storia del repository conferma che nessun secret residuo è arrivato in remote. La traccia della decisione resta nel registro audit del runtime.
GIO 03:00 Dependency Watcher
Le nuove CVE arrivano sul canale del responsabile.
Durante la notte di giovedì, Dependency Watcher schedulato esegue lo scan sulle dipendenze in produzione dei progetti del cliente. Identifica 12 nuove CVE pubblicate nelle ultime 24 ore, di cui 3 con severity alta su librerie del backend principale. L'agente propone un upgrade path coerente con la compatibilità del codice — la versione minore con la fix, non l'ultima major release. Il brief arriva nel canale Slack del responsabile engineering con i link diretti al CVE database e ai changelog delle dipendenze.
DOM 07:00 Configuration Audit
Quattro drift dalle baseline NIS2 arrivano al CISO.
La domenica mattina, Configuration Audit esegue il check settimanale delle configurazioni AWS rispetto alla baseline CIS Benchmark estesa con i controlli NIS2 e DORA. Identifica quattro drift dalla configurazione di riferimento — un bucket S3 con encryption disabilitata, due security group con regole troppo aperte, un IAM role con privilegi eccessivi — e prepara il report puntuale per il CISO con la remediation suggerita per ciascun drift. La squadra IT del lunedì mattina riparte da un quadro già pronto, sotto la stessa configurazione di istanza dei tre agenti precedenti.
Settori dove questi workflow sono pertinenti.
Healthcare
Clinical System Audit per HIS, LIS, RIS, FSE 2.0. MDR-SaMD Avoidance Checker per agenti sanitari, review delle PR sui sistemi clinici con vincoli GDPR art. 9.
Vedi il settore →Telco
SCADA e network operations sui sistemi di controllo della rete, Configuration Audit per cloud NIS2-compliant, monitoraggio CVE su dipendenze dei servizi pubblici.
Vedi il settore →Altri settori regolati
Public sector, utility, manufacturing e altri contesti regolati hanno specificità IT proprie (Public IT Compliance per NIS2 e AgID): la discovery serve a capire dove si collocano i vincoli del cliente e a costruire l'agente per il team IT che effettivamente opera.
Quattro domande dei responsabili engineering.
GitHub è integrato nativamente tramite i tool ghPR e ghIssue del runtime. Per GitLab, Bitbucket, sistemi proprietari, l'integrazione si realizza in fase di delivery.
Il pattern tipico per un primo agente IT è 4-8 settimane (più lungo per agenti verticali settore-specifici). La durata si definisce nella discovery sul caso reale.
No. Code Review Pre-Merge lascia commenti strutturati sulla PR. Il merge resta dello sviluppatore senior o del responsabile engineering.
Lo sviluppatore può marcare un commento come falso positivo. L'agente apprende dai pattern del repository.
Due strade per partire.
Una conversazione di 30-45 minuti per capire come Polyant per IT si applica al caso del cliente e quanto tempo serve per il primo agente in produzione.