Manifesto

Costruire sistemi agentici con metodo, governo e chiarezza.

Il manifesto ADLC definisce principi condivisi per progettare sistemi agentici governati, tool-agnostic e guidati da un lifecycle esplicito.

Leggi il manifesto Esplora il lifecycle

ADLC Manifesto

Un patto progettuale per sistemi agentici solidi

Scopo

Definire principi comuni per costruire agenti e sistemi agentici in modo consistente e scalabile.

Guardrail

Il lifecycle funziona solo quando i requisiti superano un quality gate chiaro e condiviso.

Focus

Riuso, orchestrazione, indipendenza dagli strumenti e governo del cambiamento.

Estensione dell'SDLC

L'ADLC è pensato come estensione dell'SDLC. Ne preserva la disciplina del ciclo di vita del software, ma la amplia per coprire le esigenze specifiche dei sistemi agentici, inclusi governance, orchestrazione, controllo human-in-the-loop e miglioramento operativo continuo.

Posizionamento

Affermiamo che la delivery agentica debba essere governata end-to-end. Sicurezza, monitoraggio runtime e controllo operativo sono necessari, ma da soli non bastano. L'ADLC inizia dalla qualità dei requisiti e si estende attraverso orchestrazione, checkpoint umani, tracciabilità e miglioramento operativo continuo.

Repository open source

Il sorgente del Manifesto ADLC, la licenza, le linee guida di contribuzione e i file del sito sono disponibili nel repository pubblico.

Apri il repository GitHub

Principi

Tre regole semplici per orientare ogni decisione

Partire da requisiti validati

Ogni iniziativa parte da requisiti verificati, comprensibili e abbastanza maturi da ridurre ambiguità e rilavorazioni.

Garantire riuso e orchestrazione

Componenti, agenti e capability devono essere pensati per essere riusati, collegati e orchestrati nel tempo.

Rimanere indipendenti dai tool

Gli strumenti aiutano, ma non devono dettare l’architettura: processo e governance vengono prima del tool.

ADLC Operating Model

Cosa ogni fase deve produrre per essere governabile nella pratica

Condizioni di ingresso

Requisiti validati, intento di business esplicito, ownership nominata e quality gate superato prima di iniziare qualsiasi build.

Modello di evidenza

Ogni fase deve lasciare output tracciabili: decisioni, fonti di conoscenza versionate, cronologia dei prompt, evidenze di test, approvazioni, release note, segnali operativi e azioni di miglioramento.

Stage	Output primario	Checkpoint umano	Evidenza o esigenza di governance
0. Controllo qualità dei requisiti	Requisiti chiariti, criteri di accettazione, intento di business, link di tracciabilità, fonti RAG e di conoscenza approvate	Approvazione esplicita che i requisiti siano abbastanza chiari per entrare nell'ADLC	I requisiti devono essere completi, coerenti, pronti per l'esecuzione e tracciabili verso fonti RAG e di conoscenza approvate
1. Costruire	Servizi, prompt, agenti, workflow, integrazioni, componenti riusabili, cronologia di prompt e cambiamenti	Non obbligatorio come gate formale in questa fase	Architettura e modifiche alla conoscenza devono restare revisionabili, testabili e pronte a evolvere in modo controllato
2. Revisionare	Evidenze di review, valutazione del rischio, correzioni progettuali, decisione sulla readiness	Giudizio responsabile su qualità, sicurezza e idoneità a procedere	Qualità e rischio devono essere valutati prima di avanzare
3. Testare	Evidenze di test, validazione dell'accettazione, controlli di affidabilità, evidenze di regressione comportamentale, known issues	Opzionale in base al contesto, con escalation sempre disponibile	Il comportamento, incluse le regressioni da prompt, contenuti RAG, skill, configurazione del modello, tool e orchestrazione, deve essere misurato prima del deployment
4. Rilasciare	Release note, evidenze di deployment, registro dei cambiamenti del layer di conoscenza, piano di rollback, ownership, tracciamento del go-live	Autorizzazione formale della release e responsabilità dell'ingresso in produzione	Le evidenze di release devono identificare modifiche a codice, prompt, RAG o documentazione, tool, configurazione del modello e orchestrazione
5. Operare	Segnali di monitoraggio, incident, runbook, decisioni operative, log di governance, segnali di drift e retrieval	Supervisione della produzione, gestione escalation e intervento responsabile	L'operatività live deve restare osservabile e governabile tra salute tecnica e comportamento guidato dalla conoscenza
6. Migliorare	Backlog di miglioramento, lesson learned, aggiornamenti di policy, priorità di affinamento	Non è un gate obbligatorio, ma è attesa una prioritizzazione responsabile	Le evidenze live devono alimentare il ciclo successivo invece di restare isolate
7. Orchestrare	Flussi condivisi, regole di coordinamento, capability riusabili, allineamento delle policy	La supervisione umana dipende dalla portata e dall'impatto delle modifiche di orchestrazione	L'orchestrazione deve preservare la tracciabilità da requisito → fonte di conoscenza → comportamento agentico → evidenza di test → release

Stage 0

Controllo qualità dei requisiti

Prima di implementare, il cliente deve avere un agent dedicato di requirements quality gate. È fondamentale per entrare nell’ADLC perché aiuta a scrivere requisiti il più possibile chiari, così da renderli completi, coerenti, tracciabili e pronti per l’esecuzione.

Qui la presenza umana è necessaria per confermare scope, intenzione, significato di business e approvazione prima dell'avvio del lifecycle.

ADLC Lifecycle

Dai requisiti all’operatività, in un ciclo continuo

Controllo qualità dei requisiti

L’ingresso nell’ADLC avviene solo quando un agent dedicato di quality gate ha aiutato il cliente a costruire requisiti validati, tracciabili e abbastanza chiari da guidare implementazione, test, governance e delivery senza ambiguità.

Human in the loop: approvazione obbligatoria della qualità e dell'intento dei requisiti.

Costruire

Tradurre i requisiti approvati in capability concrete, servizi, prompt, workflow, integrazioni e componenti riusabili. È lo step in cui l’intento diventa una soluzione reale, strutturata in modo da poter essere revisionata, testata, governata ed evoluta nel tempo senza perdere coerenza architetturale.

Revisionare

Rivedere la soluzione in termini di qualità, coerenza, sicurezza, manutenibilità e allineamento ai principi del manifesto prima di procedere alla validazione.

Human in the loop: review esperta, giudizio sul rischio e decisione di procedere.

Testare

Convalidare comportamento atteso, edge case, failure mode, affidabilità e prontezza operativa tramite evidenze di test strutturate e criteri di accettazione misurabili.

Il test copre anche le regressioni comportamentali causate da modifiche a prompt, contenuti RAG, shared skill, configurazione del modello, tool e regole di orchestrazione.

Rilasciare

Rilasciare in modo controllato, osservabile e ripetibile, con rollback, release note, ownership ed evidenze di deployment chiaramente definite.

Le evidenze di release devono identificare modifiche al codice, ai prompt, al RAG o alla documentazione, ai tool, alla configurazione del modello e all'orchestrazione.

Human in the loop: autorizzazione della release e responsabilità del go-live.

Operare

Gestire la soluzione con monitoraggio, alert, runbook, flussi di supporto e checkpoint di governance che mantengano il sistema affidabile in condizioni reali.

Le operazioni devono monitorare non solo la salute tecnica, ma anche drift comportamentale, risposte inattese, uso di conoscenza obsoleta, fallimenti di retrieval e regressioni introdotte dagli aggiornamenti di conoscenza.

Human in the loop: gestione incident, escalation e supervisione di governance in produzione.

Migliorare

Migliorare continuamente sulla base di feedback di produzione, incident, analytics, insight utenti e apprendimenti di delivery che mostrano cosa affinare dopo.

Orchestrare

Coordinare agenti, flussi, policy e capability riusabili in un ecosistema composabile capace di scalare oltre implementazioni isolate.

ADLC in pratica

Come il lifecycle si comporta come un loop infinito governato

Nella pratica, l'ADLC non funziona come una pipeline a senso unico. I team entrano attraverso il quality gate dei requisiti, attraversano il delivery e poi rientrano nel ciclo tramite operatività, miglioramento e orchestrazione.

I requisiti entrano solo dopo un quality gate dedicato e un'approvazione umana.
Implementazione, review e test trasformano l'intento in una soluzione governata.
Aggiornamenti di conoscenza, fonti RAG, prompt e shared skill sono trattati come cambiamenti controllati e devono alimentare lo stesso loop di evidenza, review, test e miglioramento di codice e workflow.
Deploy e operate producono evidenze operative, non solo output di rilascio.
Improve e orchestrate alimentano il ciclo successivo con apprendimento, riuso e coordinamento.

Human in the loop checkpoint

Controlli di governance

Controlli obbligatori per entrare e governare l'ADLC

Governance

Supervisione umana

La supervisione umana è un layer di controllo obbligatorio nell'ADLC, soprattutto nell'approvazione dei requisiti, nella validazione della qualità, nell'autorizzazione delle release e nel governo della produzione.

Gli agent accelerano e strutturano il lavoro, ma le decisioni critiche e responsabili restano esplicitamente umane.

Controllo di ingresso

Controllo qualità dei requisiti

L'ADLC non può iniziare senza un quality gate che garantisca requisiti chiari, completi, tracciabili e dotati di significato di business.

Questo gate è fondamentale perché determina se l'implementazione debba iniziare oppure no.

Knowledge Governance

Governance della conoscenza e del RAG

L'ADLC tratta il layer di conoscenza come una parte governata del sistema. Documenti, prompt, fonti RAG, shared skill, policy, esempi e istruzioni dei tool possono influenzare il comportamento dell'agent e introdurre regressioni silenziose anche quando il codice applicativo non cambia.

Le modifiche alla conoscenza devono quindi essere revisionate, versionate, tracciabili e validate rispetto al comportamento atteso prima dell'uso in produzione.

Agenti condivisi

Capability riusabili che supportano l'intero ADLC

Base di conoscenza

Documentation Agent

Produce e aggiorna documentazione per persone nella knowledge base umana ufficiale, come Confluence, SharePoint, Notion, GitBook, Backstage TechDocs, Read the Docs o piattaforme equivalenti.

La documentazione umana è ottimizzata per lettura, review, onboarding, governance e auditability. Non è, di default, l'interfaccia di contesto per gli AI agent.

Si occupa di ADR, runbook, onboarding, note architetturali, FAQ e documentazione di processo collegate agli eventi reali di delivery.

Flusso di delivery

PR Governance Agent

Supporta le pull request end-to-end, riassumendo i cambiamenti, verificando le policy, evidenziando i rischi e proponendo i reviewer.

Aiuta a mantenere le review coerenti, tracciabili e allineate ai guardrail condivisi di engineering.

Comunicazione

Release Notes Agent

Genera release note a partire dal lavoro integrato, raggruppando funzionalità, fix, breaking changes, migrazioni e note operative.

Produce sia sintesi tecniche sia versioni leggibili per audience business.

Allineamento

Knowledge Sync Agent

Rileva gap tra codice, ticket, release e documentazione, poi propone o applica gli aggiornamenti mancanti.

Mantiene allineate nel tempo la realtà del delivery e la knowledge base.

Knowledge Governance

RAG Governance Agent

Revisiona e governa le fonti di conoscenza prima che vengano usate dagli agent. Controlla freschezza, ownership, stato di approvazione, duplicazioni, contraddizioni, validità business, tracciabilità e impatto di regressione.

Aiuta a garantire che contenuti RAG e conoscenza condivisa migliorino il comportamento degli agent senza introdurre cambiamenti non controllati.

Governance

Compliance and Traceability Agent

Collega requisiti, implementazioni, test, documentazione e release in una catena auditabile di evidenze.

Supporta quality gate, review e checkpoint di governance lungo tutto il lifecycle.

Operazioni

Operational Readiness Agent

Verifica che ogni release abbia runbook, ownership, rollback guidance, alert ed evidenze di prontezza operativa.

Aiuta i team a passare dal deploy a un'operatività stabile con meno punti ciechi.

Skill condivise

Know-how aziendale riusabile che gli agent possono applicare in modo coerente

Principio

Adattate all'azienda

Le shared skill possono partire da framework consolidati, ma devono essere adattate all'architettura, alle policy, al linguaggio, al modello di rischio e alla cultura di delivery dell'azienda.

Trasformano il know-how riusabile in pattern di esecuzione governati, applicabili in modo coerente da agent e team.

Documentazione

Documentation Skill

Definisce come documentazione umana e agent context vengono prodotti come artefatti collegati ma separati.

La documentazione umana vive in strumenti progettati per persone. La documentazione per agent viene esposta tramite Agent Context Endpoint governati, come server MCP, file llms.txt, indici di retrieval o context pack versionati.

Gli strumenti per il contesto agentico possono includere Context7, GitMCP, MCPDoc, mcp-documentation-server, server MCP custom basati su SDK MCP open source o sistemi equivalenti. Questi endpoint devono esporre URL stabili, ownership delle fonti, versioning, stato di approvazione e regole di retrieval.

Knowledge

RAG Governance Skill

Definisce come le fonti di conoscenza vengono selezionate, approvate, segmentate, versionate, ritirate, testate e tracciate.

Include regole per ownership delle fonti, freschezza dei documenti, gestione delle contraddizioni, valutazione del retrieval, aspettative sulle citazioni e regression test dopo gli aggiornamenti di conoscenza.

Delivery

Release Notes Skill

Definisce come generare, raggruppare, revisionare e adattare le release note per audience tecniche, business e operative.

Include regole per breaking changes, migrazioni, known issues, note di rollback e sintesi customer-facing.

Architettura

Architecture Skill

Codifica principi architetturali, criteri decisionali, reference pattern e aspettative di review dell'azienda.

Aiuta gli agent a ragionare con standard locali invece che con consigli architetturali generici.

Infrastrutture

Infrastructure Skill

Codifica convenzioni di piattaforma su ambienti, deployment, osservabilità, rollback, naming, ownership e readiness operativa.

Deve riflettere il modello infrastrutturale reale dell'azienda, non una checklist cloud astratta.

Sicurezza

CISO Security Skill

Le skill di sicurezza dovrebbero essere definite o validate dal gruppo CISO e allineate alle policy enterprise.

Esempi: gestione dati, identità, segreti, access control, threat modeling, uso sicuro di prompt/tool ed evidenze di audit.

Link utili

Risorse esterne per delivery agentica e governance

Risorsa	Descrizione	Link
Microsoft APM	Dependency manager open source per AI agent. Aiuta i team a dichiarare standard, prompt, skill, plugin e server MCP in un manifest portabile, rendendo il setup degli agent riproducibile.	github.com/microsoft/apm
GitHub Copilot Token Optimization	Guida community con tecniche pratiche per ridurre il consumo di token in GitHub Copilot su Chat, Inline e Coding Agent, mantenendo la qualità del codice.	github.com/olivomarco/github-copilot-token-optimization
caveman	Skill/plugin per AI coding agent che comprime risposte e file di contesto, riducendo l'uso di token senza perdere sostanza tecnica.	github.com/JuliusBrussee/caveman
Superpowers	Framework di skill e metodologia di sviluppo per coding agent, con workflow per design, planning, TDD, review e sviluppo guidato da subagent.	github.com/obra/superpowers
OWASP State of Agentic AI Security and Governance	Report dell'OWASP Gen AI Security Project sulla sicurezza e governance dei sistemi AI autonomi e agentici, con framework, modelli di governance e standard regolatori.	genai.owasp.org