GitHub 6月服務中斷回報 🚧​

Source: https://github.blog/news-insights/company-news/github-availability-report-june-2025/

• 6月發生三次服務事件影響GitHub服務，造成性能下降。
• 5日Actions服務超載，延遲啟動且失敗，影響Copilot和Pages部署，問題由內部請求限制配置錯誤造成，已修正。
• 12日Copilot模型服務中斷，部分模型不可用或延遲，源自模型供應商故障，已透過禁用端點來降低影響，改善偵測和解決流程。
• 17日網路路由政策部署導致部分系統連線中斷，部分請求錯誤率高，部署已回滾，將擴展路由變更審查流程。
• 來源頁面會提供最新狀態及事故回顧，並持續提升監控預警能力。

利用 GitHub Copilot 助力開發流程整理與優化 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/from-chaos-to-clarity-using-github-copilot-agents-to-improve-developer-workflows/

• 介紹如何透過 GitHub Copilot coding agent，將零散且潛在鬆散的專案結構改造為高度組織且易於維護的系統
• 重點流程包括：優化自訂指令、建立 setup 檔案、辨識技術債務
• 利用 Copilot 與 pull request 協作，加快專案改善
• 以範例改進驗證檔案，全面提升專案品質、文件化與測試覆蓋
• 最終實踐包括在不同專案中進行前後比對，證明 AI 助攻大幅提升效率

AI在程式碼審查中的角色：開發者永遠擁有合併按鈕 🛠️​

Source: GitHub Blog
重點總結：

• GitHub自2008年推出PR機制，結合社交流程（評論、批准與合併按鈕），將程式碼貢獻的責任硬性規定給開發者。
• 雖然大型語言模型(LLM)可以協助生成PR、回覆評論，但最終「合併」責任仍由人類開發者承擔。
• AI Review只能處理瑣碎事項（如未用到的import、缺少測試）且不能判斷設計是否符合產品需求或安全策略。
• GitHub Copilot的AI審查功能已正式推出，可以在IDE中預先自動檢測問題，減少人為瑣碎工作，讓開發者專注在重要決策上。
• AI目前能擅長「机械掃描」和「模式匹配」等重複性任務，但在架構、價值觀判斷和指導性教學上仍需人類干預。

我的看法：
AI的角色更多是擴充而非取代開發者的判斷力，能協助提升效率卻不會取代人類對於架構與價值的專屬決策。

用 Java 和 Spring AI 輕鬆建立 Generative AI 應用 🛠️🤖​

來源： Docker官方博客

這篇文章介紹如何使用 Java 和 Spring AI，不需學習 Python，便能快速構建本地的 GenAI 應用。重點在於整合 Docker Model Runner、Testcontainers 進行本地模型管理與測試，並利用 Grafana 進行觀測，提升開發與運維的效率。

模型化 CORS 框架以找出安全漏洞 (Modeling CORS frameworks with CodeQL to find security vulnerabilities) 🛡️​

Source: https://github.blog/security/application-security/modeling-cors-frameworks-with-codeql-to-find-security-vulnerabilities/

內容要點：

• CORS設定不當會導致安全漏洞，如允許任意網站存取危險端點，甚至可造成身份驗證被繞過。
• 使用CodeQL可以模型化Web框架中的header設置，監測潛在的配置錯誤，像是示範範例中 w.Header().Set("Access-Control-Allow-Origin", "*")，會允許任何來源存取。
• 對於反射來源（r.Header.Get("Origin")）搭配 Access-Control-Allow-Credentials為true的設置則更加危險，可能被攻擊網站利用。
• Model中會定義類別如 AllowCredentialsHeaderWrite 來匹配特定header write行為，並建立規則查詢包含非安全的 Allow-Origin 和 Allow-Credentials設置。
• 建模Web框架（例如Gin、Django等）的CORS middleware，模擬其設置結構和方法，以便在CodeQL中自動偵測潛在風險。
• 建立針對兩類CORS漏洞的專屬查詢（無認證跨域與有認證跨域），利用模型追蹤Header設定和配置變數的變更狀況，協助辨識錯誤配置。
• 案例中說明，簡單將headers設在HTTP回應中，容易被偵測，但若並未檢查Origin或Credentials的設定，則可能存在嚴重漏洞。

我的看法：

• 模型化Web框架header設置是一個強大且彈性高的安全分析方法，可用於自訂多種框架。
• 使用CodeQL能有效識別錯誤配置，降低CORS安全問題，值得開發者在安全審查中加入此技術。

Tags: [CORS, StaticAnalysis, CodeQL, WebSecurity, WebFrameworks]

💡 如何提升與 AI 搭檔程式設計工具（如 Copilot）的合作：超越提示詞技巧​

Source: https://github.blog/ai-and-ml/github-copilot/beyond-prompt-crafting-how-to-be-a-better-partner-for-your-ai-pair-programmer/

重點整理：

• 單純提供提示詞（Prompt）不足以讓 AI 完美理解需求，須提供完整的上下文。
• 透過適當的註解、結構化文件（如 docstring、instructions.md）來豐富 AI 的知識背景。
• 使用自訂指令（custom instructions）來設定專案背景、風格、標準，提升建議品質。
• 可以建立專用的 Instructions 文件，加強 AI 在特定任務（如建立 API endpoints）中的表現。
• MCP（Model Context Protocol）能連結外部資料或服務，保持資料更新與正確性。
• 給出類比：如與朋友對話，提供更多背景資訊才會得到更符合需求的建議。
• 提案：結合註解、結構化內容與外部服務，將 AI 變成一個更智能、配合更緊密的伙伴。

我的看法：
在實務中，純靠提示詞的技巧已經不夠，提供完整的上下文和背景，尤其善用指令文件和外部資料源，才能淺顯易懂地引導 AI 產出高品質的程式碼。

本次內容涵蓋兩大主題：Git 項目的安全漏洞公告與 Docker Hub 新推出的 MCP 伺服器，兩者皆反映出在軟體開發與容器管理領域安全與智能化的新趨勢。以下將分別做詳細介紹。🔐🚀

從研發到部署：Compose 成為應用生命周期的中樞核心 🔗​

Source: https://www.docker.com/blog/docker-compose-powering-the-full-app-lifecycle/

內容摘要：
本文強調 Docker Compose 及其擴展工具 Compose Bridge 在整個應用程式生命周期中的關鍵作用，將本地開發、測試、部署到生產的流程串聯起來，成為「脊椎骨」般的支撐架構。透過自動化、標準化和環境隔離，提高效率、安全性和可靠性，降低人為錯誤，並支援多階段、多環境的整合。

CVE-2025-53367: 內容漏洞解釋與修復資訊 🔐​

來源: GitHub Security Blog

內容重點：

• DjVuLibre 3.5.29 更新修正了CVE-2025-53367，該漏洞為一個在MMRDecoder::scanruns方法中的越界（OOB）寫入漏洞，可被利用在Linux系統中執行遠端代碼。
• 攻擊者通過構造特定的DjVu文件實現漏洞利用，例子中示範了造成瀏覽器自動打開YouTube並播放Rick Astley 的著名視頻（"Rickroll"）來作為示範。
• 利用PoC在Ubuntu 25.04（x86_64）環境中成功，雖有不穩定性，但未來有望研發更穩定的攻擊方法。
• 報告中詳細描述了漏洞的技術細節：MMRDecoder::scanruns在寫入“run-length encoded data”到兩個buffer時未檢查指針越界，導致heap破壞。

我的看法：
此漏洞顯示在處理圖像格式的解碼過程中，安全檢查的重要性。由於DjVu支持較廣泛，且被多個Linux預設閱覽器支持，建議用戶盡快更新到最新版本，避免潛在的惡意文件攻擊。🔧

🌟 本期內容涵蓋GitHub Copilot與MCP強化開發流程、Docker的AI助手Gordon、Netflix的內容傳輸優化技術，以及AV1影片色彩隱藏技術，展示最新AI與開發生態的應用與革新。