11 篇文章 含有標籤「CI/CD」

🔗 如何使用 GitHub 與 JFrog 整合實現從提交到生產的安全可追溯建構​

Source: https://github.blog/enterprise-software/devsecops/how-to-use-the-github-and-jfrog-integration-for-secure-traceable-builds-from-commit-to-production/

• GitHub 與 JFrog 推出新的整合，旨在建立安全、可追溯的軟體供應鏈，將原始程式碼與經認證的二進位檔案連結。
• 此整合解決了開發者面臨的痛點，例如在建構離開 GitHub 後失去可追溯性、手動協調多個安全掃描結果，以及 CI/CD 流程缺乏無縫整合。
• 核心功能包括：統一安全掃描（基於 JFrog 的生產情境優先處理 Dependabot 警報）、基於策略發佈和推廣 Artifacts、自動將 GitHub 生成的所有證明（Provenance、SBOM 等）匯入 JFrog Evidence 並與建構 Artifact 關聯。
• 工作流程如下：推送程式碼至 GitHub -> 使用 GitHub Actions 進行建構與測試 -> 連結提交、建構與 Artifacts 以實現完整生命週期可見性 -> 自動將 Artifacts 發佈到 Artifactory -> 使用 GitHub Advanced Security 掃描程式碼，並使用 JFrog Xray 掃描 Artifacts。
• 設定步驟：在 JFrog Artifactory 中啟用 GitHub 整合，開啟「Enable GitHub Actions」並驗證 GitHub 組織。
• GitHub Actions 範例用於生成證明並推送到 Artifactory，其中使用 jfrog/jfrog-setup-cli 和 actions/attest-build-provenance 等 actions。

  name: Build, Test & Attest
  
  on:
    push:
      branches:
        - main
  
  env:
    OIDC_PROVIDER_NAME: [...]
    JF_URL: ${{ vars.JF_URL }}
    JF_REGISTRY: ${{ vars.JF_REGISTRY }}
    JF_DOCKER_REPO: [...]
    IMAGE_NAME: [...]
    BUILD_NAME: [...]
  
  jobs:
    build-test-deploy:
      runs-on: ubuntu-latest
      permissions:
          contents: read
          packages: write
          attestations: write  # Required for attestation
          id-token: write      # Added for OIDC token access
  
      steps:
      - name: Checkout code
        uses: actions/checkout@v5
  
      - name: Install JFrog CLI
        id: setup-jfrog-cli
        uses: jfrog/setup-jfrog-cli@v4.5.13
        env:
          JF_URL: ${{ env.JF_URL }}
        with:
          version: 2.78.8
          oidc-provider-name: ${{ env.OIDC_PROVIDER_NAME }}
  
      - name: Docker login
        uses: docker/login-action@v3
        with:
          registry: ${{ env.JF_REGISTRY }}
          username: ${{ steps.setup-jfrog-cli.outputs.oidc-user }}
          password: ${{ steps.setup-jfrog-cli.outputs.oidc-token }}
  
      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v3
  
      - name: Build and push Docker image
        id: build-and-push
        uses: docker/build-push-action@v6
        with:
          context: .
          push: true
          tags: ${{ env.JF_REGISTRY }}/${{ env.IMAGE_NAME }}:${{ github.run_number }}
          build-args: ${{ env.BUILD_ARGS }}
  
      - name: Attest docker image
        uses: actions/attest-build-provenance@v2
        with:
          subject-name: oci://${{ env.JF_REGISTRY }}/${{ env.IMAGE_NAME }}
          subject-digest: ${{ steps.build-and-push.outputs.digest }}
  

• 最佳實踐建議使用 OIDC 避免長時間憑證、自動化 Artifactory 中的推廣流程、早期設定安全閘門以阻止未經證明或存在漏洞的建構進入生產，並利用 JFrog Evidence 中的 Provenance 證明實現即時追溯。

🚀 GitHub Copilot 網頁版：為進階使用者打造的強大指南​

Source: https://github.blog/ai-and-ml/github-copilot/how-to-use-github-copilot-on-github-com-a-power-users-guide/

• 擴展 Copilot 用途：GitHub Copilot 不再僅限於 IDE 中的自動完成和程式碼建議，它在 github.com 上提供了全新的功能，專注於專案管理、團隊協調和快速原型開發。無需安裝擴充功能或進行設定，直接前往 github.com/copilot 即可開始使用。
• 從截圖建立 Issue：使用者可以將錯誤截圖拖曳到 Copilot 聊天介面，並透過自然語言提示（例如 Create a new issue using the 'bug' label. Use this screenshot and describe the overlapping arrow icon. Apply the UI issue template from this repo.），讓 Copilot 自動生成帶有標籤和範本的 Issue 標題和描述。
• 專案中心快速操作：在 github.com/copilot，您可以：
  • 跨多個 GitHub 儲存庫與 Copilot 聊天。
  • 建立和管理 Issue 與 Pull Request。
  • 啟動 GitHub Spark 進行程式碼片段或元件原型設計。
  • 指派 Copilot AI 代理執行自主任務。
  • 在對話中切換不同的 AI 模型。
• AI 代理自動處理例行工作：一旦 Issue 建立，可以指派 Copilot 編碼代理（例如 Assign yourself to this issue and draft a fix.）分析程式碼庫、識別根本原因並提交草稿 Pull Request。適用於例行性錯誤修復、文件更新和依賴升級。
• 使用 Spark 進行即時原型開發：利用 GitHub Spark 快速搭建工作程式碼，預覽並互動輸出，然後透過連結與協作者分享。
  • 範例提示：Create a feature comparison table for an API pricing page. Show Free, Pro, and Enterprise tiers with checkmarks for features.
• 選擇最佳 AI 模型：GitHub Copilot 允許使用者切換不同的 AI 模型以適應特定任務：
  • GPT-4.1：通用編碼和推理。
  • Claude Sonnet 4：結構化寫作、重構、上下文密集型任務。
  • Opus 4：創造力、邊緣案例、提供替代觀點。
• 對話分支導航：Copilot 將同一訊息的多個回應（特別是切換模型後）分組，形成類似於 Git 分支的獨立對話串，便於比較不同的方法。
• 整合網頁與 IDE 工作流：網頁版 Copilot 處理協調和探索性工作，而 IDE 處理詳細實作。兩者結合可覆蓋完整的開發工作流程。

🤔 重新發掘學習的樂趣：Jason Lengstorf 談開發現況​

Source: https://github.blog/developer-skills/career-growth/rediscovering-joy-in-learning-jason-lengstorf-on-the-state-of-development/

• 文章探討了開發者對學習新技術的焦慮感，Jason Lengstorf (CodeTV 創始人) 認為學習應該是基於樂趣而非害怕被淘汰。
• AI 作為能力乘數而非取代者：AI 能顯著提升熟練開發者的速度，並加速初學者的學習過程。但若缺乏學習意願，AI 反而會製造更大的問題。
• 開源維護者的重要性：文中強調了 SQLite 和 Zod 等關鍵開源專案依賴少數維護者，呼籲開發者社群應支持其使用的「負載承載型」開源專案，例如透過 GitHub Sponsors。
• 未來網頁創新的趨勢：JavaScript 生態系目前處於停滯期，而 CSS 則蓬勃發展。Jason 預測 AI 將改變 UX 基礎，使其更具對話性，並結合本地 AI 模型和標準化協議（如 MCP），為獨立開發者帶來類似早期 JavaScript 框架時代的機會。

🚀 Git 2.51 更新亮點​

Source: https://github.blog/open-source/git/highlights-from-git-2-51/

• 無碎片的 Multi-Pack Indexes (MIDXs)：
  • Git 2.51 引入新的打包行為，允許將無法到達的物件（“cruft pack” 中的物件）儲存在 MIDX 之外，解決了先前將它們排除在 MIDX 之外的困難。
  • 透過 repack.MIDXMustContainCruft 配置選項，可使非碎片套件集在可達性上是封閉的。
  • 這項改進在 GitHub 內部應用中，顯著縮小了 MIDXs 檔案大小（約 38%），寫入速度提升（35%），整體儲存庫讀取性能提高（約 5%）。
• Path Walk 實現更小尺寸的 Packfiles：
  • Git 2.49 引入了 "name-hash v2" 以改進物件的 Delta 壓縮。
  • Git 2.51 更進一步，引入了新的「path walk」物件收集方式，在打包時一次性處理來自相同路徑的所有物件。
  • 這種方法避免了名稱哈希啟發式，並可在已知位於相同路徑的物件組內尋找 Delta，從而產生通常更小尺寸的 Packfiles。可透過 --path-walk 命令列選項試用。
• Stash 交換格式：
  • 過去 Git Stash 內部透過創建三個提交來儲存狀態，且 refs/stash 只儲存一個 Stash 項目，導致跨機器遷移困難。
  • Git 2.51 引入了新的 Stash 內部表示形式，允許將多個 Stash 項目表示為一系列提交，類似於普通的提交日誌，新的 Stash 提交包含四個父級。
  • 新版本新增了 git stash export --to-ref 和 git stash import 子命令，使得 Stash 內容可以像普通分支或標籤一樣進行匯出、推送和拉取，實現跨機器遷移。

  # 在一台機器上
  git stash export --to-ref refs/stashes/my-stash
  git push origin refs/stashes/my-stash
  
  # 在另一台機器上
  git fetch origin '+refs/stashes/*:refs/stashes/*'
  git stash import refs/stashes/my-stash
  

• git cat-file 改進：
  • git cat-file 是用於列印物件原始內容的專用工具。
  • 在 Git 2.51 之前，查詢子模組路徑會顯示 missing。
  • Git 2.51 改善了此輸出，使其在指令碼場景中更有用，現在能正確識別子模組物件 ID 和類型。

  # [ pre-2.51 git ]
  echo HEAD:sha1collisiondetection | git cat-file --batch-check
  # HEAD:sha1collisiondetection missing
  
  # [ git 2.51 ]
  echo HEAD:sha1collisiondetection | git cat-file --batch-check
  # 855827c583bc30645ba427885caa40c5b81764d2 submodule
  

• Bloom Filter 改進：
  • Git 2.51 增加了對使用多個路徑規範項目的支持，例如 git log -- path/to/a path/to/b，這些以前無法利用已更改路徑的 Bloom filter。
• git switch 和 git restore 不再是實驗性命令：
  • 這兩個命令自 Git 2.23 引入以來，已穩定運行六年，其命令列介面已穩定並向後相容。
• git whatchanged 命令被棄用：
  • 此命令已被標記為棄用，並計畫在 Git 3.0 中移除，但仍可透過 --i-still-use-this 旗標使用。
• Git 3.0 的重大變更預告：
  • reftable 後端將成為 Git 3.0 中新建立儲存庫的預設格式。
  • SHA-256 哈希函數將成為 Git 3.0 中初始化新儲存庫的預設哈希函數。
• Git 內部開發流程更新：
  • 允許在程式碼庫中使用 C99 bool 關鍵字。
  • 修訂了貢獻補丁的準則，允許貢獻者使用其合法姓名以外的身份提交補丁，與 Linux 核心的方法更接近。

GPT-5 在 GitHub Copilot：我如何在 60 秒內建構一款遊戲 🚀​

Source: https://github.blog/ai-and-ml/generative-ai/gpt-5-in-github-copilot-how-i-built-a-game-in-60-seconds/

• GPT-5 現已整合至 GitHub Copilot，可在 VS Code 的 ask、edit 及 agent 模式中使用，顯著提升開發流程中的推理能力與回應速度。
• 啟用方式簡單，僅需在 Copilot 介面中開啟模型選擇器並選取 GPT-5 即可。企業用戶需經管理員啟用。
• 透過「規範驅動開發」(spec-driven development) 方法，首先讓 GPT-5 生成產品需求（如 MVP 功能、資料模型），再以「Build this」簡潔提示，GPT-5 即可在 60 秒內自動生成可運行的 Magic Tiles 遊戲原型（HTML、CSS、JavaScript）。
• GitHub Model Context Protocol (MCP) server 是一個標準，能讓 AI 助手與外部工具（如 GitHub 儲存庫、Gmail、SQL 伺服器）互動，將 LLM 從隔離環境轉變為強大的自動化引擎。
• 設定 GitHub MCP 伺服器僅需不到 5 分鐘，透過在工作空間根目錄建立 .vscode/mcp.json 配置檔並進行 GitHub OAuth 驗證即可。
• 實際應用範例包含透過自然語言創建 GitHub 儲存庫及批量建立議題，大幅減少上下文切換，提高開發效率。
• 這個工作流程的優勢在於 GPT-5 的處理速度、上下文保留能力，以及將自然語言作為開發介面，同時保持「人機協同」的控制。

🚀 初級開發者並未過時：如何在 AI 時代蓬勃發展​

Source: https://github.blog/ai-and-ml/generative-ai/junior-developers-arent-obsolete-heres-how-to-thrive-in-the-age-of-ai/

• 人工智慧並不會讓初級開發者過時；相反地，新進學習者因具備 AI 工具的應用能力，反而處於有利位置。
• GitHub 執行長 Thomas Dohmke 強調，熟悉 AI 程式碼生成工具的新人才，能帶來更好的想法。
• 提供初級開發者在 AI 時代脫穎而出的五種方法：
  1. 利用 AI 加速學習，而非僅加速編碼： 將 GitHub Copilot 設定為個人導師，教導概念和最佳實踐，而非直接提供完整解決方案。可以透過 VS Code 命令面板運行 Chat: New Instructions File 並貼上以下指令：

     ---
     applyTo: "**"
     ---
     I am learning to code. You are to act as a tutor; assume I am a beginning coder. Teach me concepts and best practices, but don’t provide full solutions. Help me understand the approach, and always add: "Always check the correctness of AI-generated responses."
     

     此外，練習在不使用自動完成功能的情況下解決問題（可透過在專案根目錄 .vscode/settings.json 中設定 {"github.copilot.enable": {"*": false}} 來禁用）。
  2. 建立公開專案以展示技能（和 AI 熟練度）： 利用 GitHub Copilot Chat 的 /new 指令來啟動新專案，並使用以下 Git 命令將其發布：

     git init && git add . && git commit -m "Initial commit" && git push
     

  3. 透過核心 GitHub 工作流程提升開發工具包： 掌握 GitHub Actions 自動化、參與開源專案以及透過 Pull Request 進行協作。Copilot Chat 可協助排除故障。
  4. 透過程式碼審查磨練專業知識： 積極提問、尋找模式、做筆記並保持謙遜。
  5. 運用 AI 更智慧、更快速地除錯： 使用 Copilot Chat 指令如 /fix、/tests、/explain 和 /doc 來即時解釋錯誤、生成修復方案、創建測試案例和理解根本原因。

加速 Docker 強化映像的 FedRAMP 合規性 🚀​

Source: https://www.docker.com/blog/fedramp-compliance-with-hardened-images/

• FedRAMP 合規挑戰： 聯邦風險與授權管理計畫 (FedRAMP) 合規成本高昂（45 萬至 200 萬美元以上），且需耗時 12 至 18 個月，這期間競爭對手可能已搶佔政府合約。企業需面對 NIST SP 800-53 中超過 400 項嚴格的安全控制要求。
• Docker 強化映像 (DHI) 解決方案： Docker 硬化映像提供自動化、可稽核的安全解決方案，旨在加速 FedRAMP 合規流程並降低維護成本。DHI 是一系列精簡的映像，持續更新以確保幾乎沒有已知的 CVE。
• FIPS 140 合規性： DHI 支援 FIPS 140 驗證的密碼學模組，預配置並經過測試，可確保正確功能。每個 FIPS 合規映像都附有簽名的證明，列出使用的 FIPS 驗證軟體及其 CMVP 認證和測試結果連結，支援 OpenSSL、Bouncy Castle 和 Go 等主要開源密碼學模組。
• STIG 強化映像： Docker 根據國防信息系統局 (DISA) 發布的通用作業系統 (GPOS) SRG，創建了客製化的容器 STIG。STIG 強化映像在安全建構過程中會使用 OpenSCAP 進行掃描，結果會作為簽名證明提供，其中包含易於查看的 STIG 合規分數，並支援輸出為 HTML 和 XCCDF 格式，便於稽核。
• 持續合規性：
  • 漏洞減少： DHI 起始攻擊面減少高達 95%（按包數量計算），持續更新以確保幾乎沒有已知 CVE，並掃描病毒和機密。
  • 漏洞檢測與修復： Docker 持續監控 CVE 來源，DHI 對嚴重/高風險漏洞的修復 SLA 為 7 天，中/低風險為 30 天，幫助滿足 FedRAMP 修復時限。提供 VEX (Vulnerability Exploitability eXchange) 證明來過濾不適用漏洞。
  • 供應鏈透明度： DHI 使用 SLSA Build Level 3 安全建構管道，確保建構可驗證性與防篡改。提供簽名證明和多種 SBOM 格式。
  • 稽核證據： DHI 證明符合 in-toto 證明標準，作為 provenance、資產管理、漏洞掃描及 FIPS 合規性的安全證據。

Onboarding your AI peer programmer: Setting up GitHub Copilot coding agent for success 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/onboarding-your-ai-peer-programmer-setting-up-github-copilot-coding-agent-for-success/

• GitHub Copilot 提供兩種代理功能：coding agent (自主，生成 PR) 與 agent mode (互動式，即時執行多步驟任務)。
• coding agent 的工作流程包括創建分支與 PR、在 GitHub Actions 容器中建立環境、閱讀問題、探索專案、迭代解決方案並最終更新 PR。
• 可透過自訂 GitHub Actions workflow 檔案（例如 .github/workflows/copilot-setup-steps.yml）來配置 Copilot 的執行環境，確保其能存取所需的工具和服務。

  name: "Copilot Setup Steps"
  
  on:
    workflow_dispatch:
    push:
      paths:
        - .github/workflows/copilot-setup-steps.yml
    pull_request:
      paths:
        - .github/workflows/copilot-setup-steps.yml
  
  jobs:
    copilot-setup-steps:
      runs-on: ubuntu-latest
      permissions:
        contents: read
      steps:
        - name: Checkout code
          uses: actions/checkout@v4
  
        - name: Set up Python
          uses: actions/setup-python@v4
          with:
            python-version: "3.13"
            cache: "pip"
  
        - name: Install Python dependencies
          run: pip install -r requirements.txt
  
        - name: Install SQLite
          run: sudo apt update && sudo apt install sqlite3
  

• 撰寫清晰明確的 Issue 與提示對 Copilot 成功生成高品質 PR 至關重要，應包含問題陳述、重現步驟、相關歷史、建議方法等。
• 透過優化專案結構（README、代碼註釋、良好命名）和自訂指令文件（copilot-instructions.md 或 <file-name>.instructions.md）來提供 Copilot 上下文資訊和組織規範。

  # Classic arcade
  
  This project hosts a classic arcade, themed after the 1980s 8-bit games.
  
  ## Standard player flow
  
  1. Player opens app and sees list of games.
  2. Player selects game to play.
  3. Player sees a splash screen with the message "Insert quarter".
  4. Player presses space to start game and plays game
  6. After game ends, the "Game over" message is displayed.
  7. The player score is checked against high scores. If the score is in top 10, user is prompted for their initials (3 initials).
  8. High scores are displayed, and an option to return to the main menu to start over again.
  
  ## Frameworks
  
  - Python `arcade` library is used for the arcade itself
  - SQLite is used to store all scores
  
  ## Coding guidelines
  
  - All games must inherit from `BaseGame`
  - Python code should follow PEP8 practices, including docstrings and type hints
  
  ## Project structure
  
  - `data`: Stores data abstraction layer and SQLite database
  - `games`: Stores collection of games and `BaseGame`
  - `app`: Stores core app components including menuing system
  

• 可利用 Model Context Protocol (MCP) 擴展 Copilot 的上下文和工具，例如透過 Azure MCP server 支持 Bicep 程式碼生成。

  {
    "mcpServers": {
      "AzureBicep": {
        "type": "local",
        "command": "npx",
        "args": [
          "-y",
          "@azure/mcp@latest",
          "server",
          "start",
          "--namespace",
          "bicepschema",
          "--read-only"
        ]
      }
    }
  }
  

• Copilot coding agent 內建防火牆，可限制對核心服務的存取，以管理數據外洩風險；遠端 MCP server 或網路資源存取需更新允許列表。

⚙️ Upcoming Changes to JetBrains .NET Tools​

Source: https://blog.jetbrains.com/dotnet/2025/07/25/upcoming-changes-to-dotnet-tools/

• JetBrains 將依據用戶回饋和使用數據，對其 .NET 工具進行一系列精簡與調整，旨在提升工具效能並聚焦核心功能。
• 2025.2 版本更新重點：
  • dotCover 精簡化： 獨立的 dotCover 工具將被精簡以提升性能並降低複雜度。命令列運行器已現代化，指令整合至統一的 dotcover cover 介面，配置檔從 XML 轉換為簡潔的純文字參數檔。
  • 移除部分不常用過濾選項（方法/類別過濾器、檔案路徑過濾器、原始碼註解過濾器），並終止對舊版應用程式類型（如 IIS Express, WCF, WinRT, 外部 .NET 程序）的支援。
  • Rider 中 Mono 和 Unity 專案的程式碼覆蓋率分析終止： Rider 2025.2 起將不再提供 Mono 和 Unity 專案的覆蓋率分析，因使用率低且增加了技術債。待 Unity 遷移至 CoreCLR（預計 Unity 7 LTS 後）將恢復 Unity 專案的覆蓋率分析。
  • Visual Studio 的 TeamCity 擴充功能終止： 為了簡化工具鏈並專注於更具影響力的開發體驗，此擴充功能將被停用。
• 2025.3 版本更新重點：
  • Rider 中的動態程式分析 (DPA) 功能整合： DPA 將不再作為獨立工具，其分析能力將進一步整合到 Monitoring 工具中，並作為 dotUltimate 許可證的一部分提供（與 dotTrace 和 dotMemory 分析器相同）。
• 這些變更旨在釋放開發資源，以持續改進工具的性能、穩定性和核心功能。

從研發到部署：Compose 成為應用生命周期的中樞核心 🔗​

Source: https://www.docker.com/blog/docker-compose-powering-the-full-app-lifecycle/

內容摘要：
本文強調 Docker Compose 及其擴展工具 Compose Bridge 在整個應用程式生命周期中的關鍵作用，將本地開發、測試、部署到生產的流程串聯起來，成為「脊椎骨」般的支撐架構。透過自動化、標準化和環境隔離，提高效率、安全性和可靠性，降低人為錯誤，並支援多階段、多環境的整合。