6 篇文章 含有標籤「CI/CD」

🚀 初級開發者並未過時：如何在 AI 時代蓬勃發展​

Source: https://github.blog/ai-and-ml/generative-ai/junior-developers-arent-obsolete-heres-how-to-thrive-in-the-age-of-ai/

• 人工智慧並不會讓初級開發者過時；相反地，新進學習者因具備 AI 工具的應用能力，反而處於有利位置。
• GitHub 執行長 Thomas Dohmke 強調，熟悉 AI 程式碼生成工具的新人才，能帶來更好的想法。
• 提供初級開發者在 AI 時代脫穎而出的五種方法：
  1. 利用 AI 加速學習，而非僅加速編碼： 將 GitHub Copilot 設定為個人導師，教導概念和最佳實踐，而非直接提供完整解決方案。可以透過 VS Code 命令面板運行 Chat: New Instructions File 並貼上以下指令：

     ---
     applyTo: "**"
     ---
     I am learning to code. You are to act as a tutor; assume I am a beginning coder. Teach me concepts and best practices, but don’t provide full solutions. Help me understand the approach, and always add: "Always check the correctness of AI-generated responses."
     

     此外，練習在不使用自動完成功能的情況下解決問題（可透過在專案根目錄 .vscode/settings.json 中設定 {"github.copilot.enable": {"*": false}} 來禁用）。
  2. 建立公開專案以展示技能（和 AI 熟練度）： 利用 GitHub Copilot Chat 的 /new 指令來啟動新專案，並使用以下 Git 命令將其發布：

     git init && git add . && git commit -m "Initial commit" && git push
     

  3. 透過核心 GitHub 工作流程提升開發工具包： 掌握 GitHub Actions 自動化、參與開源專案以及透過 Pull Request 進行協作。Copilot Chat 可協助排除故障。
  4. 透過程式碼審查磨練專業知識： 積極提問、尋找模式、做筆記並保持謙遜。
  5. 運用 AI 更智慧、更快速地除錯： 使用 Copilot Chat 指令如 /fix、/tests、/explain 和 /doc 來即時解釋錯誤、生成修復方案、創建測試案例和理解根本原因。

加速 Docker 強化映像的 FedRAMP 合規性 🚀​

Source: https://www.docker.com/blog/fedramp-compliance-with-hardened-images/

• FedRAMP 合規挑戰： 聯邦風險與授權管理計畫 (FedRAMP) 合規成本高昂（45 萬至 200 萬美元以上），且需耗時 12 至 18 個月，這期間競爭對手可能已搶佔政府合約。企業需面對 NIST SP 800-53 中超過 400 項嚴格的安全控制要求。
• Docker 強化映像 (DHI) 解決方案： Docker 硬化映像提供自動化、可稽核的安全解決方案，旨在加速 FedRAMP 合規流程並降低維護成本。DHI 是一系列精簡的映像，持續更新以確保幾乎沒有已知的 CVE。
• FIPS 140 合規性： DHI 支援 FIPS 140 驗證的密碼學模組，預配置並經過測試，可確保正確功能。每個 FIPS 合規映像都附有簽名的證明，列出使用的 FIPS 驗證軟體及其 CMVP 認證和測試結果連結，支援 OpenSSL、Bouncy Castle 和 Go 等主要開源密碼學模組。
• STIG 強化映像： Docker 根據國防信息系統局 (DISA) 發布的通用作業系統 (GPOS) SRG，創建了客製化的容器 STIG。STIG 強化映像在安全建構過程中會使用 OpenSCAP 進行掃描，結果會作為簽名證明提供，其中包含易於查看的 STIG 合規分數，並支援輸出為 HTML 和 XCCDF 格式，便於稽核。
• 持續合規性：
  • 漏洞減少： DHI 起始攻擊面減少高達 95%（按包數量計算），持續更新以確保幾乎沒有已知 CVE，並掃描病毒和機密。
  • 漏洞檢測與修復： Docker 持續監控 CVE 來源，DHI 對嚴重/高風險漏洞的修復 SLA 為 7 天，中/低風險為 30 天，幫助滿足 FedRAMP 修復時限。提供 VEX (Vulnerability Exploitability eXchange) 證明來過濾不適用漏洞。
  • 供應鏈透明度： DHI 使用 SLSA Build Level 3 安全建構管道，確保建構可驗證性與防篡改。提供簽名證明和多種 SBOM 格式。
  • 稽核證據： DHI 證明符合 in-toto 證明標準，作為 provenance、資產管理、漏洞掃描及 FIPS 合規性的安全證據。

Onboarding your AI peer programmer: Setting up GitHub Copilot coding agent for success 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/onboarding-your-ai-peer-programmer-setting-up-github-copilot-coding-agent-for-success/

• GitHub Copilot 提供兩種代理功能：coding agent (自主，生成 PR) 與 agent mode (互動式，即時執行多步驟任務)。
• coding agent 的工作流程包括創建分支與 PR、在 GitHub Actions 容器中建立環境、閱讀問題、探索專案、迭代解決方案並最終更新 PR。
• 可透過自訂 GitHub Actions workflow 檔案（例如 .github/workflows/copilot-setup-steps.yml）來配置 Copilot 的執行環境，確保其能存取所需的工具和服務。

  name: "Copilot Setup Steps"
  
  on:
    workflow_dispatch:
    push:
      paths:
        - .github/workflows/copilot-setup-steps.yml
    pull_request:
      paths:
        - .github/workflows/copilot-setup-steps.yml
  
  jobs:
    copilot-setup-steps:
      runs-on: ubuntu-latest
      permissions:
        contents: read
      steps:
        - name: Checkout code
          uses: actions/checkout@v4
  
        - name: Set up Python
          uses: actions/setup-python@v4
          with:
            python-version: "3.13"
            cache: "pip"
  
        - name: Install Python dependencies
          run: pip install -r requirements.txt
  
        - name: Install SQLite
          run: sudo apt update && sudo apt install sqlite3
  

• 撰寫清晰明確的 Issue 與提示對 Copilot 成功生成高品質 PR 至關重要，應包含問題陳述、重現步驟、相關歷史、建議方法等。
• 透過優化專案結構（README、代碼註釋、良好命名）和自訂指令文件（copilot-instructions.md 或 <file-name>.instructions.md）來提供 Copilot 上下文資訊和組織規範。

  # Classic arcade
  
  This project hosts a classic arcade, themed after the 1980s 8-bit games.
  
  ## Standard player flow
  
  1. Player opens app and sees list of games.
  2. Player selects game to play.
  3. Player sees a splash screen with the message "Insert quarter".
  4. Player presses space to start game and plays game
  6. After game ends, the "Game over" message is displayed.
  7. The player score is checked against high scores. If the score is in top 10, user is prompted for their initials (3 initials).
  8. High scores are displayed, and an option to return to the main menu to start over again.
  
  ## Frameworks
  
  - Python `arcade` library is used for the arcade itself
  - SQLite is used to store all scores
  
  ## Coding guidelines
  
  - All games must inherit from `BaseGame`
  - Python code should follow PEP8 practices, including docstrings and type hints
  
  ## Project structure
  
  - `data`: Stores data abstraction layer and SQLite database
  - `games`: Stores collection of games and `BaseGame`
  - `app`: Stores core app components including menuing system
  

• 可利用 Model Context Protocol (MCP) 擴展 Copilot 的上下文和工具，例如透過 Azure MCP server 支持 Bicep 程式碼生成。

  {
    "mcpServers": {
      "AzureBicep": {
        "type": "local",
        "command": "npx",
        "args": [
          "-y",
          "@azure/mcp@latest",
          "server",
          "start",
          "--namespace",
          "bicepschema",
          "--read-only"
        ]
      }
    }
  }
  

• Copilot coding agent 內建防火牆，可限制對核心服務的存取，以管理數據外洩風險；遠端 MCP server 或網路資源存取需更新允許列表。

⚙️ Upcoming Changes to JetBrains .NET Tools​

Source: https://blog.jetbrains.com/dotnet/2025/07/25/upcoming-changes-to-dotnet-tools/

• JetBrains 將依據用戶回饋和使用數據，對其 .NET 工具進行一系列精簡與調整，旨在提升工具效能並聚焦核心功能。
• 2025.2 版本更新重點：
  • dotCover 精簡化： 獨立的 dotCover 工具將被精簡以提升性能並降低複雜度。命令列運行器已現代化，指令整合至統一的 dotcover cover 介面，配置檔從 XML 轉換為簡潔的純文字參數檔。
  • 移除部分不常用過濾選項（方法/類別過濾器、檔案路徑過濾器、原始碼註解過濾器），並終止對舊版應用程式類型（如 IIS Express, WCF, WinRT, 外部 .NET 程序）的支援。
  • Rider 中 Mono 和 Unity 專案的程式碼覆蓋率分析終止： Rider 2025.2 起將不再提供 Mono 和 Unity 專案的覆蓋率分析，因使用率低且增加了技術債。待 Unity 遷移至 CoreCLR（預計 Unity 7 LTS 後）將恢復 Unity 專案的覆蓋率分析。
  • Visual Studio 的 TeamCity 擴充功能終止： 為了簡化工具鏈並專注於更具影響力的開發體驗，此擴充功能將被停用。
• 2025.3 版本更新重點：
  • Rider 中的動態程式分析 (DPA) 功能整合： DPA 將不再作為獨立工具，其分析能力將進一步整合到 Monitoring 工具中，並作為 dotUltimate 許可證的一部分提供（與 dotTrace 和 dotMemory 分析器相同）。
• 這些變更旨在釋放開發資源，以持續改進工具的性能、穩定性和核心功能。

從研發到部署：Compose 成為應用生命周期的中樞核心 🔗​

Source: https://www.docker.com/blog/docker-compose-powering-the-full-app-lifecycle/

內容摘要：
本文強調 Docker Compose 及其擴展工具 Compose Bridge 在整個應用程式生命周期中的關鍵作用，將本地開發、測試、部署到生產的流程串聯起來，成為「脊椎骨」般的支撐架構。透過自動化、標準化和環境隔離，提高效率、安全性和可靠性，降低人為錯誤，並支援多階段、多環境的整合。

GitHub Copilot Spaces：將正確的背景資訊帶入每個建議 💡​

Source: https://github.blog/ai-and-ml/github-copilot/github-copilot-spaces-bring-the-right-context-to-every-suggestion/