5 篇文章 含有標籤「Cloud」

🔗 大規模保障供應鏈安全：從 71 個重要開源專案做起​

Source: https://github.blog/open-source/maintainers/securing-the-supply-chain-at-scale-starting-with-71-important-open-source-projects/

• Log4j 零日漏洞事件後，凸顯了開源庫安全性對整個軟體供應鏈的巨大影響，促使 GitHub 於 2024 年 11 月啟動「GitHub 安全開源基金」（GitHub Secure Open Source Fund）。
• 該基金為維護者提供資金支援，參與為期三週的專案，內容包含安全教育、導師指導、工具、認證及安全意識社群等，旨在提升安全影響力、降低風險，並大規模保護軟體供應鏈。
• 前兩期專案已集合來自 71 個重要開源專案的 125 位維護者，取得了顯著成果：
  • 修復了 1,100 多個由 CodeQL 檢測到的漏洞。
  • 發布了 50 多個新的常見漏洞與暴露（CVE），保護下游依賴項。
  • 阻止了 92 個新機密洩漏，並檢測和解決了 176 個已洩漏的機密。
  • 80% 的專案啟用了三個或更多基於 GitHub 的安全功能，63% 的專案表示對 AI 和 MCP 安全有更好理解。
  • 維護者利用 GitHub Copilot 進行漏洞掃描、安全審計、定義和實施模糊測試策略等。
• 專案涵蓋了 AI/ML 框架（如 Ollama, AutoGPT）、前端/全端框架（如 Next.js, shadcn/ui）、Web 伺服器/網路/閘道（如 Node.js）、DevOps/建置工具（如 Turborepo）、安全框架/身份/合規工具（如 Log4j）、以及開發者工具/CLI 助手（如 Charset-Normalizer, nvm, JUnit）等多個關鍵領域。
• 該計劃的成功關鍵在於：資金支援結合時間限制的專注訓練、互動式編碼經驗以及建立一個以安全為重點的社群，促進了維護者之間的快速交流與協作。

🔒 每個人都是「雪花」：為真實世界設計強化映像檔流程​

Source: https://www.docker.com/blog/hardened-image-best-practices/

• 強調強化容器映像檔（Hardened Container Images）在安全與操作簡便性上的潛力，但指出其在實際開發與生產中面臨的根本挑戰。
• 闡述「雪花問題」（Snowflake Problem）：每個軟體堆棧、CI/CD 管線和安全設定都獨一無二，僵化的安全方案反而導致開發者尋求變通方案，可能降低整體安全性。
• 提出解決方案：在強化映像檔流程中融入彈性，例如支援多種發行版（multi-distro options）和自助服務客製化（Self-service customization），讓開發者能輕鬆添加所需的 CA 憑證或整合現有映像檔。
• 提及利用 AI 驅動的轉換工具來協助將現有 Dockerfile 轉換為多階段構建（multi-stage builds），降低遷移阻力。
• 強調社群信任的重要性：與開源專案維護者建立緊密關係，確保強化映像檔的設計能納入專案見解與經驗。
• 總結最佳策略是「安全預設、可控彈性、社群信任」，並指出一個高採用率但非完美強化的映像檔策略，比低採用率的「完美」策略更能提升組織整體安全。

這份摘要聚焦於最新的雲端與人工智能技術趨勢，尤其是 Docker 在代理應用、AWS 的結合應用、以及數據分析、安全規範等方面的創新與實務案例。內容涵蓋從代理應用開發生態、雲端事故調查整合、到資料分析在醫療領域的實務挑戰，提供完整的技術洞見與實務流程。

Docker 推動代理應用的未來 🚀​

Source: https://www.docker.com/blog/wearedevelopers-docker-unveils-the-future-of-agentic-apps/

• Docker在WeAreDevelopers會議展示支持代理應用的工具進展，代理應用定義為利用LLMs來構建以目標為導向，具備訪問工具、資料和系統的應用。
• 代理應用的棧中，Docker支持模型下載執行、容器化的工具伺服器，以及用compose.yaml整合模型、工具及自定義代碼。
• 以範例compose文件整合模型、MCP Gateway與應用，支持多框架（如ADK、CrewAI）並支持雲端部署（Google Cloud Run、Azure）。
• Docker推出Compose for agents、支援Google原生Cloud Run部署、Docker Offload（雲端GPU資源調度）來降低模型部署門檻。
• 大型Workshop及Lightning Talks促進社群交流與實務應用，並宣布2026年的WeAreDevelopers北美盛會。

重點： 代理應用將成為AI應用新生態的核心，Docker提供全方位工具支持開發到部署，並強調雲端資源整合。

IntelliJ IDEA 2025.2 Beta 發布與新溝通策略 🚀​

Source: https://blog.jetbrains.com/idea/2025/07/intellij-idea-2025-2-beta/

• IntelliJ IDEA 2025.2 Beta 現已推出，結束早期測試計劃（EAP），並採用新溝通方式，將更新分為「What's New」與「What's Fixed」兩部分。
• 「What's New」專注於最重要的功能更新，例如支援 Java 25、Maven 4、Spring 改進、AI 支援，讓信息更集中。
• 「What's Fixed」則專注於品質提升，包括Spring + Kotlin 改進、遠端開發、性能優化等。
• 會舉辦專屬直播介紹新特徵，並鼓勵用戶試用Beta版本並提供反饋。
• Overall: IntelJ IDEA 2025.2 採用新的發布資訊策略，專注用戶體驗與產品透明化。

利用 GitHub Copilot 助力開發流程整理與優化 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/from-chaos-to-clarity-using-github-copilot-agents-to-improve-developer-workflows/

• 介紹如何透過 GitHub Copilot coding agent，將零散且潛在鬆散的專案結構改造為高度組織且易於維護的系統
• 重點流程包括：優化自訂指令、建立 setup 檔案、辨識技術債務
• 利用 Copilot 與 pull request 協作，加快專案改善
• 以範例改進驗證檔案，全面提升專案品質、文件化與測試覆蓋
• 最終實踐包括在不同專案中進行前後比對，證明 AI 助攻大幅提升效率