5 篇文章 含有標籤「Containerization」

🔗 為何 GitHub 開源 MCP 伺服器，以及這對您的意義​

Source: https://github.blog/open-source/maintainers/why-we-open-sourced-our-mcp-server-and-what-it-means-for-you/

• 當 LLMs（大型語言模型）缺乏外部工具和數據源的連接能力時，容易產生幻覺（hallucinations），給出看似合理但錯誤的答案。
• Model Context Protocol (MCP) 是一個開放協議，旨在標準化 LLM 應用程式如何連接並使用外部工具和數據源，其角色類似於程式語言伺服器協議 (LSP) 之於程式語言，可以視為「LLM 的 LSP」。
• GitHub 已開源其 MCP 伺服器，作為 GitHub 平台與任何 LLM 之間的「真相來源」介面，有助於減少幻覺並啟用新的自動化工作流程。
• GitHub 的 MCP 伺服器允許使用者以自然語言發出請求（例如「列出所有開放的議題」），這些請求會被自動轉換為結構化、語義豐富的 API 調用，從而獲取 GitHub 上的即時數據。
• 該架構概念上簡單但功能強大，將語言模型、用戶體驗和數據/工具訪問分離，使每一層都模組化、可測試和可替換。
• 要在 VS Code 中使用 GitHub MCP 伺服器，需添加以下設定並完成 OAuth 流程：

  {
    "servers": {
      "github": {
        "type": "http",
        "url": "https://api.githubcopilot.com/mcp/"
      }
    }
  }
  

• 實際應用案例包括：將 GitHub Issues 自動轉換為 Markdown 內容文件、編譯每週團隊摘要的輕量級機器人、基於聊天的專案助手，以及個人化的 LLM 儀表板，這些都證明了 MCP 伺服器透過提供真實、結構化的上下文，使 AI 工具更智能和安全。

加速 Docker 強化映像的 FedRAMP 合規性 🚀​

Source: https://www.docker.com/blog/fedramp-compliance-with-hardened-images/

• FedRAMP 合規挑戰： 聯邦風險與授權管理計畫 (FedRAMP) 合規成本高昂（45 萬至 200 萬美元以上），且需耗時 12 至 18 個月，這期間競爭對手可能已搶佔政府合約。企業需面對 NIST SP 800-53 中超過 400 項嚴格的安全控制要求。
• Docker 強化映像 (DHI) 解決方案： Docker 硬化映像提供自動化、可稽核的安全解決方案，旨在加速 FedRAMP 合規流程並降低維護成本。DHI 是一系列精簡的映像，持續更新以確保幾乎沒有已知的 CVE。
• FIPS 140 合規性： DHI 支援 FIPS 140 驗證的密碼學模組，預配置並經過測試，可確保正確功能。每個 FIPS 合規映像都附有簽名的證明，列出使用的 FIPS 驗證軟體及其 CMVP 認證和測試結果連結，支援 OpenSSL、Bouncy Castle 和 Go 等主要開源密碼學模組。
• STIG 強化映像： Docker 根據國防信息系統局 (DISA) 發布的通用作業系統 (GPOS) SRG，創建了客製化的容器 STIG。STIG 強化映像在安全建構過程中會使用 OpenSCAP 進行掃描，結果會作為簽名證明提供，其中包含易於查看的 STIG 合規分數，並支援輸出為 HTML 和 XCCDF 格式，便於稽核。
• 持續合規性：
  • 漏洞減少： DHI 起始攻擊面減少高達 95%（按包數量計算），持續更新以確保幾乎沒有已知 CVE，並掃描病毒和機密。
  • 漏洞檢測與修復： Docker 持續監控 CVE 來源，DHI 對嚴重/高風險漏洞的修復 SLA 為 7 天，中/低風險為 30 天，幫助滿足 FedRAMP 修復時限。提供 VEX (Vulnerability Exploitability eXchange) 證明來過濾不適用漏洞。
  • 供應鏈透明度： DHI 使用 SLSA Build Level 3 安全建構管道，確保建構可驗證性與防篡改。提供簽名證明和多種 SBOM 格式。
  • 稽核證據： DHI 證明符合 in-toto 證明標準，作為 provenance、資產管理、漏洞掃描及 FIPS 合規性的安全證據。

🔒 每個人都是「雪花」：為真實世界設計強化映像檔流程​

Source: https://www.docker.com/blog/hardened-image-best-practices/

• 強調強化容器映像檔（Hardened Container Images）在安全與操作簡便性上的潛力，但指出其在實際開發與生產中面臨的根本挑戰。
• 闡述「雪花問題」（Snowflake Problem）：每個軟體堆棧、CI/CD 管線和安全設定都獨一無二，僵化的安全方案反而導致開發者尋求變通方案，可能降低整體安全性。
• 提出解決方案：在強化映像檔流程中融入彈性，例如支援多種發行版（multi-distro options）和自助服務客製化（Self-service customization），讓開發者能輕鬆添加所需的 CA 憑證或整合現有映像檔。
• 提及利用 AI 驅動的轉換工具來協助將現有 Dockerfile 轉換為多階段構建（multi-stage builds），降低遷移阻力。
• 強調社群信任的重要性：與開源專案維護者建立緊密關係，確保強化映像檔的設計能納入專案見解與經驗。
• 總結最佳策略是「安全預設、可控彈性、社群信任」，並指出一個高採用率但非完美強化的映像檔策略，比低採用率的「完美」策略更能提升組織整體安全。

使用 GitHub Models 在 Actions 中自動化您的專案 🚀​

Source: https://github.blog/ai-and-ml/generative-ai/automate-your-project-with-github-models-in-actions/

• GitHub Models 將 AI 整合到 GitHub Actions 工作流程中，實現專案內的自動化分類、摘要等功能。
• 權限設置： 使用 GitHub Models 前需在 permissions 區塊中加入 models: read，並建議遵循最小權限原則，以降低提示詞注入攻擊 (prompt injection) 風險。

  permissions:
    contents: read
    issues: write
    models: read
  

• 範例一：在 Bug 報告中請求更多資訊
  • 透過 actions/ai-inference@v1 動作分析 Issue 內容，判斷錯誤報告是否包含足夠的重現資訊（例如：重現步驟、預期行為、實際行為、環境細節）。
  • 若資訊不足，AI 會自動回覆提示作者補齊。此機制利用 AI 模型的回傳值（pass 或詳細說明）建立工作流程中的條件邏輯。

  - name: Analyze Issue For Reproduction
    if: contains(join(github.event.issue.labels.*.name, ','), 'bug')
    id: analyze-issue
    uses: actions/ai-inference@v1
    with:
      model: mistral-ai/ministral-3b
      system-prompt: |
        Given a bug report title and text for an application, return 'pass' if there is enough information to reliably reproduce the issue, meaning the report clearly describes the steps to reproduce the problem, specifies the expected and actual behavior, and includes environment details such as browser and operating system; if any of these elements are missing or unclear, return a brief description of what is missing in a friendly response to the author instead of 'pass'. Consider the following title and body:
      prompt: |
        Title: ${{ steps.issue.outputs.title }}
        Body: ${{ steps.issue.outputs.body }}
  

• 範例二：從合併的 Pull Request 建立發布說明
  • 透過 gh CLI 搭配 gh-models 擴充功能，在 Pull Request 合併時自動摘要其標題、內容、評論及審閱，並將摘要內容追加到指定的發布說明 Issue 中。

  cat pr.json | gh models run xai/grok-3-mini \
    "Given the following pull request information, generate a single, clear, and concise one-line changelog entry that summarizes the main change (feature, fix, or bug) introduced by this PR. Use neutral, user-facing language and avoid technical jargon or internal references. Only write the line, with no additional introduction or explanation text." > summary.md
  

• 範例三：摘要並優先處理 Issue
  • 設定定期排程工作流程 (例如每週一早上 9 點)，使用 gh CLI 抓取過去一週新開啟的 Issue，並將其傳遞給 AI 模型進行摘要、歸納主題及優先級排序，最終創建一個新的 Issue 來呈現週報摘要。
  • 此範例使用獨立的 .prompt.yml 提示文件，提供更複雜的提示邏輯。

GitHub Copilot Spaces：將正確的背景資訊帶入每個建議 💡​

Source: https://github.blog/ai-and-ml/github-copilot/github-copilot-spaces-bring-the-right-context-to-every-suggestion/