6 篇文章 含有標籤「Cybersecurity」

🚀 初級開發者並未過時：如何在 AI 時代蓬勃發展​

Source: https://github.blog/ai-and-ml/generative-ai/junior-developers-arent-obsolete-heres-how-to-thrive-in-the-age-of-ai/

• 人工智慧並不會讓初級開發者過時；相反地，新進學習者因具備 AI 工具的應用能力，反而處於有利位置。
• GitHub 執行長 Thomas Dohmke 強調，熟悉 AI 程式碼生成工具的新人才，能帶來更好的想法。
• 提供初級開發者在 AI 時代脫穎而出的五種方法：
  1. 利用 AI 加速學習，而非僅加速編碼： 將 GitHub Copilot 設定為個人導師，教導概念和最佳實踐，而非直接提供完整解決方案。可以透過 VS Code 命令面板運行 Chat: New Instructions File 並貼上以下指令：

     ---
     applyTo: "**"
     ---
     I am learning to code. You are to act as a tutor; assume I am a beginning coder. Teach me concepts and best practices, but don’t provide full solutions. Help me understand the approach, and always add: "Always check the correctness of AI-generated responses."
     

     此外，練習在不使用自動完成功能的情況下解決問題（可透過在專案根目錄 .vscode/settings.json 中設定 {"github.copilot.enable": {"*": false}} 來禁用）。
  2. 建立公開專案以展示技能（和 AI 熟練度）： 利用 GitHub Copilot Chat 的 /new 指令來啟動新專案，並使用以下 Git 命令將其發布：

     git init && git add . && git commit -m "Initial commit" && git push
     

  3. 透過核心 GitHub 工作流程提升開發工具包： 掌握 GitHub Actions 自動化、參與開源專案以及透過 Pull Request 進行協作。Copilot Chat 可協助排除故障。
  4. 透過程式碼審查磨練專業知識： 積極提問、尋找模式、做筆記並保持謙遜。
  5. 運用 AI 更智慧、更快速地除錯： 使用 Copilot Chat 指令如 /fix、/tests、/explain 和 /doc 來即時解釋錯誤、生成修復方案、創建測試案例和理解根本原因。

如何使用 GitHub MCP 伺服器實用指南 🚀​

Source: https://github.blog/ai-and-ml/generative-ai/a-practical-guide-on-how-to-use-the-github-mcp-server/

• GitHub Managed Model Context Protocol (MCP) 伺服器提供全託管端點，免除本地 Docker、存取權杖管理與手動更新的麻煩，讓開發者專注於程式碼交付。
• 從本地 MCP 設定升級至 GitHub 託管端點，可獲得 OAuth 身份驗證、自動更新，並存取更豐富的 AI 工作流程工具組。
• 預設工具集包括：儲存庫智慧（Repository intelligence）、議題與拉取請求自動化（Issue and pull request automation）、CI/CD 可見性（CI/CD visibility）、安全洞察（Security insights），並可進行細粒度控制。
• 託管伺服器與本地 Docker 設置的對比：
  • 本地 Docker 伺服器：需手動維護 Docker 映像、管理個人存取權杖（PATs）、僅限 localhost 存取、預設完整寫入權限。
  • 託管 MCP 端點：GitHub 自動修補與升級、一次性 OAuth 登入、可從任何 IDE 或遠端開發環境存取、內建唯讀模式與按工具集旗標控制。
• 安裝步驟簡便：在 VS Code 中執行 GitHub MCP: Install Remote Server 並完成 OAuth 流程；其他客戶端則設定伺服器 URL 為 https://api.githubcopilot.com/mcp/。可透過 curl -I https://api.githubcopilot.com/mcp/healthz 驗證連接。
• 彈性配置存取控制：
  • 設定唯讀模式以安全探索，例如：

    {
      "servers": {
        "github": {
          "type": "http",
          "url": "https://api.githubcopilot.com/mcp/",
          "mode": "read-only"
        }
      }
    }
    

  • 透過 toolsets 陣列限制作用範圍，例如：

    "toolsets": ["context", "issues", "pull_requests"]
    

• 實際應用範例：
  • 新增 CODEOWNERS 檔案並開啟拉取請求：提示 Copilot Agent 即可自動創建檔案、開啟 PR 並指派審閱者。
  • 偵錯失敗的工作流程：提示 Why did the release.yml job fail last night? 即可分析日誌並建議修復。
  • 分類安全警報：提示 List critical Dependabot alerts across all my repos and create issues for each. 即可列出警報並創建對應議題。
• 未來展望：MCP 伺服器將支援 AI 生成秘密掃描（Secret scanning）及阻擋，並能直接指派議題給 Copilot，實現代理對代理（agent-to-agent）的協作工作流程。

GitHub 全新開源播客：從初次提交到大型專案 🎧​

Source: https://github.blog/open-source/maintainers/from-first-commits-to-big-ships-tune-into-our-new-open-source-podcast/

• GitHub 推出全新播客，深入探討開源生態系的故事、專案、人物與理念，強調開源作為軟體創新的重要發射台，尤其在 AI agents、edge runtimes、climate-tech dashboards 等領域。
• 播客由 Abby Cabunoc Mayes、Cassidy Williams、Kedasha Kerr 和 Andrea Griffiths 等資深開源貢獻者輪流主持，分享社群建設、開源科學、開發者教育和公開構建等多元視角。
• 首集介紹主持人如何參與開源，並探討在內容飽和的世界中創建初學者內容的重要性。
• 節目每兩週更新一集，將邀請 Jason Lengstorf 和 Keeley Hammond 等特別嘉賓分享他們的開源旅程和見解。
• 亮點開源專案預覽：
  • Anime.JS: 視覺效果出眾的 JavaScript 動畫函式庫。
  • Docs: 法國和德國政府合作開發的開源文件協作編輯器。
  • CSS Zero: 簡化網頁開發的無構建前端入門套件。
• 後續主題將深入探討 Model Context Protocol (MCP) 如何提升 AI 工具的透明度和互操作性。

本次內容涵蓋兩大主題：Git 項目的安全漏洞公告與 Docker Hub 新推出的 MCP 伺服器，兩者皆反映出在軟體開發與容器管理領域安全與智能化的新趨勢。以下將分別做詳細介紹。🔐🚀

CVE-2025-53367: 內容漏洞解釋與修復資訊 🔐​

來源: GitHub Security Blog

內容重點：

• DjVuLibre 3.5.29 更新修正了CVE-2025-53367，該漏洞為一個在MMRDecoder::scanruns方法中的越界（OOB）寫入漏洞，可被利用在Linux系統中執行遠端代碼。
• 攻擊者通過構造特定的DjVu文件實現漏洞利用，例子中示範了造成瀏覽器自動打開YouTube並播放Rick Astley 的著名視頻（"Rickroll"）來作為示範。
• 利用PoC在Ubuntu 25.04（x86_64）環境中成功，雖有不穩定性，但未來有望研發更穩定的攻擊方法。
• 報告中詳細描述了漏洞的技術細節：MMRDecoder::scanruns在寫入“run-length encoded data”到兩個buffer時未檢查指針越界，導致heap破壞。

我的看法：
此漏洞顯示在處理圖像格式的解碼過程中，安全檢查的重要性。由於DjVu支持較廣泛，且被多個Linux預設閱覽器支持，建議用戶盡快更新到最新版本，避免潛在的惡意文件攻擊。🔧

GitHub Advisory Database: 掌握安全漏洞的趨勢與對策 🔒​

來源： https://github.blog/security/github-advisory-database-by-the-numbers-known-security-vulnerabilities-and-what-you-can-do-about-them/

內容摘要：
GitHub 的安全公告資料庫（Advisory DB）是開源專案安全監控的重要資源，收錄已知漏洞與惡意軟體資訊。2024 年，該資料庫經歷多項成長，包括審查數量、涵蓋生態系、來源擴充，且提供多種數據協助開發者進行漏洞優先修復。資料庫分類為：GitHub 審查、未審查、惡意軟體，範圍涵蓋 Python、Java、Node.js 等多個生態圈，並來自 NVD、GitHub、社群等多源，並且支持 CVE 編號與漏洞優先等級的實用數據。