6 篇文章 含有標籤「Microservices」

🚀 GitHub Copilot AI 模型進化與多模型架構​

Source: https://github.blog/ai-and-ml/github-copilot/under-the-hood-exploring-the-ai-models-powering-github-copilot/

• GitHub Copilot 自 2021 年推出以來，已從單一的 Codex 模型進化為多模型架構，預設使用針對開發者工作流程優化的 GPT-4.1。
• 為了應對快速變化的 AI 環境，Copilot 採用多模型架構，讓開發者能根據任務需求選擇不同的 LLM，提供更高的靈活性。
• 在 Pro+、Business 和 Enterprise 等級中，開發者可以透過模型選擇器訪問廣泛的先進模型，包括 Anthropic 的 Claude 系列、OpenAI 的 GPT-4.1、GPT-5 (預覽) 及 Google 的 Gemini 2.0 Flash、Gemini 2.5 Pro 等。
• Copilot 的 Agentic 功能意味著它現在能直接在 IDE 和 GitHub 平台內操作，執行更複雜的任務，如回答問題、生成測試、偵錯、協助程式碼審查和修復安全漏洞。
• 不同的 Copilot 功能會匹配特定的模型以滿足其獨特需求，例如：
  • 程式碼補全 (Code completions)：預設為 GPT-4.1，針對速度、準確性和相關性進行優化。
  • Agent 模式 (Agent mode)：預設為 GPT-4.1，但可選擇其他先進模型來處理多步驟複雜任務。
  • Copilot Chat：預設為 GPT-4.1，並可選擇 Claude 或 Gemini 等模型進行自然語言查詢。
  • Coding agent (新)：將 Copilot 轉變為可委派任務的助手，處理問題分類、生成 Pull Request、修補漏洞等。
  • 程式碼審查 (Code review (新))：由 GPT-4.1 提供支援，並可選擇 Claude 等模型進行深度推理。
• 最近的升級將 Copilot Chat、程式碼補全和 Pull Request 摘要都整合到 GPT-4.1，帶來約 40% 更快的響應速度和更大的上下文視窗。

Agents panel: Launch Copilot coding agent tasks anywhere on GitHub 🚀​

Source: https://github.blog/news-insights/product-news/agents-panel-launch-copilot-coding-agent-tasks-anywhere-on-github/

• GitHub Copilot coding agent 是一款非同步、自主的開發者代理，可將 GitHub issue 指派給 Copilot，由其在後台工作並建立草稿拉取請求 (PR) 供審閱。
• 新推出的 Agents panel 允許開發者從 GitHub.com 上的任何頁面快速將任務委託給 Copilot，並追蹤其進度而無需中斷工作流程。
• Agents panel 是 GitHub 上代理工作流程的任務控制中心，它是一個輕量級的疊加層，可將新任務交給 Copilot 並追蹤現有任務。
• 可用的功能包括：無需切換頁面即可分配後台任務、實時監控運行中的任務、以及在準備好審閱時跳轉到拉取請求。
• 支援從 GitHub.com、GitHub Mobile、Copilot Chat、VS Code 或支援 MCP 的工具發起任務。
• Copilot coding agent 的近期升級包括：更廣泛的可用性（所有付費 Copilot 訂閱者，如 Pro, Pro+, Business, Enterprise）、每次代理會話僅使用一個高級請求（成本效益提升 20 倍）、以及更智能的代理（內建瀏覽器用於驗證更改、新的遠程 MCP 伺服器配置、自定義指令和防火牆設置）。
• 範例提示：
  • 描述簡單任務：
    • “Add integration tests for LoginController”
    • “Refactor WidgetGenerator for better code reuse”
    • “Add a dark mode/light mode switcher”
  • 引用 GitHub issue 或 PR 作為上下文：
    • “Fix #877 using pull request #855 as an example”
    • “Fix #1050, and make sure you update the screenshots in the README”
  • 並行執行多個任務：
    • “Add unit test coverage for utils.go” + “Add unit test coverage for helpers.go”

🚀 提升程式碼審查與 Pull Request 效率：GitHub Copilot 的應用​

Source: https://github.blog/ai-and-ml/github-copilot/how-to-use-github-copilot-to-level-up-your-code-reviews-and-pull-requests/

• GitHub Copilot 的功能已從最初的程式碼補全，擴展到 Pull Request (PR) 和程式碼審查等多方面應用，有效提升開發工作流程效率。
• 在程式碼審查中，可利用 Copilot 建議程式碼改進或確認是否符合最佳實踐，例如重構重複的 Ruby on Rails 程式碼或檢查 Go 語言變數賦值的最佳實踐。

  "Can you refactor this Ruby on Rails code to reduce repetition?"
  

  "Is this code addition following Go best practices for variable assignment? If not, can you suggest improvements?"
  

• Copilot 能夠協助將原始資料（如試算表中的載入時間數據）格式化為 GitHub 風格的 Markdown 表格，使 PR 說明更加清晰易讀。

  Load Time Before (in seconds)   Load Time After Updates (in seconds)
  1.3 1.2
  1.2 1.1
  1.1 0.885
  1.3 1.3
  1.2 0.918
  
  Average 1.22    1.0806
  

  Copilot 輸出範例：

  | Test Run | Load Time Before (seconds) | Load Time After Updates (seconds) |
  |----------|---------------------------|-----------------------------------|
  | 1        | 1.3                       | 1.2                               |
  | 2        | 1.2                       | 1.1                               |
  | 3        | 1.1                       | 0.885                             |
  | 4        | 1.3                       | 1.3                               |
  | 5        | 1.2                       | 0.918                             |
  | **Average** | **1.22**                  | **1.0806**                         |
  

• Copilot 可為 Pull Request 摘要提供撰寫起點，即使需要編輯，也能有效降低撰寫門檻。
• 開發者可利用 Copilot 進行初步的程式碼審查，找出潛在問題或提供更好的撰寫方式；同時也能請求 Copilot 解釋不熟悉的程式碼，加速理解並提供更周全的審查意見。

以 AI 為助手的 UI Debugging 工具 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/debugging-ui-with-ai-github-copilot-agent-mode-meets-mcp-servers/

• 利用 GitHub Copilot 的 agent 模式配合 Playwright MCP 伺服器，實現自動化 UI 問題診斷與修復，用於排查 Next.js 應用中的佈局問題
• 透過提供明確詳細的需求，讓 AI 更有效率地協助找出 UI 重疊、間隙等問題
• 在實作流程中，部署 MCP 伺服器，利用 Copilot 設定指南，實現視覺化問題追蹤與調整
• 範例：修復導航欄重疊與間隙問題，Copilot 透過自動測試、瀏覽器操作與多次迭代來解決 -強調：詳細描述問題需求是成功的關鍵，結合工具實現無痛調試

AI在程式碼審查中的角色：開發者永遠擁有合併按鈕 🛠️​

Source: GitHub Blog
重點總結：

• GitHub自2008年推出PR機制，結合社交流程（評論、批准與合併按鈕），將程式碼貢獻的責任硬性規定給開發者。
• 雖然大型語言模型(LLM)可以協助生成PR、回覆評論，但最終「合併」責任仍由人類開發者承擔。
• AI Review只能處理瑣碎事項（如未用到的import、缺少測試）且不能判斷設計是否符合產品需求或安全策略。
• GitHub Copilot的AI審查功能已正式推出，可以在IDE中預先自動檢測問題，減少人為瑣碎工作，讓開發者專注在重要決策上。
• AI目前能擅長「机械掃描」和「模式匹配」等重複性任務，但在架構、價值觀判斷和指導性教學上仍需人類干預。

我的看法：
AI的角色更多是擴充而非取代開發者的判斷力，能協助提升效率卻不會取代人類對於架構與價值的專屬決策。

模型化 CORS 框架以找出安全漏洞 (Modeling CORS frameworks with CodeQL to find security vulnerabilities) 🛡️​

Source: https://github.blog/security/application-security/modeling-cors-frameworks-with-codeql-to-find-security-vulnerabilities/

內容要點：

• CORS設定不當會導致安全漏洞，如允許任意網站存取危險端點，甚至可造成身份驗證被繞過。
• 使用CodeQL可以模型化Web框架中的header設置，監測潛在的配置錯誤，像是示範範例中 w.Header().Set("Access-Control-Allow-Origin", "*")，會允許任何來源存取。
• 對於反射來源（r.Header.Get("Origin")）搭配 Access-Control-Allow-Credentials為true的設置則更加危險，可能被攻擊網站利用。
• Model中會定義類別如 AllowCredentialsHeaderWrite 來匹配特定header write行為，並建立規則查詢包含非安全的 Allow-Origin 和 Allow-Credentials設置。
• 建模Web框架（例如Gin、Django等）的CORS middleware，模擬其設置結構和方法，以便在CodeQL中自動偵測潛在風險。
• 建立針對兩類CORS漏洞的專屬查詢（無認證跨域與有認證跨域），利用模型追蹤Header設定和配置變數的變更狀況，協助辨識錯誤配置。
• 案例中說明，簡單將headers設在HTTP回應中，容易被偵測，但若並未檢查Origin或Credentials的設定，則可能存在嚴重漏洞。

我的看法：

• 模型化Web框架header設置是一個強大且彈性高的安全分析方法，可用於自訂多種框架。
• 使用CodeQL能有效識別錯誤配置，降低CORS安全問題，值得開發者在安全審查中加入此技術。

Tags: [CORS, StaticAnalysis, CodeQL, WebSecurity, WebFrameworks]