4 篇文章 含有標籤「Microservices」

🚀 提升程式碼審查與 Pull Request 效率：GitHub Copilot 的應用​

Source: https://github.blog/ai-and-ml/github-copilot/how-to-use-github-copilot-to-level-up-your-code-reviews-and-pull-requests/

• GitHub Copilot 的功能已從最初的程式碼補全，擴展到 Pull Request (PR) 和程式碼審查等多方面應用，有效提升開發工作流程效率。
• 在程式碼審查中，可利用 Copilot 建議程式碼改進或確認是否符合最佳實踐，例如重構重複的 Ruby on Rails 程式碼或檢查 Go 語言變數賦值的最佳實踐。

  "Can you refactor this Ruby on Rails code to reduce repetition?"
  

  "Is this code addition following Go best practices for variable assignment? If not, can you suggest improvements?"
  

• Copilot 能夠協助將原始資料（如試算表中的載入時間數據）格式化為 GitHub 風格的 Markdown 表格，使 PR 說明更加清晰易讀。

  Load Time Before (in seconds)   Load Time After Updates (in seconds)
  1.3 1.2
  1.2 1.1
  1.1 0.885
  1.3 1.3
  1.2 0.918
  
  Average 1.22    1.0806
  

  Copilot 輸出範例：

  | Test Run | Load Time Before (seconds) | Load Time After Updates (seconds) |
  |----------|---------------------------|-----------------------------------|
  | 1        | 1.3                       | 1.2                               |
  | 2        | 1.2                       | 1.1                               |
  | 3        | 1.1                       | 0.885                             |
  | 4        | 1.3                       | 1.3                               |
  | 5        | 1.2                       | 0.918                             |
  | **Average** | **1.22**                  | **1.0806**                         |
  

• Copilot 可為 Pull Request 摘要提供撰寫起點，即使需要編輯，也能有效降低撰寫門檻。
• 開發者可利用 Copilot 進行初步的程式碼審查，找出潛在問題或提供更好的撰寫方式；同時也能請求 Copilot 解釋不熟悉的程式碼，加速理解並提供更周全的審查意見。

以 AI 為助手的 UI Debugging 工具 🚀​

Source: https://github.blog/ai-and-ml/github-copilot/debugging-ui-with-ai-github-copilot-agent-mode-meets-mcp-servers/

• 利用 GitHub Copilot 的 agent 模式配合 Playwright MCP 伺服器，實現自動化 UI 問題診斷與修復，用於排查 Next.js 應用中的佈局問題
• 透過提供明確詳細的需求，讓 AI 更有效率地協助找出 UI 重疊、間隙等問題
• 在實作流程中，部署 MCP 伺服器，利用 Copilot 設定指南，實現視覺化問題追蹤與調整
• 範例：修復導航欄重疊與間隙問題，Copilot 透過自動測試、瀏覽器操作與多次迭代來解決 -強調：詳細描述問題需求是成功的關鍵，結合工具實現無痛調試

AI在程式碼審查中的角色：開發者永遠擁有合併按鈕 🛠️​

Source: GitHub Blog
重點總結：

• GitHub自2008年推出PR機制，結合社交流程（評論、批准與合併按鈕），將程式碼貢獻的責任硬性規定給開發者。
• 雖然大型語言模型(LLM)可以協助生成PR、回覆評論，但最終「合併」責任仍由人類開發者承擔。
• AI Review只能處理瑣碎事項（如未用到的import、缺少測試）且不能判斷設計是否符合產品需求或安全策略。
• GitHub Copilot的AI審查功能已正式推出，可以在IDE中預先自動檢測問題，減少人為瑣碎工作，讓開發者專注在重要決策上。
• AI目前能擅長「机械掃描」和「模式匹配」等重複性任務，但在架構、價值觀判斷和指導性教學上仍需人類干預。

我的看法：
AI的角色更多是擴充而非取代開發者的判斷力，能協助提升效率卻不會取代人類對於架構與價值的專屬決策。

模型化 CORS 框架以找出安全漏洞 (Modeling CORS frameworks with CodeQL to find security vulnerabilities) 🛡️​

Source: https://github.blog/security/application-security/modeling-cors-frameworks-with-codeql-to-find-security-vulnerabilities/

內容要點：

• CORS設定不當會導致安全漏洞，如允許任意網站存取危險端點，甚至可造成身份驗證被繞過。
• 使用CodeQL可以模型化Web框架中的header設置，監測潛在的配置錯誤，像是示範範例中 w.Header().Set("Access-Control-Allow-Origin", "*")，會允許任何來源存取。
• 對於反射來源（r.Header.Get("Origin")）搭配 Access-Control-Allow-Credentials為true的設置則更加危險，可能被攻擊網站利用。
• Model中會定義類別如 AllowCredentialsHeaderWrite 來匹配特定header write行為，並建立規則查詢包含非安全的 Allow-Origin 和 Allow-Credentials設置。
• 建模Web框架（例如Gin、Django等）的CORS middleware，模擬其設置結構和方法，以便在CodeQL中自動偵測潛在風險。
• 建立針對兩類CORS漏洞的專屬查詢（無認證跨域與有認證跨域），利用模型追蹤Header設定和配置變數的變更狀況，協助辨識錯誤配置。
• 案例中說明，簡單將headers設在HTTP回應中，容易被偵測，但若並未檢查Origin或Credentials的設定，則可能存在嚴重漏洞。

我的看法：

• 模型化Web框架header設置是一個強大且彈性高的安全分析方法，可用於自訂多種框架。
• 使用CodeQL能有效識別錯誤配置，降低CORS安全問題，值得開發者在安全審查中加入此技術。

Tags: [CORS, StaticAnalysis, CodeQL, WebSecurity, WebFrameworks]