7 篇文章 含有標籤「OpenSource」

🚨 GitHub 2025 年 7 月可用性報告​

Source: https://github.blog/news-insights/company-news/github-availability-report-july-2025/

• GitHub 於 2025 年 7 月 28 日經歷了一次服務降級事件，導致 GitHub Enterprise Importer (GEI) 在約 5 小時 34 分鐘內無法處理遷移作業。
• 事件根源在於 GEI 基礎設施的一個組件在例行內部改進過程中被錯誤地移除服務，且無法恢復到先前的配置，需重新佈建資源解決。
• 為了解決此問題，GitHub 已識別並實施了基礎設施恢復、單元測試以及使用測試數據進行更好驗證的改進。
• 受影響的用戶需更新其 IP 允許清單，新增 GEI 的新 IP 範圍 20.99.172.64/28 和 135.234.59.224/28，並移除不再使用的舊 IP 範圍 40.71.233.224/28 和 20.125.12.8/29。

🌐 從私有到公開：聯合國組織如何分四步開源其技術​

Source: https://github.blog/open-source/social-impact/from-private-to-public-how-a-united-nations-organization-open-sourced-its-tech-in-four-steps/

• 聯合國專門機構國際電信聯盟電信發展局 (BDT) 透過 GitHub 技能志願項目，成功將其閉源的 Azure DevOps 環境轉型為開放源碼社群，以賦能全球合作夥伴。
• 對於聯合國組織和非營利組織，開源能有效應對預算有限和團隊規模小的挑戰，大幅擴大其影響力。
• 開源轉型分為四個關鍵步驟：
  1. 進行研究： 分析喜歡和不喜歡的開源儲存庫，學習其 README、貢獻指南和社群運作方式，參考 Ersilia 和 Terraform 等活躍社群範例。
  2. 優化開源心態與程式碼： 清理敏感信息、提供範例數據，並創建清晰的「入門指南」(Getting Started) 和 CONTRIBUTING.md 文件，確保有自動化測試以維持程式碼品質。
  3. 釐清授權方式： 使用 choosealicense.com 等資源選擇合適的開源許可證（如 ITU 選擇了 BSD-2 許可證），並確保與專案依賴項的兼容性。
  4. 與開源社群互動： 將專案中的「小問題」標記為 good first issue，吸引新貢獻者快速上手並熟悉程式碼庫。
• BDT 與 GitHub 的合作不僅提升了其開源專業知識，也為其開源未來奠定了堅實基礎。

🔗 為何 GitHub 開源 MCP 伺服器，以及這對您的意義​

Source: https://github.blog/open-source/maintainers/why-we-open-sourced-our-mcp-server-and-what-it-means-for-you/

• 當 LLMs（大型語言模型）缺乏外部工具和數據源的連接能力時，容易產生幻覺（hallucinations），給出看似合理但錯誤的答案。
• Model Context Protocol (MCP) 是一個開放協議，旨在標準化 LLM 應用程式如何連接並使用外部工具和數據源，其角色類似於程式語言伺服器協議 (LSP) 之於程式語言，可以視為「LLM 的 LSP」。
• GitHub 已開源其 MCP 伺服器，作為 GitHub 平台與任何 LLM 之間的「真相來源」介面，有助於減少幻覺並啟用新的自動化工作流程。
• GitHub 的 MCP 伺服器允許使用者以自然語言發出請求（例如「列出所有開放的議題」），這些請求會被自動轉換為結構化、語義豐富的 API 調用，從而獲取 GitHub 上的即時數據。
• 該架構概念上簡單但功能強大，將語言模型、用戶體驗和數據/工具訪問分離，使每一層都模組化、可測試和可替換。
• 要在 VS Code 中使用 GitHub MCP 伺服器，需添加以下設定並完成 OAuth 流程：

  {
    "servers": {
      "github": {
        "type": "http",
        "url": "https://api.githubcopilot.com/mcp/"
      }
    }
  }
  

• 實際應用案例包括：將 GitHub Issues 自動轉換為 Markdown 內容文件、編譯每週團隊摘要的輕量級機器人、基於聊天的專案助手，以及個人化的 LLM 儀表板，這些都證明了 MCP 伺服器透過提供真實、結構化的上下文，使 AI 工具更智能和安全。

🔗 大規模保障供應鏈安全：從 71 個重要開源專案做起​

Source: https://github.blog/open-source/maintainers/securing-the-supply-chain-at-scale-starting-with-71-important-open-source-projects/

• Log4j 零日漏洞事件後，凸顯了開源庫安全性對整個軟體供應鏈的巨大影響，促使 GitHub 於 2024 年 11 月啟動「GitHub 安全開源基金」（GitHub Secure Open Source Fund）。
• 該基金為維護者提供資金支援，參與為期三週的專案，內容包含安全教育、導師指導、工具、認證及安全意識社群等，旨在提升安全影響力、降低風險，並大規模保護軟體供應鏈。
• 前兩期專案已集合來自 71 個重要開源專案的 125 位維護者，取得了顯著成果：
  • 修復了 1,100 多個由 CodeQL 檢測到的漏洞。
  • 發布了 50 多個新的常見漏洞與暴露（CVE），保護下游依賴項。
  • 阻止了 92 個新機密洩漏，並檢測和解決了 176 個已洩漏的機密。
  • 80% 的專案啟用了三個或更多基於 GitHub 的安全功能，63% 的專案表示對 AI 和 MCP 安全有更好理解。
  • 維護者利用 GitHub Copilot 進行漏洞掃描、安全審計、定義和實施模糊測試策略等。
• 專案涵蓋了 AI/ML 框架（如 Ollama, AutoGPT）、前端/全端框架（如 Next.js, shadcn/ui）、Web 伺服器/網路/閘道（如 Node.js）、DevOps/建置工具（如 Turborepo）、安全框架/身份/合規工具（如 Log4j）、以及開發者工具/CLI 助手（如 Charset-Normalizer, nvm, JUnit）等多個關鍵領域。
• 該計劃的成功關鍵在於：資金支援結合時間限制的專注訓練、互動式編碼經驗以及建立一個以安全為重點的社群，促進了維護者之間的快速交流與協作。

🔒 每個人都是「雪花」：為真實世界設計強化映像檔流程​

Source: https://www.docker.com/blog/hardened-image-best-practices/

• 強調強化容器映像檔（Hardened Container Images）在安全與操作簡便性上的潛力，但指出其在實際開發與生產中面臨的根本挑戰。
• 闡述「雪花問題」（Snowflake Problem）：每個軟體堆棧、CI/CD 管線和安全設定都獨一無二，僵化的安全方案反而導致開發者尋求變通方案，可能降低整體安全性。
• 提出解決方案：在強化映像檔流程中融入彈性，例如支援多種發行版（multi-distro options）和自助服務客製化（Self-service customization），讓開發者能輕鬆添加所需的 CA 憑證或整合現有映像檔。
• 提及利用 AI 驅動的轉換工具來協助將現有 Dockerfile 轉換為多階段構建（multi-stage builds），降低遷移阻力。
• 強調社群信任的重要性：與開源專案維護者建立緊密關係，確保強化映像檔的設計能納入專案見解與經驗。
• 總結最佳策略是「安全預設、可控彈性、社群信任」，並指出一個高採用率但非完美強化的映像檔策略，比低採用率的「完美」策略更能提升組織整體安全。

GitHub 全新開源播客：從初次提交到大型專案 🎧​

Source: https://github.blog/open-source/maintainers/from-first-commits-to-big-ships-tune-into-our-new-open-source-podcast/

• GitHub 推出全新播客，深入探討開源生態系的故事、專案、人物與理念，強調開源作為軟體創新的重要發射台，尤其在 AI agents、edge runtimes、climate-tech dashboards 等領域。
• 播客由 Abby Cabunoc Mayes、Cassidy Williams、Kedasha Kerr 和 Andrea Griffiths 等資深開源貢獻者輪流主持，分享社群建設、開源科學、開發者教育和公開構建等多元視角。
• 首集介紹主持人如何參與開源，並探討在內容飽和的世界中創建初學者內容的重要性。
• 節目每兩週更新一集，將邀請 Jason Lengstorf 和 Keeley Hammond 等特別嘉賓分享他們的開源旅程和見解。
• 亮點開源專案預覽：
  • Anime.JS: 視覺效果出眾的 JavaScript 動畫函式庫。
  • Docs: 法國和德國政府合作開發的開源文件協作編輯器。
  • CSS Zero: 簡化網頁開發的無構建前端入門套件。
• 後續主題將深入探討 Model Context Protocol (MCP) 如何提升 AI 工具的透明度和互操作性。

🌾 GitHub Copilot 助力小農戶擴大影響力​

Source: https://github.blog/open-source/social-impact/scaling-for-impact-how-github-copilot-supercharges-smallholder-farmers/

• 願景與擴展： One Acre Fund 成立於 2006 年，從肯亞的 40 個農戶發展至今已服務非洲十個國家的 500 萬農戶。他們的目標是到 2030 年每年支援 1000 萬農戶，透過開源技術和 AI 創造 10 億美元的新收入。
• 技術賦能小農戶： 組織提供肥料、種子、培訓和服務，幫助小農戶提高作物產量、改善土壤健康、種植樹木，並增強對氣候變化的抵禦能力。農民對技術的態度從最初的猶豫轉變為積極。
• GitHub Copilot 的影響： GitHub Copilot 極大地加速了 One Acre Fund 的開發進度，使專案完成速度提升三倍，超過 30% 的工作由 AI 輔助完成。這使他們能夠設定並達成更多目標。
• 開源解決方案的優勢： 作為非營利組織，One Acre Fund 選擇開源技術是為了平衡「解決方案成熟度與靈活性」，同時避免隨規模擴展而指數級增長的許可費用。他們已將核心營運系統大部分遷移到開源。

GitHub Models: Simplifying AI Deployment for Open Source Projects 🚀​

Source: https://github.blog/ai-and-ml/llms/solving-the-inference-problem-for-open-source-ai-projects-with-github-models/

• 介紹 GitHub Models 提供一個免費、OpenAI 兼容的推理 API，免除額外鍵匙和SDK，讓開發者免於繁瑣設置。
• 兼容多種模型（GPT-4o、Llama 3 等），支援任何接受 baseURL 的客戶端（如 OpenAI SDK、curl）。
• 在 CI/CD 環境下搭建和擴展，對於開源項目特別友善，提升AI功能採用率。
• 提供範例程式碼示範如何在 Node.js 中使用 GitHub Models API，且於 GitHub Actions 中無需用戶自行提供API鍵。
• 強調此方案降低AI採用門檻，促進社群貢獻和快速迭代。