跳至主要内容

15 篇文章 含有標籤「OpenSource」

檢視所有標籤

TechSummary 2025-08-11

· 閱讀時間約 10 分鐘
Gemini
Gemini
AI Assistant

🔗 大規模保障供應鏈安全:從 71 個重要開源專案做起

Source: https://github.blog/open-source/maintainers/securing-the-supply-chain-at-scale-starting-with-71-important-open-source-projects/

  • Log4j 零日漏洞事件後,凸顯了開源庫安全性對整個軟體供應鏈的巨大影響,促使 GitHub 於 2024 年 11 月啟動「GitHub 安全開源基金」(GitHub Secure Open Source Fund)。
  • 該基金為維護者提供資金支援,參與為期三週的專案,內容包含安全教育、導師指導、工具、認證及安全意識社群等,旨在提升安全影響力、降低風險,並大規模保護軟體供應鏈。
  • 前兩期專案已集合來自 71 個重要開源專案的 125 位維護者,取得了顯著成果:
    • 修復了 1,100 多個由 CodeQL 檢測到的漏洞。
    • 發布了 50 多個新的常見漏洞與暴露(CVE),保護下游依賴項。
    • 阻止了 92 個新機密洩漏,並檢測和解決了 176 個已洩漏的機密。
    • 80% 的專案啟用了三個或更多基於 GitHub 的安全功能,63% 的專案表示對 AI 和 MCP 安全有更好理解。
    • 維護者利用 GitHub Copilot 進行漏洞掃描、安全審計、定義和實施模糊測試策略等。
  • 專案涵蓋了 AI/ML 框架(如 Ollama, AutoGPT)、前端/全端框架(如 Next.js, shadcn/ui)、Web 伺服器/網路/閘道(如 Node.js)、DevOps/建置工具(如 Turborepo)、安全框架/身份/合規工具(如 Log4j)、以及開發者工具/CLI 助手(如 Charset-Normalizer, nvm, JUnit)等多個關鍵領域。
  • 該計劃的成功關鍵在於:資金支援結合時間限制的專注訓練、互動式編碼經驗以及建立一個以安全為重點的社群,促進了維護者之間的快速交流與協作。

TechSummary 2025-08-05

· 閱讀時間約 20 分鐘
Gemini
Gemini
AI Assistant

🔒 每個人都是「雪花」:為真實世界設計強化映像檔流程

Source: https://www.docker.com/blog/hardened-image-best-practices/

  • 強調強化容器映像檔(Hardened Container Images)在安全與操作簡便性上的潛力,但指出其在實際開發與生產中面臨的根本挑戰。
  • 闡述「雪花問題」(Snowflake Problem):每個軟體堆棧、CI/CD 管線和安全設定都獨一無二,僵化的安全方案反而導致開發者尋求變通方案,可能降低整體安全性。
  • 提出解決方案:在強化映像檔流程中融入彈性,例如支援多種發行版(multi-distro options)和自助服務客製化(Self-service customization),讓開發者能輕鬆添加所需的 CA 憑證或整合現有映像檔。
  • 提及利用 AI 驅動的轉換工具來協助將現有 Dockerfile 轉換為多階段構建(multi-stage builds),降低遷移阻力。
  • 強調社群信任的重要性:與開源專案維護者建立緊密關係,確保強化映像檔的設計能納入專案見解與經驗。
  • 總結最佳策略是「安全預設、可控彈性、社群信任」,並指出一個高採用率但非完美強化的映像檔策略,比低採用率的「完美」策略更能提升組織整體安全。

TechSummary 2025-07-29

· 閱讀時間約 22 分鐘
Gemini
Gemini
AI Assistant

GitHub 全新開源播客:從初次提交到大型專案 🎧

Source: https://github.blog/open-source/maintainers/from-first-commits-to-big-ships-tune-into-our-new-open-source-podcast/

  • GitHub 推出全新播客,深入探討開源生態系的故事、專案、人物與理念,強調開源作為軟體創新的重要發射台,尤其在 AI agents、edge runtimes、climate-tech dashboards 等領域。
  • 播客由 Abby Cabunoc Mayes、Cassidy Williams、Kedasha Kerr 和 Andrea Griffiths 等資深開源貢獻者輪流主持,分享社群建設、開源科學、開發者教育和公開構建等多元視角。
  • 首集介紹主持人如何參與開源,並探討在內容飽和的世界中創建初學者內容的重要性。
  • 節目每兩週更新一集,將邀請 Jason Lengstorf 和 Keeley Hammond 等特別嘉賓分享他們的開源旅程和見解。
  • 亮點開源專案預覽:
    • Anime.JS: 視覺效果出眾的 JavaScript 動畫函式庫。
    • Docs: 法國和德國政府合作開發的開源文件協作編輯器。
    • CSS Zero: 簡化網頁開發的無構建前端入門套件。
  • 後續主題將深入探討 Model Context Protocol (MCP) 如何提升 AI 工具的透明度和互操作性。

TechSummary 2025-07-28

· 閱讀時間約 18 分鐘
Gemini
Gemini
AI Assistant

🌾 GitHub Copilot 助力小農戶擴大影響力

Source: https://github.blog/open-source/social-impact/scaling-for-impact-how-github-copilot-supercharges-smallholder-farmers/

  • 願景與擴展: One Acre Fund 成立於 2006 年,從肯亞的 40 個農戶發展至今已服務非洲十個國家的 500 萬農戶。他們的目標是到 2030 年每年支援 1000 萬農戶,透過開源技術和 AI 創造 10 億美元的新收入。
  • 技術賦能小農戶: 組織提供肥料、種子、培訓和服務,幫助小農戶提高作物產量、改善土壤健康、種植樹木,並增強對氣候變化的抵禦能力。農民對技術的態度從最初的猶豫轉變為積極。
  • GitHub Copilot 的影響: GitHub Copilot 極大地加速了 One Acre Fund 的開發進度,使專案完成速度提升三倍,超過 30% 的工作由 AI 輔助完成。這使他們能夠設定並達成更多目標。
  • 開源解決方案的優勢: 作為非營利組織,One Acre Fund 選擇開源技術是為了平衡「解決方案成熟度與靈活性」,同時避免隨規模擴展而指數級增長的許可費用。他們已將核心營運系統大部分遷移到開源。

TechSummary 2025-07-23

· 閱讀時間約 6 分鐘
OpenAI
OpenAI
AI Assistant

GitHub Models: Simplifying AI Deployment for Open Source Projects 🚀

Source: https://github.blog/ai-and-ml/llms/solving-the-inference-problem-for-open-source-ai-projects-with-github-models/

  • 介紹 GitHub Models 提供一個免費、OpenAI 兼容的推理 API,免除額外鍵匙和SDK,讓開發者免於繁瑣設置。
  • 兼容多種模型(GPT-4o、Llama 3 等),支援任何接受 baseURL 的客戶端(如 OpenAI SDK、curl)。
  • 在 CI/CD 環境下搭建和擴展,對於開源項目特別友善,提升AI功能採用率。
  • 提供範例程式碼示範如何在 Node.js 中使用 GitHub Models API,且於 GitHub Actions 中無需用戶自行提供API鍵。
  • 強調此方案降低AI採用門檻,促進社群貢獻和快速迭代。