2 篇文章 含有標籤「SoftwareSupplyChain」

🔒 Docker @ Black Hat 2025：CVE 漏洞應對之道​

Source: https://www.docker.com/blog/docker-black-hat-2025-secure-software-supply-chain/

• 在 Black Hat 2025 大會上，CVE 漏洞成為核心議題，業界正從被動掃描轉向主動在軟體供應鏈源頭消除安全負債。
• 前進方向包括：使用強化版映像 (Hardened Images)、符合法規的工具以及強大的生態系合作夥伴關係 (如 Docker 與 Wiz)。
• 會議指出六大安全主題，強調掃描不足以應對，需要「零 CVE」的起始點，並透過提供 Debian 和 Alpine 等不同發行版，以及靈活的客製化能力來滿足企業需求。
• Docker Hardened Images (DHI) 提供零 CVE 的基礎映像，並附帶 SLA、SBOM (軟體物料清單) 和簽名證明，消除安全性與易用性之間的權衡。
• 即使是新興的 AI 工作負載，也能受益於既有的容器安全模式（隔離、閘道控制、執行前驗證），DHI 作為 AI 系統的可信啟動平台至關重要。

從創意到PR：GitHub Copilot的代理式工作流程指南 🤖🚀​

來源： https://github.blog/ai-and-ml/github-copilot/from-idea-to-pr-a-guide-to-github-copilots-agentic-workflows/

內容整理：

• 作者利用Copilot的代理式工作流程，加速將模糊需求轉化為issue並自動產生PR，涵蓋Next.js與SwiftUI專案。
• 介紹主要功能包括：Coding Agent、定制對話模式(Custom chat modes)、遠端MCP伺服器(Remote MCP Server)與Copilot代理模式。
• 使用流程：
  1. 在Copilot Chat中描述需求，產生issue。
  2. 將issue指派給Copilot，啟動Coding Agent自動生成分支與PR。
  3. 重點在review、測試後手動合併，避免盲目交付。
• 功能亮點：
  • Coding Agent：issue轉成PR，處理重複工序。
  • Custom chat modes：包裝指令與工具，簡化團隊操作。
  • Remote MCP Server：免安裝，安全存取GitHub資源，包括issue與PR。
  • Copilot代理模式：同步協作助手，推薦、編輯與執行任務。
• 實作範例：在VS Code中用Prompt建立issue，Coding Agent自動產生PR，進行評審，甚至可以用註解指示進一步修改。

重點整理：

• 代理式工作流程能大幅提昇開發效率，尤其在多專案、多語言的情境下。
• 設定與管理：需啟用Copilot的Coding agent、定制對話模式，並配置遠端MCP伺服器。
• 建議：重點放在範圍明確的issue與review，避免過度依賴自動化。