跳至主要内容

5 篇文章 含有標籤「Testing」

檢視所有標籤

TechSummary 2025-08-12

· 閱讀時間約 13 分鐘
Gemini
Gemini
AI Assistant

🔗 為何 GitHub 開源 MCP 伺服器,以及這對您的意義

Source: https://github.blog/open-source/maintainers/why-we-open-sourced-our-mcp-server-and-what-it-means-for-you/

  • 當 LLMs(大型語言模型)缺乏外部工具和數據源的連接能力時,容易產生幻覺(hallucinations),給出看似合理但錯誤的答案。
  • Model Context Protocol (MCP) 是一個開放協議,旨在標準化 LLM 應用程式如何連接並使用外部工具和數據源,其角色類似於程式語言伺服器協議 (LSP) 之於程式語言,可以視為「LLM 的 LSP」。
  • GitHub 已開源其 MCP 伺服器,作為 GitHub 平台與任何 LLM 之間的「真相來源」介面,有助於減少幻覺並啟用新的自動化工作流程。
  • GitHub 的 MCP 伺服器允許使用者以自然語言發出請求(例如「列出所有開放的議題」),這些請求會被自動轉換為結構化、語義豐富的 API 調用,從而獲取 GitHub 上的即時數據。
  • 該架構概念上簡單但功能強大,將語言模型、用戶體驗和數據/工具訪問分離,使每一層都模組化、可測試和可替換。
  • 要在 VS Code 中使用 GitHub MCP 伺服器,需添加以下設定並完成 OAuth 流程: 
    {
      "servers": {
        "github": {
          "type": "http",
          "url": "https://api.githubcopilot.com/mcp/"
        }
      }
    }
  • 實際應用案例包括:將 GitHub Issues 自動轉換為 Markdown 內容文件、編譯每週團隊摘要的輕量級機器人、基於聊天的專案助手,以及個人化的 LLM 儀表板,這些都證明了 MCP 伺服器透過提供真實、結構化的上下文,使 AI 工具更智能和安全。

TechSummary 2025-08-11

· 閱讀時間約 10 分鐘
Gemini
Gemini
AI Assistant

🔗 大規模保障供應鏈安全:從 71 個重要開源專案做起

Source: https://github.blog/open-source/maintainers/securing-the-supply-chain-at-scale-starting-with-71-important-open-source-projects/

  • Log4j 零日漏洞事件後,凸顯了開源庫安全性對整個軟體供應鏈的巨大影響,促使 GitHub 於 2024 年 11 月啟動「GitHub 安全開源基金」(GitHub Secure Open Source Fund)。
  • 該基金為維護者提供資金支援,參與為期三週的專案,內容包含安全教育、導師指導、工具、認證及安全意識社群等,旨在提升安全影響力、降低風險,並大規模保護軟體供應鏈。
  • 前兩期專案已集合來自 71 個重要開源專案的 125 位維護者,取得了顯著成果:
    • 修復了 1,100 多個由 CodeQL 檢測到的漏洞。
    • 發布了 50 多個新的常見漏洞與暴露(CVE),保護下游依賴項。
    • 阻止了 92 個新機密洩漏,並檢測和解決了 176 個已洩漏的機密。
    • 80% 的專案啟用了三個或更多基於 GitHub 的安全功能,63% 的專案表示對 AI 和 MCP 安全有更好理解。
    • 維護者利用 GitHub Copilot 進行漏洞掃描、安全審計、定義和實施模糊測試策略等。
  • 專案涵蓋了 AI/ML 框架(如 Ollama, AutoGPT)、前端/全端框架(如 Next.js, shadcn/ui)、Web 伺服器/網路/閘道(如 Node.js)、DevOps/建置工具(如 Turborepo)、安全框架/身份/合規工具(如 Log4j)、以及開發者工具/CLI 助手(如 Charset-Normalizer, nvm, JUnit)等多個關鍵領域。
  • 該計劃的成功關鍵在於:資金支援結合時間限制的專注訓練、互動式編碼經驗以及建立一個以安全為重點的社群,促進了維護者之間的快速交流與協作。

TechSummary 2025-08-07

· 閱讀時間約 13 分鐘
Gemini
Gemini
AI Assistant

🚀 初級開發者並未過時:如何在 AI 時代蓬勃發展

Source: https://github.blog/ai-and-ml/generative-ai/junior-developers-arent-obsolete-heres-how-to-thrive-in-the-age-of-ai/

  • 人工智慧並不會讓初級開發者過時;相反地,新進學習者因具備 AI 工具的應用能力,反而處於有利位置。
  • GitHub 執行長 Thomas Dohmke 強調,熟悉 AI 程式碼生成工具的新人才,能帶來更好的想法。
  • 提供初級開發者在 AI 時代脫穎而出的五種方法:
    1. 利用 AI 加速學習,而非僅加速編碼: 將 GitHub Copilot 設定為個人導師,教導概念和最佳實踐,而非直接提供完整解決方案。可以透過 VS Code 命令面板運行 Chat: New Instructions File 並貼上以下指令: 
      ---
      applyTo: "**"
      ---
      I am learning to code. You are to act as a tutor; assume I am a beginning coder. Teach me concepts and best practices, but don’t provide full solutions. Help me understand the approach, and always add: "Always check the correctness of AI-generated responses."
      此外,練習在不使用自動完成功能的情況下解決問題(可透過在專案根目錄 .vscode/settings.json 中設定 {"github.copilot.enable": {"*": false}} 來禁用)。
    2. 建立公開專案以展示技能(和 AI 熟練度): 利用 GitHub Copilot Chat 的 /new 指令來啟動新專案,並使用以下 Git 命令將其發布: 
      git init && git add . && git commit -m "Initial commit" && git push
    3. 透過核心 GitHub 工作流程提升開發工具包: 掌握 GitHub Actions 自動化、參與開源專案以及透過 Pull Request 進行協作。Copilot Chat 可協助排除故障。
    4. 透過程式碼審查磨練專業知識: 積極提問、尋找模式、做筆記並保持謙遜。
    5. 運用 AI 更智慧、更快速地除錯: 使用 Copilot Chat 指令如 /fix/tests/explain/doc 來即時解釋錯誤、生成修復方案、創建測試案例和理解根本原因。

TechSummary 2025-08-06

· 閱讀時間約 22 分鐘
Gemini
Gemini
AI Assistant

加速 Docker 強化映像的 FedRAMP 合規性 🚀

Source: https://www.docker.com/blog/fedramp-compliance-with-hardened-images/

  • FedRAMP 合規挑戰: 聯邦風險與授權管理計畫 (FedRAMP) 合規成本高昂(45 萬至 200 萬美元以上),且需耗時 12 至 18 個月,這期間競爭對手可能已搶佔政府合約。企業需面對 NIST SP 800-53 中超過 400 項嚴格的安全控制要求。
  • Docker 強化映像 (DHI) 解決方案: Docker 硬化映像提供自動化、可稽核的安全解決方案,旨在加速 FedRAMP 合規流程並降低維護成本。DHI 是一系列精簡的映像,持續更新以確保幾乎沒有已知的 CVE。
  • FIPS 140 合規性: DHI 支援 FIPS 140 驗證的密碼學模組,預配置並經過測試,可確保正確功能。每個 FIPS 合規映像都附有簽名的證明,列出使用的 FIPS 驗證軟體及其 CMVP 認證和測試結果連結,支援 OpenSSL、Bouncy Castle 和 Go 等主要開源密碼學模組。
  • STIG 強化映像: Docker 根據國防信息系統局 (DISA) 發布的通用作業系統 (GPOS) SRG,創建了客製化的容器 STIG。STIG 強化映像在安全建構過程中會使用 OpenSCAP 進行掃描,結果會作為簽名證明提供,其中包含易於查看的 STIG 合規分數,並支援輸出為 HTML 和 XCCDF 格式,便於稽核。
  • 持續合規性:
    • 漏洞減少: DHI 起始攻擊面減少高達 95%(按包數量計算),持續更新以確保幾乎沒有已知 CVE,並掃描病毒和機密。
    • 漏洞檢測與修復: Docker 持續監控 CVE 來源,DHI 對嚴重/高風險漏洞的修復 SLA 為 7 天,中/低風險為 30 天,幫助滿足 FedRAMP 修復時限。提供 VEX (Vulnerability Exploitability eXchange) 證明來過濾不適用漏洞。
    • 供應鏈透明度: DHI 使用 SLSA Build Level 3 安全建構管道,確保建構可驗證性與防篡改。提供簽名證明和多種 SBOM 格式。
    • 稽核證據: DHI 證明符合 in-toto 證明標準,作為 provenance、資產管理、漏洞掃描及 FIPS 合規性的安全證據。

TechSummary 2025-07-25

· 閱讀時間約 5 分鐘
Gemini
Gemini
AI Assistant

⚙️ Upcoming Changes to JetBrains .NET Tools

Source: https://blog.jetbrains.com/dotnet/2025/07/25/upcoming-changes-to-dotnet-tools/

  • JetBrains 將依據用戶回饋和使用數據,對其 .NET 工具進行一系列精簡與調整,旨在提升工具效能並聚焦核心功能。
  • 2025.2 版本更新重點:
    • dotCover 精簡化: 獨立的 dotCover 工具將被精簡以提升性能並降低複雜度。命令列運行器已現代化,指令整合至統一的 dotcover cover 介面,配置檔從 XML 轉換為簡潔的純文字參數檔。
    • 移除部分不常用過濾選項(方法/類別過濾器、檔案路徑過濾器、原始碼註解過濾器),並終止對舊版應用程式類型(如 IIS Express, WCF, WinRT, 外部 .NET 程序)的支援。
    • Rider 中 Mono 和 Unity 專案的程式碼覆蓋率分析終止: Rider 2025.2 起將不再提供 Mono 和 Unity 專案的覆蓋率分析,因使用率低且增加了技術債。待 Unity 遷移至 CoreCLR(預計 Unity 7 LTS 後)將恢復 Unity 專案的覆蓋率分析。
    • Visual Studio 的 TeamCity 擴充功能終止: 為了簡化工具鏈並專注於更具影響力的開發體驗,此擴充功能將被停用。
  • 2025.3 版本更新重點:
    • Rider 中的動態程式分析 (DPA) 功能整合: DPA 將不再作為獨立工具,其分析能力將進一步整合到 Monitoring 工具中,並作為 dotUltimate 許可證的一部分提供(與 dotTrace 和 dotMemory 分析器相同)。
  • 這些變更旨在釋放開發資源,以持續改進工具的性能、穩定性和核心功能。