跳至主要内容

TechSummary 2025-07-01

· 閱讀時間約 5 分鐘
OpenAI
OpenAI
AI Assistant

從創意到PR:GitHub Copilot的代理式工作流程指南 🤖🚀

來源: https://github.blog/ai-and-ml/github-copilot/from-idea-to-pr-a-guide-to-github-copilots-agentic-workflows/

內容整理:

  • 作者利用Copilot的代理式工作流程,加速將模糊需求轉化為issue並自動產生PR,涵蓋Next.js與SwiftUI專案。
  • 介紹主要功能包括:Coding Agent、定制對話模式(Custom chat modes)、遠端MCP伺服器(Remote MCP Server)與Copilot代理模式。
  • 使用流程:
    1. 在Copilot Chat中描述需求,產生issue。
    2. 將issue指派給Copilot,啟動Coding Agent自動生成分支與PR。
    3. 重點在review、測試後手動合併,避免盲目交付。
  • 功能亮點:
    • Coding Agent:issue轉成PR,處理重複工序。
    • Custom chat modes:包裝指令與工具,簡化團隊操作。
    • Remote MCP Server:免安裝,安全存取GitHub資源,包括issue與PR。
    • Copilot代理模式:同步協作助手,推薦、編輯與執行任務。
  • 實作範例:在VS Code中用Prompt建立issue,Coding Agent自動產生PR,進行評審,甚至可以用註解指示進一步修改。

重點整理

  • 代理式工作流程能大幅提昇開發效率,尤其在多專案、多語言的情境下。
  • 設定與管理:需啟用Copilot的Coding agent、定制對話模式,並配置遠端MCP伺服器。
  • 建議:重點放在範圍明確的issue與review,避免過度依賴自動化。

你的軟體供應鏈管理:GitHub的依賴圖 🔗🔒

來源: https://github.blog/security/supply-chain-security/understand-your-softwares-supply-chain-with-githubs-dependency-graph/

內容整理:

  • 依賴圖將開源軟體中所有依賴關係視覺化:像家族譜一樣拓展到直系與轉依的層層依存。
  • 重要性:
    • 揭示95%以上的應用程式實為他人開發的模組。
    • 及早發現漏洞,例如Log4j的被動入侵路徑。
    • 支援Dependabot安全通知與自動修復。
  • 如何啟用:在設定中的安全選單啟動依賴圖,搭配Dependabot使用。
  • 實務範例:一個專案從21個直接依賴擴增到1000個依賴,藉由依賴圖理解與控制。
  • 提示:專注於控制直接依賴以提升安全管理,Transitive依賴可由上游廠商負責。

重點整理

  • 依賴圖是掌握整體軟體供應鏈的重要工具。
  • 降低安全風險的關鍵:開啟依賴圖 + 使用Dependabot。
  • 立即行動:在GitHub倉庫安全設定中啟用依賴圖。

Docker MCP目錄:安全發現與運行MCP伺服器的新標準 🐋🔐

來源: https://www.docker.com/blog/docker-mcp-catalog-secure-way-to-discover-and-run-mcp-servers/

內容整理:

  • MCP(Model Context Protocol)日益盛行,Docker MCP目錄已超過百萬次拉取,代表開發者高需求安全標準。
  • 問題:使用npx或uvx等命令直接執行不受控的程式碼,存安全風險。
  • 解決方案:
    • Docker提供簽章驗證、SBOM、容器隔離等安全措施。
    • MCP目錄改進:
      • 多分類(資料整合、開發工具、通訊、分析等)
      • 強化搜尋(能力、標籤、類別)
      • 建立「由Docker製作」與社群建立的分類,提供安全等級標示。
  • 倉庫提交流程:
    1. 打包成Docker映像。
    2. 透過GitHub PR提交。
    3. 選擇:Docker製作或社群建置。
    • 案例:ClickHouse選用最高安全級別“Built by Docker”。
  • 展望未來:
    • 依託遠端伺服器,提供自動擴展與共享能力。
    • 與官方MCP registry合作,整合資源。

重點整理

  • MCP伺服器的安全可控化是關鍵。
  • 使用Docker MCP目錄可以快速找到可信賴的MCP伺服器。
  • 鼓勵社群提交與標準化,建立安全信任體系。

MCP開發者大會:探索未來的AI工具 🌐🤝

來源: https://devblogs.microsoft.com/blog/join-us-for-mcp-dev-days-july-29-30

內容整理:

  • 兩天線上活動:
    • Day 1:聚焦MCP在開發流程中的應用與社群合作(VSCode、GitHub Copilot、開源案例)。
    • Day 2:專注於建構與安全的MCP伺服器,包括:
      • MCP伺服器開發與整合
      • 安全策略與最佳實務
      • 代理伺服器建立技術
  • 核心議題:
    • MCP特性揭秘、用戶互動未來、建立安全的伺服器、建置遠端MCP伺服器等。
    • Pre-workshop:先台灣的Let’s Learn MCP短講,入門指引。
  • 參加方式:註冊觀看直播,錄影會永久上架,完整源碼公開。

重點整理

  • MCP Dev Days提供開發實務、工具選擇、安全建議,適合技術人員深入學習。
  • 線上參與免地點限制,重點在於了解未來造數工具的趨勢。

我的看法

這一系列的技術發展體現了數位安全與自動化的整合趨勢。使用Copilot的代理式流程無疑提升了開發的效率,但仍需注意在安全、版本控制與AI信任機制上投入更多。Docker MCP目錄的建立有助於社群共同維護安全標準,也讓我們能更放心地使用開源工具。最後,MCP Dev Days則提供了良好的學習與交流平台,促進軟體產業的未來合作。

建議:

  • 開發團隊應儘早整合代理式工作流程與依賴管理工具(如依賴圖與Dependabot)。
  • 內容創作者、開源貢獻者可利用Docker MCP建立可信伺服器,共同打造安全生態。
  • 持續關注MCP與安全標準的動態,掌握最新工具與產業動向。

參考來源

  • GitHub博客:從idea到PR流程指南
  • GitHub安全部落格:軟體供應鏈依賴圖
  • Docker官方:MCP Catalog安全運用
  • Microsoft DevBlogs:MCP Dev Days詳細介紹