GitHub 发布改进开发工作流的新工具

阅读数:1728 2018 年 10 月 18 日

在旧金山举行的GitHub Universe 大会上,GitHub 发布了多个新工具,帮助开发者使他们的工作流更加有效,包括 Actions、“建议修改(Suggested Changes)”和针对.NET 及 Java 的安全警告等。

已发布的 GitHub Actions有限公测版本,允许开发人员通过连接打包在 Docker 容器中的基本步骤来构建复杂的工作流,并在 GitHub 的服务器上运行。例如,一个“动作(action )”工作流可以构建一个 Node 项目,运行它的测试,然后打包并发布在 NPM 上,或者将它部署到某个地方。Actions 可以和 GitHub 社区共享,从而可以创建一个开发人员很容易重用的 Action 库。



建议修改使项目的合作者能够对 pull 请求提出代码修改建议。然后,PR 作者可以很容易地接受这些建议,并在必要时修改它们。代码建议是作为内联注释创建的,这当然不是一个新特性;新的是在那些内联注释中包含代码的可能性,而这些代码可以通过一次单击合并到 PR 中。建议修改已在公测版本中提供。

其他一些新特性主要是代码安全方面的改进,其中包括公共库令牌扫描,旨在防止开发人员在向公共库推送时无意中分享了他们的令牌和密钥。现在,GitHub 会在每次提交时扫描你的库,查找主要服务提供商颁发的令牌,包括 AWS、Azure、谷歌、GitHub 等。如果找到了令牌或密钥,GitHub 将通知令牌颁发服务提供商,这样,他们就可以撤销令牌或与开发人员取得联系。在一份相关说明中,对于如何在公共库中存储用于 CI 集成或自动化测试的令牌而不使其公开的问题,GitHub Actions 似乎提供了一个解决方案。在与 InfoQ 的交谈中,GitHub 的发言人证实了这一点。

另一个与安全相关的特性是.NET 和 Java 的安全漏洞。当在库中检测到来自公共漏洞列表(CVE)的漏洞时,GitHub 安全漏洞警报会通知库管理员。GitHub 以前就提供了针对 Ruby、JavaScript 和 Python 的安全警报,现在提供了.NET 和 Java 支持

与此相关,GitHub 现在提供了一个新的“安全咨询(Security Advisory)”API,它为开发人员提供了访问 GitHub 从各种 Web 源聚合而来的安全漏洞数据库的权限,这个数据库是所有安全相关特性的基础。感兴趣的读者,可以通过GitHub GraphQL API获取预览版 GitHub 安全咨询 API。

最后需要指出的是,GitHub 现在引入了一个新的统一业务标识,使开发人员可以在不同的业务云账户下开展并标识他们的工作。

查看英文原文:GitHub Announces New Tools to Improve Developer Workflows

收藏

评论

微博

发表评论

注册/登录 InfoQ 发表评论