月一恒例 (で書けたらいいな) の GitHub の更新情報2024年3月編、自分用メモです。

• 全般
  • CodeQL 2.16.3: AI-powered autofixes for Python, updated queries, and security fixes (2024/3/1)
  • Secret scanning and push protection are enabled by default on new public repositories (2024/3/11)
  • CodeQL 2.16.4: AI-powered autofixes for Java, support for C# 12 & Go 1.22, new queries (2024/3/12)
  • [Public Beta] Bring Your Own Identity Provider to Enterprise Managed Users (2024/3/13)
  • Authenticate ORCID iD (2024/3/13)
  • Dependabot will now pause scheduled jobs after 15 failures (2024/3/15)
  • Logging SAML SSO and SCIM identity data in audit log events is generally available (2024/3/19)
  • Code scanning now suggests AI-powered autofixes for CodeQL alerts in pull request (beta) (2024/3/20)
  • Java projects no longer require a build when using code scanning via default setup (2024/3/21)
  • CodeQL can scan Java projects without a build (2024/3/26)
• Copilot 関連
  • GitHub Copilot Chat General Availability in JetBrains IDE (2024/3/7)
  • Secret scanning AI-generated custom patterns (public beta) (2024/3/12)
  • GitHub Copilot General Availability in the CLI (2024/3/21)
  • GitHub Copilot Enterprise – March 2024 update (2024/3/29)
    • Enhanced contextual understanding and more relevant suggestions in GitHub.com
    • Faster help with understanding pull request changes
    • Usability improvements
• Actions 関連
  • GitHub Actions and Larger Runners; Windows 11 Beta (2024/3/4)
  • Actions Fine Grained Permissions (2024/3/6)
  • Actions Usage Metrics public beta (2024/3/28)
• ピックアップしなかった情報 (個人的にあまり興味がなかったので雑にみただけの情報)

画像は MS の Copilot さんに作ってもらってるんだがなんとも言えんなと思いながら貼ってます。

全般

CodeQL 2.16.3: AI-powered autofixes for Python, updated queries, and security fixes (2024/3/1)

• Code QL の v2.16.3 の話。ベータで公開中 の CodeQL code scanning autofix 機能で、Python もサポート言語に追加されました。
  • CodeQL code scanning の automatic fix suggestions は GHAS (GitHub Advanced Security) の機能のひとつ。Pull request 作成時に
  • この機能は Copilot の拡張機能の位置づけだが、Copilot のライセンスは不要、GHAS のライセンスがあれば OK 。
  • Python の他に以前から JavaScript と TypeScript がサポートされている。
• ほかにもいくつか更新情報がありますがピックアップしませんが興味がありましたら上のリンクからご参照ください。

Secret scanning and push protection are enabled by default on new public repositories (2024/3/11)

• 個人アカウント所有の新規に作る public repo で、secret scanning と push protection がデフォルトで有効になった。
  • Secret scanning は、コード内にシークレットらしきものが入ったまま push すると、(push したコードが repo に入ってから) アラートが飛ぶ機能。
  • Push protection は、コード内にシークレットらしきものが入ったまま push すると、repo に push される前に エラーで push が拒否される機能。
• 既存の public repo には変わらないため適用したいなら手動で変更が必要。
• Organization 所有の新規の public repo も影響無しのため、organizaqtion で設定の追加が必要かなと。

CodeQL 2.16.4: AI-powered autofixes for Java, support for C# 12 & Go 1.22, new queries (2024/3/12)

• Code QL の v2.16.4 でベータで公開中 の CodeQL code scanning autofix 機能に Java が追加。これで対応言語は、JavaScript, TypeScript, Python, Java の4つか。
• 通常の CodeQL の Analysis の改善として、C#12/.NET 8 や Golang の 1.22 が含まれるなどの機能改善もあり。

[Public Beta] Bring Your Own Identity Provider to Enterprise Managed Users (2024/3/13)

• GHEC (GitHub Enterprise Cloud) の EMU (Enterprise Managed User, 外部 IdP でユーザーを管理するやつ) の話。
• SSO と SCIM のプロバイダーを分けて利用できるようになった。
• アクセス権限については、PAT (Classic) の admin:enterprise が必要。(新しい機能は fine-grained の PAT で使えるようにしてほしいものだ...)

Authenticate ORCID iD (2024/3/13)

• ORCID iD とのアカウント連携が可能になり、GitrHub のプロファイルの ORCHID iD を表示できるようになった。
• ORCID iD は、ざっくりいうと研究者が自分のプロフィールに他の ID とか紐づけたりして自分の研究の業績を紐づけることができるやつ。

Dependabot will now pause scheduled jobs after 15 failures (2024/3/15)

• Dependabot のジョブのスケジュール実行が連続で30回失敗したらスケジュールを停止する機能が去年ついたと思いましたが、これが15回でスケジュールを停止するようになった。

Logging SAML SSO and SCIM identity data in audit log events is generally available (2024/3/19)

• GHEC および GHES (v3.13) で、Enterirpse レベルおよび Org レベルの audit log に SAML および SCIM で連携した際の連携元のユーザーの ID が表示されるようになった。

Code scanning now suggests AI-powered autofixes for CodeQL alerts in pull request (beta) (2024/3/20)

• pull request 時にコードの脆弱性があったら自動修正の提案をしてくれる Code scanning autofix が public beta で利用可能に。
• GHAS (GitHub Advances Security) の機能のひとつ、Copilot 拡張の機能だが Copilot のライセンスは不要、GHAS のライセンスがあれば OK (上でも同じこと書いてるけど断片的にちらみする用途だから同じこと何度でも書くスタイル...)。
• GHAS をつけてれば、すべての private repo で自動的に有効化される。
• PR を閉じた後は、Security overview から autofix suggestions のトータル数を見ることができる。

Java projects no longer require a build when using code scanning via default setup (2024/3/21)

• public beta として、Java を CodeQL で code scanning するときはビルドが必要だったのが不要になり、デフォルトで autobuild モードが適用されるようになった。
• Kotlin と Java 混在の場合はビルド必要。
• CodeQL CLI 利用の場合 v2.16.5 から利用可能。
• public beta 中の今のところ、GHES では利用不可。

CodeQL can scan Java projects without a build (2024/3/26)

• ひとつ上↑のアナウンスの追加情報って感じでちょっと細かい内容が書いてるので、Java やってる方は要チェックですね。

Copilot 関連

GitHub Copilot Chat General Availability in JetBrains IDE (2024/3/7)

• 今まで Private Beta だった JetBrains の IDEs (PyCharm, IntelliJ IDEA, WebStorm, Rider など) での Copilot Chat が GA 。
• GitHub Enterprise のアカウントの場合、Organization の Settings で機能を有効化する必要あり。
  • 設定方法はこちら。

Secret scanning AI-generated custom patterns (public beta) (2024/3/12)

• Copilot の枠に書くのか微妙なところだが、Secret scanning のカスタムパターン定義時、最初から自分で考えて正規表現をかくのではなく、いくつかのシークレットのサンプルを入力することで GitHub の UI 上から Copilot が正規表現のパターンを生成してくれる機能。

GitHub Copilot General Availability in the CLI (2024/3/21)

• 今まで public beta だった GitHub Copilot in the CLI が GA。
• public beta で利用してた人は、拡張を v1.0.0 に update する必要してねと (gh extension upgrade gh-copilot)。
• まだ使ったことない/有効化したことない場合、Copilot indivisual のアカウントは自動で有効化されるけど、Copilot Buisiness / Enterprise のユーザーは Org で有効化されているか確認してね。

GitHub Copilot Enterprise – March 2024 update (2024/3/29)

GitHub Copilot Enterprise の 3月更新まとめの記事。さらっとまとめていくと...

Enhanced contextual understanding and more relevant suggestions in GitHub.com

• GitHub.com でコードを検索したり knowledge bases から検索する時、embeddings の model が強くなったのでより精度の高い結果を返せるようになったそうです。
  • リンクの記事には具体的にどの model か書かれてないけど、新しく出た text-embeddings-3 のどっちか使ってるんでしょうね。large の 3072 使ってるのか、精度よさげで dimension 低いものを調整して使うことでパフォーマンス上げてるのか気になる (が、その情報は出てない...)
• Copilot Chat in GitHub.com が、今見ている repo で使用されているプログラミング言語を認識できるようになり、以前は使用されていない言語の回答を返すことがあったのを改善したと。

Faster help with understanding pull request changes

• Pull request で File changes を見るときに...
  • Copilot に問い合わせる対象のファイルを選択できるようになった。
  • ファイルの特定の行にカーソルを合わせることでその行の差分について Copilot に問い合わせれるようになった

Usability improvements

フィードバックから操作性の向上の updates:

• 一度質問してから回答を生成中でも、次の質問ができるようになった。
• キーボードの上下キーで過去のメッセージを見れるようになった。
• Copilot Chat in GitHub.com の日本語と中国語の文字サポートが強化 (以前は IME の返還前に質問を送信できちゃってたのが改善されたよう)。

Actions 関連

GitHub Actions and Larger Runners; Windows 11 Beta (2024/3/4)

• Larger runners で Windows 11 がベータで利用可能に。通常の Windwos は windows server 2022 /2019 なのでこれより軽量のイメージであることがよかったり、インストール済みのものが少ないのがデメリットだったりって感じですかね。
• Lager ではない通常の GitHub-hosted runner の話ではないので注意。

Actions Fine Grained Permissions (2024/3/6)

• Organization の Custom roles で、GitHub Actions に関する権限を追加。GitHub Actions の policy や Secrets/Variables にアクセスできるロールができた。
• 今まではこれらの管理は Org の管理者しかできなかった、これらの管理を開発者側に委譲できるようになっていい感じですね。
• こちらの organization の custom role 一覧 から詳細の確認可能。

Actions Usage Metrics public beta (2024/3/28)

• orgトップページの上部にある "Insights" のメニューから org 全体での Actions の利用状況のメトリクスが見えるようになりました。
• 以前は、Org の settings から usage report のボタンをぽちっとクリックしてメールで添付されてくる csv をみることでしか確認できなかったので、この View はいいですね。
• 余談ですが、Insights のメニューはデフォルトだと Org の owner しか見えないです。member にも見せたいときは以下どちらかの設定が必要っす。
  • Organization settings から設定変更 ("Member privileges" → "Allow members to view dependency insights" のチェックオン)
  • Org の Custom role (View organization Actions usage metrics) 作って member or team に権限付与が必要。

ピックアップしなかった情報 (個人的にあまり興味がなかったので雑にみただけの情報)

• The GitHub Enterprise Server 3.12 is generally available (2024/3/5)
• Sponsor your dependencies for recurring sponsorships in one checkout (2024/3/6)
• Group Configuration Options for Dependabot Security Updates – Public Beta (2024/3/6)
• GitHub Support Portal redesign: Toward a more personalized future (2024/3/6)
  • サポートへ問い合わせる UI がリデザインされて使いやすくなった。
• Check if private vulnerability reporting is enabled via REST API (2024/3/8)
  • REST API 経由で private vulnerability reporting の有効化ができるようになった。
• Precise code navigation for TypeScript projects (2024/3/14)
• Sponsors now supports Polar and Buy Me a Coffee as funding platform options (2024/3/14)
  • Sponsors のプラットフォームとして Polar と Buy Me a Coffee が追加。
• Dependabot security updates work with private registries even if target branch is specified (2024/3/18)
• Enablement trends for security products (public beta) (2024/3/19)
• OpenSSF Scorecard info is now available in the Dependency Review Action (2024/3/30)
  • GitHub Actions の dependency-review-action の実行後に表示される suumary に OpenSSF の scorecard の情報がリンクされるようになったってことかな (試してない
• Improved error handling for Dependabot updates for NuGet (2024/3/20)
• New SSH CAs must sign expiring certificates (2024/3/20)
• Security overview dashboard: Alert age trends, custom repository and severity filters, and date pickers (2024/3/20)
  • Security overview で filter が増えて分析しやすくなったって感じか。
• Improvements to security overview insights, secret scanning metrics (2024/3/21)
  • またも Security overview の UI 改善。この辺りのフィードバックが多い = たくさん利用されはじめてるってことかな。
• GitHub Pages with Custom GitHub Actions Workflows are now generally available (2024/3/25)
• WorkOS is now a GitHub secret scanning partner (2024/3/26)
• Lightspeed is now a GitHub secret scanning partner(2024/3/27)
• Mergify is now a GitHub secret scanning partner (2024/3/27)
• Dependabot grouped security updates generally available (2024/3/28)
  • Dependabot の PR がグループ化してくれる機能が GA すね。
• SSH CA support for enterprise-owned user accounts (2024/3/29)
• Updated GitHub App visibility for Enterprise Managed Users (2024/3/29)