GitHub 安全实验室的专家撰写的这篇文章指出,持续模糊测试虽然强大,但并非软件安全的“灵丹妙药”。文章强调了三个真实世界的例子——GStreamer、Poppler 和 Exiv2——其中关键漏洞在多年的密集模糊测试中依然存在,原因在于人工监督不足、代码覆盖率低、未对外部依赖进行模糊测试以及被忽视的攻击面(例如,编码与解码)。作者随后提出了一个“五步模糊测试工作流”,重点关注代码准备、提高传统代码覆盖率(>90%)、增强上下文敏感覆盖率(>60%)和实现值覆盖率。文章还讨论了需要大量输入或延长执行时间才能发现的漏洞,表明这些漏洞通常需要静态分析或手动代码审查等其他技术。核心信息是,积极的人工参与、细致的工作流设计和高级模糊测试策略对于发现难以寻觅的漏洞至关重要。
这篇 GitHub 博客文章回顾了 2025 年最受欢迎的文章和有趣的采访,重点关注 AI 和软件开发的关键趋势。2025 年标志着 AI 真正成为编程伙伴的转变,并重点强调了 AI 代理和代理工具的崛起。文中强调的关键进展包括 GitHub Copilot 的“代理模式”,用于自主代码迭代和错误更正;直接嵌入 GitHub 中用于问题解决和代码生成的“编码代理”;以及“代理总部”(Agent HQ),它为各种 AI 代理(Anthropic、OpenAI、Google 等)在 GitHub 中协作创建了一个生态系统。文章还介绍了“模型上下文协议”(Model Context Protocol, MCP),用于 AI 工具之间的无缝通信,以及由开源“规约工具包”(Spec Kit)支持的“规约驱动开发”概念,该方法将工程流程围绕规约展开,而非代码先行。此外,它还重温了关于 Git 20 周年与 Linus Torvalds、Log4Shell 漏洞以及 Home Assistant 本地优先反抗的热门文章。
这篇来自 GitHub 博客的文章介绍了 WRAP 框架(Write effective issues 编写有效的任务、Refine your instructions 精炼你的指令、Atomic tasks 原子化任务、Pair with the coding agent 与编码助手结对),旨在有效利用 GitHub Copilot 编码助手来清理开发积压工作,并管理技术债务。文章强调应将 AI 助手视为初级团队成员,它需要清晰的上下文和详细的指令。该框架指导用户如何为助手撰写精确的任务描述,在仓库或组织级别精炼自定义指令以确保行为一致性,并将大问题分解为助手可以高效处理的微小原子化任务。文章还强调了人类和 AI 的互补优势:人类擅长理解“为什么”和处理模糊性,而 AI 则在不知疲倦的重复执行和探索可能性方面表现出色。WRAP 方法旨在优化 AI 编码工具在专业开发工作流程中的应用。
