在旧金山举行的GitHub Universe大会上,GitHub发布了多个新工具,帮助开发者使他们的工作流更加有效,包括Actions、“建议修改(Suggested Changes)”和针对.NET及Java的安全警告等。
已发布的GitHub Actions有限公测版本,允许开发人员通过连接打包在Docker容器中的基本步骤来构建复杂的工作流,并在GitHub的服务器上运行。例如,一个“动作(action )”工作流可以构建一个Node项目,运行它的测试,然后打包并发布在NPM上,或者将它部署到某个地方。Actions可以和GitHub社区共享,从而可以创建一个开发人员很容易重用的Action库。
建议修改使项目的合作者能够对pull请求提出代码修改建议。然后,PR作者可以很容易地接受这些建议,并在必要时修改它们。代码建议是作为内联注释创建的,这当然不是一个新特性;新的是在那些内联注释中包含代码的可能性,而这些代码可以通过一次单击合并到PR中。建议修改已在公测版本中提供。
其他一些新特性主要是代码安全方面的改进,其中包括公共库令牌扫描,旨在防止开发人员在向公共库推送时无意中分享了他们的令牌和密钥。现在,GitHub会在每次提交时扫描你的库,查找主要服务提供商颁发的令牌,包括AWS、Azure、谷歌、GitHub等。如果找到了令牌或密钥,GitHub将通知令牌颁发服务提供商,这样,他们就可以撤销令牌或与开发人员取得联系。在一份相关说明中,对于如何在公共库中存储用于CI集成或自动化测试的令牌而不使其公开的问题,GitHub Actions似乎提供了一个解决方案。在与InfoQ的交谈中,GitHub的发言人证实了这一点。
另一个与安全相关的特性是.NET和Java的安全漏洞。当在库中检测到来自公共漏洞列表(CVE)的漏洞时,GitHub安全漏洞警报会通知库管理员。GitHub以前就提供了针对Ruby、JavaScript和Python的安全警报,现在提供了.NET和Java支持。
与此相关,GitHub现在提供了一个新的“安全咨询(Security Advisory)”API,它为开发人员提供了访问GitHub从各种Web源聚合而来的安全漏洞数据库的权限,这个数据库是所有安全相关特性的基础。感兴趣的读者,可以通过GitHub GraphQL API获取预览版GitHub安全咨询API。
最后需要指出的是,GitHub现在引入了一个新的统一业务标识,使开发人员可以在不同的业务云账户下开展并标识他们的工作。