GitHub Changelog for May 13 - 19, 2024

こんにちは、@dz_ こと、大平かづみです。

先週のGitHub Changelogの週刊キャッチアップをお届けします。

dependabot-coreをMITライセンスでオープンソースとして公開

https://github.blog/changelog/2024-05-13-dependabot-core-is-now-open-source-with-an-mit-license/

dependabot-coreプロジェクトがMITライセンスに変更され、コミュニティからのDependabotへの貢献がしやすくなったことをお知らせできることをうれしく思います。

依存関係を更新し続けることは、ソフトウェアのサプライチェーンを安全に保つために重要な要素で、GitHubユーザーがそれを実現できるように2019年からDependabotが支援しています。100万人もの開発者が毎月、依存関係を最新に保ち、既知のセキュリティにおける脆弱性に対策するために利用しています。Dependabotを利用するどなたに対しても課金はしません、なぜならすべての人が脆弱性に脅えることなくオープンソースを利用できるべきと考えているからです。

dependabot-coreは、Dependabotのコンポーネントで、サポートする20以上の言語やパッケージマネージャに渡り依存関係を更新するためのプルリクエストを作成するロジックを定義しています。このdependabot-coreの更新ロジックは、grouped updatesやauto-triageルールのようなGitHubのDependabot機能のほかの部分と密に連携しており、コラボレーターからの貢献がSwiftに対するサポートやNugetへの改善に役立っています。MITライセンスに移植することにより、コミュニティのメンバーがDependabotに貢献し一緒に革新を起こすための工程を簡潔にしてくれるでしょう。

dependabot-coreは、以前はProsperity Public License 2.0のライセンス下で利用可能で、過去数年にわたり300人以上の開発者からの貢献を受けていました。今、MITライセンスへ更新したことにより、世界中のすべてのソフトウェアのセキュリティを改善するGitHubの大義にコミュニティのメンバーが参加しやすくなるでしょう。dependabot-coreへの貢献についてもっと学びたい場合は、このリポジトリをご確認いただき、イシューやプルリクエストをぜひ投稿ください！

GitHubホステッドランナー: Ubuntu 24.04のpublic betaが利用可能に

https://github.blog/changelog/2024-05-14-github-hosted-runners-public-beta-of-ubuntu-24-04-is-now-available

GitHub Actionsのホステッドランナーにおいて、Ubuntu 24.04のイメージのbetaリリースをお知らせできることをうれしく思います。Actionsワークフローでこれを利用するには、runs-on: ubuntu-24.04を指定するようワークフローファイルを更新してください。

jobs:
  build:
    runs-on: ubuntu-24.04
     steps:
      - uses: actions/checkout@v4
      - uses: actions/setup-node@v4
        with:
          node-version: '20'
      - run: npm install -g bats
      - run: bats -v

Ubuntu 22.04イメージを使用するワークフローとことなり、異なるツールやツールのバージョンが試用されていることに気づくかもしれません。変更されたソフトウェアについては一覧をご参照ください。

Ubuntu 24.04をワークフローで使用して問題があった場合、またはイメージにインストールされたソフトウェアにフィードバックがある場合は、runner-imagesリポジトリでイシューを作成して報告をお願いします。

ランナーイメージがbetaの間は、利用が集中する時間帯はキューの時間が長くなるかもしれません。

2021年に廃止されたGitHub Enterpriseサポートポータルは2024年5月31日に終了

https://github.blog/changelog/2024-05-15-deprecated-in-2021-the-github-enterprise-support-portal-will-be-turned-off-on-31st-may-2024

https://enterprise.githubsupport.com/ にあるEnterprise support portalは、2021年11月1日から廃止されました。しかし、過去のチケットを閲覧できるようにまだアクセスできるままになっています。これが変更されます。サポートに関する体験を合理化するために、2024年5月31日にこのポータルを閉じ、アクセスできないようにする予定です。

必要な対応: もし、support.github.comでは見られない古いチケットを参照するためにこのポータル利用している場合、今月末より前にそれらのチケットから重要な情報をコピーし他の場所に保存することをお勧めします。

GitHub Enterprise cloudアカウントに関するサポートチケットを新しく投稿するには、サポート資格を持つアカウントからsupport.github.comにアクセスしてください。

プライベート リポジトリにおけるセキュリティ アドバイザリの廃止

https://github.blog/changelog/2024-05-15-deprecation-security-advisories-in-private-repositories

本日、2024年5月15日より、プライベート リポジトリにおけるセキュリティ アドバイザリの作成ができなくなります。これまでに投稿されたアドバイザリも利用できなくなります。

この変更は、パブリック リポジトリのセキュリティ アドバイザリやGitHubのopen-source Advisory Databaseに列挙されるアドバイザリには影響しません。

GitHub Actionsのlargerランナーにおける複数ラベルの廃止の経過について

https://github.blog/changelog/2024-05-16-new-dates-for-actions-larger-runner-multi-label-deprecation

2024年4月16日のお知らせを更新し、largerランナーにおける複数ラベルの廃止に関する新しい予定をお知らせします。

Brownouts（試験的な停止）は5月29日に行われます。
6月17日以降、利用者はlargerランナーにおける複数ラベルや名前のないラベルを対象にできなくなります。

この変更に備え中断を避けるには、上記の期日の前に、ワークフローのruns-on:の参照にランナーの名前だけを指定するようご確認ください。

ぜひGitHub Communityにてディスカッションにご参加ください。

GitHub Enterprise Server 3.13 Release Candidateが利用可能に

https://github.blog/changelog/2024-05-16-the-github-enterprise-server-3-13-release-candidate-is-available

GitHub Enterprise Server 3.13 Release Candidateのリリース

GitHub Enterprise Server(GHES) 3.13は、deploymentの要件に対するより細かな制御やセキュリティ制御の強化を提供します。次にハイライトをいくつかご紹介します。

• カスタム プロパティと呼ばれるリポジトリの新しい機能を導入しました。これは、GitHub Organizationを横断してリポジトリを管理し分類するための主要な強化点です。プロパティは、意味のあるメタデータをリポジトリに付与する柔軟な方法を提供し、リポジトリの分類を簡潔にしたり、検索性を強化したり、ルールセットとシームレスに統合したりできます。ぜひデモをご覧ください！詳しくは、組織内リポジトリのカスタム プロパティの管理をご参照ください。
• GHESを3.13にアップグレードすると、Elasticsearchのバージョンが5から8にアップグレードされます。ElasticsearchはGHESにおけるすべての検索体験を強化します。コードの検索や監査ログも含まれます。ES5からES8にアップグレードすることで、より高いパフォーマンスの利点を得られ、ES8におけるセキュリティに対する取組みが改善されます。ES8へのアップグレードに関してどんなことが期待されるかについて詳しく知りたい場合は、Preparing for Elasticsearch upgrade in GHES 3.13をご参照ください。3.13 RCをダウンロードする場合は、ステージング環境をアップグレードしてぜひフィードバックをご共有ください。
• EntepriseまたはOrganizationにおける監査ログ イベントに、SAMLやSCIMのユーザーに紐づく識別データが含まれるようになります。詳しくは、Organization の Audit log をレビューするをご参照ください。
• development containersを定義するためにdevcontainer.jsonを利用している開発者は、コンテナ内の依存関係を最新に保つためにDependabot version updatesを利用できるようになります。dependabot.ymlで構成すると、Dependabotは指定されたスケジュールに従い、最新に更新する依存関係のリストを含んだプルリクエストを作成するようになります。
• プルリクエストのrebaseが速くなります！システムの裏側で、rebaseコミットにおいてmerge-ortを採用するようになりました。意弁は巨大なリポジトリでrebaseを行うにはタイムアウトしていたのですが、ほとんどの場合において成功するようになるでしょう。
• Project Status Updatesを使って、プロジェクトの状態や機会、進捗などの高いレベルの詳細をプロジェクトにおいて直接設定して表示できるようになります！これにより、作業の進捗やリスク、履歴や変更の理由などのすべてを一ヶ所で追跡でき、他のメンバーと共有しやすくなります。

Release Candidatesは最新の機能をいち早くお試しいただける方法で、これによりみなさんの環境でリリースが動作することを保証するためのフィードバックを集めることに役立ちます。これらは、本番でない環境でテストされるべきです。
release candidateプロセスに関しての詳細は、左記リンクをご参照ください。

リリースノートのGitHub Enterprise Server 3.13やrelease candidateのダウンロードについてもご参照ください。
フィードバックやご質問がある方は、サポートチームにご連絡ください。

GitHub ActionsランナーのNode.jsバージョンのデフォルトが16から20に

https://github.blog/changelog/2024-05-17-updated-dates-for-actions-runner-using-node20-instead-of-node16-by-default

Node16のサポート終了のお知らせにつづき、GitHub ActionsにおけるNode16の終了に関する新しい計画を設けました。

2024年6月30日に、デフォルトをNode16からNode20に変更する予定です。まだ利用できる間であれば、ACTIONS_ALLOW_USE_UNSECURE_NODE_VERSION=trueの設定を選択することで、この更新を受け入れずにNode16を使い続けられます。

その後、Node16の利用を監視し続け、継続されている利用量に基づき、10月初めに予定しているNode16の撤廃に関する計画を調整する予定です。これは、Node16を使い続けるために環境変数を指定している利用者は、10月までに移行を済ませる必要があるということです。

ディスカッションはGitHub Communityにぜひご参加ください。