GitHub Changelog for Apr 22 - 28, 2024

こんにちは、@dz_ こと、岩永かづみです。

先週のGitHub Changelogの週刊キャッチアップをお届けします。

Dependabot updatesをGitHub Actionsで実行できるように（GitHub Enterprise Cloud、Free、Pro、Teamsプランで利用可能）

https://github.blog/changelog/2024-04-22-dependabot-updates-on-actions-for-github-enterprise-cloud-and-free-pro-and-teams-users

本日（2024年4月22日）から、GitHub Enterprise Cloud(GHEC)やFree、Pro、Teamsプランを利用している開発者はリポジトリやOrganizationでDependabot updatesをGitHub Actionsワークフローとして実行できるようになります。この変更により、Dependabotがプルリクエストを生成するために実行するジョブがGitHub Actions上で実行されるようになります。これは、後にお知らせする予定の長期的な移行プランである、Dependabotの実行基盤をGitHub Actionsに統合する計画の最初の取組みです。

誰がオプトインできる？

GHEC、Free、Pro、Teamsプランの管理者がDependabot on Actionsを本日より有効化できます。

GitHub Enterprise Server(GHES)を利用している場合は？

GHESやProxima（？）の利用者は、すでにDependabot on Actionsを利用しているので、追加の手順はありません。

DependabotをActionsワークフローとして実行すべきか？

Dependabot on Actionsの有効化は、より速いDependabotの実行や失敗した実行を手動で検出してトラブルシュートできる可視性の向上などのパフォーマンスの利益を得られます。Actions APIやwebhookでも失敗した実行を検出でき、開発者がCI/CDパイプラインに構成したいと願うであろうダウンストリームにおける処理の実行もできます。Dependabotの機能自体には何の変更も影響もなく、Actionsの課金対象である稼働時間に対しても影響はありません（例えば、Dependabotの実行は無料です）。

これはActionsの稼働時間や課金としてカウントされるか？

これはGitHub Actionsの稼働時間にカウントされません。すなわち、Dependabotの利用はすべての利用者に対して無料であり続けます。本日より、DependabotをActionsワークフローで利用する場合もすべての利用者に対して無料であり、すべてのリポジトリで利用可能です。

Dependabot on Actionsにおける次の移行フェーズは？

来年中に、すべてのDependabotのワークフローをActionsの実行インフラストラクチャに移行する予定です。利用者は本日よりオプトインしてこれらの利益を得られますが、近いうちにオプトインしなくてもすべてのリポジトリで利用できるようになります。Dependabot on Actionsによる実行の高速化やトラブルシューティングの可視性の向上、その他の将来的なベネフィットが解放されることにワクワクしています。Actionsを利用していないがDependabotを利用しているリポジトリを所有するOrganizationに対して、実行インフラストラクチャの移行を開始する際に、緊密に連絡を取る予定です。もし質問や懸念がある場合、community discussionで相談いただいたり、サポートチームにご連絡ください。

Dependabot on Actionsを有効化するには？

GHEC、Free、Pro、Teamsプランを利用している管理者は、リポジトリまたはOrganizationレベルでCode security and analysis設定ページからDependabot on Actionsのランナーを有効化できます。詳しくは、GitHub Actions ランナーの Dependabot を有効または無効にするをご参照ください。

セルフホステッドランナーやlargerランナー、actions runner controller(ARC)ではサポートされる？

2024年5月

VNETはサポートされる？

まだ対応中で、いつ提供できるかの期日を見積もれていません。

DependabotのジョブをActionsワークフローやAPIから実行できるか？

今日においては、DependabotジョブはDependabot UIからのみ実行でき、ActionsワークフローやAPIからは実行できません。

DependabotジョブがActionsで失敗した場合、どう再実行するか？

Dependabot version updates ジョブの再実行やDependabot security updates ジョブの再実行をご参照ください。

Dependabot on Actionsを有効化した場合、あとからオプトアウトできるか？

現段階では、Dependabot on Actionsをオプトアウトできます。しかし、Dependabotの実行基盤をActionsに移行するため、来年はオプトアウトについて変更があるでしょう。

Actionsを有効にしたくない場合、どうすれば？Actionsが無効でDependabot on Actionsが有効な場合は？

この実行インフラストラクチャの移行のフェーズがオプトインである間、リポジトリやOrganizationレベルでDependabot on Actionsが有効だけどActionsが無効になっている場合、Dependabotは従来の実行インフラストラクチャで動作します。もしDependabot on Actionsを利用したい場合は、Dependabotが有効化されたリポジトリやOrganizationではActionsを有効にしてください。

詳しくは、GitHub Actions ランナーの Dependabot についてをご参照ください。

ディスカッションはぜひGitHub Communityにご参加ください。

GitHub Copilot Metrics APIがpublic betaで利用可能に

https://github.blog/changelog/2024-04-23-github-copilot-metrics-api-now-available-in-public-beta

GitHub Copilot Metrics APIのpublic beta公開をお知らせできてワクワクしています。GitHub Copilot BusinessまたはGitHub Copilot Enterpriseをご利用のお客様に本日（2024年4月23日）からご利用いただけます。

GitHub Copilot Metrics APIは、Organization内のCopilotの利用情報を取得できるように設計されています。APIからのデータはあなた方の組織独自のデータと組み合わせて利用することを目的としていて、それがソフトウェア開発サイクルの全体像に対してCopilotがいかにフィットするかを示すよりよい可視化ができるでしょう。

Public betaではどんな機能が含まれているか？

• 時系列のデータが自動的にロードされ、1日目からのそれまでのソースに対しオーバーレイできる
• エンドポイントは利用履歴から28日分か、随時のデータを返す
• データは日単位でサマライズされ、日の終わりにリフレッシュされる
• データの範囲指定やページネーションが利用できる
• GitHub Copilot Metrics APIのイテレーションは、IDEにおけるCopilot Chatとコード補完のメトリクスの提供にフォーカスされている
• コード補完のメトリクス: 提案されたコードの行、採用されたコードの行、提案の数、採用の数、言語別またはIDE別のアクティブユーザー
• Copilot Chatのメトリクス: チャットの数、採用されたチャットの提案、アクティブユーザー。Chatのメトリクスでは、言語やIDE別の機能は現在提供されない
• 5人以上のGitHubチームにおけるチームレベルの集計も利用できる

ドキュメントとリソース

使い始めるに、総合的なドキュメントとリソースを用意しています。

• APIドキュメント: メトリクスの定義を含めた詳細なAPIドキュメントはこちら
• 可視化: エンドポイントからデータを取得して可視化するオープンソースんのツールはこちらから
• メトリクスの出力: GitHub Actionsを用いてエンドポイントからフラットなCSVを生成するにはこちら
• 学習パス: GitHub Copilotの効果を計測するための追加の記事はこちらから

Public betaにぜひご参加ください

ベータ期間のフィードバックはとても価値があります。あなたの体験を共有してもらうことを推奨していて、それは将来に向けてAPIを改良し強化する助けになります。

beta機関を通じて更新と強化にご注目ください。ユーザーのニーズや期待に応えるために、堅牢で機能性の高いAPIを提供できるよう努めます。

GitHub Issues & Projects - Projectsのissueの自動クローズワークフロー

https://github.blog/changelog/2024-04-25-github-issues-projects-auto-close-issue-project-workflow

今日（2024年4月25日）のchangelogでは、Projectsのissueを自動クローズする新しいワークフローをご紹介します。

🪄 Projectsのissue自動クローズワークフロー

issueの自動クローズワークフローが登場し、プロジェクトのステータスが"Done"✅か、または定義されたステータスに変更されたときにissueをクローズできるようになりました。（何度もクリックすることから解放されます🙅）

新しいワークフローの実装

既存のプロジェクトでは、writeかadmin権限を持つ人ならだれでも、ワークフローページでこの新しいissue自動クローズのワークフローを有効化できます。

新しいプロジェクトでは、issue自動クローズのワークフローはデフォルトで有効になっています。

✍️ 感想をお聞かせください

フィードバックはcommunity discussionにお寄せください。

✨ バグ修正や改善

• Enterprise Managed Usersにおいて、パブリックプロジェクトのテンプレートやパブリックプロジェクトのコピーができるようになりました
• ビュー設定メニューやテーブルカラムメニューにおいて、ソートフィールドのセカンダリ項目を適用する動作が変わりました

プロジェクトプランニングのためにGitHubを利用する方法については、GitHub Issuesをご参照ください。また、ロードマップやドキュメントもぜひご覧ください。

GitHub Actions - environmentsを横断したDeploymentビュー（GA）

https://github.blog/changelog/2024-04-25-github-actions-deployment-views-across-environments-ga

environmentsを横断した新しいdeploymentビューが一般公開（Generally available, GA）されました！🎉

これらのビューにより、開発者やDevOpsマネージャーがリポジトリのdeploymentsの完全な履歴を閲覧したり、environmentsやワークフローを横断してステータスや期間、ブロッカーを絞り込んで確認できるようになります。

以下の強化とともにこれらのDeploymentダッシュボード ビューを一般公開をお知らせします:

• environmentsのピン留め。例えば、最大10個までもっとも重要なenvironmentsをピン留めでき、ロールアウトされたすべてのdeploymentsを素早く閲覧できる。
• ビューのフィルタの追加。特定のdeploymentステータスや特定のenvironmentの指定とともに、特定の作成者でdeploymentのリストをドリルダウンできる。

deploymentsの閲覧や絞り込みについて詳しくは、ドキュメントをご参照ください。

質問があれば、GitHub Actions communityをご確認ください。
Actionsの次の更新については、公開されているロードマップをご覧ください。

Enterpriseレベルのenablement trends（public beta）

https://github.blog/changelog/2024-04-25-enterprise-enablement-trends-for-security-products-public-beta

Enterpriseの所有者やセキュリティ製品の管理を選任しているセキュリティマネージャーに向けて、新しい機能をお知らせできることをうれしく思います。これにより、GitHub enterprise全体に渡りセキュリティ製品のenablement trendsに時系列のインサイトが導入されます。このオーバービューでは、セキュリティ製品のカバレッジが会社組織全体に渡りどう適用されているかを確認するのに役立ちます。

GitHub Organization内でセキュリティ製品のenablement trendsを監視できるようになる、enablement trends report for organizationsのpublic betaに関して3月にお知らせしたことに続き、この機能をenterpriseレベルに拡大します。ownerフィルタの追加により、特定のOrganizationにより所有されているリポジトリのメトリクスの誘導を簡潔にできます。

enablement trendsを探索して、GitHubのセキュリティ機能の有効化の状態に関して時系列のインサイトを得られます:

• Dependabot alerts
• Dependabot security updates
• Code scanning
• Secret scanning alerts
• Secret scanning push protection

時系列のデータは2024年1月1日からの分が利用可能で、Dependabot security updatesのデータのみ2024年1月17日から利用可能です。

enablement trendsレポートにアクセスするには、Enterprise accountの画面を開き、サイドバーからCode Securityを選択してください。

この機能は、GitHub Enterprise Cloudでpublic betaとして利用可能で、GitHub Enterprise Server 3.14で利用可能になる予定です。

詳細はsecurity overviewをご参照ください。また、ご意見がございましたらGitHub Communityにお寄せください。

CodeQL 2.17.1: C#向けのAIにより強化されたautofix、新しいRuby向けのクエリ、Java向けのモデル

https://github.blog/changelog/2024-04-26-codeql-2-17-1-ai-powered-autofixes-for-c-new-ruby-queries-and-more-java-models

CodeQLはGitHub code scanningを強化する静的解析エンジンです。CodeQLの2.17.1バージョンがリリースされ、GitHub.comでのcode scanningユーザーは利用できます。

CodeQL code scanningは、C#に関するアラートに対し、プルリクエストでCopilotによる自動修正の提案をサポートします。これは、GitHub Advanced Seucirtyを利用するすべてのプライベート リポジトリに対して自動的に有効化されます。最初の時点では、DefaultとExtendedスイートのC#に対してサポートされた49のクエリにより、autofixはほぼすべてのクエリを網羅します。ご質問やフィードバックはpublic discussionsにお寄せください。

このリリースには以下も含まれます:

• 13,000以上の新しいモデルが追加され、Javaのカバレッジが改善されます。このモデルは、アラートの削除と同じように導入もできます。
• Rubyに対する2つの新しいクエリが追加:
  • rb/insecure-mass-assignmentは、任意のパラメータを受け入れる一括代入による演算のインスタンスを検出する
  • rb/csrf-protection-not-enabledは、Ruby on Railsのコントローラーにおいて、Cross-Site Request Forgery保護が有効化されていない箇所を検出する
• PathGraphを利用して作成されて結果から、各工程のステップで利用されたモデルについての情報が生成されるようになる

変更の完全な一覧は、version 2.17.1の完全なchangelogをご参照ください。すべての機能はGitHub Enterprise Server(GHES) 3.13にも含まれる予定です。GHES 3.12または以前のユーザーは、CodeQLのバージョンをアップグレードしてください。

リンクの下線の設定がGA

https://github.blog/changelog/2024-04-28-link-underline-setting-now-ga

アクセシビリティの強化で、テキスト内のリンクに下線を表示する新しいaccessibility settingを紹介します。リンクは、周囲のテキストから明確に区別できることが重要ですが、色だけでなく追加のスタイルを適用することでも対応できます。

この機能に関する詳細は、ドキュメントをご参照ください。ベータ期間の間に価値あるフィードバックを提供下さることに感謝します。