✌️ Новые возможности и улучшения в разделе «Безопасность»

🔡 Множественный выбор находок и их групповая обработка — одно из самых частых пожеланий пользователей инструментов безопасности. Теперь эта функциональность доступна на платформе в разделе «Безопасность».

🔡 Новые инструменты генерации SBOM: Syft с форматом CycloneDX 1.6 и Trivy. Это существенно улучшает анализ уязвимостей в зависимостях — обеспечивает более надёжное покрытие для разных языков и систем сборки, включая JVM-языки с Gradle.

🔡 Новый встроенный статический анализатор KICS для поиска уязвимостей и ошибок в файлах Infrastructure as Code. Теперь небезопасные настройки и проблемы в конфигурации можно выявлять ещё до деплоя.

🔡 Сканирование для публичных репозиториев теперь включено по умолчанию для всех новых проектов.

🔡 Гибкая настройка сканирования — гранулярно включайте и отключайте проверку предложений изменений, фоновое сканирование или загрузку пользовательских результатов.

✏️ Заодно напомним о других улучшениях платформы безопасности, чтобы вы ничего не пропустили:

✨ Центр контроля уязвимостей показывает полную картину безопасности по всем репозиториям организации в одном месте. Обновлённые дашборды собирают статистику по уязвимым библиотекам и репозиториям, которые подвержены риску, чтобы у владельцев проектов всегда был приоритет в исправлении уязвимостей.

В разделе «Анализ кода» также на одной странице можно увидеть все найденные уязвимости в проектах организации.

✨ Разбор уязвимостей с помощью ИИ доступен на страницах «Анализ кода» и «Сканирование секретов» и помогает быстрее оценить и исправить находки.

✨ А также комментарии на странице находок в блоке «Активность» и новые фильтры по именам правил и уязвимым библиотекам в разделе «Зависимости».

Южный ИТ-форум стал для нас ярким финалом весеннего сезона хакатонов. В Ростов-на-Дону мы привезли любимый кейс: создать ИИ-навык, который участники сами захотели бы регулярно использовать в работе.

За три дня участники собрали ИИ-навыки для борьбы с рутиной. Вот какие задачи решали команды:

🏆 Автоматизация код-ревью — набор навыков для анализа предложения изменений, помощи в их изучении, внесения улучшений и мониторинга неотвеченных комментариев, за который команда «жыбий рыр» забрала победу

🏆 Работа с релизами и качеством кода: генерация CHANGELOG, запуск CI-пайплайна публикации, персональные дайджесты разработчика и ещё 5 сценариев от команды победителей «Клуб любителей пощекотать»

⭐️Поддержка контрибьюторов опенсорс-проектов — 11 навыков вокруг проекта kernel-hardening-checker для онбординга, поиска уязвимостей, фаззинг-тестирования, деплоя и генерации кода от команды «Хамстер комбат 2»

⭐️Управление проектом и код-ревью: генерации API-документации, чек-лист для код-ревью, онбординг новичков, анализ зависимостей и декомпозиция задач с оценкой рисков от команды Name tag.

Переходите в репозитории, поддерживайте ребят реакциями и адаптируйте подходящие решения под свои задачи ❤️

☕️ Суббота — день, когда хочется замедлиться… но только если речь не о времени старта Java-приложений

Сегодня на Я.Субботнике выступает участник нашей команды Андрей Кулешов с докладом про Quarkus. Андрей расскажет про модные AOT-like подходы в Java. Это будет история о том, что именно делает Quarkus на стадии build-time, почему такой подход даёт прирост производительности и какие возможности открывает Project Leyden.

Начало доклада в 13:05

Как присоединиться
🔘 на площадке — приходите пообщаться в неформальной обстановке
🔘 онлайн — подключайтесь к трансляции на сайте мероприятия, ВК или YouTube.

✌️ Быстрый старт разработки навыков для Алисы

Чат-боты привычны большинству разработчиков, но тот же интерактив можно легко перенести в голосового помощника.

В Базе знаний появился репозиторий для быстрого старта разработки навыков для Алисы. Проект реализован на Python и работает на основе Yandex Cloud Functions.

Пример навыка:
1️⃣ Повторяет фразу пользователя
2️⃣ Сохраняет последние реплики в состоянии сессии
3️⃣ По запросу «напомни, что я сказал до этого» возвращает предпоследнюю фразу

Получается простой голосовой диалог, который можно развивать под свои сценарии. Кстати, сам пример собран и развёрнут с помощью SourceCraft Code Assistant.

🔘 Берите за основу, разворачивайте у себя и запускайте собственные голосовые навыки

➡️ Посмотреть

✌️ Встречаемся на DevOpsConf!

Мы подготовили много интересного для всех, кто на площадке.

Сегодня в 14:10 | Зона выставки
Питчинг-сессия для инженеров и разработчиков: расскажем, как строится полный цикл разработки на SourceCraft, и анонсируем важные обновления.

3 апреля, 13:30 | Малый зал
Денис Макрушин из команды SourceCraft покажет, насколько уязвимы современные ИИ-инструменты и как они могут скомпрометировать ваши системы. В докладе вас ждёт разбор новых векторов атак, методика и готовый набор решений для защиты агентных ИИ-систем.

Все дни конференции открыт наш стенд 
Заходите пообщаться с командой, познакомиться с платформой и посмотреть её возможности в деле.

До встречи на конференции!

✌️ Увеличили количество публичных и приватных репозиториев в организации до 5000, чтобы упростить работу в проектах с большим числом участников.

Обновление особенно актуально для крупных компаний и образовательных учреждений, где сотрудники и студенты часто создают новые репозитории.

▶️ Обновлённые лимиты

📌 Обновление условий использования SourceCraft Code Assistant

На платформе и в плагине для IDE появились тарифные планы Code Assistant — теперь можно гибко регулировать лимиты и управлять потреблением ИИ-ресурсов.

🔵 Free: 500 нейрокредитов на чат и 4000 запросов на автодополнение кода в месяц.
🔵 Pro: 2000 нейрокредитов на чат, 4 млн запросов на автодополнение. Стоимость — 700 ₽ в месяц за одно рабочее место. Доступно расширение квот под задачи команды.

Нейрокредиты — единая мера потребления ресурсов, которая позволяет оценивать затраты на чат и агентский режим независимо от используемой модели внутри ассистента.

✌️ Всем доступен приветственный бонус — 4000 нейрокредитов. Их можно использовать до 1 июля 2026 года для оценки потребления ресурсов в реальных сценариях.

Выбор тарифного плана доступен в разделе «Тарифы». Потребление квот отображается в настройках личного кабинета SourceCraft и в интерфейсе плагина Code Assistant.

〰️ Тарифные планы Code Assistant

💻 Как собрать MVP за один вечер? Узнаем на about:cloud: infrastructure

16 апреля на митапе пройдет Dev Challenge — команда разработки в реальном времени будет создавать продукт для инженеров и архитекторов.

❤️❤️❤️
❤️❤️❤️Для написания кода и деплоя в облако ребята задействуют SourceCraft и сервисы Yandex Cloud. В процессе они будут рассказывать о выбранном стеке, инструментах и статусе реализации. Успеет ли команда завершить MVP за несколько часов? Увидим в прямом эфире и на офлайн-площадке в Москве.

В основной программе заглянем под капот облачной платформы и инфраструктурных сервисов: коллеги из Yandex Cloud и Yandex Infrastructure подготовили доклады об IaC для управления алертами, инференсе LLM, оптимизации GPU-ресурсов, борьбе с уязвимостями, устройстве CDN и о том, как сложности в разработке on-premises продукта привели к открытию новых полезных фичей.

В перерывах между выступлениями заглянем в «комнату разработки», чтобы увидеть, как продвигается написание кода и какие решения принимаются прямо сейчас.

✏️ Программа и регистрация

✌️ Запускаем блог SourceCraft на Хабре

Начнём с истории одной оптимизации — как сделать быстрый поиск по коду для любого коммита.

Кажется, что для такой задачи логично просто проиндексировать все коммиты. Но на большом репозитории это быстро приводит к гигабайтам индексов и значительному времени на их построение.

Владимир Бобров разбирает, какие подходы мы проверили в SourceCraft — от наивного решения до дельт со снапшотами и персистентного дерева — и как в итоге пришли к решению с линеаризацией истории.

Почему именно этот подход позволяет добиться быстрого поиска и предсказуемого времени ответа даже на больших репозиториях — в свежей статье в нашем блоге на Хабре.

🔍 В SourceCraft можно быстро искать по кодовой базе в разных ветках и удобно перемещаться по репозиторию. За этим стоит применение классических алгоритмов на практике.

Что вам интересно читать в блоге дальше?
🤝 — больше инженерных разборов
🔥 — про архитектуру и внутренности платформы
👌 — прикладные кейсы и сценарии использования

С Днём космонавтики! 🚀

Cобрали подборку киномемов, которые поймут все, кто хоть раз пытался запустить проект «в космос» с первого раза — заряжайтесь настроением и пишите, если узнали себя ❤️

А если хочется космических скоростей без выхода в открытый космос, присоединяйтесь к превью SourceCraft Spaces. Это наша виртуальная среда разработки, где всё под рукой — без боли при настройке окружения и лишних перегрузок.

✌️ Весенний релиз SourceCraft

Рассказываем о главных обновлениях платформы.

Облачная IDE

🔡 SourceCraft Spaces доступен для тестирования пользователям, оставившим заявку на превью.

SourceCraft Code Assistant

🔡 Пользовательские ИИ-навыки теперь доступны в плагине для VS Code.

🔡 В маркетплейсе плагина для VS Code появились новые MCP-инструменты для Yandex Cloud — для генеративного поиска, деплоя и других сценариев.

Безопасность

🔡 Лицензионное сканирование автоматически выявляет транзитивные зависимости в проекте, находит связанные с ними уязвимости и проверяет лицензии.

🔡 Карта зависимостей — интерактивный граф зависимостей проекта с информацией об уязвимостях, лицензионных рисках и статусах, который помогает быстрее анализировать их и планировать обновление.

🔡 В истории сканирований на отдельной странице отображается список прошлых проверок.

Автоматизации

🔡 Параметры кубика теперь можно переиспользовать из YAML-файла другого репозитория.

🔡 Значения переданных входных параметров теперь видны в запущенном процессе.

🔡 Обновлённый интерфейс автоматизаций — теперь параметры запуска можно просматривать в отдельных карточках или общим списком.

Новые инструменты и улучшения платформы

🔡 Сопоставление коммитов с профилем помогает однозначно идентифицировать автора в истории изменений репозитория и связать коммиты с профилем на платформе.

🔡 Предложения изменений поддерживают уведомления, лейблы и удобный поиск.

🔡 Новый визуализатор конфигураций отрисовывает параметры из YAML и валидирует их по схеме.

🔡 Исходные файлы (RAW) репозитория теперь доступны по прямым ссылкам.

🔡 Файлы Jupyter Notebook теперь отображаются в общепринятом формате.

Также мы ускорили процессы на платформе и улучшили интерфейс. Подробности обо всех обновлениях покажем в отдельных постах

✌️ Запустили SourceCraft Spaces в техническое превью

Рабочие пространства разработчиков SourceCraft Spaces теперь доступны всем, кто оставил заявку на закрытую бету.

Они разворачиваются в облачном окружении — виртуальных машинах в Yandex Cloud с предустановленным VS Code, Code Assistant, языковыми пакетами, склонированной веткой репозитория и вспомогательными компонентами.

Где найти на платформе
На странице репозитория в разделе Код → Рабочие пространства.

💬 Смотрите видео, как создавать, открывать и управлять пространствами за пару минут.

📌 Неактивные пространства автоматически останавливаются через 1 час и удаляются через 2 недели для экономии ресурсов на стадии Preview.

Хотите присоединиться? Оставьте заявку на превью.

〰️  Работа в SourceCraft Spaces

✌️ Обновления SourceCraft Code Assistant для VS Code

Многие уже могли заметить новые возможности в плагине. Делимся тремя главными изменениями.

🔡Пользовательские ИИ-навыки — опишите свой сценарий в SKILL․md, и ассистент сам определит по описанию из description, когда и как его применить.

🔡Новые MCP-инструменты для Yandex Cloud доступны в маркетплейсе:
➡️ Yandex Cloud Toolkit Remote — деплой и управление ресурсами
➡️ Yandex Cloud Documentation — генеративный поиск по документации
➡️ Yandex Search — генеративный или классический веб-поиск (есть платный режим)
➡️ Data Catalog Consumer — поиск метаданных в централизованном хранилище

🔡!filePath в .codeassistantignore помогает более тонко настроить доступ к файлам и папкам проекта.

⚡️ Попробовать все обновления можно в плагине для VS Code.

Сегодня в 15:00 Денис Макрушин проведёт круглый стол на тему «Нападение против защиты: честный разговор». Спикеры разделятся на две команды, чтобы обсудить главные инциденты года, разобрать самые неожиданные атаки и поделиться мнением о том, какие инструменты безопасности действительно работают.

Это будет живая история о том, как перестраивается ИБ-архитектура в ответ на новые вызовы. Спойлер одного из вопросов дискуссии: «Кому сейчас ИИ помогает больше — атакующим или защитникам?» — поделитесь своим мнением в комментариях.

➡️ Приходите на площадку или подключайтесь к трансляции.

Если вам нравятся истории безопасности, сегодня мы подготовили ещё одну — следите за новостями.

✌️ История сканирований и ручной запуск — новые инструменты безопасности в SourceCraft

На платформе появились возможности для более гибкого управления проверками безопасности.

🔓 История сканирований позволяет отслеживать статусы предыдущих проверок в динамике. Теперь на отдельной странице можно просматривать снепшоты результатов и анализировать, как менялись находки от запуска к запуску.

Это упрощает разбор инцидентов и аудит изменений, а также помогает восстановить хронологию событий, когда нужно быстро понять, на каком этапе возникла проблема.

👉 Ручной запуск проверок — бывает важно запустить проверку, не дожидаясь расписания, например, сразу после обновления зависимостей или перед релизом.

Теперь инициировать сканирование можно в один клик прямо из раздела «Обзор безопасности».

▶️ Открыть историю сканирований

✌️ Обновления Public API: доступ к RAW-файлам, работа с пул-реквестами и другие возможности REST API

🔘 Исходные файлы репозитория теперь доступны по прямым ссылкам, например:

# Скачать и выполнить скрипт напрямую: curl -s https://raw.sourcecraft.tech/.../install.sh | bash

Также их можно скачивать в интерфейсе платформы или копировать и делиться временными ссылками с коллегами, не имеющими прав в репозитории.

В интерфейсе SourceCraft откройте нужный файл → в правом верхнем углу нажмите RAW.

🔘 Добавили новые методы в публичный REST API для удобной работы с предложениями изменений в ваших пайплайнах.

🔡Merge PullRequest (By ID) — слияние предложения изменений с основной веткой репозитория
асинхронно. Статус операции доступен по status_url.

🔡Get Merge Checks (By ID) — запрос статуса готовности предложения изменений к слиянию с основной веткой репозитория. Метод возвращает статус и правила ревью кода, данные о конфликтах, а также результаты выполнения рабочего процесса CI и проверки конфигураций.

🔡Add Linked PRs — управление связью между предложениями изменений и задачами. Метод ассоциирует предложение изменений с конкретной задачей и возвращает обновленный список всех связанных элементов.

👉 Все возможности REST API

🚀 Залетайте на Космическую викторину SourceCraft

Запустили интерактивное путешествие по планетарной системе SourceCraft вместе с «Типичным программистом» и призами.

Исследуйте восемь уникальных миров. На каждой планете открывается тематическая загадка из истории технологий. Вспомним, как управляли первыми орбитальными станциями или какие IDE задавали тренды 40 лет назад.

Как поучаствовать
1️⃣ Отправляйтесь на космическую станцию викторины, укажите ссылку на ваш профиль в SourceCraft и выполняйте задания.

2️⃣ Среди всех, кто справится с миссией до 30 апреля, случайным образом разыграем промокоды на классные космические призы на Яндекс Маркете.

Победителей объявим 5 мая 2026 года.

Жмите «Начать миссию» — и поехали исследовать ❤️