✌️ Встречаемся на DevOpsConf!

Мы подготовили много интересного для всех, кто на площадке.

Сегодня в 14:10 | Зона выставки
Питчинг-сессия для инженеров и разработчиков: расскажем, как строится полный цикл разработки на SourceCraft, и анонсируем важные обновления.

3 апреля, 13:30 | Малый зал
Денис Макрушин из команды SourceCraft покажет, насколько уязвимы современные ИИ-инструменты и как они могут скомпрометировать ваши системы. В докладе вас ждёт разбор новых векторов атак, методика и готовый набор решений для защиты агентных ИИ-систем.

Все дни конференции открыт наш стенд 
Заходите пообщаться с командой, познакомиться с платформой и посмотреть её возможности в деле.

До встречи на конференции!

✌️ Увеличили количество публичных и приватных репозиториев в организации до 5000, чтобы упростить работу в проектах с большим числом участников.

Обновление особенно актуально для крупных компаний и образовательных учреждений, где сотрудники и студенты часто создают новые репозитории.

▶️ Обновлённые лимиты

📌 Обновление условий использования SourceCraft Code Assistant

На платформе и в плагине для IDE появились тарифные планы Code Assistant — теперь можно гибко регулировать лимиты и управлять потреблением ИИ-ресурсов.

🔵 Free: 500 нейрокредитов на чат и 4000 запросов на автодополнение кода в месяц.
🔵 Pro: 2000 нейрокредитов на чат, 4 млн запросов на автодополнение. Стоимость — 700 ₽ в месяц за одно рабочее место. Доступно расширение квот под задачи команды.

Нейрокредиты — единая мера потребления ресурсов, которая позволяет оценивать затраты на чат и агентский режим независимо от используемой модели внутри ассистента.

✌️ Всем доступен приветственный бонус — 4000 нейрокредитов. Их можно использовать до 1 июля 2026 года для оценки потребления ресурсов в реальных сценариях.

Выбор тарифного плана доступен в разделе «Тарифы». Потребление квот отображается в настройках личного кабинета SourceCraft и в интерфейсе плагина Code Assistant.

〰️ Тарифные планы Code Assistant

💻 Как собрать MVP за один вечер? Узнаем на about:cloud: infrastructure

16 апреля на митапе пройдет Dev Challenge — команда разработки в реальном времени будет создавать продукт для инженеров и архитекторов.

❤️❤️❤️
❤️❤️❤️Для написания кода и деплоя в облако ребята задействуют SourceCraft и сервисы Yandex Cloud. В процессе они будут рассказывать о выбранном стеке, инструментах и статусе реализации. Успеет ли команда завершить MVP за несколько часов? Увидим в прямом эфире и на офлайн-площадке в Москве.

В основной программе заглянем под капот облачной платформы и инфраструктурных сервисов: коллеги из Yandex Cloud и Yandex Infrastructure подготовили доклады об IaC для управления алертами, инференсе LLM, оптимизации GPU-ресурсов, борьбе с уязвимостями, устройстве CDN и о том, как сложности в разработке on-premises продукта привели к открытию новых полезных фичей.

В перерывах между выступлениями заглянем в «комнату разработки», чтобы увидеть, как продвигается написание кода и какие решения принимаются прямо сейчас.

✏️ Программа и регистрация

✌️ Запускаем блог SourceCraft на Хабре

Начнём с истории одной оптимизации — как сделать быстрый поиск по коду для любого коммита.

Кажется, что для такой задачи логично просто проиндексировать все коммиты. Но на большом репозитории это быстро приводит к гигабайтам индексов и значительному времени на их построение.

Владимир Бобров разбирает, какие подходы мы проверили в SourceCraft — от наивного решения до дельт со снапшотами и персистентного дерева — и как в итоге пришли к решению с линеаризацией истории.

Почему именно этот подход позволяет добиться быстрого поиска и предсказуемого времени ответа даже на больших репозиториях — в свежей статье в нашем блоге на Хабре.

🔍 В SourceCraft можно быстро искать по кодовой базе в разных ветках и удобно перемещаться по репозиторию. За этим стоит применение классических алгоритмов на практике.

Что вам интересно читать в блоге дальше?
🤝 — больше инженерных разборов
🔥 — про архитектуру и внутренности платформы
👌 — прикладные кейсы и сценарии использования

С Днём космонавтики! 🚀

Cобрали подборку киномемов, которые поймут все, кто хоть раз пытался запустить проект «в космос» с первого раза — заряжайтесь настроением и пишите, если узнали себя ❤️

А если хочется космических скоростей без выхода в открытый космос, присоединяйтесь к превью SourceCraft Spaces. Это наша виртуальная среда разработки, где всё под рукой — без боли при настройке окружения и лишних перегрузок.

✌️ Весенний релиз SourceCraft

Рассказываем о главных обновлениях платформы.

Облачная IDE

🔡 SourceCraft Spaces доступен для тестирования пользователям, оставившим заявку на превью.

SourceCraft Code Assistant

🔡 Пользовательские ИИ-навыки теперь доступны в плагине для VS Code.

🔡 В маркетплейсе плагина для VS Code появились новые MCP-инструменты для Yandex Cloud — для генеративного поиска, деплоя и других сценариев.

Безопасность

🔡 Лицензионное сканирование автоматически выявляет транзитивные зависимости в проекте, находит связанные с ними уязвимости и проверяет лицензии.

🔡 Карта зависимостей — интерактивный граф зависимостей проекта с информацией об уязвимостях, лицензионных рисках и статусах, который помогает быстрее анализировать их и планировать обновление.

🔡 В истории сканирований на отдельной странице отображается список прошлых проверок.

Автоматизации

🔡 Параметры кубика теперь можно переиспользовать из YAML-файла другого репозитория.

🔡 Значения переданных входных параметров теперь видны в запущенном процессе.

🔡 Обновлённый интерфейс автоматизаций — теперь параметры запуска можно просматривать в отдельных карточках или общим списком.

Новые инструменты и улучшения платформы

🔡 Сопоставление коммитов с профилем помогает однозначно идентифицировать автора в истории изменений репозитория и связать коммиты с профилем на платформе.

🔡 Предложения изменений поддерживают уведомления, лейблы и удобный поиск.

🔡 Новый визуализатор конфигураций отрисовывает параметры из YAML и валидирует их по схеме.

🔡 Исходные файлы (RAW) репозитория теперь доступны по прямым ссылкам.

🔡 Файлы Jupyter Notebook теперь отображаются в общепринятом формате.

Также мы ускорили процессы на платформе и улучшили интерфейс. Подробности обо всех обновлениях покажем в отдельных постах

✌️ Запустили SourceCraft Spaces в техническое превью

Рабочие пространства разработчиков SourceCraft Spaces теперь доступны всем, кто оставил заявку на закрытую бету.

Они разворачиваются в облачном окружении — виртуальных машинах в Yandex Cloud с предустановленным VS Code, Code Assistant, языковыми пакетами, склонированной веткой репозитория и вспомогательными компонентами.

Где найти на платформе
На странице репозитория в разделе Код → Рабочие пространства.

💬 Смотрите видео, как создавать, открывать и управлять пространствами за пару минут.

📌 Неактивные пространства автоматически останавливаются через 1 час и удаляются через 2 недели для экономии ресурсов на стадии Preview.

Хотите присоединиться? Оставьте заявку на превью.

〰️  Работа в SourceCraft Spaces

✌️ Обновления SourceCraft Code Assistant для VS Code

Многие уже могли заметить новые возможности в плагине. Делимся тремя главными изменениями.

🔡Пользовательские ИИ-навыки — опишите свой сценарий в SKILL․md, и ассистент сам определит по описанию из description, когда и как его применить.

🔡Новые MCP-инструменты для Yandex Cloud доступны в маркетплейсе:
➡️ Yandex Cloud Toolkit Remote — деплой и управление ресурсами
➡️ Yandex Cloud Documentation — генеративный поиск по документации
➡️ Yandex Search — генеративный или классический веб-поиск (есть платный режим)
➡️ Data Catalog Consumer — поиск метаданных в централизованном хранилище

🔡!filePath в .codeassistantignore помогает более тонко настроить доступ к файлам и папкам проекта.

⚡️ Попробовать все обновления можно в плагине для VS Code.

Сегодня в 15:00 Денис Макрушин проведёт круглый стол на тему «Нападение против защиты: честный разговор». Спикеры разделятся на две команды, чтобы обсудить главные инциденты года, разобрать самые неожиданные атаки и поделиться мнением о том, какие инструменты безопасности действительно работают.

Это будет живая история о том, как перестраивается ИБ-архитектура в ответ на новые вызовы. Спойлер одного из вопросов дискуссии: «Кому сейчас ИИ помогает больше — атакующим или защитникам?» — поделитесь своим мнением в комментариях.

➡️ Приходите на площадку или подключайтесь к трансляции.

Если вам нравятся истории безопасности, сегодня мы подготовили ещё одну — следите за новостями.

✌️ История сканирований и ручной запуск — новые инструменты безопасности в SourceCraft

На платформе появились возможности для более гибкого управления проверками безопасности.

🔓 История сканирований позволяет отслеживать статусы предыдущих проверок в динамике. Теперь на отдельной странице можно просматривать снепшоты результатов и анализировать, как менялись находки от запуска к запуску.

Это упрощает разбор инцидентов и аудит изменений, а также помогает восстановить хронологию событий, когда нужно быстро понять, на каком этапе возникла проблема.

👉 Ручной запуск проверок — бывает важно запустить проверку, не дожидаясь расписания, например, сразу после обновления зависимостей или перед релизом.

Теперь инициировать сканирование можно в один клик прямо из раздела «Обзор безопасности».

▶️ Открыть историю сканирований

✌️ Обновления Public API: доступ к RAW-файлам, работа с пул-реквестами и другие возможности REST API

🔘 Исходные файлы репозитория теперь доступны по прямым ссылкам, например:

# Скачать и выполнить скрипт напрямую: curl -s https://raw.sourcecraft.tech/.../install.sh | bash

Также их можно скачивать в интерфейсе платформы или копировать и делиться временными ссылками с коллегами, не имеющими прав в репозитории.

В интерфейсе SourceCraft откройте нужный файл → в правом верхнем углу нажмите RAW.

🔘 Добавили новые методы в публичный REST API для удобной работы с предложениями изменений в ваших пайплайнах.

🔡Merge PullRequest (By ID) — слияние предложения изменений с основной веткой репозитория
асинхронно. Статус операции доступен по status_url.

🔡Get Merge Checks (By ID) — запрос статуса готовности предложения изменений к слиянию с основной веткой репозитория. Метод возвращает статус и правила ревью кода, данные о конфликтах, а также результаты выполнения рабочего процесса CI и проверки конфигураций.

🔡Add Linked PRs — управление связью между предложениями изменений и задачами. Метод ассоциирует предложение изменений с конкретной задачей и возвращает обновленный список всех связанных элементов.

👉 Все возможности REST API

🚀 Залетайте на Космическую викторину SourceCraft

Запустили интерактивное путешествие по планетарной системе SourceCraft вместе с «Типичным программистом» и призами.

Исследуйте восемь уникальных миров. На каждой планете открывается тематическая загадка из истории технологий. Вспомним, как управляли первыми орбитальными станциями или какие IDE задавали тренды 40 лет назад.

Как поучаствовать
1️⃣ Отправляйтесь на космическую станцию викторины, укажите ссылку на ваш профиль в SourceCraft и выполняйте задания.

2️⃣ Среди всех, кто справится с миссией до 30 апреля, случайным образом разыграем промокоды на классные космические призы на Яндекс Маркете.

Победителей объявим 5 мая 2026 года.

Жмите «Начать миссию» — и поехали исследовать ❤️

✌️ Удобная настройка конфигураций в SourceCraft

Теперь управлять всеми конфигами репозитория можно на одной странице в разделе Настройки → Конфигурации.

Для быстрого доступа подсказки интегрированы в ключевые разделы:
⭐️ Политики веток доступны прямо в меню выбора ветки
⭐️ Автоматизации и Sites вынесены в правую панель
⭐️ Правила ревью кода и рецензенты отображаются в правой панели страницы предложения изменений

📌 В приватных репозиториях политики веток и правила ревью кода доступны на тарифе Pro.

Как работать с конфигами
✨ Выбирайте удобный режим работы — редактируйте через интерактивную форму, настраивайте конфиг как код или поручите это ИИ-агенту.

✨ Исправляйте ошибки на лету — система проверяет конфиги в фоновом режиме, подсвечивает ошибки и предлагает исправления с помощью ИИ до слияния.

✨ Конвертируйте устаревшие src-ci.yaml в актуальный формат в один клик.

✏️ Настроить конфигурации

👀Атаки на веб-приложения: куда смещается фокус

Топ техник атак и способы защиты от нетривиальных уязвимостей подготовил Денис Макрушин из команды безопасной разработки.

Современные атаки всё чаще используют несогласованность между компонентами системы, а не только ошибки в коде. Фокус смещается на инфраструктуру и протоколы — безопасность нужно рассматривать на уровне всей системы, а не отдельных компонентов.

Какие атаки попали в топ
🔴Несогласованная интерпретация. Разница в обработке данных (JSON, YAML, HTTP) и нормализация Unicode — главные причины обхода фильтров и выполнения произвольного кода.

🔴Особенности протоколов. Произвольные запросы в HTTP/2 могут использоваться как инструмент сетевой разведки, а новая техника SSRF работает через аномалии в перенаправлениях.

🔴Промт-инъекции в ИИ-агенты. Вредоносные инструкции в коммитах или тикетах, заставляющие агента выполнять привилегированные команды в процессах сборки.

🔴Старая техника атак Zip Slip обретает новую форму — изучаем, как уязвимости адаптируются к новым контекстам.

Денис делится рекомендациями, как закрывать такие уязвимости на этапе разработки, не дожидаясь инцидентов.

🦾 Полный разбор — в статье на Хабре.

😀 Ускоряем разработку с SourceCraft CLI

SourceCraft CLI со встроенным агентским режимом позволяет управлять репозиториями, задачами, предложениями изменений и другими ресурсами на платформе в режиме командной строки.

Какие возможности
🔴 Автономное выполнение многошаговых задач — от написания кода до оформления предложения изменений в фоновом режиме.

🔴 Интеграция с платформами для разработки, которые уже используют команды.

🔴 Защита данных — агент работает на базе языковых моделей Yandex AI Studio, код и рабочие данные не передаются во внешние сервисы.

🔴 ИИ-навыки для запуска готовых сценариев.

🔴 Удобная аутентификация для git без необходимости явно использовать SSH-ключи или PAT.

Показали на видео, как работает консольное приложение в агентском режиме.

〰️ Начать работать с SourceCraft CLI

✌️ Связывайте коммиты с профилем в SourceCraft

Если почта автора в коммите совпадает с почтой в SourceCraft, система автоматически ассоциирует коммит с профилем — в истории коммитов подтянутся имя, аватар и ссылка на профиль.

Для работы с несколькими проектами можно добавить нужные email-адреса в разделе Доступ → Электронные адреса → Новая почта.

После подтверждения все коммиты с этой почтой, включая уже совершённые, будут отображаться c вашим профилем.

➡️ Настроить почту

✌️ Управление лицензионными рисками и транзитивными зависимостями

Теперь SourceCraft помогает командам не только находить уязвимости в используемых пакетах, но и контролировать юридические ограничения, связанные с их использованием. Платформа выявляет транзитивные зависимости проектов и подсвечивает уровень лицензионного риска.

Инструмент можно гибко настроить под ваши процессы:
📌 Использовать перечень лицензий по умолчанию, чтобы быстро запустить проверку
📌 Задать единые правила для всей организации и стандартизировать требования к лицензиям во всех проектах
📌 Определить индивидуальные параметры для конкретного репозитория, если он требует особого контроля

Вся аналитика для репозитория или всей организации доступна в разделе Безопасность → Зависимости. Здесь отображается список всех находок и подробная информация о каждом пакете: уровень лицензионного риска и CVE-риски. Для репозитория в этом разделе доступен граф всех зависимостей.

✏️ Смотрите, как настроить политики лицензий в этом примере.

✌️ Карта зависимостей в SourceCraft

Это интерактивный граф зависимостей проекта, включая транзитивные — скрытые на глубине нескольких уровней вложенности.

Инструмент помогает быстро разобраться в транзитивных зависимостях и понять, какие уязвимые или проблемные библиотеки в проекте нужно обновить в первую очередь.

Если смотреть на граф справа налево, можно отследить цепочку пакетов, через которую зависимость попадает в ваш проект. При нажатии на зависимость отобразятся связи с родительскими и дочерними узлами, а также подробности: лицензия, уязвимости и лицензионные риски.

📌 Инструмент доступен в разделе Безопасность → Зависимости.