Сегодня в 15:00 Денис Макрушин проведёт круглый стол на тему «Нападение против защиты: честный разговор». Спикеры разделятся на две команды, чтобы обсудить главные инциденты года, разобрать самые неожиданные атаки и поделиться мнением о том, какие инструменты безопасности действительно работают.

Это будет живая история о том, как перестраивается ИБ-архитектура в ответ на новые вызовы. Спойлер одного из вопросов дискуссии: «Кому сейчас ИИ помогает больше — атакующим или защитникам?» — поделитесь своим мнением в комментариях.

➡️ Приходите на площадку или подключайтесь к трансляции.

Если вам нравятся истории безопасности, сегодня мы подготовили ещё одну — следите за новостями.

✌️ История сканирований и ручной запуск — новые инструменты безопасности в SourceCraft

На платформе появились возможности для более гибкого управления проверками безопасности.

🔓 История сканирований позволяет отслеживать статусы предыдущих проверок в динамике. Теперь на отдельной странице можно просматривать снепшоты результатов и анализировать, как менялись находки от запуска к запуску.

Это упрощает разбор инцидентов и аудит изменений, а также помогает восстановить хронологию событий, когда нужно быстро понять, на каком этапе возникла проблема.

👉 Ручной запуск проверок — бывает важно запустить проверку, не дожидаясь расписания, например, сразу после обновления зависимостей или перед релизом.

Теперь инициировать сканирование можно в один клик прямо из раздела «Обзор безопасности».

▶️ Открыть историю сканирований

✌️ Обновления Public API: доступ к RAW-файлам, работа с пул-реквестами и другие возможности REST API

🔘 Исходные файлы репозитория теперь доступны по прямым ссылкам, например:

# Скачать и выполнить скрипт напрямую: curl -s https://raw.sourcecraft.tech/.../install.sh | bash

Также их можно скачивать в интерфейсе платформы или копировать и делиться временными ссылками с коллегами, не имеющими прав в репозитории.

В интерфейсе SourceCraft откройте нужный файл → в правом верхнем углу нажмите RAW.

🔘 Добавили новые методы в публичный REST API для удобной работы с предложениями изменений в ваших пайплайнах.

🔡Merge PullRequest (By ID) — слияние предложения изменений с основной веткой репозитория
асинхронно. Статус операции доступен по status_url.

🔡Get Merge Checks (By ID) — запрос статуса готовности предложения изменений к слиянию с основной веткой репозитория. Метод возвращает статус и правила ревью кода, данные о конфликтах, а также результаты выполнения рабочего процесса CI и проверки конфигураций.

🔡Add Linked PRs — управление связью между предложениями изменений и задачами. Метод ассоциирует предложение изменений с конкретной задачей и возвращает обновленный список всех связанных элементов.

👉 Все возможности REST API

🚀 Залетайте на Космическую викторину SourceCraft

Запустили интерактивное путешествие по планетарной системе SourceCraft вместе с «Типичным программистом» и призами.

Исследуйте восемь уникальных миров. На каждой планете открывается тематическая загадка из истории технологий. Вспомним, как управляли первыми орбитальными станциями или какие IDE задавали тренды 40 лет назад.

Как поучаствовать
1️⃣ Отправляйтесь на космическую станцию викторины, укажите ссылку на ваш профиль в SourceCraft и выполняйте задания.

2️⃣ Среди всех, кто справится с миссией до 30 апреля, случайным образом разыграем промокоды на классные космические призы на Яндекс Маркете.

Победителей объявим 5 мая 2026 года.

Жмите «Начать миссию» — и поехали исследовать ❤️

✌️ Удобная настройка конфигураций в SourceCraft

Теперь управлять всеми конфигами репозитория можно на одной странице в разделе Настройки → Конфигурации.

Для быстрого доступа подсказки интегрированы в ключевые разделы:
⭐️ Политики веток доступны прямо в меню выбора ветки
⭐️ Автоматизации и Sites вынесены в правую панель
⭐️ Правила ревью кода и рецензенты отображаются в правой панели страницы предложения изменений

📌 В приватных репозиториях политики веток и правила ревью кода доступны на тарифе Pro.

Как работать с конфигами
✨ Выбирайте удобный режим работы — редактируйте через интерактивную форму, настраивайте конфиг как код или поручите это ИИ-агенту.

✨ Исправляйте ошибки на лету — система проверяет конфиги в фоновом режиме, подсвечивает ошибки и предлагает исправления с помощью ИИ до слияния.

✨ Конвертируйте устаревшие src-ci.yaml в актуальный формат в один клик.

✏️ Настроить конфигурации

👀Атаки на веб-приложения: куда смещается фокус

Топ техник атак и способы защиты от нетривиальных уязвимостей подготовил Денис Макрушин из команды безопасной разработки.

Современные атаки всё чаще используют несогласованность между компонентами системы, а не только ошибки в коде. Фокус смещается на инфраструктуру и протоколы — безопасность нужно рассматривать на уровне всей системы, а не отдельных компонентов.

Какие атаки попали в топ
🔴Несогласованная интерпретация. Разница в обработке данных (JSON, YAML, HTTP) и нормализация Unicode — главные причины обхода фильтров и выполнения произвольного кода.

🔴Особенности протоколов. Произвольные запросы в HTTP/2 могут использоваться как инструмент сетевой разведки, а новая техника SSRF работает через аномалии в перенаправлениях.

🔴Промт-инъекции в ИИ-агенты. Вредоносные инструкции в коммитах или тикетах, заставляющие агента выполнять привилегированные команды в процессах сборки.

🔴Старая техника атак Zip Slip обретает новую форму — изучаем, как уязвимости адаптируются к новым контекстам.

Денис делится рекомендациями, как закрывать такие уязвимости на этапе разработки, не дожидаясь инцидентов.

🦾 Полный разбор — в статье на Хабре.

😀 Ускоряем разработку с SourceCraft CLI

SourceCraft CLI со встроенным агентским режимом позволяет управлять репозиториями, задачами, предложениями изменений и другими ресурсами на платформе в режиме командной строки.

Какие возможности
🔴 Автономное выполнение многошаговых задач — от написания кода до оформления предложения изменений в фоновом режиме.

🔴 Интеграция с платформами для разработки, которые уже используют команды.

🔴 Защита данных — агент работает на базе языковых моделей Yandex AI Studio, код и рабочие данные не передаются во внешние сервисы.

🔴 ИИ-навыки для запуска готовых сценариев.

🔴 Удобная аутентификация для git без необходимости явно использовать SSH-ключи или PAT.

Показали на видео, как работает консольное приложение в агентском режиме.

〰️ Начать работать с SourceCraft CLI

✌️ Связывайте коммиты с профилем в SourceCraft

Если почта автора в коммите совпадает с почтой в SourceCraft, система автоматически ассоциирует коммит с профилем — в истории коммитов подтянутся имя, аватар и ссылка на профиль.

Для работы с несколькими проектами можно добавить нужные email-адреса в разделе Доступ → Электронные адреса → Новая почта.

После подтверждения все коммиты с этой почтой, включая уже совершённые, будут отображаться c вашим профилем.

➡️ Настроить почту

✌️ Управление лицензионными рисками и транзитивными зависимостями

Теперь SourceCraft помогает командам не только находить уязвимости в используемых пакетах, но и контролировать юридические ограничения, связанные с их использованием. Платформа выявляет транзитивные зависимости проектов и подсвечивает уровень лицензионного риска.

Инструмент можно гибко настроить под ваши процессы:
📌 Использовать перечень лицензий по умолчанию, чтобы быстро запустить проверку
📌 Задать единые правила для всей организации и стандартизировать требования к лицензиям во всех проектах
📌 Определить индивидуальные параметры для конкретного репозитория, если он требует особого контроля

Вся аналитика для репозитория или всей организации доступна в разделе Безопасность → Зависимости. Здесь отображается список всех находок и подробная информация о каждом пакете: уровень лицензионного риска и CVE-риски. Для репозитория в этом разделе доступен граф всех зависимостей.

✏️ Смотрите, как настроить политики лицензий в этом примере.

✌️ Карта зависимостей в SourceCraft

Это интерактивный граф зависимостей проекта, включая транзитивные — скрытые на глубине нескольких уровней вложенности.

Инструмент помогает быстро разобраться в транзитивных зависимостях и понять, какие уязвимые или проблемные библиотеки в проекте нужно обновить в первую очередь.

Если смотреть на граф справа налево, можно отследить цепочку пакетов, через которую зависимость попадает в ваш проект. При нажатии на зависимость отобразятся связи с родительскими и дочерними узлами, а также подробности: лицензия, уязвимости и лицензионные риски.

📌 Инструмент доступен в разделе Безопасность → Зависимости.

🔓 Погружаемся в ИБ на CISO FORUM

Сегодня в Москве обсуждаем самые горячие темы информационной безопасности: атаки и уязвимости, данные и управление рисками, облачные архитектуры и реальные кейсы.

❤️❤️❤️
❤️❤️❤️ Денис Макрушин из команды безопасной разработки SourceCraft сегодня на сцене дважды:

11:40 — круглый стол про безопасность цепочки поставок ПО. Вместе с экспертами отрасли разберёмся, как закрыть риски на трёх этапах — от отбора компонентов до промышленной эксплуатации.

15:20, ТРЕК С — доклад про атаки на ИИ-агентов. Посмотрим на старые уязвимости в новом контексте и обсудим, как встраивать ИИ в цикл разработки без последствий.

Коллеги из Yandex Cloud тоже приготовили интересные темы. Никита Гергель в дискуссии расскажет про метрики эффективной ИБ, а Евгений Сидоров разберёт новые возможности и уязвимости ИИ-агентов в кибербезопасности. Ещё в программе доклады про устойчивую архитектуру облачных сред (Рами Мулейс), облачный SOC (Мария Кириллова) и защиту от утечек через веб (Дмитрий Мажарцев).

Наш стенд — на 2-м этаже, рядом с залом трека А.

Если будете на площадке, заглядывайте пообщаться ❤️

✌️ Открытое ИТ-образование с Yandex Cloud и SourceCraft

Запустили открытую библиотеку авторских курсов по ИТ и ИИ — создаём качественный образовательный контент вместе с преподавателями-экспертами. Готовые материалы уже сейчас можно использовать в своих учебных программах или адаптировать под собственную дисциплину.

Даниил Ефимов, автор курса «Основы облачных технологий», в коротком видео рассказывает о возможностях для преподавателей.

Если вы ведёте профильные дисциплины, курируете стажировки или выстраиваете обучение внутри команды — приглашаем присоединиться к лиге преподавателей SourceCraft. Станьте рецензентом или автором курса, чтобы внести свой вклад в создание полезного контента для тысяч студентов и преподавателей.

Курс остаётся вашим, мы помогаем сделать его доступным для академического сообщества, берём на себя поддержку запуска и предоставляем гранты на облачные ресурсы.

▶️ Смотрите все доступные материалы в библиотеке.

⚡ — Хочу стать автором

🚀 Сегодня финальный день космической викторины SourceCraft

Приглашаем завершить рабочую неделю небольшим приключением по планетарной системе SourceCraft. Погрузимся в историю технологий и исследуем уникальные миры платформы.

Проходите викторину сегодня, чтобы попасть в список участников розыгрыша. Призы на Яндекс Маркете уже ждут своих героев, а итоги подведём 5 мая.

Присоединяйтесь к путешествию ❤️

⚡️ Как переписать 97 тысяч строк кода с Objective-C на Swift за 2 месяца?

Этот вопрос стоял перед командой Яндекс Браузера. За пять лет ручной миграции удалось переписать чуть более половины объёма legacy кода. Ситуацию изменила автоматизация на базе LLM — это решение:

✨Анализирует граф зависимостей, чтобы начинать миграцию с «листьев» — модулей, не зависящих от старого кода
✨Переписывает код, параллельно проверяя его сборкой и тестами
✨Проводит рефакторинг в соответствии с лучшими практиками Swift
✨Автоматически проверяет качество по чек-листу перед код-ревью

В итоге за 2 месяца коллеги переписали 97 500 строк кода, мигрировали 2 167 файлов и смёржили 106 пул-реквестов — вместо запланированного года.

✌️ Все промты, конфигурационные шаблоны и вспомогательные скрипты команда выложила в открытый доступ на SourceCraft.

Забирайте и адаптируйте под свои проекты. А мы уже готовим фичу, чтобы в будущем можно было запускать этот пайплайн прямо внутри платформы.

🔗 Подробности и технические детали — в статье на Хабре.

✌️ Итоги Космической викторины SourceCraft & «Типичный программист»

Миссия завершена — спасибо всем, кто исследовал миры SourceCraft, вспоминал историю технологий и прокачивал космическую эрудицию.

Мы случайным образом выбрали 5 победителей — каждый получит сертификат на космические призы на Яндекс Маркете.

Поздравляем победителей 🎉
1️⃣ место — vadimshatalov (сертификат на 50 000 ₽)
2️⃣ место — anton-cooler228 (сертификат на 20 000 ₽)
3️⃣ место — eug-potato (сертификат на 5 000 ₽)
4️⃣ место — konkov-dmitrij (сертификат на 5 000 ₽)
5️⃣ место — tyusha111333 (сертификат на 5 000 ₽)

Отправим призы на электронную почту, указанную при регистрации.

✌️ Заметили обновления в предложениях изменений?

⭐️ Добавляйте метки, чтобы классифицировать предложения изменений. Например, по типу задач, спринтам или релизам.

⭐️ Используйте новые фильтры для быстрого поиска пул-реквестов в репозитории по автору, рецензенту, статусу или меткам.

Обновления доступны в разделе Репозиторий → Код → Предложения изменений.

✌️ Батл вузов с ИИ-ассистентом SourceCraft

В этом году в турнире появится новый формат задач: участники смогут решать их вместе с ИИ-ассистентом на платформе SourceCraft. Победу принесёт не скорость выполнения, а сильное решение.

Для тех, кто предпочитает олдскул, всё по-прежнему: алгоритмические задачи на скорость, 1v1 наперегонки, таймер, зелёные тесты, CodeBattle.

Коротко о главном
✨Кто участвует: студенты, аспиранты, выпускники вузов и 11-классники.
✨Всего три тура. Стартуем 13 мая в онлайн-квалификации, затем полуфинал и большой финал в Москве 25 июня.
✨Победителей ждёт призовой фонд в 1 000 000 ₽, кубок Young&&Yandex для вуза и наборы умных устройств с Алисой для 200 финалистов.

Регистрируйтесь до 20 мая или делитесь постом с младшими коллегами ❤️

✌️ Как команде выжить в релизную неделю?

Релиз ушёл в прод. И вот тогда это происходит — момент, когда дыхание замедляется… Знакомо? Выпуск изменений не обязательно должен быть проверкой на прочность.

Команда SourceCraft Security прошла путь от хаотичных релизов к предсказуемому процессу. В новой статье Андрей Кулешов делится нашим опытом — простыми практиками, которые действительно работают и помогают выпускать релизы без лишнего стресса и ночных авралов.

Одна из них — догфудинг. Мы сами используем SourceCraft для разработки своего же продукта, что втрое снизило количество откатов после релизов.

➡️ Полный чек-лист уже в статье на Хабре.

😁 Четыре полезных фичи в автоматизациях

Пока готовим обновления, чтобы работа с CI стала ещё удобнее, напомним про возможности, которые уже доступны в автоматизациях SourceCraft:

🔡 Переиспользование кубиков позволяет выносить CI в разные репозитории. Для этого задайте флаг exported: true — подробнее в документации.

🔡 Автоматический перезапуск кубиков поможет, если шаг завершился ошибкой. Чтобы не перезапускать кубик вручную, установите для него параметр retry и укажите количество повторных попыток и условия перезапуска.

🔡 Параметры inputs для запусков по расписанию дают возможность явно передавать входные параметры для рабочих процессов, которые запускаются по расписанию.

🔡 Запуск CI вручную не только из ветки, но и прямо из тега появился в интерфейсе платформы — показали настройки на видео.

✌️ Подводим итоги весеннего релиза безопасности в SourceCraft

Собрали все недавние апдейты безопасности в одну большую подборку и добавили детали, которые не помещались в короткие посты. Например, подробно описали:

🔴 Как мы улучшили генерацию SBOM, увеличили покрытие и обновили процесс сбора данных для Gradle, NPM и Go-экосистемы
🔴 Обновление на странице настроек Security, которое позволяет гранулярно управлять процессом сканирования

Также расширили описание главных весенних фич:
🔴 Карта зависимостей — наглядный анализ безопасности проекта
🔴 Лицензионные риски — контроль юридических ограничений и поиск транзитивных зависимостей в пакетах
🔴 История сканирований и ручной запуск — динамика проверок
🔴 SBOM и KICS — базовый аудит состава ПО и инфраструктуры как кода

Полный список обновлений и короткие инструкции, как использовать их в своих проектах, читайте в нашем блоге.