👀Атаки на веб-приложения: куда смещается фокус

Топ техник атак и способы защиты от нетривиальных уязвимостей подготовил Денис Макрушин из команды безопасной разработки.

Современные атаки всё чаще используют несогласованность между компонентами системы, а не только ошибки в коде. Фокус смещается на инфраструктуру и протоколы — безопасность нужно рассматривать на уровне всей системы, а не отдельных компонентов.

Какие атаки попали в топ
🔴Несогласованная интерпретация. Разница в обработке данных (JSON, YAML, HTTP) и нормализация Unicode — главные причины обхода фильтров и выполнения произвольного кода.

🔴Особенности протоколов. Произвольные запросы в HTTP/2 могут использоваться как инструмент сетевой разведки, а новая техника SSRF работает через аномалии в перенаправлениях.

🔴Промт-инъекции в ИИ-агенты. Вредоносные инструкции в коммитах или тикетах, заставляющие агента выполнять привилегированные команды в процессах сборки.

🔴Старая техника атак Zip Slip обретает новую форму — изучаем, как уязвимости адаптируются к новым контекстам.

Денис делится рекомендациями, как закрывать такие уязвимости на этапе разработки, не дожидаясь инцидентов.

🦾 Полный разбор — в статье на Хабре.

😀 Ускоряем разработку с SourceCraft CLI

SourceCraft CLI со встроенным агентским режимом позволяет управлять репозиториями, задачами, предложениями изменений и другими ресурсами на платформе в режиме командной строки.

Какие возможности
🔴 Автономное выполнение многошаговых задач — от написания кода до оформления предложения изменений в фоновом режиме.

🔴 Интеграция с платформами для разработки, которые уже используют команды.

🔴 Защита данных — агент работает на базе языковых моделей Yandex AI Studio, код и рабочие данные не передаются во внешние сервисы.

🔴 ИИ-навыки для запуска готовых сценариев.

🔴 Удобная аутентификация для git без необходимости явно использовать SSH-ключи или PAT.

Показали на видео, как работает консольное приложение в агентском режиме.

〰️ Начать работать с SourceCraft CLI

✌️ Связывайте коммиты с профилем в SourceCraft

Если почта автора в коммите совпадает с почтой в SourceCraft, система автоматически ассоциирует коммит с профилем — в истории коммитов подтянутся имя, аватар и ссылка на профиль.

Для работы с несколькими проектами можно добавить нужные email-адреса в разделе Доступ → Электронные адреса → Новая почта.

После подтверждения все коммиты с этой почтой, включая уже совершённые, будут отображаться c вашим профилем.

➡️ Настроить почту

✌️ Управление лицензионными рисками и транзитивными зависимостями

Теперь SourceCraft помогает командам не только находить уязвимости в используемых пакетах, но и контролировать юридические ограничения, связанные с их использованием. Платформа выявляет транзитивные зависимости проектов и подсвечивает уровень лицензионного риска.

Инструмент можно гибко настроить под ваши процессы:
📌 Использовать перечень лицензий по умолчанию, чтобы быстро запустить проверку
📌 Задать единые правила для всей организации и стандартизировать требования к лицензиям во всех проектах
📌 Определить индивидуальные параметры для конкретного репозитория, если он требует особого контроля

Вся аналитика для репозитория или всей организации доступна в разделе Безопасность → Зависимости. Здесь отображается список всех находок и подробная информация о каждом пакете: уровень лицензионного риска и CVE-риски. Для репозитория в этом разделе доступен граф всех зависимостей.

✏️ Смотрите, как настроить политики лицензий в этом примере.

✌️ Карта зависимостей в SourceCraft

Это интерактивный граф зависимостей проекта, включая транзитивные — скрытые на глубине нескольких уровней вложенности.

Инструмент помогает быстро разобраться в транзитивных зависимостях и понять, какие уязвимые или проблемные библиотеки в проекте нужно обновить в первую очередь.

Если смотреть на граф справа налево, можно отследить цепочку пакетов, через которую зависимость попадает в ваш проект. При нажатии на зависимость отобразятся связи с родительскими и дочерними узлами, а также подробности: лицензия, уязвимости и лицензионные риски.

📌 Инструмент доступен в разделе Безопасность → Зависимости.

🔓 Погружаемся в ИБ на CISO FORUM

Сегодня в Москве обсуждаем самые горячие темы информационной безопасности: атаки и уязвимости, данные и управление рисками, облачные архитектуры и реальные кейсы.

❤️❤️❤️
❤️❤️❤️ Денис Макрушин из команды безопасной разработки SourceCraft сегодня на сцене дважды:

11:40 — круглый стол про безопасность цепочки поставок ПО. Вместе с экспертами отрасли разберёмся, как закрыть риски на трёх этапах — от отбора компонентов до промышленной эксплуатации.

15:20, ТРЕК С — доклад про атаки на ИИ-агентов. Посмотрим на старые уязвимости в новом контексте и обсудим, как встраивать ИИ в цикл разработки без последствий.

Коллеги из Yandex Cloud тоже приготовили интересные темы. Никита Гергель в дискуссии расскажет про метрики эффективной ИБ, а Евгений Сидоров разберёт новые возможности и уязвимости ИИ-агентов в кибербезопасности. Ещё в программе доклады про устойчивую архитектуру облачных сред (Рами Мулейс), облачный SOC (Мария Кириллова) и защиту от утечек через веб (Дмитрий Мажарцев).

Наш стенд — на 2-м этаже, рядом с залом трека А.

Если будете на площадке, заглядывайте пообщаться ❤️

✌️ Открытое ИТ-образование с Yandex Cloud и SourceCraft

Запустили открытую библиотеку авторских курсов по ИТ и ИИ — создаём качественный образовательный контент вместе с преподавателями-экспертами. Готовые материалы уже сейчас можно использовать в своих учебных программах или адаптировать под собственную дисциплину.

Даниил Ефимов, автор курса «Основы облачных технологий», в коротком видео рассказывает о возможностях для преподавателей.

Если вы ведёте профильные дисциплины, курируете стажировки или выстраиваете обучение внутри команды — приглашаем присоединиться к лиге преподавателей SourceCraft. Станьте рецензентом или автором курса, чтобы внести свой вклад в создание полезного контента для тысяч студентов и преподавателей.

Курс остаётся вашим, мы помогаем сделать его доступным для академического сообщества, берём на себя поддержку запуска и предоставляем гранты на облачные ресурсы.

▶️ Смотрите все доступные материалы в библиотеке.

⚡ — Хочу стать автором

🚀 Сегодня финальный день космической викторины SourceCraft

Приглашаем завершить рабочую неделю небольшим приключением по планетарной системе SourceCraft. Погрузимся в историю технологий и исследуем уникальные миры платформы.

Проходите викторину сегодня, чтобы попасть в список участников розыгрыша. Призы на Яндекс Маркете уже ждут своих героев, а итоги подведём 5 мая.

Присоединяйтесь к путешествию ❤️

⚡️ Как переписать 97 тысяч строк кода с Objective-C на Swift за 2 месяца?

Этот вопрос стоял перед командой Яндекс Браузера. За пять лет ручной миграции удалось переписать чуть более половины объёма legacy кода. Ситуацию изменила автоматизация на базе LLM — это решение:

✨Анализирует граф зависимостей, чтобы начинать миграцию с «листьев» — модулей, не зависящих от старого кода
✨Переписывает код, параллельно проверяя его сборкой и тестами
✨Проводит рефакторинг в соответствии с лучшими практиками Swift
✨Автоматически проверяет качество по чек-листу перед код-ревью

В итоге за 2 месяца коллеги переписали 97 500 строк кода, мигрировали 2 167 файлов и смёржили 106 пул-реквестов — вместо запланированного года.

✌️ Все промты, конфигурационные шаблоны и вспомогательные скрипты команда выложила в открытый доступ на SourceCraft.

Забирайте и адаптируйте под свои проекты. А мы уже готовим фичу, чтобы в будущем можно было запускать этот пайплайн прямо внутри платформы.

🔗 Подробности и технические детали — в статье на Хабре.

✌️ Итоги Космической викторины SourceCraft & «Типичный программист»

Миссия завершена — спасибо всем, кто исследовал миры SourceCraft, вспоминал историю технологий и прокачивал космическую эрудицию.

Мы случайным образом выбрали 5 победителей — каждый получит сертификат на космические призы на Яндекс Маркете.

Поздравляем победителей 🎉
1️⃣ место — vadimshatalov (сертификат на 50 000 ₽)
2️⃣ место — anton-cooler228 (сертификат на 20 000 ₽)
3️⃣ место — eug-potato (сертификат на 5 000 ₽)
4️⃣ место — konkov-dmitrij (сертификат на 5 000 ₽)
5️⃣ место — tyusha111333 (сертификат на 5 000 ₽)

Отправим призы на электронную почту, указанную при регистрации.

✌️ Заметили обновления в предложениях изменений?

⭐️ Добавляйте метки, чтобы классифицировать предложения изменений. Например, по типу задач, спринтам или релизам.

⭐️ Используйте новые фильтры для быстрого поиска пул-реквестов в репозитории по автору, рецензенту, статусу или меткам.

Обновления доступны в разделе Репозиторий → Код → Предложения изменений.

✌️ Батл вузов с ИИ-ассистентом SourceCraft

В этом году в турнире появится новый формат задач: участники смогут решать их вместе с ИИ-ассистентом на платформе SourceCraft. Победу принесёт не скорость выполнения, а сильное решение.

Для тех, кто предпочитает олдскул, всё по-прежнему: алгоритмические задачи на скорость, 1v1 наперегонки, таймер, зелёные тесты, CodeBattle.

Коротко о главном
✨Кто участвует: студенты, аспиранты, выпускники вузов и 11-классники.
✨Всего три тура. Стартуем 13 мая в онлайн-квалификации, затем полуфинал и большой финал в Москве 25 июня.
✨Победителей ждёт призовой фонд в 1 000 000 ₽, кубок Young&&Yandex для вуза и наборы умных устройств с Алисой для 200 финалистов.

Регистрируйтесь до 20 мая или делитесь постом с младшими коллегами ❤️

✌️ Как команде выжить в релизную неделю?

Релиз ушёл в прод. И вот тогда это происходит — момент, когда дыхание замедляется… Знакомо? Выпуск изменений не обязательно должен быть проверкой на прочность.

Команда SourceCraft Security прошла путь от хаотичных релизов к предсказуемому процессу. В новой статье Андрей Кулешов делится нашим опытом — простыми практиками, которые действительно работают и помогают выпускать релизы без лишнего стресса и ночных авралов.

Одна из них — догфудинг. Мы сами используем SourceCraft для разработки своего же продукта, что втрое снизило количество откатов после релизов.

➡️ Полный чек-лист уже в статье на Хабре.

😁 Четыре полезных фичи в автоматизациях

Пока готовим обновления, чтобы работа с CI стала ещё удобнее, напомним про возможности, которые уже доступны в автоматизациях SourceCraft:

🔡 Переиспользование кубиков позволяет выносить CI в разные репозитории. Для этого задайте флаг exported: true — подробнее в документации.

🔡 Автоматический перезапуск кубиков поможет, если шаг завершился ошибкой. Чтобы не перезапускать кубик вручную, установите для него параметр retry и укажите количество повторных попыток и условия перезапуска.

🔡 Параметры inputs для запусков по расписанию дают возможность явно передавать входные параметры для рабочих процессов, которые запускаются по расписанию.

🔡 Запуск CI вручную не только из ветки, но и прямо из тега появился в интерфейсе платформы — показали настройки на видео.

✌️ Подводим итоги весеннего релиза безопасности в SourceCraft

Собрали все недавние апдейты безопасности в одну большую подборку и добавили детали, которые не помещались в короткие посты. Например, подробно описали:

🔴 Как мы улучшили генерацию SBOM, увеличили покрытие и обновили процесс сбора данных для Gradle, NPM и Go-экосистемы
🔴 Обновление на странице настроек Security, которое позволяет гранулярно управлять процессом сканирования

Также расширили описание главных весенних фич:
🔴 Карта зависимостей — наглядный анализ безопасности проекта
🔴 Лицензионные риски — контроль юридических ограничений и поиск транзитивных зависимостей в пакетах
🔴 История сканирований и ручной запуск — динамика проверок
🔴 SBOM и KICS — базовый аудит состава ПО и инфраструктуры как кода

Полный список обновлений и короткие инструкции, как использовать их в своих проектах, читайте в нашем блоге.

✌️ Где встретиться с командой SourceCraft в ближайшие дни?

Выходим в офлайн и онлайн сразу на трёх площадках. Забивайте слоты в календарях и заглядывайте к нам, если тоже участвуете.

📆 AI Dev Conf | 21 мая, онлайн
17:45–18:30 — Доклад «Вайбкодинг: исповедь луддита». Андрей Кулешов поделится опытом разработчика, который 10+ лет учился идеально писать код, а потом ИИ безвозвратно изменил правила игры.

19:40–20:30 — Круглый стол «Потребности ИТ vs. Возможности ИИ». Дискуссия с участием Андрея Кулешова о том, как измерить реальное влияние ИИ на процессы и оценить результаты.

📆 ДевФест | 21–23 мая, Омск
Отправляемся в Омск обсудить, как выстроить процесс Agentic Development Lifecycle так, чтобы злодеи не могли сломать ИИ-агентов для разработки. Везём два взгляда на одну проблему:

22 мая, 11:00–12:00 — Доклад «От промпта до прода: поверхность атаки агентных ИИ-систем». Стратегический взгляд от Дениса Макрушина на ландшафт угроз (prompt-инъекции, атаки через MCP, компрометация RAG, межагентное доверие) и инструменты анализа защищённости от них.

22 мая, 12:00–13:00 — Доклад «Безопасность ИИ-агентов в автономной разработке: атаки и новые методы защиты». Ратмир Самарханов и Андрей Погирейчик углубятся в архитектуру агентных систем и паттерны защиты (gateway, guardrails), которые можно внедрить уже сейчас.

📆 CodeFest | 30–31 мая, Новосибирск
Готовим воркшопы, соревнование по вайбкодингу и квартирник про опенсорс. Пока анонсируем, а подробнее расскажем отдельным постом.

До встречи! ❤️

✌️ Свежий релиз SourceCraft CLI

🔡Анализ контекстного окна позволяет вовремя отследить, какой файл или MCP-сервер занимает слишком много токенов.

Категории потребления: системный промт, инструменты, ИИ-навыки, история, файлы (например, AGENTS․md) и MCP-серверы.

Оценка потребления отображается в правом сайдбаре и вычисляется по последнему запросу, поэтому при старте новой сессии Usage by category отсутствует.

Другие изменения:
🔡Авторизация через домен SourceCraft — исправлена проблема входа для новых учётных записей.

🔡Новые команды для связывания задач и предложения изменений:
Просмотр: src issue linked-issues, src issue linked-prs
Управление: src link-pr, src unlink-pr, src link-issue, src unlink-issue

🔡Поддержка логических условий для сложных запросов, например:

# Найти задачи с метками backend OR devops
src issue list --label backend,devops
 
# Найти задачи с метками devops AND k8s
src issue list --label="devops & k8s"

Подробнее о релизах CLI — в истории версий.