✌️ Как команде выжить в релизную неделю?

Релиз ушёл в прод. И вот тогда это происходит — момент, когда дыхание замедляется… Знакомо? Выпуск изменений не обязательно должен быть проверкой на прочность.

Команда SourceCraft Security прошла путь от хаотичных релизов к предсказуемому процессу. В новой статье Андрей Кулешов делится нашим опытом — простыми практиками, которые действительно работают и помогают выпускать релизы без лишнего стресса и ночных авралов.

Одна из них — догфудинг. Мы сами используем SourceCraft для разработки своего же продукта, что втрое снизило количество откатов после релизов.

➡️ Полный чек-лист уже в статье на Хабре.

😁 Четыре полезных фичи в автоматизациях

Пока готовим обновления, чтобы работа с CI стала ещё удобнее, напомним про возможности, которые уже доступны в автоматизациях SourceCraft:

🔡 Переиспользование кубиков позволяет выносить CI в разные репозитории. Для этого задайте флаг exported: true — подробнее в документации.

🔡 Автоматический перезапуск кубиков поможет, если шаг завершился ошибкой. Чтобы не перезапускать кубик вручную, установите для него параметр retry и укажите количество повторных попыток и условия перезапуска.

🔡 Параметры inputs для запусков по расписанию дают возможность явно передавать входные параметры для рабочих процессов, которые запускаются по расписанию.

🔡 Запуск CI вручную не только из ветки, но и прямо из тега появился в интерфейсе платформы — показали настройки на видео.

✌️ Подводим итоги весеннего релиза безопасности в SourceCraft

Собрали все недавние апдейты безопасности в одну большую подборку и добавили детали, которые не помещались в короткие посты. Например, подробно описали:

🔴 Как мы улучшили генерацию SBOM, увеличили покрытие и обновили процесс сбора данных для Gradle, NPM и Go-экосистемы
🔴 Обновление на странице настроек Security, которое позволяет гранулярно управлять процессом сканирования

Также расширили описание главных весенних фич:
🔴 Карта зависимостей — наглядный анализ безопасности проекта
🔴 Лицензионные риски — контроль юридических ограничений и поиск транзитивных зависимостей в пакетах
🔴 История сканирований и ручной запуск — динамика проверок
🔴 SBOM и KICS — базовый аудит состава ПО и инфраструктуры как кода

Полный список обновлений и короткие инструкции, как использовать их в своих проектах, читайте в нашем блоге.

✌️ Где встретиться с командой SourceCraft в ближайшие дни?

Выходим в офлайн и онлайн сразу на трёх площадках. Забивайте слоты в календарях и заглядывайте к нам, если тоже участвуете.

📆 AI Dev Conf | 21 мая, онлайн
17:45–18:30 — Доклад «Вайбкодинг: исповедь луддита». Андрей Кулешов поделится опытом разработчика, который 10+ лет учился идеально писать код, а потом ИИ безвозвратно изменил правила игры.

19:40–20:30 — Круглый стол «Потребности ИТ vs. Возможности ИИ». Дискуссия с участием Андрея Кулешова о том, как измерить реальное влияние ИИ на процессы и оценить результаты.

📆 ДевФест | 21–23 мая, Омск
Отправляемся в Омск обсудить, как выстроить процесс Agentic Development Lifecycle так, чтобы злодеи не могли сломать ИИ-агентов для разработки. Везём два взгляда на одну проблему:

22 мая, 11:00–12:00 — Доклад «От промпта до прода: поверхность атаки агентных ИИ-систем». Стратегический взгляд от Дениса Макрушина на ландшафт угроз (prompt-инъекции, атаки через MCP, компрометация RAG, межагентное доверие) и инструменты анализа защищённости от них.

22 мая, 12:00–13:00 — Доклад «Безопасность ИИ-агентов в автономной разработке: атаки и новые методы защиты». Ратмир Самарханов и Андрей Погирейчик углубятся в архитектуру агентных систем и паттерны защиты (gateway, guardrails), которые можно внедрить уже сейчас.

📆 CodeFest | 30–31 мая, Новосибирск
Готовим воркшопы, соревнование по вайбкодингу и квартирник про опенсорс. Пока анонсируем, а подробнее расскажем отдельным постом.

До встречи! ❤️

✌️ Свежий релиз SourceCraft CLI

🔡Анализ контекстного окна позволяет вовремя отследить, какой файл или MCP-сервер занимает слишком много токенов.

Категории потребления: системный промт, инструменты, ИИ-навыки, история, файлы (например, AGENTS․md) и MCP-серверы.

Оценка потребления отображается в правом сайдбаре и вычисляется по последнему запросу, поэтому при старте новой сессии Usage by category отсутствует.

Другие изменения:
🔡Авторизация через домен SourceCraft — исправлена проблема входа для новых учётных записей.

🔡Новые команды для связывания задач и предложения изменений:
Просмотр: src issue linked-issues, src issue linked-prs
Управление: src link-pr, src unlink-pr, src link-issue, src unlink-issue

🔡Поддержка логических условий для сложных запросов, например:

# Найти задачи с метками backend OR devops
src issue list --label backend,devops
 
# Найти задачи с метками devops AND k8s
src issue list --label="devops & k8s"

Подробнее о релизах CLI — в истории версий.

✌️ Встраиваем безопасность в процесс разработки в прямом эфире

2 июня в 12:00 приглашаем на практический вебинар от команды SourceCraft Security. Поговорим о том, какие угрозы несёт ИИ в разработке и как правильно выстроить безопасность Agentic Development Lifecycle: от коммита до продакшена.

Разберём полный цикл безопасной разработки и фундаментальные инструменты:
🔡 Поиск секретов в коде и истории Git
🔡 SAST для поиска уязвимостей по готовым и кастомным правилам
🔡 ИИ-триаж для автоматической фильтрации False Positive
🔡 SCA и контроль рисков в зависимостях

В финале проведём розыгрыш призов среди самых активных участников.

❤️ Регистрируйтесь и добавляйте встречу в календарь.

⚡️ Открыли запись на ранний доступ к Vibecraft — нашему новому ИИ-сервису для создания сайтов и веб-приложений из промтов.

Vibecraft по обычному текстовому описанию создаёт веб-приложения: сайты, CRM-системы, опросы или онлайн-игры. Сервис генерирует код под конкретную цель, а не подгоняет задачу под готовые шаблоны, как традиционные no-code-конструкторы.

Есть идея для продукта? Дальше всё просто:
🔴 Описываете её словами
🔴 ИИ-ассистент уточняет технические детали
🔴 Сервис занимается реализацией приложения

Vibecraft поможет быстро проверить гипотезу или собрать рабочий MVP, код лежит в репозитории SourceCraft и открыт для любых ручных правок при необходимости.

⚙️ Под капотом Vibecraft работает через нашу технологическую экосистему: поднимает окружение, генерирует код с помощью ИИ-агента SourceCraft и деплоит проект через CI/CD платформы напрямую в инфраструктурные сервисы Yandex Cloud (Compute Cloud, Containers и базы данных).

🔴 Официальный запуск планируется в июне, но уже сейчас можно оставить заявку на ранний доступ.

☕️ Похоже, теперь перерывы на кофе станут короче
 
Потому что сегодня мы обновили ансамбль моделей в нашем ИИ-ассистенте. Ответы стали точнее, а скорость генерации теперь приятно удивит.
 
✌️ Вы уже успели заметить изменения в своих задачах?

Инфраструктура, ML и немного магии — infra.conf

4 июня пройдёт конференция Яндекса про инфраструктуру, технологии и инженерные кейсы. Команда Yandex Infrastructure подготовила насыщенную программу с фокусом на инфраструктуре для ML и задачах, которые стоят за устойчивыми и масштабируемыми сервисами.
 
На площадке будут мастер-классы по пайке, DIY-зона, пространства команд для общения, экспозона со стендами, нетворкинг и афтепати.
 

✌️ На стенде SourceCraft снова развернётся полюбившееся сражение с колдуном. Выполняйте задания на платформе, наносите ответные удары злому магу и участвуйте в розыгрыше фирменных призов.

 
Для тех, кто присоединится онлайн, будет трансляция с тремя треками и более чем 15 докладами про высокие нагрузки, инструменты разработки, базы данных и хранилища, управление инцидентами, SRE и эксплуатацию.

Успейте зарегистрироваться на офлайн-участие до 2 июня — количество мест ограничено. А если будете на площадке, заглядывайте пообщаться ❤️