Инфраструктура, ML и немного магии — infra.conf

4 июня пройдёт конференция Яндекса про инфраструктуру, технологии и инженерные кейсы. Команда Yandex Infrastructure подготовила насыщенную программу с фокусом на инфраструктуре для ML и задачах, которые стоят за устойчивыми и масштабируемыми сервисами.
 
На площадке будут мастер-классы по пайке, DIY-зона, пространства команд для общения, экспозона со стендами, нетворкинг и афтепати.
 

✌️ На стенде SourceCraft снова развернётся полюбившееся сражение с колдуном. Выполняйте задания на платформе, наносите ответные удары злому магу и участвуйте в розыгрыше фирменных призов.

 
Для тех, кто присоединится онлайн, будет трансляция с тремя треками и более чем 15 докладами про высокие нагрузки, инструменты разработки, базы данных и хранилища, управление инцидентами, SRE и эксплуатацию.

Успейте зарегистрироваться на офлайн-участие до 2 июня — количество мест ограничено. А если будете на площадке, заглядывайте пообщаться ❤️

Сегодня в 12:00 проведём совместный вебинар SourceCraft и SolidLab

Присоединяйтесь к трансляции, на которой рассмотрим полный цикл безопасной разработки и покажем, как работает на практике SourceCraft Security на каждом этапе.

В программе:
🎙 Денис Макрушин из команды SourceCraft Security разберёт угрозы в Agentic Development Lifecycle, инструменты поиска секретов в Git, SAST, SCA и ИИ-триаж.

🎙 Денис Миронов, владелец продукта SolidPoint DAST, расскажет, как устроен динамический анализ веб-приложений и API в SDLC, и покажет встраивание SolidPoint CLI в CI/CD-процессы SourceCraft.

👉 Оставляйте свои вопросы спикерам под этим постом — ответим на них в прямом эфире.

UPD: запись трансляции доступна по ссылке.

✌️ SourceCraft Spaces открыт для всех!

Теперь все пользователи SourceCraft могут разворачивать готовые рабочие пространства разработчика в облачном окружении со страницы репозитория в разделе Код → Рабочие пространства.

Благодаря вашим отзывам за время технического превью мы добавили несколько новых возможностей:

00:04 — Настройка окружения как кода через Dev Containers — описывайте в JSON-файле нужные инструменты и фреймворки, а затем по кнопке получайте готовое и воспроизводимое окружение.

00:35 — Агентские инструменты для разработки — во всех Spaces предустановлены SourceCraft Code Assistant для VS Code и SourceCraft CLI.

01:10 — Приложения, запущенные на ВМ, доступны в браузере через открытые порты.

✨ Запуск Spaces из предложения изменений помогает быстро протестировать код или внести правки по замечаниям команды.

Функциональность Spaces находится на стадии Preview и не тарифицируется.

⚡️ Запускайте SourceCraft Spaces и делитесь опытом использования!

🔓 Новые security-интеграции в SourceCraft

Мы уже рассказывали, как подключить собственный анализатор кода в SourceCraft, чтобы использовать его в процессах безопасной разработки. Настало время делиться кейсом из практики.

Недавно команда PVS-Studio интегрировала с нашей платформой свой инструмент статического анализа и добавила в документацию инструкцию для его подключения. Теперь все находки этого инструмента можно обрабатывать в интерфейсе SourceCraft Security и ускорять разбор уязвимостей с помощью встроенной функции ИИ-триажа.

❤️ На SourceCraft размещён репозиторий от партнёров с тремя готовыми Docker-образами для быстрого запуска проверки C, Java и .NET кода в CI/CD платформы, а также примером настройки сканирования для проекта на C. Проект можно склонировать и запустить — для работы потребуется действующая лицензия PVS-Studio.

Механизм интеграции открыт для всех анализаторов кода, совместимых с SARIF, и расширяет возможности стандартных проверок SourceCraft.

🔼 Итоги программы грантов Yandex Open Source × SourceCraft

За каждым успешным опенсорс-проектом стоят настоящие энтузиасты своего дела. Совместно с Yandex Open Source мы поддержали авторов таких проектов ресурсами и продолжаем следить за их успехами.

В этом году гранты Yandex Cloud по 600 тысяч рублей получили 18 проектов. Расклад по направлениям получился такой:
11 — «Разработка»
5 — «Искусственный интеллект»
2 — «Обработка и хранение данных»

🎉 Полный список победителей опубликован на сайте программы, а мы подсветим по одному проекту из каждого трека:

⭐️ libmdbx (Леонид Юрьев) — высокопроизводительная встраиваемая база данных класса «ключ-значение». Проект вырос из LMDB и с 2015 года развивается независимо. База данных поставляется как single‑file‑source для упрощения интеграции в сторонний софт. Ближайшие планы — глобальный транзит в сторону полностью новой архитектуры MithrilDB.

⭐️ libBeresta (Дмитрий Соломенников) — кросс-платформенный инструмент на чистом ANSI C для низкоуровневой генерации PDF-файлов (глубокий архитектурный рефакторинг библиотеки libHaru). Кстати, мы уже рассказывали про Факультет компилятороварения, где Дмитрий один из авторов.

⭐️ Auto AI Router (Никита Лебедев) — высокопроизводительный прокси-маршрутизатор для распределения запросов к популярным LLM. В проекте реализованы автоматическая балансировка нагрузки для минимизации задержек, контроль лимитов запросов и защита инфраструктуры от злоупотреблений с помощью встроенных механизмов безопасности.

🔘 Почитать подробнее о кейсах победителей и вдохновиться на участие в следующем сезоне можно в статье Серёжи Бережного на Хабре.

✌️ Контрибьютим в опенсорс, который используем сами

В SourceCraft Security задействовано несколько опенсорсных проектов. Один из них — Grype, сканер уязвимостей, который помогает анализировать зависимости и находить известные проблемы в пакетах.

Мы уже делились историей про маленький шаг в большом опенсорсе с Trivy. В этот раз покажем улучшение, которое экономит время инженерам по безопасности.

🔘 В чём было дело
Время от времени Grype находил уязвимости, у которых в первичной записи отсутствовало описание. В таких случаях поле fullDescription в SARIF-отчёте заполнялось бесполезной заглушкой Version 6.6.126 is affected with no fixes reported yet.

Вместо полной картины по уязвимости инженеры видели пустую карточку без контекста. Чтобы понять суть проблемы, приходилось вручную переходить в NVD или Ubuntu Security — это замедляло триаж и принятие решений.

🔘 Что изменилось
В самом Grype информация об уязвимости из NVD была, но хранилась в отдельном поле JSON-вывода: .matches[].relatedVulnerabilities[].description. Презентер сканера просто игнорировал её при сборке SARIF-отчёта. 

Теперь Grype подтягивает описание из relatedVulnerabilities, если оно отсутствует в записи уязвимости. Например, для CVE-2025-37849 (use-after-free в Linux kernel) вместо заглушки попадает полное описание проблемы — с контекстом про KVM, arm64 и природу UAF.

Все подробности — в предложении изменений.

А вы контрибьютили в опенсорс-проекты, которые используете в своей работе?

🔥 Да, исправлял или добавлял функциональность
🤔 Пока нет, но такие мысли были
⚡️ Чаще завожу задачи и предлагаю улучшения

✌️ Агентский режим в плагине для JetBrains IDE — запускаем пилот

Приглашаем всех, кто давно ждал поддержку агентского режима в плагине для семейства IDE от JetBrains, поучаствовать в тестировании.

Как участвовать в пилоте
1️⃣ Обновите текущую версию плагина или установите свежую (актуальные шаги установки — в документации)
2️⃣ Откройте меню IDE: Help → Find Action
3️⃣ Наберите в поиске Registry и включите флаг ru.yandex.code.assistant.enableSrcCliAgent
4️⃣ Перезагрузите IDE

После установки на верхнем тулбаре появится иконка 🔴 для запуска SourceCraft CLI с дополнительными инструментами для чтения и изменения файлов через IDE, отображения diff и выполнения других действий в среде разработки. При этом привычный чат остаётся на своём месте на правой панели.

💬 Заодно делимся хорошей новостью — плагин стабильно поддерживает версию 2026.1. Мы обновили процессы выпуска, поэтому поддержка новых версий IDE теперь будет появляться быстрее и стабильнее.

Что дальше
В планах добавить больше инструментов для CLI, обновить UI чата, вывести панель управления параллельными задачами и подагентами, а также расширить настройки.

❤️ Поделитесь своим опытом взаимодействия, идеями и мыслями — напишите в наш чат или отправляйте тикеты через «жука» на платформе. Ждём ваших отзывов!