SourceCraft

✌️ Новые возможности и улучшения в разделе «Безопасность» 🔡 Множественный выбор находок и их групповая обработка — одно из самых частых пожеланий пользователей инструментов безопасности. Теперь эта функциональность доступна на платформе в разделе «Безопасность». 🔡 Новые инструменты генерации SBOM: Syft с форматом CycloneDX 1.6 и Trivy. Это существенно улучшает анализ уязвимостей в зависимостях — обеспечивает более надёжное покрытие для разных языков и систем сборки, включая JVM-языки с Gradle. 🔡 Новый встроенный статический анализатор KICS для поиска уязвимостей и ошибок в файлах Infrastructure as Code. Теперь небезопасные настройки и проблемы в конфигурации можно выявлять ещё до деплоя. 🔡 Сканирование для публичных репозиториев теперь включено по умолчанию для всех новых проектов. 🔡 Гибкая настройка сканирования — гранулярно включайте и отключайте проверку предложений изменений, фоновое сканирование или загрузку пользовательских результатов. ✏️ Заодно напомним о других улучшениях платформы безопасности, чтобы вы ничего не пропустили:

✨ Центр контроля уязвимостей показывает полную картину безопасности по всем репозиториям организации в одном месте. Обновлённые дашборды собирают статистику по уязвимым библиотекам и репозиториям, которые подвержены риску, чтобы у владельцев проектов всегда был приоритет в исправлении уязвимостей. В разделе «Анализ кода» также на одной странице можно увидеть все найденные уязвимости в проектах организации.

✨ Разбор уязвимостей с помощью ИИ доступен на страницах «Анализ кода» и «Сканирование секретов» и помогает быстрее оценить и исправить находки.

✨ А также комментарии на странице находок в блоке «Активность» и новые фильтры по именам правил и уязвимым библиотекам в разделе «Зависимости».

🔓 Если процесс разработки построен неправильно, ИИ-агенты могут создавать дополнительную нагрузку на команды безопасности и DevSecOps. Поток нового кода, сгенерированного с помощью ИИ, требует внимания специалистов, которые почти всегда ограничены в ресурсах.

✌️ Именно поэтому в SourceCraft мы разработали ИИ-триаж. Он помогает дополнительно проверять и структурировать уязвимости из разных мест в репозитории несколькими инструментами безопасности. В результате разработчик видит, какие находки в приоритете, и получает понятные инструкции для исправления.

Кстати, канал «Неискусственный интеллект» разобрал, откуда берётся поток лишних отчётов, кто в нём тонет и как индустрия пытается с этим справляться.

✌️ Делимся переменными окружения между кубиками В SourceCraft можно передавать значения между кубиками в CI/CD-процессах. Например, версию сборки из тестирования в деплой или путь к артефакту из сборки в публикацию. Для этого используйте специальные предопределённые переменные окружения: $SOURCECRAFT_ENV — передаёт переменные окружения от одного кубика к последующим в виде пар KEY=VALUE. Значения автоматически попадают в окружение следующих кубиков в рамках того же задания. $SOURCECRAFT_OUTPUT — передаёт пары KEY=VALUE через блок outputs и позволяет явно обращаться к ним через специальный синтаксис. Подходит, когда важно ссылаться на результаты конкретных кубиков в рамках одного задания. 〰️ Передача переменных окружения от одного кубика к другому

✌️ SourceCraft на ИИ ЧЕМП: 24 часа, десятки идей и новые ИИ-навыки На выходных в Москве и Санкт-Петербурге прошёл ИИ ЧЕМП — хакатон для студентов и выпускников технических специальностей, где команды решали реальные задачи от ИТ-компаний. Делимся лучшими проектами по нашему кейсу 👇 ⭐️ Набор ИИ-навыков для мейнтейнеров опенсорс-проектов от команды Plan 9 (Санкт-Петербург)

Навыки автоматизируют работу с задачами: классификацию и приоритезацию, поиск дубликатов, разметку задач для новичков, отчёты по коммуникации и первый ответ пользователю. 🏆 1-е место в Санкт-Петербурге

⭐️ Навык для анализа контекста кода легаси-проекта подготовила Центральная команда (Москва)

Навык для выбранного фрагмента кода формирует отчёт: авторы и время ключевых коммитов, связанные задачи и предложения изменений, а также обзор безопасности рефакторинга и ключевых мест для изменений. 🏆 1-е место в Москве

⭐️ ИИ-навыки для анализа, тестирования и логирования изменений в коде разработала команда Generation AI (Москва)

Навыки помогают определить, какие части системы могли быть затронуты изменениями, выявляют потенциальные проблемы, автоматически генерируют тесты и добавляют логирование.

⭐️ Библиотека ИИ-навыков SourceCraft от команды Центральный преакселератор (Москва)

Ребята создали 80+ навыков для автоматизации разработки, тестирования, документирования, деплоя и анализа кода. Оркестратор адаптирует работу с коллекцией навыков под роль пользователя и предлагает релевантные навыки.

⚡️ За 24 часа на хакатоне появилось много классных идей для ИИ-навыков, которые уже работают на платформе. Их можно попробовать, поддержать авторов реакцией в репозиториях, а понравившиеся — доработать под свои проекты.

🍎 Как принимать решения, когда ресурсов на всё не хватает? Чтобы разобраться в этом, Серёжа Бережной сделал доклад на TeamLead Conf 2025. В выступлении подсвечены разные подходы к приоритизации: от простых вроде «пузырьковой» сортировки и матрицы Эйзенхауэра до более сложных. Отдельно Серёжа разбирает, как выбирать критерии и оценивать их, и что делать, когда данных мало, а вокруг одна неопределённость. Что внутри 00:00 — Интро 03:00 — Простые методы приоритизации 04:19 — Методы средней сложности 07:10 — Какие бывают подходы к приоритизации 11:01 — Как определить критерии оценки 21:54 — Как превратить критерии в цифры 26:12 — Интуитивная экспертная оценка и когнитивные искажения 31:24 — Как агрегировать критерии 37:35 — Работа с неопределённостью 40:01 — Валидация и калибровка 41:10 — Когда команде пора менять методы

⭐️ Это доклад для тех, кому регулярно приходится сравнивать «тёплое с мягким». Посмотреть можно на VK Видео и YouTube.

Мы пробуем разные форматы, чтобы делиться нашими новостями и кейсами от команды, — и хотим лучше понимать, что вам было бы интересно почитать. Приглашаем поучаствовать в небольшом опросе 👇

✌️ Предыдущая модель снова доступна в SourceCraft Code Assistant — по вашим отзывам Вчера мы пригласили вас обсудить в чате обновление флагманской модели и получили много обратной связи. Спасибо, что так активно делитесь опытом работы с платформой — это помогает нам быстрее реагировать на ваш фидбек. Вы просили добавить возможность вернуться к предыдущей флагманской модели в ансамбле — и мы сделали это ❤️ Как переключиться на прежнюю модель

⚙️ В плагине VSCode Перейти в Модели → Пользовательские заголовки и установить x-legacy-llm-model в значении 1 ⚙️ В интерфейсе платформы Включить переключатель «Использовать legacy AI-модель» в настройках

Теперь можно выбирать модель и работать с той, которая лучше подходит под ваши задачи.

✌️ Что меняется в работе SourceCraft Code Assistant Обновили флагманскую модель SourceCraft Code Assistant на DeepSeek V3.2 из Yandex AI Studio. Наш ИИ-ассистент работает с ансамблем моделей, каждая из которых ориентирована на определённый класс задач. DeepSeek V3.2 специализируется на сложных многошаговых сценариях: планировании, написании кода, запуске автотестов и развёртывании приложений. Это позволяет сократить время до первого ответа и повышает общую производительность ансамбля. Кстати, в чате уже заметили изменения: в отдельных задачах рассуждений стало больше — это помогает более точно решить запрос. 💬 А вы заметили разницу в работе с ассистентом в вебе или плагине к VSCode? Приходите в комментарии — разберём ваши задачи вместе.

⬇️ Сегодня в 12:00 стартует вебинар про Cloud Registry Присоединяйтесь к трансляции о возможностях сервиса и сценариях выстраивания безопасной цепочки поставок артефактов. А ещё в программе — поэтапная работа с реестрами в SourceCraft: от создания и настройки авторизации в CI/CD до управления ими через Cloud Registry. ➡️ Смотреть трансляцию

✌️ Пользовательский воркер SourceCraft в облаке Для выполнения CI/CD-процессов в собственной инфраструктуре достаточно настроить пользовательский воркер на своём компьютере с необходимой конфигурацией. А если подходящей машины нет или требуются масштабируемые ресурсы — воркер можно поднять на виртуальной машине в Compute Cloud. Делимся примером развёртывания пользовательского воркера SourceCraft на ВМ Compute Cloud. Внутри подготовили: 🔴 Готовый репозиторий с кодом 🔴 Варианты использования воркера для рабочего процесса — в том же репозитории или в разных 🔴 Как оптимизировать потребление ресурсов в Compute Cloud 🔴 Конфигурации ВМ, CI/CD и воркера 〰️ Развёртывание пользовательского воркера SourceCraft в Yandex Compute Cloud

🐍 35 лет назад в этот день Гвидо ван Россум опубликовал первую версию Python в группе новостей alt.sources. Сначала язык заинтересовал небольшой круг энтузиастов, а спустя время он стал одним из самых популярных в мире!

📌 Для тех, кто создаёт проекты на Python, в SourceCraft есть инструменты для простой и удобной работы: 🔡Шаблон для быстрого старта содержит базовую структуру с простым Python-скриптом и готовой конфигурацией CI/CD. Он вот-вот достигнет 1000 использований — почти юбилей внутри юбилея. 🔡Навигация по коду помогает легко перемещаться между определениями функций, классов и переменных, а также находить места их использования — в режиме просмотра кода или при работе с предложениями изменений. 🔡Поддержка PyPI, чтобы вы могли легко создавать приватные реестры для своих библиотек и использовать привычные инструменты pip и twine. 🔡SourceCraft Code Assistant предлагает умное автодополнение и генерирует готовые фрагменты кода для Python-проектов — на скринкасте показываем, как наш ИИ-помощник ускоряет работу. Продолжайте создавать потрясающие проекты, а SourceCraft поможет убрать рутину, чтобы вы сосредоточились на коде ❤️

☕️ Какую рутину вы бы сняли с себя сегодня?

💭 Предлагаем поучаствовать в небольшом мысленном эксперименте. Представьте, что у вас есть инструмент, который погружён в контекст вашего проекта: знает код, архитектуру, цели и даже стиль общения внутри команды. Он может забрать на себя часть технической и организационной рутины, чтобы вы сосредоточились на сложных, интересных и творческих задачах. Такой условный «швейцарский нож» для разработки.

Что бы вы ему поручили?

✌️ Хотите попробовать SourceCraft Spaces первыми? Присоединяйтесь к техническому превью виртуального рабочего места разработчика.  SourceCraft Spaces разворачивается в браузере по кнопке — вы получаете готовую среду разработки без ручной настройки окружения. Все вычисления происходят в Yandex Cloud на преднастроенной виртуальной машине с установленными IDE и инструментами. На прошлом вебинаре мы коротко показали Spaces, а теперь собираем заявки на закрытую бету, чтобы вы первыми попробовали сервис на реальных задачах. Тестирование стартует в ближайшие два месяца. Что будет в превью ⭐️ VS Code с плагинами, включая SourceCraft Code Assistant ⭐️ Управление окружениями в Yandex Cloud (запуск, остановка, удаление) ⭐️ Автоматический переход окружений в спящий режим ⭐️ Набор шаблонов для разных стеков разработки ➡️ Записаться просто — перейдите на главный дашборд и оставьте заявку на участие

👉 Биллинг теперь доступен в SourceCraft Раньше лимиты на платформе были фиксированными. Теперь мы добавили тариф Pro для тех, кому нужны расширенные возможности: больше ресурсов для хранения кода и артефактов проекта, расширенные ИИ-инструменты или профессиональные функции для командной работы.  Подключить тариф можно самостоятельно в разделе «Тарифы» на платформе. При активации автоматически запускается пробный период на 90 календарных дней, а детализация потребления отобразится в платёжном кабинете Yandex Cloud. 📌 Тариф Free остаётся доступен всем в пределах базовых квот платформы. Если проект не превышает лимиты, никаких действий не требуется. Платёжный тариф позволяет расширить действующие лимиты для профессиональных команд и масштабных проектов. Как меняется работа с лимитами?

✨ Закончились лимиты на бесплатном тарифе, что мне делать? Если превышены лимиты на хранилища — нужно освободить место. Если вы превысили остальные лимиты — нужно подождать, пока сбросится счётчик в начале следующего месяца.

✨ Что происходит при превышении лимитов в Pro? Ресурсоёмкие операции могут быть временно приостановлены. Чтобы продолжить работу, администратор может запросить увеличение квоты через техподдержку.

〰️ Правила тарификации для SourceCraft

Сегодня Мы 🔅 Фронтенд Ждём всех участников главной фронтенд-конференции Яндекса на стенде SourceCraft. Покажем новые фичи в деле, поделимся лайфхаками работы на платформе и продолжим сражение с колдуном. Чтобы одержать победу, нужно активно использовать возможности платформы и решать игровые задачи. В финале наградим победителей магической битвы. ✌️ Присоединяйтесь — проведём время весело и с пользой!

😆 Байки из репозитория Вечерний пятничный деплой — не единственное, что способно вызвать мурашки даже у самых опытных участников в команде. Сегодня пятница 13-е, и мы решили заглянуть в страхи разработчиков и узнать, так ли они страшны. Собрали несколько разоблачений в карточках для настроения. В ходе исследования ни один репозиторий не пострадал. Желаем лёгких коммитов и отличных выходных! ❤️