The Dragon Code News

llm/skills - очень удобный и лёгкий способ обновления скиллов в PHP проекте без привязки к фреймворку! Устанавливаем в проект и настраиваем:

composer require --dev llm/skills
composer skills:init

А дальше накидываем нужные скиллы хоть из папки vendor, хоть из GitHub/GitLab репозитория!

composer skills:init   [options]                  # alias: skills:i
composer skills:update [<package>...] [options]   # alias: skills:u
composer skills:show   [<package>...] [options]   # alias: skills:s
composer skills:add    <input> [options]          # alias: skills:a

https://github.com/roxblnfk/skills

Добавлен новый скилл для помощи с разметкой Jira. Установить легко:

npx skills add TheDragonSkills/jira-markup

https://github.com/TheDragonSkills/jira-markup

Недавно рассказывал о новом скилле по книге Александра Черняева "Денди-код". Сегодня принял решение создать отдельный репозиторий для скиллов - The Dragon Skills, первый скилл в котором как раз Денди-код! 😀 https://github.com/TheDragonSkills/dandy-code

npx skills add https://github.com/TheDragonSkills/dandy-code-skill

В будущем репозиторий будет наполняться рабочими скиллами и инструкциями.

Ситуация с Laravel Lang напугала многих. https://blog.packagist.com/an-update-on-composer-packagist-supply-chain-security/

Настройки безопасности вашего аккаунта GitHub разбросаны по десяткам страниц. Moat от Нуно Мадуро собирает их вместе в одной команде и показывает, что нужно исправить. https://laravel.com/blog/moat-a-security-review-for-your-github-account

Похоже, случай с Laravel-Lang попал в первую волну. Вчера пострадали ещё репозитории. https://x.com/socketsecurity/status/2058565153138844043?s=46

Один из этапов защиты от слива ваших данных через GitHub Actions - явно прописывайте то, чему доверяете.

Laravel-Lang завершил расследование supply chain инцидента, который затронул несколько Composer-пакетов. Инцидент был связан с несанкционированным изменением release tags. Часть тегов временно указывала на коммиты с вредоносным кодом, который мог выполняться при установке или обновлении зависимостей через Composer. Затронутые пакеты: - laravel-lang/lang - laravel-lang/attributes - laravel-lang/actions - laravel-lang/http-statuses Предварительное окно риска началось 22 мая 2026 года в 22:32 UTC. Риск касался пользователей, которые в этот период выполняли composer update или свежую установку затронутых пакетов. По итогам расследования причина инцидента связана с компрометацией учётных данных, которые позволяли менять теги в репозиториях. Способ первичной компрометации этих учётных данных не раскрывается в публичном сообщении. Что было сделано: - затронутые публикации очищены и возвращены в безопасное состояние; - доступы и интеграции пересмотрены; - потенциально скомпрометированные учётные данные отозваны; - выполнена проверка журналов и связанных артефактов; - приняты дополнительные меры для снижения риска повторения. На основании доступных данных нет подтверждения массовой утечки пользовательских данных через инфраструктуру Laravel-Lang. Но окружения пользователей, где в окно риска был установлен и выполнен заражённый пакет, могли быть затронуты локально. Рекомендации пользователям: - проверьте composer.lock и историю установок; - если установка или обновление выполнялись в окно риска, сохраните логи окружения; - при признаках установки затронутой версии ротируйте секреты, доступные этому окружению: CI/CD-токены, ключи доступа, переменные окружения, deploy-ключи и другие учётные данные. Дополнительно будут усилены внутренние процедуры публикации и контроля доступа, чтобы снизить риск повторения такого инцидента.

Библиотека laravel-lang/lang была скрыта с Packagist сотрудниками Packagist в рамках ограничений распространения вредоноса. Мы уже ведём с ними работу и вскоре проект вновь будет опубликован

Вредоносный код был удалён. Также найден член команды со скомпрометированным доступом. Благо, доступ был лишь к четырём репозиториям. Проекты восстановлены от вредоноса. НО Packagist снёс запись laravel-lang/lang с сайта. Не знаю по какой причине. Мы связались с командой Packagist для решения проблемы. Вскоре проект заработает в штатном режиме.

АЛЯРМА! В ближайшее время НЕ УСТАНАВЛИВАЙТЕ продукты Laravel Lang. Токен CI/CD был скомпрометирован и во все продукты Laravel Lang был внедрён вредоносный код. Стабильные релизы всех проектов Laravel Lang были отменены злоумышленниками. Мы работаем над исправлением ситуации.

Не успели релизнуть скилл по книге "Денди-код", как прилетела оптимизация! Теперь книга разделяется на несколько скиллов по своим смысловым блокам. Это позволит агентам применять нужные скиллы в моменте. Кроме этого, из репозитория убраны вспомогательные скиллы, так что можно смело убирать параметр --skill для установки их всех!

npx skills add https://github.com/TheDragonCode/dandy-code-skill

Совет от LLM при чтении книги Денди-код.

Прочли книгу Денди-код от автора Александра Черняева (@tabuna) и хотите применить её в своём ИИ агенте? Легко! Установите скилл в Ваш проект одной командой:

npx skills add https://github.com/TheDragonCode/dandy-code-skill --skill dandy-code

Скилл будет применяться при работе с вашим кодом! Круто же! 😀 Репозиторий проекта здесь

pong