SourceCraft

⚡️ Как переписать 97 тысяч строк кода с Objective-C на Swift за 2 месяца? Этот вопрос стоял перед командой Яндекс Браузера. За пять лет ручной миграции удалось переписать чуть более половины объёма legacy кода. Ситуацию изменила автоматизация на базе LLM — это решение: ✨Анализирует граф зависимостей, чтобы начинать миграцию с «листьев» — модулей, не зависящих от старого кода ✨Переписывает код, параллельно проверяя его сборкой и тестами ✨Проводит рефакторинг в соответствии с лучшими практиками Swift ✨Автоматически проверяет качество по чек-листу перед код-ревью В итоге за 2 месяца коллеги переписали 97 500 строк кода, мигрировали 2 167 файлов и смёржили 106 пул-реквестов — вместо запланированного года.

✌️ Все промпты, конфигурационные шаблоны и вспомогательные скрипты команда выложила в открытый доступ на SourceCraft.

Забирайте и адаптируйте под свои проекты. А мы уже готовим фичу, чтобы в будущем можно было запускать этот пайплайн прямо внутри платформы. 🔗 Подробности и технические детали — в статье на Хабре.

🚀 Сегодня финальный день космической викторины SourceCraft Приглашаем завершить рабочую неделю небольшим приключением по планетарной системе SourceCraft. Погрузимся в историю технологий и исследуем уникальные миры платформы. Проходите викторину сегодня, чтобы попасть в список участников розыгрыша. Призы на Яндекс Маркете уже ждут своих героев, а итоги подведём 5 мая. Присоединяйтесь к путешествию ❤️

✌️ Открытое ИТ-образование с Yandex Cloud и SourceCraft Запустили открытую библиотеку авторских курсов по ИТ и ИИ — создаём качественный образовательный контент вместе с преподавателями-экспертами. Готовые материалы уже сейчас можно использовать в своих учебных программах или адаптировать под собственную дисциплину.

Даниил Ефимов, автор курса «Основы облачных технологий», в коротком видео рассказывает о возможностях для преподавателей.

Если вы ведёте профильные дисциплины, курируете стажировки или выстраиваете обучение внутри команды — приглашаем присоединиться к лиге преподавателей SourceCraft. Станьте рецензентом или автором курса, чтобы внести свой вклад в создание полезного контента для тысяч студентов и преподавателей. Курс остаётся вашим, мы помогаем сделать его доступным для академического сообщества, берём на себя поддержку запуска и предоставляем гранты на облачные ресурсы. ▶️ Смотрите все доступные материалы в библиотеке. ⚡ — Хочу стать автором

🔓 Погружаемся в ИБ на CISO FORUM Сегодня в Москве обсуждаем самые горячие темы информационной безопасности: атаки и уязвимости, данные и управление рисками, облачные архитектуры и реальные кейсы. ❤️❤️❤️ ❤️❤️❤️ Денис Макрушин из команды безопасной разработки SourceCraft сегодня на сцене дважды: 11:40 — круглый стол про безопасность цепочки поставок ПО. Вместе с экспертами отрасли разберёмся, как закрыть риски на трёх этапах — от отбора компонентов до промышленной эксплуатации. 15:20, ТРЕК С — доклад про атаки на ИИ-агентов. Посмотрим на старые уязвимости в новом контексте и обсудим, как встраивать ИИ в цикл разработки без последствий. Коллеги из Yandex Cloud тоже приготовили интересные темы. Никита Гергель в дискуссии расскажет про метрики эффективной ИБ, а Евгений Сидоров разберёт новые возможности и уязвимости ИИ-агентов в кибербезопасности. Ещё в программе доклады про устойчивую архитектуру облачных сред (Рами Мулейс), облачный SOC (Мария Кириллова) и защиту от утечек через веб (Дмитрий Мажарцев).

Наш стенд — на 2-м этаже, рядом с залом трека А.

Если будете на площадке, заглядывайте пообщаться ❤️

✌️ Карта зависимостей в SourceCraft

Это интерактивный граф зависимостей проекта, включая транзитивные — скрытые на глубине нескольких уровней вложенности.

Инструмент помогает быстро разобраться в транзитивных зависимостях и понять, какие уязвимые или проблемные библиотеки в проекте нужно обновить в первую очередь. Если смотреть на граф справа налево, можно отследить цепочку пакетов, через которую зависимость попадает в ваш проект. При нажатии на зависимость отобразятся связи с родительскими и дочерними узлами, а также подробности: лицензия, уязвимости и лицензионные риски. 📌 Инструмент доступен в разделе Безопасность → Зависимости.

✌️ Управление лицензионными рисками и транзитивными зависимостями Теперь SourceCraft помогает командам не только находить уязвимости в используемых пакетах, но и контролировать юридические ограничения, связанные с их использованием. Платформа выявляет транзитивные зависимости проектов и подсвечивает уровень лицензионного риска. Инструмент можно гибко настроить под ваши процессы: 📌 Использовать перечень лицензий по умолчанию, чтобы быстро запустить проверку 📌 Задать единые правила для всей организации и стандартизировать требования к лицензиям во всех проектах 📌 Определить индивидуальные параметры для конкретного репозитория, если он требует особого контроля Вся аналитика для репозитория или всей организации доступна в разделе Безопасность → Зависимости. Здесь отображается список всех находок и подробная информация о каждом пакете: уровень лицензионного риска и CVE-риски. Для репозитория в этом разделе доступен граф всех зависимостей.

✏️ Смотрите, как настроить политики лицензий в этом примере.

✌️ Связывайте коммиты с профилем в SourceCraft Если почта автора в коммите совпадает с почтой в SourceCraft, система автоматически ассоциирует коммит с профилем — в истории коммитов подтянутся имя, аватар и ссылка на профиль. Для работы с несколькими проектами можно добавить нужные email-адреса в разделе Доступ → Электронные адреса → Новая почта. После подтверждения все коммиты с этой почтой, включая уже совершённые, будут отображаться c вашим профилем. ➡️ Настроить почту

😀 Ускоряем разработку с SourceCraft CLI SourceCraft CLI со встроенным агентским режимом позволяет управлять репозиториями, задачами, предложениями изменений и другими ресурсами на платформе в режиме командной строки. Какие возможности 🔴 Автономное выполнение многошаговых задач — от написания кода до оформления предложения изменений в фоновом режиме. 🔴 Интеграция с платформами для разработки, которые уже используют команды. 🔴 Защита данных — агент работает на базе языковых моделей Yandex AI Studio, код и рабочие данные не передаются во внешние сервисы. 🔴 ИИ-навыки для запуска готовых сценариев. 🔴 Удобная аутентификация для git без необходимости явно использовать SSH-ключи или PAT. Показали на видео, как работает консольное приложение в агентском режиме. 〰️ Начать работать с SourceCraft CLI

👀Атаки на веб-приложения: куда смещается фокус Топ техник атак и способы защиты от нетривиальных уязвимостей подготовил Денис Макрушин из команды безопасной разработки.

Современные атаки всё чаще используют несогласованность между компонентами системы, а не только ошибки в коде. Фокус смещается на инфраструктуру и протоколы — безопасность нужно рассматривать на уровне всей системы, а не отдельных компонентов.

Какие атаки попали в топ 🔴Несогласованная интерпретация. Разница в обработке данных (JSON, YAML, HTTP) и нормализация Unicode — главные причины обхода фильтров и выполнения произвольного кода. 🔴Особенности протоколов. Произвольные запросы в HTTP/2 могут использоваться как инструмент сетевой разведки, а новая техника SSRF работает через аномалии в перенаправлениях. 🔴Промт-инъекции в ИИ-агенты. Вредоносные инструкции в коммитах или тикетах, заставляющие агента выполнять привилегированные команды в процессах сборки. 🔴Старая техника атак Zip Slip обретает новую форму — изучаем, как уязвимости адаптируются к новым контекстам. Денис делится рекомендациями, как закрывать такие уязвимости на этапе разработки, не дожидаясь инцидентов. 🦾 Полный разбор — в статье на Хабре.

✌️ Удобная настройка конфигураций в SourceCraft Теперь управлять всеми конфигами репозитория можно на одной странице в разделе Настройки → Конфигурации. Для быстрого доступа подсказки интегрированы в ключевые разделы: ⭐️ Политики веток доступны прямо в меню выбора ветки ⭐️ Автоматизации и Sites вынесены в правую панель ⭐️ Правила ревью кода и рецензенты отображаются в правой панели страницы предложения изменений 📌 В приватных репозиториях политики веток и правила ревью кода доступны на тарифе Pro. Как работать с конфигами ✨ Выбирайте удобный режим работы — редактируйте через интерактивную форму, настраивайте конфиг как код или поручите это ИИ-агенту. ✨ Исправляйте ошибки на лету — система проверяет конфиги в фоновом режиме, подсвечивает ошибки и предлагает исправления с помощью ИИ до слияния. ✨ Конвертируйте устаревшие src-ci.yaml в актуальный формат в один клик. ✏️ Настроить конфигурации

🚀 Залетайте на Космическую викторину SourceCraft Запустили интерактивное путешествие по планетарной системе SourceCraft вместе с «Типичным программистом» и призами. Исследуйте восемь уникальных миров. На каждой планете открывается тематическая загадка из истории технологий. Вспомним, как управляли первыми орбитальными станциями или какие IDE задавали тренды 40 лет назад.

Как поучаствовать 1️⃣ Отправляйтесь на космическую станцию викторины, укажите ссылку на ваш профиль в SourceCraft и выполняйте задания. 2️⃣ Среди всех, кто справится с миссией до 30 апреля, случайным образом разыграем промокоды на классные космические призы на Яндекс Маркете.

Победителей объявим 5 мая 2026 года. Жмите «Начать миссию» — и поехали исследовать ❤️

✌️ Обновления Public API: доступ к RAW-файлам, работа с пул-реквестами и другие возможности REST API 🔘 Исходные файлы репозитория теперь доступны по прямым ссылкам, например:

# Скачать и выполнить скрипт напрямую: curl -s https://raw.sourcecraft.tech/.../install.sh | bash

Также их можно скачивать в интерфейсе платформы или копировать и делиться временными ссылками с коллегами, не имеющими прав в репозитории.

В интерфейсе SourceCraft откройте нужный файл → в правом верхнем углу нажмите RAW.

🔘 Добавили новые методы в публичный REST API для удобной работы с предложениями изменений в ваших пайплайнах. 🔡Merge PullRequest (By ID) — слияние предложения изменений с основной веткой репозитория асинхронно. Статус операции доступен по status_url. 🔡Get Merge Checks (By ID) — запрос статуса готовности предложения изменений к слиянию с основной веткой репозитория. Метод возвращает статус и правила ревью кода, данные о конфликтах, а также результаты выполнения рабочего процесса CI и проверки конфигураций. 🔡Add Linked PRs — управление связью между предложениями изменений и задачами. Метод ассоциирует предложение изменений с конкретной задачей и возвращает обновленный список всех связанных элементов. 👉 Все возможности REST API

✌️ История сканирований и ручной запуск — новые инструменты безопасности в SourceCraft На платформе появились возможности для более гибкого управления проверками безопасности. 🔓 История сканирований позволяет отслеживать статусы предыдущих проверок в динамике. Теперь на отдельной странице можно просматривать снепшоты результатов и анализировать, как менялись находки от запуска к запуску. Это упрощает разбор инцидентов и аудит изменений, а также помогает восстановить хронологию событий, когда нужно быстро понять, на каком этапе возникла проблема. 👉 Ручной запуск проверок — бывает важно запустить проверку, не дожидаясь расписания, например, сразу после обновления зависимостей или перед релизом. Теперь инициировать сканирование можно в один клик прямо из раздела «Обзор безопасности». ▶️ Открыть историю сканирований

Сегодня в 15:00 Денис Макрушин проведёт круглый стол на тему «Нападение против защиты: честный разговор». Спикеры разделятся на две команды, чтобы обсудить главные инциденты года, разобрать самые неожиданные атаки и поделиться мнением о том, какие инструменты безопасности действительно работают. Это будет живая история о том, как перестраивается ИБ-архитектура в ответ на новые вызовы. Спойлер одного из вопросов дискуссии: «Кому сейчас ИИ помогает больше — атакующим или защитникам?» — поделитесь своим мнением в комментариях.

➡️ Приходите на площадку или подключайтесь к трансляции.

Если вам нравятся истории безопасности, сегодня мы подготовили ещё одну — следите за новостями.

✌️ Обновления SourceCraft Code Assistant для VS Code Многие уже могли заметить новые возможности в плагине. Делимся тремя главными изменениями. 🔡Пользовательские ИИ-навыки — опишите свой сценарий в SKILL․md, и ассистент сам определит по описанию из description, когда и как его применить. 🔡Новые MCP-инструменты для Yandex Cloud доступны в маркетплейсе: ➡️ Yandex Cloud Toolkit Remote — деплой и управление ресурсами ➡️ Yandex Cloud Documentation — генеративный поиск по документации ➡️ Yandex Search — генеративный или классический веб-поиск (есть платный режим) ➡️ Data Catalog Consumer — поиск метаданных в централизованном хранилище 🔡!filePath в .codeassistantignore помогает более тонко настроить доступ к файлам и папкам проекта. ⚡️ Попробовать все обновления можно в плагине для VS Code.

✌️ Запустили SourceCraft Spaces в техническое превью Рабочие пространства разработчиков SourceCraft Spaces теперь доступны всем, кто оставил заявку на закрытую бету. Они разворачиваются в облачном окружении — виртуальных машинах в Yandex Cloud с предустановленным VS Code, Code Assistant, языковыми пакетами, склонированной веткой репозитория и вспомогательными компонентами.

Где найти на платформе На странице репозитория в разделе Код → Рабочие пространства.

💬 Смотрите видео, как создавать, открывать и управлять пространствами за пару минут. 📌 Неактивные пространства автоматически останавливаются через 1 час и удаляются через 2 недели для экономии ресурсов на стадии Preview. Хотите присоединиться? Оставьте заявку на превью. 〰️  Работа в SourceCraft Spaces

✌️ Весенний релиз SourceCraft Рассказываем о главных обновлениях платформы.

Облачная IDE

🔡 SourceCraft Spaces доступен для тестирования пользователям, оставившим заявку на превью.

SourceCraft Code Assistant

🔡 Пользовательские ИИ-навыки теперь доступны в плагине для VS Code. 🔡 В маркетплейсе плагина для VS Code появились новые MCP-инструменты для Yandex Cloud — для генеративного поиска, деплоя и других сценариев.

Безопасность

🔡 Лицензионное сканирование автоматически выявляет транзитивные зависимости в проекте, находит связанные с ними уязвимости и проверяет лицензии. 🔡 Карта зависимостей — интерактивный граф зависимостей проекта с информацией об уязвимостях, лицензионных рисках и статусах, который помогает быстрее анализировать их и планировать обновление. 🔡 В истории сканирований на отдельной странице отображается список прошлых проверок.

Автоматизации

🔡 Параметры кубика теперь можно переиспользовать из YAML-файла другого репозитория. 🔡 Значения переданных входных параметров теперь видны в запущенном процессе. 🔡 Обновлённый интерфейс автоматизаций — теперь параметры запуска можно просматривать в отдельных карточках или общим списком.

Новые инструменты и улучшения платформы

🔡 Сопоставление коммитов с профилем помогает однозначно идентифицировать автора в истории изменений репозитория и связать коммиты с профилем на платформе. 🔡 Предложения изменений поддерживают уведомления, лейблы и удобный поиск. 🔡 Новый визуализатор конфигураций отрисовывает параметры из YAML и валидирует их по схеме. 🔡 Исходные файлы (RAW) репозитория теперь доступны по прямым ссылкам. 🔡 Файлы Jupyter Notebook теперь отображаются в общепринятом формате. Также мы ускорили процессы на платформе и улучшили интерфейс. Подробности обо всех обновлениях покажем в отдельных постах

С Днем космонавтики! 🚀 Cобрали подборку киномемов, которые поймут все, кто хоть раз пытался запустить проект «в космос» с первого раза — заряжайтесь настроением и пишите, если узнали себя ❤️ А если хочется космических скоростей без выхода в открытый космос, присоединяйтесь к превью SourceCraft Spaces. Это наша виртуальная среда разработки, где всё под рукой — без боли при настройке окружения и лишних перегрузок.

✌️ Запускаем блог SourceCraft на Хабре Начнём с истории одной оптимизации — как сделать быстрый поиск по коду для любого коммита. Кажется, что для такой задачи логично просто проиндексировать все коммиты. Но на большом репозитории это быстро приводит к гигабайтам индексов и значительному времени на их построение. Владимир Бобров разбирает, какие подходы мы проверили в SourceCraft — от наивного решения до дельт со снапшотами и персистентного дерева — и как в итоге пришли к решению с линеаризацией истории. Почему именно этот подход позволяет добиться быстрого поиска и предсказуемого времени ответа даже на больших репозиториях — в свежей статье в нашем блоге на Хабре.

🔍 В SourceCraft можно быстро искать по кодовой базе в разных ветках и удобно перемещаться по репозиторию. За этим стоит применение классических алгоритмов на практике.

Что вам интересно читать в блоге дальше? 🤝 — больше инженерных разборов 🔥 — про архитектуру и внутренности платформы 👌 — прикладные кейсы и сценарии использования