✌️ Делимся переменными окружения между кубиками

В SourceCraft можно передавать значения между кубиками в CI/CD-процессах. Например, версию сборки из тестирования в деплой или путь к артефакту из сборки в публикацию.

Для этого используйте специальные предопределённые переменные окружения:

$SOURCECRAFT_ENV — передаёт переменные окружения от одного кубика к последующим в виде пар KEY=VALUE. Значения автоматически попадают в окружение следующих кубиков в рамках того же задания.

$SOURCECRAFT_OUTPUT — передаёт пары KEY=VALUE через блок outputs и позволяет явно обращаться к ним через специальный синтаксис. Подходит, когда важно ссылаться на результаты конкретных кубиков в рамках одного задания.

〰️ Передача переменных окружения от одного кубика к другому

🔓 Если процесс разработки построен неправильно, ИИ-агенты могут создавать дополнительную нагрузку на команды безопасности и DevSecOps. Поток нового кода, сгенерированного с помощью ИИ, требует внимания специалистов, которые почти всегда ограничены в ресурсах.

✌️ Именно поэтому в SourceCraft мы разработали ИИ-триаж. Он помогает дополнительно проверять и структурировать уязвимости из разных мест в репозитории несколькими инструментами безопасности. В результате разработчик видит, какие находки в приоритете, и получает понятные инструкции для исправления.

Кстати, канал «Неискусственный интеллект» разобрал, откуда берётся поток лишних отчётов, кто в нём тонет и как индустрия пытается с этим справляться.

✌️ Новые возможности и улучшения в разделе «Безопасность»

🔡 Множественный выбор находок и их групповая обработка — одно из самых частых пожеланий пользователей инструментов безопасности. Теперь эта функциональность доступна на платформе в разделе «Безопасность».

🔡 Новые инструменты генерации SBOM: Syft с форматом CycloneDX 1.6 и Trivy. Это существенно улучшает анализ уязвимостей в зависимостях — обеспечивает более надёжное покрытие для разных языков и систем сборки, включая JVM-языки с Gradle.

🔡 Новый встроенный статический анализатор KICS для поиска уязвимостей и ошибок в файлах Infrastructure as Code. Теперь небезопасные настройки и проблемы в конфигурации можно выявлять ещё до деплоя.

🔡 Сканирование для публичных репозиториев теперь включено по умолчанию для всех новых проектов.

🔡 Гибкая настройка сканирования — гранулярно включайте и отключайте проверку предложений изменений, фоновое сканирование или загрузку пользовательских результатов.

✏️ Заодно напомним о других улучшениях платформы безопасности, чтобы вы ничего не пропустили:

✨ Центр контроля уязвимостей показывает полную картину безопасности по всем репозиториям организации в одном месте. Обновлённые дашборды собирают статистику по уязвимым библиотекам и репозиториям, которые подвержены риску, чтобы у владельцев проектов всегда был приоритет в исправлении уязвимостей.

В разделе «Анализ кода» также на одной странице можно увидеть все найденные уязвимости в проектах организации.

✨ Разбор уязвимостей с помощью ИИ доступен на страницах «Анализ кода» и «Сканирование секретов» и помогает быстрее оценить и исправить находки.

✨ А также комментарии на странице находок в блоке «Активность» и новые фильтры по именам правил и уязвимым библиотекам в разделе «Зависимости».

Южный ИТ-форум стал для нас ярким финалом весеннего сезона хакатонов. В Ростов-на-Дону мы привезли любимый кейс: создать ИИ-навык, который участники сами захотели бы регулярно использовать в работе.

За три дня участники собрали ИИ-навыки для борьбы с рутиной. Вот какие задачи решали команды:

🏆 Автоматизация код-ревью — набор навыков для анализа предложения изменений, помощи в их изучении, внесения улучшений и мониторинга неотвеченных комментариев, за который команда «жыбий рыр» забрала победу

🏆 Работа с релизами и качеством кода: генерация CHANGELOG, запуск CI-пайплайна публикации, персональные дайджесты разработчика и ещё 5 сценариев от команды победителей «Клуб любителей пощекотать»

⭐️Поддержка контрибьюторов опенсорс-проектов — 11 навыков вокруг проекта kernel-hardening-checker для онбординга, поиска уязвимостей, фаззинг-тестирования, деплоя и генерации кода от команды «Хамстер комбат 2»

⭐️Управление проектом и код-ревью: генерации API-документации, чек-лист для код-ревью, онбординг новичков, анализ зависимостей и декомпозиция задач с оценкой рисков от команды Name tag.

Переходите в репозитории, поддерживайте ребят реакциями и адаптируйте подходящие решения под свои задачи ❤️

☕️ Суббота — день, когда хочется замедлиться… но только если речь не о времени старта Java-приложений

Сегодня на Я.Субботнике выступает участник нашей команды Андрей Кулешов с докладом про Quarkus. Андрей расскажет про модные AOT-like подходы в Java. Это будет история о том, что именно делает Quarkus на стадии build-time, почему такой подход даёт прирост производительности и какие возможности открывает Project Leyden.

Начало доклада в 13:05

Как присоединиться
🔘 на площадке — приходите пообщаться в неформальной обстановке
🔘 онлайн — подключайтесь к трансляции на сайте мероприятия, ВК или YouTube.

✌️ Быстрый старт разработки навыков для Алисы

Чат-боты привычны большинству разработчиков, но тот же интерактив можно легко перенести в голосового помощника.

В Базе знаний появился репозиторий для быстрого старта разработки навыков для Алисы. Проект реализован на Python и работает на основе Yandex Cloud Functions.

Пример навыка:
1️⃣ Повторяет фразу пользователя
2️⃣ Сохраняет последние реплики в состоянии сессии
3️⃣ По запросу «напомни, что я сказал до этого» возвращает предпоследнюю фразу

Получается простой голосовой диалог, который можно развивать под свои сценарии. Кстати, сам пример собран и развёрнут с помощью SourceCraft Code Assistant.

🔘 Берите за основу, разворачивайте у себя и запускайте собственные голосовые навыки

➡️ Посмотреть

✌️ Встречаемся на DevOpsConf!

Мы подготовили много интересного для всех, кто на площадке.

Сегодня в 14:10 | Зона выставки
Питчинг-сессия для инженеров и разработчиков: расскажем, как строится полный цикл разработки на SourceCraft, и анонсируем важные обновления.

3 апреля, 13:30 | Малый зал
Денис Макрушин из команды SourceCraft покажет, насколько уязвимы современные ИИ-инструменты и как они могут скомпрометировать ваши системы. В докладе вас ждёт разбор новых векторов атак, методика и готовый набор решений для защиты агентных ИИ-систем.

Все дни конференции открыт наш стенд 
Заходите пообщаться с командой, познакомиться с платформой и посмотреть её возможности в деле.

До встречи на конференции!

✌️ Увеличили количество публичных и приватных репозиториев в организации до 5000, чтобы упростить работу в проектах с большим числом участников.

Обновление особенно актуально для крупных компаний и образовательных учреждений, где сотрудники и студенты часто создают новые репозитории.

▶️ Обновлённые лимиты

📌 Обновление условий использования SourceCraft Code Assistant

На платформе и в плагине для IDE появились тарифные планы Code Assistant — теперь можно гибко регулировать лимиты и управлять потреблением ИИ-ресурсов.

🔵 Free: 500 нейрокредитов на чат и 4000 запросов на автодополнение кода в месяц.
🔵 Pro: 2000 нейрокредитов на чат, 4 млн запросов на автодополнение. Стоимость — 700 ₽ в месяц за одно рабочее место. Доступно расширение квот под задачи команды.

Нейрокредиты — единая мера потребления ресурсов, которая позволяет оценивать затраты на чат и агентский режим независимо от используемой модели внутри ассистента.

✌️ Всем доступен приветственный бонус — 4000 нейрокредитов. Их можно использовать до 1 июля 2026 года для оценки потребления ресурсов в реальных сценариях.

Выбор тарифного плана доступен в разделе «Тарифы». Потребление квот отображается в настройках личного кабинета SourceCraft и в интерфейсе плагина Code Assistant.

〰️ Тарифные планы Code Assistant

💻 Как собрать MVP за один вечер? Узнаем на about:cloud: infrastructure

16 апреля на митапе пройдет Dev Challenge — команда разработки в реальном времени будет создавать продукт для инженеров и архитекторов.

❤️❤️❤️
❤️❤️❤️Для написания кода и деплоя в облако ребята задействуют SourceCraft и сервисы Yandex Cloud. В процессе они будут рассказывать о выбранном стеке, инструментах и статусе реализации. Успеет ли команда завершить MVP за несколько часов? Увидим в прямом эфире и на офлайн-площадке в Москве.

В основной программе заглянем под капот облачной платформы и инфраструктурных сервисов: коллеги из Yandex Cloud и Yandex Infrastructure подготовили доклады об IaC для управления алертами, инференсе LLM, оптимизации GPU-ресурсов, борьбе с уязвимостями, устройстве CDN и о том, как сложности в разработке on-premises продукта привели к открытию новых полезных фичей.

В перерывах между выступлениями заглянем в «комнату разработки», чтобы увидеть, как продвигается написание кода и какие решения принимаются прямо сейчас.

✏️ Программа и регистрация

✌️ Запускаем блог SourceCraft на Хабре

Начнём с истории одной оптимизации — как сделать быстрый поиск по коду для любого коммита.

Кажется, что для такой задачи логично просто проиндексировать все коммиты. Но на большом репозитории это быстро приводит к гигабайтам индексов и значительному времени на их построение.

Владимир Бобров разбирает, какие подходы мы проверили в SourceCraft — от наивного решения до дельт со снапшотами и персистентного дерева — и как в итоге пришли к решению с линеаризацией истории.

Почему именно этот подход позволяет добиться быстрого поиска и предсказуемого времени ответа даже на больших репозиториях — в свежей статье в нашем блоге на Хабре.

🔍 В SourceCraft можно быстро искать по кодовой базе в разных ветках и удобно перемещаться по репозиторию. За этим стоит применение классических алгоритмов на практике.

Что вам интересно читать в блоге дальше?
🤝 — больше инженерных разборов
🔥 — про архитектуру и внутренности платформы
👌 — прикладные кейсы и сценарии использования

С Днём космонавтики! 🚀

Cобрали подборку киномемов, которые поймут все, кто хоть раз пытался запустить проект «в космос» с первого раза — заряжайтесь настроением и пишите, если узнали себя ❤️

А если хочется космических скоростей без выхода в открытый космос, присоединяйтесь к превью SourceCraft Spaces. Это наша виртуальная среда разработки, где всё под рукой — без боли при настройке окружения и лишних перегрузок.

✌️ Весенний релиз SourceCraft

Рассказываем о главных обновлениях платформы.

Облачная IDE

🔡 SourceCraft Spaces доступен для тестирования пользователям, оставившим заявку на превью.

SourceCraft Code Assistant

🔡 Пользовательские ИИ-навыки теперь доступны в плагине для VS Code.

🔡 В маркетплейсе плагина для VS Code появились новые MCP-инструменты для Yandex Cloud — для генеративного поиска, деплоя и других сценариев.

Безопасность

🔡 Лицензионное сканирование автоматически выявляет транзитивные зависимости в проекте, находит связанные с ними уязвимости и проверяет лицензии.

🔡 Карта зависимостей — интерактивный граф зависимостей проекта с информацией об уязвимостях, лицензионных рисках и статусах, который помогает быстрее анализировать их и планировать обновление.

🔡 В истории сканирований на отдельной странице отображается список прошлых проверок.

Автоматизации

🔡 Параметры кубика теперь можно переиспользовать из YAML-файла другого репозитория.

🔡 Значения переданных входных параметров теперь видны в запущенном процессе.

🔡 Обновлённый интерфейс автоматизаций — теперь параметры запуска можно просматривать в отдельных карточках или общим списком.

Новые инструменты и улучшения платформы

🔡 Сопоставление коммитов с профилем помогает однозначно идентифицировать автора в истории изменений репозитория и связать коммиты с профилем на платформе.

🔡 Предложения изменений поддерживают уведомления, лейблы и удобный поиск.

🔡 Новый визуализатор конфигураций отрисовывает параметры из YAML и валидирует их по схеме.

🔡 Исходные файлы (RAW) репозитория теперь доступны по прямым ссылкам.

🔡 Файлы Jupyter Notebook теперь отображаются в общепринятом формате.

Также мы ускорили процессы на платформе и улучшили интерфейс. Подробности обо всех обновлениях покажем в отдельных постах

✌️ Запустили SourceCraft Spaces в техническое превью

Рабочие пространства разработчиков SourceCraft Spaces теперь доступны всем, кто оставил заявку на закрытую бету.

Они разворачиваются в облачном окружении — виртуальных машинах в Yandex Cloud с предустановленным VS Code, Code Assistant, языковыми пакетами, склонированной веткой репозитория и вспомогательными компонентами.

Где найти на платформе
На странице репозитория в разделе Код → Рабочие пространства.

💬 Смотрите видео, как создавать, открывать и управлять пространствами за пару минут.

📌 Неактивные пространства автоматически останавливаются через 1 час и удаляются через 2 недели для экономии ресурсов на стадии Preview.

Хотите присоединиться? Оставьте заявку на превью.

〰️  Работа в SourceCraft Spaces

✌️ Обновления SourceCraft Code Assistant для VS Code

Многие уже могли заметить новые возможности в плагине. Делимся тремя главными изменениями.

🔡Пользовательские ИИ-навыки — опишите свой сценарий в SKILL․md, и ассистент сам определит по описанию из description, когда и как его применить.

🔡Новые MCP-инструменты для Yandex Cloud доступны в маркетплейсе:
➡️ Yandex Cloud Toolkit Remote — деплой и управление ресурсами
➡️ Yandex Cloud Documentation — генеративный поиск по документации
➡️ Yandex Search — генеративный или классический веб-поиск (есть платный режим)
➡️ Data Catalog Consumer — поиск метаданных в централизованном хранилище

🔡!filePath в .codeassistantignore помогает более тонко настроить доступ к файлам и папкам проекта.

⚡️ Попробовать все обновления можно в плагине для VS Code.

Сегодня в 15:00 Денис Макрушин проведёт круглый стол на тему «Нападение против защиты: честный разговор». Спикеры разделятся на две команды, чтобы обсудить главные инциденты года, разобрать самые неожиданные атаки и поделиться мнением о том, какие инструменты безопасности действительно работают.

Это будет живая история о том, как перестраивается ИБ-архитектура в ответ на новые вызовы. Спойлер одного из вопросов дискуссии: «Кому сейчас ИИ помогает больше — атакующим или защитникам?» — поделитесь своим мнением в комментариях.

➡️ Приходите на площадку или подключайтесь к трансляции.

Если вам нравятся истории безопасности, сегодня мы подготовили ещё одну — следите за новостями.

✌️ История сканирований и ручной запуск — новые инструменты безопасности в SourceCraft

На платформе появились возможности для более гибкого управления проверками безопасности.

🔓 История сканирований позволяет отслеживать статусы предыдущих проверок в динамике. Теперь на отдельной странице можно просматривать снепшоты результатов и анализировать, как менялись находки от запуска к запуску.

Это упрощает разбор инцидентов и аудит изменений, а также помогает восстановить хронологию событий, когда нужно быстро понять, на каком этапе возникла проблема.

👉 Ручной запуск проверок — бывает важно запустить проверку, не дожидаясь расписания, например, сразу после обновления зависимостей или перед релизом.

Теперь инициировать сканирование можно в один клик прямо из раздела «Обзор безопасности».

▶️ Открыть историю сканирований