🔓 Новые security-интеграции в SourceCraft

Мы уже рассказывали, как подключить собственный анализатор кода в SourceCraft, чтобы использовать его в процессах безопасной разработки. Настало время делиться кейсом из практики.

Недавно команда PVS-Studio интегрировала с нашей платформой свой инструмент статического анализа и добавила в документацию инструкцию для его подключения. Теперь все находки этого инструмента можно обрабатывать в интерфейсе SourceCraft Security и ускорять разбор уязвимостей с помощью встроенной функции ИИ-триажа.

❤️ На SourceCraft размещён репозиторий от партнёров с тремя готовыми Docker-образами для быстрого запуска проверки C, Java и .NET кода в CI/CD платформы, а также примером настройки сканирования для проекта на C. Проект можно склонировать и запустить — для работы потребуется действующая лицензия PVS-Studio.

Механизм интеграции открыт для всех анализаторов кода, совместимых с SARIF, и расширяет возможности стандартных проверок SourceCraft.

🔼 Итоги программы грантов Yandex Open Source × SourceCraft

За каждым успешным опенсорс-проектом стоят настоящие энтузиасты своего дела. Совместно с Yandex Open Source мы поддержали авторов таких проектов ресурсами и продолжаем следить за их успехами.

В этом году гранты Yandex Cloud по 600 тысяч рублей получили 18 проектов. Расклад по направлениям получился такой:
11 — «Разработка»
5 — «Искусственный интеллект»
2 — «Обработка и хранение данных»

🎉 Полный список победителей опубликован на сайте программы, а мы подсветим по одному проекту из каждого трека:

⭐️ libmdbx (Леонид Юрьев) — высокопроизводительная встраиваемая база данных класса «ключ-значение». Проект вырос из LMDB и с 2015 года развивается независимо. База данных поставляется как single‑file‑source для упрощения интеграции в сторонний софт. Ближайшие планы — глобальный транзит в сторону полностью новой архитектуры MithrilDB.

⭐️ libBeresta (Дмитрий Соломенников) — кросс-платформенный инструмент на чистом ANSI C для низкоуровневой генерации PDF-файлов (глубокий архитектурный рефакторинг библиотеки libHaru). Кстати, мы уже рассказывали про Факультет компилятороварения, где Дмитрий один из авторов.

⭐️ Auto AI Router (Никита Лебедев) — высокопроизводительный прокси-маршрутизатор для распределения запросов к популярным LLM. В проекте реализованы автоматическая балансировка нагрузки для минимизации задержек, контроль лимитов запросов и защита инфраструктуры от злоупотреблений с помощью встроенных механизмов безопасности.

🔘 Почитать подробнее о кейсах победителей и вдохновиться на участие в следующем сезоне можно в статье Серёжи Бережного на Хабре.

✌️ Контрибьютим в опенсорс, который используем сами

В SourceCraft Security задействовано несколько опенсорсных проектов. Один из них — Grype, сканер уязвимостей, который помогает анализировать зависимости и находить известные проблемы в пакетах.

Мы уже делились историей про маленький шаг в большом опенсорсе с Trivy. В этот раз покажем улучшение, которое экономит время инженерам по безопасности.

🔘 В чём было дело
Время от времени Grype находил уязвимости, у которых в первичной записи отсутствовало описание. В таких случаях поле fullDescription в SARIF-отчёте заполнялось бесполезной заглушкой Version 6.6.126 is affected with no fixes reported yet.

Вместо полной картины по уязвимости инженеры видели пустую карточку без контекста. Чтобы понять суть проблемы, приходилось вручную переходить в NVD или Ubuntu Security — это замедляло триаж и принятие решений.

🔘 Что изменилось
В самом Grype информация об уязвимости из NVD была, но хранилась в отдельном поле JSON-вывода: .matches[].relatedVulnerabilities[].description. Презентер сканера просто игнорировал её при сборке SARIF-отчёта. 

Теперь Grype подтягивает описание из relatedVulnerabilities, если оно отсутствует в записи уязвимости. Например, для CVE-2025-37849 (use-after-free в Linux kernel) вместо заглушки попадает полное описание проблемы — с контекстом про KVM, arm64 и природу UAF.

Все подробности — в предложении изменений.

А вы контрибьютили в опенсорс-проекты, которые используете в своей работе?

🔥 Да, исправлял или добавлял функциональность
🤔 Пока нет, но такие мысли были
⚡️ Чаще завожу задачи и предлагаю улучшения

✌️ Агентский режим в плагине для JetBrains IDE — запускаем пилот

Приглашаем всех, кто давно ждал поддержку агентского режима в плагине для семейства IDE от JetBrains, поучаствовать в тестировании.

Как участвовать в пилоте
1️⃣ Обновите текущую версию плагина или установите свежую (актуальные шаги установки — в документации)
2️⃣ Откройте меню IDE: Help → Find Action
3️⃣ Наберите в поиске Registry и включите флаг ru.yandex.code.assistant.enableSrcCliAgent
4️⃣ Перезагрузите IDE

После установки на верхнем тулбаре появится иконка 🔴 для запуска SourceCraft CLI с дополнительными инструментами для чтения и изменения файлов через IDE, отображения diff и выполнения других действий в среде разработки. При этом привычный чат остаётся на своём месте на правой панели.

💬 Заодно делимся хорошей новостью — плагин стабильно поддерживает версию 2026.1. Мы обновили процессы выпуска, поэтому поддержка новых версий IDE теперь будет появляться быстрее и стабильнее.

Что дальше
В планах добавить больше инструментов для CLI, обновить UI чата, вывести панель управления параллельными задачами и подагентами, а также расширить настройки.

❤️ Поделитесь своим опытом взаимодействия, идеями и мыслями — напишите в наш чат или отправляйте тикеты через «жука» на платформе. Ждём ваших отзывов!