Статьи о SourceCraft
- 2026 год
- Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
- За два месяца вместо года: как мы переписали 97 тысяч строк кода с Objective-C на Swift
- Релизы без боли для тимлида: как собрать предсказуемый процесс из очевидных практик
- Топ техник атак на веб-приложения: как разработчику защититься от нетривиальных уязвимостей
- Что такое cURL и как им пользоваться
- Основы Bash в Linux. Пишем первый скрипт на Bash
- Поиск по коду: почему просто проиндексировать все коммиты — плохая идея
- IDE для программиста: какую среду разработки выбрать
- 2025 год
- Под капотом предложения изменений: как мы ускоряли индексирование кода для удобной навигации при ревью
- SourceCraft + Хабр = ❤️
- Как работать с пользовательскими анализаторами безопасности в CI
- Искусственный интеллект в разработке: изучаем тренды и реальное применение
- Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов
- Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
- 2024 год
- См. также
Статьи, в которых представители SourceCraft, Yandex Cloud, Yandex Infrastructure и других команд рассказывают о деталях реализации SourceCraft, делятся опытом разработки платформы и планами на будущее.
- Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
- За два месяца вместо года: как мы переписали 97 тысяч строк кода с Objective-C на Swift
- Релизы без боли для тимлида: как собрать предсказуемый процесс из очевидных практик
- Топ техник атак на веб-приложения: как разработчику защититься от нетривиальных уязвимостей
- Что такое cURL и как им пользоваться
- Основы Bash в Linux. Пишем первый скрипт на Bash
- Поиск по коду: почему просто проиндексировать все коммиты — плохая идея
- IDE для программиста: какую среду разработки выбрать
- Под капотом предложения изменений: как мы ускоряли индексирование кода для удобной навигации при ревью
- SourceCraft + Хабр = ❤️
- Как работать с пользовательскими анализаторами безопасности в CI
- Искусственный интеллект в разработке: изучаем тренды и реальное применение
- Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов
- Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
2026 год
Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы
Классические SAST-инструменты генерируют довольно много шума — на ручной разбор предупреждений иногда уходит больше времени, чем на работу с реальными угрозами. Чтобы команды не тонули под лавиной алертов, инструменты статического анализа все чаще усиливают LLM.
В новой статье Денис Макрушин разбирает, как меняется подход к анализу кода и что на самом деле скрыто за одной кнопкой Оценка от AI на платформе.
За два месяца вместо года: как мы переписали 97 тысяч строк кода с Objective-C на Swift
За пять лет ручной миграции удалось переписать чуть более половины объема legacy-кода. Ситуацию изменила автоматизация на базе LLM — это решение:
- Анализирует граф зависимостей, чтобы начинать миграцию с «листьев» — модулей, не зависящих от старого кода.
- Переписывает код, параллельно проверяя его сборкой и тестами.
- Проводит рефакторинг в соответствии с лучшими практиками Swift.
- Автоматически проверяет качество по чек-листу перед код-ревью.
В итоге за 2 месяца коллеги переписали 97 500 строк кода, мигрировали 2 167 файлов и смержили 106 пул-реквестов — вместо запланированного года.
Все промпты, конфигурационные шаблоны и вспомогательные скрипты команда выложила в открытый доступ на SourceCraft. Забирайте и адаптируйте под свои проекты.
Релизы без боли для тимлида: как собрать предсказуемый процесс из очевидных практик
На практических примерах показываем, какие процессы, правила и инструменты помогают команде выпускать изменения спокойно и без ночных авралов.
Топ техник атак на веб-приложения: как разработчику защититься от нетривиальных уязвимостей
Топ техник атак и способы защиты от нетривиальных уязвимостей подготовил Денис Макрушин из команды безопасной разработки.
Современные атаки все чаще используют несогласованность между компонентами системы, а не только ошибки в коде. Фокус смещается на инфраструктуру и протоколы — безопасность нужно рассматривать на уровне всей системы, а не отдельных компонентов.
Какие атаки попали в топ:
- Несогласованная интерпретация. Разница в обработке данных (JSON, YAML, HTTP) и нормализация Unicode — главные причины обхода фильтров и выполнения произвольного кода.
- Особенности протоколов. Произвольные запросы в HTTP/2 могут использоваться как инструмент сетевой разведки, а новая техника SSRF работает через аномалии в перенаправлениях.
- Промпт-инъекции в ИИ-агенты. Вредоносные инструкции в коммитах или тикетах, заставляющие агента выполнять привилегированные команды в процессах сборки.
- Старая техника атак Zip Slip обретает новую форму — изучаем, как уязвимости адаптируются к новым контекстам.
Денис делится рекомендациями, как закрывать такие уязвимости на этапе разработки, не дожидаясь инцидентов.
Что такое cURL и как им пользоваться
Как установить и запустить cURL, базовый синтаксис, основные команды и опции. Примеры GET- и POST-запросов, скачивания файлов, аутентификации, работы с заголовками и редиректами. Как пользоваться cURL для тестирования API и автоматизации задач.
Основы Bash в Linux. Пишем первый скрипт на Bash
Что такое Bash, основные команды и синтаксис. Как выбрать редактор, создать и запустить первый Bash-скрипт. Как использовать переменные, аргументы, условные операторы и циклы. Примеры и советы для начинающих.
Поиск по коду: почему просто проиндексировать все коммиты — плохая идея
Как сделать быстрый поиск по коду для любого коммита? Кажется, что для такой задачи логично просто проиндексировать все коммиты. Но на большом репозитории это быстро приводит к гигабайтам индексов и значительному времени на их построение.
Владимир Бобров разбирает, какие подходы мы проверили в SourceCraft — от наивного решения до дельт со снапшотами и персистентного дерева — и как в итоге пришли к решению с линеаризацией истории.
Почему именно этот подход позволяет добиться быстрого поиска и предсказуемого времени ответа даже на больших репозиториях — в статье в нашем блоге на Хабре.
IDE для программиста: какую среду разработки выбрать
Подборка IDE для разработки на Java, Python, JavaScript, C++ и других языках программирования.
2025 год
Под капотом предложения изменений: как мы ускоряли индексирование кода для удобной навигации при ревью
Ревью большого предложения изменений — это как экскурсия без гида, где сложно уловить взаимосвязи разрозненных фрагментов по текстовым изменениям.
Ситуация меняется с появлением инструментов, способных строить семантическую модель кода прямо в облаке.
Умная навигация помогает разбираться в предложениях изменений любой сложности и предоставляет возможность быстро переходить к определению и выполнять поиск использований.
Павел Таланов из команды Yandex Infrastructure в новой статье на Хабре рассказал, как мы создавали эту функциональность и решали задачу на стыке бэкенда и IDE:
- Почему индекс IDE не подошел и как он устроен на платформе для каждого нового коммита?
- Как работают всплывающие подсказки?
- Какой подход выбрали для связывания символов?
- Архитектура умной навигации по коду.
- Как измеряли качество решения?
SourceCraft + Хабр = ❤️
Все мы любим читать истории и изучать новые технологии на Хабре. Во многих статьях есть примеры кода. Но что делать, если в коде трудно разобраться?
Теперь во всех кодовых сниппетах на Хабре в один клик можно Объяснить код с SourceCraft.
Для решения задач посложнее второй клик переносит на платформу SourceCraft — контекст сохраняется, можно переписать код на другой язык, проверить ошибки или протестировать прямо на платформе.
О том, как мы это сделали, читай в статье на Хабре.
Как работать с пользовательскими анализаторами безопасности в CI
Сегодня безопасность кода в разработке становится приоритетом для каждой команды. Рассказываем как настроить SourceCraft, чтобы платформа не только помогала писать код, но и проверяла его на уязвимости и мисконфигурации. Даем инструкции, как подключить анализаторы кода и линтеры, а также интегрировать результаты сканирования напрямую в предложение изменений.
Искусственный интеллект в разработке: изучаем тренды и реальное применение
Как инструменты разработки меняют рабочие процессы: от учебных аудиторий до продуктовых команд?
Дмитрий Иванов, руководитель SourceCraft, рассказал о результатах исследования в статье на Хабре.
Что в статье:
- Массовое внедрение ИИ-ассистентов в разработке;
- Трансформация рынка труда и требований к разработчикам;
- Влияние на продуктивность команд разработки;
- Готовность к инвестициям в новые технологии;
- Образование нового поколения разработчиков.
Секретные ингредиенты безопасной разработки: исследуем способы точного и быстрого поиска секретов
Код — одно из ключевых мест хранения различных секретов. Всего один коммит может случайно унести в открытый доступ токен или пароль. Выявление секретов становится настоящим вызовом, если область поиска — все проекты на популярной платформе для разработчиков.
Наши эксперты из команды безопасной разработки — Денис Макрушин, Андрей Кулешов и Алексей Тройников — рассказали, как создается функциональность поиска секретов в коде, и какие критерии являются ключевыми для тех, кто ищет в нем что-то ценное: скорость, точность и полнота.
Что в статье:
- анализ тематических исследований;
- сравнение актуальных и быстрых инструментов поиска секретов: Kingfisher и Gitleaks;
- обсуждение преимуществ языковых моделей над классическими методами: анализ энтропии, регулярные выражения, сигнатуры.
Догфудинг, ИИ-помощники, кодонавигация: самое интересное про SourceCraft, новую платформу для разработки от Яндекса
История SourceCraft началась в Yandex Infrastructure — эта команда развивает инструменты для создания и развертывания приложений и сервисов внутри Яндекса и поддерживает инфраструктуру, на которой работают большинство разработчиков компании. Во многом поэтому значительная часть идей для новой платформы возникла благодаря догфудингу — практике использования собственного продукта командой его создателей.
Вместе с разработчиками платформы Ольгой Лукьяновой и Сергеем Захарченко вы узнаете, каково это — делать платформу для разработки, одновременно используя эту же самую платформу для написания кода, тестирования, проверки предложений изменений, сборки и деплоя.
2024 год
Решаем задачу моментальной навигации по коду для любого коммита
Ольга Лукьянова, разработчик платформы, поделилась, с чего начиналась кодонавигация в SourceCraft и почему было важно не превращать платформу в IDE.
AI-инструмент для разработчика: как мы обучали LLM работе с кодом
Виктор Плошихин, руководитель ML-лаборатории в Yandex Platform Engineering, рассказал, как команда создавала AI-ассистента для разработчиков. Как дообучали модели на реальном коде, почему решили предсказывать именно стейтменты, какие метрики и способы оценки качества разработали.
Из доклада вы узнаете:
- Какие задачи решают разработчики и как тут помогают LLM.
- Что умеют современные AI-ассистенты.
- Как обычно оценивается польза от внедрения AI-продуктов.
- Какое влияние AI оказывает на бизнес.