Обновить

Компания SourceCraft временно не ведёт блог на Хабре

Сначала показывать

Какие страхи мешают разработчикам перейти на Cloud IDE и как мы их закрывали архитектурно

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели11K

Обычно разработчики пользуются локальными IDE вроде VS Code или IDE от JetBrains со своим набором плагинов, настроек и собранным под себя окружением. Иногда — удалённой машиной. Но есть третий вариант, который пока многим непривычен и потому вызывает настороженность, — Cloud IDE, или CDE. 

Закономерно возникают вопросы: а точно ли мои данные в безопасности? Есть ли в CDE все нужные компоненты для полноценной работы или это просто способ быстро заглянуть в код?

Читать далее

От баз данных до инструментов для ИИ‑экосистем: проекты, которые получили гранты Yandex Open Source

Время на прочтение8 мин
Охват и читатели11K

Развивать собственный технологический проект в одиночку или небольшой командой — это всегда вызов. Нужно не просто написать работающий код, но и продумать архитектуру, закрыть инфраструктурные боли, настроить CI/CD и при этом не выгореть. Тем ценнее видеть, как крутые разработки получают заслуженную поддержку, помогающую им выйти на новый уровень.

В этом году мы провели Yandex Open Source при поддержке платформы для разработчиков SourceCraft. А ещё мы увеличили призовой фонд с 12 до 18 победителей. Мы принимали заявки по трём трекам: обработка и хранение данных, разработка, искусственный интеллект. 

Читать далее

Статический анализ, заряженный ИИ: как LLM ищут уязвимости в коде и где их границы

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели8.9K

Привет, Хабр! На связи Денис Макрушин из команды SourceCraft. Индустрия AppSec десятилетиями жила в жёстком конфликте между полнотой и точностью поиска угроз. Классические SAST-инструменты генерируют шум, на ручной разбор которого уходит больше времени, чем на реальную работу с угрозами. Релиз Claude Code Security от Anthropic заметно встряхнул индустрию кибербезопасности: капитализация традиционных вендоров просела, а генеральный директор крупного игрока Snyk заявил, что будущее компании теперь должен определять ИИ-центричный лидер.

Рынок переопределил ценность инструмента безопасности. Раньше она измерялась количеством поддерживаемых правил и языков. Сегодня формула изменилась: важна  цепочка — нашёл, объяснил, помог исправить. Здесь на сцену выходят LLM  — не как замена классическому анализатору, а как дополнительный слой интерпретации. Так формируется новая категория — AI SAST.

В этой статье разберём, как именно LLM работают с кодом, почему «скормить репозиторий в промт» — плохая идея, какие инженерные метрики действительно важны и как мы исследуем и внедряем новые возможности автономного поиска и исправления дефектов в коде для добавления в продукты SourceCraft Security.

Читать далее

Релизы без боли для тимлида: как собрать предсказуемый процесс из очевидных практик

Уровень сложностиСредний
Время на прочтение9 мин
Охват и читатели7.5K

«Релиз» — слово, от которого у многих тимлидов подскакивает артериальное давление. Ведь за ним часто стоит ночь без сна: кто-то внёс правку в последний момент, тесты упали, а в проде уже ждут обновления. Знакомо?

Но релиз может стать предсказуемым процессом. В статье на примерах покажу, какие процессы, правила и инструменты помогают команде SourceCraft Security избежать авралов.

Читать далее

Топ техник атак на веб-приложения: как разработчику защититься от нетривиальных уязвимостей

Уровень сложностиСредний
Время на прочтение10 мин
Охват и читатели7K

В ежегодный рейтинг Top 10 web hacking techniques попадают материалы об инновациях в области поиска и эксплуатации уязвимостей. Некоторые из них показывают целые категории проблем и новые методы атак. В этой статье хочу рассказать о самых интересных исследованиях из топа прошедшего года, а заодно поделиться собственными идеями о том, как защититься от описанных уязвимостей.

Читать далее

Поиск по коду: почему просто проиндексировать все коммиты — плохая идея

Уровень сложностиСложный
Время на прочтение12 мин
Охват и читатели8.2K

Все мы сталкивались с классическими алгоритмами на курсах, олимпиадах или собеседованиях и, куда более редко, на практике. Но даже в реальной разработке возникают ситуации, когда готового решения нет, а простое не подходит.

Расскажу как раз о такой задаче, над которой работала наша команда, — поиск по коду относительно произвольного коммита. Покажу, как много вариантов мы перебрали, что в итоге выбрали и почему.

Читать далее