GitHub выкатил очередную партию изменений — и большая их часть касается не новых «фич ради фич», а того, как ИИ-инструменты и защита цепочки поставок встраиваются в обычные корпоративные процессы: появляются политики, лимиты, настройки по умолчанию для организаций. Собрал главное по трём направлениям — Copilot, Actions и npm.
Copilot: ревью подешевело, плагины взяли под контроль
Copilot code review теперь работает на тех же инструментах для обхода файлов, что и Copilot CLI/SDK — grep, rg, glob, view — вместо собственных самописных утилит. По цифрам GitHub, это снизило стоимость ревью примерно на 20% без потери качества (проверяли и в офлайн, и в онлайн-тестах).
Если вы участвуете в превью среднего уровня анализа (Medium analysis depth), добавилось ещё два момента. Во-первых, в комментарии с обзором пул-реквеста теперь явно пишут, что ревью прогонялось именно на Medium — раньше это было не очевидно. Во-вторых, организация может задать уровень анализа по умолчанию для репозиториев, где он ещё не настроен, а конкретный репозиторий при желании всё равно может этот дефолт переопределить.
Отдельно подъехала настройка для админов — strictKnownMarketplaces в Copilot CLI и VS Code (пока в публичном превью). Она позволяет ограничить установку плагинов только теми каталогами, которые явно разрешены политикой компании. Фактически это белый список источников расширений, который применяется централизованно через корпоративные настройки, а не зависит от того, что каждый разработчик решит себе поставить.
Actions: шаги научились работать параллельно, раннерами стало проще управлять
Раньше шаги в workflow выполнялись строго друг за другом, а единственный способ запустить что-то параллельно — фоновый процесс через & в шелле, после которого логи разных шагов превращались в кашу. Теперь это решили нормально: добавили четыре ключевых слова.
-
background: true— шаг стартует асинхронно, выполнение workflow сразу идёт дальше; -
wait/wait-all— ждать конкретный фоновый шаг (или сразу все); -
cancel— корректно остановить фоновый шаг, когда он больше не нужен — удобно для сервисов, которые поднимали только на время джоба; -
parallel— синтаксический сахар: берёт группу шагов, переводит их в фоновый режим и сам добавляетwaitпосле.
На практике это закрывает привычные боли: параллельные независимые сборки, поднять тестовый сервис → прогнать тесты → аккуратно его погасить, неблокирующие фоновые задачи вроде отправки телеметрии, пока пакуется сборка.
Параллельно расширили контроль над hosted-раннерами на уровне организации. Админы теперь могут отключать стандартные лейблы раннеров вроде ubuntu-latest и добавлять macOS-раннеры в runner groups — с ограничением доступа по организациям/репозиториям/workflow, лимитами на одновременные джобы и маршрутизацией через политику. Доступно на тарифах Team и Enterprise; для macOS-раннеров сетевые конфигурации пока не поддерживаются.
npm: аккаунты с критичными пакетами получили защиту от перехвата
В npm добавили временную защиту для high-impact-аккаунтов — тех, от кого зависят самые массово используемые пакеты в реестре. Срабатывает она при чувствительном изменении в аккаунте: смене почты или использовании кода восстановления 2FA.
В этот момент аккаунт на 72 часа уходит в режим «только чтение», а на старый адрес почты прилетает уведомление. Смысл понятен любому, кто следил за недавними supply chain-атаками: классическая схема — поменять почту скомпрометированного аккаунта, выпустить новый токен и залить вредоносную версию пакета. Теперь именно эта цепочка действий и блокируется.
В read-only-режиме по-прежнему можно ставить и скачивать пакеты, смотреть организации, команды и настройки аккаунта. А вот публикация, работа с токенами, смена видимости пакета или состава команды — приостановлены до конца этих 72 часов. Доступ возвращается сам, без дополнительного подтверждения, а пакеты всё это время остаются доступны всем, кто от них зависит.
Подводя итоги: GitHub потихоньку достраивает над Copilot и npm управленческий слой — где раньше были просто фичи, теперь появляются настройки на уровне организации, дефолты, белые списки и автоматические защитные механизмы. Рядовому разработчику из этого обновления полезнее всего параллельные шаги в Actions и более дешёвый Copilot code review. Админам и security-командам стоит присмотреться к strictKnownMarketplaces и новой защите npm-аккаунтов — это как раз те настройки, которые имеет смысл включить заранее, а не после инцидента.
Разобраться глубже в ИИ-инструментах, безопасности LLM-приложений и настройке CI/CD можно на бесплатных уроках, которые проведут практикующие эксперты.
-
7 июля 20:00. «OWASP Top 10 для LLM-приложений: карта угроз, которую должен знать каждый». Записаться
-
15 июля 18:00. «Настройка GitLab Runners. Хаки по настройке и оптимизации сборок проектов». Записаться
-
21 июля 20:00. «Разработка ИИ-приложений с Claude Code». Записаться
ссылка на оригинал статьи https://habr.com/ru/articles/1053874/