GitHub модернизировал Copilot, Actions и npm-защиту: что изменилось для разработчиков

GitHub выкатил очередную партию изменений — и большая их часть касается не новых «фич ради фич», а того, как ИИ-инструменты и защита цепочки поставок встраиваются в обычные корпоративные процессы: появляются политики, лимиты, настройки по умолчанию для организаций. Собрал главное по трём направлениям — Copilot, Actions и npm.

Copilot: ревью подешевело, плагины взяли под контроль

Copilot code review теперь работает на тех же инструментах для обхода файлов, что и Copilot CLI/SDK — grep, rg, glob, view — вместо собственных самописных утилит. По цифрам GitHub, это снизило стоимость ревью примерно на 20% без потери качества (проверяли и в офлайн, и в онлайн-тестах).

Если вы участвуете в превью среднего уровня анализа (Medium analysis depth), добавилось ещё два момента. Во-первых, в комментарии с обзором пул-реквеста теперь явно пишут, что ревью прогонялось именно на Medium — раньше это было не очевидно. Во-вторых, компания может задать уровень анализа по умолчанию для репозиториев, где он ещё не настроен, а конкретный репозиторий при желании всё равно может этот дефолт переопределить.

Отдельно подъехала настройка для админов — strictKnownMarketplaces в Copilot CLI и VS Code (пока в публичном превью). Она позволяет ограничить установку плагинов только теми каталогами, которые явно разрешены политикой компании. Фактически это белый список источников расширений, который применяется централизованно через корпоративные настройки, а не зависит от того, что каждый разработчик решит себе поставить.

Actions: шаги научились функционировать параллельно, раннерами стало проще управлять

Раньше шаги в workflow выполнялись строго друг за другом, а единственный способ запустить что-то параллельно — фоновый процедура через & в шелле, после которого логи разных шагов превращались в кашу. Теперь это решили нормально: добавили четыре ключевых слова.

• background: true — шаг стартует асинхронно, выполнение workflow сразу идёт дальше;

• wait / wait-all — ждать определённый фоновый шаг (или сразу все);

• cancel — корректно остановить фоновый шаг, когда он больше не нужен — удобно для сервисов, которые поднимали только на время джоба;

• parallel — синтаксический сахар: берёт группу шагов, переводит их в фоновый режим и сам добавляет wait после.

На практике это закрывает привычные боли: параллельные независимые сборки, поднять тестовый сервис → прогнать тесты → аккуратно его погасить, неблокирующие фоновые задачи вроде отправки телеметрии, пока пакуется сборка.

Параллельно расширили контроль над hosted-раннерами на уровне организации. Админы теперь могут отключать стандартные лейблы раннеров вроде ubuntu-latest и добавлять macOS-раннеры в runner groups — с ограничением доступа по организациям/репозиториям/workflow, лимитами на одновременные джобы и маршрутизацией через политику. Доступно на тарифах Team и Enterprise; для macOS-раннеров сетевые конфигурации пока не поддерживаются.

npm: аккаунты с критичными пакетами получили защиту от перехвата

В npm добавили временную защиту для high-impact-аккаунтов — тех, от кого зависят самые массово используемые пакеты в реестре. Срабатывает она при чувствительном изменении в аккаунте: смене почты или использовании кода восстановления 2FA.

В этот момент аккаунт на 72 часа уходит в режим «только чтение», а на старый адрес почты прилетает уведомление. Смысл понятен любому, кто следил за недавними supply chain-атаками: классическая схема — поменять почту скомпрометированного аккаунта, выпустить свежий токен и залить вредоносную версию пакета. Теперь именно эта цепочка действий и блокируется.

В read-only-режиме по-прежнему можно ставить и скачивать пакеты, просматривать организации, команды и настройки аккаунта. А вот публикация, работа с токенами, смена видимости пакета или состава команды — приостановлены до конца этих 72 часов. Доступ возвращается сам, без дополнительного подтверждения, а пакеты всё это время остаются доступны всем, кто от них зависит.

Подводя итоги: GitHub потихоньку достраивает над Copilot и npm управленческий слой — где раньше были просто фичи, теперь появляются настройки на уровне организации, дефолты, белые списки и автоматические защитные механизмы. Рядовому разработчику из этого обновления полезнее всего параллельные шаги в Actions и более дешёвый Copilot code review. Админам и security-командам стоит присмотреться к strictKnownMarketplaces и новой защите npm-аккаунтов — это как раз те настройки, которые имеет смысл активировать заранее, а не после инцидента.

Разобраться глубже в ИИ-инструментах, безопасности LLM-приложений и настройке CI/CD можно на бесплатных уроках, которые проведут практикующие эксперты.

• 7 июля 20:00. «OWASP Top 10 для LLM-приложений: карта угроз, которую должен знать каждый». Записаться

• 15 июля 18:00. «Конфигурация GitLab Runners. Хаки по настройке и оптимизации сборок проектов». Записаться

• 21 июля 20:00. «Разработка ИИ-приложений с Claude Code». Записаться