Обновления GitHub: новые функции Copilot и Actions

Copilot: code review, плагины и управление

Copilot code review теперь работает на тех же инструментах, что и CLI/SDK — grep, rg, glob, view. Стоимость ревью снизилась примерно на 20%. Если участвуете в превью Medium analysis depth, теперь в комментариях к пул-реквестам явно указывают уровень анализа. Организация может задать дефолтный уровень для репозиториев, а конкретный репозиторий — переопределить.

Для админов появилась настройка `strictKnownMarketplaces` в Copilot CLI и VS Code (публичное превью). Это белый список источников расширений, который применяется централизованно через корпоративные настройки. Фактически — костыль, который закрывает дыру, когда каждый разработчик ставит плагины откуда хочет.

Отдельные источники сообщают, что в Copilot добавлена поддержка BYOK — подключение сторонних провайдеров моделей. Деталей пока нет, но тренд понятен: хотят гибкости в выборе модели.

Actions: параллельные шаги и контроль раннеров

Раньше шаги в workflow выполнялись строго друг за другом. Единственный способ запустить параллельно — фоновый процесс через `&` в шелле, после которого логи превращались в кашу. Теперь добавили четыре ключевых слова:

• `background: true` — шаг стартует асинхронно, выполнение workflow идёт дальше.

• `wait / wait-all` — ждать конкретный фоновый шаг или все сразу.

• `cancel` — корректно остановить фоновый шаг, когда он больше не нужен.

• `parallel` — синтаксический сахар: берёт группу шагов, переводит их в фоновый режим и сам добавляет `wait` после.

Это закрывает привычные боли: параллельные сборки, поднятие тестового сервиса → прогон тестов → его гашение, фоновые задачи вроде отправки телеметрии.

Параллельно расширили контроль над hosted-раннерами на уровне организации. Админы могут отключать стандартные лейблы вроде `ubuntu-latest` и добавлять macOS-раннеры в runner groups с ограничением доступа, лимитами на одновременные джобы и маршрутизацией через политику. Доступно на тарифах Team и Enterprise.

Защита цепочки поставок: npm и атаки на репозитории

В npm добавили временную защиту для high-impact-аккаунтов — тех, от кого зависят самые массово используемые пакеты. При чувствительном изменении в аккаунте (смена почты, использование кода восстановления 2FA) аккаунт на 72 часа уходит в режим «только чтение». На старый адрес почты прилетает уведомление.

Смысл понятен любому, кто следил за supply chain-атаками: классическая схема — поменять почту скомпрометированного аккаунта, выпустить новый токен и залить вредоносную версию пакета. Теперь эта цепочка действий блокируется. В read-only-режиме можно ставить и скачивать пакеты, смотреть настройки аккаунта.

Параллельно другие источники сообщают о новой технике атак через GitHub-репозитории. Деталей нет, но тренд на усиление защиты понятен.

Что делать

Проверьте настройки Copilot в организации:

# Включить белый список плагинов (пока в превью)
gh api /repos/{owner}/{repo}/settings --method PATCH -f copilot_strict_known_marketplaces=true

Посмотрите, какие шаги в Actions можно распараллелить. Проверьте npm-аккаунт:

# Посмотреть настройки 2FA и почты
npm profile get

Если у вас high-impact-аккаунт, убедитесь, что почта и 2FA настроены правильно. Если нет — не жалуйтесь, когда вас заблокируют на 72 часа.

В общем, очередной день, очередной патч. Делайте бэкапы и читайте логи.