Импортозамещение SAST: российское решение для анализа кода
Замена Fortify, Checkmarx, SonarQube. Полное on-premise развёртывание, российские LLM, соответствие ГОСТ и 152-ФЗ.
Проблема: зарубежные SAST уходят
Fortify, Checkmarx, SonarQube прекращают поддержку российских клиентов
Прекращение лицензий
Иностранные вендоры (Fortify/OpenText, Checkmarx, Synopsys) прекращают продажу и продление лицензий для российских организаций.
Регуляторные требования
ГОСТ Р 56939, ГОСТ Р 57580, 152-ФЗ, ФСТЭК — требуют использования сертифицированных инструментов и хранения данных на территории РФ.
Облачные зависимости
SaaS-решения отправляют исходный код в зарубежные облака. Для госсектора и финансовых организаций это неприемлемый риск.
Решение: суверенный анализ кода
CodeGraph — полностью on-premise, с российскими LLM, без облачных зависимостей
On-premise & Air-gapped
Полное развёртывание внутри контура организации. Docker / Kubernetes. Данные не покидают инфраструктуру. Поддержка изолированных сетей.
Российские LLM
GigaChat (Сбер), Yandex AI Studio (YandexGPT Pro, Qwen3-235B). Локальные модели для air-gapped сред. Переключение провайдера через конфигурацию.
DLP защита
25+ шаблонов обнаружения конфиденциальных данных. Код никогда не отправляется в облако. Фильтрация до и после LLM: блокировка, маскирование, журналирование.
RBAC & Active Directory
4 роли, 21 разрешение. Интеграция с Active Directory и LDAP. Изоляция проектов на уровне RBAC. HashiCorp Vault для управления секретами.
Соответствие требованиям
| Требование | Статус | Детали |
|---|---|---|
| 152-ФЗ | ✓ | Локальная обработка, DLP, российские LLM |
| ГОСТ Р 56939 | ✓ | Безопасная разработка ПО |
| ГОСТ Р 57580 | ✓ | SIEM, RBAC, шифрование, аудит |
| ФСТЭК | ● | В процессе подготовки документации |
| Air-gapped | ✓ | Полная функциональность без интернета |
Миграция с зарубежных SAST
CodeGraph заменяет ключевые функции Fortify, Checkmarx и SonarQube
| Возможность | Fortify | Checkmarx | SonarQube | CodeGraph |
|---|---|---|---|---|
| Taint analysis | Да | Да | Нет | Да (CPG-based) |
| AI-копилот | Нет | Нет | Нет | Да (NL-запросы) |
| On-premise | Да* | Да* | Да | Да |
| Российские LLM | Нет | Нет | Нет | GigaChat, YandexGPT |
| DLP защита | Нет | Нет | Нет | 25+ шаблонов |
| Доступность в РФ | Нет | Нет | Ограничено | Полная |
* Лицензии для российских организаций более не продаются и не продлеваются.
Вопросы об импортозамещении
Да. Все данные обрабатываются локально. При использовании GigaChat или Yandex AI Studio данные не покидают территорию РФ. Встроенная DLP предотвращает утечку персональных данных через LLM промпты.
Сертификация ФСТЭК в плане развития. Архитектура спроектирована для развёртывания в сертифицированной инфраструктуре. Текущий статус: подготовка документации для сертификации.
Да. CodeGraph полностью функционален без внешних зависимостей. Docker-образы доступны для offline-установки. Локальные LLM-модели (Qwen3, Llama) заменяют облачные API.
GigaChat (Сбер), Yandex AI Studio (YandexGPT Pro — 32K контекст, Qwen3-235B — 262K контекст). Также локальные модели для air-gapped сред. Переключение провайдера — одна строка в конфигурации.
Получить коммерческое предложение
Расскажем, как CodeGraph заменяет Fortify, Checkmarx и SonarQube в вашей инфраструктуре. On-premise, российские LLM, полное соответствие ГОСТ и 152-ФЗ.