Можно ли развернуть в изолированной среде?

Да. CodeGraph полностью функционален без внешних зависимостей. В изолированном контуре используются локальные LLM-модели. Docker-образы доступны для автономной установки.

Какие российские LLM поддерживаются?

GigaChat (Сбер), Яндекс AI Studio (YandexGPT Pro, Qwen3-235B), а также локальные модели для изолированного развёртывания. Все LLM-провайдеры переключаются через конфигурацию без изменения кода.

Как пройти тендерную процедуру на CodeGraph?

Параллельный трек: пилот во время подготовки к тендеру. Результаты пилота — основа для ТЗ. Предоставляем полный пакет документов в формате тендерной документации.

Есть ли референсы в госсекторе?

Финтех-клиенты и пилоты в банковском секторе. Технология CPG доказана: Joern используется NIST и CISA. CodeGraph — зрелая промышленная реализация CPG с российскими LLM. Предлагаем пилот с гарантией результата.

Как обосновать стоимость для CFO?

CodeGraph Enterprise от 7 млн руб. в год — дешевле Fortify (~15 млн). Экономия на разборе ложных срабатываний, импортозамещение, доказательства соответствия, сокращение онбординга. Подготовим расчёт совокупной стоимости владения в удобном формате.

Подходит ли CodeGraph для организаций в СНГ?

Да. CodeGraph используется русскоязычными командами в Казахстане, Узбекистане, Киргизии и Беларуси. Продукт, документация и интерфейс — на русском. Локальное развёртывание позволяет соблюдать требования местного законодательства о персональных данных. Российские LLM (GigaChat, YandexGPT) доступны в странах СНГ.

Импортозамещение SAST: российское решение для анализа кода

Q: Соответствует ли CodeGraph 152-ФЗ?

Да. Все данные обрабатываются локально. При использовании GigaChat или Яндекс AI Studio данные не покидают территорию РФ. Встроенная DLP предотвращает утечку персональных данных через запросы к LLM.

Q: Есть ли документация на русском языке?

Да. Продукт российской компании, изначально двуязычный. Руководство пользователя, описание API, архитектурное описание — на русском. Для тендера: техническое описание в формате ГОСТ.

CodeGraph помогает выстроить российский контур анализа кода без зависимости от зарубежных облаков и вендоров. Подходит для организаций, которым важны локальное развёртывание, DLP и проверяемые результаты.

152-ФЗ ГОСТ Р 57580 ГОСТ Р 56939 Локальный контур Изолированный контур

Обсудить миграцию и пакет документов Читать техническое описание

От требования к доказательству

Без SaaS-зависимостей код остаётся в локальном или изолированном контуре

Русский пакет документация и описание доступны на русском

Проверяемый режим есть следы контроля, а не только обещания вендора

Почему вопрос импортозамещения стал практическим

Для многих организаций это уже не стратегия на будущее, а задача на текущий цикл закупки и внедрения

Прекращение лицензий

Иностранные вендоры (Fortify/OpenText, Checkmarx, Synopsys) прекращают продажу и продление лицензий для российских организаций.

Регуляторные требования

ГОСТ Р 56939, ГОСТ Р 57580, 152-ФЗ, ФСТЭК — требуют использования сертифицированных инструментов и хранения данных на территории РФ.

Облачные зависимости

SaaS-решения отправляют исходный код в зарубежные облака. Для госсектора и финансовых организаций это неприемлемый риск.

Как CodeGraph закрывает этот контур

Локальное развёртывание, российские модели и понятная схема эксплуатации без внешней зависимости от облаков

Локальный контур и изолированная среда

Полное развёртывание внутри контура организации. Docker / Kubernetes. Данные не покидают инфраструктуру. Поддержка изолированных сетей.

Российские LLM

GigaChat (Сбер), Яндекс AI Studio (YandexGPT Pro, Qwen3-235B). Локальные модели для изолированных сред. Переключение провайдера через конфигурацию.

DLP защита

25+ шаблонов обнаружения конфиденциальных данных. Код никогда не отправляется в облако. Фильтрация до и после LLM: блокировка, маскирование, журналирование.

RBAC и Active Directory

4 роли, 21 разрешение. Active Directory и LDAP. OAuth2: Yandex ID, Sber ID, Yandex Cloud IAM. Изоляция проектов. HashiCorp Vault для управления секретами.

Соответствие требованиям

Требование	Статус	Детали
152-ФЗ	✓	Локальная обработка, DLP, российские LLM
ГОСТ Р 56939	✓	Безопасная разработка ПО
ГОСТ Р 57580	✓	SIEM, RBAC, шифрование, аудит
ФСТЭК	●	В процессе подготовки документации
Изолированная среда	✓	Полная функциональность без интернета

Миграция с зарубежных SAST

CodeGraph закрывает ключевые функции Fortify, Checkmarx и SonarQube в сценарии миграции

Возможность	Fortify	Checkmarx	SonarQube	CodeGraph
Анализ потоков данных	Да	Да	Нет	Да (на основе CPG)
Запросы к кодовой базе на естественном языке	Нет	Нет	Нет	Да (запросы на естественном языке)
Локальное развёртывание	Да*	Да*	Да	Да
Российские LLM	Нет	Нет	Нет	GigaChat, YandexGPT
DLP защита	Нет	Нет	Нет	25+ шаблонов
Доступность в РФ	Нет	Нет	Ограничено	Полная

* Лицензии для российских организаций более не продаются и не продлеваются.

Вопросы об импортозамещении

CodeGraph помогает выстроить российский контур анализа кода без SaaS-зависимостей. Платформа разворачивается локально, поддерживает DLP, аудит действий, российские LLM и материалы на русском языке, поэтому её можно использовать для импортозамещения, внутреннего контроля и подготовки доказательств для проверок.

Да. Все данные обрабатываются локально. При использовании GigaChat или Яндекс AI Studio данные не покидают территорию РФ. Встроенная DLP предотвращает утечку персональных данных через запросы к LLM.

Сертификация ФСТЭК в плане развития. Архитектура спроектирована для развёртывания в сертифицированной инфраструктуре. Текущий статус: подготовка документации для сертификации.

Да. CodeGraph полностью функционален без внешних зависимостей. Docker-образы доступны для автономной установки. Локальные LLM-модели (Qwen3, DeepSeek) заменяют облачные API.

GigaChat (Сбер), Яндекс AI Studio (YandexGPT Pro — 32K контекст, Qwen3-235B — 262K контекст). Также доступны локальные модели для изолированных сред. Переключение провайдера занимает одну строку в конфигурации.

Предлагаем параллельный трек: пока идёт подготовка к тендеру — проводим пилот. Результаты пилота становятся основой для технического задания тендера.

Мы предоставляем все документы: техническое описание, руководство администратора, описание архитектуры, SLA, коммерческое предложение в формате, требуемом для тендерной документации.

Мы — российская компания, продукт изначально двуязычный. Доступны: руководство пользователя, описание API, архитектурное описание — на русском. Для тендера можем подготовить: техническое описание в формате ГОСТ, руководство администратора и оператора, описание мер по защите информации. Интерфейс и запросы на естественном языке работают на русском нативно.

Мы работаем с финтех-клиентами и проходим пилоты в банковском секторе. Технология CPG уже доказана в госсекторе — Joern используется NIST и CISA для анализа уязвимостей. CodeGraph — зрелая промышленная реализация CPG с российскими LLM. CodeGraph анализирует собственный код (75K+ методов, 3.4M узлов в CPG). Предлагаем пилот с гарантией результата на вашем коде.

CodeGraph Enterprise — от 7 млн руб. в год, что дешевле Fortify (~15 млн руб. в год). При этом сокращаются затраты на разбор ложных срабатываний: каждый полный скан может генерировать около 512 часов работы на проверку FP. Дополнительно вы получаете импортозамещение, доказательства соответствия и сокращение онбординга новых инженеров. Мы подготовим расчёт совокупной стоимости владения в удобном для CFO формате.

Да. CodeGraph используется русскоязычными командами в Казахстане, Узбекистане, Киргизии и Беларуси. Продукт, документация и интерфейс — на русском языке. Локальное развёртывание позволяет соблюдать требования местного законодательства о персональных данных. Российские LLM-провайдеры (GigaChat, Яндекс AI Studio) доступны в странах СНГ. Для изолированных сред доступны локальные модели без внешних зависимостей.

Разборы на Хабре по импортозамещению

Материалы для CIO, команд безопасности приложений и регулируемых организаций, которые сначала хотят понять путь миграции и формат доказательной базы.

Почему CPG важен при замене зарубежных SAST

Статья про ограничения SAST на правилах полезна как вводный контекст для разговора о миграции и о том, какой уровень доказательной базы нужен вместо формального подхода по чек-листу.

Читать на Хабре

Все статьи автора по теме CodeGraph

Если нужно оценить зрелость подхода до звонка, переходите в серию статей автора и посмотрите, как он раскрывает CPG, онбординг и инженерную аналитику.

Открыть серию на Хабре

Обсудить миграцию и пакет документов

Разберём ваш сценарий импортозамещения: целевой локальный контур, ожидаемые разрывы, пакет доказательных материалов и дорожную карту перехода с Fortify, Checkmarx или SonarQube.

Обсудить миграцию и пакет документов Читать техническое описание

Обновлено: 7 апреля 2026