Конкурентная матрица CodeGraph¶

Сравнительный анализ для RFP и принятия решений

Содержание¶

Резюме
Сводная таблица сравнения
Уникальные преимущества CodeGraph
1. Единственная платформа с CPG + ИИ + корпоративной безопасностью
2. Верификация уязвимостей через анализ потоков данных
3. Интегрированная DLP-защита
4. SIEM в трёх форматах
5. Многокритериальная валидация гипотез
6. Интеграция с IDE через ACP
Сравнение по сценариям использования
Сценарий 1: Аудит безопасности
Сценарий 2: Проверка кода с помощью ИИ
Сценарий 3: Соответствие требованиям (152-ФЗ, ГОСТ)
Сценарий 4: Онбординг и понимание кода
Ценообразование
Матрица соответствия требованиям
Для финансовых организаций (ГОСТ Р 57580)
Для государственных организаций
Заключение
Связанные документы

Резюме¶

CodeGraph — единственное решение, сочетающее:

Анализ на основе CPG (AST + CFG + PDG + DDG + граф вызовов) с верификацией уязвимостей через анализ потоков данных
ИИ-ассистент с NL-запросами к коду на русском и английском языках
Интегрированную DLP-защиту при работе с LLM (25+ шаблонов)
SIEM-интеграцию в трёх форматах (Syslog, CEF, LEEF)
Российские LLM (GigaChat, Yandex AI Studio) для соответствия 152-ФЗ
Многокритериальную валидацию гипотез для снижения ложных срабатываний

Проблема рынка¶

Традиционные SAST-инструменты генерируют до 91% ложных срабатываний (Ghost Security, 2025). ИИ-кодогенераторы (Copilot, Cursor) создают уязвимый код в 45% случаев (Veracode, 2025). Ни одно существующее решение не объединяет глубокий CPG-анализ, ИИ-ассистент и стек корпоративной безопасности в одном продукте.

Сводная таблица сравнения¶

Функция	CodeGraph	GitHub Copilot	SonarQube	Semgrep	Snyk Code	Sourcegraph	PT Application Inspector
Развёртывание
On-Premise	✅	❌	✅	⚠️ Только CLI	❌	✅	✅
Изолированная среда	✅	❌	✅	⚠️ Только CLI	❌	⚠️ Частично	✅
Docker / Kubernetes	✅	❌	✅	⚠️ Только CLI	❌	✅	✅
Резиденция данных
Код внутри периметра	✅	❌	✅	⚠️ Только CLI	❌	✅	✅
Российская LLM	✅ GigaChat + Yandex AI	❌	❌	❌	❌	❌	❌
Соответствие 152-ФЗ	✅	❌	⚠️	❌	❌	❌	✅
Анализ кода
Граф свойств кода (CPG)	✅ Полный CPG	❌	❌ Только AST	❌ Сопоставление AST	⚠️ На основе ML	⚠️ Code Intelligence	⚠️ Ограниченный
Анализ потоков данных	✅ Межпроцедурный	❌	⚠️ Однофайловый	⚠️ Только Pro	⚠️ На основе ML	❌	⚠️ На основе шаблонов
Верификация уязвимостей	✅ Доказательство через поток данных	❌	❌	❌	❌	❌	❌
Поток данных (межфайловый)	✅	❌	⚠️	⚠️ Только Pro	⚠️	❌	⚠️
Поток управления	✅	❌	⚠️	❌	❌	❌	⚠️
Межъязыковой анализ	✅ CGO, ctypes, JNI	❌	❌	❌	❌	❌	❌
Поиск уязвимостей
SAST	✅	❌	✅	✅	✅	❌	✅
Многокритериальная оценка	✅	❌	❌	❌	❌	❌	❌
Классификация CWE/CAPEC	✅	❌	✅	✅	⚠️	❌	✅
Доля ложных срабатываний	<20%	Н/Д	40-60%	20-40%	30-50%	Н/Д	40-70%
ИИ / LLM
ИИ-ассистент	✅ NL-запросы	✅ Автокомплит	❌	⚠️ Ассистент	⚠️ ИИ-исправления	✅ Cody	❌
NL-запросы к кодовой базе	✅	❌	❌	❌	❌	✅ Cody	❌
Уровень безопасности LLM (DLP)	✅ 25+ шаблонов	❌	❌	❌	❌	❌	❌
Защита промптов	✅	❌	❌	❌	❌	❌	❌
Безопасность
Управление доступом (RBAC)	✅ 4 роли, 21 разрешение	⚠️ Роли GitHub	✅	✅	✅	✅	✅
Интеграция с SIEM	✅ Syslog/CEF/LEEF	❌	⚠️ Вебхук	❌	❌	❌	⚠️ PT SIEM
HashiCorp Vault	✅	❌	❌	❌	❌	❌	❌
SARIF 2.1.0	✅	❌	✅	✅	✅	❌	✅
Интеграция с IDE	✅ ACP: Zed, JetBrains, VS Code	✅ VS Code, JetBrains	✅ Плагины IDE	✅ Плагины IDE	✅ Плагины IDE	✅	⚠️
Языки (11)
C/C++	✅	✅	✅	✅	✅	✅	✅
Java/Kotlin	✅	✅	✅	✅	✅	✅	✅
Python	✅	✅	✅	✅	✅	✅	✅
JavaScript/TypeScript	✅	✅	✅	✅	✅	✅	✅
Go	✅	✅	✅	✅	✅	✅	⚠️
C#	✅	✅	✅	✅	✅	✅	✅
PHP	✅	⚠️	✅	✅	✅	✅	✅
1C:Предприятие	✅	❌	❌	❌	❌	❌	❌

Легенда: ✅ Полная поддержка | ⚠️ Частичная поддержка | ❌ Не поддерживается

Уникальные преимущества CodeGraph¶

1. Единственная платформа с CPG + ИИ + корпоративной безопасностью¶

                CodeGraph                          Конкуренты
                ─────────                          ──────────

Исходный код ──► [CPG-движок]             Исходный код ──► [Сопоставление шаблонов]
                     │                                          │
         ┌───────────┼───────────┐                  ┌───────────┤
         ▼           ▼           ▼                  ▼           ▼
   AST + CFG   Анализ потоков  Граф              Только AST  Regex/ML
   + PDG + DDG   данных       вызовов            (SonarQube)  (Semgrep)
         │           │           │                  │
         └───────────┼───────────┘                  │
                     ▼                              ▼
            [ИИ-агенты + DLP]                  Результат:
                     │                         подозрение
                     ▼
              Результат:
         верифицированная
            уязвимость

2. Верификация уязвимостей через анализ потоков данных¶

CodeGraph:
Источник ──[поток данных через N файлов]──► Приёмник = ПОДТВЕРЖДЁННАЯ уязвимость

Традиционный SAST:
Сопоставление шаблонов = ВОЗМОЖНАЯ уязвимость (до 91% ложных срабатываний)

Результат: - 100% обнаружение CVE на тестовом наборе (3/3 целевых CVE) - Снижение ложных срабатываний на 60%+ по сравнению с сопоставлением шаблонов - Приоритизация по реальному риску, а не статической критичности

3. Интегрированная DLP-защита¶

                    CodeGraph                    Конкуренты
                    ─────────                    ──────────
Запрос ──► [DLP-сканер] ──► LLM        Запрос ──► LLM
                    │                                │
                    ▼                                ▼
              Блокировка/Маскирование/Лог      Без защиты

25+ шаблонов: секреты, ПДн, учётные данные, API-ключи
Предотвращение утечки конфиденциальных данных через LLM-промпты
Маскирование ПДн в ответах LLM
Соответствие 152-ФЗ

4. SIEM в трёх форматах¶

Формат	CodeGraph	GitHub Copilot	SonarQube	Semgrep	Snyk	PT AI
Syslog RFC 5424	✅	❌	❌	❌	❌	❌
CEF (ArcSight)	✅	❌	❌	❌	❌	❌
LEEF (QRadar)	✅	❌	❌	❌	❌	❌

Интеграция с существующим SOC без дополнительной настройки.

5. Многокритериальная валидация гипотез¶

Оценка приоритета = (Частота CWE × 0.40)
                  + (Сходство с атакой × 0.30)
                  + (Подверженность кодовой базы × 0.30)

Конкуренты используют статическую критичность без учёта контекста кодовой базы.

6. Интеграция с IDE через ACP¶

Транспорт	Сценарий
stdio	Локальный подпроцесс (Zed, Cursor)
HTTP	Удалённый REST API
WebSocket	Потоковая передача в реальном времени

Поддерживаемые IDE: Zed, JetBrains (IntelliJ, PyCharm, WebStorm), VS Code. Открытый протокол ACP — без привязки к поставщику. Совместимость с MCP (протокол контекста модели).

Сравнение по сценариям использования¶

Сценарий 1: Аудит безопасности¶

Требование	CodeGraph	SonarQube	Semgrep	PT AI
Анализ потоков данных (источник → приёмник)	✅ CPG	❌	⚠️ Pro	⚠️
Межфайловый поток данных	✅	❌	⚠️ Pro	⚠️
Межъязыковой анализ (CGO, JNI)	✅	❌	❌	❌
Доля ложных срабатываний	<20%	40-60%	20-40%	40-70%
Классификация CWE	✅	✅	✅	✅
Экспорт SARIF	✅	✅	✅	✅
Аудит LLM-взаимодействий	✅	❌	❌	❌
SIEM-отчётность	✅	⚠️	❌	⚠️

Сценарий 2: Проверка кода с помощью ИИ¶

Требование	CodeGraph	GitHub Copilot	Sourcegraph Cody
ИИ-ревью кода	✅	✅	✅
Знает вашу кодовую базу (CPG)	✅	❌	❌
DLP-защита	✅	❌	❌
Локальная LLM	✅ GigaChat + Yandex AI	❌ Только облако	❌ Только облако
Журнал аудита	✅	❌	⚠️
NL-запросы на русском	✅	⚠️	⚠️

Сценарий 3: Соответствие требованиям (152-ФЗ, ГОСТ)¶

Требование	CodeGraph	GitHub Copilot	SonarQube	Snyk	PT AI
Данные в РФ	✅ Локально	❌ Облако (США)	✅	❌ Облако	✅
Российская LLM	✅	❌	❌	❌	❌
DLP для ПДн	✅	❌	❌	❌	❌
Журнал аудита	✅	⚠️	⚠️	⚠️	✅
Интеграция с SIEM	✅	❌	⚠️	❌	⚠️
Сертификация ФСТЭК	⚠️ В плане	❌	❌	❌	✅

Сценарий 4: Онбординг и понимание кода¶

Требование	CodeGraph	GitHub Copilot	Sourcegraph Cody
NL-запросы о кодовой базе	✅ CPG + гибридный RAG	❌	✅ Векторный поиск
Навигация по графу вызовов	✅	❌	⚠️ Code Intelligence
Анализ влияния изменений	✅	❌	❌
Визуализация архитектуры	✅	❌	❌
Точность ответов	✅ +33.6% F1 (гибридный RAG)	Н/Д	⚠️ Контекстное окно LLM
Ответ за	<5 сек	Н/Д	3-10 сек

Ценообразование¶

Решение	Модель	Примерная стоимость	Корпоративные возможности
CodeGraph	За пользователя	от 5,000 руб./мес.	DLP + SIEM + Vault включены
GitHub Copilot Business	За пользователя	$19/мес. (~1,900 руб.)	Нет DLP/SIEM/Vault
GitHub Copilot Enterprise	За пользователя	$39/мес. (~3,900 руб.)	Нет DLP/SIEM/Vault
SonarQube Enterprise	За сервер	от $20K/год (~2M руб.)	Нет ИИ/LLM/DLP
Semgrep Team	За пользователя	$40/мес. (~4,000 руб.)	Нет локального LLM
Semgrep Enterprise	Индивидуально	По запросу	Ограниченный межфайловый анализ
Snyk Team	За пользователя	$25/мес. (~2,500 руб.)	Только облачное
Snyk Enterprise	Индивидуально	$50+/мес. (~5,000 руб.)	Только облачное
Sourcegraph Enterprise	За пользователя	$49+/мес. (~4,900 руб.)	Cody AI = облачная LLM
PT Application Inspector	За сервер	от 5M руб./год	Нет ИИ/LLM

Примечание: CodeGraph включает все корпоративные функции (DLP, SIEM, Vault, ИИ, NL-запросы) без дополнительной платы. Цены без НДС.

Матрица соответствия требованиям¶

Для финансовых организаций (ГОСТ Р 57580)¶

Требование	CodeGraph	SonarQube	Semgrep	Snyk	PT AI
Локальное развёртывание	✅	✅	⚠️ CLI	❌	✅
Аудит всех операций	✅	⚠️	⚠️	⚠️	✅
RBAC с гранулярными правами	✅	⚠️	✅	✅	✅
Интеграция с SIEM	✅	⚠️	❌	❌	⚠️
Шифрование в покое	✅	✅	✅	✅	✅
Управление секретами (Vault)	✅	❌	❌	❌	❌
DLP для LLM	✅	❌	❌	❌	❌

Для государственных организаций¶

Требование	CodeGraph	SonarQube	Snyk	PT AI
Соответствие 152-ФЗ	✅	⚠️	❌	✅
Российская LLM	✅	❌	❌	❌
Сертификация ФСТЭК	⚠️ В плане	❌	❌	✅
Развёртывание в изолированной среде	✅	✅	❌	✅
ГОСТ Р 56939 (безопасная разработка)	✅	❌	❌	✅
Поддержка 1C:Предприятие	✅	❌	❌	❌

Заключение¶

CodeGraph — единственное решение на рынке, объединяющее:

Анализ на основе CPG с верификацией уязвимостей через потоки данных и <20% ложных срабатываний
ИИ-ассистент с NL-запросами к коду на русском и английском языках
Интегрированную DLP для защиты LLM-взаимодействий (25+ шаблонов)
Интеграцию с SIEM в трёх корпоративных форматах (Syslog/CEF/LEEF)
HashiCorp Vault для централизованного управления секретами
Российские LLM (GigaChat + Yandex AI Studio) для соответствия 152-ФЗ
11 языков включая 1C:Предприятие и межъязыковой анализ (CGO, ctypes, JNI)
Протокол ACP для нативной интеграции с IDE

Ни один конкурент не предлагает все эти возможности в едином решении.

Связанные документы¶

Обзор корпоративной безопасности — Обзор безопасности
Белая книга по валидации гипотез — Техническое описание

Версия: 2.0 | Февраль 2026