Документ для CISO, руководителей ИБ и архитекторов безопасности
Содержание¶
- Резюме
- Ключевые преимущества безопасности
- 1. Резиденция данных и суверенитет
- Принципы обработки данных
- Гарантии безопасности данных
- Соответствие требованиям
- 2. Контроль доступа и аутентификация
- Иерархия ролей RBAC
- Матрица разрешений (21 разрешение)
- Методы аутентификации
- 3. Предотвращение утечки данных (DLP)
- Архитектура DLP-сканирования
- Категории обнаружения (17 шаблонов)
- Действия DLP
- 4. Интеграция с SIEM
- Поддерживаемые форматы
- Типы событий безопасности (17 типов)
- Архитектура доставки
- 5. Управление секретами
- Интеграция с HashiCorp Vault
- Управляемые секреты
- Безопасность
- 6. Расширенные возможности анализа
- Конкурентные преимущества
- Контакты
Резюме¶
CodeGraph — платформа статического анализа кода на базе графа свойств кода (CPG), разработанная с учётом требований корпоративной безопасности. Платформа обеспечивает полный контроль над данными, интеграцию с корпоративной инфраструктурой безопасности и соответствие требованиям российского законодательства.
Ключевые преимущества безопасности¶
| Возможность | Описание |
|---|---|
| Локальное развёртывание | Код никогда не покидает вашу инфраструктуру |
| GigaChat + Yandex AI Studio | Российские LLM — передаются только запросы, не код |
| RBAC | 4 роли, 21 разрешение, гранулярный контроль доступа |
| DLP | 17 шаблонов обнаружения в 3 категориях |
| SIEM | Интеграция с Syslog, ArcSight (CEF), QRadar (LEEF) |
| Vault | HashiCorp Vault для управления секретами |
| Структурный движок шаблонов | 190 YAML-правил с кросс-языковым поиском шаблонов |
| Экспорт SARIF 2.1.0 | Стандартный формат обмена результатами анализа безопасности |
| LLM Autofix | ИИ-генерируемые предложения по устранению обнаруженных уязвимостей |
1. Резиденция данных и суверенитет¶
Принципы обработки данных¶
+---------------------------------------------------------------------+
| ПЕРИМЕТР ОРГАНИЗАЦИИ |
| |
| [Исходный код] --> [CPG-анализ] --> [DuckDB хранилище] |
| | |
| Код остаётся |
| внутри периметра |
| | |
| [Пользователь] --> [RAG-запрос] --> [DLP-сканер] --+ |
| | |
+-----------------------------------------------------+----------------+
|
Только NL-запросы ----->|
(без исходного кода) |
v
[GigaChat / Yandex AI Studio API]
Гарантии безопасности данных¶
| Аспект | Реализация |
|---|---|
| Хранение кода | Только локально (DuckDB, файловая система) |
| Передача данных | Исходный код никогда не отправляется во внешние системы |
| LLM-интеграция | GigaChat/Yandex AI Studio получает только текстовые запросы пользователей |
| Режим изолированной среды | Поддержка полностью изолированных сред с локальными LLM |
Соответствие требованиям¶
- 152-ФЗ — Обработка персональных данных граждан РФ на территории России
- ГОСТ Р 57580 — Защита информации в финансовых организациях
- Требования ФСТЭК — Возможность размещения в сертифицированной инфраструктуре
2. Контроль доступа и аутентификация¶
Иерархия ролей RBAC¶
+-------------+
| ADMIN | <- Полный доступ (admin:all)
| (4 уровень) |
+------+------+
|
+------v------+
| REVIEWER | <- Проверка кода + возможности Analyst
| (3 уровень) | (GitHub/GitLab интеграция)
+------+------+
|
+------v------+
| ANALYST | <- Выполнение запросов + сессии
| (2 уровень) | (API-ключи, экспорт)
+------+------+
|
+------v------+
| VIEWER | <- Только чтение
| (1 уровень) | (сценарии, история, статистика)
+-------------+
Матрица разрешений (21 разрешение)¶
| Категория | Разрешения | VIEWER | ANALYST | REVIEWER | ADMIN |
|---|---|---|---|---|---|
| Сценарии | scenarios:read | ✓ | ✓ | ✓ | ✓ |
| scenarios:execute | ✓ | ✓ | ✓ | ||
| Запросы | query:execute | ✓ | ✓ | ✓ | |
| query:validate | ✓ | ✓ | ✓ | ||
| Проверка кода | review:execute | ✓ | ✓ | ||
| review:github | ✓ | ✓ | |||
| review:gitlab | ✓ | ✓ | |||
| Сессии | sessions:read | ✓ | ✓ | ✓ | ✓ |
| sessions:write | ✓ | ✓ | ✓ | ||
| sessions:delete | ✓ | ✓ | ✓ | ||
| История | history:read | ✓ | ✓ | ✓ | ✓ |
| history:export | ✓ | ✓ | ✓ | ||
| Пользователи | users:read | ✓ | |||
| users:write | ✓ | ||||
| users:delete | ✓ | ||||
| API-ключи | api_keys:read | ✓ | ✓ | ✓ | |
| api_keys:write | ✓ | ✓ | ✓ | ||
| api_keys:delete | ✓ | ||||
| Метрики | stats:read | ✓ | ✓ | ✓ | ✓ |
| metrics:read | ✓ | ||||
| Админ | admin:all | ✓ |
Методы аутентификации¶
| Метод | Описание | Статус |
|---|---|---|
| JWT Bearer | Access-токены (30 мин) + Refresh-токены (7 дней) | Реализовано |
| API-ключи | SHA-256 хеширование, срок действия, отзыв | Реализовано |
| OAuth2/OIDC | GitHub, Google, GitLab, Keycloak, SourceCraft, GitVerse | Реализовано |
| LDAP/AD | Синхронизация групп, SSO | Реализовано |
3. Предотвращение утечки данных (DLP)¶
Архитектура DLP-сканирования¶
+--------------------------------------------------------------+
| ЗАПРОС ПОЛЬЗОВАТЕЛЯ |
+---------------------------+----------------------------------+
|
v
+--------------------------------------------------------------+
| СКАНИРОВАНИЕ ПЕРЕД ЗАПРОСОМ |
| +--------------------------------------------------------+ |
| | Шаблоны: API-ключи, пароли, токены, ПДн, пути | |
| +--------------------------------------------------------+ |
| | |
| +--------------+--------------+ |
| v v v |
| [BLOCK] [MASK] [WARN/LOG] |
| Отклонить Маскировать Отправить |
| запрос данные с логом |
+--------------------------------------------------------------+
|
v
[GigaChat / Yandex AI Studio API]
|
v
+--------------------------------------------------------------+
| СКАНИРОВАНИЕ ПОСЛЕ ОТВЕТА |
| +--------------------------------------------------------+ |
| | Маскирование конфиденциальных данных в ответе LLM | |
| +--------------------------------------------------------+ |
+--------------------------------------------------------------+
Категории обнаружения (17 шаблонов)¶
| Категория | Критичность | Кол-во | Примеры шаблонов |
|---|---|---|---|
| Учётные данные | HIGH | 7 | AWS-ключи (AKIA...), GitHub-токены (ghp_...), пароли, JWT Bearer, приватные ключи RSA/EC, универсальные API-ключи |
| Персональные данные | MEDIUM | 7 | Email, телефоны (RU/US), номера паспортов РФ, SSN, банковские карты, IP-адреса |
| Исходный код | LOW | 3 | Строки подключения к БД, внутренние пути Unix/Windows |
Действия DLP¶
| Действие | Приоритет | Описание |
|---|---|---|
BLOCK |
4 (макс.) | Полная блокировка запроса |
MASK |
3 | Замена конфиденциальных данных на [REDACTED] |
WARN |
2 | Предупреждение + отправка события в SIEM |
LOG_ONLY |
1 | Только логирование для аудита |
4. Интеграция с SIEM¶
Поддерживаемые форматы¶
| Формат | Совместимые системы | Описание |
|---|---|---|
| Syslog (RFC 5424) | Splunk, Graylog, rsyslog | Стандартный формат Unix |
| CEF | ArcSight, Splunk | Common Event Format |
| LEEF | IBM QRadar | Log Event Extended Format |
Типы событий безопасности (17 типов)¶
EVENT_TYPE SEVERITY ОПИСАНИЕ
------------------------------------------------------------
LLM_REQUEST INFO Запрос к поставщику LLM
LLM_RESPONSE INFO Ответ от LLM
LLM_ERROR ERROR Ошибка LLM-взаимодействия
DLP_BLOCK CRITICAL Запрос заблокирован DLP
DLP_MASK WARNING Данные маскированы
DLP_WARN WARNING Предупреждение DLP
DLP_LOG INFO Запись аудита DLP
AUTH_SUCCESS INFO Успешная аутентификация
AUTH_FAILURE WARNING Неудачная попытка входа
VAULT_ACCESS INFO Доступ к секретам Vault
VAULT_ROTATE INFO Ротация секретов
RATE_LIMIT WARNING Превышение лимита запросов
SECURITY_ALERT CRITICAL Критическое событие ИБ
PATH_VIOLATION CRITICAL Попытка обхода пути
IDOR_ATTEMPT CRITICAL Попытка IDOR-атаки
WEBHOOK_REPLAY WARNING Обнаружен повтор вебхука
MCP_AUTH_FAILURE WARNING Ошибка аутентификации MCP
Архитектура доставки¶
- Буферизация: до 10 000 событий в очереди
- Повторная отправка: экспоненциальная задержка при сбоях
- Отказоустойчивость: продолжение работы при недоступности SIEM
5. Управление секретами¶
Интеграция с HashiCorp Vault¶
| Метод аутентификации | Сценарий использования |
|---|---|
| Token | Разработка, тестирование |
| AppRole | CI/CD конвейеры, сервисы |
| Kubernetes | K8s кластеры с ServiceAccount |
Управляемые секреты¶
- Поставщики LLM (через Vault): GigaChat, OpenAI, Anthropic, Azure OpenAI
- Поставщики LLM (через config.yaml): Yandex AI Studio
- База данных: PostgreSQL, DuckDB
- Интеграции: GitHub/GitLab-токены, учётные данные SIEM
Безопасность¶
- KV v2 Secret Engine с версионированием
- TTL-кеширование с автоматической ротацией
- Резервное переключение на переменные окружения при недоступности Vault
6. Расширенные возможности анализа¶
Визуализация Taint-потоков¶
CodeGraph генерирует Mermaid-диаграммы для путей анализа заражения данных, обеспечивая визуальную инспекцию потока данных от источника к приёмнику. Результаты интегрируются непосредственно в комментарии CI/CD и документацию.
Интеграция с SARIF¶
Результаты анализа безопасности экспортируются в формат SARIF 2.1.0 с полной поддержкой codeFlows, обеспечивая интеграцию с GitHub Code Scanning, Azure DevOps и другими SARIF-совместимыми инструментами.
Классификация OWASP Top 10¶
Все находки автоматически классифицируются по категориям OWASP Top 10 (src/security/owasp_mapping.py), формируя отчёты, готовые для аудита.
Символьное исполнение¶
Движок символьного исполнения на базе z3 (z3-solver) валидирует сложные условия уязвимостей и достижимость путей, снижая ложные срабатывания для условных уязвимостей.
Обнаружение клонов¶
Обнаруживает копированный уязвимый код по всей кодовой базе (src/analysis/clone_detector.py), гарантируя распространение исправлений на все клоны.
Конкурентные преимущества¶
| Возможность | CodeGraph | GitHub Copilot | Sourcegraph | CodeScene |
|---|---|---|---|---|
| Локальное развёртывание | Да | Нет | Да | Да |
| Встроенный DLP | Да | Нет | Нет | Нет |
| Мульти-форматный SIEM | Да | Нет | Нет | Нет |
| Интеграция с Vault | Да | Нет | Нет | Нет |
| Российские LLM (GigaChat + Yandex AI Studio) | Да | Нет | Нет | Нет |
| Анализ на базе CPG | Да | Нет | Да | Да |
| Верифицированные Taint-уязвимости | Да | Нет | Частично | Нет |
| Структурный движок шаблонов | Да (190 правил) | Нет | Нет | Нет |
Контакты¶
По вопросам безопасности и интеграции:
- Email: security@codegraph.ru
Версия: 1.2 | Март 2026