Анализ безопасности кода на базе Code Property Graph
Межпроцедурный taint analysis. 12% ложных срабатываний против 91% у традиционных SAST. Только верифицированные уязвимости.
Проблема: 91% алертов SAST — шум
Традиционные SAST-инструменты основаны на pattern matching и генерируют поток ложных срабатываний
Pattern matching не видит контекст
AST-based инструменты сопоставляют шаблоны, но не отслеживают потоки данных. Они не знают, прошли ли данные валидацию перед использованием.
Alert fatigue
При 91% ложных срабатываний (Ghost Security 2025) разработчики перестают читать отчёты. Реальные уязвимости теряются в потоке шума.
Слепые зоны
Межпроцедурные уязвимости (данные проходят через 5-10 функций в разных файлах) невидимы для инструментов на уровне AST.
Решение: Taint-Verified уязвимости
CPG-based анализ строит полный граф потоков данных и верифицирует каждый путь
Межпроцедурный taint analysis
CodeGraph прослеживает путь данных от source (пользовательский ввод) до sink (SQL-запрос, system call) через все функции и файлы. Учитывает валидацию и санитизацию.
33 аналитических пассов
CFG, доминаторы, CDG, call graph, reaching definitions, межпроцедурный reaching def, type propagation, PDG, DDG — полный pipeline анализа.
Только реальные уязвимости
Taint Verification отсекает пути, которые проходят через валидацию. В отчёт попадают только верифицированные уязвимости с полным taint-путём.
Доказательства
Enterprise Security Platform
Не просто SAST — полноценная платформа безопасности кода
SIEM интеграция
Syslog RFC 5424, CEF (ArcSight), LEEF (IBM QRadar). Splunk, Elastic SIEM, MaxPatrol через Syslog. Экспорт результатов в SARIF 2.1.0.
DLP защита
25+ шаблонов обнаружения конфиденциальных данных. Фильтрация до и после LLM. Режимы: блокировать, маскировать, предупреждать, журналировать.
On-premise & Air-gapped
Полное развёртывание внутри контура. Docker / Kubernetes. Локальные LLM для изолированных сред. Данные не покидают инфраструктуру.
RBAC & Vault
4 роли, 21 разрешение. Интеграция с HashiCorp Vault (Token, AppRole, Kubernetes). Автоматическая ротация API-ключей.
Вопросы о безопасности
Никуда. CodeGraph разворачивается локально. Код анализируется on-premise. При использовании GigaChat API передаются только текстовые запросы (вопросы пользователей), но не исходный код. В air-gapped режиме — нулевой трафик наружу.
Благодаря Taint Verification. CodeGraph строит полный граф потоков данных от source до sink через CPG. Каждый потенциальный путь верифицируется: если данные проходят через валидацию или санитизацию, алерт не генерируется. В отчёт попадают только уязвимости с подтверждённым taint-путём.
Любые SIEM через 3 формата: Syslog RFC 5424 (универсальный), CEF (ArcSight), LEEF (IBM QRadar). Splunk, Elastic SIEM, MaxPatrol поддерживаются через Syslog. Результаты также экспортируются в SARIF 2.1.0 для интеграции с IDE и CI/CD.
Да. CodeGraph полностью функционален без внешних зависимостей. В изолированном контуре вместо облачных LLM используются локальные модели (Qwen3, Llama). Docker-образы доступны для offline-установки.
Запросить demo безопасности
Покажем, как CodeGraph находит уязвимости в вашем коде. Межпроцедурный taint analysis, 12% FP rate, полный отчёт за часы вместо недель.