Куда уходят данные о нашем коде при анализе безопасности?

Никуда. CodeGraph разворачивается локально внутри вашей инфраструктуры. Код анализируется внутри контура. Во внешние сервисы при необходимости передаются только текстовые запросы, но не исходный код.

Безопасно ли использовать CodeGraph в контуре с конфиденциальным кодом?

Да. Локальное развёртывание означает, что код не покидает периметр. Локальные LLM заменяют облачные API. DLP-фильтрация (25+ паттернов) работает до и после LLM. RBAC даёт 21 разрешение и полный журнал аудита. Docker-образы доступны для автономной установки.

Как CodeGraph защищает от утечки кода через LLM?

Три уровня: локальный контур, DLP-фильтрация до и после LLM и разграничение прав с полным журналом аудита. Это позволяет контролировать, какие данные участвуют в обработке и кто имеет к ним доступ.

Чем CodeGraph отличается от PT Application Inspector?

PT AI использует сопоставление шаблонов. CodeGraph строит CPG и выполняет анализ потоков данных — прослеживает поток данных от источника до приёмника через всю цепочку вызовов, включая межпроцедурные зависимости и границы микросервисов.

Чем CodeGraph отличается от Semgrep?

Semgrep — AST-уровень (паттерн-матчинг). CodeGraph — CPG-уровень (межпроцедурный анализ потоков данных). Semgrep не может отследить поток данных через цепочку вызовов. В CodeGraph 190 готовых YAML-правил с CPG-ограничениями.

Анализ безопасности кода на базе графа свойств кода

Q: Как достигается доля ложных срабатываний 12%?

Благодаря межпроцедурному анализу потоков данных на основе CPG. CodeGraph строит полный граф потоков данных от источника до приёмника и верифицирует каждый путь, отсекая ложные срабатывания от валидации и санитизации.

Q: Какие SIEM системы поддерживаются?

Любые SIEM через 3 формата: Syslog RFC 5424, CEF (ArcSight), LEEF (IBM QRadar). Splunk, Elastic SIEM, MaxPatrol поддерживаются через Syslog. Также экспорт в SARIF 2.1.0.

CodeGraph показывает не просто сигнал, а доказуемый путь до уязвимости. Межпроцедурный анализ потоков данных помогает команде безопасности сосредоточиться на подтверждённых проблемах.

58 CWE 190 правил Локальный контур SARIF 2.1.0 11 языков

Показать верифицированные находки Читать техническое описание

От сигнала к подтверждению

Шум ниже в отчёт попадают только достижимые пути

SARIF и SIEM находки уходят в существующий контур

Локальный контур код и результаты остаются внутри периметра

Главная проблема классического SAST

Когда инструмент не видит реальный путь данных, команда получает поток сигналов, которые приходится разбирать вручную

Сопоставление шаблонов не видит контекст

Инструменты на основе AST сопоставляют шаблоны, но не отслеживают потоки данных. Они не знают, прошли ли данные валидацию перед использованием.

Усталость от алертов

При 91% ложных срабатываний (Ghost Security, 2025) разработчики перестают читать отчёты. Реальные уязвимости теряются в потоке шума.

Слепые зоны

Межпроцедурные уязвимости (данные проходят через 5-10 функций в разных файлах) невидимы для инструментов на уровне AST.

Что меняет CodeGraph

Анализ на основе графа свойств кода проверяет путь данных целиком и показывает, где проблема действительно достижима

Межпроцедурный анализ потоков данных

CodeGraph прослеживает путь данных от источника (пользовательский ввод) до приёмника (SQL-запрос, системный вызов) через все функции и файлы. Учитывает валидацию и санитизацию.

33 аналитических прохода

CFG, доминаторы, CDG, граф вызовов, достигающие определения, межпроцедурные достигающие определения, распространение типов, PDG, DDG — полный конвейер анализа.

Только реальные уязвимости

Верификация потоков данных отсекает пути, которые проходят через валидацию. В отчёт попадают только верифицированные уязвимости с полным путём распространения данных.

Что можно проверить на пилоте

12%

Доля ложных срабатываний

против 80-91% у конкурентов

100%

обнаружение CVE

3/3 целевых CVE на тестовом наборе

2-3 мс

время запроса

на DuckDB

языков

C, C++, Go, Python, JS, TS, Java, Kotlin, C#, PHP, 1С

Безопасность как часть рабочего контура

CodeGraph встраивается в процессы разработки, аудита и расследований, а не остаётся отдельным отчётом после сканирования

Интеграция с SIEM

Syslog RFC 5424, CEF (ArcSight), LEEF (IBM QRadar). Splunk, Elastic SIEM, MaxPatrol через Syslog. Экспорт результатов в SARIF 2.1.0.

DLP защита

25+ шаблонов обнаружения конфиденциальных данных. Фильтрация до и после LLM. Режимы: блокировать, маскировать, предупреждать, журналировать.

Локальный контур и изолированная среда

Полное развёртывание внутри контура. Docker / Kubernetes. Локальные LLM для изолированных сред. Данные не покидают инфраструктуру.

RBAC и Vault

4 роли, 21 разрешение. HashiCorp Vault (Token, AppRole, Kubernetes). OAuth2: Yandex ID, Sber ID, Yandex Cloud IAM. Авторотация API-ключей.

Мультитенантность

Изоляция проектов по группам с RBAC. Раздельные API-ключи, кэш соединений. Изоляция пространств имён в Kubernetes — Q2 2026.

Защита API

Защита от path traversal и IDOR. HTTP-заголовки безопасности (HSTS, CSP, X-Frame-Options). Трёхуровневое ограничение частоты запросов. Валидация сложности SQL. Аутентификация MCP-транспортов. Ограничение scope API-ключей.

Расширенный аудит и защита

Детальное журналирование операций безопасности (RFC 5424). Защита вебхуков от replay-атак. CSRF-защита OAuth. Авторизация WebSocket-подписок. Обязательный режим DLP с синхронизацией чёрных списков токенов.

Покрытие CWE/CAPEC

58 типов уязвимостей CWE и 27 паттернов атак CAPEC. Инъекции (SQL, Command, LDAP, NoSQL), переполнение буфера, криптография, XSS/CSRF, SSRF, десериализация, race conditions. 190 YAML-правил с CPG-ограничениями покрывают OWASP Top 10 из коробки.

Вопросы о безопасности

CodeGraph помогает находить именно подтверждённые уязвимости, а не поток шумовых алертов. Платформа строит граф свойств кода, прослеживает данные от источника до приёмника через цепочки вызовов, учитывает валидацию и санитизацию и отдаёт результат в локальном контуре с экспортом в SARIF и SIEM.

Никуда. CodeGraph разворачивается локально. Код анализируется внутри вашего контура. При использовании GigaChat API передаются только текстовые запросы пользователей, но не исходный код. В изолированном контуре внешний трафик отсутствует.

Благодаря верификации потоков данных. CodeGraph строит полный граф потоков данных от источника до приёмника через CPG. Каждый потенциальный путь верифицируется: если данные проходят через валидацию или санитизацию, алерт не генерируется. В отчёт попадают только уязвимости с подтверждённым путём распространения данных.

Любые SIEM через 3 формата: Syslog RFC 5424 (универсальный), CEF (ArcSight), LEEF (IBM QRadar). Splunk, Elastic SIEM, MaxPatrol поддерживаются через Syslog. Результаты также экспортируются в SARIF 2.1.0 для интеграции с IDE и CI/CD.

Да. Локальное развёртывание означает, что код не покидает периметр. Локальные LLM (Qwen3, DeepSeek) заменяют облачные API. DLP-фильтрация (25+ паттернов) блокирует утечку API-ключей, паролей и ПДн до и после LLM. RBAC с 21 разрешением и полным журналом аудита в SIEM. Docker-образы доступны для автономной установки.

Три уровня защиты:

Локальный контур — код не покидает ваш периметр. LLM развёрнута на ваших серверах
DLP — 25+ паттернов: API-ключи, пароли, ПДн, номера карт. Фильтрация до отправки в LLM и после получения ответа. Блокировка и журналирование
RBAC — 21 разрешение доступа. Разработчик видит только свой код, команда безопасности приложений — обнаружения, аудитор — отчёты. Полный журнал аудита в SIEM

CodeGraph можно использовать рядом с Fortify как слой верификации и дополнительного контекста, а для части команд и проектов — как целевую платформу миграции. Ключевое отличие — CodeGraph находит межсервисные потоки данных, которые Fortify не отслеживает. Используйте CodeGraph-отчёты как дополнительное подтверждение для аудита — с классификацией CWE, путями потоков данных и экспортом в SARIF.

PT AI использует сопоставление шаблонов — ищет известные признаки уязвимостей в тексте кода. CodeGraph строит граф свойств кода (CPG) и выполняет анализ потоков данных: прослеживает реальный путь данных от источника до приёмника через всю цепочку вызовов. Сопоставление шаблонов не видит межпроцедурные зависимости и не проходит через границы микросервисов. CPG показывает аудитору полный путь эксплуатации — с файлами и строками.

Semgrep работает на уровне AST — это сопоставление шаблонов по синтаксическому дереву. Такой подход хорош для локальных правил, но Semgrep не выполняет межпроцедурный анализ потоков данных. Нельзя написать правило уровня Semgrep: «найди места, где данные из request.body доходят до db.query через произвольную цепочку вызовов без sanitize()». Это задача для CPG. В CodeGraph правила пишутся на YAML, но с CPG-ограничениями: достижимость потоков данных, контекст вызова, проверка типов. Плюс 190 готовых правил из коробки.

Разборы на Хабре для команды безопасности приложений

Если вы пока не готовы к демо, начните с статьи про CPG и ложные срабатывания, а затем переходите к полной серии материалов.

Почему SAST на правилах пропускает уязвимости

Статья про то, почему сопоставление шаблонов и обычный SAST не видят часть реальных путей эксплуатации, а граф свойств кода даёт более проверяемый результат.

Читать на Хабре

Все статьи автора по теме CodeGraph

Если нужна не одна статья, а вся серия про безопасность приложений, CPG и кодовую аналитику, переходите в профиль автора и читайте материалы подряд.

Открыть серию на Хабре

Показать верифицированные находки на вашем коде

Проведём короткий разбор по безопасности приложений на вашей кодовой базе: покажем реальные пути данных, приоритет находок и SARIF с доказательной базой для команды безопасности.

Показать 3 верифицированные находки Читать техническое описание

Обновлено: 7 апреля 2026