Перейти к основному содержимому
CodeAlive

Что мы реально делаем для безопасности

SOC 2 у нас пока нет. Вместо бейджей — то, что уже работает в продукте сегодня.

Контроли, которые уже в продукте

Изоляция тенантов

  • Каждый запрос автоматически фильтруется по ID организации на уровне репозитория
  • Межтенантный доступ выбрасывает WrongTenantAccessException — это enforced в коде, а не в политике
  • Изолированные sandbox-контейнеры под каждый репозиторий без доступа к БД и шлюзу
  • Покрыто интеграционными тестами, которые запускаются на каждой сборке

Контроль доступа

  • RBAC через модель Mandate (Administrator / Manager / User / ReadOnly / Guest)
  • Воркспейсы на уровне организации и скоупинг по репозиториям
  • API-ключи привязаны к одной организации и хранятся как SHA-256-хеши
  • SSO / SAML — в планах; сегодня доступно только на Enterprise через кастомное развёртывание

Защита данных

  • Исходный код не хранится постоянно — репозитории подтягиваются в sandbox на время индексации и удаляются сразу после
  • Символы кода хранятся зашифрованными: AES-256-GCM с envelope-шифрованием
  • Привязка KEK к организации — даже со знанием мастер-ключа расшифровать данные другой организации криптографически невозможно
  • TLS 1.3 в транзите; ключевой материал обнуляется после использования; KEK версионируются для ротации без даунтайма

Аудит и observability

  • Структурированное логирование через OpenTelemetry (traces, logs, metrics)
  • Трейсы запросов включают контекст пользователя и организации; читаются из вашего лог-бэкенда (Grafana / Loki / Datadog / Splunk)
  • GDPR-совместимое логирование согласий для cookie- и preference-событий
  • Формат JSON, готовый к SIEM; нативных SIEM-коннекторов пока нет

Сетевая безопасность

  • В self-hosted режиме работает целиком внутри вашего VPC или сети
  • Default-deny network policies между сервисами
  • Доступ операторов через VPN; публичного Kubernetes API нет
  • Секреты подкладываются через External Secrets Operator — никогда не в образах и не в env-файлах

Управление уязвимостями

  • Подпись контейнерных образов
  • Регулярные security-патчи через версионированные релизы образов
  • Мониторинг CVE по зависимостям
  • SBOM по запросу

Доступно по запросу

  • NDA под ваши требования
  • Security overview document (PDF)
  • Окно пентеста для Enterprise-клиентов
  • Data processing agreement (DPA)

Нужны детали поглубже?

Пишите на security@codealive.ai — пришлём полный security overview, подпишем NDA или организуем ревью-звонок с инженерами.

security@codealive.aiЗапросить DPA