Кибербезопасность

Комендант — российский MDM/UEM

On-prem платформа управления Android/ТСД/Linux без Google-сервисов: 152-ФЗ, lost-mode за 6 секунд, 1С auto-wipe, freemium до 25 устройств.

Клиент: Внутренний продукт

Год: 2026

Срок: 3+ месяцев

Go 1.26Fiber v3PostgreSQL 17 + pgvectorEMQX 5.10Next.js 16React 19Kotlin ComposeMinIOGigaChat

75 678

LOC Go (server + linux/aurora/windows-dpc)

58 709

LOC TypeScript admin-web

148

таблиц в БД (RLS + force на чувствительных)

164

SQL-миграций (goose)

162

handler-файла в server/internal/handlers/

142

страницы Next.js admin-web

Задача клиента

1Российская альтернатива Kaspersky Secure Mobility / SafeMobile / MobileIron после ухода иностранных MDM

2Управление Android/ТСД БЕЗ Google Play Services / FCM / Maps / STUN — de-Google by design

3152-ФЗ on-prem с HMAC-цепочкой audit-log и Sealed PDF для аудиторов

4Multi-tenant с жёсткой изоляцией через PostgreSQL Row-Level Security FORCE и двухуровневые пулы соединений (owner-пул + app-пул без BYPASSRLS)

5AI-копилот на GigaChat-2-Max с self-hosted embedding-сервисом (Qwen3-4B) и 5-слойной защитой от prompt-injection

6Поддержка отечественных ОС (Astra Linux / Alt Linux / РедОС / Ubuntu / Аврора) и ТСД без GMS (Urovo / Atol / Zebra)

7Якорный клиент ГК Триол / АММА Пет (800+ сотрудников, 13 представительств, ~300 Android-устройств) — пилот через bundle anchor_triol_pilot

Фича 1

8 операционных Centers с per-tab help

M22.1-M22.12: 50+ страниц → 8 функциональных центров

Fleet / Compliance / Apps / Security / Admin / Access / Help / Analytics. Каждый Center с табами и deep-link через ?tab=X query-параметром. Контекстная справка (SectionHelpAuto) автоматически подгружает per-tab help из HELP_MAP на 130+ записей. Единый error-stack: extractApiError + Toast Provider + showError-helper по всему UI, дружелюбные сообщения вместо raw JSON, специальная обработка 428 MFA required с CTA «Настроить MFA».

Маркетплейс из 20 пресетов под отрасли (ТСД, мерчандайзер, водитель, кассир POS, ПВЗ, такси, KDS, киоск)

Bundles собирают N пресетов под якорный сценарий (anchor_triol_pilot — 2 пресета на 10-устройств старт)

Compliance Packs Marketplace: 152-ФЗ basic / ISO 27001 / PCI-DSS L1 / GDPR — one-click install

Anti-theft preset (lost_mode_auto / alarm_on_lost / sim_change_alert / geofence_exit_alert) — замена Kaspersky антивора

Фича 2

AI-стек на GigaChat-2-Max с RAG

Российский LLM + self-hosted embedding и reranker

7 AI-endpoints (askai, copilot, policy_gen, script_gen, compliance_explain, explain_alert, suggest_policies) на GigaChat-2-Max от Сбера через OAuth2 с Russian Trusted Root CA. Единственный LLM-провайдер — для соответствия 152-ФЗ данные не покидают РФ-инфраструктуру. Hybrid retrieval RAG: pgvector ANN (cosine) + BM25 ts_vector(russian) через websearch_to_tsquery + RRF k=60 + cross-encoder BAAI/bge-reranker-v2-m3 на self-hosted GPU через WireGuard. Anthropic Contextual Retrieval с per-chunk префиксами.

446 чанков KB (openapi=353, kb=90, docs=3), embedding на self-hosted Qwen3-Embedding-4B (1024-dim) через llama-server

5 слоёв guardrails: 18 EN + 11 RU regex, 22 homoglyph-пары, leet-map, base64-decode, response/code-leak filter

Cross-project Redis-lock gigachat:global:lock (TTL 120s, atomic Lua-release) для тарифа PERS concurrency=1

PII-санитизация перед записью в ai_queries; cross-tenant cache invalidation при wipe/SCIM-delete; per-tenant retention 30-365д

Фича 3

Command Pipeline через MQTT (de-Google)

24 типа команд, EMQX 5.10, без FCM

Свой EMQX-брокер вместо Firebase Cloud Messaging. JWT-auth через HTTP-hook /api/v1/mqtt/auth + /api/v1/mqtt/acl с топиком tenant/<tid>/device/<did>/cmd. Persistent MQTT с cleanStart=false + sessionExpiry=3600 — команды доходят после reboot устройства. Watchdog MqttReconnectWorker (PeriodicWorkRequest 15min + exponential backoff) на DPC против Samsung OneUI battery-optimization.

24 типа команд: lock / unlock / wipe / factory_reset / wipe_reset_protection / locate / reboot / restart / request_inventory / apply_policy / install_apk / uninstall_apk / update_apk / send_message / clear_passcode / lost_mode / exit_lost_mode / configure_wifi / configure_vpn / configure_app_config / request_attestation / remote_assist_request / unenroll / kiosk_mode

Auto-persist в Publisher: payload без id → INSERT в commands и id вставляется автоматически

Long-poll fallback через REST когда MQTT недоступен

Self-API /devices/me/* (heartbeat, commands/pending, inventory, attestation, consent, consent-key, sim-change)

Фича 4

152-ФЗ HMAC-цепочка audit-log + ZTNA

Append-only журнал, Sealed PDF, авто-РКН 24/72ч

Append-only audit_log с HMAC-SHA256 цепочкой (prev_hash → chain_hash). Tampering детектируется на verify-step — обрыв цепочки с указанием первого изменённого ID. Sealed snapshot: подписанный PDF за период + HMAC через tenants.audit_chain_secret + upload в MinIO. Внешняя верификация через CLI VerifyAuditChain. compliance_rules DSL с DSL (ВСЕ/ЛЮБОЕ/НЕ/Field/Op/Value, операторы eq/lt/like/in/regex), 4 триггера (heartbeat, attestation, inventory, schedule). Инциденты ПДн с триггером schedule_rkn_notifications AFTER INSERT — авто 24/72-ч уведомления РКН. ZTNA: 7 типов auto-remediation playbook'ов, threat feeds BDU FSTEC / NVD CVE / CISA KEV.

Maker-checker dual-approval (wipe, mass_unenroll, factory_reset), TTL 24h + FRP security gate

JIT-admin elevation 15/30/60 мин, MFA TOTP (AES-GCM encrypted secret), recovery codes 10× one-time

Internal CA + SCEP с ротацией через /ca/rotate + SIM-pepper HMAC от rainbow-table по IMSI/ICCID

HMAC-подпись согласий: tenants.consent_signing_secret + DPC fetch через /devices/me/consent-key, ±5 мин окно, tamper-evident PDF-экспорт реестра согласий

Фича 5

DPC: 4 платформы на одной Go-кодобазе

Android + Linux + Аврора production, Windows beta

Linux DPC: Go-агент CGO_ENABLED=0, single-binary 7.2 MB amd64 / 6.7 MB arm64, поддержка Astra/Alt/РедОС/Ubuntu/Debian/RHEL/Rocky/Alma. Аврора DPC: cross-build на armv7hl 6.9 MB через GOOS=linux GOARCH=arm GOARM=7, RPM-spec для OMP, verified на rootfs 5.2.0.180 Khabarovsk через chroot + qemu-arm-static. Windows DPC: functional port из linux-dpc, E2E на реальной Windows 11 Pro Корпоративной через production EMQX TLS — komendant-dpc.exe 7.3 MB. Android DPC: Kotlin Jetpack Compose с MQTT через paho.mqtt.golang/HiveMQ-клиент, kiosk-mode + launcher replacement verified, WP-enroll на Nubia NX711J Android 13.

Device Owner / Work Profile через ManagedProvisioning API + AdminExtras с настоящим JWT в QR-enrollment

anti-theft preset через dpm.setMaximumFailedPasswordsForWipe (factory_reset после N failed attempts)

runtime_permissions pre-grant через dpm.setPermissionGrantState — AkiTorg/MST Lab/Я.Навигатор не показывают prompt при первом запуске

Remote Assist через WebRTC viewer/control + self-hosted coturn (TURN_HOST из env, HMAC-SHA1 short-lived creds, без Google STUN)

Фича 6

Аналитика и dashboards (M22.1-M22.15)

12 отчётов, 10 chart types, drag-and-drop editor

12 встроенных отчётов (устройства / compliance / security / операции / интеграции / приложения) с форматами CSV/PDF/JSON. Saved-queries через querybuilder DSL: JSON-структура (from / select с агрегатами / where / group_by / order_by / limit) с whitelist 10 таблиц, без JOIN. Кастомизируемые user-dashboards с edit-mode: drag-and-drop, chart-type selector, размеры S/M/L/XL, theme presets, cols 2/3/4, density compact/cozy/spacious, per-widget days override. 10 chart_type реализованы в SVG zero-deps.

Charts: bar / line / area / pie / donut / sparkline / kpi / stacked-bar / heatmap / table с smooth bezier (Catmull-Rom tension), gradient fills, floating tooltips

Scheduled-reports: cron + delivery (email / Telegram / webhook / SMS), SSRF-валидация URL, inline AI-explain в email если provider настроен

SOC-дашборд (Security Overview) с anomaly-detector: брутфорс ≥5 failed-логинов с IP, ≥3 провалов аттестации, forensics-timeline из 4 источников

Threat hunting bar — NL-запросы через AI-ассистент для post-incident анализа

Демо интерфейса

Парк устройств Fleet Center

Heartbeat от Android DPC через MQTT EMQX, persistent session. Поддержка ТСД (Urovo, Atol, Zebra) и обычных смартфонов без GMS.

Устройства · 124 всего

98 online 24 offline 2 lost

Модель	IMEI	Пользователь	Статус	Батарея	Политика	Heartbeat
Urovo DT50	35 8240 12 678901	Складская 04	online	78%	WH Kiosk	12 сек назад
Atol Smart.Lite	35 8240 12 678845	Курьер NN-12	online	42%	Courier	1 мин назад
Samsung XCover6	35 8240 12 678311	Мерч. Иванов И.	online	91%	Field MX	3 мин назад
Honor X8a	35 8240 12 678257	Водитель MSK-7	offline	12%	Driver	1 ч 18 мин
Zebra TC22	35 8240 12 678194	ПВЗ Перово	online	64%	Pickup	8 сек назад
Nubia NX711J	35 8240 12 678021	Касса Лефортово	lost mode	0%	POS Kiosk	9 ч 47 мин

Иллюстрация интерфейса. Числа условные.

Демо интерфейса

Отправка команды на группу устройств

24 типа MQTT-команд через свой EMQX-брокер (без FCM). Доставка persistent: команда доходит после reboot. Деструктивные действия (wipe, factory_reset) требуют maker-checker dual-approval.

Шаг 1. Выберите команду

Заблокировать

Lock-screen + сообщение

Стереть данные

Wipe (с двойным подтверждением)

Установить APK

Из MinIO-репозитория

Lost Mode

Полная блокировка + GPS

Kiosk-режим

Запуск 1 приложения

Factory reset

+ FRP gate, maker-checker

Шаг 2. Целевая группа

Группа: Склад Москва

47 устр.

Группа: Курьеры NN

12 устр.

Группа: Поле МСК

28 устр.

Последние пакеты команд

apply_policy12:47

Склад Москва

45 ok2 failиз 47

install_apk12:33

Курьеры NN

11 ok1 failиз 12

lock12:30

Поле МСК

24 ok0 failиз 28 идёт

Иллюстрация интерфейса. Числа условные.

Демо интерфейса

Compliance Center: оценка фреймворка

Compliance Pack 152-ФЗ basic. Правила DSL (ALL/ANY/NOT, операторы eq/lt/like/in/regex) проверяют heartbeat, attestation, inventory. HMAC-цепочка audit-log детектирует tampering.

Compliance Score

88/100

152-ФЗ basic + ISO 27001

Compliant устр.

82 из 124

42 в дрейфе

Audit-log

HMAC-цепочка валидна (12 487 событий)

Находки baseline

highШифрованиеDisk encryption выключен

4 устр.

highMFAНе подключён MFA для админов

2 устр.

mediumПолитикаPasscode policy слабее baseline

7 устр.

mediumПриложенияУстановлены вне white-list

11 устр.

lowАттестацияИстёк SafetyNet attest

3 устр.

lowСертификатыКорпоративный CA не доверен

1 устр.

Иллюстрация интерфейса. Числа условные.

Multi-Provider AI Routing

7 endpoints × 4 типа провайдеров

GigaChat-2-Max

Единственный LLM-провайдер. OAuth2 + Russian Trusted Root CA, cross-project Redis-lock gigachat:global:lock (TTL 120s, atomic Lua-release) для тарифа PERS concurrency=1

Embedding

Self-hosted Qwen3-Embedding-4B (1024-dim) через llama-server на собственном GPU. Никаких внешних API

Reranker

BAAI/bge-reranker-v2-m3 cross-encoder, self-hosted. Никаких OpenAI / Anthropic / Google AI

RAG

446 чанков (openapi=353, kb=90, docs=3) в pgvector + tsvector(russian), hybrid retrieval с RRF k=60

Guardrails

5-слойная защита от prompt-injection: NFKC + leet + homoglyph + spaced-flatten + base64-decode

PII-санитизация

Email/phone/IMEI/passport/snils маскируются до записи в ai_queries. Per-tenant retention 30-365д

Архитектура

Go API (Fiber v3)

systemd komendant-api :8101, 162 handler-файла

PostgreSQL 17 + pgvector 0.8.2

148 таблиц, RLS FORCE на чувствительных + tsvector(russian)

EMQX 5.10

MQTT-брокер, TLS 8883, JWT-auth-hook, cleanStart=false sessionExpiry=3600

MinIO

APK, OSM-tiles в pmtiles, VPN-профили, бэкапы, RA recordings + HMAC manifest

Redis 7

Next.js 16.2.3 admin

PM2 cluster :3040, 142 page.tsx, ToastProvider + ErrorBanner stack

coturn

self-hosted WebRTC TURN, HMAC-SHA1 creds, без Google STUN/TURN fallback

Observability

Prometheus + Grafana + Loki + Tempo + Promtail + OTel + Alertmanager

Технический стек

Backend

Go 1.23+

75 678 LOC, основной язык

Web

Fiber v3

fasthttp framework

Database

PostgreSQL 17

pgvector + RLS, 164 миграций

MQTT

EMQX 5.10

JWT-auth, TLS 8883, persistent sessions

Storage

MinIO

S3-compatible (APK/tiles/VPN/recordings)

Cache

Redis 7

Lockout + GigaChat lock + AI cache

Admin

Next.js 16.2.3

+ React 19 + TypeScript 5

Styling

Tailwind 4

+ Radix UI + zero-deps SVG charts

Android DPC

Kotlin Compose

Jetpack + paho.mqtt.golang

Maps

MapLibre + pmtiles

self-hosted, без Google Maps

WebRTC

coturn 4.6

self-hosted TURN/STUN

Auth

crewjam/saml

+ go-ldap/v3 + pquerna/otp + SCIM 2.0

Tracing

OpenTelemetry

+ Loki + Tempo + Grafana + Promtail

Migrations

goose

164 SQL-миграций

Результаты

148

таблиц в БД с RLS FORCE на чувствительных

162

handler-файлов / 142 страницы Next.js admin-web

типов MQTT-команд (lock/wipe/factory_reset/install_apk/...)

platforms production: Android stable + Linux/Аврора stable + Windows beta

пресетов маркетплейса + 4 Compliance Packs (152-ФЗ/ISO/PCI/GDPR)

446

чанков RAG (KB + OpenAPI + docs) на Qwen3-Embedding-4B 1024-dim

28+

Playwright e2e + 166+ блоков (cross-tenant RLS-проверки)

Google-зависимостей — FCM/Maps/STUN/Play заменены self-hosted

Нужен похожий проект?

Обсудим вашу задачу и предложим оптимальное решение.

Обсудить проект

Комендант — российский MDM/UEM

On-prem платформа управления Android/ТСД/Linux без Google-сервисов: 152-ФЗ, lost-mode за 6 секунд, 1С auto-wipe, freemium до 25 устройств.

Клиент: Внутренний продукт

Год: 2026

Срок: 3+ месяцев

Go 1.26Fiber v3PostgreSQL 17 + pgvectorEMQX 5.10Next.js 16React 19Kotlin ComposeMinIOGigaChat

Задача клиента

1Российская альтернатива Kaspersky Secure Mobility / SafeMobile / MobileIron после ухода иностранных MDM

2Управление Android/ТСД БЕЗ Google Play Services / FCM / Maps / STUN — de-Google by design

3152-ФЗ on-prem с HMAC-цепочкой audit-log и Sealed PDF для аудиторов

5AI-копилот на GigaChat-2-Max с self-hosted embedding-сервисом (Qwen3-4B) и 5-слойной защитой от prompt-injection

6Поддержка отечественных ОС (Astra Linux / Alt Linux / РедОС / Ubuntu / Аврора) и ТСД без GMS (Urovo / Atol / Zebra)

Модель

IMEI

Пользователь

Статус

Батарея

Политика

Heartbeat

Urovo DT50

35 8240 12 678901

Складская 04

online

78%

WH Kiosk

12 сек назад

Atol Smart.Lite

35 8240 12 678845

Курьер NN-12

online

42%

Courier

1 мин назад

Samsung XCover6

35 8240 12 678311

Мерч. Иванов И.

online

91%

Field MX

3 мин назад

Honor X8a

35 8240 12 678257

Водитель MSK-7

offline

12%

Driver

1 ч 18 мин

Zebra TC22

35 8240 12 678194

ПВЗ Перово

online

64%

Pickup

8 сек назад

Nubia NX711J

35 8240 12 678021

Касса Лефортово

lost mode

POS Kiosk

9 ч 47 мин