Кибербезопасность

Комендант — российский MDM/UEM

On-prem платформа управления Android/ТСД/Linux без Google-сервисов: 152-ФЗ, lost-mode за 6 секунд, 1С auto-wipe, freemium до 25 устройств.

Клиент: Внутренний продукт

Год: 2026

Срок: 3+ месяцев

Go 1.26Fiber v3PostgreSQL 17 + pgvectorEMQX 5.10Next.js 16React 19Kotlin ComposeMinIOGigaChat

45 432

LOC Go (server + linux-dpc)

21 642

LOC TypeScript admin-web

таблицы в БД (RLS на 39)

287

OpenAPI path-блоков

119

SQL-миграций (goose)

Go-пакет в server/internal/

Задача клиента

1Российская альтернатива Kaspersky Secure Mobility / SafeMobile / MobileIron после ухода иностранных MDM

2Управление Android/ТСД БЕЗ Google FCM/AMAPI/Play Services и без зависимости от иностранной инфраструктуры

3152-ФЗ on-prem-развёртывание, поддержка Astra/Alt/РедОС/Аврора и LDAP/SAML/SCIM/1С

4Multi-tenant с жёсткой изоляцией (Row-Level Security на 39 таблицах + role komendant_app NOBYPASSRLS)

5AI-копилот для администратора с защитой от prompt-injection и без утечки промптов через RAG по своей KB

61С-интеграция: auto-wipe устройства при увольнении сотрудника через webhook

Фича 1

Multi-Provider AI с RAG

Function-calling копилот по своей базе знаний MDM

7 AI-endpoints (askai, copilot, policy_gen, script_gen, compliance_explain, explain_alert, suggest_policies) маршрутизируются на 4 типа провайдеров (Ollama, OpenAI-compat, YandexGPT, GigaChat). Per-tenant routing через ai_endpoint_routes. Hybrid retrieval RAG: vector ANN + BM25 ts_vector(russian) + RRF + reranker BAAI/bge-reranker-v2-m3.

446 чанков KB (openapi=353, kb=90), Qwen3-Embedding-0.6B (1024-dim) ONNX INT8

5 слоёв guardrails: 18+11 regex, 22 homoglyph-пары, leet-map, base64-decode, response-leak filter

Cross-project Redis-lock gigachat:global:lock (TTL 120s, atomic Lua-release)

193-bullet auto-glossary в systemPrompt (Copilot/ComplianceExplain/ExplainAlert)

Фича 2

Command Pipeline через MQTT

pending → sent → done/failed за секунды

EMQX 5.10 + JWT-auth через HTTP-hook /api/v1/mqtt/auth + /api/v1/mqtt/acl. 14 типов команд (lock, wipe, lost_mode, install_apk, remote_assist_request и т.д.). Auto-persist в Publisher: payload без id → INSERT в commands и id вставляется автоматически. Long-poll fallback при недоступном MQTT.

JWT-auth EMQX hook + ACL по топику tenant/<tid>/device/<did>/cmd

Self-API /devices/me/*: heartbeat, commands/pending, inventory, attestation

Stub-команды (configure_wifi, app_config, request_attestation) reject сразу

13 устройств / 15 политик / 214 команд в продакшене

Фича 3

152-ФЗ Compliance Engine + ZTNA

DSL-правила, инциденты, авто-уведомления РКН

compliance_rules с DSL (All/Any/Not/Field/Op/Value, операторы eq/lt/like/in/regex), 4 триггера (heartbeat, attestation, inventory, schedule), действия notify/lock/wipe/quarantine_policy. Инциденты ПДн с триггером schedule_rkn_notifications AFTER INSERT — авто 24/72-ч уведомления. ZTNA: ztna_rules (priority + match_resource + required_conditions), ztna_resources, ztna_decisions-лог.

Maker-checker dual-approval (wipe, mass_unenroll, factory_reset), TTL 24h

JIT-admin elevation, MFA TOTP (encrypted secret_enc/nonce)

Internal CA + SCEP + SIM-pepper HMAC — защита от rainbow-table по IMSI/ICCID

1С auto_wipe при увольнении (webhook, role-mappings, провайдеры)

Фича 4

DPC и кросс-платформенность

Android Compose + Linux Go-агент <20MB

Android DPC на Kotlin Jetpack Compose с MQTT через HiveMQ-клиент. Linux DPC: Go-агент CGO_ENABLED=0, single-binary <20MB, AMD64+ARM64, поддержка Astra/Alt/РедОС/Ubuntu/Debian/RHEL/Rocky/Alma. Команды: script.run (whitelist), lock, restart, inventory.refresh. Inventory: kernel/distro/packages, firewall, SELinux/AppArmor, systemd, SSH-config.

Поддержка Device Owner / Profile Owner / BYOD

Knox Mobile Enrollment + Android Zero-Touch (плановое)

Аврора, iOS/Windows/macOS — каркас, реальные хэндлеры в apple.go/windows.go

Remote Assist через WebRTC + TURN (HMAC-SHA1 forgery-protection)

Multi-Provider AI Routing

7 endpoints × 4 типа провайдеров

Ollama

POST /api/chat, temperature=0.1, think=false

OpenAI-compat

OpenRouter / llama.cpp / Together, qwen3-72b-instruct

YandexGPT

gpt://<folder>/<model>/latest через llm.api.cloud.yandex.net

GigaChat

OAuth2 + Russian Trusted Root CA, MIN_GAP_MS=700, Redis-lock

Embedding

10.77.77.1:8090 — Qwen3 1024-dim ONNX INT8

Reranker

10.77.77.1:8091 — BAAI/bge-reranker-v2-m3

Архитектура

Go API (Fiber v3)

systemd komendant-api :8101, 21.4 MB RAM

PostgreSQL 17 + pgvector

94 таблицы, RLS на 39 + force RLS

EMQX 5.10

MQTT-брокер, TLS 8883, JWT-auth-hook

MinIO

APK, OSM-tiles, VPN-профили, бэкапы

Redis 7

Lockout, JWT-revoke, AI cache, GigaChat lock

Next.js 16 admin

PM2 cluster :3040, 110 page.tsx

Observability

Prometheus + Grafana + Loki + Tempo + OTel

Технический стек

Backend

Go 1.26

45 432 LOC, основной язык

Web

Fiber v3.1

fasthttp framework

Database

PostgreSQL 17

pgvector + RLS, 119 миграций

MQTT

EMQX 5.10

JWT-auth, TLS 8883

Storage

MinIO

S3-compatible (APK/tiles/VPN)

Cache

Redis 7

Lockout + GigaChat lock

Admin

Next.js 16

+ React 19 + TypeScript 6

Styling

Tailwind 4

+ shadcn/Radix UI

Android DPC

Kotlin Compose

Jetpack + HiveMQ MQTT

Auth

crewjam/saml

+ go-ldap/v3 + pquerna/otp

Tracing

OpenTelemetry

+ Loki + Tempo + Grafana

Migrations

goose

119 SQL-миграций

Результаты

таблицы в БД (RLS на 39 + force RLS)

287

OpenAPI path-блоков, ~250 уникальных endpoints

типов MQTT-команд (lock/wipe/lost_mode/install_apk)

18+30

Go-тестов и Playwright e2e (cross-tenant RLS-проверки)

Нужен похожий проект?

Обсудим вашу задачу и предложим оптимальное решение.

Обсудить проект