08 · Code review bot self-hosted para GitLab/Gitea privados¶
Bot de code review para equipos en sectores regulados (banca, salud, gobierno) que no pueden usar GitHub Copilot. Hospedado on-prem o en cloud del cliente. €299/mes por equipo de 10 devs.
Spec del producto¶
Problema¶
- GitHub Copilot Enterprise envía código a Azure (USA). Sectores regulados (banca EU, defensa, gobierno) no pueden.
- CodeRabbit, Sourcery, Codium — SaaS US-based.
- Equipos en GitLab self-hosted o Gitea on-prem no tienen opciones IA.
- Auditores piden: "muestra que tu código no salió de nuestra red".
Solución¶
Docker image que se despliega en infraestructura del cliente: 1. Se conecta a GitLab/Gitea on-prem vía webhooks. 2. En cada Merge Request: - Análisis estático (bugs probables, anti-patrones). - Sugerencias de mejora. - Tests faltantes. - Security flags (OWASP Top 10). 3. Comenta inline en el MR (como GitHub Copilot reviews). 4. Todo el procesamiento local — código no sale del network del cliente.
Características técnicas¶
- Inferencia: Gemma 4 E4B (local) o DeepSeek V4 4B-Distill (mejor SWE-Bench) según preferencia.
- Backend: Python + GitLab/Gitea SDK.
- Despliegue: 1 contenedor Docker + 1 GPU mínimo (RTX 4090 o L4) o CPU+Mac Studio M5.
- Modelos: descarga única, sin telemetría a internet.
MVP scope (5 semanas)¶
Semana 1: Integración GitLab/Gitea¶
- [ ] OAuth app + webhooks para MR events.
- [ ] Fetch diff + contexto (5 archivos relacionados via search semántico).
- [ ] Endpoint para "review on-demand" desde CLI.
Semana 2: Pipeline de análisis¶
- [ ] System prompt vertical por lenguaje (Python, Java, Go, TypeScript, Rust).
- [ ] RAG sobre style guide del cliente (markdown ingestable).
- [ ] Output estructurado:
{file, line, severity, suggestion}.
Semana 3: Comentarios inline¶
- [ ] Post comments en GitLab API.
- [ ] Threading: agrupa related comments.
- [ ] Filtros: solo high-severity / solo nuevos / etc.
Semana 4: Security & licensing¶
- [ ] Detección de patterns OWASP Top 10.
- [ ] License key system (offline activation).
- [ ] Logs auditables locales (lo que el auditor del cliente quiere ver).
Semana 5: Onboarding enterprise¶
- [ ] Documentación Docker Compose + Kubernetes Helm.
- [ ] Setup wizard: GitLab token + first repo + test review.
- [ ] Dashboard simple: métricas (MRs reviewed, suggestions accepted).
Pricing¶
| Plan | Precio | Devs | Repos |
|---|---|---|---|
| Team | €299/mes | hasta 10 | ilimitado |
| Engineering | €799/mes | hasta 50 | ilimitado |
| Enterprise | Custom (€2-10K/mes) | ilimitado | SLA, soporte 24/5 |
| One-time license | €4.999 perpetual | 10 devs | + €999/año updates |
One-time atrae a sectores public que prefieren capex sobre opex.
Diferenciadores¶
- Self-hosted obligatorio — pitch claro a compliance officers.
- GitLab/Gitea-first (no GitHub-only).
- No telemetría — verifiable con
tcpdumpdesde día 1. - Customizable: cliente entrena con su propio código (LoRA + Unsloth).
Métricas de éxito¶
| Métrica | Target MVP | Target mes 6 |
|---|---|---|
| Comentarios útiles (aceptados o reaccionados) | >40% | >65% |
| Latencia review (MR de 500 líneas) | <2 min | <30s |
| Clientes pagando | 2-5 (alto ACV) | 15-30 |
| MRR | €600-1500 | €5K-15K |
| Churn anual | <20% | <10% |
Customer acquisition¶
ICP (alto ACV, ciclo largo): - Bancos EU medianos (50-500 devs internos). - Empresas con regulación: defensa, energía, telecom, salud, gov. - Consultoras grandes con clientes regulated.
Canales:
- Conferences sector: Devoxx, EuroPython, Banca Digital, Foro de Ciberseguridad.
- Cold email a CIOs / Head of Engineering en empresas reguladas EU.
- GitLab Partner Program (si conviene).
- LinkedIn Sales Navigator con filtros: "engineering manager" + "regulated industry" + EU.
- Whitepapers / case studies publicados en blog corporativo.
Ciclo de venta esperado: 60-180 días. Necesitas paciencia + funnel CRM serio.
Riesgos específicos¶
| Riesgo | Mitigación |
|---|---|
| Cliente espera comparación 1:1 con GitHub Copilot | Tabla de feature parity en landing |
| Despliegue en air-gapped network (sin internet) | Docker image self-contained; ofreces shipping de USB |
| Cliente quiere SLA 99.99% | No vendas SLA mayor del 99.5% hasta tener infra dedicada |
| Auditoría de seguridad del cliente | Prepara documentación técnica + SOC 2 Type I lite |
| Compite con Gitea Copilot oficial si sale | Mantén diferenciación en customización + compliance |
Compliance pitch¶
- ✅ GDPR: código fuente nunca sale de tu network.
- ✅ NIS2 (EU cyber): bot reside dentro de perímetro de seguridad.
- ✅ DORA (EU finanzas): auditable, on-prem.
- ✅ SOC 2 Type I lite: docs auto-generadas.
- ✅ ISO 27001 alignment: cifrado at-rest, audit logs, role-based access.
Próximos pasos¶
- Conversa con 10 engineering managers de empresas reguladas EU (LinkedIn outreach).
- Pregunta: "¿Pueden usar GitHub Copilot? Si no, ¿qué usan?".
- Si 3+ dicen "nada, no podemos", build MVP en 5 semanas.
- Considera vender setup fee €5-15K + €299/mes para cubrir tiempo de implementación enterprise.