Обновление зависимостей и проверка уязвимостей
Гермес следит за зависимостями и уязвимостями: проверяет обновления, оценивает риск и готовит безопасные апдейты на ревью. Дыры закрываются вовремя, а не всплывают на пентесте.
Как это происходит — процесс по шагам
Схема запускается сама и идёт по кругу. Нажмите на любой шаг — чтобы остановиться и прочитать его подробнее.
Сколько это приносит — формула Q × P
Q — проверка репо/мес (атомарных единиц процесса). P — деньги на одной единице (снижение ошибок). Эффект = Q × P за месяц.
Малая · до ~50 человек
40 × 400 ₽
16 тыс ₽/мес
Средняя · ~50–500 человек
350 × 600 ₽
210 тыс ₽/мес
Крупная · 500+ человек
2 800 × 850 ₽
2.4 млн ₽/мес
Спецификация сценария (по Вигерсу)
- ID сценария
- HERMES-UC-062
- Название
- Обновление зависимостей и проверка уязвимостей
- Действующее лицо
- Инженер / DevSecOps
- Заинтересованные стороны
- Инженер — меньше ручного апдейта
- Безопасность — закрытые уязвимости
- Бизнес — снижение риска инцидента
- Предусловия
- Доступ к репозиториям и базам уязвимостей
- Настроены тесты
- Триггер
- Плановый скан или новая уязвимость в зависимости
- Основной сценарий
- 1.Гермес сканирует зависимости и сверяет с базами уязвимостей.
- 2.Оценивает критичность и затронутые компоненты.
- 3.Готовит безопасное обновление и прогоняет тесты.
- 4.Отдаёт изменение инженеру на ревью.
- 5.Ведёт журнал уязвимостей и их закрытий.
- Расширения и исключения
- 3aОбновление ломает тесты — помечается как breaking, нужен ручной разбор.
- 1aКритическая 0-day — немедленный приоритетный алерт.
- Постусловия
- Уязвимости оценены и обновления подготовлены
- Есть журнал для аудита
- Бизнес-правила
- Мерж апдейта — после ревью и зелёных тестов
- Критичность по принятой шкале
- Частота
- Регулярно + по новым уязвимостям
- Допущения
- Базы уязвимостей доступны
Операционная модель — стоимость владения за 3 года
Совокупная стоимость владения (TCO) за 36 месяцев против эффекта Q × P. Числа выше — по облачным ценам токенов OpenRouter (модель уровня сценария — DeepSeek V4 Flash), инференс учтён отдельной строкой. Инфраструктура и надзор делятся на все сценарии — здесь показана доля, относимая на этот; для одного отдельного сценария на своём сервере она была бы выше. Самообучение удешевляет токены по годам, эффект выходит на полную мощность не сразу. Лицензия Гермеса — 0 ₽ (MIT); self-hosting на своих весах меняет плату за токены на GPU и электричество. Числа — оценка для прикидки, не оферта.
Малая · до ~50 человек
TCO 3 года
96 тыс ₽
Эффект 3 года
528 тыс ₽
Чистыми
432 тыс ₽
ROI
5.5×
Окупаемость
3 мес
| Год | Затраты | Эффект | Чистыми |
|---|---|---|---|
| 1 | 45 тыс ₽ | 134 тыс ₽ | 89 тыс ₽ |
| 2 | 25 тыс ₽ | 192 тыс ₽ | 167 тыс ₽ |
| 3 | 25 тыс ₽ | 202 тыс ₽ | 176 тыс ₽ |
| Итого | 96 тыс ₽ | 528 тыс ₽ | 432 тыс ₽ |
Из чего складывается в месяц: инфраструктура 600 ₽ (доля общей установки) · инференс 2 ₽ · надзор 2 тыс ₽ (доля) · плюс внедрение 20 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.
Средняя · ~50–500 человек
TCO 3 года
289 тыс ₽
Эффект 3 года
6.9 млн ₽
Чистыми
6.6 млн ₽
ROI
24.0×
Окупаемость
1 мес
| Год | Затраты | Эффект | Чистыми |
|---|---|---|---|
| 1 | 133 тыс ₽ | 1.8 млн ₽ | 1.6 млн ₽ |
| 2 | 78 тыс ₽ | 2.5 млн ₽ | 2.4 млн ₽ |
| 3 | 78 тыс ₽ | 2.6 млн ₽ | 2.6 млн ₽ |
| Итого | 289 тыс ₽ | 6.9 млн ₽ | 6.6 млн ₽ |
Из чего складывается в месяц: инфраструктура 2 тыс ₽ (доля общей установки) · инференс 18 ₽ · надзор 5 тыс ₽ (доля) · плюс внедрение 55 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.
Крупная · 500+ человек
TCO 3 года
733 тыс ₽
Эффект 3 года
79 млн ₽
Чистыми
78 млн ₽
ROI
107.1×
Окупаемость
1 мес
| Год | Затраты | Эффект | Чистыми |
|---|---|---|---|
| 1 | 325 тыс ₽ | 20 млн ₽ | 20 млн ₽ |
| 2 | 204 тыс ₽ | 29 млн ₽ | 28 млн ₽ |
| 3 | 204 тыс ₽ | 30 млн ₽ | 30 млн ₽ |
| Итого | 733 тыс ₽ | 79 млн ₽ | 78 млн ₽ |
Из чего складывается в месяц: инфраструктура 5 тыс ₽ (доля общей установки) · инференс 148 ₽ · надзор 12 тыс ₽ (доля) · плюс внедрение 120 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.