62·ИТ и разработка·Расписание

Обновление зависимостей и проверка уязвимостей

Гермес следит за зависимостями и уязвимостями: проверяет обновления, оценивает риск и готовит безопасные апдейты на ревью. Дыры закрываются вовремя, а не всплывают на пентесте.

Как это происходит — процесс по шагам

1Скан2Оценка3Апдейт4Ревью5Учёт

Схема запускается сама и идёт по кругу. Нажмите на любой шаг — чтобы остановиться и прочитать его подробнее.

Сколько это приносит — формула Q × P

Q — проверка репо/мес (атомарных единиц процесса). P — деньги на одной единице (снижение ошибок). Эффект = Q × P за месяц.

Вывод P: P = предотвращённый инцидент безопасности × вероятность

Малая · до ~50 человек

40 × 400

16 тыс ₽/мес

Средняя · ~50–500 человек

350 × 600

210 тыс ₽/мес

Крупная · 500+ человек

2 800 × 850

2.4 млн ₽/мес

Спецификация сценария (по Вигерсу)

ID сценария
HERMES-UC-062
Название
Обновление зависимостей и проверка уязвимостей
Действующее лицо
Инженер / DevSecOps
Заинтересованные стороны
  • Инженер — меньше ручного апдейта
  • Безопасность — закрытые уязвимости
  • Бизнес — снижение риска инцидента
Предусловия
  • Доступ к репозиториям и базам уязвимостей
  • Настроены тесты
Триггер
Плановый скан или новая уязвимость в зависимости
Основной сценарий
  1. 1.Гермес сканирует зависимости и сверяет с базами уязвимостей.
  2. 2.Оценивает критичность и затронутые компоненты.
  3. 3.Готовит безопасное обновление и прогоняет тесты.
  4. 4.Отдаёт изменение инженеру на ревью.
  5. 5.Ведёт журнал уязвимостей и их закрытий.
Расширения и исключения
  • 3aОбновление ломает тесты — помечается как breaking, нужен ручной разбор.
  • 1aКритическая 0-day — немедленный приоритетный алерт.
Постусловия
  • Уязвимости оценены и обновления подготовлены
  • Есть журнал для аудита
Бизнес-правила
  • Мерж апдейта — после ревью и зелёных тестов
  • Критичность по принятой шкале
Частота
Регулярно + по новым уязвимостям
Допущения
  • Базы уязвимостей доступны

Операционная модель — стоимость владения за 3 года

Совокупная стоимость владения (TCO) за 36 месяцев против эффекта Q × P. Числа выше — по облачным ценам токенов OpenRouter (модель уровня сценария — DeepSeek V4 Flash), инференс учтён отдельной строкой. Инфраструктура и надзор делятся на все сценарии — здесь показана доля, относимая на этот; для одного отдельного сценария на своём сервере она была бы выше. Самообучение удешевляет токены по годам, эффект выходит на полную мощность не сразу. Лицензия Гермеса — 0 ₽ (MIT); self-hosting на своих весах меняет плату за токены на GPU и электричество. Числа — оценка для прикидки, не оферта.

Малая · до ~50 человек

TCO 3 года

96 тыс ₽

Эффект 3 года

528 тыс ₽

Чистыми

432 тыс ₽

ROI

5.5×

Окупаемость

3 мес

ГодЗатратыЭффектЧистыми
145 тыс ₽134 тыс ₽89 тыс ₽
225 тыс ₽192 тыс ₽167 тыс ₽
325 тыс ₽202 тыс ₽176 тыс ₽
Итого96 тыс ₽528 тыс ₽432 тыс ₽

Из чего складывается в месяц: инфраструктура 600 ₽ (доля общей установки) · инференс 2 ₽ · надзор 2 тыс ₽ (доля) · плюс внедрение 20 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.

Средняя · ~50–500 человек

TCO 3 года

289 тыс ₽

Эффект 3 года

6.9 млн ₽

Чистыми

6.6 млн ₽

ROI

24.0×

Окупаемость

1 мес

ГодЗатратыЭффектЧистыми
1133 тыс ₽1.8 млн ₽1.6 млн ₽
278 тыс ₽2.5 млн ₽2.4 млн ₽
378 тыс ₽2.6 млн ₽2.6 млн ₽
Итого289 тыс ₽6.9 млн ₽6.6 млн ₽

Из чего складывается в месяц: инфраструктура 2 тыс ₽ (доля общей установки) · инференс 18 ₽ · надзор 5 тыс ₽ (доля) · плюс внедрение 55 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.

Крупная · 500+ человек

TCO 3 года

733 тыс ₽

Эффект 3 года

79 млн ₽

Чистыми

78 млн ₽

ROI

107.1×

Окупаемость

1 мес

ГодЗатратыЭффектЧистыми
1325 тыс ₽20 млн ₽20 млн ₽
2204 тыс ₽29 млн ₽28 млн ₽
3204 тыс ₽30 млн ₽30 млн ₽
Итого733 тыс ₽79 млн ₽78 млн ₽

Из чего складывается в месяц: инфраструктура 5 тыс ₽ (доля общей установки) · инференс 148 ₽ · надзор 12 тыс ₽ (доля) · плюс внедрение 120 тыс ₽ разово · лицензия ПО 0 ₽ (MIT). Оценка.