Ок Берм самый страшный сценарий.
Если все слетит, компания поенсет убытки, так?
Допустим, все сервисы перестанут оказываться.
Пусть, это будет убыток за день в размере 100 тыс руб
+ восстановительные работы потребуют доплаты за сверхурочные работы, пусть 20 тыс.
Репутацию не будем здесь считать для простоты.
Итого, неустранение уязвимости может обойтись в 120 тыс.
Итого, имеем 120 тыс/день и 100 тыс/год
выигрывает задача с уязвимостью, она будет решена первой, если к тому времени не будет другой задачи с высоким приоритетом - можно будет допилисть и NMS )

Нет, есть ещё такое понятие как удовлетворение от проделанного созидательного труда, его  деньгами не измеришь

Максим, невозможно всего учесть, можно снизить такскаать риски да подстелить солому, ломается всё. Железки, да и сами вендоры уходят в еол/еос. Это только на кладбище все ровненько и по линеечке, и то не всегда.

есть еще репутационные проекты, которые деньгами измерить невозможно
например повесить новогоднюю картинку на гуглевском поиске... хорошо что их менеджеры не считают трудозатраты на внедрение в деньгах

Ок Берм самый страшный сценарий.
Если все слетит, компания поенсет убытки, так?
Допустим, все сервисы перестанут оказываться.
Пусть, это будет убыток за день в размере 100 тыс руб
+ восстановительные работы потребуют доплаты за сверхурочные работы, пусть 20 тыс.
Репутацию не будем здесь считать для простоты.
Итого, неустранение уязвимости может обойтись в 120 тыс.
Итого, имеем 120 тыс/день и 100 тыс/год
выигрывает задача с уязвимостью, она будет решена первой, если к тому времени не будет другой задачи с высоким приоритетом - можно будет допилисть и NMS )

Ну почему же, все считают, уверяю. Ни один счет Америкос не подпишет без обоснования

Ок Берм самый страшный сценарий.
Если все слетит, компания поенсет убытки, так?
Допустим, все сервисы перестанут оказываться.
Пусть, это будет убыток за день в размере 100 тыс руб
+ восстановительные работы потребуют доплаты за сверхурочные работы, пусть 20 тыс.
Репутацию не будем здесь считать для простоты.
Итого, неустранение уязвимости может обойтись в 120 тыс.
Итого, имеем 120 тыс/день и 100 тыс/год
выигрывает задача с уязвимостью, она будет решена первой, если к тому времени не будет другой задачи с высоким приоритетом - можно будет допилисть и NMS )

И как?
Я пробовал, джитер сильно плавал, танкисты задрали. ;(

наверное баян
50 часов потребовалось чтобы локализовать и устранить причину массовых сбоев на сети очень крупного оператора связи CenturyLink в США.
На протяжении всего времени были недоступны сервисы компании в 32 штатах, включая сервис доступа DSL, облачную инфраструктуру и национальную систему экстренной помощи 911.
Причиной оказалась сетевая карта в одном из серверов, которая безостановочно генерировала некорректные сетевые пакеты ... по всему общему L2-домену управления всех 15ти ЦОД.
https://twitter.com/GossiTheDog/status/1079144491238469638?s=09

в наноге уже обсудили - что данная отписка скоре всего вранье или крайне хреновый дизайн

И срал я на потребление лишних 200-500 ватт

и что в реальности было?

еще не выяснили, возможно никто и не скажет правду

а что за наноге?

Максим, невозможно всего учесть, можно снизить такскаать риски да подстелить солому, ломается всё. Железки, да и сами вендоры уходят в еол/еос. Это только на кладбище все ровненько и по линеечке, и то не всегда.

если все слетит - то компания просто закроется, ибо у нее отзовут лицензию
потенциальные уязвимости появляются постоянно, и программист скорее всего всегда постоянно этим делом занят
а если не занят - он внедряет задачи руководства, и делает рутинные, потому как если он не апнет, например, php сегодня, то через месяц когда он будет в EOL, и там не закроют уязвимость - он в режиме аврала будет думать как решить проблему

Я надеюсь, мне уалось донести, что то, что делается внутри конторы, имеет цель и цену, и цель должна превышать затраты. Останется задачам только приоритеты расставить.
Часто оценку не проводят и все делается интуитивно, по ощущениям