🎯 Забронировать 20-мин Discovery Бесплатная встреча →
❓ Frequently Asked Questions

FAQ: безопасность и закупки

Ответы на частые вопросы от служб безопасности, разработки и закупок

Отвечаем на частые вопросы

Ключевые моменты для служб безопасности и руководителей разработки

Запуск за 1 день

  • Пилот без интеграций: Docker Compose, один домен
  • SSO (SAML/OIDC) — опционально
  • CI/CD регрессия — добавляется модулем позже
⏱️

Для занятых разработчиков

  • Микро-лабы по 10–15 минут
  • ≤ 2 часа в месяц на человека
  • Лабы только под ваши повторяющиеся CWE

AI с контролем качества

  • AI-генерация — только черновик
  • Каждая lab проходит ручную валидацию
  • Автотесты при каждом изменении
🤝 Human-in-the-loop
? Код и инциденты уходят во внешние AI-сервисы?

Нет. По умолчанию всё разворачивается on-prem/VPC. Обработка — внутри вашего периметра.

? Кто владеет материалами лабораторных и тестами?

Вы. Модули bug2lab, сценарии bug2regress и портал остаются у вас в полном объёме.

? AI-модель обучается на наших данных. Куда они уходят?

Короткий ответ: никуда. Все данные остаются внутри вашей инфраструктуры.

Важно: Мы не дообучаем LLM на вашем коде. AI-коуч использует RAG (Retrieval-Augmented Generation) по вашим данным (отчёты/метаданные) и генерирует персональные модули и проверки. Код и артефакты не покидают периметр.

Как это работает:

  • AI-модель обрабатывает ваши отчёты (CSV, JSON, HTML, текстовые логи пентестов) локально — внутри вашего периметра (on-prem или VPC).
  • Никакие данные не передаются во внешние сервисы (OpenAI, Azure OpenAI и др.).
  • Модель не обучается в классическом смысле — она работает в режиме inference (генерация контента) на основе ваших входных данных через RAG.

Что остаётся у вас:

  • Все артефакты: обучающие модули, лабораторные, регресс-тесты, логи выполнения.
  • Образовательный портал со всем контентом — полностью ваша собственность.
  • Исходные данные (отчёты об уязвимостях, код) никогда не покидают вашу инфраструктуру.
? Как это встраивается в наш CI/CD?

Готовые CI-джобы под GitLab CI / GitHub Actions / Jenkins / TeamCity:

  • fast_check — на PR (минуты, не тормозит разработку)
  • zap_baseline / zap_active — в nightly-билде (полный DAST на стейдж)

Возврат non-zero exit code блокирует релиз. Артефакты (JSON, HTML, скриншоты) доступны в CI.

? Нужно ли открывать доступ в интернет?

Нет, можем работать полностью автономно. Загрузка моделей — из локального репозитория/образа.

? Какая минимальная конфигурация инфраструктуры?

Prod-минимум (требование):

  • GPU: ≥24 GB VRAM — RTX 4090 / NVIDIA L4 / A10
  • Модель: ≈30B (4-бит), on-prem

Dev/POC (допускается):

  • GPU: ≥16 GB VRAM — RTX 4070 Ti Super (ограниченный режим)
  • ⚠️ 1 поток, укороченный контекст, выше задержка

Почему так?

Для локальной ≈30B coder-LLM (4-бит) нужны длинный контекст и минимум 1–2 параллельных задания без оффлоада → это стабильно даёт 24 GB VRAM+. На 16 GB модель работает, но с ограничениями: для авторинга/теста — ок, для enterprise-прода — нет.

Можно запустить на 16 GB? Да, в POC-режиме (1 поток, короткий контекст). Для прод-использования и обещанного качества мы требуем ≥24 GB VRAM.

? Юридическое оформление?

NDA/DPA, перечень данных, ответственность сторон, SLA на сопровождение — по вашему шаблону или нашему.

Когда Bug2Lab НЕ подходит
  • Нет повторяющихся инцидентов (всё хорошо) — вам не нужен AI-коуч
  • Нужен готовый универсальный курс, а не персонализация — берите OWASP Academy
  • Менее 5 разработчиков и один MVP — слишком рано
  • Команда не готова интегрировать регресс-тесты в CI/CD — смысл теряется

Остались вопросы?

Запишитесь на 20-минутную встречу, обсудим ваш кейс и ответим на все вопросы

Забронировать встречу →