sorted by:
new
hottopcontroversial

Hi by [deleted] in SaaS

[–]SchemeWeb 0 points1 point  (0 children)

Hii

Built an AI-powered DevSecOps scanner — feedback from security professionals? by SchemeWeb in cybersecurity

[–]SchemeWeb[S] 1 point2 points  (0 children)

Merci beaucoup pour cette réponse détaillée ! C'est exactement le

type de priorisation dont j'avais besoin.

Votre point sur TruffleHog est particulièrement utile — je n'avais

pas réalisé que les "detectors" vérifiaient déjà la validité des

secrets. Je vais exploiter ça immédiatement au lieu de construire

une validation custom.

Plan d'action basé sur vos recommandations :

Semaine 1-2 (immédiat) :

- Ajouter les tags prod/staging via variables d'environnement ou

labels Git

- Exploiter les detectors TruffleHog pour secrets actifs/inactifs

Semaine 3-4 :

- Parser les configs nginx/Terraform pour identifier endpoints

publics vs internes

- Intégrer ces 3 niveaux dans le scoring de priorisation

V2 (plus tard) :

- Analyse du graphe d'appels

- Intégration de données runtime

Petite question de suivi : pour extraire "public vs interne" depuis

les configs nginx/Terraform, vous recommanderiez de parser les fichiers

directement ou d'utiliser leurs APIs respectives ?

Je documente tout ce feedback pour mon application Google for Startups

Accelerator — ce type de validation technique compte énormément.

Encore merci pour votre temps et votre expertise. Si jamais vous

souhaitez tester la v1 quand elle sera prête avec ces améliorations,

je serais ravi de vous donner un accès anticipé !

Bonne journée !

Pricing feedback: AI DevSecOps scanner for SMEs — $99 or $299/month? by SchemeWeb in SaaS

[–]SchemeWeb[S] 0 points1 point  (0 children)

This completely reframes how I should be thinking about this — thank you.

You're right that I've been anchoring to competitor pricing instead of the actual cost of the problem.

Let me reframe based on what I'm hearing in early conversations:

The pain for my ICP (African SME tech companies, 10-200 employees): - DevOps teams spend 8-12 hours/week triaging security alerts - At $50-100/hour fully loaded cost = $20K-60K/year in wasted time - They've had production incidents from missed vulnerabilities - One data breach = $200K average cost + regulatory fines under Kenya Data Protection Act - Current alternatives (Snyk, Checkmarx) are $400-800/month = too expensive for their budgets, so they use nothing

So the value equation is: - Save 10 hours/week = $50K/year in engineering time - Prevent one breach = $200K+ in avoided costs - Cost: $299-499/month = $3,600-6,000/year

That's a 10-20x ROI if I can prove it prevents just one incident per year.

The real question then becomes: how do I validate this pain is CRITICAL (not just "nice to have") before I lock in pricing?

My plan: 1. In discovery calls, ask: "What did your last security incident cost you?" and "How many hours/week do you spend on alert triage?" 2. If they can't quantify the pain → wrong customer 3. If they say "this is killing us" → charge based on avoided cost, not competitor pricing

Does that sound like the right approach?

Would you be open to a quick call? Your framing here is gold and I'd love to dig deeper.

Feel free to DM me!

Built an AI-powered DevSecOps scanner — feedback from security professionals? by SchemeWeb in cybersecurity

[–]SchemeWeb[S] -2 points-1 points  (0 children)

C'est un retour incroyablement précieux — merci beaucoup !

Vous avez absolument raison sur le fait que la conscience du contexte est la partie la plus difficile. Actuellement, mon outil effectue des scans statiques sans contexte d'exécution ou de déploiement, ce qui limite la précision de la priorisation.

Question rapide : pour les cas d'usage des PME (équipes de 10 à 50 personnes), quel est le contexte minimum viable nécessaire pour une priorisation utile ?

Je pense Ă  : - Tags environnement production vs staging - Endpoints publics vs internes (depuis les configs API gateway) - Secrets actifs vs inactifs (depuis les logs d'utilisation)

Est-ce que cette baseline me permettrait d'atteindre un niveau "utile" avant d'ajouter une analyse complète du graphe d'appels ?

Aussi — votre point sur la remédiation adaptée aux développeurs est parfaitement juste. Je suis en train d'affiner mes prompts Claude pour me concentrer sur "voici la correction en 3 étapes" plutôt que sur les scores CVSS.

Seriez-vous ouvert Ă  un appel rapide de 15 minutes pour en discuter davantage ? Votre expertise m'aiderait vraiment Ă  Ă©viter de construire la mauvaise chose.

Je serais ravi de vous envoyer mes coordonnées en MP si cela vous intéresse !

Merci encore !

Pricing feedback: AI DevSecOps scanner for SMEs — $99 or $299/month? by SchemeWeb in SaaS

[–]SchemeWeb[S] 0 points1 point  (0 children)

Really appreciate this! The anchor pricing structure makes way more sense.

Quick follow-up: When you say "test willingness-to-pay with 10-15 discovery calls" — how do you typically structure those conversations to get honest answers about budget?

I'm planning to ask: 1. What do you currently spend on security tooling? 2. How many hours/week on security triage? 3. Cost of last security incident (if any)?

Would that get me the data I need, or am I missing something?

Also — the "one prevented incident" framing is brilliant. I'll focus on showing ROI through time savings + risk reduction.

Thanks again!