服務內容

託管主機 + 安全修補 retainer:上線之後真正在幫客戶擋災的那條服務線

2026.05.21 · 65 次瀏覽
託管主機 + 安全修補 retainer:上線之後真正在幫客戶擋災的那條服務線

完整說明我們怎麼規劃、定價、實際營運「託管主機 + 24 小時修補」這條服務線——含應變時間軸、交付物,以及證明這條服務是賺錢的檢核點

網站、資訊管理系統、行動 App 專案最貴的一刻,從來不是建置那段。是上線三個月後的某個禮拜一——一個 CVE 落地、當初建置的團隊已經接下一個客戶、沒人知道誰該補哪一塊。下面這條「託管主機 + 安全修補 retainer」服務線,就是為了讓那個禮拜一變得無聊。


這篇不是銷售頁。是把這條服務的交付物、應變時間軸、實際營運形狀寫清楚——讓潛在客戶讀完之後,明確知道「在買什麼、不在買什麼,這條 retainer 和其他服務線(新功能、改版、大版本升級)之間的接縫在哪」。


一、誰適合這條服務


適合「網站、MIS 或 App 對業務關鍵、但還不到要請一個專職 DevOps」的組織。典型客戶:有一個產品官網加一個客戶 portal 的 B2B SaaS、有內部 MIS 與對外型錄的製造業、跑 Laravel / Shopify / WooCommerce 的電商、Laravel 後端配 Flutter 行動 App。如果你有 2 到 20 個「必須維持上線」的 surface,這條 retainer 的形狀正好。


二、每月固定包含的五項


  • 主機基礎建設。我們建置並營運 production server(Nginx + PHP-FPM + MySQL/PostgreSQL,或你的等價 stack)、staging 環境、備份目的端。雲端帳號法律上仍由你持有。
  • 每日備份 + 每月還原測試。每晚自動備份到不同區域。每月一次把備份還原到一個拋棄式 staging 環境,並驗證應用程式能乾淨啟動。「還原測試」這一項才是整條備份線存在的理由——沒被還原過的備份不是備份。
  • 安全修補。我們監看你 stack 對應的 CVE feed(你的 PHP 版本、框架版本、CMS、關鍵 Composer / npm 套件)。一旦補丁釋出,24 小時內套到 staging、跑回歸測試、48 小時內推到 production。對列入 KEV 或正在被野外利用的 CVE,整條時間軸壓縮成 24 小時。
  • Uptime 監控與 on-call。從三個地理區外部監控。On-call 工程師在當地時間 09:00–22:00 內對 P1 事件 15 分鐘內回應、夜間 60 分鐘。每季和你一起檢視 on-call ledger 並調整門檻。
  • 每月健康報告。一頁 PDF:上線率、修補紀錄、備份還原結果、資安事件(若有)、最慢三個端點、建議修法。這份報告是「retainer 確實在做它應做的事」的唯一具體證據。

三、不包含什麼(而且這是 feature)


這條 retainer 明確不包含:新功能開發、改版、大版本框架升級(Laravel 12 → 13、PHP 8.2 → 8.5)、資料庫 schema 遷移、第三方整合異動。這些另外按專案計價。為什麼這件事重要:如果這些都「含在 retainer 裡」,我們就會有動機把 retainer 範圍寫得模糊、輕鬆月份少收、難的月份吃虧。把界線畫清楚,雙方都知道什麼算 retainer 工作、什麼算 billable。


四、24 小時修補時間軸(細節版)


客戶問最多的就是這段。臨界 CVE 落地時的流程:


  1. T+0:CVE 公開,我們的監控通知 on-call 工程師。
  2. T+1 小時:確認你的 stack 是否受影響,發一段 paragraph 狀態更新給你。沒影響的話流程到這結束。
  3. T+4 小時:補丁套到 staging。自動測試套件跑完。通知你 staging 已修補。
  4. T+24 小時:staging 上做完人工回歸後,在下一個維運視窗推到 production。對毫無疑問的臨界 CVE,不等標準維運視窗直接推。
  5. T+48 小時:在你下個月的健康報告加上「這次做了什麼」紀錄——CVE 編號、受影響元件、補丁版本、部署時間戳。

五、定價模型


三級制,依「生產 surface 數量」與「上線敏感度」分。Tier 1 包含一個網站、標準上班時間應變。Tier 2 包含一個網站加一個 MIS 或 App、延長 on-call。Tier 3 包含 3–5 個 surface 的組合、7×24 on-call、含 SLA 的上線率保證。年約。提前兩個月通知解約。


六、入場流程(前 30 天)


入場是固定範圍:


  1. Day 1–7:盤點。把每個 surface、每個相依、每組憑證、每個 cron job 都寫進文件。輸出物是一份「系統地圖」,不論你後續是否續約,這份地圖都歸你。
  2. Day 8–14:備份與監控架設。第一次成功的還原測試在這週完成。
  3. Day 15–21:第一輪修補。把所有相依升到當前次要版本,並提早兩週送出第一份月健康報告,讓你先看到形狀。
  4. Day 22–30:和客戶端 IT 負責人開兩小時交接會。交付 runbook 存取權、儀表板登入、on-call 升級路徑。

七、這個月這條服務真的擋下三場


具體到 2026 年 5 月,三家 retainer 客戶的禮拜一早晨都是被這條服務線救起來的:5/14 Exchange Server CVE-2026-42897,當天晚上補完;前一週 Composer CVE-2026-45793,依賴版本回滾;5/20 Drupal CVE-2026-9082,補丁釋出當晚就排進維運視窗。這三家客戶從來不是從記者那裡聽到底層漏洞,而是從我們的一段 paragraph email 裡:「補丁已部署到你的生產環境。」這句話,最終就是這條 retainer 在賣的東西。

服務內容 返回文章列表
上一篇 「Code with Claude」倫敦場:速率上限翻倍、五個 Managed Agent 功能上線——對接案工作室真正改變的是什麼 下一篇 WebMCP 落地 Chrome 149:網站對 AI 代理人說話,不再是猜謎遊戲