Berechnen der Kosteneinsparungen durch Pushschutz

Erfahre, wie du den ROI calculator verwendest, um die Wartungszeit und die Arbeitskosten zu schätzen, die eingespart werden, indem du kompromittierte Geheimnisse verhinderst.

Wer kann dieses Feature verwenden?

Organization owners and security managers

The calculator is available in organizations on GitHub Team, GitHub Enterprise Cloud, and GitHub Enterprise Server (For GitHub Enterprise Server, from version 3.20 only).

In diesem Artikel

Was ist der Kostenersparnisrechner?

Du kannst den ROI calculator verwenden, um die eingesparten Kosten zu schätzen, indem du kompromittierte Geheimnisse mit Pushschutz verhinderst. Diese Informationen können Sie bei Folgendem unterstützen:

  • Bestimme, in welchem Umfang GitHub Secret Protection in deiner Organisation aktiviert werden soll.
  • Vergleiche die geschätzten Auswirkungen des Pushschutzes in verschiedenen Teams oder Umgebungen.
  • Kommuniziere Zeit- und Kostenauswirkungen von Rolloutentscheidungen an Projektbeteiligte.

Pushschutz ist ein kostenpflichtiges Feature, das durch GitHub Secret Protection verfügbar ist. Weitere Informationen finden Sie unter Auswahl von GitHub Secret Protection.

Voraussetzungen

  • Du musst eine Risikobewertung von Geheimnissen für deine Organisation generiert haben. Weitere Informationen findest du unter Anzeigen der Risikobewertung von Geheimnissen für deine Organisation.
  • Du hast realistische Werte für:
    • Durchschnittliche Wiederherstellungszeit pro kompromittiertem Geheimnis (Stunden)
    • Durchschnittliches jährliches Entwicklergehalt (USD)

Schätzen von Kosteneinsparungen durch Pushschutz

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Security“ auf Assessments.

  4. Klicke in der oberen rechten Ecke des Banners auf Get started.

  5. Wähle in der Dropdownliste Estimate push protection savings aus.

  6. Überprüfe den nicht bearbeitbaren Wert auf „Vermeidbare Leaks“ (P). Bei 0 wird ein Baselinewert (z. B. 70) zu Modellierungszwecken angezeigt.

  7. Gib das durchschnittliche jährliche Entwicklergehalt (C) in USD ein, oder passe es an.

    • Verwende die Vollkosten des Jahresgehalts (Gehalt + Leistungen).
    • Schätze konservativ, um eine Übertreibung zu vermeiden.

  8. Gib die Zeit in Stunden ein, um jedes kompromittierte Geheimnis (T) zu korrigieren, oder passe sie an. Es wird empfohlen, eine durchschnittliche Wiederherstellungszeit zu verwenden, die die Schritte zum Widerrufen, Rotieren und Validieren von Geheimnissen sowie die Benachrichtigung der Teams oder Kunden widerspiegelt:

    • T = 1–1,5 Stunden für einfache Rotation, minimale Koordination
    • T = 2–3 Stunden, um ein verteiltes Team einzubeziehen oder zusätzliche Prüfungen durchzuführen
    • T = 3–4 Stunden, wenn du in einer regulierten/überwachten Umgebung arbeitest

  9. Überprüfe die Ausgaben aus dem Bereich Return on Investment:

    • Secrets prevented: Die Anzahl der erkannten verhinderbaren Geheimnisse
    • Time saved: Gesamtanzahl der Stunden, die durch Verhindern dieser Geheimnisleaks basierend auf deinen Eingaben eingespart wurden
    • Potential savings with push protection: Schätzung des insgesamt eingesparten Arbeitsaufwands

Hast du den ROI calculator erfolgreich verwendet, um die Kosteneinsparungen durch die Verwendung des Pushschutzes in deiner Organisation zu schätzen?

Ja Nein

Verstehen der Ergebnisse

Überprüfe als Nächstes die Ergebnisse, um deren Auswirkungen zu verstehen und den geeigneten Umfang für die Einführung des Pushschutzes in deiner Organisation zu ermitteln. Berücksichtige die folgenden Informationen, während du die Ergebnisse interpretierst.

Was der Rechner kann:

  • Einsparungen für Geheimnisse einschätzen, die rein durch Pushschutz blockiert wurden
  • Ergebnisse basierend auf deiner Risikobewertung und den bereitgestellten Annahmen liefern
  • Schätzungen rein basierend auf Arbeitskostenvermeidung liefern
  • Modellierte Baseline für verhinderbare Leaks bereitstellen, wenn im aktuellen Überprüfungsfenster keine Geheimnisse erkannt wurden

Was der Rechner nicht kann:

  • Kosten im Zusammenhang mit Datenschutzverletzungen oder externen Auswirkungen einbeziehen. Zu Informationszwecken: Die Kosten einer Datenschutzverletzung betrugen laut IBM im Jahr 2024 durchschnittlich 4,88 Mio. USD.
  • Zeiteinsparungen durch andere GitHub Secret Protection-Features einbeziehen
  • Andere Währungen als USD unterstützen

Problembehandlung

Wenn beim Verwenden des Rechners Probleme auftreten, verwende die folgende Tabelle zur Problembehandlung.

AbgangAktion
Verhinderbare Geheimnisse = 0Wenn keine verhinderbaren Geheimnisse erkannt werden, zeigt der Rechner einen Standardbasiswert (z. B. 70) für Modellierungszwecke an.
Um die Baseline durch echte Daten zu ersetzen, aktiviere den Pushschutz für weitere Repositorys, und lasse die Geheimnisüberprüfung zu, um weitere Informationen zu sammeln.
Geschätzte Einsparungen von „$5M+“Der Rechner ist auf 5 Mio. USD begrenzt. Wenn die modellierten Einsparungen diesen Schwellenwert überschreiten, wird der Wert auf der Benutzeroberfläche als „$5M+“ angezeigt. Um den genauen Betrag zu erhalten, exportiere die Eingabewerte (verhinderbare Geheimnisse, Zeit zum Korrigieren und Entwicklergehalt), und repliziere die Formel in einer Kalkulationstabelle:
(Secrets prevented) × (Time to remediate) × (Hourly rate), wobei der Stundensatz als Salary ÷ 2080 berechnet wird.
Wert erscheint niedrigÜberprüfe die Eingaben für die Behebungsdauer und das durchschnittliche Entwicklergehalt. Stelle sicher, dass du alle Schritte für die Wiederherstellung einbezogen hast (z. B. Widerrufen, Rotieren, Überprüfen und Benachrichtigen), und dass das Gehalt den jährlichen Vollkosten entspricht.
Wert erscheint hochÜberprüfe die Eingaben für die Behebungsdauer und das durchschnittliche Gehalt, um sicherzugehen, dass diese realistisch und nicht übermäßig hoch sind. Entferne alle Ausreißer, die die Schätzung möglicherweise verzerren.

Weitere Informationen