Qu’est-ce que le calculateur d’épargne ?
Vous pouvez utiliser le ROI calculator pour estimer les coûts évités en empêchant la fuite de secrets grâce à la protection d’envoi (push). Ces informations peuvent vous aider à :
- Déterminez dans quelle mesure activer GitHub Secret Protection dans votre organisation.
- Comparez l’impact estimé de la protection d’envoi (push) dans différentes équipes ou différents environnements.
- Communiquez aux parties prenantes les implications en termes de temps et de coûts des décisions de déploiement.
La protection d’envoi (push) est une fonctionnalité payante disponible avec GitHub Secret Protection. Pour plus d’informations, consultez « Choisir GitHub Secret Protection ».
Prérequis
- Vous devez avoir généré une évaluation des risques liés aux secrets pour votre organisation. Consultez Affichage du rapport d’évaluation des risques liés aux secrets pour votre organisation.
- Vous disposez de valeurs réalistes pour :
- Temps moyen de correction par secret divulgué (heures)
- Salaire annuel moyen des développeurs (USD)
Estimation des économies réalisées grâce à la protection d’envoi (push)
-
Sur GitHub, accédez à la page principale de l’organisation.
-
Sous le nom de votre organisation, cliquez sur Sécurité.
-
Dans la barre latérale, sous « Sécurité », cliquez sur Évaluations.
-
Dans le coin supérieur droit de la bannière, cliquez sur Démarrage.
-
Dans le menu déroulant, sélectionnez Estimer les économies réalisées grâce à la protection d’envoi (push).
-
Passez en revue la valeur non modifiable pour « Fuites évitables » (P). Si la valeur est 0, une valeur de référence (par exemple 70) est affichée à des fins de modélisation.
-
Entrez ou ajustez la rémunération annuelle moyenne des développeurs (C), en USD.
- Utilisez la rémunération annuelle complète et moyenne (salaire + avantages).
- Faites des estimations raisonnables pour éviter toute surévaluation.
-
Entrez ou ajustez le temps nécessaire pour corriger chaque fuite de secrets (T), en heures. Nous vous recommandons d’utiliser un délai moyen de correction qui reflète les étapes de révocation, de rotation et de validation des secrets, ainsi que la notification de vos équipes ou de vos clients :
- T = 1 à 1,5 heure pour une rotation simple, coordination minimale
- T = 2 à 3 heures pour tenir compte d’une équipe répartie ou de vérifications supplémentaires
- T = 3 à 4 heures si vous travaillez dans un environnement réglementé / audité
-
Passez en revue les sorties du panneau Retour sur investissement :
- Secrets évités : nombre de secrets évitables détectés.
- Temps économisé : total d’heures économisées en empêchant ces secrets, basé sur vos données saisies.
- Économies potentielles grâce à la protection d’envoi (push) : estimation du coût total de main-d’œuvre évité.
Avez-vous utilisé avec succès le ROI calculator pour estimer les économies réalisées grâce à l’utilisation de la protection d’envoi (push) dans votre organisation ?
Comprendre votre facture
Passez ensuite en revue les résultats afin de comprendre leurs implications et de déterminer l’étendue appropriée pour le déploiement de la protection d’envoi (push) dans votre organisation. Gardez les informations suivantes à l’esprit lorsque vous interprétez vos résultats.
Le calculateur :
- Estime les économies pour les secrets bloqués par la protection d’envoi (push) uniquement.
- Base les résultats sur votre évaluation des risques et les hypothèses que vous fournissez.
- Fournit des estimations basées uniquement sur l’évitement des coûts de main‑d’œuvre.
- Fournit une valeur de référence modélisée pour les fuites évitables si aucun secret n’a été détecté lors de la fenêtre d’analyse actuelle.
Le calculateur :
- N’inclut pas les coûts liés aux violations de données ou aux impacts externes. À titre informatif, le coût moyen d’une violation de données s’élevait à 4,88 millions de dollars en 2024 selon IBM.
- N’inclut pas les gains de temps réalisés grâce à d’autres fonctionnalités GitHub Secret Protection.
- Ne prend pas en charge les devises autres que le dollar américain.
Dépannage
Si vous rencontrez des problèmes lors de l’utilisation du calculateur, consultez le tableau suivant pour les résoudre.
| Problème | Action |
|---|---|
| Secrets évitables = 0 | Lorsqu’aucun secret évitable n’est détecté, le calculateur affiche une valeur de référence par défaut (par exemple 70) à des fins de modélisation. Pour remplacer la valeur de référence par des données réelles, activez la protection d’envoi (push) sur davantage de référentiels et autorisez l’analyse de secrets à collecter davantage d’informations. |
| Économies estimées supérieures à 5 M$ | Le calculateur est plafonné à 5 M$. Si vos économies modélisées dépassent ce seuil, la valeur s’affichera sous la forme « 5 millions de dollars ou plus » dans l’interface utilisateur. Pour obtenir le montant précis, exportez vos valeurs saisies (secrets évitables, temps nécessaire à la correction et salaire des développeurs) et reproduisez la formule dans un tableur :(Secrets prevented) × (Time to remediate) × (Hourly rate) où le taux horaire est calculé comme Salary ÷ 2080. |
| Valeur semble faible | Passez en revue vos saisies concernant le temps nécessaire à la correction et la rémunération moyenne des développeurs. Assurez-vous d’avoir inclus toutes les étapes nécessaires à la correction (telles que la révocation, la rotation, la validation et la notification) et que le salaire reflète le coût annuel total. |
| Valeur semble élevée | Vérifiez à nouveau les valeurs saisies pour le temps nécessaire à la correction et la rémunération moyenne afin de vous assurer qu’elles sont réalistes et ne sont pas surestimées. Supprimez toute valeur hors norme qui pourrait fausser l’estimation. |
Pour aller plus loin
- Détection et prévention des fuites de secrets dans le code dans le référentiel
resourcesde GitHub