计算推送保护的成本节省

什么是成本节省计算器？

可使用 ROI calculator 来估算通过推送保护防止机密泄露所避免的成本。 此信息可帮助你：

• 确定在组织中启用 GitHub Secret Protection 的范围。
• 比较不同团队或环境中推送保护的估计影响。
• 将推出决策的时间和成本影响传达给利益干系人。

推送保护为付费功能，适用于 GitHub Secret Protection。 有关详细信息，请参阅“选择 GitHub Secret Protection”。

先决条件

• 需要先为你的组织生成一份机密风险评估报告。 请参阅“查看组织的机密风险评估报告”。
• 你有关于以下方面的实际值：
  • 每次机密泄露的平均修正时间（小时）
  • 开发人员年均薪资（美元）

估计推送保护的成本节省

1. 在 GitHub 上，导航到组织的主页面。

2. 在组织名称下，单击“ 安全性”。

   

3. 在边栏的“Security”下，单击“ Assessments”****。

4. 在横幅右上角，单击“Get started”****。

5. 在下拉列表中，选择“Estimate push protection savings”****。

6. 查看“Preventable leaks”(P) 的不可编辑值。 如果为 0，为便于建模，系统将显示一个基准值（例如 70）。

7. 输入或调整开发人员年均薪酬 (C)，以美元为单位。

   • 采用包含薪资与福利的混合全负载年均薪酬。
   • 保持估算的保守性，以避免夸大事实。

8. 输入或调整每次机密泄露的修正时间 (T)，以小时为单位。 建议你采用一个平均修正时间，该时间应体现机密的撤销、轮换、验证流程以及向团队或客户发送通知的步骤：

   • 对于简单轮换且协调需求较少的场景，建议 T = 1-1.5 小时
   • 如果涉及分布式团队或需额外检查流程，建议 T = 2-3 小时
   • 如果你处于受监管/需审核的环境，建议 T = 3-4 小时

9. 从“Return on investment”面板中查看输出结果****：

   • Secrets prevented****：检测到的可阻止机密数。
   • Time saved****：根据输入，通过阻止这些机密所节省的总小时数。
   • Potential savings with push protection****：预计避免的总人力成本。

了解结果

接下来，请查看结果以理解其背后的意义，并确定在组织中推广推送保护的合适范围。 解释结果时，请记住以下信息。

计算器可执行的操作****：

• 仅针对通过推送保护阻止的机密估算其成本节省额****。
• 结果基于你的风险评估以及你所提供的假设条件得出。
• 仅基于人力成本节约额提供估算结果****。
• 如果在当前扫描时段内未检测到任何机密，请为可阻止的泄露提供一个模型化基准值。

计算器不可执行的操作****：

• 包括与数据泄露或外部影响相关的任何成本。 出于信息参考目的，根据 IBM 的数据，2024 年数据泄露事件的平均成本为 488 万美元。
• 包括来自其他 GitHub Secret Protection 功能的时间节省。
• 支持美元以外的货币。

故障排除

如果使用计算器时遇到问题，请使用下表进行故障排除。

问题	操作
可阻止的机密 = 0	如果未检测到可阻止的机密，计算器将显示一个默认基线值（例如 70）以便于建模。 若要用真实数据替换基准值，需在更多仓库中启用推送保护，并让机密扫描收集更多信息。
预估节省额显示为 500 万美元以上	计算器的上限为 500 万美元。 如果建模节省额超过此阈值，则该值将在 UI 中显示为“$5M+”。 要获取精确金额，请导出你的输入值（可预防的机密数、修正时间和开发人员薪资），并在电子表格中复制该公式： (Secrets prevented) × (Time to remediate) × (Hourly rate)，其中时薪按 Salary ÷ 2080 计算。
此值似乎偏低	查看“修正时间”和“开发人员平均薪酬”这两项输入值。 请确保已涵盖修正中涉及的所有步骤（例如撤销、轮换、验证及通知），且薪资数据需体现全负载年度成本。
此值似乎比较高	请再次核对“修正时间”与“平均薪酬”这两项输入值，确保其符合实际情况且未被高估。 删除任何可能导致估算结果失真的异常值。

其他阅读材料

• GitHub 的 resources 仓库中的检测并阻止代码中的机密泄露