什么是成本节省计算器?
可使用 ROI 计算器 来估算通过推送保护防止机密泄露所避免的成本。 此信息可帮助你:
- 确定在组织中启用 GitHub Secret Protection 的范围。
- 比较不同团队或环境中推送保护的估计影响。
- 将推出决策的时间和成本影响传达给利益干系人。
推送保护为付费功能,适用于 GitHub Secret Protection。 有关详细信息,请参阅“选择 GitHub Secret Protection”。
先决条件
- 需要先为你的组织生成一份机密风险评估报告。 请参阅“查看组织的机密风险评估报告”。
- 你有关于以下方面的实际值:
- 每次机密泄露的平均修正时间(小时)
- 开发人员年均薪资(美元)
估计推送保护的成本节省
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ Security”****。
-
在边栏的“Security”下,单击“ Assessments”****。
-
在横幅右上角,单击“Get started”****。
-
在下拉列表中,选择“Estimate push protection savings”****。
-
查看“Preventable leaks”(P) 的不可编辑值。 如果为 0,为便于建模,系统将显示一个基准值(例如 70)。
-
输入或调整开发人员年均薪酬 (C),以美元为单位。
- 采用包含薪资与福利的混合全负载年均薪酬。
- 保持估算的保守性,以避免夸大事实。
-
输入或调整每次机密泄露的修正时间 (T),以小时为单位。 建议你采用一个平均修正时间,该时间应体现机密的撤销、轮换、验证流程以及向团队或客户发送通知的步骤:
- 对于简单轮换且协调需求较少的场景,建议 T = 1-1.5 小时
- 如果涉及分布式团队或需额外检查流程,建议 T = 2-3 小时
- 如果你处于受监管/需审核的环境,建议 T = 3-4 小时
-
从“Return on investment”面板中查看输出结果****:
- Secrets prevented****:检测到的可阻止机密数。
- Time saved****:根据输入,通过阻止这些机密所节省的总小时数。
- Potential savings with push protection****:预计避免的总人力成本。
了解结果
接下来,请查看结果以理解其背后的意义,并确定在组织中推广推送保护的合适范围。 解释结果时,请记住以下信息。
计算器可执行的操作****:
- 仅针对通过推送保护阻止的机密估算其成本节省额****。
- 结果基于你的风险评估以及你所提供的假设条件得出。
- 仅基于人力成本节约额提供估算结果****。
- 如果在当前扫描时段内未检测到任何机密,请为可阻止的泄露提供一个模型化基准值。
计算器不可执行的操作****:
- 包括与数据泄露或外部影响相关的任何成本。 出于信息参考目的,根据 IBM 的数据,2024 年数据泄露事件的平均成本为 488 万美元。
- 包括来自其他 GitHub Secret Protection 功能的时间节省。
- 支持美元以外的货币。
故障排除
如果使用计算器时遇到问题,请使用下表进行故障排除。
| 问题 | 操作 |
|---|---|
| 可阻止的机密 = 0 | 如果未检测到可阻止的机密,计算器将显示一个默认基线值(例如 70)以便于建模。 若要用真实数据替换基准值,需在更多仓库中启用推送保护,并让机密扫描收集更多信息。 |
| 预估节省额显示为 500 万美元以上 | 计算器的上限为 500 万美元。 如果建模节省额超过此阈值,则该值将在 UI 中显示为“$5M+”。 要获取精确金额,请导出你的输入值(可预防的机密数、修正时间和开发人员薪资),并在电子表格中复制该公式:(Secrets prevented) × (Time to remediate) × (Hourly rate),其中时薪按 Salary ÷ 2080 计算。 |
| 此值似乎偏低 | 查看“修正时间”和“开发人员平均薪酬”这两项输入值。 请确保已涵盖修正中涉及的所有步骤(例如撤销、轮换、验证及通知),且薪资数据需体现全负载年度成本。 |
| 此值似乎比较高 | 请再次核对“修正时间”与“平均薪酬”这两项输入值,确保其符合实际情况且未被高估。 删除任何可能导致估算结果失真的异常值。 |
其他阅读材料
- GitHub 的
resources仓库中的检测并阻止代码中的机密泄露