Sobre a cobrança do GitHub Advanced Security

Saiba mais sobre os modelos de licenciamento de produtos do Advanced Security e como o uso de licenças do GitHub Secret Protection, GitHub Code Security, and GitHub Advanced Security é calculado.

Quem pode usar esse recurso?

Requer o GitHub Team ou o GitHub Enterprise

Neste artigo

O GitHub disponibiliza um subconjunto de recursos do Advanced Security, gratuitamente, para todos os repositórios públicos no GitHub.com. Além disso, você pode obter insights sobre sua exposição a segredos vazados com uma secret risk assessment gratuita. Confira Exibindo o relatório de avaliação de risco de segredo de sua organização.

Você precisa pagar para usar os recursos do Advanced Security em repositórios privados. Se você alterar a visibilidade de um repositório público para privado e não pagar pelo Advanced Security, os recursos do Advanced Security serão desabilitados para esse repositório.

Tipos de licença de produtos do Advanced Security

O licenciamento de produtos do Advanced Security é flexível, facilitando a escolha de opções que atendem às suas necessidades comerciais. Você pode comprar licenças por volume/assinatura para qualquer combinação dos seguintes produtos ou usar a cobrança limitada para pagar pelo seu uso:

  • GitHub Secret Protection, que inclui recursos que ajudam você a detectar e evitar vazamentos de segredos, como a secret scanning e a proteção de push.
  • GitHub Code Security, que inclui recursos que ajudam você a encontrar e corrigir vulnerabilidades, como code scanning, recursos premium do Dependabot e a revisão de dependência.
  • O GitHub Advanced Security, que inclui todos os recursos na GitHub Secret Protection e na GitHub Code Security.

Por exemplo, você pode começar usando a GitHub Secret Protection em todos os repositórios e fazer um piloto da GitHub Code Security em repositórios de alto risco. Você compra ou para somente pelos produtos de que precisa e expande conforme vê os benefícios à segurança de seu código.

Para obter mais informações, consulte o resumo de recursos e informações de preços e Sobre a Segurança Avançada do GitHub.

Modelos de cobrança de produtos do Advanced Security

Cada committer ativo para pelo menos um repositório com um produto do Advanced Security habilitado usa uma licença. Um autor de commit será considerado ativo se um dos commits dele tiver sido enviado por push para o repositório nos últimos 90 dias, independentemente de quando ele foi originalmente criado.

Há duas maneiras diferentes de pagar pelas licenças.

  • Cobrança limitada introduzida a partir de junho de 2024

    • Os usuários podem habilitar o GitHub Secret Protection or GitHub Code Security de modo independente.
    • Cobrança mensal pelo número de licenças usadas por committers ativos.
    • Nenhum limite de licenças predefinido.
    • Sem estado excedente, você paga apenas pelo que usa.
    • O uso do GitHub Enterprise Server de produtos do Advanced Security é cobrado por meio da conta empresarial vinculada no GitHub Enterprise Cloud para sistemas híbridos.

  • Cobrança por volume/assinatura disponível somente para planos GitHub Enterprise

    • Os usuários precisam pedir que a equipe de vendas configure a cobrança.
    • Compre um número específico de licenças do GitHub Secret Protection, GitHub Code Security, or GitHub Advanced Security que duram um período definido, normalmente pelo menos um ano.
    • Se o uso do Advanced Security por committers ativos exceder o número de licenças adquiridas, você precisará comprar licenças adicionais para cobrir esse uso excedente.

Gerenciando committers e custos

As opções disponíveis para gerenciar committers e custos dependem do e da plataforma de cobrança que você usa.

Cobrança limitada

Seu uso do Advanced Security é cobrado por committer e habilitado por repositório. Se você remover um committer de uma organização ou empresa, ou se desabilitar todos os recursos do GitHub Secret Protection or GitHub Code Security para um repositório, os committers continuarão sendo cobrados até o final do ciclo de cobrança mensal atual. A cobrança proporcional se aplica apenas quando um committer começa após o início do mês. Para obter exemplos de como os committers são acompanhados e cobrados, consulte Noções básicas sobre o uso.

Você pode controlar o uso e os custos com centros de custo, políticas, orçamentos e alertas. Confira Preventing overspending e Como impor políticas para segurança e análise de código na empresa .

Note

Quando você habilita o GitHub Secret Protection or GitHub Code Security, há um atraso de até duas horas antes que a alteração seja mostrada no dados de uso na guia "Billing & Licensing".

Se sua empresa usa o Advanced Security tanto para o GitHub Enterprise Server quanto para o GitHub Enterprise Cloud, é possível garantir que os usuários não consumam múltiplas licenças desnecessariamente ao sincronizar o uso de licenças entre os ambientes. Advanced Security está incluído na sincronização de licenças no GitHub Enterprise Server versão 3.12 e versões posteriores. Confira Sincronizando o uso da licença entre o GitHub Enterprise Server e o GitHub Enterprise Cloud.

Cobrança de assinatura/volume

Cada licença especifica um número máximo de contas que podem usar o Advanced Security. Cada committer ativo para, pelo menos, um repositório com o produto habilitado consome uma licença. Quando você remove um usuário de sua conta do empresa, a licença do usuário é liberada dentro de 24 horas.

Se você exceder o limite de licenças, os recursos controlados pelo licenciamento do Advanced Security continuarão funcionando em todos os repositórios em que já estão habilitados. No entanto, você não poderá habilitar o GitHub Secret Protection or GitHub Code Security em nenhum repositório adicional. Novos repositórios criados em organizações em que GitHub Secret Protection or GitHub Code Security estão configurados para serem habilitados automaticamente serão criados com os produtos desabilitados.

Assim que você disponibilizar licenças, seja desabilitando o GitHub Secret Protection or GitHub Code Security em alguns repositórios ou aumentando o tamanho da licença, as opções para habilitar o GitHub Secret Protection and GitHub Code Security voltarão a funcionar normalmente.

É possível aplicar políticas que permitam ou não o uso de Advanced Security por parte de organizações pertencentes à conta corporativa. Confira Como impor políticas para segurança e análise de código na empresa.

Committers ativos e únicos

O número de committers ativos e únicos que usam o GitHub Secret Protection or GitHub Code Security controla o uso da licença.

Você pode ver os committers ativos e únicos de uma organização na página de configurações globais da Advanced Security. Em "Secret Protection repositories" e "Code Security repositories", detalhes de resumo e no nível do repositório são relatados. Confira Configurações de segurança globais para sua organização.

  • Committers ativos é o número de committers que contribuíram para pelo menos um repositório de propriedade da organização ou um repositório de propriedade do usuário e que usam uma licença em sua empresa. Isso significa que eles também são membros da organização, colaboradores externos ou têm um convite pendente para ingressar em uma organização de sua empresa e não são um bot do GitHub App. Para obter informações sobre as diferenças entre as contas de bot e de máquina, confira Diferenças entre os aplicativos GitHub e os aplicativos OAuth.
  • Committers únicos é o número de committers ativos que contribuíram apenas em um repositório, ou em repositórios em uma organização. Este número mostra a quantidade de licenças que você pode liberar desabilitando o GitHub Secret Protection or GitHub Code Security para esse repositório ou organização.

Se não houver committers únicos em um repositório ou organização, todos os committers ativos também contribuem para outros repositórios ou organizações que usam licenças do Advanced Security. Desabilitar um produto para esse repositório ou organização não liberaria licenças nem diminuiria seus custos de uso.

Plataformas de cobrança

Em junho de 2024, o GitHub introduziu uma nova plataforma de cobrança para fornecer mais insights e controle sobre o uso de produtos pagos. Todos os empresa estão sendo migrados para a nova plataforma de cobrança.

Nova plataforma de cobrança

  1. No canto superior direito do GitHub, selecione sua foto de perfil.
  2. Dependendo do ambiente, selecione Sua empresa ou Suas empresas e escolha a empresa que deseja ver.

Se sua empresa usar a nova plataforma de cobrança, haverá uma guia Billing & Licensing; consulte Managing your billing.

Plataforma de cobrança original

Cada empresa na plataforma de cobrança original é contatado pelo GitHub antes de sua migração para a nova plataforma de cobrança. Se você ainda não foi contatado, provavelmente usa a plataforma de cobrança original; consulte Managing your billing.

Reconhecimento do uso

Os usuários podem contribuir para vários repositórios ou várias organizações. O uso é medido em todo o empresa para garantir que cada integrante utilize uma licença, independentemente da quantidade de repositórios ou organizações para as quais o usuário contribui.

Quando você habilita ou desabilita o GitHub Secret Protection or GitHub Code Security para um ou mais repositórios, o GitHub exibe uma visão geral de como isso alterará seu uso.

  • Cobrança limitada, mostrando um aumento ou uma redução no número de committers ativos usando licenças.
  • Cobrança de assinatura/volume, mostrando o número de licenças usadas ou liberadas por committers ativos únicos.

O exemplo de linha do tempo a seguir demonstra como a contagem de committers ativos para produtos do Advanced Security pode mudar ao longo do tempo em uma empresa. Por cada mês, você encontrará eventos, junto com a contagem de committers resultante e o efeito sobre a cobrança baseada no uso.

Note

Um usuário é sinalizado como ativo quando é efetuado push dos commits dele para qualquer branch de um repositório, mesmo que os commits tenham sido criados há mais de 90 dias.

DataEventos durante o mêsTotal de committersEfeito na cobrança baseada no uso
15 de abrilUm membro de sua empresa habilita o GitHub Secret Protection and GitHub Code Security para o repositório X. O repositório X tem 50 committers nos últimos 90 dias.50A cobrança começa para 50 committers.
1º de maioO desenvolvedor A sai da equipe que trabalha no repositório X. As contribuições do desenvolvedor A continuam contando por 90 dias.50Nenuma alteração imediata. O desenvolvedor A continua a ser cobrado até que suas contribuições fiquem inativas por 90 dias.
1 de agostoAs contribuições do desenvolvedor A não são consideradas na contagem das licenças obrigatórias porque já se passaram 90 dias.50 - 1 =
49		O desenvolvedor A é removido da contagem de cobrança, reduzindo para 49 o número dos committers que são cobrados.
15 de agostoUm membro de sua empresa habilita o GitHub Secret Protection and GitHub Code Security para um segundo repositório, o repositório X. Nos últimos 90 dias, um total de 20 desenvolvedores contribuíram para esse repositório. Desses 20 desenvolvedores, dez também trabalharam recentemente no repositório X e não exigem licenças adicionais.49 + 10 =
59		A cobrança aumenta para 59 committers, representando os 10 colaboradores únicos adicionais.
16 de agostoUm membro de sua empresa desabilita o GitHub Secret Protection and GitHub Code Security para o repositório X. Dos 49 desenvolvedores que estavam trabalhando no repositório X, 10 também trabalham no repositório Y, que tem um total de 20 desenvolvedores contribuindo nos últimos 90 dias.49 - 29 =
20		A cobrança do repositório X continua até o final do ciclo de cobrança mensal, mas a contagem geral de cobrança diminui para 20 committers para o próximo ciclo.

Leitura adicional