什么是成本节约计算器?
您可以使用 ROI 计算器来估算通过推送保护防止泄露机密而避免的成本。这些信息可以帮助您
- 确定在组织中多大范围启用 GitHub Secret Protection。
- 比较不同团队或环境中推送保护的估计影响。
- 向利益相关者传达部署决策的时间和成本影响。
推送保护是一项付费功能,可通过 GitHub Secret Protection 使用。欲了解更多信息,请参阅 定价和启用 GitHub Secret Protection。
先决条件
- 您需要为组织生成机密风险评估。请参阅 查看您的安全风险评估报告。
- 您已有真实的数值用于
- 每个泄露机密的平均整改时间(小时)
- 开发人员平均年薪(美元)
估算推送保护的成本节约
- 在 GitHub 上,前往该组织的首页。
- 在组织名称下,点击 安全与质量 选项卡。
- 在侧边栏的“安全”下,点击 评估。
- 在横幅右上角,点击 开始使用。
- 在下拉菜单中,选择 估算推送保护节省。
- 查看不可编辑的“可防止泄漏”(P)值。如果为 0,则会显示一个基准值(如 70),用于建模目的。
- 输入或调整开发人员的平均年薪(C),单位为美元。
- 使用混合的全额年薪(工资 + 福利)。
- 保持估算的保守性,以免夸大。
- 输入或调整每个泄露机密的整改时间 (T),单位为小时。我们建议使用反映撤销、轮换、验证机密以及通知团队或客户步骤的平均整改时间。
- T = 1-1.5 小时,适用于简单轮换、最少协调
- T = 2-3 小时,考虑到分布式团队或额外检查
- T = 3-4 小时,如果您在受监管/审计的环境中工作
- 查看 投资回报率 面板的输出
- 防止的机密:检测到的可防止机密数量。
- 节省的时间:基于您的输入,通过防止这些机密而节省的总小时数。
- 使用推送保护的潜在节省:估计避免的总人工成本。
理解您的结果
接下来,审阅结果以了解其含义,并确定在组织中推广推送保护的适当范围。解读结果时请牢记以下信息。
该计算器 会
- 仅估算 被推送保护阻止的机密 的节省。
- 基于您的风险评估和提供的假设得出结果。
- 仅提供基于 人工成本避免 的估算。
- 如果当前扫描窗口未检测到机密,则提供可防止泄漏的建模基准。
该计算器 不会
- 包括任何与数据泄露或外部影响相关的成本。供参考,IBM 统计的 2024 年数据泄露平均成本为 488 万美元。
- 包括其他 GitHub Secret Protection 功能的时间节省。
- 支持除美元以外的其他货币。
故障排除
如果使用计算器时遇到问题,请使用以下表格进行故障排除。
| 议题 | 操作 |
|---|---|
| 可防止的机密 = 0 | 当未检测到可防止的机密时,计算器会显示默认基准值(如 70),用于建模目的。 要用真实数据替代基准值,请在更多仓库上启用推送保护,并让机密扫描收集更多信息。 |
| 估算节省显示为 500 万美元+ | 计算器的上限为 500 万美元。如果您的建模节省超过此阈值,界面将显示为 “$5M+”。要获取精确金额,请导出您的输入值(可防止的机密、整改时间和开发人员薪资),并在电子表格中复现公式。(防止的机密) × (整改时间) × (小时费率),其中小时费率计算方式为 薪资 ÷ 2080。 |
| 数值似乎偏低 | 检查您对整改时间和平均开发者薪酬的输入。确保已包括整改的所有步骤(如撤销、轮换、验证和通知),并且薪资反映了全额年成本。 |
| 数值似乎偏高 | 再次核对整改时间和平均薪酬的输入值,确保其真实且未夸大。剔除可能导致估算偏差的异常值。 |
延伸阅读
- 代码中机密泄漏的检测与防护 在 GitHub 的
resources仓库中