Was ist der Kostenersparnisrechner?
Du kannst den ROI-Rechner verwenden, um die eingesparten Kosten zu schätzen, indem du kompromittierte Geheimnisse mit Pushschutz verhinderst. Diese Informationen können Sie bei Folgendem unterstützen:
- Bestimme, in welchem Umfang GitHub Secret Protection in deiner Organisation aktiviert werden soll.
- Vergleiche die geschätzten Auswirkungen des Pushschutzes in verschiedenen Teams oder Umgebungen.
- Kommuniziere Zeit- und Kostenauswirkungen von Rolloutentscheidungen an Projektbeteiligte.
Pushschutz ist eine kostenpflichtige Funktion, die mit GitHub Secret Protection verfügbar ist. Weitere Informationen finden Sie unter Preise und Aktivierung GitHub Secret Protection.
Voraussetzungen
- Du musst eine Risikobewertung von Geheimnissen für deine Organisation generiert haben. Weitere Informationen findest du unter Ansehen Ihrer Berichte zur Sicherheitsrisikobewertung.
- Du hast realistische Werte für:
- Durchschnittliche Wiederherstellungszeit pro kompromittiertem Geheimnis (Stunden)
- Durchschnittliches jährliches Entwicklergehalt (USD)
Schätzen von Kosteneinsparungen durch Pushschutz
- Navigieren Sie auf GitHub zur Hauptseite der Organisation.
- Klicken Sie unter dem Namen Ihrer Organisation auf die Security and quality Registerkarte.
- Klicke in der Randleiste unter „Security“ auf Assessments.
- Klicke in der oberen rechten Ecke des Banners auf Get started.
- Wähle in der Dropdownliste Estimate push protection savings aus.
- Überprüfen Sie den nicht bearbeitbaren Wert für „Vermeidbare Lecks“ (P). Bei 0 wird ein Baselinewert (z. B. 70) zu Modellierungszwecken angezeigt.
- Gib das durchschnittliche jährliche Entwicklergehalt (C) in USD ein, oder passe es an.
- Verwende die gemischte vollständig ausgelastete jährliche Vergütung (Gehalt + Leistungen).
- Schätze konservativ, um eine Übertreibung zu vermeiden.
- Gib die Zeit in Stunden ein, um jedes kompromittierte Geheimnis (T) zu korrigieren, oder passe sie an. Es wird empfohlen, eine durchschnittliche Wiederherstellungszeit zu verwenden, die die Schritte zum Widerrufen, Rotieren und Validieren von Geheimnissen sowie die Benachrichtigung der Teams oder Kunden widerspiegelt:
- T = 1–1,5 Stunden für einfache Rotation, minimale Koordination
- T = 2–3 Stunden, um ein verteiltes Team einzubeziehen oder zusätzliche Prüfungen durchzuführen
- T = 3–4 Stunden, wenn du in einer regulierten/überwachten Umgebung arbeitest
- Überprüfe die Ergebnisse aus dem Return on Investment Panel:
-
**Verhinderte Secrets**: Die Anzahl der erkannten vermeidbaren Secrets. - Time saved: Gesamte Stundenanzahl, die durch das Verhindern dieser Geheimnisse basierend auf deinen Eingaben eingespart wurde.
-
**Einsparpotenzial mit Push-Schutz**: Die geschätzten Gesamtarbeitskosten, die vermieden werden.
-
Hast du den ROI-Rechner erfolgreich verwendet, um die Kosteneinsparungen durch die Verwendung des Pushschutzes in deiner Organisation zu schätzen?
<a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
<span>Ja</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>Nein</span></a>
Verstehen der Ergebnisse
Überprüfe als Nächstes die Ergebnisse, um deren Auswirkungen zu verstehen und den geeigneten Umfang für die Einführung des Pushschutzes in deiner Organisation zu ermitteln. Berücksichtige die folgenden Informationen, während du die Ergebnisse interpretierst.
Was der Rechner kann:
- Einsparungen für Geheimnisse einschätzen, die rein durch Pushschutz blockiert wurden
- Ergebnisse basierend auf deiner Risikobewertung und den bereitgestellten Annahmen liefern
- Schätzungen nur basierend auf Arbeitskostenvermeidung bereitstellen.
- Wenn im aktuellen Scanfenster keine Geheimnisse erkannt wurden, eine modellierte Baseline für verhinderbare Leaks bereitstellen.
Was der Rechner nicht kann:
- Kosten im Zusammenhang mit Datenschutzverletzungen oder externen Auswirkungen einbeziehen. Zu Informationszwecken: Die Kosten einer Datenschutzverletzung betrugen laut IBM im Jahr 2024 durchschnittlich 4,88 Mio. USD.
- Zeiteinsparungen durch andere GitHub Secret Protection-Features einbeziehen
- Andere Währungen als USD unterstützen
Problembehandlung
Wenn beim Verwenden des Rechners Probleme auftreten, verwende die folgende Tabelle zur Problembehandlung.
| Thema | Action |
|---|---|
| Verhinderbare Geheimnisse = 0 | Wenn keine verhinderbaren Geheimnisse erkannt werden, zeigt der Rechner einen Standardbasiswert (z. B. 70) für Modellierungszwecke an. Um die Baseline durch echte Daten zu ersetzen, aktiviere den Pushschutz für weitere Repositorys, und lasse die Geheimnisüberprüfung zu, um weitere Informationen zu sammeln. |
| Geschätzte Einsparungen von „$5M+“ | Der Rechner ist auf 5 Mio. USD begrenzt. Wenn die modellierten Einsparungen diesen Schwellenwert überschreiten, wird der Wert auf der Benutzeroberfläche als „$5M+“ angezeigt. Um den genauen Betrag zu erhalten, exportiere die Eingabewerte (verhinderbare Geheimnisse, Zeit zum Korrigieren und Entwicklergehalt), und repliziere die Formel in einer Kalkulationstabelle: |
`(Secrets prevented) × (Time to remediate) × (Hourly rate)`, wobei der Stundensatz als `Salary ÷ 2080` berechnet wird. |
| Wert erscheint niedrig | Überprüfe die Eingaben für die Behebungsdauer und das durchschnittliche Entwicklergehalt. Stellen Sie sicher, dass Sie alle Schritte für die Abhilfe einbezogen haben (z. B. Widerrufen, Rotieren, Überprüfen und Benachrichtigen), und dass das Gehalt die vollständigen jährlichen Kosten widerspiegelt. | | Wert erscheint hoch | Bitte überprüfen Sie Ihre Eingabewerte für die Maßnahmen zur Behebung und die durchschnittliche Vergütung, um sicherzugehen, dass diese realistisch und nicht übertrieben sind. Entferne alle Ausreißer, die die Schätzung möglicherweise verzerren. |
Weiterführende Lektüre
- Erkennen und Verhindern von Geheimnisoffenlegungen im Code im
resources-Repository von GitHub