Was ist der Kostenersparnisrechner?
Sie können mit ROI-Rechner die vermiedenen Kosten abschätzen, die entstehen würden, wenn das Offenlegen von Geheimnissen nicht durch Pushschutz verhindert würde. Diese Informationen können Sie bei Folgendem unterstützen:
- Bestimmen Sie, in welchem Umfang GitHub Secret Protection in Ihrer Organisation aktiviert werden soll.
- Vergleiche die geschätzten Auswirkungen des Pushschutzes in verschiedenen Teams oder Umgebungen.
- Kommuniziere Zeit- und Kostenauswirkungen von Rolloutentscheidungen an Projektbeteiligte.
Push-Schutz ist eine kostenpflichtige Funktion, die mit GitHub Secret Protection verfügbar ist. Weitere Informationen findest du unter Preise und Aktivierung GitHub Secret Protection.
Voraussetzungen
- Du musst eine Risikobewertung von Geheimnissen für deine Organisation generiert haben. Siehe Ansehen Ihrer Berichte zur Sicherheitsrisikobewertung.
- Du hast realistische Werte für:
- Durchschnittliche Wiederherstellungszeit pro kompromittiertem Geheimnis (Stunden)
- Durchschnittliches jährliches Entwicklergehalt (USD)
Schätzen von Kosteneinsparungen durch Pushschutz
- Navigieren Sie auf GitHub zur Hauptseite der Organisation.
- Klicken Sie unter dem Namen Ihrer Organisation auf die Security Registerkarte.
- Klicke in der Randleiste unter „Security“ auf Assessments.
- Klicke in der oberen rechten Ecke des Banners auf Get started.
- Wählen Sie im Dropdown-Menü Estimate push protection savings aus.
- Überprüfen Sie den nicht bearbeitbaren Wert für „Vermeidbare Lecks“ (P). Bei 0 wird ein Baselinewert (z. B. 70) zu Modellierungszwecken angezeigt.
- Gib das durchschnittliche jährliche Entwicklergehalt (C) in USD ein, oder passe es an.
- Verwende die gemischte vollständig ausgelastete jährliche Vergütung (Gehalt + Leistungen).
- Schätze konservativ, um eine Übertreibung zu vermeiden.
- Gib die Zeit in Stunden ein, um jedes kompromittierte Geheimnis (T) zu korrigieren, oder passe sie an. Es wird empfohlen, eine durchschnittliche Behebungszeit zu verwenden, die die Schritte zum Widerrufen, Erneuern und Validieren von Geheimnissen sowie das Informieren der Teams oder Kunden widerspiegelt.
- T = 1–1,5 Stunden für einfache Rotation, minimale Koordination
- T = 2–3 Stunden, um ein verteiltes Team einzubeziehen oder zusätzliche Prüfungen durchzuführen
- T = 3–4 Stunden, wenn du in einer regulierten/überwachten Umgebung arbeitest
- Überprüfe die Ergebnisse aus dem Return on Investment Panel:
- Secrets prevented: Die Anzahl der erkannten verhinderbaren Geheimnisse
- Time saved: Gesamte Stundenanzahl, die durch das Verhindern dieser Geheimnisse basierend auf deinen Eingaben eingespart wurde.
- Potential savings with push protection: Schätzung des insgesamt eingesparten Arbeitsaufwands
Haben Sie mit dem ROI-Rechner die Kosteneinsparungen durch die Verwendung von Pushschutz in Ihrer Organisation erfolgreich abgeschätzt?
JaNeinVerstehen der Ergebnisse
Überprüfe als Nächstes die Ergebnisse, um deren Auswirkungen zu verstehen und den geeigneten Umfang für die Einführung des Pushschutzes in deiner Organisation zu ermitteln. Berücksichtige die folgenden Informationen, während du die Ergebnisse interpretierst.
Was der Rechner kann:
- Einsparungen für Geheimnisse einschätzen, die rein durch Pushschutz blockiert wurden
- Ergebnisse basierend auf deiner Risikobewertung und den bereitgestellten Annahmen liefern
- Schätzungen nur basierend auf Arbeitskostenvermeidung bereitstellen.
- Wenn im aktuellen Scanfenster keine Geheimnisse erkannt wurden, eine modellierte Baseline für verhinderbare Leaks bereitstellen.
Was der Rechner nicht kann:
- Kosten im Zusammenhang mit Datenschutzverletzungen oder externen Auswirkungen einbeziehen. Zu Informationszwecken: Die Kosten einer Datenschutzverletzung betrugen laut IBM im Jahr 2024 durchschnittlich 4,88 Mio. USD.
- Fügen Sie die Zeitersparnis aus anderen GitHub Secret Protection Funktionen ein.
- Andere Währungen als USD unterstützen
Troubleshooting
Wenn beim Verwenden des Rechners Probleme auftreten, verwende die folgende Tabelle zur Problembehandlung.
| Problem | Action |
|---|---|
| Verhinderbare Geheimnisse = 0 | Wenn keine verhinderbaren Geheimnisse erkannt werden, zeigt der Rechner einen Standardbasiswert (z. B. 70) für Modellierungszwecke an. Um die Baseline durch echte Daten zu ersetzen, aktiviere den Pushschutz für weitere Repositorys, und lasse die Geheimnisüberprüfung zu, um weitere Informationen zu sammeln. |
| Geschätzte Einsparungen von „$5M+“ | Der Rechner ist auf 5 Mio. USD begrenzt. Wenn die modellierten Einsparungen diesen Schwellenwert überschreiten, wird der Wert auf der Benutzeroberfläche als „$5M+“ angezeigt. Um den genauen Betrag zu erhalten, exportiere die Eingabewerte (verhinderbare Geheimnisse, Zeit zum Korrigieren und Entwicklergehalt), und repliziere die Formel in einer Kalkulationstabelle: |
(Secrets prevented) × (Time to remediate) × (Hourly rate), wobei der Stundensatz als Salary ÷ 2080 berechnet wird. | |
| Wert erscheint niedrig | Überprüfe die Eingaben für die Behebungsdauer und das durchschnittliche Entwicklergehalt. Stellen Sie sicher, dass Sie alle Schritte für die Abhilfe einbezogen haben (z. B. Widerrufen, Rotieren, Überprüfen und Benachrichtigen), und dass das Gehalt die vollständigen jährlichen Kosten widerspiegelt. |
| Wert erscheint hoch | Bitte überprüfen Sie Ihre Eingabewerte für die Maßnahmen zur Behebung und die durchschnittliche Vergütung, um sicherzugehen, dass diese realistisch und nicht übertrieben sind. Entferne alle Ausreißer, die die Schätzung möglicherweise verzerren. |
Weiterführende Lektüre
- Erkennen und Verhindern geheimer Lecks im Code-RepositoryGitHub
resources