# Como calcular a economia de custos da proteção por push

Estimar o tempo de correção e os custos de mão-de-obra que você evitará evitando segredos vazados.

## O que é a calculadora de economia de custos?

Você pode usar o Calculadora de ROI para estimar os custos evitados ao impedir o vazamento de segredos com a proteção de push. Essas informações podem ajudar você a:

* Determine em que medida habilitar GitHub Secret Protection em sua organização.
* Compare o impacto estimado da proteção por push em diferentes equipes ou ambientes.
* Comunique as implicações de tempo e custo das decisões de distribuição às partes interessadas.

A proteção por push é um recurso pago que está disponível com GitHub Secret Protection. Para obter mais informações, consulte [Preços e habilitação GitHub Secret Protection](/pt/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/choosing-github-secret-protection).

## Pré-requisitos

* Você precisa ter gerado uma avaliação de risco de segredo para sua organização. Consulte [Exibindo seus relatórios de avaliação de risco de segurança](/pt/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization).
* Você tem valores realistas para:
  * Tempo médio de correção por segredo vazado (horas)
  * Salário médio anual do desenvolvedor (USD)

## Economias de custo estimadas da proteção por push

1. Em GitHub, acesse a página principal da organização.
2. No nome da sua organização, clique na **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** aba.
3. Na barra lateral, em "Security", clique em **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg> Assessments**.
4. No canto superior direito da faixa, clique em **Introdução**.
5. Na lista suspensa, selecione **Estimate push protection savings**.
6. Examine o valor não editável para "Preventable leaks" (P). Se 0, um valor de linha de base (como 70) será mostrado para fins de modelagem.
7. Insira ou ajuste a média de compensação anual do desenvolvedor (C), em USD.
   * Use a compensação anual totalmente carregada combinada (salário + benefícios).
   * Mantenha estimativas conservadoras para evitar excesso de declarações.
8. Insira ou ajuste o tempo para corrigir cada segredo vazado (T), em horas. Recomendamos usar um tempo médio de correção que reflita as etapas para revogar, girar e validar segredos, bem como notificar suas equipes ou clientes:
   * T = 1 a 1,5 hora para rotação simples, coordenação mínima
   * T = 2 a 3 horas para levar em conta uma equipe distribuída ou verificações extras
   * T = 3 a 4 horas se você trabalha em um ambiente regulamentado/auditado
9. Examine as saídas do painel **Retorno sobre o investimento**:
   * **Segredos evitados**: o número de segredos evitáveis detectados.
   * **Tempo economizado**: total de horas economizadas ao prevenir esses segredos, com base em sua entrada.
   * **Economia potencial com proteção por push**: o custo total estimado de mão de obra evitado.

<div class="ghd-alert ghd-alert-accent ghd-spotlight-accent">

Você usou Calculadora de ROI com êxito para estimar a economia de custos do uso da proteção por push em sua organização?

<a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
<span>Sim</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>Não</span></a>

</div>

## Compreensão dos resultados

Em seguida, examine os resultados para entender suas implicações e determinar o escopo apropriado para implementar a proteção por push em sua organização. Lembre-se das informações a seguir ao interpretar os resultados.

A calculadora **faz** o seguinte:

* Estima economias para **segredos bloqueados apenas pela proteção por push**.
* Baseia resultados em sua avaliação de risco e suposições que você fornece.
* Fornece apenas estimativas com base em **prevenção de custos de mão de obra**.
* Fornece uma linha de base modelada para vazamentos evitáveis se nenhum segredo tiver sido detectado na janela de verificação atual.

A calculadora **não faz** o seguinte:

* Inclui todos os custos relacionados a violações de dados ou impactos externos. Para fins informativos, o custo de uma violação de dados foi de USD 4,88 milhões em 2024, de acordo com a IBM.
* Inclua a economia de tempo de outros recursos GitHub Secret Protection.
* Dá suporte a moedas que não USD.

## Solução de problemas

Se você tiver problemas ao usar a calculadora, use a tabela a seguir para solucionar problemas.

| Problema                                                                                                             | Ação                                                                                                                                                                                                                                                                                                                                |
| -------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Segredos evitáveis = 0**                                                                                           | Quando nenhum segredo evitável é detectado, a calculadora exibe um valor de linha de base padrão (como 70) para fins de modelagem.<br> Para substituir a linha de base por dados reais, habilite a proteção por push em mais repositórios e permita que a verificação de segredo colete mais informações.                           |
| **A economia estimada mostra $5M+**                                                                                  | A calculadora está limitada a USD 5 milhões. Se as economias modeladas excederem esse limite, o valor será exibido como "$5M+" na interface do usuário. Para obter o valor preciso, exporte seus valores de entrada (segredos evitáveis, tempo para correção e salário do desenvolvedor) e replique a fórmula em uma planilha:</br> |
| `(Secrets prevented) × (Time to remediate) × (Hourly rate)` em que a taxa por hora é calculada como `Salary ÷ 2080`. |                                                                                                                                                                                                                                                                                                                                     |
| **O valor parece baixo**                                                                                             | Examine suas entradas para tempo para corrigir e compensação média do desenvolvedor. Verifique se você incluiu todas as etapas envolvidas na correção (como revogar, girar, validar e notificar) e se o salário reflete um custo anual totalmente carregado.                                                                        |
| **O valor parece alto**                                                                                              | Verifique novamente os valores de entrada para o tempo de correção e a compensação média para garantir que sejam realistas e não superestimados. Remova exceções que possam estar distorcendo a estimativa.                                                                                                                         |

## Leitura adicional

* [Detectando e prevenindo vazamento de segredos no código](https://github.com/resources/whitepapers/secret-scanning-a-key-to-your-cybersecurity-strategy) no repositório `resources` de GitHub