# 计算推送保护的成本节省

通过防止泄露的机密来估算要避免的修正时间和劳动力成本。

## 什么是成本节省计算器？

您可以使用 ROI 计算器 来估算通过推送保护防止机密泄露所避免的成本。 此信息可帮助你：

* 确定在组织中启用 GitHub Secret Protection 的频率。
* 比较不同团队或环境中推送保护的估计影响。
* 将推出决策的时间和成本影响传达给利益干系人。

推送保护是一项随 GitHub Secret Protection 提供的付费功能。 有关详细信息，请参阅“[定价与激活 GitHub Secret Protection](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/choosing-github-secret-protection)”。

## 先决条件

* 需要先为你的组织生成一份机密风险评估报告。 请参阅“[查看安全风险评估报告](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-leaked-secrets/viewing-the-secret-risk-assessment-report-for-your-organization)”。
* 你在以下方面有具体数值：
  * 每次机密泄露的平均修正时间（小时）
  * 开发人员年均薪资（美元）

## 估计推送保护的成本节省

1. 在 GitHub 上，导航到组织的主页面。
2. 在组织名称下，单击 **<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-shield" aria-label="shield" role="img"><path d="M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z"></path></svg> Security and quality** 该选项卡。
3. 在边栏的“Security”下，单击“<svg version="1.1" width="16" height="16" viewBox="0 0 16 16" class="octicon octicon-key" aria-label="key" role="img"><path d="M10.5 0a5.499 5.499 0 1 1-1.288 10.848l-.932.932a.749.749 0 0 1-.53.22H7v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22H5v.75a.749.749 0 0 1-.22.53l-.5.5a.749.749 0 0 1-.53.22h-2A1.75 1.75 0 0 1 0 14.25v-2c0-.199.079-.389.22-.53l4.932-4.932A5.5 5.5 0 0 1 10.5 0Zm-4 5.5c-.001.431.069.86.205 1.269a.75.75 0 0 1-.181.768L1.5 12.56v1.69c0 .138.112.25.25.25h1.69l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l.06-.06v-1.19a.75.75 0 0 1 .75-.75h1.19l1.023-1.025a.75.75 0 0 1 .768-.18A4 4 0 1 0 6.5 5.5ZM11 6a1 1 0 1 1 0-2 1 1 0 0 1 0 2Z"></path></svg> Assessments”\*\*\*\*。
4. 在横幅右上角，单击“Get started”\*\*\*\*。
5. 在下拉列表中，选择“Estimate push protection savings”\*\*\*\*。
6. 查看“Preventable leaks”(P) 的不可编辑值。 如果为 0，为便于建模，系统将显示一个基准值（例如 70）。
7. 输入或调整开发人员年均薪酬 (C)，以美元为单位。
   * 使用包含薪资和福利的综合全负荷年薪。
   * 保持估算的保守性，以避免夸大事实。
8. 输入或调整每次机密泄露的修正时间 (T)，以小时为单位。 建议你采用一个平均修正时间，该时间应体现机密的撤销、轮换、验证流程以及向团队或客户发送通知的步骤：
   * 对于简单轮换且协调需求较少的场景，建议 T = 1-1.5 小时
   * 如果涉及分布式团队或需额外检查流程，建议 T = 2-3 小时
   * 如果你在受监管或需审核的环境中工作，T = 3-4 小时。
9. 从“Return on investment”面板中查看输出结果\*\*\*\*：
   * **已阻止密钥**：检测到的可阻止密钥数。
   * **节省时间**：根据您的输入，通过阻止这些敏感信息所节省的总小时数。
   * **推送保护的潜在节省**：避免的总估计人工成本。

<div class="ghd-alert ghd-alert-accent ghd-spotlight-accent">

您是否已成功使用 ROI 计算器 来估算在组织中使用推送保护可节省的成本？

<a href="https://docs.github.io/success-test/yes.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline">
<span>是</span></a><a href="https://docs.github.io/success-test/no.html" target="_blank" class="btn btn-outline mt-3 mr-3 no-underline"><span>否</span></a>

</div>

## 理解您的结果

接下来，请查看结果以理解其背后的意义，并确定在组织中推广推送保护的合适范围。 解释结果时，请记住以下信息。

计算器功能\*\*\*\*：

* 仅针对通过推送保护阻止的机密估算其成本节省额\*\*\*\*。
* 结果基于你的风险评估以及你所提供的假设条件得出。
* 仅基于人力成本节约额提供估算结果\*\*\*\*。
* 如果在当前扫描时段内未检测到任何机密，请为可阻止的泄露提供一个模型化基准值。

计算器不可执行的操作\*\*\*\*：

* 包括与数据泄露或外部影响相关的任何成本。 出于信息参考目的，根据 IBM 的数据，2024 年数据泄露事件的平均成本为 488 万美元。
* 包括来自其他 GitHub Secret Protection 功能的时间节省。
* 支持美元以外的货币。

## 故障排除

如果使用计算器时遇到问题，请使用下表进行故障排除。

| 问题                                                                                    | Action                                                                                                      |
| ------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------- |
| **可预防的秘密 = 0**                                                                        | 如果未检测到可阻止的机密，计算器将显示一个默认基线值（例如 70）以便于建模。<br> 若要用真实数据替换基准值，需在更多仓库中启用推送保护，并让机密扫描收集更多信息。                        |
| **预估节省额显示为 500 万美元以上**                                                                | 计算器的上限为 500 万美元。 如果建模节省额超过此阈值，则该值将在 UI 中显示为“$5M+”。 要获取精确金额，请导出你的输入值（可预防的机密数、修正时间和开发人员薪资），并在电子表格中复制该公式：</br> |
| `(Secrets prevented) × (Time to remediate) × (Hourly rate)`，其中时薪按 `Salary ÷ 2080` 计算。 |                                                                                                             |
| **此值似乎偏低**                                                                            | 查看“修正时间”和“开发人员平均薪酬”这两项输入值。 请确保已涵盖修正中涉及的所有步骤（例如撤销、轮换、验证及通知），且薪资数据需体现全负载年度成本。                                 |
| **此值似乎比较高**                                                                           | 请再次核对“修正时间”与“平均薪酬”这两项输入值，确保其符合实际情况且未被高估。 删除任何可能导致估算结果失真的异常值。                                                |

## 延伸阅读

* [检测和防止代码中的机密泄漏](https://github.com/resources/whitepapers/secret-scanning-a-key-to-your-cybersecurity-strategy) 在 GitHub 的 `resources` 存储库中