Mit Forschern kommunizieren
Wie Sie Nachrichtenthreads nutzen, E-Mail-Vorlagen anpassen, Slack-Benachrichtigungen konfigurieren und Eskalationen handhaben.
Warum das zählt
Forscher beurteilen Programme stärker nach Geschwindigkeit und Klarheit der Kommunikation als nach der Höhe der Prämien. Ein Programm, das Meldungen zeitnah bestätigt und transparente Statusupdates liefert, gewinnt Vertrauen — und Vertrauen führt zu qualitativ hochwertigeren Einreichungen. Zentralisierte Nachrichtenthreads halten jede Kommunikation für SOC-2-Nachweise nachprüfbar, damit keine Meldung im E-Mail-Wirrwarr untergeht.
Nachrichtenthreads
Jede Meldung hat einen eigenen Nachrichtenthread. Hier findet die gesamte Kommunikation zwischen Ihrem Team und dem Forscher statt — keine E-Mails über Nebenkanäle oder Slack-DMs, die untergehen könnten.
Jede Nachricht hat einen von zwei Sichtbarkeitsmodi:
| Modus | Sichtbar für | Anwendungsfall |
|---|---|---|
| Extern | Mitarbeiter und Forscher | Reproduktionsschritte erfragen, Statusupdates teilen, Fixes koordinieren |
| Intern | Nur Mitarbeiter | Engineering-Notizen, Sichtungs-Diskussion, Schweregrad-Debatte |
Aktivieren Sie den Intern-Schalter vor dem Senden, um Notizen von der Forscheransicht fernzuhalten. Interne Nachrichten erscheinen mit gelbem Hintergrund und einem “Intern”-Badge im Thread, damit Ihr Team sie auf einen Blick unterscheiden kann.
Nachrichten unterstützen Markdown-Formatierung — Fettdruck, Listen, Code-Blöcke und Links werden korrekt dargestellt. Alle Nachrichten erhalten einen Zeitstempel und werden dem Absender zugeordnet. Sobald Sie eine Nachricht gesendet haben, lässt sie sich weder bearbeiten noch löschen. Diese Unveränderlichkeit ist beabsichtigt: Sie bewahrt den Audit-Trail, den SOC-2-Prüfer erwarten.
Eine Nachricht senden
- Öffnen Sie eine Meldung über das Sichtungs-Board
- Navigieren Sie zum Tab Nachrichten
- Verfassen Sie Ihre Nachricht im Textfeld
- Aktivieren Sie Intern, falls es eine reine Mitarbeiter-Notiz ist
- Klicken Sie auf Senden
Externe Nachrichten lösen eine E-Mail an den Forscher aus, die einen Magic Link zurück zu seinem Portal enthält. Der Forscher kann über das Portal antworten, und seine Antwort erscheint in Echtzeit im selben Thread.
Statusübergänge — etwa das Verschieben einer Meldung zu Needs Clarification oder Validated — können automatisch eine vorlagenbasierte Nachricht an den Forscher senden. Konfigurieren Sie diese Vorlagen unter E-Mail-Vorlagen, um zu steuern, was Forscher in jeder Phase sehen.
E-Mail-Vorlagen
Navigieren Sie zu VDP > E-Mail-Vorlagen, um die Nachrichten anzupassen, die Ihr Programm automatisch versendet. Kit verwendet eine dreistufige Vorlagen-Hierarchie:
- Systemstandards — Integrierte Vorlagen, die mit jedem Programm ausgeliefert werden. Schreibgeschützt.
- Konto-Überschreibungen — Ihre angepassten Versionen, die für alle Programme in Ihrem Konto gelten.
- Programm-Überschreibungen — Vorlagen, die auf ein bestimmtes Programm beschränkt sind (zukünftig).
Die spezifischste Vorlage gewinnt. Wenn Sie eine Konto-Überschreibung für report_acknowledged erstellen, ersetzt sie den Systemstandard für jedes Programm in Ihrem Konto.
Vorlagen verwenden Liquid-Syntax ({{ variable_name }}). Klicken Sie auf Vorschau, um zu sehen, wie eine Vorlage mit Beispieldaten dargestellt wird, bevor Sie speichern.
Vorlagentypen
Kit liefert 11 E-Mail-Vorlagen, die jeweils automatisch durch ein bestimmtes Ereignis ausgelöst werden:
| Vorlage | Auslöser |
|---|---|
report_acknowledged |
Wird automatisch gesendet, wenn ein Forscher eine Meldung einreicht |
clarification_requested |
Wenn der Meldungsstatus zu Needs Clarification wechselt |
report_validated |
Wenn der Meldungsstatus zu Validated wechselt |
report_resolved |
Wenn der Meldungsstatus zu Resolved wechselt |
fix_verification_requested |
Wenn ein erneuter Test vor dem Abschluss erforderlich ist |
report_dismissed |
Wenn eine Meldung aus einem beliebigen Grund abgelehnt wird |
bounty_approved |
Wenn ein Mitarbeiter einen Prämienbetrag genehmigt |
payout_sent |
Wenn eine Auszahlung als abgeschlossen markiert wird |
escalation |
Wenn eine Meldung mit Schweregrad Critical oder Super Critical gesichtet wird |
appeal_received |
Wenn ein Forscher einen Einspruch gegen eine Ablehnung einreicht |
magic_link |
Portal-Login-Link, der an Forscher gesendet wird |
Verfügbare Liquid-Variablen
Verwenden Sie diese Variablen in Ihren Vorlagen-Betreffzeilen und -Texten:
| Variable | Beschreibung |
|---|---|
{{ researcher_name }} |
Anzeigename oder Handle des Forschers |
{{ report_id }} |
Präfixierte Meldungs-ID (z. B. rpt_abc123) |
{{ report_title }} |
Titel der Schwachstellenmeldung |
{{ program_name }} |
Name Ihres VDP-Programms |
{{ severity }} |
Bewerteter Schweregrad (z. B. High, Critical) |
{{ bounty_amount }} |
Genehmigte Prämie in formatierter Währung (z. B. $500.00) |
{{ portal_link }} |
Magic-Link-URL zum Forscherportal |
{{ sla_hours }} |
Konfigurierte SLA-Stunden für diesen Schweregrad |
{{ dismissal_reason }} |
Grundcode der Ablehnung (z. B. Out of Scope, Duplicate) |
Zum Beispiel könnte eine angepasste report_acknowledged-Vorlage so aussehen:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
E-Mail-Branding
Alle an Forscher gerichteten E-Mails werden automatisch mit dem Branding Ihres Kontos versehen. Dies schafft Vertrauen bei den Meldern, da die E-Mails zum Erscheinungsbild Ihres Sicherheitsportals passen.
Was mit Branding versehen wird
| Element | Funktionsweise |
|---|---|
| Absendername | E-Mails kommen von Ihrem Programmnamen (z. B. “Acme VDP”) statt vom Plattformnamen |
| Logo | Ihr Konto-Logo erscheint in der E-Mail-Kopfzeile |
| Akzentfarbe | CTA-Schaltflächen verwenden die Primärfarbe Ihrer Marke |
| Fußzeile | Zeigt Ihren Programmnamen neben einem kleinen “Gesendet via Kit”-Hinweis |
Konfiguration
Das E-Mail-Branding wird von Ihren kontoweiten Erscheinungsbild-Einstellungen abgeleitet. Navigieren Sie zu Kontoeinstellungen > Erscheinungsbild, um Ihr Logo und Ihre Primärfarbe zu konfigurieren. Dasselbe Branding gilt für Ihr Karriereportal, Ihr Sicherheitsportal und nun auch für alle Benachrichtigungs-E-Mails an Forscher.
Eine Branding-Konfiguration pro Vorlage ist nicht erforderlich. Sobald Sie Ihr Konto-Branding eingerichtet haben, verwenden es alle 11 Forscher-E-Mail-Typen automatisch.
Wenn kein Logo hochgeladen wurde, zeigen E-Mails Ihren Programmnamen als Text an. Wenn überhaupt kein Branding konfiguriert ist, verwenden E-Mails das Standard-Styling der Plattform.
Slack-Benachrichtigungen
Kit sendet Slack-Benachrichtigungen für wichtige VDP-Ereignisse, damit Ihr Team informiert bleibt, ohne ständig das Dashboard prüfen zu müssen.
Einrichtung
- Navigieren Sie zu Kontoeinstellungen > Integrationen > Slack und verbinden Sie Ihren Workspace
- Öffnen Sie die Programmeinstellungen und wählen Sie den Slack-Kanal, der VDP-Benachrichtigungen erhalten soll
Ereignisse
Die folgenden Ereignisse lösen Slack-Benachrichtigungen aus. Alle sind standardmäßig aktiviert, wenn ein Kanal konfiguriert ist:
| Ereignis | Standard | Zweck |
|---|---|---|
| Neue Meldung eingereicht | Ein | Das Team auf eingehende Meldungen aufmerksam machen |
| SLA gefährdet | Ein | Meldungen markieren, die sich ihrer SLA-Frist nähern |
| SLA überschritten | Ein | Meldungen eskalieren, die ihre SLA verfehlt haben |
| Schweregrad Critical/Super Critical gesichtet | Ein | Sofortige Aufmerksamkeit bei Befunden mit hohem Schweregrad |
| Prämie genehmigt | Ein | Finanztransparenz über genehmigte Auszahlungen |
| Einspruch eingegangen | Ein | Benachrichtigung, wenn ein Forscher eine Ablehnung anficht |
Alle Ereignisse gehen an den einzelnen Slack-Kanal, den Sie in den Programmeinstellungen konfigurieren.
KitBot zu Meldungen befragen
Sobald Slack-Benachrichtigungen eingehen, können Sie @KitBot in Ihrem VDP-Kanal erwähnen, um Fragen zu stellen, ohne Kit zu öffnen. Wo Sie ihn erwähnen — und was Sie fragen — bestimmt, worauf er antwortet (das vollständige Bild finden Sie unter @KitBot in Slack nutzen):
- In einem Thread unter einer beliebigen VDP-Benachrichtigung (neue Meldung, Prämie genehmigt, SLA-Warnung) — KitBot antwortet zu genau dieser Meldung: Status, Zusammenfassung, Zeitverlauf, SLA-Stand, Duplikatprüfungen, Schweregrad-Kontext und wie die Prämie im Vergleich zu Ihrer Matrix ausfällt.
- Auf oberster Ebene im Kanal — KitBot beantwortet programmweite Fragen: SLA-Verstöße, Anzahl offener Meldungen und Metriken.
Beispiel-Prompts
@KitBot is this report closed?
@KitBot summarize the timeline and current SLA state
@KitBot any SLA breaches right now?
KitBot ist in VDP-Kanälen schreibgeschützt. Er kann nicht sichten, zuweisen, ablehnen, Forschern Nachrichten senden oder Prämien genehmigen — für diese Aktionen verlinkt er Sie zur Meldung in Kit.
Damit Sie Antworten erhalten, muss die E-Mail-Adresse Ihres Slack-Profils mit der E-Mail-Adresse Ihres Kit-Kontos übereinstimmen, und Ihr Konto benötigt ein aktives VDP-Programm. Stimmen die Adressen nicht überein, sendet KitBot Ihnen statt der Meldungsdaten eine private Notiz mit einer Anleitung zur Behebung.
Eskalation
Wenn eine Meldung als Critical oder Super Critical bewertet wird, löst Kit eine Eskalation aus, die die normalen Benachrichtigungspräferenzen umgeht. So ist sichergestellt, dass Ihr Bereitschaftsteam sofort benachrichtigt wird, unabhängig von individuellen Benachrichtigungseinstellungen.
Eine Eskalation löst zwei Benachrichtigungen gleichzeitig aus:
-
E-Mail — Wird an jede Adresse auf der konfigurierten Eskalationsliste in den Sichtungs-Einstellungen gesendet, ebenso an die für die Meldung verantwortliche Person. Verwendet die E-Mail-Vorlage
escalation. - Slack — Wird im konfigurierten VDP-Kanal gepostet, unabhängig von den Schaltern für einzelne Ereignisse. Selbst wenn Sie Slack-Benachrichtigungen für andere Ereignisse deaktiviert haben, kommen Eskalationen immer durch.
Konfigurieren Sie die Eskalationsempfänger unter VDP > Programmeinstellungen > Sichtung. Fügen Sie alle hinzu, die bei einem Critical-Befund geweckt werden sollten — Ihren Sicherheitsverantwortlichen, CTO oder den Alias Ihrer Bereitschaftsrotation.
Auf einen Blick
-
Passen Sie die Vorlage
report_acknowledgedmit Ihrem Programmnamen und Tonfall an -
Richten Sie die Vorlage
report_dismissedein, um häufige Ablehnungsgründe zu erläutern - Konfigurieren Sie die Slack-Integration, damit Ihr Team neue Meldungen in Echtzeit sieht
- Erwähnen Sie @KitBot in einem Thread unter einer VDP-Benachrichtigung, um die Meldungs-FAQ zu testen
- Fügen Sie Eskalations-E-Mail-Adressen für Meldungen mit Schweregrad Critical und Super Critical hinzu
- Verwenden Sie interne Nachrichten für die Engineering-Koordination; externe für die Kommunikation mit Forschern
Wie geht es weiter
- Das Forscherportal — was Forscher sehen, wie sie einreichen und wie sie Einspruch einlegen
- Prämien und Auszahlungen — Prämien genehmigen, Steuerdokumente und das Finanzhauptbuch