Mit Forschern kommunizieren
Wie Sie Nachrichtenthreads nutzen, E-Mail-Vorlagen anpassen, Slack-Benachrichtigungen konfigurieren und Eskalationen handhaben.
Warum es wichtig ist
Forscher beurteilen Programme nach Kommunikationsgeschwindigkeit und -klarheit mehr als nach Bounty-Beträgen. Ein Programm, das Meldungen zeitnah bestätigt und transparente Statusupdates liefert, verdient Vertrauen – und Vertrauen bringt qualitativ hochwertigere Einreichungen. Zentralisierte Nachrichtenthreads halten jede Kommunikation für SOC 2-Nachweise nachprüfbar, damit keine Meldung in E-Mail-Lücken verschwindet.
Nachrichtenthreads
Jede Meldung hat einen eigenen Nachrichtenthread. Hier findet die gesamte Kommunikation zwischen Ihrem Team und dem Forscher statt – keine Seitenkanal-E-Mails oder Slack-DMs, die verloren gehen könnten.
Jede Nachricht hat einen von zwei Sichtbarkeitsmodi:
| Modus | Sichtbar für | Anwendungsfall |
|---|---|---|
| Extern | Mitarbeiter und Forscher | Reproduktionsschritte erfragen, Statusupdates teilen, Fixes koordinieren |
| Intern | Nur Mitarbeiter | Engineering-Notizen, Triage-Diskussion, Schweregrad-Debatte |
Aktivieren Sie den Intern-Schalter vor dem Senden, um Notizen von der Forscheransicht fernzuhalten. Interne Nachrichten erscheinen mit gelbem Hintergrund und einem “Intern”-Badge im Thread, damit Ihr Team sie auf einen Blick unterscheiden kann.
Nachrichten unterstützen Markdown-Formatierung – Fettdruck, Listen, Code-Blöcke und Links werden korrekt dargestellt. Alle Nachrichten erhalten einen Zeitstempel und werden dem Absender zugeordnet. Einmal gesendet, können Nachrichten nicht bearbeitet oder gelöscht werden. Diese Unveränderlichkeit ist beabsichtigt: Sie bewahrt den Audit-Trail, den SOC 2-Prüfer erwarten.
Eine Nachricht senden
- Öffnen Sie eine Meldung vom Triage-Board
- Navigieren Sie zum Tab Nachrichten
- Verfassen Sie Ihre Nachricht im Textfeld
- Aktivieren Sie Intern, falls es eine reine Mitarbeiter-Notiz ist
- Klicken Sie auf Senden
Externe Nachrichten lösen eine E-Mail an den Forscher mit einem Magic-Link zurück zu seinem Portal aus. Der Forscher kann über das Portal antworten, und seine Antwort erscheint in Echtzeit im selben Thread.
Statusübergänge – wie das Verschieben einer Meldung zu Needs Clarification oder Validated – können automatisch eine vorlagenbasierte Nachricht an den Forscher senden. Konfigurieren Sie diese Vorlagen unter E-Mail-Vorlagen, um zu steuern, was Forscher in jeder Phase sehen.
E-Mail-Vorlagen
Navigieren Sie zu VDP > E-Mail-Vorlagen, um die Nachrichten anzupassen, die Ihr Programm automatisch versendet. Kit verwendet eine dreistufige Vorlagen-Hierarchie:
- Systemstandards – Integrierte Vorlagen, die mit jedem Programm geliefert werden. Schreibgeschützt.
- Konto-Überschreibungen – Ihre angepassten Versionen, die für alle Programme in Ihrem Konto gelten.
- Programm-Überschreibungen – Vorlagen, die auf ein bestimmtes Programm beschränkt sind (zukünftig).
Die spezifischste Vorlage gewinnt. Wenn Sie eine Konto-Überschreibung für report_acknowledged erstellen, ersetzt sie den Systemstandard für jedes Programm in Ihrem Konto.
Vorlagen verwenden Liquid-Syntax ({{ variable_name }}). Klicken Sie auf Vorschau, um zu sehen, wie eine Vorlage mit Beispieldaten dargestellt wird, bevor Sie speichern.
Vorlagentypen
Kit liefert 11 E-Mail-Vorlagen, die jeweils automatisch durch ein bestimmtes Ereignis ausgelöst werden:
| Vorlage | Auslöser |
|---|---|
report_acknowledged |
Wird automatisch gesendet, wenn ein Forscher eine Meldung einreicht |
clarification_requested |
Wenn der Meldungsstatus zu Needs Clarification wechselt |
report_validated |
Wenn der Meldungsstatus zu Validated wechselt |
report_resolved |
Wenn der Meldungsstatus zu Resolved wechselt |
fix_verification_requested |
Wenn ein erneuter Test vor dem Abschluss erforderlich ist |
report_dismissed |
Wenn eine Meldung aus einem beliebigen Grund abgewiesen wird |
bounty_approved |
Wenn ein Mitarbeiter einen Bounty-Betrag genehmigt |
payout_sent |
Wenn eine Auszahlung als abgeschlossen markiert wird |
escalation |
Wenn eine Meldung mit Schweregrad Critical oder Super Critical triagiert wird |
appeal_received |
Wenn ein Forscher einen Einspruch gegen eine Abweisung einreicht |
magic_link |
Portal-Login-Link, der an Forscher gesendet wird |
Verfügbare Liquid-Variablen
Verwenden Sie diese Variablen in Ihren Vorlagen-Betreffzeilen und -Texten:
| Variable | Beschreibung |
|---|---|
{{ researcher_name }} |
Anzeigename oder Handle des Forschers |
{{ report_id }} |
Präfixierte Meldungs-ID (z. B. rpt_abc123) |
{{ report_title }} |
Titel der Schwachstellenmeldung |
{{ program_name }} |
Name Ihres VDP-Programms |
{{ severity }} |
Bewertete Schweregrad-Stufe (z. B. High, Critical) |
{{ bounty_amount }} |
Genehmigter Bounty in formatierter Währung (z. B. $500.00) |
{{ portal_link }} |
Magic-Link-URL zum Forscherportal |
{{ sla_hours }} |
Konfigurierte SLA-Stunden für diese Schweregrad-Stufe |
{{ dismissal_reason }} |
Grundcode der Abweisung (z. B. Out of Scope, Duplicate) |
Zum Beispiel könnte eine angepasste report_acknowledged-Vorlage so aussehen:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
Slack-Benachrichtigungen
Kit sendet Slack-Benachrichtigungen für wichtige VDP-Ereignisse, damit Ihr Team informiert bleibt, ohne ständig das Dashboard prüfen zu müssen.
Einrichtung
- Navigieren Sie zu Kontoeinstellungen > Integrationen > Slack und verbinden Sie Ihren Workspace
- Öffnen Sie die Programmeinstellungen und wählen Sie den Slack-Kanal, der VDP-Benachrichtigungen erhalten soll
Ereignisse
Die folgenden Ereignisse lösen Slack-Benachrichtigungen aus. Alle sind standardmäßig aktiviert, wenn ein Kanal konfiguriert ist:
| Ereignis | Standard | Zweck |
|---|---|---|
| Neue Meldung eingereicht | Ein | Das Team auf eingehende Meldungen aufmerksam machen |
| SLA gefährdet | Ein | Meldungen markieren, die sich ihrer SLA-Frist nähern |
| SLA überschritten | Ein | Meldungen eskalieren, die ihre SLA verfehlt haben |
| Critical/Super Critical Schweregrad triagiert | Ein | Sofortige Aufmerksamkeit bei hochgradigen Befunden |
| Bounty genehmigt | Ein | Finanztransparenz über genehmigte Auszahlungen |
| Einspruch eingegangen | Ein | Benachrichtigung, wenn ein Forscher eine Abweisung anficht |
Alle Ereignisse gehen an den einzelnen Slack-Kanal, den Sie in den Programmeinstellungen konfigurieren.
Eskalation
Wenn eine Meldung als Critical oder Super Critical bewertet wird, löst Kit eine Eskalation aus, die normale Benachrichtigungspräferenzen umgeht. Dies stellt sicher, dass Ihr Rufbereitschaftsteam sofort benachrichtigt wird, unabhängig von individuellen Benachrichtigungseinstellungen.
Eskalation löst zwei Benachrichtigungen gleichzeitig aus:
- E-Mail – Wird an jede Adresse auf der konfigurierten Eskalationsliste in den Triage-Einstellungen gesendet, plus an den Verantwortlichen der Meldung. Verwendet die
escalation-E-Mail-Vorlage. - Slack – Wird im konfigurierten VDP-Kanal gepostet, unabhängig von Einzel-Event-Toggles. Selbst wenn Sie Slack-Benachrichtigungen für andere Ereignisse deaktiviert haben, kommen Eskalationen immer durch.
Konfigurieren Sie Eskalationsempfänger unter VDP > Programmeinstellungen > Triage. Fügen Sie jeden hinzu, der bei einem Critical-Befund geweckt werden sollte – Ihren Sicherheitsverantwortlichen, CTO oder Rufbereitschafts-Alias.
Schnellcheckliste
- Passen Sie die
report_acknowledged-Vorlage mit Ihrem Programmnamen und Ton an - Richten Sie die
report_dismissed-Vorlage ein, um häufige Abweisungsgründe zu erklären - Konfigurieren Sie die Slack-Integration, damit Ihr Team neue Meldungen in Echtzeit sieht
- Fügen Sie Eskalations-E-Mail-Adressen für Critical- und Super-Critical-Meldungen hinzu
- Verwenden Sie interne Nachrichten für die Engineering-Koordination; externe für die Forscher-Kommunikation
Nächste Schritte
- Das Forscherportal – was Forscher sehen, wie sie einreichen und wie sie Einspruch einlegen
- Bounties und Auszahlungen – Bounties genehmigen, Steuerdokumente und das Finanz-Ledger