Ihr Programm konfigurieren
Schritt-für-Schritt-Anleitung zu allen sieben Programmeinstellungs-Tabs -- Scope, Bounty-Matrix, SLAs, Triage, Auszahlungen, Spam und security.txt.
Warum es wichtig ist
Gute Konfiguration ist der Unterschied zwischen einem glaubwürdigen VDP und einer vagen Policy, die Forscher ignorieren. Klarheit beim Scope schützt Ihr Entwicklungsteam vor themenfremden Meldungen, SLA-Ziele halten Ihre Reaktionszeiten ehrlich, und eine gut definierte Bounty-Matrix setzt die Erwartungen der Forscher, bevor sie einreichen.
Kit liefert vernünftige Standardwerte für jede Einstellung. Sie können sofort live gehen und später nachbessern, aber 15 Minuten Konfigurationsaufwand vorab ersparen Ihnen Stunden fehlgeleiteter Triage.
VDP aktivieren
Navigieren Sie zu VDP, um Ihr Programm zu aktivieren. Wählen Sie die kostenlose Stufe für den sofortigen Einstieg oder das VDP Add-on (49 $/Monat), um die vollständige Pipeline freizuschalten. Sie können jederzeit über Kontoeinstellungen > Abrechnung upgraden.
Sobald Ihr Programm erstellt ist, navigieren Sie zu VDP > Programmeinstellungen, um es zu konfigurieren. Ihr Programm startet im Status Draft – es nimmt keine Meldungen an, bis Sie den Status auf Active setzen.
Allgemein-Tab
Der Allgemein-Tab steuert die Identität Ihres Programms und die Disclosure Policy.
| Feld | Beschreibung |
|---|---|
| Programmname | Wird auf Ihrer Disclosure-Policy-Seite und im Forscherportal angezeigt |
| Status | Draft, Active oder Paused – setzen Sie ihn auf Active, wenn die Konfiguration abgeschlossen ist |
| Disclosure Policy | Rich-Text-Feld, vorausgefüllt mit Safe-Harbor-Sprache. Unterstützt Formatierung, Links und Listen. |
| Verbotene Aktionen | Handlungen, die Forscher nicht durchführen dürfen (z. B. Social Engineering, physische Angriffe, Denial-of-Service) |
Belassen Sie Ihr Programm im Status Draft, während Sie die übrigen Tabs konfigurieren. Wechseln Sie erst zu Active, wenn Sie bereit sind, Einreichungen anzunehmen.
Scope-Tab
Der Scope definiert, was Forscher testen sollen und was nicht. Vager Scope erzeugt vage Meldungen – seien Sie spezifisch.
| Feld | Beschreibung |
|---|---|
| In-Scope-Ziele | Hosts, URLs oder IP-Bereiche, die Forscher testen sollen (eines pro Zeile). Beispiel: app.yourcompany.com, api.yourcompany.com |
| Out-of-Scope-Kategorien | OWASP-artige Kategorieausschlüsse (z. B. “Denial of Service”, “Physical Attacks”) |
| Ausgeschlossene Schwachstellentypen | Bestimmte Schwachstellenklassen, die Sie nicht akzeptieren (z. B. “Self-XSS”, “Missing rate limiting on non-critical endpoints”) |
Wenn Sie keine In-Scope-Ziele angeben, sind implizit alle Ziele im Scope. Das ist selten gewünscht. Listen Sie mindestens Ihre primären Anwendungsdomains auf.
Kit nutzt die Scope-Konfiguration, um eingehende Meldungen automatisch zu validieren. Meldungen, die ausgeschlossene Schwachstellentypen oder Out-of-Scope-Kategorien betreffen, werden markiert, bevor sie Ihr Triage-Board erreichen.
Bounty-Matrix-Tab
VDP Add-on – Dieser Tab erfordert das VDP Add-on (49 $/Monat). Kostenlose Programme funktionieren als VDPs ohne Bounty.
Die Bounty-Matrix definiert Auszahlungsspannen für jede Schweregrad-Stufe. Die Beträge werden auf Ihrer Disclosure-Policy-Seite angezeigt, damit Forscher wissen, was sie erwartet.
| Schweregrad | Standard Min | Standard Max |
|---|---|---|
| Super Critical | $5.000 | $10.000 |
| Critical | $1.500 | $5.000 |
| High | $500 | $1.500 |
| Medium | $150 | $500 |
| Low | $50 | $150 |
| Informational | $0 | $0 |
Passen Sie diese Spannen an Ihr Budget und Ihre Risikotoleranz an. Wenn eine CVSS-Bewertung für eine Meldung erfasst wird, schlägt Kit automatisch einen Bounty-Betrag innerhalb der passenden Stufe vor.
SLAs-Tab
SLAs definieren die Reaktionszeitverpflichtungen Ihres Teams. Die SLA-Uhr startet mit der Einreichung der Meldung. Ihr Dashboard zeigt den Status jeder Meldung als im Zeitplan, gefährdet oder überschritten an.
Bestätigungs-SLA gilt einheitlich für alle Schweregrade – es ist die maximale Zeit von der Einreichung bis zur ersten Antwort. Standard: 72 Stunden.
Lösungsziele variieren nach Schweregrad:
| Schweregrad | Standard-Lösungsziel |
|---|---|
| Super Critical | 24 Stunden |
| Critical | 72 Stunden (3 Tage) |
| High | 168 Stunden (1 Woche) |
| Medium | 336 Stunden (2 Wochen) |
| Low | 720 Stunden (30 Tage) |
| Informational | 720 Stunden (30 Tage) |
Überschreiben Sie beliebige dieser Werte, um sie an die Kapazität Ihres Teams anzupassen. Aggressive SLAs sehen auf dem Papier gut aus, verlieren aber an Glaubwürdigkeit, wenn Sie sie routinemäßig verletzen. Setzen Sie Ziele, die Sie tatsächlich einhalten können, und verschärfen Sie sie im Laufe der Zeit.
SLA-Indikatoren erscheinen auf jeder Meldungskarte im Triage-Board:
- Im Zeitplan (grün) – weniger als 50 % des SLA-Fensters verstrichen
- Gefährdet (gelb) – mehr als 50 % des SLA-Fensters verstrichen
- Überschritten (rot) – die SLA-Frist ist abgelaufen
Triage-Tab
Triage-Einstellungen steuern, wie eingehende Meldungen weitergeleitet und verarbeitet werden.
| Feld | Standard | Beschreibung |
|---|---|---|
| Standardverantwortlicher | Keiner | Teammitglied, das neue Meldungen automatisch erhält. Setzen Sie dies auf Ihren primären Sicherheitskontakt. |
| Eskalations-Schweregrade | Critical, Super Critical | Schweregrad-Stufen, die eine Eskalationsbenachrichtigung per E-Mail und Slack auslösen |
| Deduplizierung | Aktiviert | Potenzielle Duplikate markieren, bevor sie Ihr Board erreichen |
| Erneuter Test erforderlich | Aus | Erfordert eine Forscherbestätigung, dass ein Fix funktioniert, bevor die Meldung geschlossen wird |
| Maximale Einsprüche | 3 | Maximale Anzahl von Einsprüchen, die ein Forscher gegen eine abgewiesene Meldung einlegen kann |
Die Einstellungen für die Rufbereitschafts-Rotation (Modus, Zeitplan, Mitglieder und automatische Zuweisung) haben eine eigene Seite. Siehe Rufbereitschafts-Rotation für Details.
Wenn Sie keinen Standardverantwortlichen festlegen, erscheinen neue Meldungen nicht zugewiesen im Triage-Board. Ihr Team kann sie weiterhin manuell übernehmen, aber eine Zuweisung stellt sicher, dass nichts übersehen wird.
Eskalationsbenachrichtigungen werden an den Standardverantwortlichen gesendet und in Ihrem konfigurierten Slack-Kanal gepostet. Konfigurieren Sie die Slack-Integration unter Kontoeinstellungen > Integrationen.
Auszahlungen-Tab
VDP Add-on – Dieser Tab erfordert das VDP Add-on (49 $/Monat). Kostenlose Programme verarbeiten keine Auszahlungen über Kit.
Der Auszahlungen-Tab konfiguriert, wie Bounty-Auszahlungen abgewickelt werden.
| Feld | Standard | Beschreibung |
|---|---|---|
| Unterstützte Zahlungsmethoden | PayPal | Aktivieren Sie die Methoden, die Sie unterstützen: PayPal, Banküberweisung, Krypto |
| Steuerdokumente erforderlich | Ja | Forscher müssen ein W-9 (US) oder W-8BEN (international) hochladen, bevor sie eine Auszahlung erhalten |
| Vereinbarung erforderlich | Ja | Forscher müssen Ihre Disclosure-Vereinbarung akzeptieren, bevor sie eine Auszahlung erhalten |
| Mindestauszahlung | $50 | Forscher unterhalb dieses Schwellenwerts werden gebündelt, bis die kumulierten Einnahmen das Minimum erreichen |
| Währung | USD | Währung für alle Bounty-Beträge und Auszahlungen |
Steuerdokumentanforderungen bestehen für Ihre rechtliche Compliance. Das Deaktivieren dieser Einstellung bedeutet, dass Forscher Auszahlungen ohne Steuerdokumentation erhalten können – konsultieren Sie Ihr Finanzteam, bevor Sie dies abschalten.
Spam-Tab
Spam-Einstellungen schützen Ihr Programm vor Einreichungsflut und qualitativ minderwertigen Massenberichten.
| Feld | Standard | Beschreibung |
|---|---|---|
| Max. Meldungen pro Fenster | 5 | Maximale Einreichungen pro Forscher innerhalb des Ratenlimit-Fensters |
| Fensterdauer | 5 Minuten | Zeitfenster für die Ratenlimitierung |
| Sperrdauer | 1 Stunde | Wie lange ein Forscher nach Überschreitung des Limits gesperrt wird |
| Bereinigungsintervall | 24 Stunden | Wie lange Spam-Einträge aufbewahrt werden, bevor sie automatisch gelöscht werden |
Die Standardwerte sind konservativ. Wenn Sie feststellen, dass legitime Forscher das Ratenlimit erreichen, erhöhen Sie die Fensterdauer oder den Schwellenwert für maximale Meldungen. Wenn Sie starken Spam erhalten, verkürzen Sie das Fenster und verlängern Sie die Sperrdauer.
Gesperrte Forscher sehen eine klare Nachricht, die erklärt, wann sie wieder einreichen können. Spam-Einträge werden automatisch nach dem konfigurierten Intervall bereinigt.
security.txt-Tab
Dieser Tab konfiguriert die Felder, die zur Generierung Ihrer /.well-known/security.txt-Datei gemäß RFC 9116 verwendet werden. Kit liefert diese Datei automatisch aus, wenn Ihr Programm aktiv ist.
| Feld | Standard | Beschreibung |
|---|---|---|
| Kontakt-E-Mail | Keine (erforderlich) | Die E-Mail-Adresse, über die Forscher Schwachstellen melden. Wird im Contact:-Feld veröffentlicht. |
| Ablauf | 365 Tage | Tage ab Generierung bis zum Ablauf der security.txt. RFC 9116 erfordert ein Expires:-Feld. |
| Policy-URL | Automatisch generiert | URL zu Ihrer Disclosure-Policy-Seite. Standardmäßig Ihre von Kit gehostete Policy. |
| Acknowledgments-URL | Keine | URL zu Ihrer Hall-of-Fame-Seite, falls aktiviert |
| Hiring-URL | Keine | Link zu den Stellenausschreibungen Ihres Sicherheitsteams |
| Verschlüsselungs-URL | Keine | URL zu Ihrem öffentlichen PGP-Schlüssel für verschlüsselte Kommunikation |
Sie müssen eine Kontakt-E-Mail festlegen, bevor Ihre security.txt ausgeliefert wird. Vollständige Details zur security.txt-Konfiguration, Formatierung und Überprüfung finden Sie unter security.txt einrichten.
Schnellcheckliste
- Programmname festlegen und Disclosure-Policy-Text anpassen
- In-Scope-Ziele und Out-of-Scope-Kategorien definieren
- Bounty-Matrix konfigurieren (VDP Add-on) oder No-Bounty-Programm bestätigen (kostenlos)
- SLA-Ziele pro Schweregrad-Stufe festlegen
- Einen Standard-Triage-Verantwortlichen zuweisen
- Auszahlungsmethoden und Steueranforderungen konfigurieren (VDP Add-on)
- Spam-Schwellenwerte überprüfen
- Kontakt-E-Mail für security.txt festlegen
- Slack-Integration für Eskalationsbenachrichtigungen konfigurieren
- Status auf Active setzen, wenn alles bereit ist
Nächste Schritte
- security.txt einrichten – detaillierte Anleitung zur RFC 9116-Konformität und Überprüfung
- Meldungen triagieren – wie Sie das Kanban-Board nutzen, Schweregrade bewerten und Meldungen abschließen