Ihr Programm konfigurieren
Schritt-für-Schritt-Anleitung zu allen sieben Programmeinstellungs-Tabs -- Geltungsbereich, Bounty-Matrix, SLAs, Sichtung, Auszahlungen, Spam und security.txt.
Warum das zählt
Gute Konfiguration ist der Unterschied zwischen einem glaubwürdigen VDP und einer vagen Policy, die Forscher ignorieren. Ein klar abgegrenzter Geltungsbereich schützt Ihr Entwicklungsteam vor themenfremden Meldungen, SLA-Ziele halten Ihre Reaktionszeiten ehrlich, und eine gut definierte Bounty-Matrix setzt die Erwartungen der Forscher, bevor sie einreichen.
Kit liefert vernünftige Standardwerte für jede Einstellung. Sie können sofort live gehen und später nachbessern, aber 15 Minuten Konfigurationsaufwand vorab ersparen Ihnen Stunden fehlgeleiteter Sichtung.
VDP aktivieren
Navigieren Sie zu VDP, um Ihr Programm zu aktivieren. Wählen Sie die kostenlose Stufe für den sofortigen Einstieg oder das VDP Add-on (49 $/Monat), um die vollständige Pipeline freizuschalten. Sie können jederzeit über Kontoeinstellungen > Abrechnung upgraden.
Sobald Ihr Programm erstellt ist, navigieren Sie zu VDP > Programmeinstellungen, um es zu konfigurieren. Ihr Programm startet im Status Draft – es nimmt keine Meldungen an, bis Sie den Status auf Active setzen.
Allgemein-Tab
Der Allgemein-Tab steuert die Identität Ihres Programms und die Disclosure Policy.
| Feld | Beschreibung |
|---|---|
| Programmname | Wird auf Ihrer Disclosure-Policy-Seite und im Forscherportal angezeigt |
| Status | Draft, Active oder Paused – setzen Sie ihn auf Active, wenn die Konfiguration abgeschlossen ist |
| Disclosure Policy | Rich-Text-Feld, vorausgefüllt mit Safe-Harbor-Sprache. Unterstützt Formatierung, Links und Listen. |
| Verbotene Aktionen | Handlungen, die Forscher nicht durchführen dürfen (z. B. Social Engineering, physische Angriffe, Denial-of-Service) |
Belassen Sie Ihr Programm im Status Draft, während Sie die übrigen Tabs konfigurieren. Wechseln Sie erst zu Active, wenn Sie bereit sind, Einreichungen anzunehmen.
Geltungsbereich-Tab
Der Geltungsbereich definiert, was Forscher testen sollen und was nicht. Ein vager Geltungsbereich erzeugt vage Meldungen – seien Sie spezifisch.
| Feld | Beschreibung |
|---|---|
| Ziele im Geltungsbereich | Hosts, URLs oder IP-Bereiche, die Forscher testen sollen (ein Eintrag pro Zeile). Beispiel: app.yourcompany.com, api.yourcompany.com
|
| Kategorien außerhalb des Geltungsbereichs | OWASP-artige Kategorieausschlüsse (z. B. “Denial of Service”, “Physical Attacks”) |
| Ausgeschlossene Schwachstellentypen | Bestimmte Schwachstellenklassen, die Sie nicht akzeptieren (z. B. “Self-XSS”, “Missing rate limiting on non-critical endpoints”) |
Wenn Sie keine Ziele im Geltungsbereich angeben, liegen implizit alle Ziele im Geltungsbereich. Das ist selten gewünscht. Listen Sie mindestens Ihre primären Anwendungsdomains auf.
Kit nutzt die Konfiguration des Geltungsbereichs, um eingehende Meldungen automatisch zu validieren. Meldungen, die ausgeschlossene Schwachstellentypen oder Kategorien außerhalb des Geltungsbereichs betreffen, werden markiert, bevor sie Ihr Sichtungs-Board erreichen.
Bounty-Matrix-Tab
VDP Add-on – Dieser Tab erfordert das VDP Add-on (49 $/Monat). Kostenlose Programme funktionieren als VDPs ohne Bounty.
Die Bounty-Matrix definiert Auszahlungsspannen für jeden Schweregrad. Die Beträge werden auf Ihrer Disclosure-Policy-Seite angezeigt, damit Forscher wissen, was sie erwartet.
| Schweregrad | Standard Min | Standard Max |
|---|---|---|
| Super-kritisch | 5.000 $ | 10.000 $ |
| Kritisch | 1.500 $ | 5.000 $ |
| Hoch | 500 $ | 1.500 $ |
| Mittel | 150 $ | 500 $ |
| Niedrig | 50 $ | 150 $ |
| Informativ | 0 $ | 0 $ |
Passen Sie diese Spannen an Ihr Budget und Ihre Risikotoleranz an. Wenn eine CVSS-Bewertung für eine Meldung erfasst wird, schlägt Kit automatisch einen Bounty-Betrag innerhalb der passenden Stufe vor.
SLAs-Tab
SLAs definieren die Reaktionszeitverpflichtungen Ihres Teams. Die SLA-Uhr startet mit der Einreichung der Meldung. Ihr Dashboard zeigt den Status jeder Meldung als im Zeitplan, gefährdet oder überschritten an.
Die Bestätigungs-SLA gilt einheitlich für alle Schweregrade – sie ist die maximale Zeit von der Einreichung bis zur ersten Antwort. Standard: 72 Stunden.
Lösungsziele variieren nach Schweregrad:
| Schweregrad | Standard-Lösungsziel |
|---|---|
| Super-kritisch | 24 Stunden |
| Kritisch | 72 Stunden (3 Tage) |
| Hoch | 168 Stunden (1 Woche) |
| Mittel | 336 Stunden (2 Wochen) |
| Niedrig | 720 Stunden (30 Tage) |
| Informativ | 720 Stunden (30 Tage) |
Überschreiben Sie beliebige dieser Werte, um sie an die Kapazität Ihres Teams anzupassen. Aggressive SLAs sehen auf dem Papier gut aus, verlieren aber an Glaubwürdigkeit, wenn Sie sie routinemäßig verletzen. Setzen Sie Ziele, die Sie tatsächlich einhalten können, und verschärfen Sie sie im Laufe der Zeit.
SLA-Indikatoren erscheinen auf jeder Meldungskarte im Sichtungs-Board:
- Im Zeitplan (grün) – mehr als 25 % des SLA-Fensters verbleiben
- Gefährdet (gelb) – 25 % oder weniger des SLA-Fensters verbleiben (75 % oder mehr verstrichen)
- Überschritten (rot) – die SLA-Frist ist abgelaufen
Sichtung-Tab
Die Sichtungs-Einstellungen steuern, wie eingehende Meldungen weitergeleitet und verarbeitet werden.
| Feld | Standard | Beschreibung |
|---|---|---|
| Standardverantwortlicher | Keiner | Teammitglied, das neue Meldungen automatisch erhält. Setzen Sie dies auf Ihren primären Sicherheitskontakt. |
| Eskalations-Schweregrade | Kritisch, Super-kritisch | Schweregrade, die eine Eskalationsbenachrichtigung per E-Mail und Slack auslösen |
| Deduplizierung | Aktiviert | Potenzielle Duplikate markieren, bevor sie Ihr Board erreichen |
| Erneuter Test erforderlich | Aus | Erfordert eine Forscherbestätigung, dass ein Fix funktioniert, bevor die Meldung abgeschlossen wird |
| Maximale Einsprüche | 3 | Maximale Anzahl von Einsprüchen, die ein Forscher gegen eine abgelehnte Meldung einlegen kann |
Die Einstellungen für die Bereitschafts-Rotation (Modus, Zeitplan, Mitglieder und automatische Zuweisung) haben eine eigene Seite. Siehe Bereitschafts-Rotation für Details.
Wenn Sie keinen Standardverantwortlichen festlegen, erscheinen neue Meldungen nicht zugewiesen im Sichtungs-Board. Ihr Team kann sie weiterhin manuell übernehmen, aber eine Zuweisung stellt sicher, dass nichts übersehen wird.
Eskalationsbenachrichtigungen werden an den Standardverantwortlichen gesendet und in Ihrem konfigurierten Slack-Kanal gepostet. Konfigurieren Sie die Slack-Integration unter Kontoeinstellungen > Integrationen.
Auszahlungen-Tab
VDP Add-on – Dieser Tab erfordert das VDP Add-on (49 $/Monat). Kostenlose Programme verarbeiten keine Auszahlungen über Kit.
Der Auszahlungen-Tab konfiguriert, wie Bounty-Auszahlungen abgewickelt werden.
| Feld | Standard | Beschreibung |
|---|---|---|
| Unterstützte Zahlungsmethoden | PayPal | Aktivieren Sie die Methoden, die Sie unterstützen: PayPal, Banküberweisung, Krypto |
| Steuerdokumente erforderlich | Ja | Forscher müssen ein W-9 (US) oder W-8BEN (international) hochladen, bevor sie eine Auszahlung erhalten |
| Vereinbarung erforderlich | Ja | Forscher müssen Ihre Disclosure-Vereinbarung akzeptieren, bevor sie eine Auszahlung erhalten |
| Mindestauszahlung | 50 $ | Forscher unterhalb dieses Schwellenwerts werden gebündelt, bis die kumulierten Einnahmen das Minimum erreichen |
| Währung | USD | Währung für alle Bounty-Beträge und Auszahlungen |
Steuerdokumentanforderungen bestehen für Ihre rechtliche Compliance. Das Deaktivieren dieser Einstellung bedeutet, dass Forscher Auszahlungen ohne Steuerdokumentation erhalten können – konsultieren Sie Ihr Finanzteam, bevor Sie dies abschalten.
Spam-Tab
Spam-Einstellungen schützen Ihr Programm vor Einreichungsflut und qualitativ minderwertigen Massenmeldungen.
| Feld | Standard | Beschreibung |
|---|---|---|
| Max. Meldungen pro Fenster | 5 | Maximale Einreichungen pro Forscher innerhalb des Ratenlimit-Fensters |
| Fensterdauer | 5 Minuten | Zeitfenster für die Ratenlimitierung |
| Sperrdauer | 1 Stunde | Wie lange ein Forscher nach Überschreitung des Limits gesperrt wird |
| Bereinigungsintervall | 24 Stunden | Wie lange Spam-Einträge aufbewahrt werden, bevor sie automatisch gelöscht werden |
Die Standardwerte sind konservativ. Wenn Sie feststellen, dass legitime Forscher das Ratenlimit erreichen, erhöhen Sie die Fensterdauer oder den Schwellenwert für maximale Meldungen. Wenn Sie starken Spam erhalten, verkürzen Sie das Fenster und verlängern Sie die Sperrdauer.
Gesperrte Forscher sehen eine klare Nachricht, die erklärt, wann sie wieder einreichen können. Spam-Einträge werden automatisch nach dem konfigurierten Intervall bereinigt.
security.txt-Tab
Dieser Tab konfiguriert die Felder, die zur Generierung Ihrer /.well-known/security.txt-Datei gemäß RFC 9116 verwendet werden. Kit liefert diese Datei automatisch aus, wenn Ihr Programm aktiv ist.
| Feld | Standard | Beschreibung |
|---|---|---|
| Kontakt-E-Mail | Keine (erforderlich) | Die E-Mail-Adresse, über die Forscher Schwachstellen melden. Wird im Contact:-Feld veröffentlicht. |
| Ablauf | 365 Tage | Tage ab Generierung bis zum Ablauf der security.txt. RFC 9116 erfordert ein Expires:-Feld. |
| Policy-URL | Automatisch generiert | URL zu Ihrer Disclosure-Policy-Seite. Standardmäßig Ihre von Kit gehostete Policy. |
| Acknowledgments-URL | Keine | URL zu Ihrer Hall-of-Fame-Seite, falls aktiviert |
| Hiring-URL | Keine | Link zu den Stellenausschreibungen Ihres Sicherheitsteams |
| Verschlüsselungs-URL | Keine | URL zu Ihrem öffentlichen PGP-Schlüssel für verschlüsselte Kommunikation |
Sie müssen eine Kontakt-E-Mail festlegen, bevor Ihre security.txt ausgeliefert wird. Vollständige Details zur security.txt-Konfiguration, Formatierung und Überprüfung finden Sie unter security.txt einrichten.
E-Mail-Branding
Forscher-Benachrichtigungsmails verwenden automatisch das Branding Ihres Kontos – Logo, Primärfarbe und Programmname als Absender. Konfigurieren Sie diese unter Kontoeinstellungen > Branding. Es ist keine zusätzliche VDP-spezifische Einrichtung erforderlich. Weitere Einzelheiten finden Sie unter Mit Forschern kommunizieren.
Auf einen Blick
- Programmname festlegen und Disclosure-Policy-Text anpassen
- Ziele im Geltungsbereich und Kategorien außerhalb des Geltungsbereichs definieren
- Bounty-Matrix konfigurieren (VDP Add-on) oder No-Bounty-Programm bestätigen (kostenlos)
- SLA-Ziele pro Schweregrad festlegen
- Einen Standardverantwortlichen für die Sichtung zuweisen
- Auszahlungsmethoden und Steueranforderungen konfigurieren (VDP Add-on)
- Spam-Schwellenwerte überprüfen
- Kontakt-E-Mail für security.txt festlegen
- Slack-Integration für Eskalationsbenachrichtigungen konfigurieren
- Status auf Active setzen, wenn alles bereit ist
Wie geht es weiter
- security.txt einrichten – detaillierte Anleitung zur RFC 9116-Konformität und Überprüfung
- Meldungen sichten – wie Sie das Kanban-Board nutzen, Schweregrade bewerten und Meldungen abschließen