Metriken und Exporte
So lesen Sie Ihr VDP-Metriken-Dashboard, verwalten das Forscher-Karma, veröffentlichen die Hall of Fame und erstellen SOC-2-Nachweisexporte.
Warum das zählt
Metriken sind der wichtigste Mechanismus, um die Wirksamkeit Ihres VDP gegenüber Auditoren nachzuweisen. „Wir haben ein Vulnerability Disclosure Program“ reicht als Nachweis nicht aus. „Wir haben 100 % der Meldungen innerhalb von 72 Stunden bestätigt und kritische Probleme innerhalb von 48 Stunden behoben“ hingegen schon.
SOC 2 Type II erfordert zeitlich eingegrenzte Daten: eingegangene Meldungen, SLA-Einhaltungsrate, Verteilung nach Schweregrad und Behebungszeiten. Das Metriken-Dashboard und die Export-Pipeline von Kit sind so konzipiert, dass sie genau das liefern, was Ihr Auditor verlangt — ohne hektische Zusammenstellung am Quartalsende.
Dashboard-KPIs
Fünf übergeordnete Kennzahlen erscheinen oben auf Ihrem VDP-Dashboard. Sie bieten Ihnen bei jedem Öffnen des Moduls einen schnellen Gesundheitscheck.
| KPI | Beschreibung |
|---|---|
| Offene Meldungen | Anzahl der Meldungen, die noch nicht behoben oder abgelehnt wurden |
| Warten auf Sichtung | Meldungen im Status Submitted ohne Bewertung |
| SLA-Compliance % | Prozentsatz der Meldungen, die innerhalb des konfigurierten SLA bestätigt wurden |
| Genehmigte Prämien | Gesamtwert genehmigter Prämien in diesem Zeitraum (nur VDP-Add-on) |
| KI-markiert | Anzahl der Meldungen mit KI-Spam-Markierung, die auf manuelle Prüfung warten |
KPIs werden beim Laden der Seite aktualisiert. Es gibt keine automatische Aktualisierung — laden Sie die Seite neu oder navigieren Sie zurück, um aktuelle Zahlen zu sehen.
Metriken-Seite
Navigieren Sie zu VDP > Metriken für detaillierte Analysen. Verwenden Sie den Datumsbereichsfilter oben, um die Daten einzugrenzen: letzte 7 Tage, 30 Tage, 90 Tage oder ein benutzerdefinierter Zeitraum.
Die Metriken-Seite ist in acht Abschnitte unterteilt:
| Abschnitt | Was er zeigt |
|---|---|
| MTTA (Mean Time to Acknowledge) | Durchschnittliche Stunden von der Einreichung bis zur ersten Antwort, über alle Meldungen im Zeitraum |
| MTTR (Mean Time to Resolve) | Durchschnittliche Stunden von der Einreichung bis zur Behebung, aufgeschlüsselt nach Schweregrad |
| SLA-Compliance-Trend | Liniendiagramm der Einhaltungsrate im Zeitverlauf — achten Sie auf Abwärtstrends, bevor sie zu Auditbefunden werden |
| Meldungen im Zeitverlauf | Balkendiagramm der Einreichungen pro Woche oder Monat — nützlich zum Erkennen saisonaler Muster oder Häufungen von Offenlegungen |
| Nach Schweregrad | Aufschlüsselung der Meldungen nach Schweregrad (Super Critical bis Informational) |
| Nach Status | Verteilung der aktuell offenen Meldungen über die Statusspalten (Submitted, Triaged, Validated, In Progress usw.) |
| Nach Schwachstellentyp | OWASP-Kategorieverteilung — zeigt, für welche Schwachstellenklassen Ihr Produkt am anfälligsten ist |
| Top-Forscher | Rangfolge nach Anzahl gültiger Meldungen — identifiziert Ihre wertvollsten externen Mitwirkenden |
Alle Abschnitte berücksichtigen den ausgewählten Datumsbereich. MTTA und MTTR sind die beiden Kennzahlen, nach denen Ihr SOC-2-Auditor zuerst fragen wird.
Forscher-Karma
Kit verfolgt die Qualität von Forschern über die Zeit mithilfe eines Karma-Systems. Navigieren Sie zu VDP > Forscher für das vollständige Forscher-Verzeichnis mit Karma-Stufen.
| Karma-Stufe | Bedeutung | Auswirkung |
|---|---|---|
| Trusted | Durchgehend gültige, qualitativ hochwertige Meldungen | Meldungen werden in der Sichtung beschleunigt |
| Neutral | Kein eindeutiges Signal | Standard-Sichtungs-Ablauf |
| Low | Vorgeschichte mit qualitativ minderwertigen Meldungen | Meldungen werden zur Prüfung vormarkiert |
| Untrusted | Muster von Spam oder bösgläubigen Einreichungen | Meldungen werden automatisch markiert; optionale automatische Ablehnung |
Karma wird automatisch anhand von Ereignissen angepasst, die mit den Einreichungen des Forschers verknüpft sind.
Positive Ereignisse (erhöhen das Karma):
- Gültige Meldung eingereicht und behoben
- Prämie für eine bestätigte Schwachstelle ausgezahlt
- Behebung vom Forscher verifiziert
Negative Ereignisse (verringern das Karma):
- Meldung als Spam abgelehnt
- Meldung als Duplikat abgelehnt
- Wiederholt nicht reproduzierbare Einreichungen
- Einspruch nach Prüfung abgelehnt
Karma-Stufen helfen Ihrem Team bei der Priorisierung der Sichtung. Eine Meldung eines Trusted-Forschers kann mit höherer Zuversicht beschleunigt werden. Eine Meldung eines Untrusted-Forschers gelangt weiterhin in die Warteschlange, wird jedoch markiert, damit Ihr Team sie mit angemessener Sorgfalt prüfen kann.
Hall-of-Fame-Verwaltung
Navigieren Sie zu VDP > Hall of Fame, um die öffentliche Forscher-Bestenliste zu verwalten. Die Hall of Fame würdigt Forscher, die gültige Meldungen zu Ihrem Programm beigetragen haben.
Wichtige Regeln:
- Forscher melden sich über ihr Portal an — Mitarbeiter können einen Forscher nicht auf die Bestenliste zwingen
- Mitarbeiter können einen Forscher hervorheben, wodurch dieser oben auf der öffentlichen Seite angeheftet wird
- Mitarbeiter können einen Forscher von der Bestenliste entfernen, was dessen Anmeldung außer Kraft setzt
Die öffentliche Hall of Fame ist unter /security/{program-slug}/hall-of-fame verfügbar. Teilen Sie diese URL in Ihrer Disclosure Policy, um zu signalisieren, dass Sie die Beiträge von Forschern wertschätzen. Die meisten Programme veröffentlichen die Hall of Fame, sobald sie fünf oder mehr angemeldete Forscher haben.
Exporte erstellen
Navigieren Sie zu VDP > Exporte und klicken Sie auf Neuer Export, um ein prüfungsfertiges Nachweispaket zu erstellen. Exporte erfordern das VDP-Add-on (49 $/Monat).
Konfigurieren Sie den Export mit diesen Filtern:
| Filter | Optionen |
|---|---|
| Datumsbereich | Start- und Enddatum für den Berichtszeitraum |
| Status | Nach Meldungsstatus filtern (z. B. nur Resolved oder alle Status) |
| Schweregrad | Nach Schweregrad filtern (z. B. nur Critical und High) |
| Schwachstellentyp | Nach OWASP-Kategorie filtern |
Wählen Sie Ihr Format:
| Format | Am besten geeignet für |
|---|---|
| CSV | Maschinenlesbare Daten für Tabellenkalkulationen, weitere Analysen oder Import in GRC-Tools |
| Menschenlesbarer Bericht, formatiert für Auditoren — mit Kopfzeilen, Zusammenfassungen und Tabellen |
Jeder Export enthält vier Abschnitte:
| Abschnitt | Inhalt |
|---|---|
| Meldungsübersichten | Meldungs-ID, Titel, Status, Schweregrad, CVSS-Score, Einreichungsdatum, Behebungsdatum |
| SLA-Performance | SLA-Status pro Meldung (im Zeitrahmen oder überschritten), verstrichene Stunden bis zur Bestätigung und Behebung |
| Kommunikationsprotokoll | Nur externe Nachrichten (forscherseitige Kommunikation, keine internen Notizen) |
| Finanzhauptbuch | Prämien-Genehmigungen, Auszahlungsdatensätze und Auszahlungsstatus für den Zeitraum |
Exporte sind asynchron. Kit verarbeitet den Export im Hintergrund und sendet Ihnen einen Download-Link per E-Mail, sobald er fertig ist. Große Exporte, die mehrere Quartale umfassen, können einige Minuten dauern.
SOC-2-Nachweis-Workflow
Der empfohlene Workflow für SOC-2-Type-II-Audits:
- Navigieren Sie am Ende jedes Quartals zu VDP > Exporte und erstellen Sie einen neuen Export für das Quartal
- Wählen Sie Alle Status und Alle Schweregrade, um das vollständige Bild zu erfassen
- Wählen Sie das PDF-Format für die primäre Nachweisdatei und CSV als Ergänzung
- Laden Sie beide Dateien herunter, sobald die E-Mail eintrifft
- Fügen Sie sie Ihren Nachweisordnern für CC4 (Monitoring Activities) und CC7 (System Operations) bei
Ihr Auditor wird in diesem Export auf drei Dinge achten: dass Meldungen empfangen und nachverfolgt werden, dass SLA-Ziele konsequent eingehalten werden und dass das Finanzhauptbuch einen lückenlosen Nachweis von der Prämien-Genehmigung bis zur Auszahlung zeigt. Der Export ist so konzipiert, dass er alle drei Fragen ohne zusätzliche Vorbereitung beantwortet.
Siehe Prämien und Auszahlungen für Details zum Finanzhauptbuch, das in die Exporte einfließt.
Auf einen Blick
- Prüfen Sie die Dashboard-KPIs zu Beginn jeder Woche, um Rückgänge bei der SLA-Einhaltung frühzeitig zu erkennen
- Prüfen Sie die Metriken-Seite zu Beginn jedes Quartals, um MTTA- und MTTR-Trends zu bestätigen
- Überprüfen Sie die Forscher-Karma-Stufen, um Trusted-Forscher für eine beschleunigte Sichtung zu identifizieren
- Veröffentlichen Sie die Hall of Fame, sobald Sie 5+ angemeldete Forscher haben
- Erstellen Sie einen Quartalsexport für Ihren SOC-2-CC4/CC7-Nachweisordner (VDP-Add-on)
- Richten Sie eine wiederkehrende Kalendererinnerung ein, um vor jedem SOC-2-Auditfenster Metriken abzurufen
- Gleichen Sie den Workflow unter Meldungen sichten ab, wenn die SLA-Einhaltung rückläufig ist
Wie geht es weiter
- Meldungen sichten — der vollständige Sichtungs-Workflow, SLA-Indikatoren und Massenoperationen
- KI-Integration — fragen Sie den KI-Assistenten nach Metriken-Zusammenfassungen und SLA-Analysen