Metriken und Exporte
Wie Sie Ihr VDP-Metriken-Dashboard lesen, Forscher-Karma verwalten, die Hall of Fame veröffentlichen und SOC 2-Nachweisexporte erstellen.
Warum es wichtig ist
Metriken sind der wichtigste Mechanismus, um die Wirksamkeit Ihres VDP gegenüber Auditoren nachzuweisen. “Wir haben ein Vulnerability Disclosure Program” reicht als Nachweis nicht aus. “Wir haben 100 % der Meldungen innerhalb von 72 Stunden bestätigt und kritische Probleme innerhalb von 48 Stunden behoben” hingegen schon.
SOC 2 Type II erfordert zeitlich eingegrenzte Daten: eingegangene Meldungen, SLA-Einhaltungsrate, Verteilung nach Schweregrad und Behebungszeiten. Das Metriken-Dashboard und die Export-Pipeline von Kit sind so konzipiert, dass sie genau das liefern, was Ihr Auditor verlangt – ohne hektische Zusammenstellung am Quartalsende.
Dashboard-KPIs
Fünf übergeordnete Kennzahlen erscheinen oben auf Ihrem VDP-Dashboard. Sie bieten Ihnen bei jedem Öffnen des Moduls einen schnellen Gesundheitscheck.
| KPI | Beschreibung |
|---|---|
| Offene Meldungen | Anzahl der Meldungen, die noch nicht behoben oder abgewiesen wurden |
| Warten auf Triage | Meldungen im Status Submitted ohne Bewertung |
| SLA-Compliance % | Prozentsatz der Meldungen, die innerhalb des konfigurierten SLA bestätigt wurden |
| Genehmigte Bounties | Gesamtwert genehmigter Bounties in diesem Zeitraum (nur VDP Add-on) |
| KI-markiert | Anzahl der Meldungen mit KI-Markierung, die auf manuelle Prüfung warten |
KPIs werden beim Laden der Seite aktualisiert. Es gibt keine automatische Aktualisierung – laden Sie die Seite neu oder navigieren Sie zurück, um aktuelle Zahlen zu sehen.
Metriken-Seite
Navigieren Sie zu VDP > Metriken für detaillierte Analysen. Verwenden Sie den Datumsbereichsfilter oben, um die Daten einzugrenzen: letzte 7 Tage, 30 Tage, 90 Tage oder ein benutzerdefinierter Zeitraum.
Die Metriken-Seite ist in acht Abschnitte unterteilt:
| Abschnitt | Was er zeigt |
|---|---|
| MTTA (Mean Time to Acknowledge) | Durchschnittliche Stunden von der Einreichung bis zur ersten Antwort, über alle Meldungen im Zeitraum |
| MTTR (Mean Time to Resolve) | Durchschnittliche Stunden von der Einreichung bis zur Behebung, aufgeschlüsselt nach Schweregrad |
| SLA-Compliance-Trend | Liniendiagramm der Einhaltungsrate im Zeitverlauf – achten Sie auf Abwärtstrends, bevor sie zu Auditbefunden werden |
| Meldungen im Zeitverlauf | Balkendiagramm der Einreichungen pro Woche oder Monat – nützlich zum Erkennen saisonaler Muster oder Häufungen von Offenlegungen |
| Nach Schweregrad | Aufschlüsselung der Meldungen nach Schweregrad-Stufe (Super Critical bis Informational) |
| Nach Status | Verteilung der aktuell offenen Meldungen über die Statusspalten (Submitted, Triaged, Validated, In Progress usw.) |
| Nach Schwachstellentyp | OWASP-Kategorieverteilung – zeigt, für welche Schwachstellenklassen Ihr Produkt am anfälligsten ist |
| Top-Forscher | Rangfolge nach Anzahl gültiger Meldungen – identifiziert Ihre wertvollsten externen Mitwirkenden |
Alle Abschnitte berücksichtigen den ausgewählten Datumsbereich. MTTA und MTTR sind die beiden Kennzahlen, nach denen Ihr SOC 2-Auditor zuerst fragen wird.
Forscher-Karma
Kit verfolgt die Qualität von Forschern über die Zeit mithilfe eines Karma-Systems. Navigieren Sie zu VDP > Forscher für das vollständige Forscher-Verzeichnis mit Karma-Stufen.
| Karma-Stufe | Bedeutung | Auswirkung |
|---|---|---|
| Trusted | Durchgehend gültige, qualitativ hochwertige Meldungen | Meldungen werden in der Triage beschleunigt |
| Neutral | Kein eindeutiges Signal | Standard-Triage-Ablauf |
| Low | Vorgeschichte mit qualitativ minderwertigen Meldungen | Meldungen werden zur Prüfung vormarkiert |
| Untrusted | Muster von Spam oder bösgläubigen Einreichungen | Meldungen werden automatisch markiert; optionale automatische Ablehnung |
Karma wird automatisch anhand von Ereignissen angepasst, die mit den Einreichungen des Forschers verknüpft sind.
Positive Ereignisse (erhöhen Karma):
- Gültige Meldung eingereicht und behoben
- Bounty für eine bestätigte Schwachstelle ausgezahlt
- Behebung vom Forscher verifiziert
Negative Ereignisse (verringern Karma):
- Meldung als Spam abgewiesen
- Meldung als Duplikat abgewiesen
- Wiederholt nicht reproduzierbare Einreichungen
- Einspruch nach Prüfung abgelehnt
Karma-Stufen helfen Ihrem Team bei der Priorisierung der Triage. Eine Meldung eines Trusted-Forschers kann mit höherer Zuversicht beschleunigt werden. Eine Meldung eines Untrusted-Forschers gelangt weiterhin in die Warteschlange, wird jedoch markiert, damit Ihr Team die angemessene Sorgfalt walten lassen kann.
Hall-of-Fame-Verwaltung
Navigieren Sie zu VDP > Hall of Fame, um die öffentliche Forscher-Bestenliste zu verwalten. Die Hall of Fame würdigt Forscher, die gültige Meldungen zu Ihrem Programm beigetragen haben.
Wichtige Regeln:
- Forscher melden sich über ihr Portal an – Mitarbeiter können einen Forscher nicht auf die Bestenliste setzen
- Mitarbeiter können einen Forscher hervorheben, wodurch dieser oben auf der öffentlichen Seite angeheftet wird
- Mitarbeiter können einen Forscher von der Bestenliste entfernen, was dessen Anmeldung überschreibt
Die öffentliche Hall of Fame ist unter /security/{program-slug}/hall-of-fame verfügbar. Teilen Sie diese URL in Ihrer Disclosure Policy, um zu signalisieren, dass Sie die Beiträge von Forschern wertschätzen. Die meisten Programme veröffentlichen die Hall of Fame, sobald sie fünf oder mehr angemeldete Forscher haben.
Exporte erstellen
Navigieren Sie zu VDP > Exporte und klicken Sie auf Neuer Export, um ein audit-fertiges Nachweispaket zu erstellen. Exporte erfordern das VDP Add-on (49 $/Monat).
Konfigurieren Sie den Export mit diesen Filtern:
| Filter | Optionen |
|---|---|
| Datumsbereich | Start- und Enddatum für den Berichtszeitraum |
| Status | Nach Meldungsstatus filtern (z. B. nur Resolved oder alle Status) |
| Schweregrad | Nach Schweregrad-Stufe filtern (z. B. nur Critical und High) |
| Schwachstellentyp | Nach OWASP-Kategorie filtern |
Wählen Sie Ihr Format:
| Format | Am besten geeignet für |
|---|---|
| CSV | Maschinenlesbare Daten für Tabellenkalkulationen, weitere Analysen oder Import in GRC-Tools |
| Menschenlesbarer Bericht, formatiert für Auditoren – mit Kopfzeilen, Zusammenfassungen und Tabellen |
Jeder Export enthält vier Abschnitte:
| Abschnitt | Inhalt |
|---|---|
| Meldungsübersichten | Meldungs-ID, Titel, Status, Schweregrad, CVSS-Score, Einreichungsdatum, Behebungsdatum |
| SLA-Performance | SLA-Status pro Meldung (im Zeitrahmen oder überschritten), verstrichene Stunden bis zur Bestätigung und Behebung |
| Kommunikationsprotokoll | Nur externe Nachrichten (forscherseitige Kommunikation, keine internen Notizen) |
| Finanz-Ledger | Bounty-Genehmigungen, Auszahlungsdatensätze und Auszahlungsstatus für den Zeitraum |
Exporte sind asynchron. Kit verarbeitet den Export im Hintergrund und sendet Ihnen einen Download-Link per E-Mail, sobald er fertig ist. Große Exporte, die mehrere Quartale umfassen, können einige Minuten dauern.
SOC 2-Nachweis-Workflow
Der empfohlene Workflow für SOC 2 Type II-Audits:
- Navigieren Sie am Ende jedes Quartals zu VDP > Exporte und erstellen Sie einen neuen Export für das Quartal
- Wählen Sie Alle Status und Alle Schweregrade, um das vollständige Bild zu erfassen
- Wählen Sie das PDF-Format für die primäre Nachweisdatei und CSV als Ergänzung
- Laden Sie beide Dateien herunter, sobald die E-Mail eintrifft
- Fügen Sie sie Ihren CC4 (Monitoring Activities)- und CC7 (System Operations)-Nachweisordnern bei
Ihr Auditor wird in diesem Export auf drei Dinge achten: dass Meldungen empfangen und nachverfolgt werden, dass SLA-Ziele konsequent eingehalten werden und dass das Finanz-Ledger einen lückenlosen Nachweis von der Bounty-Genehmigung bis zur Auszahlung zeigt. Der Export ist so konzipiert, dass er alle drei Fragen ohne zusätzliche Vorbereitung beantwortet.
Siehe Bounties und Auszahlungen für Details zum Finanz-Ledger, das in die Exporte einfließt.
Schnellcheckliste
- Prüfen Sie die Dashboard-KPIs zu Beginn jeder Woche, um Rückgänge bei der SLA-Einhaltung frühzeitig zu erkennen
- Prüfen Sie die Metriken-Seite zu Beginn jedes Quartals, um MTTA- und MTTR-Trends zu bestätigen
- Überprüfen Sie die Forscher-Karma-Stufen, um Trusted-Forscher für beschleunigte Triage zu identifizieren
- Veröffentlichen Sie die Hall of Fame, sobald Sie 5+ angemeldete Forscher haben
- Erstellen Sie einen Quartalsexport für Ihren SOC 2 CC4/CC7-Nachweisordner (VDP Add-on)
- Richten Sie eine wiederkehrende Kalendererinnerung ein, um Metriken vor jedem SOC 2-Auditfenster abzurufen
- Gleichen Sie den Workflow unter Meldungen triagieren ab, wenn die SLA-Einhaltung rückläufig ist
Nächste Schritte
- Meldungen triagieren – der vollständige Triage-Workflow, SLA-Indikatoren und Massenoperationen
- KI-Integration – fragen Sie den KI-Assistenten nach Metriken-Zusammenfassungen und SLA-Analysen