Logo StartupKit
DE

Meldungen an Teams leiten

Erstellen Sie einen Komponenten-Katalog Ihrer Produktbereiche, damit eingehende Schwachstellenmeldungen dem zuständigen Team vorgeschlagen und von ihm übernommen werden.

Warum das zählt

In einem kleinen Programm sichtet eine einzige Person jede Meldung. Wächst Ihr Programm, wird eine einzige Warteschlange zum Engpass: Ein Payments-Bug und ein Mobile-Bug landen im selben Stapel, und der richtige Entwickler sieht die Meldung nur, wenn jemand daran denkt, ihn einzubeziehen.

Ein Komponenten-Katalog löst das. Sie beschreiben Ihre Produktbereiche einmalig – „Payments API“, „Mobile App“, „Marketing Site“ – und Kit schlägt für jede eingehende Meldung den zuständigen Bereich vor, übergibt die Verantwortung an den Standard-Zuständigen dieses Bereichs und benachrichtigt den Slack-Kanal des verantwortlichen Teams, sobald die Meldung validiert ist. Die Weiterleitung bleibt bestmöglich und immer menschlich bestätigt: Kit schlägt vor, Ihr Team entscheidet.

Note

Komponenten sind völlig optional. Meldungen funktionieren auch ohne sie genau wie bisher – Sie gewinnen nur die Weiterleitung hinzu. Beginnen Sie mit zwei oder drei Bereichen, die klaren Teamgrenzen entsprechen, und fügen Sie weitere hinzu, sobald Sie sie brauchen.

Was ist eine Komponente

Eine Komponente ist ein Katalogeintrag pro Programm, der einen Produktbereich innerhalb Ihres Vulnerability Disclosure Program beschreibt. Jede Komponente trägt vier Dinge:

Feld Zweck
Name Die Bereichsbezeichnung, die auf Meldungen und in Slack angezeigt wird (z. B. Payments API). Erforderlich.
Beschreibung Eine kurze Zusammenfassung dessen, was der Bereich abdeckt. Der KI-Klassifikator liest sie, wenn er entscheidet, wohin eine mehrdeutige Meldung gehört – halten Sie sie also konkret.
Geltungsbereichs-Muster URL-Globs, die gegen den betroffenen Endpunkt einer Meldung abgeglichen werden (siehe Geltungsbereichs-Muster unten).
Slack-Kanal Der Kanal des verantwortlichen Teams. Erhält eine „Übernehmen“-Benachrichtigung, sobald eine weitergeleitete Meldung validiert ist.
Standard-Zuständiger Ein Teammitglied, das automatisch die Verantwortung für Meldungen übernimmt, die diesem Bereich zugewiesen werden, sofern die Meldung noch nicht zugewiesen ist.

Nur der Name ist Pflicht. Eine Komponente mit nur einem Namen funktioniert weiterhin als manuelle Bezeichnung; fügen Sie Geltungsbereichs-Muster, einen Kanal und einen Zuständigen hinzu, um automatische Vorschläge und Weiterleitung freizuschalten.

Komponenten einrichten

Öffnen Sie VDP > Programmeinstellungen > Komponenten. Der Reiter „Komponenten“ ist der Katalog – hier fügen Sie Produktbereiche hinzu, bearbeiten und archivieren sie.

Um eine hinzuzufügen, klicken Sie auf Neue Komponente, füllen Sie die Felder aus und speichern Sie:

  • Geben Sie dem Bereich einen klaren Namen und eine konkrete Beschreibung
  • Fügen Sie ein oder mehrere Geltungsbereichs-Muster hinzu, ein Glob pro Zeile
  • Wählen Sie den Slack-Kanal des verantwortlichen Teams (optional)
  • Wählen Sie einen Standard-Zuständigen (optional)

Neue VDP-Abonnenten sehen während des Onboardings zusätzlich einen optionalen Schritt „Produktbereiche einrichten“. Sie können ihn dort abschließen oder überspringen und Ihren Katalog später aufbauen – nichts anderes hängt davon ab.

Geltungsbereichs-Muster

Geltungsbereichs-Muster sind URL-Globs, eines pro Zeile, die gegen den betroffenen Endpunkt abgeglichen werden, den ein Forscher in seiner Meldung angibt. Sie steuern die deterministische Hälfte der Weiterleitung: Passt der Endpunkt einer Meldung auf die Muster genau einer Komponente, gewinnt diese Komponente unmittelbar.

Die eine Regel, über die viele stolpern: Ein Muster ohne führendes * ist am Anfang des Endpunkts verankert. Da betroffene Endpunkte meist vollständige URLs sind, die mit https:// beginnen, sollten Sie den wesentlichen Teil fast immer in * einschließen, damit er als Teilzeichenkette passt.

Der Abgleich erfolgt ohne Beachtung der Groß-/Kleinschreibung, und * passt auch über / hinweg, sodass *pay* ein echter Teilzeichenketten-Treffer ist.

Gegeben sei der Endpunkt https://app.example.com/api/pay/charge:

Muster Passt? Warum
*pay* Führendes und abschließendes * – passt auf „pay“ an beliebiger Stelle der Zeichenkette
*/api/pay/* Wildcards an beiden Enden verankern das Pfadsegment, egal wo es vorkommt
https://app.example.com/* Kein führendes *, aber der Endpunkt beginnt genau mit diesem Text
app.example.com/* Am Anfang verankert – aber der Endpunkt beginnt mit https://, nicht mit app.
/api/pay/charge Am Anfang verankert – der Endpunkt beginnt nicht mit /api/…

Tip

Im Zweifel schließen Sie den charakteristischen Teil des Pfads in * ein: *payments* oder */api/pay/*. Reservieren Sie am Anfang verankerte Muster (https://…/*) für Fälle, in denen Sie bewusst einen exakten Host ab dem ersten Zeichen treffen wollen.

Wie die Weiterleitung funktioniert

Die Weiterleitung ist rein vorschlagend. Kit weist eine Meldung niemals stillschweigend neu zu – jeder Schritt unten zeigt einen Vorschlag, den Ihr Team bestätigt.

1. Kit schlägt einen Bereich vor

Wenn eine Meldung eingereicht wird, wählt Kit in zwei Stufen eine Kandidaten-Komponente:

  1. Deterministischer Abgleich – passt der betroffene Endpunkt der Meldung auf die Geltungsbereichs-Muster genau einer Komponente, ist das ein eindeutiger Treffer mit voller Sicherheit.
  2. KI-Klassifikator – passen die Muster auf nichts oder mehrdeutig auf zwei oder mehr Komponenten, liest ein KI-Klassifikator die Meldung gegen Ihre Komponentenbeschreibungen und schlägt die beste Übereinstimmung vor, oder none.

Kit zeigt nur dann einen Vorschlag, wenn es hinreichend sicher ist. Passt nichts, kommt die Meldung einfach ohne vorgeschlagenen Bereich an – die Weiterleitung blockiert oder verzögert eine Einreichung nie.

2. Das Team bestätigt den Bereich

Auf der Meldungsseite zeigt die Seitenleiste eine Karte „Bereich / verantwortliches Team“. Wenn Kit einen Vorschlag hat, erscheint er als „Vorgeschlagener Bereich“ mit einem Sicherheits-Prozentsatz und einer einzeiligen Begründung. Ihr Team kann dann:

  • den Vorschlag annehmen oder
  • einen anderen Bereich aus der Auswahl wählen oder
  • ihn ungesetzt lassen.

Das Annehmen einer Komponente setzt den Bereich der Meldung und weist – sofern die Komponente einen Standard-Zuständigen hat – diese Person als Verantwortlichen der Meldung zu (sofern nicht bereits jemand verantwortlich ist). Sie können den Bereich jederzeit über dieselbe Karte entfernen oder ändern.

3. Das verantwortliche Team wird benachrichtigt

Sobald eine weitergeleitete Meldung validiert ist (die Sichtung besteht – siehe Meldungen sichten), postet Kit, sofern die zugehörige Komponente einen Slack-Kanal hat, eine Benachrichtigungskarte mit einer Schaltfläche „Übernehmen“ (Take it over) in diesen Kanal. Jedes Teammitglied kann darauf klicken, um die Meldung zu übernehmen und ihr Verantwortlicher zu werden. Die Benachrichtigung wird pro Meldung genau einmal ausgelöst, sodass erneutes Validieren oder Neuzuweisen den Kanal nicht zuspamt.

Note

Die Slack-Benachrichtigung wird erst nach der Validierung ausgelöst, nicht bei der Einreichung – der Kanal eines Teams bleibt also ruhig, bis eine Meldung als echt und im Geltungsbereich bestätigt ist. Konfigurieren Sie Slack unter Kontoeinstellungen > Integrationen.

Empfohlen / Nicht empfohlen

Empfohlen Nicht empfohlen
Den wesentlichen Pfad in * einschließen (*payments*) Das führende * weglassen und einen Teilzeichenketten-Treffer erwarten
Konkrete Beschreibungen schreiben – der KI-Klassifikator liest sie Sich bei Bereichen mit unscharfen URL-Grenzen allein auf Geltungsbereichs-Muster verlassen
Jeden Vorschlag als zu bestätigenden Vorschlag behandeln Annehmen, ein vorgeschlagener Bereich sei bereits zugewiesen – ist er erst nach dem Annehmen
Für Bereiche mit klarem Verantwortlichen einen Standard-Zuständigen festlegen Eine Komponente auf einen Slack-Kanal richten, in dem Kit kein Mitglied ist
Ausgemusterte Bereiche archivieren Verlauf löschen – Archivieren bewahrt ihn

Verwaltung über MCP-Tools

Der Katalog steht auch KI-Agenten und API-Clients über MCP-Tools zur Verfügung, sodass Sie Ihren Katalog programmatisch aufbauen und weiterleiten können:

  • csirt_list_components – den Katalog auflisten (lesend)
  • csirt_create_component / csirt_update_component – einen Bereich hinzufügen oder bearbeiten (schreibend)
  • csirt_archive_component – einen Bereich ausmustern (schreibend)
  • csirt_assign_component – den vorgeschlagenen Bereich einer Meldung setzen, entfernen oder abfragen. Lassen Sie die Komponenten-ID weg, um den deterministischen/KI-Vorschlag zu erhalten, ohne etwas zu ändern, und rufen Sie dann erneut mit der vorgeschlagenen ID auf, um ihn zu bestätigen.

Schreib-Tools erfordern den Scope csirt_write und bestätigen immer, bevor sie handeln, analog zum Vorschlagen-dann-Bestätigen-Ablauf der Oberfläche. Die vollständige Tool-Referenz und die Einrichtung der Verbindung finden Sie unter AI Integration.

Eine Komponente archivieren

Um einen Bereich auszumustern, klicken Sie im Reiter „Komponenten“ auf Archivieren. Das Archivieren ist ein Soft-Delete:

  • Meldungen, die der Komponente bereits zugewiesen wurden, behalten ihren Verlauf – der Bereich wird auf diesen Meldungen weiterhin angezeigt.
  • Neue Meldungen werden nicht mehr dorthin geleitet – der Bereich verschwindet aus den Vorschlägen und der Auswahl.

Das ist der sichere Weg, einen Produktbereich stillzulegen, ohne die Vergangenheit umzuschreiben. Ein hartes Löschen über die Oberfläche gibt es nicht; das Archivieren ist bewusst gefahrlos umkehrbar statt destruktiv.

Kurz-Check

  • Erstellen Sie für jeden Produktbereich mit klarer Teamgrenze eine Komponente
  • Schreiben Sie eine konkrete Beschreibung – der KI-Klassifikator ist darauf angewiesen
  • Fügen Sie Geltungsbereichs-Muster hinzu und schließen Sie den charakteristischen Pfad in * ein (z. B. *payments*)
  • Legen Sie einen Slack-Kanal fest, damit das zuständige Team die „Übernehmen“-Benachrichtigung erhält
  • Legen Sie für Bereiche mit klarem Verantwortlichen einen Standard-Zuständigen fest
  • Bestätigen oder ändern Sie bei neuen Meldungen den vorgeschlagenen Bereich in der Seitenleisten-Karte
  • Archivieren Sie ausgemusterte Bereiche, statt sie zu löschen

Wie geht es weiter

  • Meldungen sichten – das Sichtungs-Board, SLA-Indikatoren und der Validierungsschritt, der Team-Benachrichtigungen auslöst
  • Ihr Programm konfigurieren – Geltungsbereich, SLAs, Prämienmatrix und der Rest der Programmeinstellungen
  • AI Integration – der vollständige MCP-Tool-Satz, einschließlich der Tools für den Komponenten-Katalog

Suchbegriff eingeben...