Logo StartupKit
DE
English Deutsch Français Español Polski

Meldungen mit Kollegen teilen

Teilen Sie eine einzelne Schwachstellen-Meldung über einen sicheren, an die E-Mail-Adresse gebundenen und ablaufenden Link mit einem Entwickler außerhalb Ihres Teams — ohne den Forscher, die Prämie oder interne Notizen offenzulegen.

Warum das zählt

Eine gültige Meldung muss oft jemanden erreichen, der nicht zu Ihrem Sicherheitsteam gehört — den Entwickler, der den betroffenen Dienst verantwortet, eine Bereitschaftsleitung oder einen externen Auftragnehmer. Wer die ungekürzte Meldung einfach weiterleitet, gibt die Identität des Forschers, Ihre Prämienbeträge und Ihre internen Sichtungsnotizen preis — und E-Mail-Threads lassen sich nicht zurückrufen. Beim Teilen mit Kollegen erhält diese Person genau das, was sie zum Bestätigen und Beheben des Fehlers braucht — und nichts darüber hinaus — hinter einem Link, der abläuft und den Sie jederzeit widerrufen können.

Das Teilen mit Kollegen ist in den kostenpflichtigen VDP-Tarifen verfügbar.

Eine Meldung teilen

Öffnen Sie eine Meldung und nutzen Sie Share with a peer (Mit einem Kollegen teilen) im Bereich Shared links (Geteilte Links). Geben Sie die E-Mail-Adresse des Empfängers ein, legen Sie fest, ob er kommentieren darf, und senden Sie die Einladung ab. Kit verschickt im Namen Ihres Programms eine mit Ihrem Branding versehene Einladung — die E-Mail selbst enthält keinerlei Details zur Schwachstelle.

Der Link ist an diese E-Mail-Adresse gebunden. Wenn der Kollege ihn öffnet, muss er die Adresse bestätigen, bevor die Meldung angezeigt wird. Ein weitergeleiteter Link ist damit für alle anderen wertlos — die Bestätigung erreicht immer nur den ursprünglichen Empfänger.

Was der Kollege sieht

Die geteilte Ansicht ist eine geschwärzte, schreibgeschützte Version der Meldung:

  • Angezeigt — Schwachstellentyp, betroffener Endpunkt, Schweregrad, Beschreibung, Reproduktionsschritte und Anhänge (bereitgestellt als kurzlebige Downloads außerhalb der eigenen Domain).
  • Verborgen — die Identität und E-Mail-Adresse des Forschers, Prämienbeträge, Ihre internen Notizen, der Autor der Bewertung sowie der Zeitverlauf Ihres Teams.

Wenn Sie Kommentare aktiviert haben, kann der Kollege antworten. Seine Antworten landen in der Meldung als interne, nur für das Team sichtbare Notizen (klar als von einem externen Kollegen stammend gekennzeichnet) und werden dem Forscher niemals angezeigt.

Ablauf und Widerruf

  • Links laufen 7 Tage nach ihrer Erstellung ab.
  • Ein Link funktioniert automatisch nicht mehr, sobald die Meldung abgelehnt oder geschlossen wird.
  • Sie können einen Link jederzeit über den Bereich Shared links widerrufen — der Kollege verliert sofort den Zugriff.

Wenn ein Link abgelaufen ist

Ein Kollege, der einen abgelaufenen Link öffnet, läuft nicht länger ins Leere. Nachdem er die E-Mail-Adresse bestätigt hat, an die der Link gesendet wurde, kann er:

  • Einen neuen Link anfordern — Kit sendet einen neuen, 7 Tage gültigen Link an dieselbe Adresse (niemals an eine andere), selbst wenn sich die Meldung inzwischen weiterentwickelt hat. Ein widerrufener Link lässt sich nicht selbst erneuern — der Widerruf ist Ihre Entscheidung, den Zugriff zu beenden, daher sieht der Kollege nur einen Hinweis, sich an Sie zu wenden.
  • Die Aufnahme ins Team beantragen — derselbe unten beschriebene Ablauf zur Aufnahme ins Team.

Sehen, wer eine Meldung geöffnet hat

Externer Zugriff wird als Sicherheitssignal sichtbar gemacht, nicht als stille „Gelesen”-Bestätigung:

  • Der Bereich Shared links zeigt jeden Empfänger mit Status, Anzahl der Aufrufe, Zeitpunkt des letzten Aufrufs und dem Land, aus dem er geöffnet wurde.
  • Der Kopfbereich der Meldung zeigt einen Chip „Shared · N external viewers”.
  • Der Zeitverlauf der Meldung erfasst ein Ereignis External viewer opened this report.
  • Die Person, die den Link geteilt hat, sowie der zuständige Bearbeiter der Meldung werden benachrichtigt, sobald eine neue Adresse den Link zum ersten Mal öffnet — eine neue Adresse auf demselben Link kann auf eine Weiterleitung hindeuten.

Aufnahme ins Team beantragen

Ein Kollege, der dauerhaften Zugriff benötigt, kann direkt aus der geteilten Meldung heraus die Aufnahme in Ihr Sicherheitsteam beantragen. Die Anfrage landet bei Ihren Konto-Administratoren zusammen mit allen anderen Zugriffsanfragen; mit der Genehmigung wird eine normale Team-Einladung verschickt, und sobald sie angenommen ist, wird die Person ein vollwertiges Mitglied mit eigenem Konto — keine einmaligen Links mehr.

Wenn Sie die Anfrage öffnen, zeigt Ihnen Kit, wer fragt (Name, E-Mail-Adresse und das Land, aus dem die Anfrage gestellt wurde) und zu welcher Meldung der geteilte Link gehört — so können Sie bestätigen, dass Sie tatsächlich mit dieser Person geteilt haben, bevor Sie sie einladen. Approve (Genehmigen) verschickt die Team-Einladung; Dismiss (Verwerfen) verwirft die Anfrage stillschweigend (der Antragsteller wird nie benachrichtigt).

Suchbegriff eingeben...