Das Forscherportal
Wie Forscher Meldungen einreichen, den Status verfolgen, Entscheidungen anfechten und Auszahlungsinformationen über das sichere Portal einrichten.
Warum es wichtig ist
Forscher reichen deutlich eher über ein transparentes, strukturiertes Portal ein als über eine anonyme security@-Inbox. Ein klarer Einreichungsablauf mit integrierter Statusverfolgung zeigt Forschern, dass Sie ihre Arbeit ernst nehmen, was qualitativ hochwertigere Meldungen anzieht und langfristiges Vertrauen in der Sicherheitscommunity aufbaut.
Das Forscherportal von Kit verwendet Magic-Link-Authentifizierung – keine Passwörter zu verwalten, keine Konten zu erstellen. Dies eliminiert Reibung für einmalige Forscher und gewährleistet gleichzeitig Verantwortlichkeit und einen sicheren Kommunikationskanal für jede Meldung.
Was Forscher sehen
Das Forscherportal befindet sich unter einer separaten URL von Ihrem Mitarbeiter-Dashboard:
/security/{program-slug}/
Dies ist ein öffentlich zugängliches Portal – getrennt von der Kit-Admin-Oberfläche, die Ihr Team verwendet. Das Erlebnis basiert auf drei Prinzipien:
Benutzerdefinierte Domain (VDP Add-on)
Mit dem VDP Add-on können Sie Ihr Sicherheitsportal auf Ihrer eigenen Domain bereitstellen – zum Beispiel security.yourcompany.com – anstelle des Standard-Kit-Subdomain-Pfads. Richten Sie einen DNS-CNAME-Eintrag auf Kit und fügen Sie die Domain unter Kontoeinstellungen > Benutzerdefinierte Domains hinzu. Sobald die Domain verifiziert und aktiv ist, werden alle Portal-URLs (/policy, /report, /hall-of-fame, /.well-known/security.txt) direkt von Ihrer Domain ohne Pfadpräfix ausgeliefert.
Benutzerdefinierte Sicherheitsportal-Domains erfordern das VDP Add-on (49 $/Monat).
- Niedrige Einstiegshürde – Keine Anmeldung erforderlich, um eine Meldung einzureichen. Forscher benötigen nur eine E-Mail-Adresse.
- Transparenz nach der Einreichung – Sobald eine Meldung eingereicht ist, erhält der Forscher einen Magic-Link per E-Mail, um auf sein Portal zuzugreifen. Von dort kann er seine eingereichten Meldungen, den aktuellen Status jeder Meldung, den Nachrichtenthread mit Ihrem Team und eine Zeitleiste der Ereignisse einsehen.
- Strenge Isolation – Forscher können keine internen Mitarbeiternotizen, Meldungen anderer Forscher oder Details jenseits ihrer eigenen Einreichungen sehen.
Eine Meldung einreichen
Das öffentliche Einreichungsformular ist unter /security/{program-slug}/reports/new verfügbar. Kein Konto erforderlich – der Forscher gibt eine E-Mail-Adresse an und Kit erledigt den Rest.
Pflichtfelder
| Feld | Beschreibung |
|---|---|
| Schwachstellentyp | OWASP-Kategorie aus einem Dropdown (SQL Injection, XSS, Broken Auth, IDOR, SSRF, RCE usw.) |
| Betroffener Endpunkt | Die URL oder Systemkomponente, in der die Schwachstelle existiert |
| Schweregrad (Selbsteinschätzung) | Die eigene Schätzung des Forschers – nicht bindend für die endgültige Bewertung Ihres Teams |
| Beschreibung | Vollständige Details der Schwachstelle mit Markdown-Unterstützung |
| Reproduktionsschritte | Schritt-für-Schritt-Anleitung zur Reproduktion des Problems |
| Auswirkung | Welche Daten oder Funktionen bei Ausnutzung der Schwachstelle gefährdet sind |
| E-Mail-Adresse | Wird für Magic-Link-Portalzugang und alle Benachrichtigungen verwendet |
Forscher können auch Dateien anhängen – Screenshots, Proof-of-Concept-Code oder Videoaufnahmen. Diese sind optional, werden aber bei komplexen Schwachstellen empfohlen.
Bei der Einreichung wird eine CAPTCHA-Abfrage angezeigt und eine IP-basierte Ratenlimitierung gilt, um automatisierten Spam von Ihrer Triage-Warteschlange fernzuhalten.
Nach der Einreichung
Sobald eine Meldung eingereicht ist, passieren zwei Dinge sofort:
- Die Meldung erscheint in der Triage-Warteschlange Ihres Teams (siehe Meldungen triagieren)
- Der Forscher erhält eine Bestätigungs-E-Mail mit einem Magic-Link zu seinem Portal
Der Magic-Link gewährt Zugang zum Forscherportal ohne jedes Passwort. Jede weitere E-Mail-Benachrichtigung enthält ebenfalls einen frischen Portal-Link über die Template-Variable {{ portal_link }}.
Magic-Link-Authentifizierung
Das Portal verwendet E-Mail-basierte Magic-Links anstelle von Passwörtern. So funktioniert es:
- Der Forscher besucht
/security/{program-slug}/und gibt seine E-Mail-Adresse ein - Kit sendet einen einmaligen Login-Link an diese Adresse
- Ein Klick auf den Link authentifiziert den Forscher und öffnet sein Portal
- Die Sitzung bleibt bestehen, bis der Browser geschlossen wird oder der Link abläuft
Wenn ein Forscher keine bestehende Sitzung hat, kann er jederzeit einen neuen Magic-Link über die Portal-Anmeldeseite anfordern. Ein Link “Neue Meldung einreichen” ist ebenfalls auf der Anmeldeseite für Erstbesucher verfügbar.
Meldungsstatus einsehen
Vom Portal aus sehen Forscher eine Liste aller von ihnen eingereichten Meldungen. Jede Meldungskarte zeigt:
| Element | Details |
|---|---|
| Meldungs-ID | Eindeutiger präfixierter Bezeichner (z. B. RPT-abc123) |
| Titel | Der Schwachstellentitel aus der Einreichung |
| Schweregrad | Wird angezeigt, sobald Ihr Team die Bewertung abgeschlossen hat |
| Status | Aktueller Status in verständlicher Sprache (z. B. “Validated”, “In Progress”, “Resolved”) |
| Bounty | Betrag und Status, falls ein Bounty genehmigt wurde |
| Einreichungsdatum | Wann die Meldung ursprünglich eingereicht wurde |
Ein Klick auf eine Meldung zeigt die vollständige Detailansicht: den ursprünglichen Einreichungsinhalt, den aktuellen Status mit Erläuterung, den Nachrichtenthread (nur externe Nachrichten – interne Mitarbeiternotizen sind verborgen) und eine Zeitleiste aller Übergänge.
Forscher können Meldungsdetails nach der Einreichung nicht bearbeiten. Sie können mit Ihrem Team kommunizieren, indem sie Nachrichten im Meldungsthread senden, der der primäre Kanal für Klärungsanfragen und Statusupdates ist. Siehe Mit Forschern kommunizieren für die Verwaltung dieser Gespräche durch Ihr Team.
Einsprüche
Wenn Ihr Team eine Meldung abweist, hat der Forscher die Möglichkeit, die Entscheidung direkt über das Portal anzufechten.
Wie Einsprüche funktionieren
- Der Forscher öffnet die abgewiesene Meldung in seinem Portal
- Er klickt auf Einspruch und gibt eine schriftliche Begründung an (mindestens 10 Zeichen)
- Der Einspruch wird eingereicht und Ihr Team wird über die
appeal_received-E-Mail-Vorlage und eine Slack-Benachrichtigung (falls konfiguriert) benachrichtigt - Ihr Team prüft den Einspruch in der Meldungsdetailansicht und kann die ursprüngliche Abweisung entweder bestätigen oder aufheben
Einspruchslimits
Jede Meldung hat eine konfigurierbare maximale Anzahl von Einsprüchen. Der Standard liegt bei 3 Einsprüchen pro Meldung. Sie können dieses Limit in den Triage-Einstellungen Ihres Programms anpassen. Das Portal zeigt an, wie viele Einsprüche verwendet wurden (z. B. “Einsprüche verwendet: 1 von 3”), damit Forscher wissen, wo sie stehen.
NDA / Vereinbarung
Sie können optional verlangen, dass Forscher eine Programmvereinbarung akzeptieren, bevor ein Bounty ausgezahlt wird. Dies ist nützlich für Geheimhaltungsvereinbarungen oder koordinierte Disclosure-Bedingungen.
- Konfigurieren Sie den Vereinbarungstext in den Programmeinstellungen mit dem Rich-Text-Editor
- Wenn ein Bounty genehmigt wird, sieht der Forscher eine Vereinbarung akzeptieren-Aufforderung in seinem Portal
- Die Akzeptanz wird mit Zeitstempel erfasst
- Der Forscher kann optional eine unterschriebene Kopie des Dokuments hochladen
Die Akzeptanz der Vereinbarung ist Voraussetzung für die Auszahlung – wenn aktiviert, wird die Auszahlungspipeline nicht fortgesetzt, bis der Forscher akzeptiert hat.
Auszahlungseinrichtung (VDP Add-on)
Nachdem Ihr Team einen Bounty genehmigt hat, wird der Forscher in seinem Portal aufgefordert, Auszahlungsinformationen anzugeben. Dieser Bereich ist nur mit dem VDP Add-on (49 $/Monat) verfügbar.
Unterstützte Auszahlungsmethoden hängen davon ab, was Sie in den Programmeinstellungen konfiguriert haben:
- Banküberweisung – Der Forscher gibt seine Bankverbindung an
- PayPal – Der Forscher gibt seine PayPal-E-Mail-Adresse an
- Krypto – Der Forscher gibt eine Wallet-Adresse an
Auszahlungsinformationen werden im Ruhezustand verschlüsselt. Nach der Einreichung werden die vollständigen Daten nie wieder im Portal angezeigt – der Forscher sieht nur eine Bestätigung, dass seine Informationen hinterlegt sind. Ihr Team verwendet diese Informationen ausschließlich zur Durchführung der Überweisung. Siehe Bounties und Auszahlungen für den vollständigen Auszahlungsworkflow.
Steuerdokumente (VDP Add-on)
Für Programme, die Steuerdokumentation vor der Auszahlung erfordern, laden Forscher ihre Formulare direkt über das Portal hoch. Dieser Bereich ist nur mit dem VDP Add-on (49 $/Monat) verfügbar.
| Dokument | Wer es benötigt | Zweck |
|---|---|---|
| W-9 | In den USA ansässige Forscher | Vom IRS für inländische Zahlungen über 600 $/Jahr vorgeschrieben |
| W-8BEN | Nicht-US-Forscher | Bestätigt den Auslandsstatus und beansprucht Abkommensvorteile zur Reduzierung der Quellensteuer |
Ablauf des Uploads:
- Nachdem ein Bounty genehmigt wurde, sieht der Forscher eine Aufforderung in seinem Portal, das entsprechende Steuerdokument hochzuladen
- Der Forscher wählt den Dokumenttyp (W-9 oder W-8BEN) und lädt die Datei hoch
- Ihr Team prüft das Dokument und markiert es im Steuerdokumente-Bereich des Mitarbeiter-Dashboards als verifiziert oder abgelehnt
- Bei Ablehnung wird der Forscher benachrichtigt und kann eine korrigierte Version hochladen
Ein wiederkehrender Hintergrundjob überwacht Dokumentablaufdaten und sendet Erinnerungen an Forscher, wenn ihre Dokumente bald ablaufen. Die Verifizierung von Steuerdokumenten ist Voraussetzung für die Auszahlung, wenn diese Anforderung in Ihren Programmeinstellungen aktiviert ist.
Zugriffskontrolle: Nur auf Einladung
Standardmäßig ist Ihr Sicherheitsportal für jeden mit der URL öffentlich zugänglich. Sie können in den Nur-auf-Einladung-Modus wechseln, um einzuschränken, wer Meldungen einreichen kann – nützlich für private Programme, Early-Access-Betas oder Programme, die auf eine kuratierte Forscherliste beschränkt sind.
Um ihn zu aktivieren, gehen Sie zu VDP > Sicherheitsportal-Einstellungen und setzen Sie die Zugriffskontrolle auf Nur auf Einladung. Kit generiert automatisch einen geheimen Zugangstoken. Teilen Sie die resultierende Einladungs-URL direkt mit vertrauenswürdigen Forschern – sie enthält den Token und gewährt bei Klick eine dauerhafte Browsersitzung.
Zugriffsanfrageformular
Wenn ein Besucher auf Ihrem gesperrten Portal ohne gültigen Token landet, sieht er statt einer Sackgasse ein kurzes Zugang anfragen-Formular. Er kann seine E-Mail-Adresse und eine optionale Nachricht eingeben, die sein Interesse erklärt. Sie sind nicht verpflichtet, jede Anfrage zu genehmigen, und das Absenden des Formulars verrät dem Besucher nicht, ob seine E-Mail bereits in Bearbeitung ist – dies verhindert eine Aufzählung.
Wenn eine Anfrage eingeht:
- Eine Benachrichtigungs-E-Mail wird an Ihre
security.txt-Kontakt-E-Mail (oder Konto-Abrechnungs-E-Mail als Fallback) gesendet - Der Punkt Zugriffsanfragen erscheint in der VDP-Seitenleiste unter Konfiguration mit einem Badge, das die ausstehende Anzahl anzeigt
- Öffnen Sie VDP > Zugriffsanfragen, um ausstehende Anfragen zu prüfen – E-Mail-Adresse, optionale Nachricht und Einreichungsdatum werden angezeigt
- Klicken Sie auf Genehmigen und Einladung senden, um dem Anfragenden seinen persönlichen Einladungslink in einem Schritt zu senden
Der bei der Genehmigung gesendete Einladungslink ist dieselbe tokenbasierte URL, die Sie manuell teilen würden. Sobald ein Forscher darauf klickt, hat er eine dauerhafte Sitzung und kann Meldungen normal einreichen.
Hall of Fame
Forscher können sich über ihr Portalprofil für die öffentliche Hall of Fame Ihres Programms anmelden. Dies ist vollkommen freiwillig – kein Forscher wird ohne seine ausdrückliche Zustimmung gelistet.
So funktioniert es:
- Auf der Portalprofilseite aktiviert der Forscher Mein Handle öffentlich anzeigen
- Nur sein Handle wird auf der öffentlichen Bestenliste angezeigt – niemals sein richtiger Name oder seine E-Mail-Adresse
- Ihr Team kann bestimmte Forscher über die Hall-of-Fame-Verwaltungsseite im Mitarbeiter-Dashboard hervorheben (hervorgehobene Forscher erscheinen zuerst)
- Die öffentliche Hall of Fame ist unter
/security/{program-slug}/hall-of-famezugänglich
Die Hall of Fame ist ein kostengünstiger Anreiz, der besonders gut für Anerkennungs-Programme (ohne monetäre Bounties) funktioniert. Aktivieren Sie sie in den Programmeinstellungen, um Forschern einen Grund zur Teilnahme zu geben.
Schnellcheckliste
- Überprüfen Sie Ihre Einreichungsformular-URL (
/security/{program-slug}/reports/new) und teilen Sie sie in Ihrer security.txt und Website-Fußzeile - (VDP Add-on) Richten Sie eine benutzerdefinierte Domain ein (z. B.
security.yourcompany.com) unter Kontoeinstellungen > Benutzerdefinierte Domains für ein gebrandetes Forschererlebnis - Testen Sie den Magic-Link-Ablauf, indem Sie eine Testmeldung mit einer persönlichen E-Mail einreichen
- Passen Sie die
report_acknowledged-E-Mail-Vorlage an, damit Forscher wissen, was sie nach der Einreichung erwartet - Konfigurieren Sie das Einspruchslimit in den Triage-Einstellungen (Standard: 3 pro Meldung)
- Richten Sie eine NDA/Vereinbarung ein, wenn Ihr Programm eine solche vor der Auszahlung erfordert
- Aktivieren Sie die Hall of Fame in den Programmeinstellungen, um die Teilnahme von Forschern zu fördern
- Wenn Sie ein privates Programm betreiben, aktivieren Sie die Nur-auf-Einladung-Zugriffskontrolle in den Sicherheitsportal-Einstellungen und teilen Sie die Einladungs-URL mit vertrauenswürdigen Forschern
- Wenn Sie das VDP Add-on nutzen, überprüfen Sie, ob Auszahlungsmethoden und Steuerdokumentanforderungen korrekt konfiguriert sind
Nächste Schritte
- Bounties und Auszahlungen – die vollständige Auszahlungspipeline, Steuerdokumente und das Finanz-Ledger
- Mit Forschern kommunizieren – Nachrichtenthreads und E-Mail-Vorlagen