Vulnerability Disclosure

Meldungen triagieren

Wie Sie das Kanban-Triage-Board nutzen, SLA-Indikatoren lesen, Schweregrade bewerten und Meldungen abschließen oder abweisen.

Warum es wichtig ist

Unstrukturierte Triage ist der Punkt, an dem die meisten Vulnerability-Disclosure-Programme scheitern. Gültige Meldungen gehen im Rauschen unter, SLA-Fristen werden ohne Vorwarnung überschritten und Forscher geben Ihr Programm auf. Das Kanban-Triage-Board gibt Ihrem Team eine gemeinsame Echtzeit-Ansicht aller offenen Meldungen mit integrierter SLA-Sichtbarkeit – damit nichts übersehen wird.

Das Triage-Board

Navigieren Sie zu VDP > Triage-Board, um alle Meldungen nach Status organisiert zu sehen. Jede Spalte repräsentiert eine Phase im Lebenszyklus der Meldung, und jede Karte repräsentiert eine einzelne Meldung.

Das Board unterstützt zwei Ansichten:

Board-Ansicht – Kanban-Spalten mit Drag-and-Drop-Karten (Standard)
Listenansicht – Sortierbare Tabelle mit denselben Filtern

Jede Meldungskarte zeigt:

Element	Beschreibung
Meldungs-ID	Präfixierter Bezeichner (z. B. `RPT-abc123`)
Titel	Schwachstellentitel, auf 40 Zeichen gekürzt
Schweregrad-Badge	Farbkodierte Schweregrad-Stufe aus der Bewertung
SLA-Countdown	Verbleibende Zeit mit grünem/gelbem/rotem Indikator
Verantwortlicher	Avatar des Teammitglieds oder “Nicht zugewiesen”
Markierungen	Duplikat-Warnung oder AI-Screening-Badge, falls zutreffend

Nutzen Sie die Filterleiste oberhalb der Spalten, um Ihre Ansicht einzugrenzen:

Schweregrad – Mehrfachauswahl (Informational bis Super Critical)
Verantwortlicher – Dropdown (Teammitglieder + “Nicht zugewiesen”)
SLA – Im Zeitplan / Gefährdet / Überschritten
Suche – Filtern nach Titel, Meldungs-ID oder Forscher-E-Mail

Die letzten drei Spalten (Fix Verified, Paid, Dismissed) sind standardmäßig eingeklappt und zeigen nur ihre Anzahl. Klicken Sie zum Aufklappen.

Lebenszyklus einer Meldung

Jede Meldung folgt einer definierten Zustandsmaschine. Ziehen Sie eine Karte zwischen Spalten auf dem Board oder verwenden Sie das Triage-Dropdown auf der Meldungsdetailseite, um den Status weiterzuführen.

                                ┌─────────────┐
                           ┌───>│   Dismissed  │
                           │    └─────────────┘
                           │  (von jedem aktiven Status)
                           │
┌───────────┐  ┌─────────┐│  ┌───────────────────┐  ┌───────────┐
│ Submitted ├─>│ Triaged ├┴─>│    Validated       ├─>│In Progress│
└───────────┘  └────┬────┘   └─────────┬──────────┘  └─────┬─────┘
                    │                  │                    │
                    v                  v                    v
              ┌───────────────────┐                  ┌──────────┐
              │Needs Clarification│                  │ Resolved │
              └───────────────────┘                  └────┬─────┘
                                                          │
                                                          v
                                                   ┌──────────────┐
                                                   │ Fix Verified │
                                                   └──────┬───────┘
                                                          │
                                                          v
                                                      ┌──────┐
                                                      │ Paid │
                                                      └──────┘

Status	Bedeutung
Submitted	Ausgangszustand nach Einreichung durch den Forscher
Triaged	Das Team hat die Meldung geprüft und mit der Bewertung begonnen
Needs Clarification	Das Team hat eine Frage gestellt; wartet auf die Antwort des Forschers
Validated	Als echte, im Scope liegende Schwachstelle bestätigt; Behebung beginnt
In Progress	Technische Behebung ist in Arbeit
Resolved	Fix wurde bereitgestellt; Forscher benachrichtigt
Fix Verified	Forscher hat bestätigt, dass der Fix funktioniert (optionaler Nachtest-Schritt)
Paid	Bounty ausgezahlt und Lebenszyklus abgeschlossen
Dismissed	Ohne Fix geschlossen – kann von jedem aktiven Status aus erfolgen

Zwei besondere Übergänge sind zu beachten:

Dismissed kann von jedem aktiven Status aus erreicht werden. Der Forscher wird immer mit einer Begründung benachrichtigt.
Dismissed > Submitted öffnet eine Meldung erneut, wenn die Abweisung irrtümlich erfolgte.

Jeder Statusübergang wird im Audit-Trail der Meldung mit Akteur, Zeitstempel und optionalem Kommentar protokolliert. Details zum Senden von Nachrichten an Forscher in jeder Phase finden Sie unter Mit Forschern kommunizieren.

SLA-Indikatoren

Jede Meldungskarte zeigt ein SLA-Badge, damit Ihr Team überfällige Arbeit auf einen Blick erkennen kann. Die Bestätigungs-SLA-Uhr startet im Moment der Einreichung. Die Lösungs-SLA startet, wenn eine Meldung den Status “Validated” erreicht.

Badge	Farbe	Bedeutung
Im Zeitplan	Grün	Komfortabel innerhalb des SLA-Fensters
Gefährdet	Gelb	SLA-Frist nähert sich – handeln Sie bald
Überschritten	Rot	SLA-Frist ist abgelaufen

Nutzen Sie den SLA-Filter im Triage-Board und wählen Sie Überschritten, um sofort Meldungen sichtbar zu machen, die Aufmerksamkeit erfordern. SLA-Ziele werden pro Schweregrad-Stufe konfiguriert unter VDP > Programmeinstellungen > SLAs.

AI-Screening

Jede eingereichte Meldung wird automatisch auf qualitativ minderwertige, KI-generierte Inhalte geprüft, bevor sie das Triage-Board erreicht. Das Screening läuft im Hintergrund und fügt seine Ergebnisse der Meldung innerhalb von Sekunden hinzu.

Der Screener prüft auf Signale, die auf massenproduzierte oder fabrizierte Meldungen hindeuten:

Signal	Was es erkennt
Halluzinierte Funktionen	Verweise auf Funktionsnamen, API-Methoden oder Dateipfade, die plausibel, aber wahrscheinlich erfunden sind
Fabrizierte CVEs	CVE-Nummern, die in öffentlichen Datenbanken nicht existieren
Bekannte CVE als neu gemeldet	Eine bekannte, öffentlich veröffentlichte Schwachstelle, die als neuer Fund präsentiert wird
Kein spezifischer PoC	Kein Proof-of-Concept, keine zielspezifischen Schritte, keine erwartete vs. tatsächliche Ausgabe
Vage Reproduktionsschritte	Generische Schritte wie “navigieren Sie zur Anmeldeseite und geben Sie ein Payload ein”, die auf jede Anwendung zutreffen könnten
Template-Sprache	Vorgefertigte Phrasen wie “As a security researcher, I discovered…” ohne zielspezifischen Kontext
Template-Struktur	Starre nummerierte Abschnitte und fette Überschriften, die auf Copy-Paste aus einem Berichtsgenerator hindeuten
Generische Abhilfemaßnahmen	Allgemeinplätze wie “sanitize all inputs” ohne zielspezifische Anleitung
Inkonsistente technische Details	Technologien, Frameworks oder Versionen, die nicht zum Ziel-Endpunkt passen
Verweise auf nicht existierende Code-Elemente	Fabrizierte Commit-Hashes, Funktionsnamen oder Dateipfade, die nicht überprüfbar sind

Das Screening erzeugt einen Konfidenzwert (0–100) und eine Empfehlung:

Empfehlung	Wertbereich	Auswirkung
Pass	0–30	Meldung erscheint normal auf dem Board
Review	31–60	Meldung erscheint mit einem dezenten Review-Badge
Flag	61–100	Meldung wird mit einem AI-Screening-Badge auf der Kanban-Karte markiert

AI-Screening lehnt niemals automatisch eine Meldung ab. Markierte Meldungen bleiben vollständig sichtbar und triagierbar – das Badge macht Ihr Team lediglich darauf aufmerksam, dass der Inhalt besondere Prüfung verdienen könnte. Ihr Team trifft immer die endgültige Entscheidung.

Schweregrad bewerten

Öffnen Sie eine Meldung und klicken Sie auf Bewerten, um sie mit CVSS v3.1 zu bewerten. Der integrierte Rechner führt Sie durch acht Metriken:

Metrik	Optionen
Attack Vector	Network, Adjacent, Local, Physical
Attack Complexity	Low, High
Privileges Required	None, Low, High
User Interaction	None, Required
Scope	Unchanged, Changed
Confidentiality Impact	None, Low, High
Integrity Impact	None, Low, High
Availability Impact	None, Low, High

Das System berechnet automatisch den Basiswert und ordnet ihn einer Schweregrad-Stufe zu:

Stufe	CVSS-Bereich
Super Critical	9,5–10,0
Critical	9,0–9,4
High	7,0–8,9
Medium	4,0–6,9
Low	0,1–3,9
Informational	0,0

Nach der Bewertung wird eine vorgeschlagene Bounty-Spanne aus Ihrer Bounty-Matrix freigeschaltet. Der CVSS-Vektorstring wird in der Meldung gespeichert und im Audit-Trail angezeigt. Bei Schweregrad Critical oder Super Critical wird eine Eskalationsbenachrichtigung an Ihre konfigurierten Eskalationskontakte gesendet.

Meldungen abweisen

Öffnen Sie eine Meldung und klicken Sie auf Abweisen, um sie ohne Fix zu schließen. Sie müssen einen Grund auswählen:

Grund	Wann verwenden
Out of Scope	Das Ziel ist nicht durch Ihre Scope-Konfiguration abgedeckt
Duplicate	Dieselbe Schwachstelle wurde bereits gemeldet – verlinken Sie auf das Original
Not Reproducible	Ihr Team konnte das Problem mit den angegebenen Schritten nicht reproduzieren
Informational	Keine ausnutzbare Schwachstelle; der Melder teilt einen allgemeinen Befund
Spam	Automatisierte oder offensichtlich qualitativ minderwertige Einreichung
AI Slop	KI-generierter Inhalt mit fabrizierten oder halluzinierten Details

Fügen Sie optional eine Notiz hinzu, um die Entscheidung zu erläutern. Der Forscher erhält eine E-Mail mit Ihrer konfigurierten Abweisungsvorlage, in der der Grund und die Notiz enthalten sind. Der Abweisungsgrund wird dauerhaft im Audit-Trail protokolliert und kann nach dem Speichern nicht mehr bearbeitet werden.

Wenn eine Abweisung irrtümlich erfolgte, können Sie die Meldung aus der Dismissed-Spalte erneut öffnen, wodurch sie in den Status Submitted zurückkehrt.

Meldungen zuweisen

Klicken Sie auf den Avatar des Verantwortlichen (oder “Zuweisen”) auf einer Meldungskarte oder Detailansicht, um ein Teammitglied zuzuweisen. Der Verantwortliche erhält eine In-App-Benachrichtigung und eine E-Mail.

Wenn die automatische Zuweisung aktiviert ist, werden eingehende Meldungen automatisch der Person in Rufbereitschaft zugewiesen. Wenn niemand in Rufbereitschaft ist, wird der Standardverantwortliche als Fallback verwendet. Siehe Rufbereitschafts-Rotation für Details zur Konfiguration von Schichten und Zeitplänen.

Für die Massenzuweisung wählen Sie mehrere Meldungskarten über ihre Kontrollkästchen aus und wählen Zuweisen aus der Massenaktionsleiste am unteren Rand des Boards.

Meldungen mit Schweregrad Critical und Super Critical senden automatisch eine Eskalations-E-Mail an Ihre konfigurierten Eskalationskontakte, unabhängig von der Zuweisung. Konfigurieren Sie Eskalationskontakte unter VDP > Programmeinstellungen > Triage.

Massenoperationen

Wählen Sie mehrere Meldungskarten über ihre Kontrollkästchen aus, um in den Massenauswahlmodus zu wechseln. Eine schwebende Aktionsleiste erscheint am unteren Rand des Boards mit drei Optionen:

Aktion	Beschreibung
Zuweisen	Alle ausgewählten Meldungen einem Teammitglied zuweisen
Abweisen	Alle ausgewählten Meldungen mit einem gemeinsamen Grund abweisen
Schweregrad ändern	Die Schweregrad-Stufe aller ausgewählten Meldungen aktualisieren

Massenabweisung erfordert die Auswahl eines einzelnen Grundes, der auf alle ausgewählten Meldungen zutrifft. Jede Massenoperation wird einzeln im Audit-Trail jeder betroffenen Meldung protokolliert.

Schnellcheckliste

Überprüfen Sie das Triage-Board täglich auf neue Einreichungen
Prüfen Sie den SLA-Filter “Überschritten” auf überfällige Meldungen
Bewerten Sie den Schweregrad (CVSS) bei jeder validierten Meldung
Weisen Sie Meldungen Teammitgliedern mit Fachkenntnis zu
Weisen Sie eindeutig ungültige Meldungen umgehend ab, um die Warteschlange sauber zu halten
Nutzen Sie “Needs Clarification”, wenn die Reproduktionsschritte unzureichend sind
Prüfen Sie KI-markierte Meldungen mit besonderer Sorgfalt, bevor Sie sie abweisen oder validieren

Nächste Schritte

Mit Forschern kommunizieren – Nachrichtenthreads, E-Mail-Vorlagen und Slack-Benachrichtigungen
Bounties und Auszahlungen – Bounties vergeben, Steuerdokumente und das Finanz-Ledger