Logo StartupKit
DE

Vanta-Integration

Verbinden Sie Vanta, um Ihre gesichteten VDP-Schwachstellen automatisch in fortlaufende SOC-2- und ISO-27001-Compliance-Nachweise zu verwandeln.

Warum das zählt

Wenn Sie ein Vulnerability-Disclosure-Programm betreiben und SOC 2 oder ISO 27001 anstreben, möchte Ihr Auditor Nachweise, dass Schwachstellen verfolgt, nach Schweregrad priorisiert und innerhalb Ihrer SLAs behoben werden. Diese Nachweise von Hand zusammenzustellen — Tabellen exportieren, Tickets als Screenshot festhalten, Daten abgleichen — ist genau der Teil der Audit-Saison, den alle fürchten.

Die Vanta-Integration nimmt Ihnen diese Arbeit ab. Sobald die Verbindung hergestellt ist, sendet Kit Ihre gesichteten Schwachstellen automatisch als fortlaufende Compliance-Nachweise an Vanta. Schweregrad und Behebungsstatus werden kontinuierlich übertragen, sodass Vanta Ihre Behebungs-SLAs an Controls wie SOC 2 CC7.1 und ISO 27001 A.8.8 messen kann — ohne dass Sie einen einzigen Export von Hand zusammenstellen.

Was Sie benötigen

  • Ein Kit-Konto mit aktiviertem VDP-Add-on
  • Ein Vanta-Konto mit Zugriff auf die Developer Console (Berechtigung, Integrationen zu erstellen)
  • Eine private Vanta-App, die Ihnen die drei Werte liefert, die Kit abfragt: eine Client ID, ein Client Secret und zwei Resource IDs

Note

Die Integration sendet nur Schwachstellen, die mit einem Schweregrad gesichtet wurden. Solange Ihr Team Meldungen noch nicht aktiv bewertet, gibt es nichts zu senden — siehe Meldungen sichten.

Einrichtung

1. Eine private Vanta-App erstellen

  1. Gehen Sie in Vanta zu Settings > Developer Console
  2. Klicken Sie auf Create
  3. Wählen Sie den App-Typ Build Integrations und setzen Sie die Distribution auf Private
  4. Füllen Sie Namen und Beschreibung der Anwendung aus — die Kit-Einstellungsseite schlägt einen Namen mit Kopier-Schaltfläche vor
  5. Die Client ID wird automatisch generiert; kopieren Sie sie
  6. Klicken Sie auf Generate client secret und kopieren Sie das Secret

Die App benötigt die OAuth-Scopes connectors.self:write-resource und connectors.self:read-resource. Bewahren Sie das Client Secret sicher auf — Sie fügen es einmalig in Kit ein, und ab dann wird es sicher gespeichert.

2. Die beiden Ressourcen erstellen

Kit überträgt Schwachstellen in zwei Vanta-Ressourcen — eine für verwundbare Komponenten, eine für API-Endpunkt-Schwachstellen. Erstellen Sie beide in Ihrer privaten App:

  1. Öffnen Sie den Tab Resources der App und klicken Sie auf Add resource
  2. Erstellen Sie eine Ressource mit dem Basis-Ressourcentyp Vulnerable Component
  3. Klicken Sie erneut auf Add resource und erstellen Sie eine zweite mit dem Basis-Ressourcentyp API Endpoint Vulnerability
  4. Lassen Sie Custom Properties bei beiden leer — die vordefinierten Schemata decken bereits alles ab, was Kit sendet

Nach dem Klick auf Create erscheint jede Ressource im Tab Resources mit einer generierten Resource ID. Kopieren Sie beide IDs exakt wie angezeigt — sie unterscheiden zwischen Groß- und Kleinschreibung, und Kit benötigt die generierte ID, nicht den von Ihnen eingegebenen Ressourcennamen.

3. In Kit verbinden

Navigieren Sie zu VDP > Settings > Vanta. Die Seite führt Sie in drei Schritten durch die Einrichtung:

  1. Schritt 1 — Fügen Sie Ihre Client ID und Ihr Client Secret ein. Kit prüft sie live gegen Vanta, bevor es weitergeht.
  2. Schritt 2 — Fügen Sie beide Resource IDs ein. Kit prüft jede einzelne gegen Vanta und führt den ersten Sync aus.
  3. Schritt 3 — Der Erfolgszustand bestätigt die Verbindung und zeigt das Ergebnis dieses ersten Syncs.

Ab diesem Zeitpunkt werden Ihre gesichteten Schwachstellen automatisch an Vanta übertragen.

Was synchronisiert wird und wann

Kit sendet Ihre gesichteten Schwachstellen an Vanta — das sind Meldungen, die Ihr Team bestätigt und denen es einen Schweregrad zugewiesen hat. Meldungen, die noch auf die Sichtung warten, werden nicht gesendet, da sie noch nicht den Schweregrad tragen, den Vanta für die Verfolgung eines Behebungs-SLA benötigt.

Verhalten Funktionsweise
Sync-Zeitplan Gesichtete Schwachstellen werden jede Stunde automatisch an Vanta übertragen
Schweregrad Der Schweregrad jeder Schwachstelle wird gesendet, damit Vanta Behebungs-SLAs anhand der richtigen Frist verfolgen kann
Sync bei Statusänderung Optionaler Schalter — wenn aktiviert, wird eine Schwachstelle sofort übertragen, sobald sich ihr Status ändert, anstatt auf den nächsten stündlichen Lauf zu warten
Behebung Wenn Sie eine Meldung in Kit lösen, wird sie automatisch aus Vanta entfernt und als behoben erfasst

Sie müssen in Vanta nichts von Hand markieren. Sichten Sie eine Meldung, und sie erscheint; lösen Sie sie, und sie wird als behoben abgeschlossen. Der stündliche Zeitplan hält alles synchron, selbst wenn ein einzelnes Update verpasst wird.

Was nicht gesendet wird

Dies ist eine Integration für Compliance-Nachweise, kein Daten-Dump. Kit sendet bewusst nur die minimalen Metadaten, die Vanta benötigt, um eine Schwachstelle und deren Behebung zu verfolgen — nicht mehr.

Folgendes wird niemals an Vanta gesendet:

  • Persönliche Daten der Forscher — Namen, E-Mail-Adressen und sämtliche Kontaktdaten bleiben in Kit
  • Rohe Reproduktionsschritte — der technische Proof-of-Concept und die Exploit-Details werden nicht weitergegeben
  • Meldungsinhalte — die vollständige Beschreibung und Diskussion jeder Meldung bleibt in Kit

Important

Nur die für Nachweise erforderlichen minimalen Metadaten — wie Schweregrad und Behebungsstatus — verlassen Kit. Sensible Forscher-Daten und der Inhalt jeder Meldung gelangen nie zu Vanta.

Die Integration verwalten

Alles Folgende befindet sich auf der Seite VDP > Settings > Vanta.

  • Jetzt synchronisieren (Sync now) — Überträgt Ihre aktuellen gesichteten Schwachstellen sofort an Vanta, ohne auf den nächsten stündlichen Lauf zu warten. Nützlich direkt nach dem Verbinden oder nach einer Sichtungsrunde.
  • Sync bei Statusänderung (Sync on status change) — Ein Schalter, der steuert, ob Updates sofort gesendet werden, wenn sich der Status einer Meldung ändert. Aktiviert lassen für nahezu Echtzeit-Nachweise; deaktivieren, wenn Sie den gleichmäßigen stündlichen Rhythmus bevorzugen.
  • Sync-Status und Fehler (Sync status and errors) — Die Einstellungsseite zeigt an, wann der letzte Sync ausgeführt wurde, und zeigt etwaige Fehler an. Ein grünes Badge bedeutet, dass die Verbindung funktioniert; ein Fehler-Badge bedeutet, dass etwas Aufmerksamkeit erfordert (siehe Fehlerbehebung).
  • Trennen (Disconnect) — Stoppt alle Synchronisierungen und entfernt die gespeicherten Zugangsdaten. Ihre Daten in Kit bleiben unverändert; Kit sendet lediglich keine Updates mehr an Vanta.

Fehlerbehebung

Symptom Ursache Lösung
„Verbindung fehlgeschlagen“ bei der Prüfung der Zugangsdaten (Schritt 1) Client ID oder Secret ist falsch oder die Zugangsdaten sind abgelaufen Kopieren Sie beide Werte erneut aus Ihrer privaten App in der Vanta Developer Console und fügen Sie sie noch einmal ein
Sync-Fehler „Could not find resourceId“ Eine Resource ID ist falsch oder unvollständig Öffnen Sie den Tab Resources Ihrer privaten App in der Vanta Developer Console und kopieren Sie die ID exakt wie angezeigt — sie unterscheidet zwischen Groß- und Kleinschreibung, und Kit benötigt die generierte ID, nicht den von Ihnen eingegebenen Ressourcennamen
Verbindung funktioniert nicht mehr, nachdem das Client Secret in Vanta rotiert wurde Kit hat noch das alte Secret gespeichert Geben Sie die Zugangsdaten in Kit erneut ein (Schritt 1); bereits synchronisierte Daten bleiben erhalten
Verbindung zeigt ein Fehler-Badge Zugangsdaten wurden in Vanta widerrufen oder sind abgelaufen Stellen Sie die Verbindung mit neuen Zugangsdaten wieder her; Kit pausiert die Synchronisierung, während die Authentifizierung fehlschlägt
Nichts erscheint in Vanta Noch keine gesichteten Schwachstellen Stellen Sie sicher, dass Sie Meldungen haben, die gesichtet sind und einen zugewiesenen Schweregrad haben — ungesichtete Meldungen werden niemals gesendet
Nichts erscheint in Vanta VDP-Add-on nicht aktiviert Die Integration erfordert das VDP-Add-on; prüfen Sie Account > Billing
Kürzlich gesichtete Meldung noch nicht in Vanta Wartet auf den stündlichen Sync Klicken Sie auf Jetzt synchronisieren, oder aktivieren Sie Sync bei Statusänderung für sofortige Updates
Sync-Fehler auf der Einstellungsseite Eine kürzliche Übertragung an Vanta ist fehlgeschlagen Klicken Sie auf Jetzt synchronisieren, um es erneut zu versuchen; falls das Problem anhält, testen Sie Ihre Zugangsdaten erneut, da sie möglicherweise abgelaufen sind

Auf einen Blick

  • Bestätigen Sie, dass das VDP-Add-on auf Ihrem Konto aktiviert ist
  • Erstellen Sie eine private Vanta-App: Settings > Developer Console > Create, App-Typ Build Integrations, Distribution Private
  • Kopieren Sie die Client ID und klicken Sie auf Generate client secret
  • Fügen Sie im Tab Resources der App zwei Ressourcen hinzu: Vulnerable Component und API Endpoint Vulnerability
  • Kopieren Sie beide generierten Resource IDs aus dem Resources-Tab (Groß-/Kleinschreibung beachten)
  • Fügen Sie in VDP > Settings > Vanta die Zugangsdaten ein (Schritt 1), dann beide Resource IDs (Schritt 2), und bestätigen Sie den Erfolgszustand (Schritt 3)
  • (Optional) Aktivieren Sie Sync bei Statusänderung für nahezu Echtzeit-Nachweise
  • Sichten Sie eine Meldung mit einem Schweregrad und klicken Sie dann auf Jetzt synchronisieren, um zu überprüfen, dass sie in Vanta erscheint

Wie geht es weiter

  • Meldungen sichten — Schweregrad zuweisen, damit Schwachstellen für den Sync infrage kommen
  • Metriken und Exporte — Auditor-gerechte Nachweispakete neben den fortlaufenden Vanta-Nachweisen erstellen
  • PagerDuty-Integration — Bereitschaft benachrichtigen, wenn kritische Meldungen eingehen

Suchbegriff eingeben...