Vulnerability Disclosure im Überblick
Was das VDP-Modul von Kit ist, für wen es gedacht ist und was enthalten ist.
Warum es wichtig ist
Sicherheitsforscher untersuchen Ihre Systeme bereits. Unaufgeforderte Meldungen treffen per E-Mail, Slack, Twitter und Support-Tickets ein – ohne Struktur, ohne SLA-Tracking und ohne Audit-Trail. Ein Vulnerability Disclosure Program (VDP) organisiert diesen Zustrom, anstatt ihn zu ignorieren.
Drei zusammenlaufende Anforderungen machen die Option “nichts tun” unmöglich:
| Anforderung | Vorgabe | Frist |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Nachweis von Schwachstellenüberwachung und strukturiertem Reaktionsprozess | Laufend – Prüfer betrachten ein formales VDP zunehmend als Standardnachweis |
| EU Cyber Resilience Act (CRA) | Meldepflichten für Schwachstellen bei Produkten mit digitalen Elementen | 11. September 2026 |
| Cyber-Versicherungsträger | Nachweisbares Schwachstellenmanagement als Deckungsvoraussetzung | Variiert je nach Versicherer – verschärft sich quartalsweise |
Das VDP-Modul von Kit ist Compliance-Infrastruktur, keine Bug-Bounty-Plattform. Das Budget stammt aus Ihrer Compliance-/GRC-Zuweisung (5.000–10.000 $/Jahr), nicht aus Ihrem AppSec-Budget. Der Käufer ist ein CTO, der sich auf ein SOC 2-Audit vorbereitet, kein CISO, der ein Crowdsourced-Security-Programm aufbaut.
Zum Vergleich: HackerOne beginnt bei 22.000 $/Jahr mit wochenlangen Scoping-Gesprächen. Kit stellt ein vollständig konformes VDP in unter 5 Minuten bereit – kostenlos zum Einstieg, und das VDP Add-on für 49 $/Monat schaltet die vollständige Triage- und Bounty-Pipeline frei.
Für wen es gedacht ist
| Persona | Ziel | Hauptproblem |
|---|---|---|
| Gründer / CTO | SOC 2-Audit bestehen, Enterprise-Deals freischalten, CRA-konform werden | Enterprise-Plattformen kosten über 22.000 $/Jahr; die security@-Inbox ist Chaos; manuelle PayPal-Auszahlungen erzeugen Steuerpflichten |
| Mitglied des Sicherheitsteams | Schwachstellenmeldungen effizient bewerten, weiterleiten und abschließen | Ständiger Kontextwechsel zwischen E-Mail, Slack und Jira; keine standardisierte Schweregradbewertung; SLA-Verstöße bleiben unsichtbar |
| Sicherheitsforscher | Schnelle Bestätigung erhalten, klar kommunizieren, faire Bezahlung bekommen | Ghosting durch Programmverantwortliche; 30–90 Tage Auszahlungszyklen; undurchsichtiger Triage-Prozess |
Alle drei Personas interagieren mit demselben Programm. Jeder Abschnitt dieser Dokumentation ist für die jeweilige Zielgruppe gekennzeichnet.
So funktioniert es
- Aktivieren – Navigieren Sie zu VDP > Programmeinstellungen und setzen Sie den Programmstatus auf Active. Ihre
security.txt-Datei wird automatisch veröffentlicht. - Veröffentlichen – Setzen Sie den Programmstatus auf Active. Ihr Einreichungsformular geht live und Forscher entdecken Sie über
security.txtund Ihre Disclosure-Policy-Seite. - Meldungen empfangen – Das strukturierte Einreichungsformular filtert Spam durch Ratenlimitierung und CAPTCHA. Gültige Meldungen landen in Ihrem Triage-Board.
- Beheben – Triagieren Sie die Meldung, bewerten Sie den Schweregrad mit CVSS v3.1, kommunizieren Sie mit dem Forscher, beheben Sie das Problem und schließen Sie den Vorgang ab.
Programmstatus
| Status | Nimmt Meldungen an | Für Forscher sichtbar | Wann verwenden |
|---|---|---|---|
| Draft | Nein | Nein | Noch bei der Konfiguration von Scope und Policy |
| Active | Ja | Ja | VDP wird aktiv betrieben |
| Paused | Nein | Nein | Vorübergehende Aussetzung der Entgegennahme (z. B. während eines Vorfalls) |
Was enthalten ist
Kostenlos starten. Fügen Sie das VDP Add-on (49 $/Monat) hinzu, wenn Sie strukturierte Triage, Bounty-Auszahlungen oder SOC 2-Exporte benötigen.
| Funktion | Kostenlos | VDP Add-on (49 $/Monat) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Disclosure-Policy-Seite | ✓ | ✓ |
| Strukturiertes Einreichungsformular + CAPTCHA | ✓ | ✓ |
| Meldungen/Monat | 25 | Unbegrenzt |
| Einfache E-Mail-Benachrichtigungen | ✓ | ✓ |
| Kanban-Triage-Board | – | ✓ |
| CVSS v3.1-Rechner | – | ✓ |
| SLA-Tracking und -Indikatoren | – | ✓ |
| Teamzuweisung | – | ✓ |
| Deduplizierung | – | ✓ |
| Rufbereitschafts-Rotation | – | ✓ |
| Slack-Integration | – | ✓ |
| Anpassbare E-Mail-Vorlagen | – | ✓ |
| Forscherportal | – | ✓ |
| Metriken-Dashboard | – | ✓ |
| Hall of Fame | – | ✓ |
| Bounty-Genehmigung | – | ✓ |
| Erfassung von Auszahlungsinformationen der Forscher | – | ✓ |
| Verwaltung von Steuerdokumenten (W-9/W-8BEN) | – | ✓ |
| Unveränderliches Finanz-Ledger | – | ✓ |
| SOC 2-Nachweisexport (CSV/PDF) | – | ✓ |
| API-Zugang | – | ✓ |
Jahrespreise: 490 $/Jahr (98 $ Ersparnis).
Schnellcheckliste
- Aktivieren Sie Ihr Programm unter VDP > Programmeinstellungen (Status auf Active setzen)
- Überprüfen Sie den Standardumfang und passen Sie In-Scope-/Out-of-Scope-Ziele an
- Veröffentlichen Sie Ihr Programm (Status auf Active)
- Überprüfen Sie, dass
security.txtunter/.well-known/security.txtausgeliefert wird - Teilen Sie die Einreichungs-URL (
/security/{program-slug}/reports/new) mit Ihrem Team, damit alle wissen, wo Meldungen eingehen
Nächste Schritte
- Ihr Programm konfigurieren – Scope, Bounty-Matrix, SLAs und alle sieben Einstellungs-Tabs
- security.txt einrichten – RFC 9116-Konformität, benutzerdefinierte Domains und Ablaufverwaltung
- Navigieren Sie zu VDP, um Ihr Programm zu aktivieren und Preisoptionen anzusehen