Vulnerability Disclosure im Überblick
Was das VDP-Modul von Kit ist, für wen es gedacht ist und was enthalten ist.
Warum das zählt
Sicherheitsforscher untersuchen Ihre Systeme bereits. Unaufgeforderte Meldungen treffen per E-Mail, Slack, Twitter und Support-Tickets ein – ohne Struktur, ohne SLA-Tracking und ohne Audit-Trail. Ein Vulnerability Disclosure Program (VDP) organisiert diesen Zustrom, anstatt ihn zu ignorieren.
Drei zusammenlaufende Anforderungen machen die Option „nichts tun“ unmöglich:
| Anforderung | Vorgabe | Frist |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Nachweis von Schwachstellenüberwachung und strukturiertem Reaktionsprozess | Laufend – Prüfer betrachten ein formales VDP zunehmend als Standardnachweis |
| EU Cyber Resilience Act (CRA) | Meldepflichten für Schwachstellen bei Produkten mit digitalen Elementen | 11. September 2026 |
| Cyber-Versicherer | Nachweisbares Schwachstellenmanagement als Deckungsvoraussetzung | Variiert je nach Versicherer – verschärft sich quartalsweise |
Das VDP-Modul von Kit ist Compliance-Infrastruktur, keine Bug-Bounty-Plattform. Das Budget stammt aus Ihrer Compliance-/GRC-Zuweisung (5.000–10.000 $/Jahr), nicht aus Ihrem AppSec-Budget. Der Käufer ist ein CTO, der sich auf ein SOC 2-Audit vorbereitet, kein CISO, der ein Crowdsourced-Security-Programm aufbaut.
Zum Vergleich: HackerOne beginnt bei 22.000 $/Jahr mit wochenlangen Scoping-Gesprächen. Kit stellt ein vollständig konformes VDP in unter 5 Minuten bereit – kostenlos zum Einstieg, und das VDP-Add-on für 49 $/Monat schaltet die vollständige Sichtungs- und Prämien-Pipeline frei.
Für wen es gedacht ist
| Persona | Ziel | Hauptproblem |
|---|---|---|
| Gründer / CTO | SOC 2-Audit bestehen, Enterprise-Deals freischalten, CRA-konform werden | Enterprise-Plattformen kosten über 22.000 $/Jahr; die security@-Inbox ist Chaos; manuelle PayPal-Auszahlungen erzeugen Steuerpflichten |
| Mitglied des Sicherheitsteams | Schwachstellenmeldungen effizient bewerten, weiterleiten und abschließen | Ständiger Kontextwechsel zwischen E-Mail, Slack und Jira; keine standardisierte Schweregradbewertung; SLA-Verstöße bleiben unsichtbar |
| Sicherheitsforscher | Schnelle Bestätigung erhalten, klar kommunizieren, faire Bezahlung bekommen | Ghosting durch Programmverantwortliche; Auszahlungszyklen von 30–90 Tagen; undurchsichtiger Sichtungsprozess |
Alle drei Personas interagieren mit demselben Programm. Jeder Abschnitt dieser Dokumentation ist für die jeweilige Zielgruppe gekennzeichnet.
So funktioniert es
-
Aktivieren – Navigieren Sie zu VDP > Programmeinstellungen und setzen Sie den Programmstatus auf Active. Ihre
security.txt-Datei wird automatisch veröffentlicht. -
Veröffentlichen – Setzen Sie den Programmstatus auf Active. Ihr Einreichungsformular geht live und Forscher entdecken Sie über
security.txtund Ihre Disclosure-Policy-Seite. - Meldungen empfangen – Das strukturierte Einreichungsformular filtert Spam durch Ratenlimitierung und CAPTCHA. Gültige Meldungen landen in Ihrem Sichtungs-Board.
- Beheben – Sichten Sie die Meldung, bewerten Sie den Schweregrad mit CVSS v3.1, kommunizieren Sie mit dem Forscher, beheben Sie das Problem und schließen Sie den Vorgang ab.
Programmstatus
| Status | Nimmt Meldungen an | Für Forscher sichtbar | Wann verwenden |
|---|---|---|---|
| Draft | Nein | Nein | Noch bei der Konfiguration von Scope und Policy |
| Active | Ja | Ja | VDP wird aktiv betrieben |
| Paused | Nein | Nein | Vorübergehende Aussetzung der Entgegennahme (z. B. während eines Vorfalls) |
Was enthalten ist
Kostenlos starten. Fügen Sie das VDP-Add-on (49 $/Monat) hinzu, wenn Sie strukturierte Sichtung, Prämien-Auszahlungen oder SOC 2-Exporte benötigen.
| Funktion | Kostenlos | VDP-Add-on (49 $/Monat) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Disclosure-Policy-Seite | ✓ | ✓ |
| Strukturiertes Einreichungsformular + CAPTCHA | ✓ | ✓ |
| Meldungen/Monat | 25 | Unbegrenzt |
| E-Mail-Benachrichtigungen mit Ihrem Branding | ✓ | ✓ |
| Kanban-Sichtungs-Board | — | ✓ |
| CVSS v3.1-Rechner | — | ✓ |
| SLA-Tracking und -Indikatoren | — | ✓ |
| Teamzuweisung | — | ✓ |
| Deduplizierung | — | ✓ |
| Bereitschaftsrotation | — | ✓ |
| Slack-Integration | — | ✓ |
| Anpassbare E-Mail-Vorlagen | — | ✓ |
| Forscherportal | — | ✓ |
| Metriken-Dashboard | — | ✓ |
| Hall of Fame | — | ✓ |
| Prämien-Genehmigung | — | ✓ |
| Erfassung von Auszahlungsinformationen der Forscher | — | ✓ |
| Verwaltung von Steuerdokumenten (W-9/W-8BEN) | — | ✓ |
| Unveränderliches Finanzhauptbuch | — | ✓ |
| SOC 2-Nachweisexport (CSV/PDF) | — | ✓ |
| API-Zugang | — | ✓ |
Auf einen Blick
- Aktivieren Sie Ihr Programm unter VDP > Programmeinstellungen (Status auf Active setzen)
- Überprüfen Sie den Standardumfang und passen Sie In-Scope-/Out-of-Scope-Ziele an
- Veröffentlichen Sie Ihr Programm (Status auf Active)
-
Überprüfen Sie, dass
security.txtunter/.well-known/security.txtausgeliefert wird -
Teilen Sie die Einreichungs-URL (
/security/{program-slug}/report) mit Ihrem Team, damit alle wissen, wo Meldungen eingehen
Wie geht es weiter
- Ihr Programm konfigurieren – Scope, Prämien-Matrix, SLAs und alle sieben Einstellungs-Tabs
- security.txt einrichten – RFC 9116-Konformität, benutzerdefinierte Domains und Ablaufverwaltung
- Navigieren Sie zu VDP, um Ihr Programm zu aktivieren und Preisoptionen anzusehen