Ihr erstes Vulnerability Disclosure Program. Live in 5 Minuten.
Forscher untersuchen Ihre Infrastruktur bereits - sie haben nur keinen Ort, um Funde zu melden. Kit gibt Ihnen ein strukturiertes VDP mit automatisch veröffentlichter security.txt, einem gebrandeten Meldeportal und Nachweisen für Auditoren. Kostenlos einsetzbar.
Ein VDP regelt, wie Ihr Unternehmen mit Schwachstellenmeldungen umgeht.
Ein Vulnerability Disclosure Program ist ein formaler, dokumentierter Kanal, über den Sicherheitsforscher Schwachstellen in Ihrer Software melden können. Stellen Sie es sich als strukturierte Version des security@-Postfachs vor - mit SLA-Tracking, CVSS-Bewertung und Audit-Trail. SOC-2-Auditoren, Cyberversicherer und Unternehmenskunden verlangen zunehmend ein solches Programm.
Kit verwaltet bereits Ihre Kandidaten-Pipeline. Ihr VDP läuft auf derselben Infrastruktur, demselben Audit-Trail, demselben Team.
Das Zeitfenster wird kleiner.
SOC 2 Type II
CC7.1: Auditoren beanstanden das Fehlen dokumentierter Programme zur Schwachstellenüberwachung.
EU Cyber Resilience Act
Artikel 14 verlangt die Meldung von Schwachstellen für Produkte mit digitalen Elementen.
NIS2-Richtlinie
Art. 21(2)(e) schreibt VDP als eine von zehn verpflichtenden Cybersicherheitsmaßnahmen für wesentliche und wichtige Einrichtungen vor. Bußgelder bis zu 10 Mio. EUR oder 2 % des Umsatzes.
Cyberversicherung
Cyberversicherer nehmen VDP in ihre Antragsfragebögen auf.
Das Problem mit security@-E-Mail.
Jedes Startup erbt denselben fehlerhaften Workflow. Deshalb übersteht er kein SOC-2-Audit.
Ihr Auditor fragt nach CC7.1
SOC 2 CC7.1 verlangt dokumentierte Nachweise der Schwachstellenüberwachung. Ein Jira-Ticket ist kein Nachweis. Ein mit Zeitstempel versehener Audit-Trail schon.
Enterprise-Deals blockiert
Enterprise-Kunden senden Sicherheitsfragebögen. "Haben Sie ein VDP?" ist mittlerweile eine Standardfrage. Ohne VDP stockt der Deal im Einkauf.
Verwaltete Plattformen starten bei 22.000 $/Jahr
HackerOne und Bugcrowd bieten kostenlose Meldeformulare an. Deren verwaltete Programme mit echter Triage starten bei 22.000+ $/Jahr. Kit bietet Ihnen operative Triage für 49 $/Monat.
Vom Bericht zur Lösung.
-
Gebrandetes Portal
Ihr Logo, Ihre Domain, Ihre Offenlegungsrichtlinie. Forscher sehen ein professionelles, gebrandetes Erlebnis.
-
Strukturierte Berichte
Jeder Bericht erfasst Titel, Schweregrad, Proof-of-Concept und Auswirkung. Keine E-Mail-Threads mehr durchforsten.
-
Vollständige Lebenszyklus-Verfolgung
Berichte durchlaufen den Weg von der Einreichung über die Triage bis zur Lösung. Vollständiger Statusverlauf, SLA-Timer und Audit-Trail bei jedem Schritt.
SQL Injection in /api/v2/users
The /api/v2/users endpoint accepts unsanitised input in the search parameter, allowing...
Authenticated users can extract other users' PII
SQL Injection
XSS in Search
CSRF Token
5 Minuten bis zur Compliance.
Drei Schritte. Keine Beschaffung, keine Integrationsprojekte, kein Warten.
VDP aktivieren
Aktivieren Sie das VDP-Modul in Ihren Kit-Einstellungen. Ihre security.txt wird sofort unter /.well-known/security.txt veröffentlicht und Ihre Offenlegungsrichtlinie geht live.
Erster Bericht kommt strukturiert an
Forscher reichen über ein gebrandetes Aufnahmeformular auf Ihrer eigenen Domain ein. Sie sehen einen sauberen Bericht mit CVSS-Bewertung - keine weitergeleitete E-Mail-Kette.
Upgraden, wenn Triage wichtig wird
Fügen Sie das vollständige Triage-Modul für 49 $/Monat hinzu, wenn Sie bereit sind für Kanban-Boards, SLA-Tracking, Prämienzahlungen und SOC-2-Export.
Kostenlos macht Sie konform. Das Add-on macht Sie souverän.
Kostenlose Features machen Sie heute konform. Das Add-on bringt Sie von konform zu souverän.
security.txt + Offenlegungsrichtlinie
RFC-9116-konforme security.txt, automatisch veröffentlicht unter /.well-known/security.txt. Ablaufwarnungen halten sie aktuell. Forscher wissen, wie sie Sie erreichen.
Strukturiertes Aufnahmeformular + CAPTCHA
Keine formlosen E-Mails mehr. Jeder Bericht erfasst Titel, Beschreibung, CVSS-Vektor, Proof-of-Concept und Auswirkung - von Anfang an strukturiert.
Automatische Spam-Filterung
CAPTCHA, Ratenbegrenzung und KI-Screening fangen über 80 % des Spams ab, bevor er Ihre Warteschlange erreicht. Sie sehen echte Berichte, kein Rauschen.
Nur-auf-Einladung-Modus
Betreiben Sie ein privates Programm mit Nur-auf-Einladung-Zugang. Teilen Sie sichere Einladungslinks mit vertrauenswürdigen Forschern. Ausstehende Zugangsanfragen erscheinen in Ihrer Seitenleiste.
Portal auf eigener Domain
Betreiben Sie Ihr Sicherheitsportal auf Ihrer eigenen Domain. Forscher sehen Ihre Marke, nicht unsere. Custom Domains sind für alle VDP-Konten kostenlos.
EU-Hosting in Deutschland
Ihre Schwachstellendaten verlassen niemals die EU. Gehostet auf Hetzner in Deutschland. Keine US-Datentransfers. Keine Schrems-II-Bedenken.
Kanban-Triage + CVSS v3.1 + SLA
Verschieben Sie Berichte von Neu nach Triagiert nach Gelöst - mit vollständigem Statusverlauf. SLA-Timer starten automatisch. Verpassen Sie nie wieder eine Antwortfrist.
Prämien-Pipeline + SOC-2-Exporte
Zahlen Sie Forscher per ACH/Überweisung mit 1099-Steuerabwicklung. Exportieren Sie Prüfungsnachweise per Klick. KI erkennt Duplikate und entwirft Antworten.
Bereit, das Compliance-Häkchen zu setzen?
49 $/Monat vs. 22.000 $/Jahr.
Kostenlos macht Sie audit-bereit. Das Add-on macht Sie audit-sicher.
Eigenbau / Verwaltete Plattformen
Plus 2-5 Wochen Onboarding, individuelle Integrationen, rechtliche Prüfung und die Anforderung eines dedizierten Programmmanagers.
Kit VDP
Vollständiges Triage-Add-on ab 49 $/Monat
588 $/Jahr. Das ist 37x weniger als verwaltete Plattformen.
- security.txt automatisch veröffentlicht
- Strukturiertes Aufnahmeformular + CAPTCHA
- Kanban-Triage + CVSS + SLA (Add-on)
- SOC-2-Audit-Exporte (Add-on)
HackerOne und Bugcrowd bieten ebenfalls kostenlose Meldeformulare an. Die oben genannten Kosten beziehen sich auf deren verwaltete Programme mit operativen Triage-Features, die mit Kits Add-on vergleichbar sind.
KI filtert das Rauschen. Sie kümmern sich um das Wesentliche.
Kits VDP wird mit KI-Tools ausgeliefert, die den gesamten Schwachstellen-Lebenszyklus abdecken. Dieselbe KI-Infrastruktur, die Ihre Recruiting-Pipeline steuert, triagiert jetzt Ihre Sicherheitsberichte.
Vollständige Lebenszyklusabdeckung.
KI filtert Spam-Meldungen, damit Sie nur echte Schwachstellen sehen. Sie erkennt Duplikate, bevor Sie Zeit verschwenden, schlägt CVSS-Schweregrade vor und entwirft Antworten an Forscher - damit Sie in Minuten antworten, nicht in Tagen. Immer mit Ihrer Bestätigung.
Natürliche Sprache, echte Aktionen.
Sprechen Sie mit Ihren Sicherheitsdaten in natürlicher Sprache.
Wir nutzen, was wir ausliefern.
Kit betreibt sein eigenes VDP auf dieser Plattform. Unsere security.txt ist live. Unsere Offenlegungsrichtlinie ist veröffentlicht. Wir triagieren jeden eingehenden Bericht.
Unser Trust Center ansehenFragen, beantwortet.
Wir sind zu klein für ein Bug-Bounty-Programm.
Ein VDP ist kein Bug-Bounty-Programm - Sie bieten keine Belohnungen an. Es ist ein dokumentierter, konformer Kanal für Forscher, um Schwachstellen zu melden. SOC 2 Typ II, Cyberversicherer und Unternehmenskunden verlangen zunehmend den Nachweis, dass Sie eines haben. Kits kostenloses Paket gibt Ihnen genau das - ohne Zahlungsverpflichtung.
Werden wir damit nicht Hacker zu Angriffen einladen?
Forscher untersuchen Ihre Infrastruktur bereits - sie haben nur keinen legitimen Ort, um Funde zu melden. Ein VDP gibt ihnen einen genehmigten Weg und bietet Ihnen rechtlichen Schutz. Ohne VDP könnte ein wohlmeinender Forscher an die Öffentlichkeit gehen, statt rechtliche Risiken einzugehen. Mit VDP kommt er zuerst zu Ihnen.
Kann ich ein privates Programm nur auf Einladung betreiben?
Ja. Schalten Sie Ihr Portal in den Nur-auf-Einladung-Modus in den Sicherheitsportal-Einstellungen - Kit generiert einen geheimen Zugangs-Token. Teilen Sie die Einladungs-URL direkt mit vertrauenswürdigen Forschern; per Klick erhalten sie eine dauerhafte Sitzung. Alle anderen Besucher sehen ein kurzes Zugangsanfrageformular statt einer Sackgasse. Ausstehende Anfragen erscheinen in Ihrer Seitenleiste mit einem Badge - ein Klick genehmigt und sendet den Einladungslink automatisch.
Wir werden mit Spam und minderwertigen Berichten überflutet.
Kits Aufnahmeformular enthält CAPTCHA, Ratenbegrenzung und eine KI-Screening-Schicht, die Spam abfängt, bevor er Ihre Warteschlange erreicht. In der Praxis werden über 80 % des Rauschens automatisch gefiltert. Sie sehen echte Berichte - kein Posteingangs-Chaos.
Wir könnten einfach selbst ein Webformular bauen.
Ein Formular gibt Ihnen die Aufnahme. Aber kein SLA-Tracking, keine CVSS-Bewertung, keinen Statusverlauf, keine Kommunikationsverläufe mit Forschern, keine Prämienzahlungen, keine Steuerdokumentenverwaltung und keinen SOC-2-Export per Klick. Kit bündelt all das - ein Nachmittag für die Bereitstellung statt ein Engineering-Sprint für den Eigenbau.
Wir nutzen bereits Vanta/Drata für Compliance.
Perfekt. Vanta und Drata erfassen, dass Sie ein VDP haben. Kit betreibt es. Aktivieren Sie Kits VDP, verweisen Sie Ihr Compliance-Tool auf Ihre veröffentlichte security.txt - und das Häkchen steht mit einem echten, auditierbaren Programm dahinter, nicht nur einem Policy-Dokument.
Warum bietet eine Recruiting-Plattform ein VDP an?
Kit startete als Recruiting-Plattform, aber Compliance-Infrastruktur teilt dieselbe Engineering-DNA - strukturierte Aufnahme, SLA-Tracking, Workflow-Automatisierung und Audit-Exporte. Wir haben das VDP auf demselben Fundament gebaut, angewandt auf einen anderen Workflow. Kit betreibt sein eigenes VDP auf dieser Plattform. Unsere security.txt ist live. Unsere Offenlegungsrichtlinie ist veröffentlicht. Wir triagieren jeden eingehenden Bericht.
Was passiert, wenn eine echte kritische Schwachstelle gemeldet wird?
Wenn ein kritischer Bericht eingeht, sendet Kit eine sofortige Benachrichtigung an Ihr Team. Dann: Sie triagieren den Bericht, bewerten den Schweregrad mit CVSS v3.1, kommunizieren mit dem Forscher über Thread-Nachrichten, weisen ihn der richtigen Person zu, verfolgen die Lösung gegen Ihren SLA-Timer und exportieren den vollständigen Audit-Trail, wenn Ihr Auditor Nachweise verlangt. Der gesamte Lebenszyklus ist dokumentiert, mit Zeitstempel versehen und exportierbar.
Was ist mit HackerOne oder Bugcrowd?
HackerOne und Bugcrowd bieten beide kostenlose Meldeformulare an. Kits kostenlose Version ebenfalls. Der Unterschied liegt in dem, was nach dem Eingang eines Berichts passiert: Kit bietet Ihnen SLA-Tracking, CVSS-Bewertung, Kanban-Triage, Forscherkommunikation, Prämienzahlungen und SOC-2-Exporte für 49 $/Monat. HackerOnes verwaltete Programme mit vergleichbaren operativen Features starten bei 22.000+ $/Jahr. Wenn Sie über Kit hinauswachsen, exportieren wir Ihre gesamte Programmhistorie - Berichtszusammenfassungen, CVSS-Bewertungen, SLA-Performance, Kommunikationsprotokolle und Finanzbuch - als CSV oder PDF. Keine Migrationsprobleme.
Sehen Sie, wie SOC-2-Exporte funktionierenSind meine VDP-Daten portabel, wenn ich Kit verlasse?
Ja. Kits vollständiger Kontoexport verpackt jeden VDP-Datensatz - Programme, Berichte, Bewertungen, Nachrichten, Prämien, Auszahlungen, Forscherprofile und KI-Screenings - in strukturiertes JSON. Ein Klick in den Kontoeinstellungen. Sie haben 7 Tage zum Herunterladen. Ihre Sicherheitshistorie gehört Ihnen.
Sehen Sie, was in einem Datenexport enthalten istVDP in 5 Minuten bereitstellen. Kostenlos.
Keine Kreditkarte nötig. security.txt wird sofort veröffentlicht. Upgraden Sie, wenn Sie Triage benötigen.