Logo StartupKit
ES
English Deutsch Français Español Polski

Compartir informes con colegas

Comparte un único informe de vulnerabilidad con un ingeniero ajeno a tu equipo mediante un enlace seguro, restringido por correo y con caducidad, sin exponer al investigador, la recompensa ni las notas internas.

Por qué importa

A menudo, un informe válido tiene que llegar a alguien que no está en tu equipo de seguridad: el ingeniero responsable del servicio afectado, un responsable de guardia, un contratista externo. Reenviar el informe en crudo filtra la identidad del investigador, tus cifras de recompensa y tus notas internas de triaje, y los hilos de correo no se pueden revocar. Compartir con colegas le da a esa persona justo lo que necesita para confirmar y corregir el fallo, y nada más, tras un enlace que caduca y que puedes revocar cuando quieras.

Compartir con colegas está disponible en los planes VDP de pago.

Cómo compartir un informe

Abre un informe y usa Share with a peer (Compartir con un colega) en el panel Shared links (Enlaces compartidos). Introduce el correo del destinatario, elige si quieres permitirle responder con comentarios y envíalo. Kit le manda una invitación con la marca de tu programa y en tu nombre; el correo en sí no contiene ningún detalle de la vulnerabilidad.

El enlace queda vinculado a esa dirección de correo. Cuando el colega lo abre, tiene que confirmar la dirección antes de que se muestre el informe, así que un enlace reenviado no le sirve a nadie más: la confirmación solo llega al destinatario original.

Qué ve el colega

La vista compartida es una versión redactada y de solo lectura del informe:

  • Se muestra: el tipo de vulnerabilidad, el endpoint afectado, la severidad, la descripción, los pasos de reproducción y los adjuntos (servidos como descargas de corta duración y fuera del origen).
  • Se oculta: la identidad y el correo del investigador, los importes de la recompensa, tus notas internas, el autor de la evaluación y la cronología de tu equipo.

Si activaste los comentarios, el colega puede responder. Sus respuestas quedan en el informe como notas internas, solo para el equipo (marcadas con claridad como procedentes de un colega externo) y nunca se le muestran al investigador.

Caducidad y revocación

  • Los enlaces caducan a los 7 días de crearse.
  • Un enlace deja de funcionar automáticamente en cuanto el informe se desestima o se cierra.
  • Puedes revocar un enlace cuando quieras desde el panel de enlaces compartidos; el colega pierde el acceso de inmediato.

Cuando un enlace ha caducado

Un colega que abre un enlace caducado ya no se topa con un callejón sin salida. Tras confirmar el email al que se envió el enlace, puede:

  • Solicitar un enlace nuevo: Kit envía un nuevo enlace de 7 días a esa misma dirección (nunca a otra), aunque el informe haya avanzado desde entonces. Un enlace revocado no se puede renovar por cuenta propia: revocar es tu decisión de poner fin al acceso, así que el colega solo ve un aviso para que se ponga en contacto contigo.
  • Solicitar unirse al equipo: el mismo flujo de solicitud de acceso que se describe más abajo.

Ver quién ha abierto un informe

El acceso externo se presenta como una señal de seguridad, no como un discreto acuse de “visto”:

  • El panel de enlaces compartidos muestra cada destinatario, su estado, el número de vistas, la hora de la última visualización y el país desde el que lo abrió.
  • La cabecera del informe muestra una etiqueta “Shared · N external viewers”.
  • La cronología del informe registra un evento External viewer opened this report.
  • Tanto a la persona que compartió el enlace como a la persona asignada al informe se les avisa la primera vez que cada dirección nueva lo abre; una dirección nueva en el mismo enlace puede ser señal de un reenvío.

Solicitar unirse al equipo

Un colega que necesite acceso continuado puede solicitar unirse a tu equipo de seguridad desde el informe compartido. La solicitud llega a los administradores de tu cuenta junto con el resto de solicitudes de acceso; al aprobarla se envía una invitación de equipo normal y, una vez aceptada, pasa a ser miembro de pleno derecho con su propia cuenta, sin más enlaces puntuales.

Cuando abres la solicitud, Kit te muestra quién la pide (nombre, email y el país desde el que la solicitó) y de qué informe procede el enlace compartido, para que puedas confirmar que realmente compartiste el informe con esta persona antes de invitarla. Aprobar envía la invitación al equipo; Descartar desecha la solicitud sin previo aviso (la persona que la hizo nunca recibe ninguna notificación).

Escriba para buscar...