Triaje de reportes
Como usar el tablero Kanban de triaje, leer indicadores de SLA, evaluar severidad y resolver o descartar reportes.
Por que es importante
El triaje sin estructura es donde la mayoria de los programas de divulgacion de vulnerabilidades fallan. Los reportes validos quedan enterrados en el ruido, los plazos de SLA se incumplen sin que nadie lo note y los investigadores abandonan tu programa. El tablero Kanban de triaje le da a tu equipo una vista compartida y en tiempo real de cada reporte abierto con visibilidad de SLA integrada, para que nada se escape.
El tablero de triaje
Navega a VDP > Triage Board para ver todos los reportes organizados por estado. Cada columna representa una etapa en el ciclo de vida del reporte, y cada tarjeta representa un reporte individual.
El tablero soporta dos vistas:
- Vista de tablero – Columnas Kanban con tarjetas arrastrables (por defecto)
- Vista de lista – Tabla ordenable con los mismos filtros
Cada tarjeta de reporte muestra:
| Elemento | Descripcion |
|---|---|
| Report ID | Identificador con prefijo (por ejemplo, RPT-abc123) |
| Titulo | Titulo de la vulnerabilidad, truncado a 40 caracteres |
| Badge de severidad | Nivel de severidad con codigo de color segun la evaluacion |
| Cuenta regresiva de SLA | Tiempo restante con indicador verde/amarillo/rojo |
| Asignado | Avatar del miembro del equipo, o “Sin asignar” |
| Indicadores | Advertencia de duplicado o badge de screening con IA, si aplica |
Usa la barra de filtros sobre las columnas para acotar tu vista:
- Severidad – Seleccion multiple (Informational a Super Critical)
- Asignado – Dropdown (miembros del equipo + “Sin asignar”)
- SLA – On Track / At Risk / Breached
- Busqueda – Filtra por titulo, ID del reporte o email del investigador
Las ultimas tres columnas (Fix Verified, Paid, Dismissed) estan colapsadas por defecto y solo muestran su conteo. Haz clic para expandirlas.
Ciclo de vida del reporte
Cada reporte sigue una maquina de estados definida. Arrastra una tarjeta entre columnas en el tablero, o usa el dropdown Triage en la pagina de detalle del reporte para avanzar su estado.
┌─────────────┐
┌───>│ Dismissed │
│ └─────────────┘
│ (from any active status)
│
┌───────────┐ ┌─────────┐│ ┌───────────────────┐ ┌───────────┐
│ Submitted ├─>│ Triaged ├┴─>│ Validated ├─>│In Progress│
└───────────┘ └────┬────┘ └─────────┬──────────┘ └─────┬─────┘
│ │ │
v v v
┌───────────────────┐ ┌──────────┐
│Needs Clarification│ │ Resolved │
└───────────────────┘ └────┬─────┘
│
v
┌──────────────┐
│ Fix Verified │
└──────┬───────┘
│
v
┌──────┐
│ Paid │
└──────┘
| Estado | Significado |
|---|---|
| Submitted | Estado inicial despues de que un investigador envia el formulario de ingreso |
| Triaged | El equipo ha revisado el reporte y ha comenzado la evaluacion |
| Needs Clarification | El equipo envio una pregunta; esperando la respuesta del investigador |
| Validated | Confirmada como una vulnerabilidad real y dentro del alcance; comienza el trabajo de correccion |
| In Progress | La correccion de ingenieria esta en curso |
| Resolved | Correccion desplegada; investigador notificado |
| Fix Verified | El investigador confirmo que la correccion funciona (paso opcional de re-verificacion) |
| Paid | Recompensa desembolsada y ciclo de vida completo |
| Dismissed | Cerrado sin correccion – puede ocurrir desde cualquier estado activo |
Dos transiciones especiales a tener en cuenta:
- Dismissed se puede alcanzar desde cualquier estado activo. El investigador siempre es notificado con una razon.
- Dismissed > Submitted reabre un reporte si el descarte fue hecho por error.
Cada transicion de estado se registra en la pista de auditoria del reporte con el actor, la marca de tiempo y un comentario opcional. Para detalles sobre como enviar mensajes a los investigadores en cada etapa, consulta Communicating with Researchers.
Indicadores de SLA
Cada tarjeta de reporte muestra un badge de SLA para que tu equipo pueda detectar trabajo atrasado de un vistazo. El reloj de SLA de acuse de recibo comienza en el momento en que se envia un reporte. El SLA de resolucion comienza cuando un reporte llega a “Validated.”
| Badge | Color | Significado |
|---|---|---|
| On Track | Verde | Dentro del plazo de SLA con margen |
| At Risk | Amarillo | El plazo de SLA se acerca – actua pronto |
| Breached | Rojo | El plazo de SLA ya paso |
Usa el filtro SLA en el tablero de triaje y selecciona Breached para mostrar inmediatamente los reportes que necesitan atencion. Los objetivos de SLA se configuran por nivel de severidad en VDP > Program Settings > SLAs.
Screening con IA
Cada reporte enviado es automaticamente analizado en busca de contenido de bajo esfuerzo o generado por IA antes de llegar al tablero de triaje. El analisis se ejecuta en segundo plano y adjunta sus resultados al reporte en segundos.
El screener busca senales que indican reportes fabricados o producidos en masa:
| Senal | Que detecta |
|---|---|
| Funciones alucinadas | Referencias a nombres de funciones, metodos de API o rutas de archivos que son plausibles pero probablemente inventados |
| CVEs fabricados | Numeros de CVE que no existen en bases de datos publicas |
| CVE previo citado como nuevo | Una vulnerabilidad conocida y divulgada publicamente presentada como un hallazgo nuevo |
| Sin PoC especifico | Sin prueba de concepto, sin pasos especificos del objetivo, sin salida esperada vs. real |
| Pasos de reproduccion vagos | Pasos genericos como “navega a la pagina de login e ingresa un payload” que podrian describir cualquier aplicacion |
| Lenguaje de plantilla | Frases predefinidas como “As a security researcher, I discovered…” sin contexto especifico del objetivo |
| Estructura de plantilla | Secciones numeradas rigidas y encabezados en negrita que sugieren copiar y pegar de un generador de reportes |
| Remediacion generica | Consejos de manual como “sanitize all inputs” sin orientacion especifica del objetivo |
| Detalles tecnicos inconsistentes | Tecnologias, frameworks o versiones que no coinciden con el endpoint objetivo |
| Referencias a elementos de codigo inexistentes | Hashes de commits, nombres de funciones o rutas de archivos fabricados que no se pueden verificar |
El screening produce un puntaje de confianza (0–100) y una recomendacion:
| Recomendacion | Rango de puntaje | Efecto |
|---|---|---|
| Pass | 0–30 | El reporte aparece en el tablero normalmente |
| Review | 31–60 | El reporte aparece con un badge sutil de revision |
| Flag | 61–100 | El reporte se marca con un badge de screening con IA en la tarjeta Kanban |
El screening con IA nunca rechaza automaticamente un reporte. Los reportes marcados permanecen completamente visibles y triageables – el badge simplemente alerta a tu equipo de que el contenido puede necesitar un escrutinio adicional. Tu equipo siempre toma la decision final.
Evaluacion de severidad
Abre un reporte y haz clic en Assess para puntuarlo usando CVSS v3.1. La calculadora integrada te guia a traves de ocho metricas:
| Metrica | Opciones |
|---|---|
| Attack Vector | Network, Adjacent, Local, Physical |
| Attack Complexity | Low, High |
| Privileges Required | None, Low, High |
| User Interaction | None, Required |
| Scope | Unchanged, Changed |
| Confidentiality Impact | None, Low, High |
| Integrity Impact | None, Low, High |
| Availability Impact | None, Low, High |
El sistema calcula automaticamente el puntaje base y lo mapea a un nivel de severidad:
| Nivel | Rango CVSS |
|---|---|
| Super Critical | 9.5–10.0 |
| Critical | 9.0–9.4 |
| High | 7.0–8.9 |
| Medium | 4.0–6.9 |
| Low | 0.1–3.9 |
| Informational | 0.0 |
Una vez evaluado, el nivel de severidad desbloquea un rango de recompensa sugerido de tu matriz de bounties. El vector string de CVSS se almacena en el reporte y se muestra en la pista de auditoria. Si la severidad es Critical o Super Critical, se envia una notificacion de escalamiento a tus contactos de escalamiento configurados.
Descartar reportes
Abre un reporte y haz clic en Dismiss para cerrarlo sin correccion. Debes seleccionar una razon:
| Razon | Cuando usarla |
|---|---|
| Out of Scope | El objetivo no esta cubierto por tu configuracion de alcance |
| Duplicate | La misma vulnerabilidad ya fue reportada – vincula al reporte original |
| Not Reproducible | Tu equipo no pudo reproducir el problema con los pasos proporcionados |
| Informational | No hay vulnerabilidad explotable; el investigador comparte un hallazgo general |
| Spam | Envio automatizado o claramente de bajo esfuerzo |
| AI Slop | Contenido generado por IA con detalles fabricados o alucinados |
Agrega una nota opcional para explicar la decision. El investigador recibe un email usando tu plantilla de descarte configurada con la razon y la nota incluidas. La razon de descarte se registra permanentemente en la pista de auditoria y no se puede editar despues de guardar.
Si un descarte fue hecho por error, puedes reabrir el reporte desde la columna Dismissed, lo que lo devuelve al estado Submitted.
Asignacion de reportes
Haz clic en el avatar del asignado (o “Assign”) en cualquier tarjeta de reporte o vista de detalle para asignar un miembro del equipo. El asignado recibe una notificacion en la aplicacion y un email.
Cuando la asignacion automatica esta habilitada, los reportes entrantes se asignan automaticamente a la persona de guardia. Si nadie esta de guardia, se usa el asignado por defecto como respaldo. Consulta On-Call Rotation para detalles sobre como configurar turnos y horarios.
Para asignacion masiva, selecciona multiples tarjetas de reporte usando sus checkboxes y elige Assign desde la barra de acciones masivas que aparece en la parte inferior del tablero.
Los reportes Critical y Super Critical envian automaticamente un email de escalamiento a tus contactos de escalamiento configurados, independientemente de la asignacion. Configura los contactos de escalamiento en VDP > Program Settings > Triage.
Operaciones masivas
Selecciona multiples tarjetas de reporte usando sus checkboxes para entrar en modo de seleccion masiva. Una barra de acciones flotante aparece en la parte inferior del tablero con tres opciones:
| Accion | Descripcion |
|---|---|
| Assign | Asignar todos los reportes seleccionados a un miembro del equipo |
| Dismiss | Descartar todos los reportes seleccionados con una razon compartida |
| Change Severity | Actualizar el nivel de severidad en todos los reportes seleccionados |
El descarte masivo requiere que elijas una unica razon que aplique a todos los reportes seleccionados. Cada operacion masiva se registra individualmente en la pista de auditoria de cada reporte afectado.
Lista de verificacion rapida
- Revisa el tablero de triaje diariamente para nuevos envios
- Verifica el filtro “Breached” de SLA para cualquier reporte atrasado
- Evalua la severidad (CVSS) en cada reporte validado
- Asigna reportes a miembros del equipo con experiencia en el dominio
- Descarta los reportes claramente invalidos con prontitud para mantener la cola limpia
- Usa “Needs Clarification” cuando los pasos de reproduccion sean insuficientes
- Revisa los reportes marcados por IA con escrutinio adicional antes de descartarlos o validarlos
Proximos pasos
- Communicating with Researchers – hilos de mensajes, plantillas de email y notificaciones de Slack
- Bounties and Payouts – otorgar recompensas, documentos fiscales y el libro contable