Logo StartupKit
FR

Acheminer les rapports vers les équipes

Constituez un catalogue de composants représentant vos domaines produit, afin que chaque rapport de vulnérabilité entrant soit suggéré à l'équipe qui en est responsable — et pris en charge par elle.

Pourquoi c’est important

Dans un programme de petite taille, une seule personne assure le triage de tous les rapports. À mesure que votre programme grandit, une file d’attente unique devient un goulot d’étranglement : un bug de paiement et un bug mobile atterrissent dans la même pile, et le bon ingénieur ne voit le rapport que si quelqu’un pense à l’y associer.

Un catalogue de composants résout ce problème. Vous décrivez vos domaines produit une seule fois — « Payments API », « Mobile App », « Marketing Site » — et Kit suggère le domaine responsable pour chaque rapport entrant, en confie la propriété à l’assigné par défaut de ce domaine et notifie le canal Slack de l’équipe concernée dès que le rapport est validé. L’acheminement se veut une aide et reste toujours confirmé par un humain : Kit propose, votre équipe décide.

Note

Les composants sont entièrement facultatifs. Sans eux, les rapports fonctionnent exactement comme avant — vous gagnez seulement l’acheminement. Commencez par deux ou trois domaines qui correspondent à des frontières d’équipe claires, puis ajoutez-en d’autres selon vos besoins.

Qu’est-ce qu’un composant

Un composant est une entrée de catalogue propre à un programme, décrivant un domaine produit de votre programme de divulgation des vulnérabilités (VDP). Chaque composant porte quatre éléments :

Champ Rôle
Nom L’intitulé du domaine affiché sur les rapports et dans Slack (par ex. Payments API). Obligatoire.
Description Un bref résumé de ce que couvre le domaine. Le classificateur IA le lit pour décider où placer un rapport ambigu, alors soyez précis.
Motifs de périmètre Des motifs génériques d’URL comparés au point de terminaison affecté d’un rapport (voir Motifs de périmètre ci-dessous).
Canal Slack Le canal de l’équipe responsable. Reçoit une notification « Prendre en charge » dès qu’un rapport acheminé est validé.
Assigné par défaut Un membre de l’équipe qui devient automatiquement propriétaire des rapports acheminés vers ce domaine, si le rapport n’est pas encore assigné.

Seul le nom est obligatoire. Un composant réduit à un nom fonctionne déjà comme une étiquette manuelle ; ajoutez des motifs de périmètre, un canal et un assigné pour débloquer les suggestions et l’acheminement automatiques.

Configurer les composants

Ouvrez VDP > Paramètres du programme > Composants. L’onglet Composants est le catalogue : ajoutez, modifiez et archivez vos domaines produit ici.

Pour en ajouter un, cliquez sur Nouveau composant, remplissez les champs et enregistrez :

  • Donnez au domaine un nom clair et une description précise
  • Ajoutez un ou plusieurs motifs de périmètre, un motif générique par ligne
  • Choisissez le canal Slack de l’équipe responsable (facultatif)
  • Choisissez un assigné par défaut (facultatif)

Les nouveaux abonnés au VDP voient également une étape facultative « Configurer les domaines produit » lors de l’intégration. Vous pouvez la terminer à ce moment-là ou la passer et constituer votre catalogue plus tard — rien d’autre n’en dépend.

Motifs de périmètre

Les motifs de périmètre sont des motifs génériques d’URL, un par ligne, comparés au point de terminaison affecté qu’un chercheur saisit dans son rapport. Ils pilotent la moitié déterministe de l’acheminement : si le point de terminaison d’un rapport correspond aux motifs d’un seul composant, ce composant l’emporte d’emblée.

La seule règle qui pose problème : un motif sans * au début est ancré au commencement du point de terminaison. Comme les points de terminaison affectés sont généralement des URL complètes commençant par https://, vous voudrez presque toujours entourer la partie utile de * pour qu’elle corresponde en tant que sous-chaîne.

La correspondance est insensible à la casse, et * correspond aussi aux /, si bien que *pay* est une véritable correspondance de sous-chaîne.

Pour le point de terminaison https://app.example.com/api/pay/charge :

Motif Correspond ? Pourquoi
*pay* * au début et à la fin — correspond à « pay » n’importe où dans la chaîne
*/api/pay/* Des jokers aux deux extrémités ancrent le segment de chemin où qu’il apparaisse
https://app.example.com/* Pas de * au début, mais le point de terminaison commence exactement par ce texte
app.example.com/* Ancré au début — mais le point de terminaison commence par https://, pas par app.
/api/pay/charge Ancré au début — le point de terminaison ne commence pas par /api/…

Tip

En cas de doute, entourez la partie distinctive du chemin de * : *payments* ou */api/pay/*. Réservez les motifs ancrés au début (https://…/*) aux cas où vous voulez délibérément faire correspondre un hôte exact dès le premier caractère.

Comment fonctionne l’acheminement

L’acheminement se limite à des suggestions. Kit ne réassigne jamais un rapport en silence — chaque étape ci-dessous fait remonter une suggestion que votre équipe confirme.

1. Kit suggère un domaine

Lorsqu’un rapport est soumis, Kit choisit un composant candidat en deux étapes :

  1. Correspondance déterministe — si le point de terminaison affecté du rapport correspond aux motifs de périmètre d’un seul composant, c’est une correspondance sans ambiguïté, en pleine confiance.
  2. Classificateur IA — si les motifs ne correspondent à rien, ou correspondent de façon ambiguë à deux composants ou plus, un classificateur IA lit le rapport à la lumière de vos descriptions de composants et propose le meilleur candidat, ou none.

Kit ne fait remonter une suggestion que lorsqu’il est raisonnablement confiant. Si rien ne convient, le rapport arrive simplement sans domaine suggéré — l’acheminement ne bloque ni ne retarde jamais une soumission.

2. L’équipe confirme le domaine

Sur la page du rapport, la barre latérale affiche une carte « Domaine / équipe responsable ». Lorsque Kit a une suggestion, elle apparaît comme un « Domaine suggéré » avec un pourcentage de confiance et une justification d’une ligne. Votre équipe peut alors :

  • Accepter la suggestion,
  • Choisir un autre domaine dans le sélecteur,
  • ou la laisser non définie.

Accepter un composant définit le domaine du rapport et, si ce composant a un assigné par défaut, désigne cette personne comme propriétaire du rapport (sauf si quelqu’un en est déjà propriétaire). Vous pouvez effacer ou changer le domaine à tout moment depuis la même carte.

3. L’équipe responsable est notifiée

Une fois qu’un rapport acheminé est validé (il passe le triage — voir Triage des rapports), si son composant a un canal Slack, Kit publie dans ce canal une carte de notification dotée d’un bouton « Prendre en charge ». N’importe quel membre de l’équipe peut cliquer dessus pour revendiquer le rapport et en devenir propriétaire. La notification se déclenche exactement une fois par rapport : revalider ou réassigner n’inondera donc pas le canal.

Note

La notification Slack ne se déclenche qu’après la validation, pas à la soumission — le canal d’une équipe reste donc silencieux jusqu’à ce qu’un rapport soit confirmé réel et dans le périmètre. Configurez Slack dans Paramètres du compte > Intégrations.

À faire / À éviter

À faire À éviter
Entourer le chemin utile de * (*payments*) Omettre le * de début en attendant une correspondance de sous-chaîne
Rédiger des descriptions précises — le classificateur IA les lit Vous fier aux seuls motifs de périmètre pour des domaines aux frontières d’URL floues
Traiter chaque suggestion comme une proposition à confirmer Supposer qu’un domaine suggéré est déjà assigné — il ne l’est qu’une fois accepté
Définir un assigné par défaut pour les domaines ayant un propriétaire clair Pointer un composant vers un canal Slack dont Kit n’est pas membre
Archiver les domaines que vous retirez Supprimer l’historique — l’archivage le préserve

Gérer via les outils MCP

Le catalogue est également accessible aux agents IA et aux clients API via les outils MCP, afin que vous puissiez constituer et acheminer votre catalogue de façon programmatique :

  • csirt_list_components — lister le catalogue (lecture)
  • csirt_create_component / csirt_update_component — ajouter ou modifier un domaine (écriture)
  • csirt_archive_component — retirer un domaine (écriture)
  • csirt_assign_component — définir, effacer ou demander le domaine suggéré sur un rapport. Omettez l’identifiant du composant pour obtenir la suggestion déterministe/IA sans rien changer, puis rappelez l’outil avec l’identifiant suggéré pour le confirmer.

Les outils d’écriture requièrent la portée csirt_write et confirment toujours avant d’agir, reflétant le flux « suggérer puis confirmer » de l’interface. Consultez Intégration de l’IA pour la référence complète des outils et la configuration de la connexion.

Archiver un composant

Pour retirer un domaine, cliquez sur Archiver dans l’onglet Composants. L’archivage est une suppression douce :

  • Les rapports déjà acheminés vers le composant conservent leur historique — le domaine reste affiché sur ces rapports.
  • Les nouveaux rapports cessent d’y être acheminés — il disparaît des suggestions et du sélecteur.

C’est la façon sûre de mettre un domaine produit hors service sans réécrire le passé. Il n’y a pas de suppression définitive depuis l’interface ; l’archivage est intentionnellement réversible et sûr plutôt que destructeur.

En bref

  • Créez un composant pour chaque domaine produit ayant une frontière d’équipe claire
  • Rédigez une description précise — le classificateur IA en dépend
  • Ajoutez des motifs de périmètre en entourant le chemin distinctif de * (par ex. *payments*)
  • Définissez un canal Slack pour que l’équipe responsable reçoive la notification « Prendre en charge »
  • Définissez un assigné par défaut pour les domaines ayant un propriétaire clair
  • Sur les nouveaux rapports, confirmez ou changez le domaine suggéré dans la carte de la barre latérale
  • Archivez les domaines que vous retirez au lieu de les supprimer

Pour aller plus loin

  • Triage des rapports — le tableau de triage, les indicateurs de SLA et l’étape de validation qui déclenche les notifications d’équipe
  • Configurer votre programme — le périmètre, les SLA, la grille des primes et le reste des paramètres du programme
  • Intégration de l’IA — l’ensemble complet des outils MCP, y compris ceux du catalogue de composants

Tapez pour rechercher...