Logo StartupKit
FR
English Deutsch Français Español Polski
Vulnerability Disclosure

Le portail chercheur

Comment les chercheurs soumettent des rapports, suivent le statut, font appel des décisions et configurent leurs informations de paiement via le portail sécurisé.

Pourquoi c’est important

Les chercheurs sont bien plus susceptibles de soumettre via un portail transparent et structuré qu’une boîte security@ aveugle. Un flux de soumission clair avec suivi de statut intégré montre aux chercheurs que vous prenez leur travail au sérieux, ce qui attire des rapports de meilleure qualité et construit une confiance à long terme avec la communauté de sécurité.

Le portail chercheur de Kit utilise l’authentification par lien magique — pas de mots de passe à gérer, pas de comptes à créer. Cela élimine la friction pour les chercheurs ponctuels tout en maintenant la responsabilité et un canal de communication sécurisé pour chaque rapport.

Ce que voient les chercheurs

Le portail chercheur vit à une URL distincte de votre tableau de bord interne :

/security/{program-slug}/

C’est un portail public — distinct de l’interface d’administration Kit que votre équipe utilise. L’expérience est conçue autour de trois principes :

Domaine personnalisé (VDP Add-on)

Avec le VDP Add-on, vous pouvez servir votre portail de sécurité sur votre propre domaine — par exemple security.yourcompany.com — au lieu du chemin de sous-domaine Kit par défaut. Pointez un enregistrement DNS CNAME vers Kit et ajoutez le domaine sous Paramètres du compte > Domaines personnalisés. Une fois le domaine vérifié et actif, toutes les URL du portail (/policy, /report, /hall-of-fame, /.well-known/security.txt) sont servies directement depuis votre domaine sans préfixe de chemin.

Les domaines personnalisés pour le portail de sécurité nécessitent le VDP Add-on (49 $/mois).

  • Faible barrière à l’entrée — Pas de connexion requise pour soumettre un rapport. Les chercheurs n’ont besoin que d’une adresse e-mail.
  • Transparence après soumission — Une fois un rapport soumis, le chercheur reçoit un lien magique par e-mail pour accéder à son portail. De là, il peut voir ses rapports soumis, le statut actuel de chaque rapport, le fil de messages avec votre équipe et une chronologie des événements.
  • Isolation stricte — Les chercheurs ne peuvent pas voir les notes internes de l’équipe, les rapports d’autres chercheurs, ni aucun détail au-delà de leurs propres soumissions.

Soumettre un rapport

Le formulaire de soumission public est disponible à /security/{program-slug}/reports/new. Aucun compte n’est requis — le chercheur fournit une adresse e-mail et Kit gère le reste.

Champs obligatoires

Champ Description
Type de vulnérabilité Catégorie OWASP sélectionnée dans un menu déroulant (SQL Injection, XSS, Broken Auth, IDOR, SSRF, RCE, etc.)
Endpoint affecté L’URL ou le composant système où la vulnérabilité existe
Sévérité (auto-évaluée) L’estimation propre du chercheur — non contraignante pour l’évaluation finale de votre équipe
Description Détails complets de la vulnérabilité, avec prise en charge du Markdown
Étapes de reproduction Instructions étape par étape pour reproduire le problème
Impact Quelles données ou fonctionnalités sont à risque si la vulnérabilité est exploitée
Adresse e-mail Utilisée pour l’accès au portail par lien magique et toutes les notifications

Les chercheurs peuvent également joindre des fichiers — captures d’écran, code de preuve de concept ou enregistrements vidéo. Ces éléments sont optionnels mais encouragés pour les vulnérabilités complexes.

Un défi CAPTCHA est présenté lors de la soumission et une limitation de débit s’applique par adresse IP pour empêcher le spam automatisé d’atteindre votre file de triage.

Après la soumission

Une fois un rapport soumis, deux choses se produisent immédiatement :

  1. Le rapport apparaît dans la file de triage de votre équipe (voir Triage des rapports)
  2. Le chercheur reçoit un e-mail de confirmation avec un lien magique vers son portail

Le lien magique donne accès au portail chercheur sans aucun mot de passe. Chaque notification e-mail ultérieure inclut également un lien de portail à jour via la variable de modèle {{ portal_link }}.

Authentification par lien magique

Le portail utilise des liens magiques par e-mail au lieu de mots de passe. Voici comment cela fonctionne :

  1. Le chercheur visite /security/{program-slug}/ et saisit son adresse e-mail
  2. Kit envoie un lien de connexion à usage unique à cette adresse
  3. Cliquer sur le lien authentifie le chercheur et ouvre son portail
  4. La session persiste jusqu’à la fermeture du navigateur ou l’expiration du lien

Si un chercheur n’a pas de session active, il peut demander un nouveau lien magique à tout moment depuis la page de connexion du portail. Un lien « Soumettre un nouveau rapport » est également disponible sur la page de connexion pour les nouveaux visiteurs.

Consultation du statut des rapports

Depuis le portail, les chercheurs voient une liste de tous les rapports qu’ils ont soumis. Chaque carte de rapport affiche :

Élément Détails
ID du rapport Identifiant préfixé unique (par ex., RPT-abc123)
Titre Le titre de la vulnérabilité issu de la soumission
Sévérité Affichée une fois que votre équipe a terminé son évaluation
Statut Statut actuel en langage clair (par ex., « Validé », « En cours », « Résolu »)
Prime Montant et statut, si une prime a été approuvée
Date de soumission Date à laquelle le rapport a été initialement déposé

En cliquant sur un rapport, le chercheur accède à la vue détaillée complète : le contenu de la soumission originale, le statut actuel avec une explication, le fil de messages (messages externes uniquement — les notes internes de l’équipe sont masquées) et une chronologie de toutes les transitions.

Les chercheurs ne peuvent pas modifier les détails du rapport après soumission. Ils peuvent communiquer avec votre équipe en envoyant des messages dans le fil du rapport, qui est le canal principal pour les demandes de clarification et les mises à jour de statut. Consultez Communication avec les chercheurs pour savoir comment votre équipe gère ces conversations.

Appels

Lorsque votre équipe rejette un rapport, le chercheur a la possibilité de faire appel de la décision directement depuis le portail.

Comment fonctionnent les appels

  1. Le chercheur ouvre le rapport rejeté dans son portail
  2. Il clique sur Faire appel et fournit une justification écrite (minimum 10 caractères)
  3. L’appel est soumis et votre équipe est notifiée via le modèle d’e-mail appeal_received et une notification Slack (si configurée)
  4. Votre équipe examine l’appel depuis la vue détaillée du rapport et peut soit maintenir soit annuler le rejet initial

Limites d’appel

Chaque rapport a un nombre maximum d’appels configurable. La valeur par défaut est de 3 appels par rapport. Vous pouvez ajuster cette limite dans les Paramètres de triage de votre programme. Le portail affiche le nombre d’appels utilisés (par ex., « Appels utilisés : 1 sur 3 ») pour que les chercheurs sachent où ils en sont.

NDA / Accord

Vous pouvez optionnellement exiger que les chercheurs acceptent un accord de programme avant le versement d’une prime. C’est utile pour les accords de non-divulgation ou les conditions de divulgation coordonnée.

  • Configurez le texte de l’accord dans les Paramètres du programme à l’aide de l’éditeur de texte riche
  • Lorsqu’une prime est approuvée, le chercheur voit une invite Accepter l’accord dans son portail
  • L’acceptation est enregistrée avec un horodatage
  • Le chercheur peut optionnellement télécharger une copie signée du document

L’acceptation de l’accord est un prérequis pour le paiement — si activé, le pipeline de versement ne procédera pas tant que le chercheur n’aura pas accepté.

Configuration du paiement (VDP Add-on)

Après que votre équipe a approuvé une prime, le chercheur est invité dans son portail à fournir ses informations de paiement. Cette section n’est disponible qu’avec le VDP Add-on (49 $/mois).

Les méthodes de paiement prises en charge dépendent de ce que vous avez configuré dans les Paramètres du programme :

  • Virement bancaire — Le chercheur fournit ses coordonnées bancaires
  • PayPal — Le chercheur fournit son adresse e-mail PayPal
  • Crypto — Le chercheur fournit une adresse de portefeuille

Les informations de paiement sont chiffrées au repos. Une fois soumises, les détails complets ne sont plus jamais affichés dans le portail — le chercheur ne voit qu’une confirmation que ses informations sont enregistrées. Votre équipe utilise ces informations uniquement pour exécuter le virement. Consultez Primes et paiements pour le flux de versement complet.

Documents fiscaux (VDP Add-on)

Pour les programmes qui exigent une documentation fiscale avant le versement, les chercheurs téléchargent leurs formulaires directement via le portail. Cette section n’est disponible qu’avec le VDP Add-on (49 $/mois).

Document Qui en a besoin Objectif
W-9 Chercheurs basés aux États-Unis Exigé par l’IRS pour les paiements domestiques dépassant 600 $/an
W-8BEN Chercheurs hors États-Unis Certifie le statut étranger et revendique les avantages des conventions fiscales pour réduire les retenues

Flux de téléchargement :

  1. Après l’approbation d’une prime, le chercheur voit une invite dans son portail pour télécharger le document fiscal approprié
  2. Le chercheur sélectionne le type de document (W-9 ou W-8BEN) et télécharge le fichier
  3. Votre équipe examine et marque le document comme vérifié ou rejeté depuis la file des Documents fiscaux dans le tableau de bord interne
  4. En cas de rejet, le chercheur est notifié et peut télécharger une version corrigée

Une tâche d’arrière-plan récurrente surveille les dates d’expiration des documents et envoie des rappels aux chercheurs lorsque leurs documents approchent de l’échéance. La vérification des documents fiscaux est un prérequis pour le versement lorsque cette exigence est activée dans les paramètres de votre programme.

Contrôle d’accès sur invitation uniquement

Par défaut, votre portail de sécurité est accessible publiquement à toute personne disposant de l’URL. Vous pouvez passer en mode invitation uniquement pour restreindre les soumissions — utile pour les programmes privés, les bêtas en accès anticipé ou les programmes limités à une liste de chercheurs sélectionnés.

Pour l’activer, accédez à VDP > Paramètres du portail de sécurité et définissez Contrôle d’accès sur Invitation uniquement. Kit génère automatiquement un jeton d’accès secret. Partagez l’URL d’invitation résultante directement avec les chercheurs de confiance — elle inclut le jeton et accorde une session de navigateur persistante au clic.

Formulaire de demande d’accès

Lorsqu’un visiteur arrive sur votre portail verrouillé sans jeton valide, au lieu d’une impasse, il voit un court formulaire Demander l’accès. Il peut saisir son e-mail et un message optionnel expliquant son intérêt. Vous n’êtes pas obligé d’approuver chaque demande, et la soumission du formulaire n’indique pas au visiteur si son e-mail est déjà en attente — empêchant l’énumération.

Lorsqu’une demande arrive :

  1. Un e-mail de notification est envoyé à votre adresse e-mail de contact security.txt (ou l’e-mail de facturation du compte en secours)
  2. L’élément Demandes d’accès apparaît dans la barre latérale VDP sous Configuration, avec un badge indiquant le nombre en attente
  3. Ouvrez VDP > Demandes d’accès pour examiner les demandes en attente — l’adresse e-mail, le message optionnel et la date de soumission sont affichés
  4. Cliquez sur Approuver et envoyer l’invitation pour envoyer au demandeur son lien d’invitation personnel en une seule étape

Le lien d’invitation envoyé lors de l’approbation est la même URL basée sur un jeton que vous partageriez manuellement. Une fois qu’un chercheur clique dessus, il dispose d’une session persistante et peut soumettre des rapports normalement.

Hall of Fame

Les chercheurs peuvent choisir de figurer sur le Hall of Fame public de votre programme depuis leur profil de portail. C’est entièrement volontaire — aucun chercheur n’est listé sans son consentement explicite.

Comment ça fonctionne :

  • Dans la page de profil du portail, le chercheur active Afficher mon pseudonyme publiquement
  • Seul leur pseudonyme est affiché sur le classement public — jamais leur vrai nom ni leur adresse e-mail
  • Votre équipe peut mettre en avant des chercheurs spécifiques depuis la page de gestion du Hall of Fame dans le tableau de bord interne (les chercheurs mis en avant apparaissent en premier)
  • Le Hall of Fame public est accessible à /security/{program-slug}/hall-of-fame

Le Hall of Fame est un incitatif à faible coût qui fonctionne particulièrement bien pour les programmes de reconnaissance uniquement (sans primes monétaires). Activez-le dans les Paramètres du programme pour donner aux chercheurs une raison de s’inscrire.

Liste de contrôle rapide

  • Vérifiez l’URL de votre formulaire de soumission (/security/{program-slug}/reports/new) et partagez-la dans votre security.txt et le pied de page de votre site
  • (VDP Add-on) Configurez un domaine personnalisé (par ex. security.yourcompany.com) sous Paramètres du compte > Domaines personnalisés pour une expérience chercheur de marque
  • Testez le flux de lien magique en soumettant un rapport de test avec un e-mail personnel
  • Personnalisez le modèle d’e-mail report_acknowledged pour que les chercheurs sachent à quoi s’attendre après soumission
  • Configurez la limite d’appels dans les Paramètres de triage (par défaut : 3 par rapport)
  • Mettez en place un NDA/accord si votre programme en exige un avant paiement
  • Activez le Hall of Fame dans les Paramètres du programme pour encourager la participation des chercheurs
  • Si vous gérez un programme privé, activez le contrôle d’accès sur invitation uniquement dans les Paramètres du portail de sécurité et partagez l’URL d’invitation avec les chercheurs de confiance
  • Si vous utilisez le VDP Add-on, vérifiez que les méthodes de paiement et les exigences de documents fiscaux sont correctement configurées

Étapes suivantes

Tapez pour rechercher...