Komunikacja z badaczami
Jak korzystać z wątków wiadomości, dostosowywać szablony e-mail, konfigurować powiadomienia Slack i obsługiwać eskalacje.
Dlaczego to ważne
Badacze oceniają programy bardziej na podstawie szybkości i jasności komunikacji niż kwot nagród. Program, który sprawnie potwierdza odbiór zgłoszeń i przejrzyście informuje o statusie, buduje zaufanie — a zaufanie przyciąga zgłoszenia wyższej jakości. Scentralizowane wątki wiadomości zapewniają pełną audytowalność komunikacji na potrzeby SOC 2, dzięki czemu żadne zgłoszenie nie zginie w gąszczu e-maili.
Wątki wiadomości
Każde zgłoszenie ma dedykowany wątek wiadomości. To miejsce, w którym odbywa się cała komunikacja między zespołem a badaczem — bez bocznych kanałów e-mailowych ani wiadomości Slack, które łatwo stracić z oczu.
Każda wiadomość ma jeden z dwóch trybów widoczności:
| Tryb | Widoczna dla | Zastosowanie |
|---|---|---|
| Zewnętrzny | Personel i badacz | Prośba o kroki odtworzenia, udostępnianie aktualizacji statusu, koordynacja poprawek |
| Wewnętrzny | Tylko personel | Notatki inżynieryjne, dyskusja o triażu, spór o poziom ważności |
Przed wysłaniem przełącz opcję Internal, aby notatki nie były widoczne dla badacza. Wiadomości wewnętrzne wyświetlają się z żółtym tłem i badge „Internal” w wątku, co pozwala zespołowi szybko je odróżnić.
Wiadomości obsługują formatowanie Markdown — pogrubienie, listy, bloki kodu i linki renderują się poprawnie. Wszystkie wiadomości mają znacznik czasu i informację o autorze. Po wysłaniu wiadomości nie można edytować ani usuwać. Ta niezmienność jest celowa: zachowuje ścieżkę audytu, jakiej oczekują audytorzy SOC 2.
Wysyłanie wiadomości
- Otwórz zgłoszenie z tablicy triażu
- Przejdź do zakładki Messages
- Napisz wiadomość w polu tekstowym
- Przełącz Internal, jeśli to notatka wyłącznie dla personelu
- Kliknij Send
Wiadomości zewnętrzne wywołują wysłanie e-maila do badacza z magic linkiem do portalu badacza. Badacz może odpowiedzieć z poziomu portalu, a odpowiedź pojawi się w tym samym wątku w czasie rzeczywistym.
Zmiany statusu — takie jak przeniesienie zgłoszenia do Needs Clarification lub Validated — mogą automatycznie wysyłać szablonową wiadomość do badacza. Te szablony konfiguruje się w Email Templates, aby kontrolować, co badacze widzą na każdym etapie.
Szablony e-mail
Przejdź do VDP > Email Templates, aby dostosować wiadomości wysyłane automatycznie przez program ujawniania podatności (VDP). Kit wykorzystuje 3-poziomową hierarchię szablonów:
- Domyślne systemowe — wbudowane szablony dostarczane z każdym programem. Tylko do odczytu.
- Nadpisania na poziomie konta — dostosowane wersje obowiązujące we wszystkich programach na koncie.
- Nadpisania na poziomie programu — szablony przypisane do konkretnego programu (planowane).
Wygrywa najbardziej szczegółowy szablon. Utworzenie nadpisania na poziomie konta dla report_acknowledged zastępuje domyślny szablon systemowy dla każdego programu na koncie.
Szablony używają składni Liquid ({{ variable_name }}). Przycisk Preview pozwala zobaczyć, jak szablon renderuje się z przykładowymi danymi przed zapisaniem.
Typy szablonów
Kit zawiera 11 szablonów e-mail, z których każdy jest wyzwalany automatycznie przez konkretne zdarzenie:
| Szablon | Wyzwalacz |
|---|---|
report_acknowledged |
Automatyczne wysłanie po przesłaniu zgłoszenia przez badacza |
clarification_requested |
Zmiana statusu zgłoszenia na Needs Clarification |
report_validated |
Zmiana statusu zgłoszenia na Validated |
report_resolved |
Zmiana statusu zgłoszenia na Resolved |
fix_verification_requested |
Wymagany retest przed zamknięciem |
report_dismissed |
Odrzucenie zgłoszenia z dowolnego powodu |
bounty_approved |
Zatwierdzenie kwoty nagrody przez personel |
payout_sent |
Oznaczenie wypłaty jako zakończonej |
escalation |
Triaż zgłoszenia o ważności Critical lub Super Critical |
appeal_received |
Przesłanie odwołania od odrzucenia przez badacza |
magic_link |
Link logowania do portalu wysyłany do badaczy |
Dostępne zmienne Liquid
Poniższe zmienne można stosować w tematach i treściach szablonów:
| Zmienna | Opis |
|---|---|
{{ researcher_name }} |
Nazwa wyświetlana lub pseudonim badacza |
{{ report_id }} |
Identyfikator zgłoszenia z prefiksem (np. rpt_abc123) |
{{ report_title }} |
Tytuł zgłoszenia podatności |
{{ program_name }} |
Nazwa Twojego programu VDP |
{{ severity }} |
Oceniony poziom ważności (np. High, Critical) |
{{ bounty_amount }} |
Zatwierdzona nagroda w sformatowanej walucie (np. $500.00) |
{{ portal_link }} |
Magic-link URL do portalu badacza |
{{ sla_hours }} |
Skonfigurowane godziny SLA dla danego poziomu ważności |
{{ dismissal_reason }} |
Kod przyczyny odrzucenia (np. Out of Scope, Duplicate) |
Na przykład dostosowany szablon report_acknowledged może wyglądać tak:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
Branding e-mail
Wszystkie e-maile kierowane do badaczy są automatycznie brandowane tożsamością konta. Buduje to zaufanie u zgłaszających, ponieważ wiadomości odpowiadają wyglądowi portalu bezpieczeństwa.
Co jest brandowane
| Element | Jak działa |
|---|---|
| Nazwa nadawcy | E-maile przychodzą od nazwy programu (np. „Acme VDP”) zamiast nazwy platformy |
| Logo | Logo konta pojawia się w nagłówku e-maila |
| Kolor akcentu | Przyciski CTA używają głównego koloru marki |
| Stopka | Wyświetla nazwę programu wraz z małą adnotacją „Sent via Kit” |
Konfiguracja
Branding e-mail dziedziczy z ustawień wyglądu całego konta. Przejdź do Account Settings > Appearance, aby skonfigurować logo i kolor główny. Ten sam branding obowiązuje w portalu kariery, portalu bezpieczeństwa i we wszystkich powiadomieniach e-mail wysyłanych do badaczy.
Nie jest potrzebna konfiguracja brandingu dla poszczególnych szablonów. Po ustawieniu brandingu konta wszystkie 11 typów e-maili dla badaczy korzysta z niego automatycznie.
Jeśli nie zostało przesłane logo, e-maile wyświetlają nazwę programu jako tekst. Jeśli branding nie jest w ogóle skonfigurowany, e-maile używają domyślnego stylu platformy.
Powiadomienia Slack
Kit wysyła powiadomienia Slack dla kluczowych zdarzeń VDP, dzięki czemu zespół jest na bieżąco bez konieczności sprawdzania dashboardu.
Konfiguracja
- Przejdź do Account Settings > Integrations > Slack i połącz workspace
- Otwórz Program Settings i wybierz kanał Slack, który ma otrzymywać powiadomienia VDP
Zdarzenia
Następujące zdarzenia generują powiadomienia Slack. Wszystkie są domyślnie włączone po skonfigurowaniu kanału:
| Zdarzenie | Domyślnie | Cel |
|---|---|---|
| Nowe przesłane zgłoszenie | Wł. | Powiadomienie zespołu o przychodzących zgłoszeniach |
| Ostrzeżenie o zagrożeniu SLA | Wł. | Oznaczenie zgłoszeń zbliżających się do terminu SLA |
| Naruszenie SLA | Wł. | Eskalacja zgłoszeń, które przekroczyły termin SLA |
| Triaż ważności Critical/Super Critical | Wł. | Natychmiastowa świadomość znalezisk o wysokiej ważności |
| Zatwierdzenie nagrody | Wł. | Widoczność finansowa zatwierdzonych wypłat |
| Otrzymanie odwołania | Wł. | Powiadomienie o zakwestionowaniu odrzucenia przez badacza |
Wszystkie zdarzenia trafiają na pojedynczy kanał Slack skonfigurowany w Program Settings.
Eskalacja
Gdy zgłoszenie zostanie ocenione jako Critical lub Super Critical, Kit uruchamia eskalację pomijającą standardowe preferencje powiadomień. Zapewnia to natychmiastowe powiadomienie dyżurnego zespołu niezależnie od indywidualnych ustawień powiadomień.
Eskalacja wysyła jednocześnie dwa powiadomienia:
-
E-mail — wysyłany na każdy adres ze skonfigurowanej listy eskalacji w Triage Settings oraz do osoby przypisanej do zgłoszenia. Korzysta z szablonu e-mail
escalation. - Slack — publikowany na skonfigurowanym kanale VDP niezależnie od przełączników poszczególnych zdarzeń. Nawet jeśli powiadomienia Slack dla innych zdarzeń są wyłączone, eskalacje zawsze przechodzą.
Odbiorców eskalacji konfiguruje się w VDP > Program Settings > Triage. Dodaj każdego, kto powinien zostać powiadomiony w przypadku krytycznego znaleziska — lidera bezpieczeństwa, CTO lub alias rotacji dyżurowej.
W skrócie
-
Dostosuj szablon
report_acknowledgeddo nazwy programu i odpowiedniego tonu -
Skonfiguruj szablon
report_dismissed, aby wyjaśniał najczęstsze powody odrzuceń - Skonfiguruj integrację Slack, aby zespół widział nowe zgłoszenia w czasie rzeczywistym
- Dodaj adresy e-mail eskalacji dla zgłoszeń Critical i Super Critical
- Używaj wiadomości wewnętrznych do koordynacji inżynieryjnej, a zewnętrznych do komunikacji z badaczami
Co dalej
- Portal badacza — co widzą badacze, jak zgłaszają i jak składają odwołania
- Nagrody i wypłaty — zatwierdzanie nagród, dokumenty podatkowe i księga finansowa