Komunikacja z badaczami
Jak korzystać z wątków wiadomości, dostosowywać szablony e-mail, konfigurować powiadomienia Slack i obsługiwać eskalacje.
Dlaczego to ważne
Badacze oceniają programy na podstawie szybkości i przejrzystości komunikacji bardziej niż kwot nagród. Program, który sprawnie potwierdza odbiór zgłoszeń i zapewnia transparentne aktualizacje statusów, buduje zaufanie — a zaufanie przyciąga zgłoszenia wyższej jakości. Scentralizowane wątki wiadomości zapewniają pełną audytowalność komunikacji na potrzeby SOC 2, dzięki czemu żadne zgłoszenie nie zginie w gąszczu e-maili.
Wątki wiadomości
Każde zgłoszenie ma dedykowany wątek wiadomości. To miejsce, w którym odbywa się cała komunikacja między zespołem a badaczem — bez bocznych kanałów e-mailowych ani wiadomości Slack, które łatwo stracić z oczu.
Każda wiadomość ma jeden z dwóch trybów widoczności:
| Tryb | Widoczna dla | Zastosowanie |
|---|---|---|
| Zewnętrzny | Personel i badacz | Prośby o kroki reprodukcji, udostępnianie aktualizacji statusu, koordynacja poprawek |
| Wewnętrzny | Tylko personel | Notatki inżynieryjne, dyskusja o triażu, debata o ważności |
Przed wysłaniem należy przełączyć opcję Internal, aby notatki nie były widoczne dla badacza. Wiadomości wewnętrzne wyświetlają się z żółtym tłem i znacznikiem „Internal” w wątku, co pozwala zespołowi szybko je odróżnić.
Wiadomości obsługują formatowanie Markdown — pogrubienie, listy, bloki kodu i linki renderują się poprawnie. Wszystkie wiadomości mają znacznik czasu i informację o autorze. Po wysłaniu wiadomości nie można edytować ani usuwać. Ta niezmienność jest celowa: zachowuje ścieżkę audytu, jakiej oczekują audytorzy SOC 2.
Wysyłanie wiadomości
- Otwarcie zgłoszenia z tablicy triażu
- Przejście do zakładki Messages
- Napisanie wiadomości w polu tekstowym
- Przełączenie Internal, jeśli to notatka wyłącznie dla personelu
- Kliknięcie Send
Wiadomości zewnętrzne wywołują wysłanie e-maila do badacza z magic linkiem do portalu badacza. Badacz może odpowiedzieć z poziomu portalu, a odpowiedź pojawi się w tym samym wątku w czasie rzeczywistym.
Zmiany statusu — takie jak przeniesienie zgłoszenia do Needs Clarification lub Validated — mogą automatycznie wysyłać szablonową wiadomość do badacza. Te szablony konfiguruje się w Email Templates, aby kontrolować, co badacze widzą na każdym etapie.
Szablony e-mail
Przejdź do VDP > Email Templates, aby dostosować wiadomości wysyłane automatycznie przez program. Kit wykorzystuje 3-poziomową hierarchię szablonów:
- Domyślne systemowe — wbudowane szablony dostarczane z każdym programem. Tylko do odczytu.
- Nadpisania na poziomie konta — dostosowane wersje obowiązujące we wszystkich programach na koncie.
- Nadpisania na poziomie programu — szablony przypisane do konkretnego programu (planowane).
Wygrywa najbardziej szczegółowy szablon. Utworzenie nadpisania na poziomie konta dla report_acknowledged zastępuje domyślny szablon systemowy dla każdego programu na koncie.
Szablony używają składni Liquid ({{ variable_name }}). Przycisk Preview pozwala zobaczyć, jak szablon renderuje się z przykładowymi danymi przed zapisaniem.
Typy szablonów
Kit zawiera 11 szablonów e-mail, z których każdy jest wyzwalany automatycznie przez konkretne zdarzenie:
| Szablon | Wyzwalacz |
|---|---|
report_acknowledged |
Automatyczne wysłanie po przesłaniu zgłoszenia przez badacza |
clarification_requested |
Zmiana statusu zgłoszenia na Needs Clarification |
report_validated |
Zmiana statusu zgłoszenia na Validated |
report_resolved |
Zmiana statusu zgłoszenia na Resolved |
fix_verification_requested |
Wymagany retest przed zamknięciem |
report_dismissed |
Odrzucenie zgłoszenia z dowolnego powodu |
bounty_approved |
Zatwierdzenie kwoty nagrody przez personel |
payout_sent |
Oznaczenie wypłaty jako zakończonej |
escalation |
Triaż zgłoszenia o ważności Critical lub Super Critical |
appeal_received |
Przesłanie odwołania od odrzucenia przez badacza |
magic_link |
Link logowania do portalu wysyłany do badaczy |
Dostępne zmienne Liquid
Poniższe zmienne można stosować w tematach i treściach szablonów:
| Zmienna | Opis |
|---|---|
{{ researcher_name }} |
Nazwa wyświetlana lub pseudonim badacza |
{{ report_id }} |
Identyfikator zgłoszenia z prefiksem (np. rpt_abc123) |
{{ report_title }} |
Tytuł zgłoszenia podatności |
{{ program_name }} |
Nazwa programu VDP |
{{ severity }} |
Oceniony poziom ważności (np. High, Critical) |
{{ bounty_amount }} |
Zatwierdzona nagroda w sformatowanej walucie (np. $500.00) |
{{ portal_link }} |
Magic-link URL do portalu badacza |
{{ sla_hours }} |
Skonfigurowane godziny SLA dla danego poziomu ważności |
{{ dismissal_reason }} |
Kod przyczyny odrzucenia (np. Out of Scope, Duplicate) |
Na przykład dostosowany szablon report_acknowledged może wyglądać tak:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
Powiadomienia Slack
Kit wysyła powiadomienia Slack dla kluczowych zdarzeń VDP, dzięki czemu zespół jest na bieżąco bez konieczności sprawdzania dashboardu.
Konfiguracja
- Przejdź do Account Settings > Integrations > Slack i połącz workspace
- Otwórz Program Settings i wybierz kanał Slack, który ma otrzymywać powiadomienia VDP
Zdarzenia
Następujące zdarzenia generują powiadomienia Slack. Wszystkie są domyślnie włączone po skonfigurowaniu kanału:
| Zdarzenie | Domyślnie | Cel |
|---|---|---|
| Nowe przesłane zgłoszenie | Wł. | Powiadomienie zespołu o przychodzących zgłoszeniach |
| Ostrzeżenie o zagrożeniu SLA | Wł. | Oznaczenie zgłoszeń zbliżających się do terminu SLA |
| Naruszenie SLA | Wł. | Eskalacja zgłoszeń, które przekroczyły termin SLA |
| Triaż ważności Critical/Super Critical | Wł. | Natychmiastowa świadomość znalezisk o wysokiej ważności |
| Zatwierdzenie nagrody | Wł. | Widoczność finansowa zatwierdzonych wypłat |
| Otrzymanie odwołania | Wł. | Powiadomienie o zakwestionowaniu odrzucenia przez badacza |
Wszystkie zdarzenia trafiają na pojedynczy kanał Slack skonfigurowany w Program Settings.
Eskalacja
Gdy zgłoszenie zostanie ocenione jako Critical lub Super Critical, Kit uruchamia eskalację pomijającą standardowe preferencje powiadomień. Zapewnia to natychmiastowe powiadomienie dyżurnego zespołu niezależnie od indywidualnych ustawień powiadomień.
Eskalacja wysyła jednocześnie dwa powiadomienia:
- E-mail — wysyłany na każdy adres ze skonfigurowanej listy eskalacji w Triage Settings oraz do osoby przypisanej do zgłoszenia. Korzysta z szablonu e-mail
escalation. - Slack — publikowany na skonfigurowanym kanale VDP niezależnie od przełączników poszczególnych zdarzeń. Nawet jeśli powiadomienia Slack dla innych zdarzeń są wyłączone, eskalacje zawsze przechodzą.
Odbiorców eskalacji konfiguruje się w VDP > Program Settings > Triage. Należy dodać każdego, kto powinien zostać powiadomiony w przypadku krytycznego znaleziska — lidera bezpieczeństwa, CTO lub alias rotacji dyżurowej.
Szybka lista kontrolna
- Dostosowanie szablonu
report_acknowledgedz uwzględnieniem nazwy programu i odpowiedniego tonu - Konfiguracja szablonu
report_dismissed, aby wyjaśniał najczęstsze powody odrzuceń - Konfiguracja integracji Slack, aby zespół widział nowe zgłoszenia w czasie rzeczywistym
- Dodanie adresów e-mail eskalacji dla zgłoszeń Critical i Super Critical
- Używanie wiadomości wewnętrznych do koordynacji inżynieryjnej, a zewnętrznych do komunikacji z badaczami
Kolejne kroki
- The Researcher Portal — co widzą badacze, jak zgłaszają i jak składają odwołania
- Bounties and Payouts — zatwierdzanie nagród, dokumenty podatkowe i rejestr finansowy