Metryki i eksporty
Jak czytać dashboard metryk VDP, zarządzać karmą badaczy, publikować Hall of Fame i generować eksporty dowodowe na potrzeby SOC 2.
Dlaczego to ważne
Metryki to podstawowy mechanizm udowadniania skuteczności VDP przed audytorami. Stwierdzenie „Mamy program ujawniania podatności” nie jest wystarczającym dowodem. Za to „Potwierdziliśmy 100% zgłoszeń w ciągu 72 godzin i rozwiązaliśmy krytyczne problemy w ciągu 48 godzin” — już tak.
Dowody SOC 2 Type II wymagają danych ograniczonych w czasie: liczba otrzymanych zgłoszeń, wskaźnik zgodności z SLA, rozkład ważności i czasy rozwiązywania. Dashboard metryk i mechanizm eksportów w Kit są zaprojektowane tak, żeby dostarczyć dokładnie to, o co poprosi audytor — bez gorączki na koniec kwartału.
Wskaźniki KPI na dashboardzie
Na górze dashboardu VDP wyświetla się pięć głównych wskaźników. Dają szybki przegląd kondycji programu przy każdym otwarciu modułu.
| KPI | Opis |
|---|---|
| Open Reports | Liczba zgłoszeń jeszcze nierozwiązanych ani nieodrzuconych |
| Awaiting Triage | Zgłoszenia w statusie Submitted bez przeprowadzonej oceny |
| SLA Compliance % | Procent zgłoszeń potwierdzonych w ramach skonfigurowanego SLA |
| Bounties Approved | Łączna zatwierdzona wartość nagród w danym okresie (tylko VDP Add-on) |
| AI Flagged | Liczba zgłoszeń z flagą „śmieci AI” oczekujących na weryfikację przez człowieka |
Wskaźniki KPI odświeżają się przy ładowaniu strony. Nie ma automatycznego odświeżania — żeby zobaczyć zaktualizowane liczby, ponownie załaduj stronę lub wróć do niej.
Strona metryk
Przejdź do VDP > Metrics, żeby zobaczyć szczegółowe analizy. Filtr zakresu dat na górze strony pozwala ograniczyć dane: ostatnie 7 dni, 30 dni, 90 dni lub zakres niestandardowy.
Strona metryk dzieli się na osiem sekcji:
| Sekcja | Co przedstawia |
|---|---|
| MTTA (Mean Time to Acknowledge) | Średni czas w godzinach od zgłoszenia do pierwszej odpowiedzi, dla wszystkich zgłoszeń w danym okresie |
| MTTR (Mean Time to Resolve) | Średni czas w godzinach od zgłoszenia do rozwiązania, z podziałem na poziomy ważności |
| SLA Compliance Trend | Wykres liniowy przedstawiający procent zgodności w czasie — warto wypatrywać tendencji spadkowych, zanim staną się ustaleniami audytowymi |
| Reports Over Time | Wykres słupkowy zgłoszeń tygodniowo lub miesięcznie — przydatny do wykrywania wzorców sezonowych lub skoków w ujawnieniach |
| By Severity | Rozkład zgłoszeń według poziomu ważności (od Super Critical po Informational) |
| By Status | Rozkład aktualnie otwartych zgłoszeń według kolumn statusu (Submitted, Triaged, Validated, In Progress itp.) |
| By Vulnerability Type | Rozkład według kategorii OWASP — pokazuje, na jakie klasy podatności produkt jest najbardziej narażony |
| Top Researchers | Ranking według liczby prawidłowych zgłoszeń — wskazuje najcenniejszych zewnętrznych współtwórców |
Wszystkie sekcje uwzględniają wybrany zakres dat. MTTA i MTTR to dwie liczby, o które audytor SOC 2 zapyta w pierwszej kolejności.
Karma badaczy
Kit śledzi jakość badaczy w czasie za pomocą systemu karmy. Przejdź do VDP > Researchers, żeby zobaczyć pełny katalog badaczy wraz z poziomami karmy.
| Poziom karmy | Znaczenie | Efekt |
|---|---|---|
| Trusted | Konsekwentnie prawidłowe, wysokiej jakości zgłoszenia | Zgłoszenia przyspieszane w triażu |
| Neutral | Brak wyraźnego sygnału w którąkolwiek stronę | Standardowy przepływ triażu |
| Low | Historia zgłoszeń niskiej jakości | Zgłoszenia wstępnie oznaczane do przeglądu |
| Untrusted | Wzorzec spamu lub zgłoszeń w złej wierze | Zgłoszenia automatycznie oznaczane; opcjonalne automatyczne odrzucanie |
Karma dostosowuje się automatycznie na podstawie zdarzeń powiązanych ze zgłoszeniami badacza.
Zdarzenia pozytywne (zwiększają karmę):
- Prawidłowe zgłoszenie przesłane i rozwiązane
- Nagroda wypłacona za potwierdzoną podatność
- Poprawka zweryfikowana przez badacza
Zdarzenia negatywne (zmniejszają karmę):
- Zgłoszenie odrzucone jako spam
- Zgłoszenie odrzucone jako duplikat
- Powtarzający się wzorzec zgłoszeń niemożliwych do odtworzenia
- Odwołanie odrzucone po przeglądzie
Poziomy karmy pomagają zespołowi priorytetyzować triaż. Zgłoszenie od badacza Trusted można przyspieszyć z większą pewnością. Zgłoszenie od badacza Untrusted nadal trafia do kolejki, ale jest oznaczone, żeby zespół mógł zastosować odpowiednią kontrolę.
Zarządzanie Hall of Fame
Przejdź do VDP > Hall of Fame, żeby zarządzać publiczną tablicą liderów badaczy. Hall of Fame wyróżnia badaczy, którzy przesłali do programu prawidłowe zgłoszenia.
Kluczowe zasady:
- Badacze sami zgłaszają chęć udziału ze swojego portalu — personel nie może wymusić dodania badacza do tablicy
- Personel może wyróżnić (Feature) badacza, co przypina go na górze strony publicznej
- Personel może usunąć (Remove) badacza z tablicy, co nadpisuje jego zgodę
Publiczny Hall of Fame jest dostępny pod adresem /security/{program-slug}/hall-of-fame. Warto udostępnić ten URL w polityce ujawniania, żeby zasygnalizować, że cenisz wkład badaczy. Większość programów publikuje Hall of Fame po zebraniu pięciu lub więcej badaczy, którzy wyrazili chęć udziału.
Generowanie eksportów
Przejdź do VDP > Exports i kliknij New Export, żeby wygenerować pakiet dowodowy gotowy dla audytora. Eksporty wymagają VDP Add-on (49 USD/mies.).
Skonfiguruj eksport tymi filtrami:
| Filtr | Opcje |
|---|---|
| Date Range | Data początkowa i końcowa okresu raportowania |
| Status | Filtrowanie według statusu zgłoszenia (np. tylko Resolved albo wszystkie statusy) |
| Severity | Filtrowanie według poziomu ważności (np. tylko Critical i High) |
| Vulnerability Type | Filtrowanie według kategorii OWASP |
Wybierz format:
| Format | Najlepszy do |
|---|---|
| CSV | Dane do odczytu maszynowego — arkusze kalkulacyjne, dalsza analiza lub import do narzędzi GRC |
| Raport czytelny dla człowieka, sformatowany pod audytorów — zawiera nagłówki, podsumowania i tabele |
Każdy eksport zawiera cztery sekcje:
| Sekcja | Zawartość |
|---|---|
| Report Summaries | Identyfikator zgłoszenia, tytuł, status, ważność, wynik CVSS, data zgłoszenia, data rozwiązania |
| SLA Performance | Status SLA dla każdego zgłoszenia (on-track lub breached), czas w godzinach do potwierdzenia i rozwiązania |
| Communication Log | Tylko wiadomości zewnętrzne (komunikacja skierowana do badacza, bez notatek wewnętrznych) |
| Financial Ledger | Zatwierdzenia nagród, rekordy wypłat nagród i statusy wypłat za dany okres |
Eksporty są asynchroniczne. Kit przetwarza eksport w tle i po jego zakończeniu wysyła e-mail z linkiem do pobrania. Duże eksporty obejmujące kilka kwartałów danych mogą zająć kilka minut.
Przepływ dowodowy SOC 2
Zalecany przepływ pracy dla audytów SOC 2 Type II:
- Na koniec każdego kwartału przejdź do VDP > Exports i utwórz nowy eksport obejmujący dany kwartał
- Wybierz All statuses i All severities, żeby uchwycić pełny obraz
- Wybierz format PDF jako główny plik dowodowy, a CSV jako uzupełnienie
- Pobierz oba pliki, gdy przyjdzie e-mail
- Dołącz je do folderów dowodowych CC4 (Monitoring Activities) i CC7 (System Operations)
Audytor będzie szukał w tym eksporcie trzech rzeczy: czy zgłoszenia są odbierane i śledzone, czy cele SLA są konsekwentnie spełniane oraz czy księga finansowa pokazuje czystą ścieżkę od zatwierdzenia nagrody po wypłatę. Eksport jest zaprojektowany tak, żeby odpowiedzieć na wszystkie trzy pytania bez dodatkowego przygotowania.
Zob. Bounties and Payouts po szczegóły dotyczące księgi finansowej zasilającej eksporty.
W skrócie
- Na początku każdego tygodnia przeglądaj wskaźniki KPI, żeby wcześnie wychwycić spadki zgodności z SLA
- Na początku każdego kwartału sprawdzaj stronę metryk, żeby potwierdzić trendy MTTA i MTTR
- Przeglądaj poziomy karmy badaczy, żeby wskazać badaczy Trusted do przyspieszonego triażu
- Opublikuj Hall of Fame po zebraniu 5+ badaczy, którzy wyrazili chęć udziału
- Wygeneruj kwartalny eksport do folderu dowodowego SOC 2 CC4/CC7 (VDP Add-on)
- Ustaw cykliczne przypomnienie w kalendarzu na pobranie metryk przed każdym oknem audytu SOC 2
- Jeśli zgodność z SLA spada, zajrzyj do przepływu Triaging Reports
Co dalej
- Triaging Reports — pełny przepływ triażu, wskaźniki SLA i operacje zbiorcze
- AI Integration — poproś asystenta AI o podsumowania metryk i analizę SLA