Metryki i eksporty
Jak korzystać z dashboardu metryk VDP, zarządzać karmą badaczy, publikować Hall of Fame i generować eksporty dowodowe na potrzeby SOC 2.
Dlaczego to ważne
Metryki to podstawowy mechanizm udowadniania skuteczności VDP przed audytorami. Stwierdzenie „Mamy program ujawniania podatności” nie stanowi wystarczającego dowodu. Natomiast „Potwierdziliśmy 100% zgłoszeń w ciągu 72 godzin i rozwiązaliśmy krytyczne problemy w ciągu 48 godzin” — już tak.
Dowody SOC 2 Type II wymagają danych ograniczonych czasowo: liczba otrzymanych zgłoszeń, wskaźnik zgodności z SLA, rozkład ważności i czasy rozwiązywania. Dashboard metryk i mechanizm eksportów w Kit są zaprojektowane tak, aby dostarczyć dokładnie to, o co zapyta audytor — bez gorączki na koniec kwartału.
Wskaźniki KPI na dashboardzie
Na górze dashboardu VDP wyświetla się pięć głównych wskaźników. Dają szybki przegląd kondycji programu przy każdym otwarciu modułu.
| KPI | Opis |
|---|---|
| Open Reports | Liczba zgłoszeń jeszcze nierozwiązanych ani nieodrzuconych |
| Awaiting Triage | Zgłoszenia w statusie Submitted bez przeprowadzonej oceny |
| SLA Compliance % | Procent zgłoszeń potwierdzonych w ramach skonfigurowanego SLA |
| Bounties Approved | Łączna zatwierdzona wartość nagród w danym okresie (tylko VDP Add-on) |
| AI Flagged | Liczba zgłoszeń z flagą AI slop oczekujących na weryfikację przez człowieka |
Wskaźniki KPI odświeżają się przy ładowaniu strony. Automatyczne odświeżanie nie jest dostępne — aby zobaczyć zaktualizowane liczby, należy ponownie załadować stronę lub wrócić do niej.
Strona metryk
Przejdź do VDP > Metrics, aby zobaczyć szczegółowe analizy. Filtr zakresu dat na górze strony pozwala ograniczyć dane: ostatnie 7 dni, 30 dni, 90 dni lub zakres niestandardowy.
Strona metryk jest podzielona na osiem sekcji:
| Sekcja | Co przedstawia |
|---|---|
| MTTA (Mean Time to Acknowledge) | Średni czas w godzinach od zgłoszenia do pierwszej odpowiedzi, dla wszystkich zgłoszeń w danym okresie |
| MTTR (Mean Time to Resolve) | Średni czas w godzinach od zgłoszenia do rozwiązania, z podziałem na poziomy ważności |
| SLA Compliance Trend | Wykres liniowy przedstawiający procent zgodności w czasie — warto zwracać uwagę na tendencje spadkowe, zanim staną się ustaleniami audytowymi |
| Reports Over Time | Wykres słupkowy zgłoszeń tygodniowo lub miesięcznie — przydatny do wykrywania wzorców sezonowych lub skoków w ujawnieniach |
| By Severity | Rozkład zgłoszeń według poziomu ważności (od Super Critical po Informational) |
| By Status | Rozkład aktualnie otwartych zgłoszeń według kolumn statusu (Submitted, Triaged, Validated, In Progress itp.) |
| By Vulnerability Type | Rozkład według kategorii OWASP — pokazuje, na jakie klasy podatności produkt jest najbardziej narażony |
| Top Researchers | Ranking według liczby prawidłowych zgłoszeń — identyfikuje najcenniejszych zewnętrznych kontrybutorów |
Wszystkie sekcje uwzględniają wybrany zakres dat. MTTA i MTTR to dwie liczby, o które audytor SOC 2 zapyta w pierwszej kolejności.
Karma badaczy
Kit śledzi jakość badaczy w czasie za pomocą systemu karmy. Przejdź do VDP > Researchers, aby zobaczyć pełny katalog badaczy z poziomami karmy.
| Poziom karmy | Znaczenie | Efekt |
|---|---|---|
| Trusted | Konsekwentnie prawidłowe, wysokiej jakości zgłoszenia | Zgłoszenia przyspieszane w triażu |
| Neutral | Brak wyraźnego sygnału w żadną stronę | Standardowy przepływ triażu |
| Low | Historia zgłoszeń niskiej jakości | Zgłoszenia wstępnie oznaczane do przeglądu |
| Untrusted | Wzorzec spamu lub zgłoszeń w złej wierze | Zgłoszenia automatycznie oznaczane; opcjonalne automatyczne odrzucenie |
Karma dostosowuje się automatycznie na podstawie zdarzeń powiązanych ze zgłoszeniami badacza.
Zdarzenia pozytywne (zwiększają karmę):
- Prawidłowe zgłoszenie przesłane i rozwiązane
- Nagroda wypłacona za potwierdzoną podatność
- Poprawka zweryfikowana przez badacza
Zdarzenia negatywne (zmniejszają karmę):
- Zgłoszenie odrzucone jako spam
- Zgłoszenie odrzucone jako duplikat
- Powtarzający się wzorzec zgłoszeń niemożliwych do odtworzenia
- Odwołanie odrzucone po przeglądzie
Poziomy karmy pomagają zespołowi priorytetyzować triaż. Zgłoszenie od badacza z poziomem Trusted można przyspieszyć z większą pewnością. Zgłoszenie od badacza z poziomem Untrusted nadal trafia do kolejki, ale jest oznaczone, aby zespół mógł zastosować odpowiednią kontrolę.
Zarządzanie Hall of Fame
Przejdź do VDP > Hall of Fame, aby zarządzać publiczną tablicą liderów badaczy. Hall of Fame wyróżnia badaczy, którzy przesłali prawidłowe zgłoszenia do programu.
Kluczowe zasady:
- Badacze wyrażają zgodę ze swojego portalu — personel nie może wymusić dodania badacza do tablicy
- Personel może wyróżnić (Feature) badacza, co przypina go na górze strony publicznej
- Personel może usunąć (Remove) badacza z tablicy, co nadpisuje jego zgodę
Publiczna strona Hall of Fame jest dostępna pod adresem /security/{program-slug}/hall-of-fame. Warto udostępnić ten URL w polityce ujawniania, aby zasygnalizować, że wkład badaczy jest ceniony. Większość programów publikuje Hall of Fame po uzyskaniu pięciu lub więcej badaczy, którzy wyrazili zgodę.
Generowanie eksportów
Przejdź do VDP > Exports i kliknij New Export, aby wygenerować pakiet dowodowy gotowy dla audytora. Eksporty wymagają VDP Add-on (49 USD/mies.).
Konfiguracja eksportu za pomocą filtrów:
| Filtr | Opcje |
|---|---|
| Date Range | Data początkowa i końcowa okresu raportowania |
| Status | Filtrowanie według statusu zgłoszenia (np. tylko Resolved lub wszystkie statusy) |
| Severity | Filtrowanie według poziomu ważności (np. tylko Critical i High) |
| Vulnerability Type | Filtrowanie według kategorii OWASP |
Wybór formatu:
| Format | Najlepszy do |
|---|---|
| CSV | Dane do odczytu maszynowego — arkusze kalkulacyjne, dalsza analiza lub import do narzędzi GRC |
| Raport czytelny dla człowieka, sformatowany dla audytorów — zawiera nagłówki, podsumowania i tabele |
Każdy eksport zawiera cztery sekcje:
| Sekcja | Zawartość |
|---|---|
| Report Summaries | Identyfikator zgłoszenia, tytuł, status, ważność, wynik CVSS, data zgłoszenia, data rozwiązania |
| SLA Performance | Status SLA dla każdego zgłoszenia (on-track lub breached), czas w godzinach do potwierdzenia i rozwiązania |
| Communication Log | Tylko wiadomości zewnętrzne (komunikacja skierowana do badacza, bez notatek wewnętrznych) |
| Financial Ledger | Zatwierdzenia nagród, rekordy wypłat i statusy płatności za dany okres |
Eksporty są asynchroniczne. Kit przetwarza eksport w tle i wysyła e-mail z linkiem do pobrania po zakończeniu. Duże eksporty obejmujące kilka kwartałów danych mogą zająć kilka minut.
Przepływ dowodowy SOC 2
Zalecany przepływ pracy dla audytów SOC 2 Type II:
- Na koniec każdego kwartału przejdź do VDP > Exports i utwórz nowy eksport obejmujący dany kwartał
- Wybierz All statuses i All severities, aby uchwycić pełny obraz
- Wybierz format PDF jako główny plik dowodowy i CSV jako uzupełnienie
- Pobranie obu plików po otrzymaniu e-maila
- Dołączenie do folderów dowodowych CC4 (Monitoring Activities) i CC7 (System Operations)
Audytor będzie szukał w eksporcie trzech rzeczy: czy zgłoszenia są odbierane i śledzone, czy cele SLA są konsekwentnie spełniane oraz czy rejestr finansowy pokazuje czystą ścieżkę od zatwierdzenia nagrody po wypłatę. Eksport jest zaprojektowany tak, aby odpowiedzieć na wszystkie trzy pytania bez dodatkowego przygotowania.
Zob. Bounties and Payouts, aby poznać szczegóły rejestru finansowego zasilającego eksporty.
Szybka lista kontrolna
- Przeglądanie wskaźników KPI na początku każdego tygodnia w celu wczesnego wychwycenia spadków zgodności z SLA
- Sprawdzanie strony metryk na początku każdego kwartału w celu potwierdzenia trendów MTTA i MTTR
- Przeglądanie poziomów karmy badaczy w celu identyfikacji badaczy Trusted do przyspieszonego triażu
- Publikacja Hall of Fame po uzyskaniu 5+ badaczy, którzy wyrazili zgodę
- Generowanie kwartalnego eksportu do folderu dowodowego SOC 2 CC4/CC7 (VDP Add-on)
- Ustawienie cyklicznego przypomnienia w kalendarzu na pobranie metryk przed każdym oknem audytu SOC 2
- W razie spadku zgodności z SLA — konsultacja przepływu Triaging Reports
Kolejne kroki
- Triaging Reports — pełny przepływ triażu, wskaźniki SLA i operacje zbiorcze
- AI Integration — zapytanie asystenta AI o podsumowania metryk i analizę SLA