Logo StartupKit
PL
English Deutsch Français Español Polski

Udostępnianie zgłoszeń współpracownikom

Udostępnij pojedyncze zgłoszenie podatności inżynierowi spoza zespołu przez bezpieczny link z weryfikacją e-mailem i terminem ważności — bez ujawniania badacza, nagrody ani notatek wewnętrznych.

Po co to?

Zasadne zgłoszenie często musi trafić do kogoś spoza zespołu bezpieczeństwa — inżyniera odpowiedzialnego za usługę, której dotyczy problem, lidera dyżuru czy zewnętrznego wykonawcy. Przesłanie surowego zgłoszenia ujawnia tożsamość badacza, kwoty nagród i wewnętrzne notatki z triażu, a wątku e-mailowego nie da się cofnąć. Udostępnianie współpracownikom daje takiej osobie dokładnie to, czego potrzebuje, żeby potwierdzić i naprawić błąd — i nic więcej — za linkiem, który wygasa i który możesz w każdej chwili odwołać.

Udostępnianie współpracownikom jest dostępne w płatnych planach VDP.

Udostępnianie zgłoszenia

Otwórz zgłoszenie i użyj Share with a peer (Udostępnij współpracownikowi) w panelu Shared links (Udostępnione linki). Wpisz adres e-mail odbiorcy, zdecyduj, czy może odpowiadać komentarzami, i wyślij. Kit wyśle mu brandowane zaproszenie w imieniu Twojego programu — sam e-mail nie zawiera żadnych szczegółów podatności.

Link jest przypisany do tego adresu e-mail. Kiedy współpracownik go otworzy, musi potwierdzić adres, zanim zobaczy zgłoszenie, więc przekazany dalej link jest bezużyteczny dla kogokolwiek innego — potwierdzenie zawsze trafia wyłącznie do pierwotnego odbiorcy.

Co widzi współpracownik

Udostępniony widok to okrojona wersja zgłoszenia tylko do odczytu:

  • Widoczne — typ podatności, endpoint, którego dotyczy podatność, poziom ważności, opis, kroki reprodukcji oraz załączniki (serwowane jako tymczasowe pliki do pobrania z osobnej domeny).
  • Ukryte — tożsamość i e-mail badacza, kwoty nagród, Twoje notatki wewnętrzne, autor oceny oraz oś czasu Twojego zespołu.

Jeśli włączysz komentarze, współpracownik może odpowiedzieć. Jego odpowiedzi trafiają do zgłoszenia jako wewnętrzne notatki widoczne tylko dla zespołu (wyraźnie oznaczone jako pochodzące od zewnętrznego współpracownika) i nigdy nie są pokazywane badaczowi.

Wygaśnięcie i odwołanie

  • Linki wygasają po 7 dniach od utworzenia.
  • Link przestaje działać automatycznie w chwili, gdy zgłoszenie zostanie odrzucone lub zamknięte.
  • Możesz odwołać link w każdej chwili z panelu Shared links — współpracownik natychmiast traci dostęp.

Gdy link wygaśnie

Współpracownik, który otworzy wygasły link, nie trafia już w ślepy zaułek. Po potwierdzeniu adresu e-mail, na który wysłano link, może:

  • Poprosić o nowy link — Kit wyśle nowy 7-dniowy link na ten sam adres (nigdy nigdzie indziej), nawet jeśli zgłoszenie zdążyło już ruszyć dalej. Cofniętego linku nie da się odnowić samodzielnie — cofnięcie to Twoja decyzja o zakończeniu dostępu, więc współpracownik widzi tylko informację, żeby się z Tobą skontaktować.
  • Poprosić o dołączenie do zespołu — ten sam proces prośby o dołączenie opisany poniżej.

Kto otworzył zgłoszenie

Dostęp z zewnątrz jest pokazywany jako sygnał bezpieczeństwa, a nie ciche potwierdzenie „przeczytano”:

  • Panel Shared links pokazuje każdego odbiorcę, jego status, liczbę wyświetleń, czas ostatniego wyświetlenia i kraj, z którego otworzył link.
  • Nagłówek zgłoszenia pokazuje oznaczenie „Shared · N external viewers”.
  • Oś czasu zgłoszenia zapisuje zdarzenie External viewer opened this report.
  • Osoba, która udostępniła link, oraz osoba przypisana do zgłoszenia dostają powiadomienie przy pierwszym otwarciu przez każdy nowy adres — nowy adres na tym samym linku może świadczyć o przekazywaniu dalej.

Prośba o dołączenie do zespołu

Współpracownik, który potrzebuje stałego dostępu, może z udostępnionego zgłoszenia poprosić o dołączenie do Twojego zespołu bezpieczeństwa. Prośba trafia do administratorów konta razem z innymi prośbami o dostęp; jej zatwierdzenie wysyła zwykłe zaproszenie do zespołu, a po jego przyjęciu osoba staje się pełnoprawnym członkiem z własnym kontem — koniec z jednorazowymi linkami.

Kiedy otworzysz prośbę, Kit pokaże Ci, kto prosi (imię i nazwisko, e-mail oraz kraj, z którego wysłano prośbę) i z którego zgłoszenia pochodzi udostępnienie — dzięki temu możesz potwierdzić, że rzeczywiście udostępniłeś coś tej osobie, zanim ją zaprosisz. Approve wysyła zaproszenie do zespołu; Dismiss po cichu odrzuca prośbę (osoba prosząca nie zostaje o tym powiadomiona).

Wpisz, aby wyszukać...