## Po co to?

Zasadne zgłoszenie często musi trafić do kogoś spoza zespołu bezpieczeństwa — inżyniera odpowiedzialnego za usługę, której dotyczy problem, lidera dyżuru czy zewnętrznego wykonawcy. Przesłanie surowego zgłoszenia ujawnia tożsamość badacza, kwoty nagród i wewnętrzne notatki z triażu, a wątku e-mailowego nie da się cofnąć. Udostępnianie współpracownikom daje takiej osobie dokładnie to, czego potrzebuje, żeby potwierdzić i naprawić błąd — i nic więcej — za linkiem, który wygasa i który możesz w każdej chwili odwołać.

> Udostępnianie współpracownikom jest dostępne w płatnych planach VDP.

## Udostępnianie zgłoszenia

Otwórz [zgłoszenie](/csirt/reports) i użyj **Share with a peer** (Udostępnij współpracownikowi) w panelu **Shared links** (Udostępnione linki). Wpisz adres e-mail odbiorcy, zdecyduj, czy może odpowiadać komentarzami, i wyślij. Kit wyśle mu brandowane zaproszenie w imieniu Twojego programu — sam e-mail nie zawiera żadnych szczegółów podatności.

Link jest **przypisany do tego adresu e-mail**. Kiedy współpracownik go otworzy, musi potwierdzić adres, zanim zobaczy zgłoszenie, więc przekazany dalej link jest bezużyteczny dla kogokolwiek innego — potwierdzenie zawsze trafia wyłącznie do pierwotnego odbiorcy.

## Co widzi współpracownik

Udostępniony widok to okrojona wersja zgłoszenia tylko do odczytu:

- **Widoczne** — typ podatności, endpoint, którego dotyczy podatność, poziom ważności, opis, kroki reprodukcji oraz załączniki (serwowane jako tymczasowe pliki do pobrania z osobnej domeny).
- **Ukryte** — tożsamość i e-mail badacza, kwoty nagród, Twoje notatki wewnętrzne, autor oceny oraz oś czasu Twojego zespołu.

Jeśli włączysz komentarze, współpracownik może odpowiedzieć. Jego odpowiedzi trafiają do zgłoszenia jako **wewnętrzne notatki widoczne tylko dla zespołu** (wyraźnie oznaczone jako pochodzące od zewnętrznego współpracownika) i nigdy nie są pokazywane badaczowi.

## Wygaśnięcie i odwołanie

- Linki wygasają **po 7 dniach** od utworzenia.
- Link **przestaje działać automatycznie** w chwili, gdy zgłoszenie zostanie odrzucone lub zamknięte.
- Możesz **odwołać** link w każdej chwili z panelu Shared links — współpracownik natychmiast traci dostęp.

## Gdy link wygaśnie

Współpracownik, który otworzy **wygasły** link, nie trafia już w ślepy zaułek. Po potwierdzeniu adresu e-mail, na który wysłano link, może:

- **Poprosić o nowy link** — Kit wyśle nowy 7-dniowy link na ten sam adres (nigdy nigdzie indziej), nawet jeśli zgłoszenie zdążyło już ruszyć dalej. **Cofniętego** linku nie da się odnowić samodzielnie — cofnięcie to Twoja decyzja o zakończeniu dostępu, więc współpracownik widzi tylko informację, żeby się z Tobą skontaktować.
- **Poprosić o dołączenie do zespołu** — ten sam proces prośby o dołączenie opisany poniżej.

## Kto otworzył zgłoszenie

Dostęp z zewnątrz jest pokazywany jako sygnał bezpieczeństwa, a nie ciche potwierdzenie „przeczytano":

- Panel **Shared links** pokazuje każdego odbiorcę, jego status, liczbę wyświetleń, czas ostatniego wyświetlenia i kraj, z którego otworzył link.
- Nagłówek zgłoszenia pokazuje oznaczenie **„Shared · N external viewers"**.
- Oś czasu zgłoszenia zapisuje zdarzenie **External viewer opened this report**.
- Osoba, która udostępniła link, oraz osoba przypisana do zgłoszenia dostają powiadomienie przy pierwszym otwarciu przez każdy nowy adres — nowy adres na tym samym linku może świadczyć o przekazywaniu dalej.

## Prośba o dołączenie do zespołu

Współpracownik, który potrzebuje stałego dostępu, może z udostępnionego zgłoszenia poprosić o **dołączenie do Twojego zespołu bezpieczeństwa**. Prośba trafia do administratorów konta razem z innymi prośbami o dostęp; jej zatwierdzenie wysyła zwykłe zaproszenie do zespołu, a po jego przyjęciu osoba staje się pełnoprawnym członkiem z własnym kontem — koniec z jednorazowymi linkami.

Kiedy otworzysz prośbę, Kit pokaże Ci, **kto prosi** (imię i nazwisko, e-mail oraz kraj, z którego wysłano prośbę) i **z którego zgłoszenia** pochodzi udostępnienie — dzięki temu możesz potwierdzić, że rzeczywiście udostępniłeś coś tej osobie, zanim ją zaprosisz. **Approve** wysyła zaproszenie do zespołu; **Dismiss** po cichu odrzuca prośbę (osoba prosząca nie zostaje o tym powiadomiona).