Integracja z Vanta
Podłącz Vanta, żeby Twoje striażowane podatności VDP automatycznie trafiały jako aktualne dowody zgodności z SOC 2 i ISO 27001.
Dlaczego warto
Jeśli prowadzisz program ujawniania podatności (VDP) i ubiegasz się o SOC 2 lub ISO 27001, audytor oczekuje dowodów, że podatności są śledzone, priorytetyzowane według poziomu ważności i usuwane w ramach SLA. Składanie tych dowodów ręcznie — eksportowanie arkuszy, robienie zrzutów ekranu ticketów, uzgadnianie dat — to właśnie ta część sezonu audytowego, której wszyscy się boją.
Integracja z Vanta eliminuje tę pracę. Po połączeniu Kit automatycznie przesyła striażowane podatności do Vanta jako aktualne dowody zgodności. Poziom ważności i status usunięcia są synchronizowane na bieżąco, więc Vanta może śledzić SLA remediacji względem mechanizmów kontrolnych takich jak SOC 2 CC7.1 i ISO 27001 A.8.8 — bez ręcznego składania jakiegokolwiek eksportu.
Co jest potrzebne
- Konto Kit z włączonym VDP Add-on
- Konto Vanta z dostępem do Developer Console (uprawnienia do tworzenia integracji)
- Prywatna aplikacja w Vanta, która da Ci trzy rzeczy, o które poprosi Kit: Client ID, Client Secret i dwa Resource ID
Note
Integracja wysyła tylko podatności, które przeszły triaż z przypisanym poziomem ważności. Dopóki zespół aktywnie nie ocenia zgłoszeń, nie będzie nic do wysłania — zobacz Triaging Reports.
Konfiguracja
1. Utwórz prywatną aplikację w Vanta
- W Vanta przejdź do Settings > Developer Console
- Kliknij Create
- Wybierz typ aplikacji Build Integrations i ustaw dystrybucję na Private
- Uzupełnij nazwę i opis aplikacji — strona ustawień w Kit podpowiada nazwę z przyciskiem kopiowania
- Client ID generuje się automatycznie; skopiuj go
- Kliknij Generate client secret i skopiuj secret
Aplikacja potrzebuje scope’ów OAuth connectors.self:write-resource i connectors.self:read-resource. Przechowaj Client Secret w bezpiecznym miejscu — wkleisz go do Kit jednorazowo, a następnie jest bezpiecznie przechowywany.
2. Utwórz dwa zasoby
Kit przesyła podatności do dwóch zasobów Vanta — jednego dla podatnych komponentów i jednego dla podatności endpointów API. Utwórz oba w swojej prywatnej aplikacji:
- Otwórz zakładkę Resources aplikacji i kliknij Add resource
- Utwórz jeden zasób z bazowym typem zasobu Vulnerable Component
- Kliknij Add resource jeszcze raz i utwórz drugi zasób z bazowym typem zasobu API Endpoint Vulnerability
- Zostaw Custom Properties puste w obu — predefiniowane schematy pokrywają wszystko, co Kit wysyła
Po kliknięciu Create każdy zasób pojawia się w zakładce Resources z wygenerowanym Resource ID. Skopiuj oba ID dokładnie tak, jak są wyświetlane — rozróżniają wielkość liter, a Kit potrzebuje wygenerowanego ID, nie nazwy zasobu, którą wpisano.
3. Połącz w Kit
Przejdź do VDP > Settings > Vanta. Strona prowadzi przez konfigurację w trzech krokach:
- Krok 1 — Wklej Client ID i Client Secret. Kit weryfikuje je na żywo w Vanta, zanim przejdzie dalej.
- Krok 2 — Wklej oba Resource ID. Kit weryfikuje każde z nich w Vanta i uruchamia pierwszą synchronizację.
- Krok 3 — Ekran sukcesu potwierdza połączenie i pokazuje wynik tej pierwszej synchronizacji.
Od tego momentu striażowane podatności trafiają do Vanta automatycznie.
Co jest synchronizowane i kiedy
Kit wysyła do Vanta striażowane podatności — czyli zgłoszenia, które zespół potwierdził i przypisał im poziom ważności. Zgłoszenia wciąż czekające na triaż nie są wysyłane, bo nie mają jeszcze poziomu ważności potrzebnego Vancie do śledzenia SLA remediacji.
| Zachowanie | Jak działa |
|---|---|
| Harmonogram synchronizacji | Striażowane podatności są automatycznie wysyłane do Vanta co godzinę |
| Poziom ważności | Poziom ważności każdej podatności jest wysyłany, żeby Vanta mogła śledzić SLA remediacji względem właściwego terminu |
| Synchronizacja przy zmianie statusu | Opcjonalny przełącznik — gdy włączony, podatność jest wysyłana w momencie zmiany statusu, zamiast czekać na następne godzinne uruchomienie |
| Rozwiązanie | Gdy zamkniesz zgłoszenie w Kit, automatycznie znika z Vanta i jest zapisywane jako zremediowane |
Nie trzeba nic ręcznie oznaczać w Vanta. Striażuj zgłoszenie, a się pojawi; zamknij je, a zamknie się jako zremediowane. Godzinny harmonogram utrzymuje wszystko zsynchronizowane, nawet jeśli pojedyncza aktualizacja zostanie pominięta.
Co nie jest wysyłane
To jest integracja do dowodów zgodności, nie zrzut danych. Kit celowo wysyła tylko minimalne metadane potrzebne Vancie do śledzenia podatności i jej remediacji — nic więcej.
Następujące dane nigdy nie są wysyłane do Vanta:
- Dane osobowe badaczy — imiona, adresy email i wszelkie dane kontaktowe pozostają w Kit
- Surowe kroki reprodukcji — techniczny proof-of-concept i szczegóły exploita nie są udostępniane
- Treść zgłoszeń — pełna narracja i dyskusja każdego zgłoszenia pozostaje w Kit
Important
Poza Kit wychodzą tylko minimalne metadane wymagane jako dowód — takie jak poziom ważności i status remediacji. Wrażliwe dane badaczy i treść każdego zgłoszenia nigdy nie trafiają do Vanta.
Zarządzanie integracją
Wszystko poniżej znajduje się na stronie VDP > Settings > Vanta.
- Synchronizuj teraz (Sync now) — Wysyła bieżące striażowane podatności do Vanta natychmiast, zamiast czekać na następne godzinne uruchomienie. Przydatne zaraz po połączeniu lub po sesji triażu.
- Synchronizacja przy zmianie statusu (Sync on status change) — Przełącznik kontrolujący, czy aktualizacje są wysyłane w momencie zmiany statusu zgłoszenia. Zostaw włączony, żeby mieć dowody w czasie zbliżonym do rzeczywistego; wyłącz, jeśli wolisz stały godzinny rytm.
- Status synchronizacji i błędy (Sync status and errors) — Strona ustawień pokazuje, kiedy ostatnio odbyła się synchronizacja, i wyświetla błędy. Zielony badge oznacza sprawne połączenie; badge błędu oznacza, że coś wymaga uwagi (patrz Rozwiązywanie problemów).
- Rozłącz (Disconnect) — Zatrzymuje całą synchronizację i usuwa przechowywane dane dostępowe. Dane w Kit pozostają niezmienione; Kit po prostu przestaje wysyłać aktualizacje do Vanta.
Rozwiązywanie problemów
| Objaw | Przyczyna | Rozwiązanie |
|---|---|---|
| „Connection failed” przy weryfikacji danych dostępowych (krok 1) | Client ID lub Secret jest błędny albo dane dostępowe wygasły | Skopiuj ponownie obie wartości z prywatnej aplikacji w Developer Console Vanta i wklej je jeszcze raz |
| Błąd synchronizacji „Could not find resourceId” | Resource ID jest błędne lub niepełne | Otwórz zakładkę Resources prywatnej aplikacji w Developer Console Vanta i skopiuj ID dokładnie tak, jak jest wyświetlane — rozróżnia wielkość liter, a Kit potrzebuje wygenerowanego ID, nie nazwy zasobu, którą wpisano |
| Połączenie przestaje działać po rotacji client secret w Vanta | Kit nadal ma stary secret | Wprowadź dane dostępowe w Kit jeszcze raz (krok 1); już zsynchronizowane dane zostają zachowane |
| Połączenie pokazuje badge błędu | Dane dostępowe zostały unieważnione lub wygasły w Vanta | Połącz ponownie ze świeżymi danymi dostępowymi; Kit wstrzymuje sync, gdy uwierzytelnianie zawodzi |
| Nic nie pojawia się w Vanta | Brak striażowanych podatności | Sprawdź, czy masz zgłoszenia po triażu z przypisanym poziomem ważności — zgłoszenia bez triażu nigdy nie są wysyłane |
| Nic nie pojawia się w Vanta | VDP Add-on nie jest włączony | Integracja wymaga VDP Add-on; sprawdź Account > Billing |
| Ostatnio striażowanego zgłoszenia jeszcze nie ma w Vanta | Oczekiwanie na godzinną synchronizację | Kliknij Synchronizuj teraz, albo włącz Synchronizację przy zmianie statusu dla natychmiastowych aktualizacji |
| Błędy synchronizacji na stronie ustawień | Ostatnie wysyłanie do Vanta nie powiodło się | Kliknij Synchronizuj teraz, żeby ponowić; jeśli problem się utrzymuje, przetestuj dane dostępowe na wypadek, gdyby wygasły |
W skrócie
- Potwierdź, że VDP Add-on jest włączony na koncie
- Utwórz prywatną aplikację w Vanta: Settings > Developer Console > Create, typ aplikacji Build Integrations, dystrybucja Private
- Skopiuj Client ID i kliknij Generate client secret
- W zakładce Resources aplikacji dodaj dwa zasoby: Vulnerable Component i API Endpoint Vulnerability
- Skopiuj oba wygenerowane Resource ID z zakładki Resources (rozróżniają wielkość liter)
- W VDP > Settings > Vanta wklej dane dostępowe (krok 1), potem oba Resource ID (krok 2) i potwierdź ekran sukcesu (krok 3)
- (Opcjonalnie) Włącz Synchronizację przy zmianie statusu dla dowodów w czasie zbliżonym do rzeczywistego
- Striażuj zgłoszenie z poziomem ważności, a następnie kliknij Synchronizuj teraz, żeby sprawdzić, czy pojawia się w Vanta
Co dalej
- Zobacz Triaging Reports — przypisz poziom ważności, żeby podatności kwalifikowały się do synchronizacji
- Zobacz Metrics and Exports — generuj pakiety dowodów gotowe dla audytora obok aktualnych dowodów Vanta
- Zobacz PagerDuty Integration — powiadamiaj dyżurnego, gdy przychodzą krytyczne zgłoszenia