Przegląd programu Vulnerability Disclosure
Czym jest moduł VDP w Kit, dla kogo jest przeznaczony i co obejmuje.
Dlaczego to ważne
Badacze bezpieczeństwa już sondują systemy organizacji. Niezamawiane zgłoszenia trafiają przez e-mail, Slack, Twitter i zgłoszenia wsparcia technicznego bez żadnej struktury, bez śledzenia SLA i bez ścieżki audytu. Program Vulnerability Disclosure (VDP) porządkuje ten napływ zamiast go ignorować.
Trzy zbieżne wymogi eliminują opcję bezczynności:
| Wymóg | Wymaganie | Termin |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Dowód monitorowania podatności i uporządkowanego procesu reagowania | Ciągły — audytorzy coraz częściej traktują formalny VDP jako standardowy materiał dowodowy |
| EU Cyber Resilience Act (CRA) | Obowiązki raportowania podatności dla produktów z elementami cyfrowymi | 11 września 2026 |
| Ubezpieczyciele cyber | Weryfikowalne zarządzanie podatnościami jako warunek objęcia ochroną | Zależy od ubezpieczyciela — wymagania zaostrzają się kwartalnie |
Moduł VDP w Kit to infrastruktura zgodności, a nie platforma bug bounty. Budżet pochodzi z alokacji na compliance/GRC (5-10 tys. USD/rok), nie z budżetu AppSec. Nabywcą jest CTO przygotowujący się do audytu SOC 2, nie CISO budujący program crowdsourcingowego bezpieczeństwa.
Dla porównania: HackerOne zaczyna od 22 tys. USD/rok z tygodniami rozmów wdrożeniowych. Kit uruchamia w pełni zgodny VDP w mniej niż 5 minut — start jest bezpłatny, a VDP Add-on za 49 USD/mies. odblokowuje pełny pipeline triażu i nagród.
Dla kogo
| Persona | Cel | Główny problem |
|---|---|---|
| Założyciel / CTO | Przejść audyt SOC 2, odblokować kontrakty enterprise, zapewnić zgodność z CRA | Platformy enterprise kosztują ponad 22 tys. USD/rok; skrzynka security@ to chaos; ręczne wypłaty PayPal generują zobowiązania podatkowe |
| Członek zespołu bezpieczeństwa | Efektywna ocena, kierowanie i zamykanie zgłoszeń podatności | Przeskakiwanie między e-mailem, Slack i Jira; brak standaryzowanego scoringu ważności; naruszenia SLA niewidoczne |
| Badacz bezpieczeństwa | Szybkie potwierdzenie odbioru, przejrzysta komunikacja, uczciwa wypłata | Brak odpowiedzi od menedżerów programów; cykle wypłat 30-90 dni; nieprzejrzysty proces triażu |
Wszystkie trzy persony korzystają z tego samego programu. Każda sekcja dokumentacji jest oznaczona odpowiednią grupą odbiorców.
Jak to działa
- Włączenie — Przejdź do VDP > Program Settings i ustaw status programu na Active. Plik
security.txtzostanie opublikowany automatycznie. - Publikacja — Ustaw status programu na Active. Formularz zgłoszeń staje się aktywny, a badacze odkrywają program przez
security.txti stronę polityki ujawniania. - Odbieranie zgłoszeń — Ustrukturyzowany formularz filtruje spam za pomocą ograniczania częstotliwości i CAPTCHA. Prawidłowe zgłoszenia trafiają na tablicę triażu.
- Rozwiązywanie — Dokonaj triażu zgłoszenia, oceń ważność za pomocą CVSS v3.1, komunikuj się z badaczem, napraw problem i zamknij sprawę.
Statusy programu
| Status | Przyjmowanie zgłoszeń | Widoczność dla badaczy | Kiedy używać |
|---|---|---|---|
| Draft | Nie | Nie | Trwa konfiguracja zakresu i polityki |
| Active | Tak | Tak | Program VDP aktywnie działa |
| Paused | Nie | Nie | Tymczasowe wstrzymanie przyjmowania zgłoszeń (np. podczas incydentu) |
Co obejmuje
Start jest bezpłatny. VDP Add-on (49 USD/mies.) należy dodać, gdy potrzebny jest uporządkowany triaż, wypłaty nagród lub eksporty SOC 2.
| Funkcja | Bezpłatnie | VDP Add-on (49 USD/mies.) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Strona polityki ujawniania | ✓ | ✓ |
| Ustrukturyzowany formularz zgłoszeniowy + CAPTCHA | ✓ | ✓ |
| Zgłoszenia/miesiąc | 25 | Bez limitu |
| Podstawowe powiadomienia e-mail | ✓ | ✓ |
| Tablica triażu Kanban | — | ✓ |
| Kalkulator CVSS v3.1 | — | ✓ |
| Śledzenie SLA i wskaźniki | — | ✓ |
| Przypisywanie do zespołu | — | ✓ |
| Deduplikacja | — | ✓ |
| Rotacja dyżurów | — | ✓ |
| Integracja ze Slack | — | ✓ |
| Niestandardowe szablony e-mail | — | ✓ |
| Portal badacza | — | ✓ |
| Panel metryk | — | ✓ |
| Hall of Fame | — | ✓ |
| Zatwierdzanie nagród | — | ✓ |
| Zbieranie danych do wypłat od badaczy | — | ✓ |
| Zarządzanie dokumentami podatkowymi (W-9/W-8BEN) | — | ✓ |
| Niezmienny rejestr finansowy | — | ✓ |
| Eksport dowodów SOC 2 (CSV/PDF) | — | ✓ |
| Dostęp do API | — | ✓ |
Cena roczna: 490 USD/rok (oszczędność 98 USD).
Szybka lista kontrolna
- Aktywuj program w VDP > Program Settings (ustaw status na Active)
- Sprawdź domyślny zakres i dostosuj cele objęte/nieobjęte zakresem
- Opublikuj program (status → Active)
- Zweryfikuj, że
security.txtjest serwowany pod/.well-known/security.txt - Udostępnij URL formularza zgłoszeń (
/security/{program-slug}/reports/new) zespołowi, aby wiedziano, dokąd trafiają zgłoszenia
Kolejne kroki
- Configuring Your Program — zakres, macierz nagród, SLA i wszystkie siedem zakładek ustawień
- security.txt Setup — zgodność z RFC 9116, domeny niestandardowe i zarządzanie wygasaniem
- Przejdź do VDP, aby włączyć program i zapoznać się z opcjami cenowymi