Przegląd programu ujawniania podatności
Czym jest moduł VDP w Kit, dla kogo jest przeznaczony i co obejmuje.
Dlaczego to ważne
Badacze bezpieczeństwa już sondują systemy organizacji. Niezamawiane zgłoszenia trafiają przez e-mail, Slack, Twitter i zgłoszenia do działu wsparcia, bez żadnej struktury, bez śledzenia SLA i bez ścieżki audytu. Program ujawniania podatności (VDP) porządkuje ten napływ zamiast go ignorować.
Trzy zbieżne wymogi przekreślają opcję bezczynności:
| Wymóg | Wymaganie | Termin |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Dowód monitorowania podatności i uporządkowanego procesu reagowania | Ciągły — audytorzy coraz częściej traktują formalny VDP jako standardowy materiał dowodowy |
| EU Cyber Resilience Act (CRA) | Obowiązki zgłaszania podatności dla produktów z elementami cyfrowymi | 11 września 2026 |
| Ubezpieczyciele cyber | Weryfikowalne zarządzanie podatnościami jako warunek objęcia ochroną | Zależy od ubezpieczyciela — wymagania zaostrzają się kwartalnie |
Moduł VDP w Kit to infrastruktura zgodności, a nie platforma bug bounty. Budżet pochodzi z alokacji na compliance/GRC (5-10 tys. USD/rok), nie z budżetu AppSec. Nabywcą jest CTO przygotowujący się do audytu SOC 2, nie CISO budujący program crowdsourcingowego bezpieczeństwa.
Dla porównania: HackerOne zaczyna od 22 tys. USD/rok z tygodniami rozmów wdrożeniowych. Kit uruchamia w pełni zgodny VDP w mniej niż 5 minut — start jest bezpłatny, a VDP Add-on za 49 USD/mies. odblokowuje pełny pipeline triażu i nagród.
Dla kogo
| Persona | Cel | Główny problem |
|---|---|---|
| Założyciel / CTO | Przejść audyt SOC 2, odblokować kontrakty enterprise, zapewnić zgodność z CRA | Platformy enterprise kosztują ponad 22 tys. USD/rok; skrzynka security@ to chaos; ręczne wypłaty PayPal generują zobowiązania podatkowe |
| Członek zespołu bezpieczeństwa | Efektywna ocena, kierowanie i zamykanie zgłoszeń podatności | Przeskakiwanie między e-mailem, Slackiem a Jirą; brak ujednoliconej punktacji ważności; naruszenia SLA niewidoczne |
| Badacz bezpieczeństwa | Szybkie potwierdzenie odbioru, przejrzysta komunikacja, uczciwa wypłata | Brak odpowiedzi od menedżerów programów; cykle wypłat 30-90 dni; nieprzejrzysty proces triażu |
Wszystkie trzy persony korzystają z tego samego programu. Każda sekcja dokumentacji jest oznaczona odpowiednią grupą odbiorców.
Jak to działa
-
Włączenie — Przejdź do VDP > Program Settings i ustaw status programu na Active. Plik
security.txtzostanie opublikowany automatycznie. -
Publikacja — Ustaw status programu na Active. Formularz zgłoszeń staje się aktywny, a badacze odkrywają program przez
security.txti stronę polityki ujawniania. - Odbieranie zgłoszeń — Ustrukturyzowany formularz filtruje spam za pomocą rate limitingu i CAPTCHA. Prawidłowe zgłoszenia trafiają na tablicę triażu.
- Rozwiązywanie — Przeprowadź triaż zgłoszenia, oceń ważność za pomocą CVSS v3.1, komunikuj się z badaczem, napraw problem i zamknij sprawę.
Statusy programu
| Status | Przyjmowanie zgłoszeń | Widoczność dla badaczy | Kiedy używać |
|---|---|---|---|
| Draft | Nie | Nie | Trwa konfiguracja zakresu i polityki |
| Active | Tak | Tak | Program VDP aktywnie działa |
| Paused | Nie | Nie | Tymczasowe wstrzymanie przyjmowania zgłoszeń (np. podczas incydentu) |
Co obejmuje
Start jest bezpłatny. Dodaj VDP Add-on (49 USD/mies.), gdy potrzebujesz uporządkowanego triażu, wypłat nagród lub eksportów SOC 2.
| Funkcja | Bezpłatnie | VDP Add-on (49 USD/mies.) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Strona polityki ujawniania | ✓ | ✓ |
| Ustrukturyzowany formularz zgłoszeniowy + CAPTCHA | ✓ | ✓ |
| Zgłoszenia/miesiąc | 25 | Bez limitu |
| Powiadomienia e-mail z brandingiem | ✓ | ✓ |
| Tablica triażu Kanban | — | ✓ |
| Kalkulator CVSS v3.1 | — | ✓ |
| Śledzenie SLA i wskaźniki | — | ✓ |
| Przypisywanie do zespołu | — | ✓ |
| Deduplikacja | — | ✓ |
| Rotacja dyżurów | — | ✓ |
| Integracja ze Slackiem | — | ✓ |
| Niestandardowe szablony e-mail | — | ✓ |
| Portal badacza | — | ✓ |
| Panel metryk | — | ✓ |
| Hall of Fame | — | ✓ |
| Zatwierdzanie nagród | — | ✓ |
| Zbieranie danych do wypłat od badaczy | — | ✓ |
| Zarządzanie dokumentami podatkowymi (W-9/W-8BEN) | — | ✓ |
| Niezmienny rejestr finansowy | — | ✓ |
| Eksport dowodów SOC 2 (CSV/PDF) | — | ✓ |
| Dostęp do API | — | ✓ |
W skrócie
- Aktywuj program w VDP > Program Settings (ustaw status na Active)
- Sprawdź domyślny zakres i dostosuj cele objęte/nieobjęte zakresem
- Opublikuj program (status → Active)
-
Zweryfikuj, że
security.txtjest serwowany pod/.well-known/security.txt -
Udostępnij zespołowi URL formularza zgłoszeń (
/security/{program-slug}/report), żeby wiedzieli, dokąd trafiają zgłoszenia
Co dalej
- Konfiguracja programu — zakres, macierz nagród, SLA i wszystkie siedem zakładek ustawień
- Konfiguracja security.txt — zgodność z RFC 9116, domeny niestandardowe i zarządzanie wygasaniem
- Przejdź do VDP, aby włączyć program i zapoznać się z opcjami cenowymi