Darmowy moduł bezpieczeństwa

Twój pierwszy program ujawniania podatności. Aktywny w 5 minut.

Badacze już sondują Twoją infrastrukturę — po prostu nie mają gdzie zgłosić tego, co znajdą. Kit daje ustrukturyzowany VDP z automatycznie publikowanym security.txt, portalem zgłoszeń w Twojej marce i dowodami gotowymi dla audytorów. Wdrożenie za darmo.

Włącz VDP za darmo Zobacz, jak to działa
Hosting w UE Konfiguracja w 5 minut 80% spamu filtrowane 49$/mies. pełny triaż

VDP to sposób, w jaki firma obsługuje zgłoszenia podatności.

Program ujawniania podatności (VDP) to formalny, udokumentowany kanał, przez który badacze bezpieczeństwa mogą zgłaszać błędy w oprogramowaniu. To ustrukturyzowana wersja skrzynki security@ — ze śledzeniem SLA, scoringiem CVSS i audit trailem. Audytorzy SOC 2, ubezpieczyciele cyber i klienci korporacyjni coraz częściej go wymagają.

Kit już zarządza Twoim procesem rekrutacji. VDP działa na tej samej infrastrukturze, tym samym audit trailu, w tym samym zespole.

Terminy regulacyjne

Czas na dostosowanie się kurczy.

Obowiązuje teraz

SOC 2 Type II

CC7.1: audytorzy wskazują na brak udokumentowanych programów monitorowania podatności.

11 września 2026

EU Cyber Resilience Act

Art. 14 wymaga zgłaszania podatności dla produktów z elementami cyfrowymi.

Obowiązuje od października 2024

Dyrektywa NIS2

Art. 21 ust. 2 lit. e) nakłada obowiązek posiadania VDP jako jednego z dziesięciu wymaganych środków cyberbezpieczeństwa dla podmiotów kluczowych i ważnych. Kary do 10 mln EUR lub 2% przychodów.

Rosnące wymagania

Ubezpieczenia cyber

Ubezpieczyciele cyber dodają VDP do kwestionariuszy wniosków o polisę.

Problem ze skrzynką security@.

Każdy startup dziedziczy ten sam wadliwy proces. Oto dlaczego nie przetrwa audytu SOC 2.

Audytor właśnie zapytał o CC7.1

SOC 2 CC7.1 wymaga udokumentowanych dowodów monitorowania podatności. Ticket w Jira to nie dowód. Audit trail ze znacznikami czasu — tak.

Blokowane deale korporacyjne

Klienci korporacyjni wysyłają kwestionariusze bezpieczeństwa. "Czy posiadacie VDP?" to dziś standardowe pytanie. Bez niego deal staje na etapie procurement.

Zarządzane platformy od 22 000$/rok

HackerOne i Bugcrowd oferują darmowe formularze zgłoszeń. Ich zarządzane programy z prawdziwym triażem zaczynają się od 22 000$+/rok. Kit daje operacyjny triaż za 49$/mies.

Zobacz w akcji

Od zgłoszenia do rozwiązania.

  • Portal firmowy

    Twoje logo, Twoja domena, Twoja polityka ujawniania. Badacze widzą profesjonalny portal w Twojej marce.

  • Ustrukturyzowane zgłoszenia

    Każde zgłoszenie zbiera tytuł, severity, proof of concept i wpływ. Koniec z parsowaniem wątków e-mail.

  • Pełne śledzenie cyklu życia

    Zgłoszenia przechodzą od przyjęcia przez triaż do rozwiązania. Pełna historia statusów, timery SLA i audit trail na każdym etapie.

Portal bezpieczeństwa
security.acme.com
Tytuł zgłoszenia

SQL Injection in /api/v2/users

Severity
Niski Średni Wysoki (7.5) Krytyczny
Opis

The /api/v2/users endpoint accepts unsanitised input in the search parameter, allowing...

Proof of concept
exploit-poc.py
Wpływ

Authenticated users can extract other users' PII

Chronione przez CAPTCHA
Wyślij zgłoszenie
Tablica triażu
Nowe

SQL Injection

Wysoki Pozostało 23h
W triażu

XSS in Search

Średni
Rozwiązane

CSRF Token

Rozwiązany

5 minut do zgodności.

Trzy kroki. Bez zamówień, bez projektów integracyjnych, bez czekania.

1

Włącz VDP

Włącz moduł VDP w ustawieniach Kit. Twój security.txt jest publikowany natychmiast w /.well-known/security.txt, a strona z polityką ujawniania staje się aktywna.

2

Pierwsze zgłoszenie — ustrukturyzowane

Badacze zgłaszają przez formularz na Twojej własnej domenie. Widzisz czyste zgłoszenie z oceną CVSS, a nie przekazany łańcuch e-maili.

3

Ulepsz, gdy triaż ma znaczenie

Dodaj pełny moduł triażu za 49$/mies., gdy będziesz gotowy na tablice kanban, śledzenie SLA, wypłaty nagród i eksport SOC 2.

Darmowy plan daje zgodność. Dodatek daje pewność.

Darmowe funkcje zapewniają zgodność już dziś. Dodatek przenosi od zgodności do pewności.

Darmowe

security.txt + polityka ujawniania

Zgodny z RFC 9116 security.txt automatycznie publikowany w /.well-known/security.txt. Alerty o wygaśnięciu utrzymują go aktualnym. Badacze wiedzą, jak się z Tobą skontaktować.

Darmowe

Ustrukturyzowany formularz zgłoszeń + CAPTCHA

Koniec z dowolnymi e-mailami. Każde zgłoszenie zbiera tytuł, opis, wektor CVSS, proof of concept i wpływ — ustrukturyzowane od początku.

Darmowe

Automatyczne filtrowanie spamu

CAPTCHA, rate limiting i screening AI wychwytują ponad 80% śmieci zanim trafią do kolejki. Widzisz prawdziwe zgłoszenia, nie szum.

Darmowe

Tryb invite-only

Prowadź prywatny program z dostępem invite-only. Udostępniaj bezpieczne linki zaufanym badaczom. Oczekujące prośby o dostęp pojawiają się na sidebarze.

Darmowe

Portal na własnej domenie

Uruchom portal bezpieczeństwa na własnej domenie. Badacze widzą Twoją markę, nie naszą. Własne domeny są bezpłatne dla wszystkich kont VDP.

Darmowe

Infrastruktura hostowana w UE

Dane o podatnościach nigdy nie opuszczają UE. Hosting na Hetzner w Niemczech. Bez transferów danych do USA. Bez problemów ze Schrems II.

Dodatek

Triaż kanban + CVSS v3.1 + SLA

Przenoś zgłoszenia od Nowe przez W triażu do Rozwiązane z pełną historią statusów. Timery SLA uruchamiają się automatycznie. Nigdy więcej nie przegapisz terminu odpowiedzi.

Dodatek

Ścieżka nagród + eksporty SOC 2

Wypłacaj nagrody badaczom przez ACH/przelew z obsługą podatkową 1099. Eksportuj dowody audytowe jednym kliknięciem. AI filtruje duplikaty i przygotowuje odpowiedzi.

Gotowy, żeby zamknąć temat compliance?

Włącz VDP za darmo

49$/mies. vs 22 000$/rok.

Darmowy plan przygotuje na audyt. Dodatek da pewność podczas audytu.

DIY / Zarządzane platformy

skrzynka security@ (nieustrukturyzowana) 0$
HackerOne / Bugcrowd (zarządzane) 22 000$+/rok
Z czasem konfiguracji i kosztami ogólnymi Tygodnie

Plus 2-5 tygodni onboardingu, integracje na zamówienie, przegląd prawny i wymóg dedykowanego program managera.

Konfiguracja w 5 minut

Kit VDP

Darmowy na start

Pełny dodatek triażu od 49$/mies.

588$/rok. To 37x mniej niż zarządzane platformy.

  • security.txt publikowany automatycznie
  • Ustrukturyzowany formularz zgłoszeń + CAPTCHA
  • Triaż kanban + CVSS + SLA (dodatek)
  • Eksporty audytowe SOC 2 (dodatek)
Hosting w UE

HackerOne i Bugcrowd również oferują darmowe formularze zgłoszeń. Powyższy koszt dotyczy ich zarządzanych programów z funkcjami triażu operacyjnego porównywalnymi z dodatkiem Kit.

Triaż wspierany AI

AI odfiltrowuje szum. Ty zajmujesz się sygnałem.

VDP w Kit zawiera narzędzia AI obejmujące pełny cykl życia podatności. Ta sama infrastruktura AI, która obsługuje rekrutację, teraz triażuje zgłoszenia bezpieczeństwa.

Pełne pokrycie cyklu życia.

AI filtruje śmieciowe zgłoszenia, żebyś widział tylko prawdziwe podatności. Wykrywa duplikaty, zanim stracisz czas, sugeruje CVSS severity i przygotowuje odpowiedzi dla badaczy — w minuty, nie dni. Zawsze z Twoim potwierdzeniem.

Claude ChatGPT Gemini
Przeczytaj dokumentację integracji AI

Język naturalny, realne działania.

Rozmawiaj z danymi bezpieczeństwa w języku naturalnym.

"Pokaż wszystkie zgłoszenia High naruszające SLA"
"Sprawdź zgłoszenie rpt_abc123 pod kątem duplikatów i zasugeruj severity"
"Przygotuj odpowiedź o odrzuceniu — to wygląda na poza zakresem"
"Zatwierdź nagrodę 500$ za zgłoszenie SQL Injection"

Używamy tego, co dostarczamy.

Kit prowadzi własny VDP na tej platformie. Nasz security.txt jest aktywny. Nasza polityka ujawniania jest opublikowana. Triażujemy każde zgłoszenie, które do nas trafia.

Zobacz nasze Centrum Zaufania

Pytania i odpowiedzi.

Jesteśmy za mali na program bug bounty.

VDP to nie bug bounty — nie oferujesz nagród. To udokumentowany, zgodny z przepisami kanał dla badaczy do zgłaszania podatności. SOC 2 Type II, ubezpieczyciele cyber i klienci korporacyjni coraz częściej wymagają dowodu na jego posiadanie. Darmowy plan Kit daje dokładnie to — bez zobowiązań finansowych.

Czy to nie zaprosi hakerów do atakowania nas?

Badacze już sondują Twoją infrastrukturę — po prostu nie mają legalnego kanału do przesłania tego, co znajdą. VDP daje im usankcjonowaną ścieżkę i zapewnia Ci safe harbor. Bez VDP dobrze intencjonalny badacz może upublicznić znaleziska zamiast ryzykować konsekwencje prawne. Z VDP — najpierw przychodzą do Ciebie.

Czy mogę prowadzić prywatny program invite-only?

Tak. Przełącz portal w tryb invite-only w ustawieniach portalu bezpieczeństwa, a Kit wygeneruje tajny token dostępu. Udostępnij URL zaproszenia bezpośrednio zaufanym badaczom — jednym kliknięciem otrzymują trwałą sesję. Każdy inny odwiedzający zobaczy formularz prośby o dostęp zamiast ślepego zaułka. Oczekujące prośby pojawiają się na sidebarze z badge'em; jedno kliknięcie zatwierdza prośbę i automatycznie wysyła badaczowi link z zaproszeniem.

Zostaniemy zasypani spamem i zgłoszeniami niskiej jakości.

Formularz zgłoszeń Kit zawiera CAPTCHA, rate limiting i warstwę screeningu AI, która wychwytuje śmieci zanim trafią do kolejki. W praktyce ponad 80% szumu jest filtrowane automatycznie. Zobaczysz prawdziwe zgłoszenia — nie chaos w skrzynce.

Moglibyśmy po prostu zbudować formularz sami.

Formularz da Ci przyjmowanie zgłoszeń. Nie da Ci śledzenia SLA, scoringu CVSS, historii statusów, wątków komunikacji z badaczami, wypłat nagród, obsługi dokumentów podatkowych ani eksportu SOC 2 jednym kliknięciem. Kit łączy to wszystko — wdrażasz w jedno popołudnie, nie w sprint inżynieryjny.

Już korzystamy z Vanta/Drata do compliance.

Świetnie. Vanta i Drata śledzą, czy posiadasz VDP. Kit go prowadzi. Włącz VDP w Kit, skieruj swoje narzędzie compliance na opublikowany security.txt, a checkbox jest zaznaczony prawdziwym, audytowalnym programem — nie samym dokumentem polityki.

Dlaczego platforma rekrutacyjna oferuje VDP?

Kit powstał jako platforma rekrutacyjna, ale infrastruktura compliance opiera się na tych samych fundamentach — ustrukturyzowane przyjmowanie zgłoszeń, śledzenie SLA, automatyzacja workflow i eksporty audytowe. Zbudowaliśmy VDP na tej samej bazie, zastosowanej do innego procesu. Kit prowadzi własny VDP na tej platformie. Nasz security.txt jest aktywny. Nasza polityka ujawniania jest opublikowana. Triażujemy każde zgłoszenie, które do nas trafia.

Co się dzieje, gdy pojawi się prawdziwa krytyczna podatność?

Gdy wpada krytyczne zgłoszenie, Kit natychmiast powiadamia Twój zespół. Dalej: triażujesz zgłoszenie, oceniasz severity za pomocą CVSS v3.1, komunikujesz się z badaczem przez wątkowane wiadomości, przypisujesz zgłoszenie odpowiedniej osobie, śledzisz rozwiązanie na timerze SLA i eksportujesz pełny audit trail, gdy audytor poprosi o dowody. Cały cykl życia jest udokumentowany, z timestampami i gotowy do eksportu.

A co z HackerOne lub Bugcrowd?

HackerOne i Bugcrowd oferują darmowe formularze zgłoszeń. Darmowy plan Kit też. Różnica polega na tym, co dzieje się po przyjęciu zgłoszenia: Kit daje śledzenie SLA, scoring CVSS, triaż kanban, komunikację z badaczami, wypłaty nagród i eksporty SOC 2 za 49$/mies. Zarządzane programy HackerOne z porównywalnymi funkcjami operacyjnymi zaczynają się od 22 000$+/rok. Gdy wyrośniesz z Kit, eksportujemy pełną historię programu — podsumowania zgłoszeń, oceny CVSS, wydajność SLA, logi komunikacji i księgę finansową — jako CSV lub PDF. Bez problemów z migracją.

Zobacz, jak działają eksporty SOC 2
Czy moje dane VDP są przenośne, jeśli odejdę z Kit?

Tak. Pełny eksport konta Kit pakuje każdy rekord VDP — programy, zgłoszenia, oceny, wiadomości, nagrody, wypłaty, profile badaczy i screeningi AI — w strukturalny JSON. Jedno kliknięcie w ustawieniach konta. Masz 7 dni na pobranie archiwum. Twoja historia bezpieczeństwa należy do Ciebie.

Zobacz, co zawiera eksport danych

Wdróż swój VDP w 5 minut. Za darmo.

Bez karty kredytowej. security.txt publikowany natychmiast. Ulepsz, gdy potrzebujesz triażu.

Włącz VDP za darmo Przeczytaj dokumentację bezpieczeństwa