Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
Öffentliche Portale · Vulnerability Disclosure

Schwachstellen-Meldeportal (VD) aktivieren

Aktualisiert am 2 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Das öffentliche Schwachstellenmeldungsportal einrichten, freigeben und den Melde-Link an externe Sicherheitsforscher weitergeben, sodass eingehende Meldungen in den Schwachstellen erscheinen.

In Cenedril aktivieren Sie das öffentliche Schwachstellenmeldungsportal in den Security Operations des ISMS-Assistenten im Reiter Einrichtung. Sie schalten dort das Portal frei, geben optional Ihre Software-Produkte zur Auswahl frei und kopieren den Melde-Link. Externe Sicherheitsforscher öffnen diese Adresse ohne Anmeldung und reichen Schwachstellen ein, die anschließend in den Schwachstellen erscheinen.

Portal in der Einrichtung aktivieren

Security Operations öffnen

Öffnen Sie den ISMS-Assistenten und wechseln Sie in Security Operations. Wählen Sie oben den Reiter Einrichtung. Dieser Reiter bündelt Eskalation, Benachrichtigungen und die Vulnerability Disclosure Policy.

Der Reiter „Einrichtung“ in den Security Operations mit den Abschnitten für Benachrichtigungen, Vorfallmanagement und das Schwachstellenmeldungsportal.

Abschnitt Schwachstellenmeldungsportal aufklappen

Klappen Sie den Abschnitt Schwachstellenmeldungsportal auf. Hier steuern Sie das öffentliche Portal, über das externe Sicherheitsforscher Schwachstellen in Ihren Produkten melden können.

Portal aktivieren

Schalten Sie Portal aktivieren ein. Sobald der Schalter aktiv ist, blendet Cenedril die Portal-URL ein. Eine Meldung bestätigt, dass das Portal aktiviert wurde.

Der Schalter „Portal aktivieren“ und die darunter eingeblendete Portal-URL.

Software-Produkte freigeben

Im Bereich Eigene Software-Produkte schalten Sie pro Produkt den Schalter ein, damit es im öffentlichen Portal zur Auswahl steht. Melder können dann angeben, welches Produkt betroffen ist. Über Neues Produkt hinzufügen tragen Sie ein weiteres Produkt ein und wählen den Typ Software-Produkt oder Mobile App.

Portal-URL kopieren und teilen

Kopieren Sie die Portal-URL über die Schaltfläche neben dem Adressfeld. Geben Sie diese Adresse an Sicherheitsforscher weiter oder verlinken Sie sie auf Ihrer Website. Die öffentliche Adresse hat die Form /vd/ gefolgt von einem eindeutigen Schlüssel und ist ohne Anmeldung erreichbar.

Eingehende Meldungen verfolgen

Unter der öffentlichen Adresse sehen Sicherheitsforscher Ihr Logo und das Formular Schwachstelle melden mit Feldern für das betroffene Produkt, Titel, Beschreibung und einer optionalen E-Mail-Adresse. Nach dem Absenden erscheint die Meldung als Schwachstelle in Ihren Security Operations.

Das öffentliche Meldeformular mit Produktauswahl, Titel, Beschreibung und optionaler E-Mail-Adresse.

Jede eingereichte Meldung landet in den Security Operations unter den Schwachstellen. Dort triagieren Sie den Fund, ordnen ihn einer verantwortlichen Person zu und verfolgen ihn bis zur Behebung.

Ergebnis: Das Portal ist aktiv, die Portal-URL ist geteilt und freigegebene Produkte stehen den Meldern zur Auswahl. Eingehende Schwachstellen erscheinen in den Security Operations und können dort bearbeitet werden.

Häufige Fragen

Brauchen Melder einen Cenedril-Zugang?

Nein. Das Portal ist über die öffentliche Adresse /vd/<Schlüssel> ohne Anmeldung erreichbar. Sicherheitsforscher öffnen den Link, wählen optional das betroffene Produkt, beschreiben die Schwachstelle und senden die Meldung ab. Eine E-Mail-Adresse können sie freiwillig angeben, um eine Bestätigung und eine Benachrichtigung nach Behebung zu erhalten.

Wo landen eingehende Meldungen?

Jede über das Portal eingereichte Schwachstelle erscheint in den Security Operations unter den Schwachstellen, wo Sie sie zusammen mit den übrigen Funden triagieren, einer verantwortlichen Person zuordnen und bis zur Behebung verfolgen.

Welche Produkte erscheinen im Portal?

Im öffentlichen Portal stehen die eigenen Software-Produkte und mobilen Apps zur Auswahl, deren Schalter in der Einrichtung aktiv ist. Melder können dann angeben, welches Produkt betroffen ist. Ohne freigegebene Produkte bleibt die Meldung allgemein.

Wie teile ich das Portal?

Sobald das Portal aktiv ist, zeigt die Einrichtung die Portal-URL mit einer Schaltfläche zum Kopieren. Geben Sie diese Adresse an Sicherheitsforscher weiter oder verlinken Sie sie auf Ihrer Website, etwa über eine security.txt.

Kann ich das Portal wieder abschalten?

Ja. Stellen Sie den Schalter „Portal aktivieren“ in der Einrichtung wieder aus. Die öffentliche Adresse zeigt dann den Hinweis, dass das Portal derzeit nicht aktiv ist, und nimmt keine Meldungen mehr an.

Öffentliche Portale

Betroffenenrechte-Portal (DSAR) aktivieren und Anfragen bearbeiten

So aktivieren Sie in Cenedril das öffentliche Portal für Betroffenenrechte, teilen den Portal-Link und bearbeiten eingehende Anfragen bis zum Abschluss.

Security Operations & Threat Intel

Schwachstellen-Behebung nachverfolgen

So verfolgen Sie in Cenedril den Behebungsfortschritt einer gemeldeten Schwachstelle entlang der Phasen Erkannt, Bewertung, Entscheidung und Auflösung bis zum Abschluss.