La idea principal del proyecto es formalizar la interacción entre la seguridad de la información interna y los investigadores externos, dando una indicación clara de cómo y dónde enviar información sobre vulnerabilidades o problemas de seguridad. La formalización de la interacción es un problema grave, no todos los sitios tienen programas de recompensas de errores, o incluso simplemente indican los contactos de especialistas en seguridad. Y los intentos de pasar por el servicio de soporte y Twitter a menudo terminan con garantías de que "Todo es como debería ser" e ignorando posteriormente.
Por supuesto, esto solo funcionará si la empresa que aloja la información en security.txt está lista para verificar y responder de manera oportuna a la información recibida a través de este canal.
El desarrollo del estándar se lleva a cabo desde agosto de 2017, aunque es solo un proyecto de
Internet (
Borrador de Internet ) y no tiene su propio número de RFC. A pesar de esto, varias grandes empresas como
Google ,
Dropbox ,
Pixiv ya lo usan. En RuNet, logré encontrar
Goloslogos ,
Clean Line ,
Top Deck y
Drive2 .
Se sugiere la siguiente información en security.txt:
- Método de contacto : enlace al formulario de comentarios, programa de recompensas de errores o dirección de correo (este es el único elemento requerido)
- Clave pública PGP : para el cifrado de información confidencial
- Enlace al Salón de la Fama : para apreciar
- Idiomas para la comunicación : es posible especificar varios
- Enlace a security.txt en sí : requerido para la autenticación si lo ha verificado con una firma digital
- Enlace de política de seguridad : si su recurso tiene uno
- Enlace a vacantes : si busca profesionales de seguridad
El formulario en el sitio web oficial puede ayudar con la generación del archivo en el formato correcto.
Referencias
→
Sitio oficial→
Texto del proyecto en IETF→
Proyecto Github