الفكرة الرئيسية للمشروع هي إضفاء الطابع الرسمي على التفاعل بين أمن المعلومات الداخلي والباحثين الخارجيين ، وإعطاء إشارة واضحة لكيفية ومكان إرسال المعلومات حول الثغرات الأمنية أو قضايا الأمن. إضفاء الطابع الرسمي على التفاعل يمثل مشكلة خطيرة ، حيث لا تحتوي جميع المواقع على برامج مكافآت للأخطاء ، أو حتى تشير ببساطة إلى جهات اتصال متخصصي الأمان. وغالبًا ما تنتهي محاولات الوصول إلى خدمة الدعم والتويتر بتأكيدات بأن "كل شيء كما يجب أن يكون" وتجاهل لاحق.
بالطبع ، لن ينجح هذا إلا إذا كانت الشركة التي تستضيف المعلومات الموجودة في security.txt جاهزة للتحقق والرد في الوقت المناسب على المعلومات الواردة من هذه القناة.
استمر تطوير المعيار منذ أغسطس 2017 ، في حين أنه مجرد مشروع
إنترنت (
مسودة إنترنت ) وليس لديه رقم RFC خاص به. على الرغم من ذلك ، فإن العديد من الشركات الكبيرة مثل
Google و
Dropbox و
Pixiv تستخدمه بالفعل. في RuNet ، تمكنت من العثور على
Goloslogos و
Clean Line و
Top Deck و
Drive2 .
المعلومات التالية مقترحة في security.txt:
- طريقة الاتصال : رابط إلى نموذج الملاحظات أو برنامج مكافأة الأخطاء أو العنوان البريدي (هذا هو العنصر المطلوب فقط)
- المفتاح العام PGP : لتشفير المعلومات الحساسة
- قاعة الشهرة رابط : للتقدير
- لغات التواصل : من الممكن تحديد عدة لغات
- رابط إلى security.txt نفسه : مطلوب للمصادقة إذا كنت قد تحققت منه بتوقيع رقمي
- رابط سياسة الأمان : إذا كان لدى موردك واحد
- رابط إلى الوظائف الشاغرة : إذا كنت تبحث عن متخصصين في مجال الأمن
يمكن أن يساعد النموذج الموجود على الموقع الرسمي في إنشاء الملف بالتنسيق الصحيح.
المراجع:
→
الموقع الرسمي→
نص المشروع على IETF→
مشروع جيثب