Die Hauptidee des Projekts besteht darin, die Interaktion zwischen interner Informationssicherheit und externen Forschern zu formalisieren und einen klaren Hinweis darauf zu geben, wie und wohin Informationen über Schwachstellen oder Sicherheitsprobleme gesendet werden sollen. Die Formalisierung der Interaktion ist ein ernstes Problem. Nicht alle Websites verfügen über Bug-Bounty-Programme oder geben lediglich die Kontakte von Sicherheitsspezialisten an. Und Versuche, über den Support-Service und Twitter zu erreichen, enden oft mit der Zusicherung, dass "alles so ist, wie es sein sollte", und dem anschließenden Ignorieren.
Dies funktioniert natürlich nur, wenn das Unternehmen, das die Informationen in security.txt hostet, bereit ist, die über diesen Kanal empfangenen Informationen zu überprüfen und rechtzeitig zu beantworten.
Die Entwicklung des Standards findet seit August 2017 statt, obwohl es sich nur um ein Internetprojekt (
Internet Draft ) handelt und es keine eigene RFC-Nummer hat. Trotzdem nutzen es bereits mehrere große Unternehmen wie
Google ,
Dropbox und
Pixiv . In RuNet konnte ich
Goloslogos ,
Clean Line ,
Top Deck und
Drive2 finden .
Die folgenden Informationen werden in security.txt vorgeschlagen:
- Kontaktmethode : Link zum Feedback-Formular, zum Bug-Bounty-Programm oder zur Postanschrift (dies ist der einzige erforderliche Artikel)
- Öffentlicher PGP-Schlüssel : zur Verschlüsselung vertraulicher Informationen
- Hall of Fame Link : zur Anerkennung
- Kommunikationssprachen : Es können mehrere angegeben werden
- Link zu security.txt selbst : Erforderlich für die Authentifizierung, wenn Sie diese mit einer digitalen Signatur überprüft haben
- Link zur Sicherheitsrichtlinie : Wenn Ihre Ressource eine hat
- Link zu offenen Stellen : Wenn Sie Sicherheitsexperten suchen
Das Formular auf der offiziellen Website kann bei der Erstellung der Datei im richtigen Format hilfreich sein.
Referenzen:
→
Offizielle Seite→
Projekttext auf IETF→
Github-Projekt