A idéia principal do projeto é formalizar a interação entre segurança da informação interna e pesquisadores externos, fornecendo uma indicação clara de como e para onde enviar informações sobre vulnerabilidades ou problemas de segurança. A formalização da interação é um problema sério, nem todos os sites têm programas de recompensas por bugs ou simplesmente indicam os contatos de especialistas em segurança. E as tentativas de acessar o serviço de suporte e o twitter geralmente terminam com garantias de que "tudo está como deveria ser" e subsequentemente ignoradas.
Obviamente, isso só funcionará se a empresa que hospeda as informações em security.txt estiver pronta para verificar e responder em tempo hábil às informações recebidas por esse canal.
O desenvolvimento do padrão está em andamento desde agosto de 2017, embora seja apenas um projeto da
Internet (
Internet Draft ) e não possua seu próprio número RFC. Apesar disso, várias grandes empresas como
Google ,
Dropbox ,
Pixiv já o utilizam. No RuNet, consegui encontrar
Goloslogos ,
Clean Line ,
Top Deck e
Drive2 .
As seguintes informações são sugeridas em security.txt:
- Método de contato : link para o formulário de feedback, programa de recompensas por bugs ou endereço para correspondência (este é o único item necessário)
- Chave pública PGP : para criptografia de informações confidenciais
- Link do Hall da Fama : para apreciação
- Idiomas de comunicação : é possível especificar vários
- Link para o próprio security.txt : necessário para autenticação se você o tiver verificado com uma assinatura digital
- Link da política de segurança : se o seu recurso tiver um
- Link para vagas : se você procura profissionais de segurança
O formulário no site oficial pode ajudar na geração do arquivo no formato correto.
Referências:
→
Site oficial→
Texto do projeto no IETF→
Projeto Github