该项目的主要思想是形式化内部信息安全性与外部研究人员之间的交互,从而明确指示如何以及在何处发送有关漏洞或安全性问题的信息。 交互的形式化是一个严重的问题,并非所有站点都具有漏洞赏金计划,甚至不能仅仅表明安全专家的联系。 尝试获得支持服务和Twitter的努力通常以保证“一切都应按原样”和随后的无视而结束。
当然,只有在security.txt中托管信息的公司准备好检查并及时响应通过此通道接收的信息时,此方法才有效。
自2017年8月以来,该标准的开发一直在进行,尽管它只是一个Internet项目(
Internet Draft ),但没有自己的RFC编号。 尽管如此,
谷歌 ,
Dropbox ,
Pixiv等多家大公司已经在使用它。 在RuNet中,我设法找到
Goloslogos ,
Clean Line ,
Top Deck和
Drive2 。
在security.txt中建议以下信息:
- 联系方式 :链接到反馈表,漏洞赏金计划或邮寄地址(这是唯一必填项)
- PGP公钥 :用于加密敏感信息
- 名人堂链接 :感谢
- 交流语言 :可以指定几种
- 链接到security.txt本身 :如果已使用数字签名进行了验证,则需要进行身份验证
- 安全策略链接 :如果您的资源有一个
- 链接到职位空缺 :如果您正在寻找安全专业人员
官方网站上的表格可以帮助以正确的格式生成文件。
参考文献:
→
官方网站→
IETF上的项目文本→
Github项目