security.txt
| Ett filformat för att hjälpa till med avslöjande av säkerhetssårbarhet | |
 Exempel security.txt-fil
| |
| Status | Publicerad |
|---|---|
| Året började | 2017 |
| Först publicerad | september 2017 |
| Senaste versionen |
12 11 mars 2021 |
| Författare | Edwin Foudil |
| Hemsida | |
security.txt är en föreslagen standard för webbplatsers säkerhetsinformation som är tänkt att tillåta säkerhetsforskare att enkelt rapportera säkerhetsbrister. Standarden föreskriver en textfil som heter "security.txt" på den välkända platsen, liknande syntaxen robots.txt men avsedd att vara maskin- och människoläsbar, för de som vill kontakta webbplatsens ägare angående säkerhetsproblem. security.txt-filer har antagits av Google , GitHub , LinkedIn och Facebook .
Historia
Internetutkastet skickades först in av Edwin Foudil i september 2017. Då omfattade det fyra direktiv, "Kontakt", "Kryptering", "Disclosure" och "Acknowledgement" . Foudil förväntade sig att lägga till ytterligare direktiv baserat på feedback. Dessutom sa webbsäkerhetsexperten Scott Helme att han hade sett positiv feedback från säkerhetscommunityt medan användningen bland de 1 miljon bästa webbplatserna var "så låg som förväntat just nu".
Under 2019 publicerade Cybersecurity and Infrastructure Security Agency (CISA) ett utkast till bindande operativt direktiv som kräver att alla federala myndigheter ska publicera en security.txt-fil inom 180 dagar.
Internet Engineering Steering Group (IESG) utfärdade en Last Call for security.txt i december 2019 som avslutades den 6 januari 2020.
En studie 2021 visade att över tio procent av de 100 bästa webbplatserna publicerade en security.txt-fil, där andelen webbplatser som publicerade filen minskade när fler webbplatser övervägdes. Studien noterade också ett antal avvikelser mellan standarden och innehållet i filen.
I april 2022 godkändes filen security.txt av Internet Engineering Task Force (IETF) som RFC 9116 .
Filformat
security.txt-filer kan visas under katalogen /.well-known/ (dvs. /.well-known/security.txt ) eller toppnivåkatalogen (dvs. /security.txt ) på en webbplats. Filen måste serveras över HTTPS och i klartextformat .