B

ezpieczeństwo jest złożonym procesem. Jednak, gdy luki w zabezpieczeniach naszego serwisu / organizacji zostaną wykryte przez niezależnych konsultantów bezpieczeństwa (działających w dobrej wierze) – to często brakuje im kanałów do właściwego zgłoszenia odkrytych luk. W rezultacie błędy w zabezpieczeniach mogą pozostać nie zgłoszone lub zaginąć w ramach przesyłania ich do nieodpowiednich kontaktów. Dlatego Ed Foudil zgłosił standard dla formatu pliku security.txt. Obiekt ten jest prostym plikiem tekstowym (podobnym do pliku robots.txt), który zawiera najważniejsze informacje o tym, z kim się skontaktować lub gdzie szukać informacji związanych z bezpieczeństwem witryny.

Strona securitytxt.org pozwala w bardzo prosty sposób na wygenerowanie odpowiedniego pliku:

# Find us on hackerone.com/example
Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Preferred-Languages: pl, en

Powinien on zostać umieszczony w ścieżce: /.well-known/security.txt (można go też umieścić w drugiej lokalizacji obok pliku robots.txt, czyli /security.txt). Wiele stron w tym Google zaczęło używać już pliku security.txt – czas, aby pojawił się także na naszych witrynach. Żadna firma / organizacja nie chce zostać złapana na niewłaściwym poziomie bezpieczeństwa. Naruszenie danych lub poziomu bezpieczeństwa może doprowadzić do strat finansowych lub reputacji. Gdy osoby badające bezpieczeństwo wykryją potencjalne luki w zabezpieczeniach strony lub aplikacji – będą próbowały skontaktować się z kimś “odpowiednim”, aby “odpowiedzialnie” ujawnić problem. Warto zadbać, aby trafiły pod dobry adres.

Więcej informacji: security-txt