bezpieczeństwo.txt
| Format pliku pomagający w ujawnianiu luk w zabezpieczeniach | |
 Przykładowy plik security.txt
| |
| Status | Opublikowany |
|---|---|
| Rok rozpoczęty | 2017 |
| Opublikowane po raz pierwszy | wrzesień 2017 r |
| Ostatnia wersja |
12 11 marca 2021 r |
| Autorski | Edwina Foudila |
| Strona internetowa | |
security.txt to proponowany standard informacji o bezpieczeństwie stron internetowych, który ma umożliwić badaczom bezpieczeństwa łatwe zgłaszanie luk w zabezpieczeniach. Norma zaleca umieszczenie pliku tekstowego o nazwie „security.txt” w dobrze znanej lokalizacji, podobnej składni do pliku robots.txt , ale przeznaczonej do odczytu maszynowego i ludzkiego, dla osób chcących skontaktować się z właścicielem witryny w kwestiach bezpieczeństwa. Pliki security.txt zostały przyjęte przez Google , GitHub , LinkedIn i Facebook .
Historia
Projekt internetowy został po raz pierwszy przesłany przez Edwina Foudila we wrześniu 2017 r. W tamtym czasie obejmował cztery dyrektywy: „Kontakt”, „Szyfrowanie”, „Ujawnienie” i „Potwierdzenie”. Foudil spodziewał się dodać dalsze dyrektywy na podstawie opinii. Ponadto ekspert ds. Bezpieczeństwa sieci, Scott Helme, powiedział, że spotkał się z pozytywnymi opiniami ze strony społeczności zajmującej się bezpieczeństwem, podczas gdy korzystanie z 1 miliona najpopularniejszych witryn internetowych było „tak niskie, jak oczekiwano”.
W 2019 roku Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) opublikowała projekt wiążącej dyrektywy operacyjnej, która nakłada na wszystkie agencje federalne obowiązek opublikowania pliku security.txt w ciągu 180 dni.
Internet Engineering Steering Group (IESG) wydała ostatnie wezwanie dotyczące pliku security.txt w grudniu 2019 r., które zakończyło się 6 stycznia 2020 r.
Badanie przeprowadzone w 2021 roku wykazało, że ponad dziesięć procent ze 100 najpopularniejszych witryn opublikowało plik security.txt, przy czym odsetek witryn publikujących ten plik zmniejszał się w miarę uwzględniania większej liczby witryn. W badaniu zwrócono również uwagę na szereg rozbieżności między normą a zawartością akt.
W kwietniu 2022 plik security.txt został zaakceptowany przez Internet Engineering Task Force (IETF) jako RFC 9116 .
Format pliku
Pliki security.txt mogą być udostępniane w katalogu /.well-known/ (tj. /.well-known/security.txt ) lub w katalogu najwyższego poziomu (tj. /security.txt ) witryny internetowej. Plik musi być udostępniany przez HTTPS i w formacie zwykłego tekstu .