security.txt
security.txt to proponowany standard dla informacji o zabezpieczeniach stron internetowych, który ma umożliwić badaczom zabezpieczeń na łatwe zgłaszanie luk w zabezpieczeniach[1][2].
Standard obejmuje plik tekstowy o nazwie „security.txt” w lokacji /.well-known, podobny w składni do robots.txt, ale przeznaczony do odczytania przez ludzi chcących skontaktować się z właścicielem witryny w sprawie problemów z jej zabezpieczeniami[3]. Pliki security.txt zostały przyjęte już przez Google, GitHub, LinkedIn i Facebook[4].
Historia
edytujProjekt Internetowy po raz pierwszy został zgłoszony przez Edwina Foudila 11 września 2017 roku[1]. W tym czasie obejmował cztery dyrektywy: „Contact”, „Encryption”, „Disclosure” i „Acknowledgement”. Foudil oczekiwał dodania kolejnych dyrektyw w oparciu o informacje zwrotne[2].
W 2019 r. Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) opublikowała projekt dyrektywy operacyjnej, która wymagała od wszystkich agencji federalnych opublikowania pliku security.txt w ciągu 180 dni[5][6].
Grupa Sterująca Inżynierii Internetu (IESG) wydała ostatnie wezwanie do komentarzy na temat pliku security.txt w grudniu 2019 r., które zakończyło się 6 stycznia 2020 r.[7]
Zobacz też
edytujPrzypisy
edytuj- ↑ a b John Leyden, Bug-finders’ scheme: Tick-tock, this tech’s tested by flaws.. but who the heck do you tell? [online], www.theregister.com [dostęp 2021-07-09] (ang.).
- ↑ a b Security.txt Standard Proposed, Similar to Robots.txt [online], BleepingComputer [dostęp 2021-07-09] (ang.).
- ↑ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities [online], Security Intelligence [dostęp 2021-07-09] (ang.).
- ↑ Catalin Cimpanu, iOS apps could really benefit from the newly proposed Security.plist standard [online], ZDNet [dostęp 2021-07-09] (ang.).
- ↑ CISA Seeks Comments on How Government Should Handle Vulnerability Reports [online], Decipher [dostęp 2021-07-09] (ang.).
- ↑ CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy [online], Nextgov.com [dostęp 2021-07-09] (ang.).
- ↑ Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard [online], The Daily Swig | Cybersecurity news and views, 12 grudnia 2019 [dostęp 2021-07-09] (ang.).