Security.txt是放置在网站根目录中的文件,可帮助安全研究人员报告他们发现的安全问题和错误。
Security.txt历史
Security.txt由E. Foudil和Yakov Shafranovich于2017年创立。该标准的初稿于2018年2月11日在GitHub上发布。
简而言之,Security.txt,就像Robots.txt打算成为安全专家和研究人员可以用来报告他们发现的网站安全问题的标准文件。最初,很难让正确的联系人报告安全问题。
目前使用安全.txt的大型流行科技公司,如谷歌,Facebook,GitHub,WordPress,亚马逊等,都有漏洞赏金计划,奖励安全研究人员披露漏洞或错误。
Security.txt文件包含哪些内容?
Security.txt文件中包含的一些详细信息包括:
- Acknowledgments:您可以在此处列出已披露漏洞的安全研究人员。
- Policy:这是一个包含过去报告的漏洞的页面。请注意不要透露可能导致更多攻击的详细信息。
- Canonical:这是安全.txt网页的网址。例如 https://github.com/.well-known/security.txt。
- Contact:这些是安全研究人员可用于与您联系的联系方式。您可以使用以下格式的电子邮件:mailto:security@example.com 或以下格式的电话号码:tel:+1-201-555-0123 或以 https:// 开头的联系人页面。
- Encryption:如果您希望研究人员使用加密通信,则可以添加加密密钥。
- Expires:这表示安全.txt文件中包含的信息的过期日期和时间。日期的格式应为 ISO 8601。例如; 到期:2022-04-27T07:20:02 + 00:00
Github 使用的安全.txt文件格式的示例
- Contact:https://hackerone.com/github
- Acknowledgments:https://bounty.github.com/bounty-hunters.html
- Preferred-Languages: en
- Canonical:https://github.com/.well-known/security.txt
- Policy:https://bounty.github.com
如何创建安全.txt文件
要创建安全.txt文件,请按以下步骤操作,
- 转到您的网站根文件夹
- 创建名为 .well-known 的文件夹
- 然后在文件夹中创建一个文件security.txt
- 文件路径应如下所示:/.well-known/security.txt
- 然后按照上面的说明将这些基本详细信息添加到文件中
Contact: Acknowledgments: Preferred-Languages: Canonical: Policy:
您还可以使用此表单生成具有加密密钥security.txt安全文件。
注1:security.txt文件应为文本/纯格式,您的网站应使用HTTPS。
注意2:如果您担心抓取者或垃圾邮件发送者收集security.txt文件中使用的电子邮件,请向联系人页面或表单添加URL而不是电子邮件。