ויקיפדיה

Security.txt – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
→ העריכה הקודמתהעריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
מ תיקון פרמטר
שורה 1:
[[קובץ:Security_txt.png|ממוזער|300x300 פיקסלים|קובץ security.txt לדוגמה]]
קובץ '''security.txt''' הוא [[תקן]] למדיניות אבטחת מידע של [[אתר אינטרנט|אתרי אינטרנט]], שנועד לאפשר ל[[חוקר אבטחה|חוקרי אבטחה]] לדווח בקלות על [[פרצת אבטחה|פרצות אבטחה]].<ref name="Register">{{Cite web|url=https://www.theregister.co.uk/2018/01/03/security_notification_scheme/|title=Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?|last=at 13:47|first=John Leyden 3 Jan 2018|website=www.theregister.co.uk|language=en|accessdate=2019-04-14|archive-date=2019-04-14|archive-url=https://web.archive.org/web/20190414214153/https://www.theregister.co.uk/2018/01/03/security_notification_scheme/|dead-url-status=nolive}}</ref><ref name="BleepingComputer">{{Cite web|url=https://www.bleepingcomputer.com/news/security/security-txt-standard-proposed-similar-to-robots-txt/|title=Security.txt Standard Proposed, Similar to Robots.txt|website=BleepingComputer|language=en-us|accessdate=2019-04-14|archive-date=2019-04-14|archive-url=https://web.archive.org/web/20190414214154/https://www.bleepingcomputer.com/news/security/security-txt-standard-proposed-similar-to-robots-txt/|dead-url-status=nolive}}</ref> התקן קובע את קיומו של [[קובץ טקסט]], בשם "security.txt" ב-[[URI]] שקידומתו{{קישור שפה|אנגלית|Well-known URI|URI ידוע היטב|{{קוד|/.well-known/}}}}, שיכיל פרטי התקשרות לצורכי דיווח.
 
קובץ ה-Security.txt דומה בתחבירו ל-[[פרוטוקול אי הכללת רובוטים|robots.txt]] אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.<ref>{{Cite web|url=https://securityintelligence.com/news/the-telltale-text-file-security-researcher-proposes-standardization-for-reporting-vulnerabilities/|title=The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities|website=Security Intelligence|language=en-US|accessdate=2019-04-14|archive-date=2019-04-14|archive-url=https://web.archive.org/web/20190414214152/https://securityintelligence.com/news/the-telltale-text-file-security-researcher-proposes-standardization-for-reporting-vulnerabilities/|dead-url-status=nolive}}</ref>
 
קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,<ref name="Cimpanu 2019">{{Cite web|last=Cimpanu|first=Catalin|title=iOS apps could really benefit from the newly proposed Security.plist standard|website=ZDNet|date=2019-11-29|url=https://www.zdnet.com/article/ios-apps-could-really-benefit-from-the-newly-proposed-security-plist-standard/|accessdate=2020-06-16|archive-date=2020-08-11|archive-url=https://web.archive.org/web/20200811214644/https://www.zdnet.com/article/ios-apps-could-really-benefit-from-the-newly-proposed-security-plist-standard/|dead-url-status=nolive}}</ref> שלעיתים אף מפעילות תוכניות [[Bug bounty]], שבמסגרתן הן מתגמלות כספית את המדווחים.
 
== היסטוריה ==
ב{{קישור שפה|אנגלית|Internet Draft|טיוטת האינטרנט}}, שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,{{הערה|שם=Register}} הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.
 
בשנת 2019, {{קישור שפה|אנגלית|Cybersecurity and Infrastructure Security Agency|הסוכנות לאבטחת סייבר ותשתיות}} (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל [[הממשלה הפדרלית של ארצות הברית#הקבינט, מחלקות וסוכנויות|הסוכנויות הפדרליות]] לפרסם קובץ security.txt בתוך 180 יום.<ref name="Decipher">{{Cite web|title=CISA Seeks Comments on How Government Should Handle Vulnerability Reports|website=Decipher|url=https://duo.com/decipher/cisa-seeks-comments-on-how-government-should-handle-vulnerability-reports|accessdate=2020-01-29|archive-date=2020-01-29|archive-url=https://web.archive.org/web/20200129172755/https://duo.com/decipher/cisa-seeks-comments-on-how-government-should-handle-vulnerability-reports|dead-url-status=nolive}}</ref><ref name="Kuldell 2019">{{Cite web|last=Kuldell|first=Heather|title=CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy|website=Nextgov.com|date=2019-12-18|url=https://www.nextgov.com/cybersecurity/2019/12/cisa-still-wants-your-thoughts-its-vulnerability-disclosure-policy/161989/|accessdate=2020-01-29|archive-date=2020-01-29|archive-url=https://web.archive.org/web/20200129174231/https://www.nextgov.com/cybersecurity/2019/12/cisa-still-wants-your-thoughts-its-vulnerability-disclosure-policy/161989/|dead-url-status=nolive}}</ref>
 
ה-[[Internet Engineering Task Force|IESG]] פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.<ref name="The Daily Swig | Cybersecurity news and views 2019">{{Cite web|title=Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard|website=The Daily Swig &#124; Cybersecurity news and views|date=2019-12-12|url=https://portswigger.net/daily-swig/security-txt-iesg-issues-final-call-for-comment-on-proposed-vulnerability-reporting-standard|accessdate=2020-03-30|archive-date=2020-09-21|archive-url=https://web.archive.org/web/20200921033653/https://portswigger.net/daily-swig/security-txt-iesg-issues-final-call-for-comment-on-proposed-vulnerability-reporting-standard|dead-url-status=nolive}}</ref>
 
== ראו גם ==
אוחזר מתוך "https://he.wikipedia.org/wiki/Security.txt"