Security.txt

קובץ security.txt הוא תקן למדיניות אבטחת מידע של אתרי אינטרנט, שנועד לאפשר לחוקרי אבטחה לדווח בקלות על פרצות אבטחה.^[1][2] התקן קובע את קיומו של קובץ טקסט, בשם "security.txt" ב-URI שקידומתו/.well-known/ (אנ'), שיכיל פרטי התקשרות לצורכי דיווח.

קובץ security.txt לדוגמה

קובץ ה-Security.txt דומה בתחבירו ל-robots.txt אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.^[3]

קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,^[4] שלעיתים אף מפעילות תוכניות Bug bounty, שבמסגרתן הן מתגמלות כספית את המדווחים.

היסטוריה

בטיוטת האינטרנט (אנ'), שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,^[1] הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.

בשנת 2019, הסוכנות לאבטחת סייבר ותשתיות (אנ') (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל הסוכנויות הפדרליות לפרסם קובץ security.txt בתוך 180 יום.^[5][6]

ה-IESG פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.^[7]

באפריל 2022, Security.txt הוסדר רשמית כ-RFC 9116

ראו גם

• robots.txt

קישורים חיצוניים

•   אתר האינטרנט הרשמי של Security.txt
• העמוד הרשמי באתר IETF של RFC 9116 : התקן קובץ לעזרה בדיווח על פריצות אבטחה
• קובץ Security.txt לדוגמה, של גוגל

הערות שוליים

1. at 13:47, John Leyden 3 Jan 2018. "Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?". www.theregister.co.uk (באנגלית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
2. "Security.txt Standard Proposed, Similar to Robots.txt". BleepingComputer (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
3. "The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities". Security Intelligence (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
4. Cimpanu, Catalin (2019-11-29). "iOS apps could really benefit from the newly proposed Security.plist standard". ZDNet. ארכיון מ-2020-08-11. נבדק ב-2020-06-16.
5. "CISA Seeks Comments on How Government Should Handle Vulnerability Reports". Decipher. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
6. Kuldell, Heather (2019-12-18). "CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy". Nextgov.com. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
7. "Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard". The Daily Swig | Cybersecurity news and views. 2019-12-12. ארכיון מ-2020-09-21. נבדק ב-2020-03-30.

  ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.