Security.txt

תקן למדיניות אבטחת מידע של אתרי אינטרנט, לצורכי דיווח על פרצות אבטחה

קובץ security.txt הוא תקן למדיניות אבטחת מידע של אתרי אינטרנט, שנועד לאפשר לחוקרי אבטחה לדווח בקלות על פרצות אבטחה.[1][2] התקן קובע את קיומו של קובץ טקסט, בשם "security.txt" ב-URI שקידומתו/.well-known/ (אנ'), שיכיל פרטי התקשרות לצורכי דיווח.

קובץ security.txt לדוגמה

קובץ ה-Security.txt דומה בתחבירו ל-robots.txt אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.[3]

קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,[4] שלעיתים אף מפעילות תוכניות Bug bounty, שבמסגרתן הן מתגמלות כספית את המדווחים.

היסטוריהעריכה

בטיוטת האינטרנט (אנ'), שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,[1] הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.

בשנת 2019, הסוכנות לאבטחת סייבר ותשתיות (אנ') (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל הסוכנויות הפדרליות לפרסם קובץ security.txt בתוך 180 יום.[5][6]

ה-IESG פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.[7]

באפריל 2022, Security.txt הוסדר רשמית כ־RFC מספר 9116.[8]

ראו גםעריכה

קישורים חיצונייםעריכה

הערות שולייםעריכה

  1. ^ 1 2 at 13:47, John Leyden 3 Jan 2018. "Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?". www.theregister.co.uk (באנגלית). ארכיון ארכיון מהמקור מ-2019-04-14. נבדק ב-2019-04-14.
  2. ^ "Security.txt Standard Proposed, Similar to Robots.txt". BleepingComputer (בAmerican English). ארכיון ארכיון מהמקור מ-2019-04-14. נבדק ב-2019-04-14.
  3. ^ "The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities". Security Intelligence (בAmerican English). ארכיון ארכיון מהמקור מ-2019-04-14. נבדק ב-2019-04-14.
  4. ^ Cimpanu, Catalin (2019-11-29). "iOS apps could really benefit from the newly proposed Security.plist standard". ZDNet. ארכיון ארכיון מהמקור מ-2020-08-11. נבדק ב-2020-06-16.
  5. ^ "CISA Seeks Comments on How Government Should Handle Vulnerability Reports". Decipher. ארכיון ארכיון מהמקור מ-2020-01-29. נבדק ב-2020-01-29.
  6. ^ Kuldell, Heather (2019-12-18). "CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy". Nextgov.com. ארכיון ארכיון מהמקור מ-2020-01-29. נבדק ב-2020-01-29.
  7. ^ "Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard". The Daily Swig | Cybersecurity news and views. 2019-12-12. ארכיון ארכיון מהמקור מ-2020-09-21. נבדק ב-2020-03-30.
  8. ^ RFC 9116: Internet Engineering Task Force (IETF), A File Format to Aid in Security Vulnerability Disclosure, rfc editor, ‏April 2022
  ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.