security.txt
 security.txt範例檔案 | |
| 状态 | 已發佈 |
|---|---|
| 开始年 | 2017 |
| 首次出版 | 2017年9月 |
| 最新版本 | 2022年4月 |
| 作者 | Edwin Foudil |
| 基础标准 | RFC 9116 |
| 网站 | securitytxt |
security.txt是網站安全資訊的公認標準,讓資安研究人員較易於回報安全漏洞。[1]該標準會在特定的位置建立security.txt檔案,檔案內容的語法類似robots.txt的文本文件,但人類與機器皆可讀取,供想要就安全性問題與網站擁有者聯絡的人使用。[2]Google、GitHub、LinkedIn與Facebook等網站已採用security.txt。[3]
歷史
[编辑]Edwin Foudil於2017年9月首次提交security.txt所屬標準的網路草案。[4]該草案當時涵蓋了四項指令:「聯絡」(Contact)、「加密」(Encryption)、「揭露」(Disclosure)與「致謝」(Acknowledgement)。Foudil表示會根據回饋新增其他指令。[5]
2019年,美國网络安全和基础设施安全局發佈了一份有約束力的作業指令草案,要求美國所有的聯邦機構須於180天內發佈security.txt。[6][7]
網際網路工程指導組(英語:Internet Engineering Steering Group,縮寫為IESG)於2019年12月針對security.txt發出最終徵詢,並於2020年1月6日結束。[8]
2021年的一項研究發現,在排名前100的網站中,有超過百分之十的網站發佈了security.txt檔案,隨著網站排名增加,發佈該檔案的網站比例也隨之降低。[9]此研究也注意到標準與實際的檔案內容間有許多差異。
2022年4月,互联网工程任务组將security.txt接納為RFC 9116。[1]
檔案格式
[编辑]security.txt檔案可置於網站的/.well-known/目錄(亦即/.well-known/security.txt)或是頂層目錄(亦即/security.txt)中。此檔案必須透過HTTPS協定傳輸並以純文字形式提供。[10]
參見
[编辑]參考資料
[编辑]- ^ 1.0 1.1 Edwin Foudil. A File Format to Aid in Security Vulnerability Disclosure. 互联网工程任务组. [2025-07-19]. doi:10.17487/RFC9116. (原始内容存档于2025-06-16).
- ^ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence. 2017-09-19 [2025-07-19]. (原始内容存档于2024-12-09) (美国英语).
- ^ Cimpanu, Catalin. iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet. 2019-11-29 [2025-07-19]. (原始内容存档于2020-08-11).
- ^ Leyden, John. Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.com. 2018-01-03 [2025-07-19] (英语).
- ^ Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer. [2025-07-19]. (原始内容存档于2019-04-14) (美国英语).
- ^ CISA Seeks Comments on How Government Should Handle Vulnerability Reports. Decipher. 2020-01-03 [2025-07-19]. (原始内容存档于2025-06-14).
- ^ Kuldell, Heather. CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy. Nextgov.com. 2019-12-18 [2025-07-19]. (原始内容存档于2020-01-29).
- ^ Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard. The Daily Swig | Cybersecurity news and views. 2019-12-12 [2025-07-19]. (原始内容存档于2020-09-21).
- ^ Poteat, Tara; Li, Frank. Who you gonna call?: an empirical evaluation of website security.txt deployment
. IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM: 526–532. 2021-11-02 [2025-07-19]. doi:10.1145/3487552.3487841. (原始内容存档于2025-06-09).
- ^ Characterizing the Adoption of Security.txt Files (PDF). Characterizing the Adoption of Security.txt Files. 2022-02-11 [2025-07-19]. (原始内容存档 (PDF)于2025-06-10).
