security.txt
 security.txt示例文件 | |
| 状态 | 已发布 |
|---|---|
| 开始年 | 2017 |
| 首次出版 | 2017年9月 |
| 最新版本 | 2022年4月 |
| 作者 | Edwin Foudil |
| 基础标准 | RFC 9116 |
| 网站 | securitytxt |
security.txt是网站安全信息的公认标准,让信息安全研究人员较易于回报安全漏洞。[1]该标准会在特定的位置建立security.txt文件,文件内容的语法类似robots.txt的文本文件,但人类与机器皆可读取,供想要就安全性问题与网站拥有者联系的人使用。[2]Google、GitHub、LinkedIn与Facebook等网站已采用security.txt。[3]
历史
[编辑]Edwin Foudil于2017年9月首次提交security.txt所属标准的网络草案。[4]该草案当时涵盖了四项指令:“联系”(Contact)、“加密”(Encryption)、“揭露”(Disclosure)与“致谢”(Acknowledgement)。Foudil表示会根据反馈新增其他指令。[5]
2019年,美国网络安全和基础设施安全局发布了一份有约束力的作业指令草案,要求美国所有的联邦机构须于180天内发布security.txt。[6][7]
互联网工程指导组(英语:Internet Engineering Steering Group,缩写为IESG)于2019年12月针对security.txt发出最终征询,并于2020年1月6日结束。[8]
2021年的一项研究发现,在排名前100的网站中,有超过百分之十的网站发布了security.txt文件,随着网站排名增加,发布该文件的网站比例也随之降低。[9]此研究也注意到标准与实际的文件内容间有许多差异。
2022年4月,互联网工程任务组将security.txt接纳为RFC 9116。[1]
文件格式
[编辑]security.txt文件可置于网站的/.well-known/目录(亦即/.well-known/security.txt)或是顶层目录(亦即/security.txt)中。此文件必须透过HTTPS协议传输并以纯文字形式提供。[10]
参见
[编辑]参考资料
[编辑]- ^ 1.0 1.1 Edwin Foudil. A File Format to Aid in Security Vulnerability Disclosure. 互联网工程任务组. [2025-07-19]. doi:10.17487/RFC9116. (原始内容存档于2025-06-16).
- ^ The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities. Security Intelligence. 2017-09-19 [2025-07-19]. (原始内容存档于2024-12-09) (美国英语).
- ^ Cimpanu, Catalin. iOS apps could really benefit from the newly proposed Security.plist standard. ZDNet. 2019-11-29 [2025-07-19]. (原始内容存档于2020-08-11).
- ^ Leyden, John. Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?. www.theregister.com. 2018-01-03 [2025-07-19] (英语).
- ^ Security.txt Standard Proposed, Similar to Robots.txt. BleepingComputer. [2025-07-19]. (原始内容存档于2019-04-14) (美国英语).
- ^ CISA Seeks Comments on How Government Should Handle Vulnerability Reports. Decipher. 2020-01-03 [2025-07-19]. (原始内容存档于2025-06-14).
- ^ Kuldell, Heather. CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy. Nextgov.com. 2019-12-18 [2025-07-19]. (原始内容存档于2020-01-29).
- ^ Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard. The Daily Swig | Cybersecurity news and views. 2019-12-12 [2025-07-19]. (原始内容存档于2020-09-21).
- ^ Poteat, Tara; Li, Frank. Who you gonna call?: an empirical evaluation of website security.txt deployment
. IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM: 526–532. 2021-11-02 [2025-07-19]. doi:10.1145/3487552.3487841. (原始内容存档于2025-06-09).
- ^ Characterizing the Adoption of Security.txt Files (PDF). Characterizing the Adoption of Security.txt Files. 2022-02-11 [2025-07-19]. (原始内容存档 (PDF)于2025-06-10).
