Security.txt
קובץ security.txt הוא תקן למדיניות אבטחת מידע של אתרי אינטרנט, שנועד לאפשר לחוקרי אבטחה לדווח בקלות על פרצות אבטחה.[1][2] התקן קובע את קיומו של קובץ טקסט, בשם "security.txt" ב-URI שקידומתו/.well-known/ (אנ'), שיכיל פרטי התקשרות לצורכי דיווח.
קובץ ה-Security.txt דומה בתחבירו ל-robots.txt אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.[3]
קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,[4] שלעיתים אף מפעילות תוכניות Bug bounty, שבמסגרתן הן מתגמלות כספית את המדווחים.
היסטוריה
בטיוטת האינטרנט (אנ'), שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,[1] הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.
בשנת 2019, הסוכנות לאבטחת סייבר ותשתיות (אנ') (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל הסוכנויות הפדרליות לפרסם קובץ security.txt בתוך 180 יום.[5][6]
ה-IESG פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.[7]
ראו גם
קישורים חיצוניים
אתר האינטרנט הרשמי של Security.txt- קובץ Security.txt לדוגמה, של גוגל
הערות שוליים
- ^ 1.0 1.1 at 13:47, John Leyden 3 Jan 2018. "Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?". www.theregister.co.uk (באנגלית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
- ^ "Security.txt Standard Proposed, Similar to Robots.txt". BleepingComputer (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
- ^ "The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities". Security Intelligence (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
- ^ Cimpanu, Catalin (2019-11-29). "iOS apps could really benefit from the newly proposed Security.plist standard". ZDNet. ארכיון מ-2020-08-11. נבדק ב-2020-06-16.
- ^ "CISA Seeks Comments on How Government Should Handle Vulnerability Reports". Decipher. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
- ^ Kuldell, Heather (2019-12-18). "CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy". Nextgov.com. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
- ^ "Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard". The Daily Swig | Cybersecurity news and views. 2019-12-12. ארכיון מ-2020-09-21. נבדק ב-2020-03-30.
