безопасность.txt

безопасность.txt
Формат файла, помогающий раскрыть уязвимости системы безопасности
	Пример файла security.txt
Статус	Опубликовано
Год начался	2017
Впервые опубликовано	Сентябрь 2017 г.
Последняя версия	апрель 2022 г.
Авторы	Эдвин Фудил
Базовые стандарты	RFC 9116
Веб-сайт	безопасностьtxt .org

Security.txt — это общепринятый стандарт информации о безопасности веб-сайтов, который позволяет исследователям безопасности легко сообщать об уязвимостях безопасности. ^{[ 1 ]} Стандарт предписывает текстовый файл с именем security.txt, расположенный в хорошо известном месте, аналогичный по синтаксису robots.txt , но предназначенный для машинного и человеческого чтения, для тех, кто хочет связаться с владельцем веб-сайта по вопросам безопасности. ^{[ 2 ]} Файлы security.txt были приняты Google , GitHub , LinkedIn и Facebook . ^{[ 3 ]}

История

Интернет -проект был впервые представлен Эдвином Фудилом в сентябре 2017 года. ^{[ 4 ]} На тот момент он охватывал четыре директивы: «Контакт», «Шифрование», «Раскрытие информации» и «Подтверждение». Фудил рассчитывал добавить дополнительные директивы на основе отзывов. ^{[ 5 ]} Кроме того, эксперт по веб-безопасности Скотт Хельм заявил, что он видел положительные отзывы от сообщества безопасности, в то время как использование среди 1 миллиона лучших веб-сайтов было «настолько низким, насколько ожидалось на данный момент». ^{[ 4 ]}

В 2019 году Агентство по кибербезопасности и безопасности инфраструктуры (CISA) опубликовало проект обязательной оперативной директивы, которая требует от всех федеральных агентств опубликовать файл security.txt в течение 180 дней. ^{[ 6 ]}^{[ 7 ]}

( В декабре 2019 года Руководящая группа по интернет-инжинирингу IESG) выпустила «Последний звонок» для файла Security.txt, который завершился 6 января 2020 года. ^{[ 8 ]}

Исследование, проведенное в 2021 году, показало, что более десяти процентов веб-сайтов из топ-100 опубликовали файл Security.txt, причем процент сайтов, публикующих этот файл, уменьшается по мере рассмотрения большего количества веб-сайтов. ^{[ 9 ]} В исследовании также отмечен ряд несоответствий между стандартом и содержанием файла.

В апреле 2022 года файл security.txt был принят Целевой группой по проектированию Интернета (IETF) как РФК 9116 . ^{[ 1 ]}

Формат файла

Файлы Security.txt могут обслуживаться под /.well-known/ каталог (т.е. /.well-known/security.txt) или каталог верхнего уровня (т.е. /security.txt) веб-сайта. Файл должен передаваться по протоколу HTTPS и в текстовом формате. ^{[ 10 ]}

См. также

Ссылки

^ Jump up to: ^а ^б Фудил, Эдвин; Шафранович, Яков (апрель 2022 г.). Формат файла, помогающий раскрывать уязвимости системы безопасности . IETF . дои : 10.17487/RFC9116 . ISSN 2070-1721 . РФК 9116 . Информационный.
^ «Текстовый файл Telltale: исследователь безопасности предлагает стандарт сообщения об уязвимостях» . Разведка безопасности . Проверено 14 апреля 2019 г.
^ Чимпану, Каталин (29 ноября 2019 г.). «Приложения iOS могут действительно выиграть от недавно предложенного стандарта Security.plist» . ЗДНет . Проверено 16 июня 2020 г.
^ Jump up to: ^а ^б Лейден, Джон (3 января 2018 г.). «Схема поиска ошибок: Тик-так, эта технология проверена на недостатки… но кому, черт возьми, ты об этом скажешь?» . www.theregister.co.uk . Проверено 14 апреля 2019 г.
^ «Предлагается стандарт Security.txt, аналогичный Robots.txt» . Мигающий компьютер . Проверено 14 апреля 2019 г.
^ «CISA ищет комментарии о том, как правительству следует обрабатывать отчеты об уязвимостях» . Расшифровать . Проверено 29 января 2020 г.
^ Кулделл, Хизер (18 декабря 2019 г.). «CISA все еще хочет узнать ваше мнение о своей политике раскрытия уязвимостей» . Nextgov.com . Проверено 29 января 2020 г.
^ «Security.txt — IESG объявляет последний призыв к комментариям по предлагаемому стандарту отчетности об уязвимостях» . Ежедневный глоток | Новости и мнения о кибербезопасности . 12 декабря 2019 г. Проверено 30 марта 2020 г.
^ Потеат, Тара; Ли, Фрэнк (ноябрь 2021 г.). «Кому вы позвоните?: эмпирическая оценка развертывания файла Security.txt на веб-сайте» . IMC '21: Материалы 21-й конференции ACM по интернет-измерениям . Интернет-конференция по измерениям. Онлайн: АКМ. стр. 526–532. дои : 10.1145/3487552.3487841 .
^ «Характеристика принятия файлов Security.txt» (PDF) . Характеристика принятия файлов Security.txt . 11 февраля 2022 г. Проверено 01 марта 2022 г.

Внешние ссылки

[rfc9116-1] Jump up to: ^а ^б Фудил, Эдвин; Шафранович, Яков (апрель 2022 г.). Формат файла, помогающий раскрывать уязвимости системы безопасности . IETF . дои : 10.17487/RFC9116 . ISSN 2070-1721 . РФК 9116 . Информационный.

[2] «Текстовый файл Telltale: исследователь безопасности предлагает стандарт сообщения об уязвимостях» . Разведка безопасности . Проверено 14 апреля 2019 г.

[Cimpanu_2019-3] Чимпану, Каталин (29 ноября 2019 г.). «Приложения iOS могут действительно выиграть от недавно предложенного стандарта Security.plist» . ЗДНет . Проверено 16 июня 2020 г.

[Register-4] Jump up to: ^а ^б Лейден, Джон (3 января 2018 г.). «Схема поиска ошибок: Тик-так, эта технология проверена на недостатки… но кому, черт возьми, ты об этом скажешь?» . www.theregister.co.uk . Проверено 14 апреля 2019 г.

[BleepingComputer-5] «Предлагается стандарт Security.txt, аналогичный Robots.txt» . Мигающий компьютер . Проверено 14 апреля 2019 г.

[Decipher-6] «CISA ищет комментарии о том, как правительству следует обрабатывать отчеты об уязвимостях» . Расшифровать . Проверено 29 января 2020 г.

[Kuldell_2019-7] Кулделл, Хизер (18 декабря 2019 г.). «CISA все еще хочет узнать ваше мнение о своей политике раскрытия уязвимостей» . Nextgov.com . Проверено 29 января 2020 г.

[The_Daily_Swig_|_Cybersecurity_news_and_views_2019-8] «Security.txt — IESG объявляет последний призыв к комментариям по предлагаемому стандарту отчетности об уязвимостях» . Ежедневный глоток | Новости и мнения о кибербезопасности . 12 декабря 2019 г. Проверено 30 марта 2020 г.

[9] Потеат, Тара; Ли, Фрэнк (ноябрь 2021 г.). «Кому вы позвоните?: эмпирическая оценка развертывания файла Security.txt на веб-сайте» . IMC '21: Материалы 21-й конференции ACM по интернет-измерениям . Интернет-конференция по измерениям. Онлайн: АКМ. стр. 526–532. дои : 10.1145/3487552.3487841 .

[Characterizing_the_Adoption_of_Security.txt_Files-10] «Характеристика принятия файлов Security.txt» (PDF) . Характеристика принятия файлов Security.txt . 11 февраля 2022 г. Проверено 01 марта 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]