Security.txt
Security.txt | ||
---|---|---|
Tipo de estándar | formato de archivo | |
Estado | Aceptado | |
Sitio web | securitytxt.org | |
Es un estándar de ciber seguridad para sitios web con el objetivo de facilitar a los investigadores de seguridad que reporten de forma sencilla las vulnerabilidades de seguridad de un sitio web.[1][2] El estándar consta de un archivo de texto simple denominado "security.txt" que deberá estar generalmente en la carpeta well known, dicho archivo tendrá un correo electrónico o un sitio web referente a los asuntos de seguridad, además de poder contener un enlace a una llave PGP para poder comunicarse mediante correo electrónico de manera cifrada.
El archivo de texto "security.txt" es similar a robots.txt pero que pretende ser leído por personas que deseen contactar al dueño o administrador de un sitio web para asuntos de seguridad.[3]
Security.txt ha sido adoptado por Google, GitHub, LinkedIn, y Facebook.[4]
Historia
[editar]La propuesta nació de la necesidad de los investigadores de seguridad y de los cazadores de bugs de querer comunicarse con los propietarios o administrador de un sitio web para poder reportar brechas de seguridad, pero que no tenían un medio de contacto dedicado a ello.
El Borrador de Internet fue entregado por primera vez por Edwin Foudil en septiembre de 2017.[1] En aquel momento abarcaba cuatro directivas: "Contacto", "Cifrado", "Divulgación" y "Reconocimiento". Foudil esperaba añadir aún más directivas basándose en la retroalimentación.[2] En aquel entonces, el experto de seguridad web Scott Helme dijo que había visto una retroalimentación positiva de la comunidad de seguridad, mientras que el uso entre el primer millón de sitios web era "tan bajo como se esperaba para ahora mismo".
En abril de 2022 el archivo security.txt fue aceptado oficialmente por Internet Engineering Task Force (IETF) como el RFC 9116.[5]
Ubicación
[editar]Un archivo security.txt puede estar alojado en la carpeta /.well-known/
(ejemplo. /.well-known/security.txt
) o en la carpeta raíz (ejemplo. /security.txt
) de un sitio web.
Es recomendable que el archivo sea usado en sitios web que usen HTTPS y que esté en formato de texto simple.[6]
Véase también
[editar]Referencias
[editar]- ↑ a b at 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (en inglés). Consultado el 14 de abril de 2019.
- ↑ a b «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (en inglés). Consultado el 14 de abril de 2019.
- ↑ «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (en inglés). Consultado el 14 de abril de 2019.
- ↑ Cimpanu, Catalin (29 de noviembre de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado el 16 de junio de 2020.
- ↑ Foudil, Edwin; Shafranovich, Yakov (April 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org.
- ↑ «Characterizing the Adoption of Security.txt Files». Characterizing the Adoption of Security.txt Files. 11 de febrero de 2022. Consultado el 1 de marzo de 2022.