安全研究人員鼓吹Security.txt網路標準，盼網站充份揭露安全政策

安全研究人員Ed Foudil最近提交了新的Security.txt草案予網際網路工程任務小組（Internet Engineering Task Force，IETF），這是一個供網站描述安全政策及聯繫管道的草案，期望讓它標準化以讓安全研究人員與網站之間的溝通更為流暢。

Foudil指出，當獨立安全研究人員發現網路服務的漏洞時，他們經常缺乏適當的揭露管道，於是，這些漏洞可能就沒有修補，進而危害網路安全。

因此，由Foudil所設計的Security.txt標準將允許網站定義安全政策，透過清楚的準則協助安全研究人員回報網站漏洞，此一文字檔描述了網站所允許的漏洞回報範圍、漏洞種類、聯繫管道、安全頁面、抓漏專案、付款方式、獎金規模、獎金捐贈途徑及揭露政策等，也可表明並不希望研究人員測試他們的平台。

Security.txt與robots.txt的用法類似，它們都是被存放於網站根目錄的文字檔案，只是robots.txt定義的是網站的爬梳政策，對象為搜尋引擎，而Security.txt定義的則是網站的安全政策，對象為安全研究人員。