圖片來源: 

GitHub

安全研究人員Ed Foudil最近提交了新的Security.txt草案予網際網路工程任務小組(Internet Engineering Task Force,IETF),這是一個供網站描述安全政策及聯繫管道的草案,期望讓它標準化以讓安全研究人員與網站之間的溝通更為流暢。

Foudil指出,當獨立安全研究人員發現網路服務的漏洞時,他們經常缺乏適當的揭露管道,於是,這些漏洞可能就沒有修補,進而危害網路安全。

因此,由Foudil所設計的Security.txt標準將允許網站定義安全政策,透過清楚的準則協助安全研究人員回報網站漏洞,此一文字檔描述了網站所允許的漏洞回報範圍、漏洞種類、聯繫管道、安全頁面、抓漏專案、付款方式、獎金規模、獎金捐贈途徑及揭露政策等,也可表明並不希望研究人員測試他們的平台。

Security.txt與robots.txt的用法類似,它們都是被存放於網站根目錄的文字檔案,只是robots.txt定義的是網站的爬梳政策,對象為搜尋引擎,而Security.txt定義的則是網站的安全政策,對象為安全研究人員。


Advertisement

更多 iThome相關內容