实施"security.txt"推动负责任的漏洞披露
Cyber Sins and Security - Rishi Narang的博客
2018年2月28日 / 安全
在上一篇文章讨论了DNS中的CAA记录以白名单化证书颁发机构后,你是否意识到有人发现你的网络存在、网站或任何面向公众的应用程序存在问题只是时间问题?如果他们发现了,你希望他们怎么做?保密,还是"负责任地"向你披露?如果你倡导负责任披露,这篇文章就是为你准备的;否则,你必须跟上现实(我稍后会再来找你!)。
现在,当我们谈论负责任披露时,“行为端正"的黑客或安全研究人员可以通过漏洞赏金渠道、你的info@example邮箱(不推荐)、社交媒体联系你,或者可能会努力寻找安全渠道。但是,如果你有一种方式广播你的"安全渠道"详细信息,以简化他们的沟通,并为他们提供一个有良好文档记录、管理和寻求的对话渠道呢?这不是很酷吗?瞧,就像robots.txt对搜索引擎一样,security.txt对安全研究人员也是如此!
我知道你可能在想,"……如果我的网站上有一个列出安全联系人的页面呢?“但是,你会把这个页面放在哪里——联系我们、安全、信息、关于我们等下面?这正是security.txt倡导者试图解决的问题——标准化文件、路径及其作为RFC 5785一部分的存在。根据他们的网站,
Security.txt定义了一个标准,帮助组织定义安全研究人员安全披露安全漏洞的过程。
该项目仍处于早期阶段¹,但已经收到安全社区的积极反馈,并且像Google²这样的大型科技公司也已经采用了它。在我看来,它很好地倡导了你认真对待安全,并准备与安全社区进行开放对话,如果他们想报告你的网站/应用程序的发现、漏洞或安全问题时。无论如何,它传递了一个积极的信息!
“security.txt"的语义/格式
由于security.txt遵循标准,以下是一些需要考虑的要点,
- 文件security.txt必须放在域父目录下的.well-known目录中,即example.com/.well-known/security.txt
- 它记录了以下字段,
- Comments: 文件可以在注释部分包含信息,这是可选的。注释应以#符号开头。
- 每个单独的字段需要新的一行来定义和表示。
- Contact: 此字段可以是电子邮件地址、电话或安全研究人员可以联系你的页面链接。此字段是强制性的,并且必须在文件中可用。它应遵守RFC3986³的电子邮件、电话和URI语法(必须通过HTTPS提供)。可能的例子是,
- Contact: mailto:[email protected].
- Contact: tel:+1-201-555-0123
- Contact: https://example.com/security-contact.html
- Encryption: 如果你希望研究人员加密通信,此指令应链接到你的加密密钥。它不能是密钥,而是密钥文件的URI。
- Signature: 如果你想显示文件完整性,可以使用此指令链接到文件的签名。每个签名文件必须命名为security.txt.sig,并可在/.well-known/路径下访问。
- Policy: 你可以使用此指令链接到你的"安全政策”。
- Acknowledgement: 此派生可用于承认先前的研究人员和发现。它应包含公司和个人名称。
- Hiring: 想招聘人员?那么,这是你发布的地方。
从Google提取的参考security.txt,
|
|
希望这篇文章让你了解实施security.txt文件的想法及其重要性。
保持安全!
封面图片:Laura Chouette在Unsplash上的照片
¹早期草案发布供RFC审查:https://tools.ietf.org/html/draft-foudil-securitytxt-03 ↩︎
²Google security.txt文件:https://www.google.com/.well-known/security.txt ↩︎
³统一资源标识符:https://tools.ietf.org/html/rfc3986 ↩︎