实施"security.txt"推动负责任的漏洞披露
在我之前的文章中讨论了DNS中的CAA记录以白名单化证书颁发机构后,你是否知道有人发现你的网络存在、网站或任何面向公众的应用程序存在问题只是时间问题?如果他们发现了,你希望他们怎么做?保密还是"负责任地"向你披露?如果你倡导负责任披露,这篇文章就是为你准备的;否则,你必须跟上现实(我稍后会回来找你!)。
现在,当我们谈论负责任披露时,“行为端正"的黑客或安全研究人员可以通过漏洞赏金渠道、你的info@example邮箱(不推荐)、社交媒体联系你,或者可能正在努力寻找安全渠道。但是,如果你有一种方式来广播你的"安全渠道"详细信息以简化他们的沟通,并为他们提供一个有良好文档记录、管理和寻求的对话渠道呢?这不是很酷吗?瞧,所以robots.txt对于搜索引擎是什么,security.txt对于安全研究人员就是什么!
我知道你可能在想,"……如果我的网站上有一个列出安全联系人的页面呢?“但是,你会把这个页面放在哪里 - 在contact-us、security、information、about-us等下面?这正是security.txt倡导者试图解决的问题 - 标准化文件、路径及其作为RFC 5785一部分的存在。根据他们的网站,
Security.txt定义了一个标准,帮助组织定义安全研究人员安全披露安全漏洞的过程。
该项目仍处于早期阶段¹,但已经收到安全社区的积极反馈,并且像Google²这样的大型科技公司也已经采用了它。在我看来,它很好地倡导了你认真对待安全,并准备与安全社区进行公开对话,如果他们想报告你的网站/应用程序的发现、漏洞或安全问题的話。无论如何,它传递了一个积极的信息!
“security.txt"的语义/格式
由于security.txt遵循标准,以下是一些需要考虑的要点:
- 文件security.txt必须放在你域父目录下的.well-known目录中,即example.com/.well-known/security.txt
- 它记录了以下字段:
注释:文件可以在注释部分包含信息,这是可选的。注释应以#符号开始。
每个单独的字段需要新的一行来定义和表示。
联系:此字段可以是电子邮件地址、电话或安全研究人员可以联系你的页面链接。此字段是强制性的,并且必须在文件中可用。它应遵守RFC3986³关于电子邮件、电话和URI的语法(必须通过HTTPS提供)。可能的例子是:
|
|
加密:如果你希望研究人员加密通信,此指令应链接到你的加密密钥。它不能是密钥本身,而是密钥文件的URI。
签名:如果你想显示文件完整性,可以使用此指令链接到文件的签名。每个签名文件必须命名为security.txt.sig,并可在/.well-known/路径下访问。
政策:你可以使用此指令链接到你的"安全政策”。
致谢:此派生可用于感谢先前的研究人员和发现。它应包含公司和个人名称。
招聘:想招聘人员吗?那么,这是你发布的地方。
来自Google的参考security.txt:
|
|
希望这篇文章让你了解实施security.txt文件的想法及其重要性。
保持安全!
封面图片:Laura Chouette在Unsplash上的照片
¹早期草案发布供RFC审查:https://tools.ietf.org/html/draft-foudil-securitytxt-03 ↩︎
²Google security.txt文件:https://www.google.com/.well-known/security.txt ↩︎
³统一资源标识符:https://tools.ietf.org/html/rfc3986 ↩︎