security.txt är nu RFC 9116
Efter fem års arbete är nu äntligen security.txt fastslagen standard informational och har fått RFC 9116. Security.txt är en fil som företag, organisationer och privatpersoner kan placera på sin webbserver för att peka ut lämpliga kontaktvägar för den som identifierar en säkerhetsbrist.
Bakom arbetet med att standardisera denna text-fil står EdOverflow och Yakov Shafranovich. Flertalet stora och kända organisationer såsom Google, Facebook och Github använder sig av denna text-fil.
Om du vill skapa upp en sådan fil själv så kan du använda verktyget som återfinnes här:
Och det finns även ett Github-repo för den som vill hjälpa till med utvecklingen av security.txt här:
Exempel på hur en fil som är placerad under https://example.com/.well-known/security.txt kan se ut:
# Our security address Contact: mailto:[email protected] # Our OpenPGP key Encryption: https://example.com/pgp-key.txt # Our security policy Policy: https://example.com/security-policy.html # Our security acknowledgments page Acknowledgments: https://example.com/hall-of-fame.html Expires: 2021-12-31T18:37:07z
Tyvärr har dock kryptera.se ingen sådan fil ännu, men det kommer vilket år som helst.
Update: Glömde givetvis att länka till själva RFC:n som du hittar här.