Security.txt
security.txt é um padrão aceito para reunir informações de segurança de um site, e tem como objetivo, permitir que os pesquisadores de segurança possam informar facilmente as vunerabilidades de segurança.[1] O padrão prescreve um arquivo de texto chamado security.txt em um local bem conhecido, com sintaxe semelhante ao arquivo robots.txt destinado a ser legível por máquinas e humanos, para aqueles que desejam entrar em contato com o proprietário de um site sobre questões de segurança.[2] Esse padrão foi Adotado pela Google, GitHub, Linkedin, e Facebook.[3]
História
O Internet Draft foi inicialmente submetido por Edwin Foudil em setembro de 2017.[4] Naquele momento, ele abordava quatro diretrizes: "Contato", "Criptografia", "Divulgação" e "Reconhecimento". Foudil esperava adicionar mais diretrizes com base no feedback recebido.[5] Além disso, o especialista em segurança na web, Scott Helme, disse ter recebido feedback positivo da comunidade de segurança, embora o uso entre os 1 milhão de principais sites fosse "tão baixo quanto esperado no momento".
Em 2019, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) publicou um projeto de diretriz operacional vinculativa que exige que todas as agências federais publiquem um arquivo security.txt dentro de 180 dias.[6][7]
O Internet Engineering Steering Group (IESG) emitiu uma Last Call para o arquivo security.txt em dezembro de 2019, que terminou em 6 de janeiro de 2020.[8]
Um estudo feito em 2021 descobriu que mais 10% dos 100 principais sites, publicaram um arquivo com nome security.txt, entretanto, a porcentagem de sites que publicam o arquivo diminuiu conforme mais sites foram considerados.[9] O estudo também observou uma série de discrepâncias entre o padrão e o conteúdo do arquivo.
Em abril de 2022, a (IETF) aceitou o arquivo security.txt como RFC 9116.
Formato de arquivo
Os arquivos security.txt podem ser encontrados nos diretórios /.well-known/
ou no nível superior, apenas com o proprio nome nos arquivos de um site. O arquivo deve ser veiculado por HTTPS e em formato de texto simples.[10]
Ver também
Referências
- ↑ Foudil, Edwin; Shafranovich, Yakov (6 de abril de 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org
- ↑ «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (em inglês). Consultado em 14 de abril de 2019
- ↑ Cimpanu, Catalin (29 de novembro de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado em 16 de junho de 2020
- ↑ at 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (em inglês). Consultado em 14 de abril de 2019
- ↑ «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (em inglês). Consultado em 14 de abril de 2019
- ↑ «CISA Seeks Comments on How Government Should Handle Vulnerability Reports». Decipher. Consultado em 29 de janeiro de 2020
- ↑ Kuldell, Heather (18 de dezembro de 2019). «CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy». Nextgov.com. Consultado em 29 de janeiro de 2020
- ↑ «Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard». The Daily Swig | Cybersecurity news and views. 12 de dezembro de 2019. Consultado em 30 de março de 2020
- ↑ Poteat, Tara; Li, Frank (Novembro de 2021). «Who you gonna call?: an empirical evaluation of website security.txt deployment». IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM. pp. 526–532. doi:10.1145/3487552.3487841
- ↑ «Characterizing the Adoption of Security.txt Files» (PDF). Characterizing the Adoption of Security.txt Files. 11 de fevereiro de 2022. Consultado em 1 de março de 2022