Security.txt
Op deze pagina:
Security.txt is een gestandaardiseerd tekstbestand met contactinformatie dat je op je webserver plaatst. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen je organisatie op te nemen over kwetsbaarheden die zij in je website of IT-systemen hebben gevonden. Dit kan het verhelpen van de gevonden kwetsbaarheden versnellen, waardoor kwaadwillenden minder kans krijgen om er misbruik van te maken.
Een security.txt bestand moet een uniforme manier bieden voor onderzoekers om die informatie te vinden. Via de RFC-standaard moet het ook mogelijk worden daar geautomatiseerd naar te zoeken.
De inhoud van security.txt
Er moet minimaal contactinformatie in worden opgenomen. Ook moet er een verloopdatum in staan waarin onderzoekers kunnen zien wanneer een bestand niet meer actueel is. Optionele toevoegingen zijn een PGP-sleutel en een voorkeur voor een taal. Ook is het mogelijk alternatieve URL's in te voeren om bij het bestand te komen.
Waar moet security.txt staan
Voor websites moet het security.txt bestand geplaatst worden onder /.well-known/ (RFC8615):
/.well-known/security.txt
Het kan ook worden geplaatst in de root directory (/security.txt) van een website, bijvoorbeeld indien de /.well-known/ directory om technische redenen niet gebruikt kan worden, of simpelweg als een reserve. Het bestand mag tegelijkertijd in beide locaties geplaatst worden.
Het security.txt bestand moet een Internet Media Type van text/plain hebben en via HTTPS verzonden worden.
Website voor security.txt
Er is een website waar je terecht kan voor een security.txt bestand: