Security.txt

קובץ security.txt הוא תקן למדיניות אבטחת מידע של אתרי אינטרנט, שנועד לאפשר לחוקרי אבטחה לדווח בקלות על פרצות אבטחה.^[1][2] התקן קובע את קיומו של קובץ טקסט, בשם "security.txt" ב-URI שקידומתו/.well-known/ (אנ'), שיכיל פרטי התקשרות לצורכי דיווח.

קובץ ה-Security.txt דומה בתחבירו ל-robots.txt אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.^[3]

קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,^[4] שלעיתים אף מפעילות תוכניות Bug bounty, שבמסגרתן הן מתגמלות כספית את המדווחים.

היסטוריה

בטיוטת האינטרנט (אנ'), שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,^[1] הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.

בשנת 2019, הסוכנות לאבטחת סייבר ותשתיות (אנ') (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל הסוכנויות הפדרליות לפרסם קובץ security.txt בתוך 180 יום.^[5][6]

ה-IESG פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.^[7]

באפריל 2022, Security.txt הוסדר רשמית כ-RFC 9116

ראו גם

• robots.txt

קישורים חיצוניים

• אתר האינטרנט הרשמי של Security.txt
• העמוד הרשמי באתר IETF של RFC 9116 : התקן קובץ לעזרה בדיווח על פריצות אבטחה
• קובץ Security.txt לדוגמה, של גוגל

הערות שוליים

ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.