Al desplegar este fichero de texto, los investigadores de ciberseguridad pueden obtener información para informar correctamente sobre vulnerabilidades.
Al encontrar vulnerabilidades, muchas veces ven la ausencia de medios para reportar. Como resultado, las compañías acaban sin conocer los fallos encontrados por terceros.
En la práctica, es tan sencillo como que una web cuelgue en su página un security.txt que describa qué política prefiere seguir cuando alguien quiere reportarle un fallo en ciberseguridad. El estándar permite que el formato sea totalmente legible, inequívoco y completo.
Un ejemplo sencillo de este recurso podría ser:
# Our security address
Contact: mailto:security@example.com
# Our OpenPGP key
Encryption: https://example.com/pgp-key.txt
# Our security policy
Policy: https://example.com/security-policy.html
# Our security acknowledgments page
Acknowledgments: https://example.com/hall-of-fame.html
Expires: 2021-12-31T18:37:07z
Aunque por herencia puede ser encontrado en la raíz, el archivo security.txt debe ser colocado en la ruta /.well-known/
Más información:
https://www.rfc-editor.org/rfc/rfc9116
Que te diviertas!
Entradas
No hay comentarios:
Publicar un comentario