Security.txt

מתוך ויקיפדיה, האנציקלופדיה החופשית
קובץ security.txt לדוגמה

קובץ security.txt הוא תקן למדיניות אבטחת מידע של אתרי אינטרנט, שנועד לאפשר לחוקרי אבטחה לדווח בקלות על פרצות אבטחה.[1][2] התקן קובע את קיומו של קובץ טקסט, בשם "security.txt" ב-URI שקידומתו/.well-known/ (אנ'), שיכיל פרטי התקשרות לצורכי דיווח.

קובץ ה-Security.txt דומה בתחבירו ל-robots.txt אך מיועד לקריאה על ידי בני אדם המעוניינים ליצור קשר עם הבעלים של אתר אינטרנט בנוגע לבעיות אבטחה, לצורך דיווח עליהן.[3]

קובצי security.txt אומצו על ידי חברות טכנולוגיה גדולות,[4] שלעיתים אף מפעילות תוכניות Bug bounty, שבמסגרתן הן מתגמלות כספית את המדווחים.

היסטוריה[עריכת קוד מקור | עריכה]

בטיוטת האינטרנט (אנ'), שהוגשה לראשונה על ידי אדווין פודיל בספטמבר 2017,[1] הופיעה ההנחיה לאפשר יצירת קשר עם בעלי האתר ומפעיליו.

בשנת 2019, הסוכנות לאבטחת סייבר ותשתיות (אנ') (CISA) פרסמה טיוטת הנחיה תפעולית מחייבת המחייבת את כל הסוכנויות הפדרליות לפרסם קובץ security.txt בתוך 180 יום.[5][6]

ה-IESG פרסם בדצמבר 2019 קריאה אחרונה להטמעת security.txt, שהסתיימה בינואר 2020.[7]

באפריל 2022, Security.txt הוסדר רשמית כ־RFC מספר 9116.[8]

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ 1 2 at 13:47, John Leyden 3 Jan 2018. "Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?". www.theregister.co.uk (באנגלית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
  2. ^ "Security.txt Standard Proposed, Similar to Robots.txt". BleepingComputer (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
  3. ^ "The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities". Security Intelligence (באנגלית אמריקאית). ארכיון מ-2019-04-14. נבדק ב-2019-04-14.
  4. ^ Cimpanu, Catalin (2019-11-29). "iOS apps could really benefit from the newly proposed Security.plist standard". ZDNet. ארכיון מ-2020-08-11. נבדק ב-2020-06-16.
  5. ^ "CISA Seeks Comments on How Government Should Handle Vulnerability Reports". Decipher. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
  6. ^ Kuldell, Heather (2019-12-18). "CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy". Nextgov.com. ארכיון מ-2020-01-29. נבדק ב-2020-01-29.
  7. ^ "Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard". The Daily Swig | Cybersecurity news and views. 2019-12-12. ארכיון מ-2020-09-21. נבדק ב-2020-03-30.
  8. ^ RFC 9116: Internet Engineering Task Force (IETF), A File Format to Aid in Security Vulnerability Disclosure, rfc editor, ‏April 2022
Crystal Clear app ktalkd.png ערך זה הוא קצרמר בנושא מחשבים. אתם מוזמנים לתרום לוויקיפדיה ולהרחיב אותו.