安全研究人员鼓吹Security.txt网路标準盼网站充份揭露安全政策

GitHub

安全研究人员Ed Foudil最近提交了新的Security.txt草案予网际网路工程任务小组（Internet Engineering Task Force，IETF），这是一个供网站描述安全政策及联繫管道的草案，期望让它标準化以让安全研究人员与网站之间的沟通更为流畅。

Foudil指出，当独立安全研究人员发现网路服务的漏洞时，他们经常缺乏适当的揭露管道，于是，这些漏洞可能就没有修补，进而危害网路安全。

因此，由Foudil所设计的Security.txt标準将允许网站定义安全政策，透过清楚的準则协助安全研究人员回报网站漏洞，此一文字档描述了网站所允许的漏洞回报範围、漏洞种类、联繫管道、安全页面、抓漏专案、付款方式、奖金规模、奖金捐赠途径及揭露政策等，也可表明并不希望研究人员测试他们的平台。

Security.txt与robots.txt的用法类似，它们都是被存放于网站根目录的文字档案，只是robots.txt定义的是网站的爬梳政策，对象为搜寻引擎，而Security.txt定义的则是网站的安全政策，对象为安全研究人员。