Ce este security.txt?

Fisier standard care indica cum sa raportezi vulnerabilitati

Definiție security.txt

security.txt (RFC 9116) este un fisier plasat la /.well-known/security.txt care indica cercetatorilor de securitate cum sa raporteze vulnerabilitati gasite pe site-ul tau: email de contact, cheie PGP, politica de divulgare. Fara el, cercetatorii nu stiu pe cine sa contacteze, iar vulnerabilitatile pot ramane neraportate.

De ce contează security.txt

Fisierul /.well-known/security.txt, standardizat in RFC 9116, ofera cercetatorilor de securitate o metoda clara de a raporta vulnerabilitati pe care le descopera pe site-ul tau. Fara un canal oficial de raportare, vulnerabilitatile raman neraportate sau sunt publicate direct, crescand riscul de exploatare.

Cum verifici security.txt

SoftAudit verifica existenta fisierului la /.well-known/security.txt si parseaza continutul conform RFC 9116. Valideaza prezenta campurilor obligatorii Contact si Expires, semnatura PGP daca exista si verifica ca URL-urile de contact sunt functionale.

Greșeli frecvente

Crearea fisierului fara campul Expires lasa o adresa de contact care poate deveni invalida in timp, fara ca nimeni sa stie. Alta eroare este sa pui adresa de email generica (info@) care nu este monitorizata de echipa de securitate, intarziind raspunsul la raportari critice.

Bune practici

Creaza fisierul la /.well-known/security.txt cu Contact (adresa dedicata securitatii), Expires (maxim un an), Preferred-Languages si optional o politica de responsible disclosure. Semneaza fisierul cu PGP pentru autenticitate si seteaza un reminder sa il reinnoiesti inainte de expirare.