Security.txt

security.txt é um padrão aceito para reunir informações de segurança de um site, e tem como objetivo, permitir que os pesquisadores de segurança possam informar facilmente as vunerabilidades de segurança.^[1] O padrão prescreve um arquivo de texto chamado security.txt em um local bem conhecido, com sintaxe semelhante ao arquivo robots.txt destinado a ser legível por máquinas e humanos, para aqueles que desejam entrar em contato com o proprietário de um site sobre questões de segurança.^[2] Esse padrão foi Adotado pela Google, GitHub, Linkedin, e Facebook.^[3]

História[editar | editar código-fonte]

O Internet Draft foi inicialmente submetido por Edwin Foudil em setembro de 2017.^[4] Naquele momento, ele abordava quatro diretrizes: "Contato", "Criptografia", "Divulgação" e "Reconhecimento". Foudil esperava adicionar mais diretrizes com base no feedback recebido.^[5] Além disso, o especialista em segurança na web, Scott Helme, disse ter recebido feedback positivo da comunidade de segurança, embora o uso entre os 1 milhão de principais sites fosse "tão baixo quanto esperado no momento".

Em 2019, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) publicou um projeto de diretriz operacional vinculativa que exige que todas as agências federais publiquem um arquivo security.txt dentro de 180 dias.^[6]^[7]

O Internet Engineering Steering Group (IESG) emitiu uma Last Call para o arquivo security.txt em dezembro de 2019, que terminou em 6 de janeiro de 2020.^[8]

Um estudo feito em 2021 descobriu que mais 10% dos 100 principais sites, publicaram um arquivo com nome security.txt, entretanto, a porcentagem de sites que publicam o arquivo diminuiu conforme mais sites foram considerados.^[9] O estudo também observou uma série de discrepâncias entre o padrão e o conteúdo do arquivo.

Em abril de 2022, a (IETF) aceitou o arquivo security.txt como RFC 9116.

Formato de arquivo[editar | editar código-fonte]

Os arquivos security.txt podem ser encontrados nos diretórios /.well-known/ ou no nível superior, apenas com o proprio nome nos arquivos de um site. O arquivo deve ser veiculado por HTTPS e em formato de texto simples.^[10]

Ver também[editar | editar código-fonte]

robôs.txt

Referências

↑ Foudil, Edwin; Shafranovich, Yakov (6 de abril de 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org
↑ «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (em inglês). Consultado em 14 de abril de 2019
↑ Cimpanu, Catalin (29 de novembro de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado em 16 de junho de 2020
↑ at 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (em inglês). Consultado em 14 de abril de 2019
↑ «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (em inglês). Consultado em 14 de abril de 2019
↑ «CISA Seeks Comments on How Government Should Handle Vulnerability Reports». Decipher. Consultado em 29 de janeiro de 2020
↑ Kuldell, Heather (18 de dezembro de 2019). «CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy». Nextgov.com. Consultado em 29 de janeiro de 2020
↑ «Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard». The Daily Swig | Cybersecurity news and views. 12 de dezembro de 2019. Consultado em 30 de março de 2020
↑ Poteat, Tara; Li, Frank (Novembro de 2021). «Who you gonna call?: an empirical evaluation of website security.txt deployment». IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM. pp. 526–532. doi:10.1145/3487552.3487841
↑ «Characterizing the Adoption of Security.txt Files» (PDF). Characterizing the Adoption of Security.txt Files. 11 de fevereiro de 2022. Consultado em 1 de março de 2022

[:02-1] Foudil, Edwin; Shafranovich, Yakov (6 de abril de 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org

[2] «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (em inglês). Consultado em 14 de abril de 2019

[Cimpanu_2019-3] Cimpanu, Catalin (29 de novembro de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado em 16 de junho de 2020

[Register2-4] t 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (em inglês). Consultado em 14 de abril de 2019

[BleepingComputer2-5] «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (em inglês). Consultado em 14 de abril de 2019

[Decipher3-6] «CISA Seeks Comments on How Government Should Handle Vulnerability Reports». Decipher. Consultado em 29 de janeiro de 2020

[Kuldell_20193-7] Kuldell, Heather (18 de dezembro de 2019). «CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy». Nextgov.com. Consultado em 29 de janeiro de 2020

[The_Daily_Swig_|_Cybersecurity_news_and_views_20192-8] «Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard». The Daily Swig | Cybersecurity news and views. 12 de dezembro de 2019. Consultado em 30 de março de 2020

[9] Poteat, Tara; Li, Frank (Novembro de 2021). «Who you gonna call?: an empirical evaluation of website security.txt deployment». IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM. pp. 526–532. doi:10.1145/3487552.3487841

[Characterizing_the_Adoption_of_Security.txt_Files2-10] «Characterizing the Adoption of Security.txt Files» (PDF). Characterizing the Adoption of Security.txt Files. 11 de fevereiro de 2022. Consultado em 1 de março de 2022

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]