security.txt es un estándar propuesto para la información de seguridad de los sitios web que está destinado a permitir a los investigadores de seguridad informar fácilmente las vulnerabilidades de seguridad. [1] [2] El estándar prescribe un archivo de texto llamado "security.txt" en la ubicación conocida , similar en sintaxis a robots.txt pero destinado a ser leído por personas que deseen contactar al propietario de un sitio web sobre cuestiones de seguridad. [3] Los archivos security.txt han sido adoptados por Google , GitHub , LinkedIn y Facebook . [4]
Un método para las políticas de seguridad web | |
Estado | Publicado |
---|---|
Año iniciado | 2017 |
Publicado por primera vez | Septiembre de 2017 |
Ultima versión | 11 11 de marzo de 2021 |
Autores | Edwin Foudil |
Sitio web | securitytxt |
Historia
El Borrador de Internet fue presentado por primera vez por Edwin Foudil en septiembre de 2017. [1] En ese momento cubría cuatro directivas, "Contacto", "Cifrado", "Divulgación" y "Reconocimiento". Foudil esperaba agregar más directivas basadas en comentarios. [2] Además, el experto en seguridad web Scott Helme dijo que había visto comentarios positivos de la comunidad de seguridad, mientras que el uso entre el millón de sitios web principales era "tan bajo como se esperaba en este momento". [1]
En 2019, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un borrador de directiva operativa vinculante que requiere que todas las agencias federales publiquen un archivo security.txt en un plazo de 180 días. [5] [6]
El Grupo Directivo de Ingeniería de Internet (IESG) emitió una Última Convocatoria para security.txt en diciembre de 2019 que finalizó el 6 de enero de 2020. [7]
Ver también
Referencias
- ^ a b c a las 13:47, John Leyden 3 de enero de 2018. "Esquema de los buscadores de errores: tic-tac, esta tecnología está probada por fallas ... pero ¿a quién diablos le dices?" . www.theregister.co.uk . Consultado el 14 de abril de 2019 .
- ^ a b "Estándar de Security.txt propuesto, similar a Robots.txt" . BleepingComputer . Consultado el 14 de abril de 2019 .
- ^ "El archivo de texto revelador: investigador de seguridad propone estándar para informar vulnerabilidades" . Inteligencia de seguridad . Consultado el 14 de abril de 2019 .
- ^ Cimpanu, Catalin (29 de noviembre de 2019). "Las aplicaciones de iOS realmente podrían beneficiarse del estándar Security.plist recientemente propuesto" . ZDNet . Consultado el 16 de junio de 2020 .
- ^ "CISA busca comentarios sobre cómo el gobierno debe manejar los informes de vulnerabilidad" . Descifrar . Consultado el 29 de enero de 2020 .
- ^ Kuldell, Heather (18 de diciembre de 2019). "CISA todavía quiere sus opiniones sobre su política de divulgación de vulnerabilidades" . Nextgov.com . Consultado el 29 de enero de 2020 .
- ^ "Security.txt - IESG emite una última convocatoria de comentarios sobre el estándar propuesto para informes de vulnerabilidades" . El trago diario | Noticias y opiniones sobre ciberseguridad . 2019-12-12 . Consultado el 30 de marzo de 2020 .