🛡️ Создайте стандарт безопасности для вашего сайта за 60 секунд
mailto:, веб-форму https:// или tel:
# Заполните поля слева...
security.txt — это стандартизированный текстовый файл, который размещается на веб-сайте для упрощения коммуникации с исследователями безопасности. Это своего рода «визитка» для этичных хакеров, которая говорит: «Мы серьезно относимся к безопасности и готовы к сотрудничеству»
Чтобы автоматические сканеры и исследователи могли найти ваш файл, он должен располагаться по одному из двух стандартных путей:
/.well-known/
https://securitytxt.ru/.well-known/security.txthttps://securitytxt.ru/security.txtНастоятельно рекомендуется использовать первый, предпочтительный вариант (/.well-known/). Важно также, чтобы ваш сервер отдавал этот файл с правильным HTTP-заголовком Content-Type: text/plain; charset=utf-8
Contact:Что это? — Самое важное и обязательное поле. Это прямой канал связи для исследователей безопасности
Зачем нужно? — Чтобы любой, кто нашел уязвимость, мог немедленно и без труда сообщить о ней ответственным лицам в вашей компании
Contact:, если у вас есть несколько каналов для связиmailto:security@example.com — для электронной почты. Рекомендуется использовать специальный адрес, а не личныйhttps://example.com/report-vulnerability — для веб-формы. Идеально для крупных компаний, где отчеты должны попадать в тикет-системуtel:+1-201-555-0123 — для номера телефона. Используется реже, в основном для критически важных системExpires:Что это? — Обязательное поле, указывающее "срок годности" файла security.txt
Зачем нужно? — Оно гарантирует, что информация в файле регулярно проверяется и остается актуальной. Если дата истекла, исследователи поймут, что указанным контактам, возможно, нельзя доверять
ГГГГ-ММ-ДДTчч:мм:ссZ
Z в конце означает время по Гринвичу (UTC). Наш генератор автоматически добавляет егоEncryption:Что это? — Необязательное поле, содержащее ссылку на ваш открытый PGP-ключ
Зачем нужно? — Для защиты информации об уязвимости. Исследователь сможет зашифровать свое сообщение, и прочитать его сможете только вы. Это крайне важно для предотвращения утечки критических данных до того, как уязвимость будет исправлена
.asc)openpgp4fpr:Encryption: https://example.com/pgp_key.ascAcknowledgments:Что это? — Необязательное поле со ссылкой на страницу, где вы публично благодарите исследователей
Зачем нужно? — Это отличный способ мотивировать сообщество. Публичное признание заслуг ("Зал славы" или "Hall of Fame") повышает репутацию как исследователя, так и вашей компании, показывая, что вы цените чужой труд
Acknowledgments: https://example.com/hall-of-famePolicy:Что это? — Необязательное поле со ссылкой на вашу Политику Раскрытия Уязвимостей (Vulnerability Disclosure Policy, VDP)
Зачем нужно? — VDP — это документ, который объясняет "правила игры". В нем вы указываете, какие системы можно тестировать, какие типы уязвимостей вас интересуют, обещаете ли вы вознаграждение (Bug Bounty) и гарантируете ли "неприкосновенность" исследователям, действующим в рамках правил
Policy: https://example.com/vulnerability-policyHiring:Что это? — Необязательное поле со ссылкой на вакансии в сфере информационной безопасности
Зачем нужно? — Исследователи, которые находят уязвимости в ваших системах, — это потенциально лучшие кандидаты на работу в вашей команде безопасности. Это поле — прямой способ их привлечь
Hiring: https://example.com/security-careersPreferred-Languages:Что это? — Необязательное поле, указывающее, на каких языках вы предпочитаете получать отчеты
Зачем нужно? — Устраняет языковой барьер. Если ваша команда говорит только на определенных языках, это поле поможет избежать недопонимания и ускорит обработку отчетов
Preferred-Languages: en, ru, de