Поле Contact:

Что это?

Директива Contact: - это самый важный и обязательный элемент файла security.txt. Она указывает основной канал связи, по которому исследователи безопасности должны сообщать о найденных уязвимостях

Зачем это нужно?

Без четко указанного контакта исследователи тратят время на поиски нужного адреса или вовсе отказываются от идеи сообщить о проблеме. Это поле устраняет двусмысленность и гарантирует, что критически важная информация попадет напрямую к ответственным за безопасность лицам в вашей компании

Формат и официальные правила (RFC 9116)

• Поле Contact: является обязательным. В файле должна быть как минимум одна такая директива
• Вы можете указать несколько полей Contact:, если у вас есть несколько предпочтительных каналов связи (например, email и веб-форма)
• Значение поля должно быть валидным URI. Стандарт настоятельно рекомендует использовать один из следующих форматов

Примеры использования

1. Электронная почта (самый частый способ)

Указывается с префиксом mailto:. Это позволяет при клике сразу открыть почтовый клиент

Contact: mailto:security@example.com

2. Веб-форма для отправки отчетов

Используется для интеграции с системами отслеживания задач (тикет-системами). Указывается как обычная безопасная ссылка

Contact: https://example.com/security/report-vulnerability

3. Номер телефона

Используется реже, в основном для критически важных инфраструктур, где требуется немедленная голосовая связь. Указывается с префиксом tel:

Contact: tel:+1-201-555-0123

Советы и лучшие практики

• Используйте групповой адрес: Вместо личного email (например, ivanov@example.com) всегда используйте групповой псевдоним (security@example.com), доступ к которому есть у нескольких сотрудников
• Проверяйте доступность: Убедитесь, что указанная почта или веб-форма работают и регулярно проверяются