Поле Encryption:

Что это?

Директива Encryption: - это настоятельно рекомендуемое, но необязательное поле. Оно содержит URI, указывающий на открытый ключ шифрования (обычно PGP/GPG), который исследователи должны использовать для отправки вам конфиденциальной информации

Зачем это нужно?

Отчет об уязвимости - это крайне чувствительная информация. Если отправить его по email в открытом виде, он может быть перехвачен злоумышленниками. Шифрование гарантирует, что прочитать сообщение сможете только вы (владелец соответствующего закрытого ключа). Это защищает и вас, и исследователя, и ваших пользователей от преждевременного раскрытия деталей уязвимости

Формат и официальные правила (RFC 9116)

• Поле Encryption: является необязательным
• Вы можете указать несколько таких директив, если у вас есть несколько ключей
• Значение должно быть валидным URI, ведущим на файл с открытым ключом
• Ключ должен быть доступен для скачивания по указанной ссылке

Примеры использования

1. Прямая ссылка на файл ключа

Самый распространенный способ. Вы загружаете свой открытый ключ (файл с расширением .asc или .pgp) на сайт и даете на него ссылку

Encryption: https://example.com/pgp/security-team.asc

2. Ссылка на ключ на сервере ключей

Можно указать ссылку на ваш ключ, размещенный на публичном сервере ключей, например, keys.openpgp.org

Encryption: https://keys.openpgp.org/vks/v1/by-fingerprint/0AEC13242B4484D342D68C2E73B06B4A0B6B8A04

3. Использование отпечатка ключа (для продвинутых)

Формат openpgp4fpr: позволяет указать "отпечаток" (fingerprint) ключа. Клиентские программы исследователя могут использовать его для автоматического поиска ключа на серверах

Encryption: openpgp4fpr:0AEC13242B4484D342D68C2E73B06B4A0B6B8A04