Security.txt, web sitelerinin güvenlik politikalarını tanımlamasına izin veren bir standarttır. Security.txt dosyası, güvenlik sorunlarının nasıl bildirileceği konusunda güvenlik araştırmacıları için açık yönergeler belirler.
Security.txt Google için kullandığınız robots.txt’den pek de farksız değildir. Konu hakkın yapılan açıklama ise şu şekildedir.
“When security risks in web services are discovered by independent security researchers who understand the severity of the risk, they often lack the channels to properly disclose them. As a result, security issues may be left unreported. Security.txt defines a standard to help organizations define the process for security researchers to securely disclose security vulnerabilities.”
Yani güvenlik araştırmacıları kimi zaman buldukları açıklıkları veya kusurlu gördükleri yerleri raporlamak isteyeceklerdir ancak iletişim kanalları olmadığı zaman güvenlik sorunlarını bildirmeyeceklerdir. Web sitemiz için oluşturacağımız security.txt dosyamız /.well-known/ içerisinde olmalıdır. Ayrıca sitenizin ana dizinine de ekleyebilirsiniz. Bu well-kown olayının ne olduğuna bakmak için RFC 5785 göz atabilirsiniz.
Security.txt dosyasını oluşturmak için dikkat edilecek hususlar
Contact
Araştırmacıların güvenlik sorunlarını bildirmek için kullanabilecekleri adrestir. Değer bir e-posta adresi, bir telefon numarası ve / veya bir iletişim sayfası olabilir. Kullanılması ZORUNLUDUR.
Encryption
İstediğiniz bir şifreleme anahtarını göstermenizi sağlar. Güvenlik araştırmacıları şifreli olarak sizinle iletişim kurmak isterlerse kullanacaklardır. Açık anahtarınız doğrudan buraya eklenemeyeceği için pgp-key.txt adıyla siteniz içerisine ekleme yapıp linkleme yapmalısınız. Açık anahtar bir web sitesinden alınacaksa web sitesi HTTPS desteklemeli ve üzerinden linkleme işlemi gerçekleştirilmelidir.
Acknowledgments
Güvenlik araştırmacılarının adlarının geçeceği bir alan belirtmek isterseniz kullanabilirsiniz.
Policy
Güvenlik araştırmacılarına nasıl raporlar sunabileceklerini ve dikkat edilmesi gereken kuralları belirteceğiniz alandır. Bu alanda isteğinize bağlı olarak gizlilik koşulları ve/veya güvenlik politika sayfalarını sunabilirsiniz. Farklı bir sayfa eklenecek ise güvenlik politikalarında sayfa içerisine eklemeyi unutmayınız.
Signature
Bir security.txt dosyasının güvenilirliğini sağlamak için kullanılacak olan imzadır. İmzanın tamamı yazılamayacağı için web sitesinden URL verilmesi gerekmekte ve Encryption gibi eklenmiş olan link HTTPS içermelidir.
Hiring
İlgili iş alanlarının sergilenebileceği bölümdür. Güvenlik araştırmacılarına iş imkânı sağlamak isterseniz bu bölümü kullanabilirsiniz.
Örnek Kullanım
Web sitenize eklemek isterseniz aşağıdaki örneği göz önünde bulundurabilirsiniz. İletişim kurulabilecek yerleri Contact altında belirtebilirsiniz. Herhangi bir sınır bulunmadığı için ben 3 adet eklemeyi tercih ettim. Politika olarak gizlilik sözleşmemizi ekleyip güvenilir kaynak olarakta ilerişim alanımızdaki formu kullanmalarını söyledim.
Contact: mgokgoz@horus.com.tr
Contact: admin@mertcangokgoz.com
Contact: https://twitter.com/mertcangokgoz
Policy: https://mertcangokgoz.com/gizlilik-politikasi/
Encryption: https://mertcangokgoz.com/iletisim/