Security.txt Un estándar propuesto de Seguridad que necesitas en tu sitio web

Un estándar propuesto que permite a los sitios web definir políticas de seguridad. “Cuando los riesgos de seguridad en los servicios web son descubiertos por investigadores de seguridad independientes que entienden la gravedad del riesgo, a menudo carecen de los canales para divulgarlos adecuadamente”.

Como resultado, los problemas de seguridad pueden dejarse sin informar. security.txt define un estándar para ayudar a las organizaciones a definir el proceso para que los investigadores de seguridad divulguen las vulnerabilidades de seguridad de forma segura “.

 

¿Cuál es el propósito principal de security.txt?

El objetivo principal de security.txt es facilitar las cosas para las empresas y los investigadores de seguridad al tratar de proteger las plataformas. Gracias a security.txt, los investigadores de seguridad pueden ponerse en contacto fácilmente con las empresas sobre cuestiones de seguridad.

 

¿Security.txt es un RFC?

security.txt es actualmente un borrador de Internet que se ha enviado para su revisión RFC. Esto significa que security.txt aún se encuentra en las primeras etapas de desarrollo. Pueden encontrar el proyecto en GitHub en https://github.com/securitytxt/security-txt

 

¿Dónde debería poner el archivo security.txt?

El archivo security.txt debe colocarse en la ruta /.well-known/ (/.well-known/security.txt)  de acuerdo al estándar [RFC5785].

 

¿Como Crear un archivo security.txt ?

El archivo security.txt es un archivo de texto simple, muy parecido al robots.txt, que contiene información crucial sobre a quién contactar o dónde buscar información relacionada con la seguridad de su sitio web. Puede leer el RFC y consultar el sitio web securitytxt.org para obtener más detalles.

Un ejemplo de archivo de security.txt, es el ocupado por el sitio web Resolucion.Club, que te mostramos a continuación:

# https://securitytxt.org/
# /.well-known/ path (/.well-known/security.txt) [RFC5785].
Contact: info@Resolucion.Club
Contact: http://facebook.com/Resolucion.Club
Policy: http://resolucion.club/politica
Hiring: http://resolucion.club/info

Las primeras dos lineas, muestran comentarios dentro del archivo, el resto, proporcionan la información requerida para poderse comunicar con el personal responsable para solventar las vulnerabilidades de el sitio web.

Esta pequeña información simple le da al investigador exactamente la información que necesita si alguna vez quiere ponerse en contacto con el personal responsable del sitio web. También es Altamente recomendado que tengas la misma configuración de archivos en los encabezados de seguridad y URI de informe .

Puedes ver el archivo en sus direccion aquí:
http://Resolucion.Club/.well-known/security.txt

Si usted o su organización tienen una dirección de correo electrónico que debe usarse para informar asuntos relacionados con la seguridad, le recomiendo que configure un archivo security.txt. Es simple y fácil de hacer, realmente no va a costar nada y podría ahorrar un tiempo crucial en caso de que un investigador necesite comunicarse con la persona adecuada para informar un problema grave.

Una forma rápida y fácil de crear un archivo security.txt, es ocupando la herramienta del sitio web oficial

 

¿Agregar una dirección de correo electrónico me expondrá a bots de spam?

El valor del correo electrónico es un campo opcional. Si le preocupa el correo no deseado, puede establecer un URI como valor y un enlace a su política de seguridad.

 


links & referencias: 

Si deseas mas información o consultar las fuentes bibliográficas, aquí te dejamos…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *