stringtranslate.com

seguridad.txt

security.txt es un estándar aceptado para la información de seguridad de sitios web cuyo objetivo es permitir a los investigadores de seguridad informar fácilmente sobre vulnerabilidades de seguridad. [1] El estándar prescribe un archivo de texto llamado security.txt en una ubicación conocida , similar en sintaxis a robots.txt pero destinado a ser legible por máquinas y humanos, para aquellos que deseen ponerse en contacto con el propietario de un sitio web sobre cuestiones de seguridad. [2] Los archivos security.txt han sido adoptados por Google , GitHub , LinkedIn y Facebook . [3]

Historia

El borrador de Internet fue presentado por primera vez por Edwin Foudil en septiembre de 2017. [4] En ese momento cubría cuatro directivas: "Contacto", "Cifrado", "Divulgación" y "Reconocimiento". Foudil esperaba agregar más directivas basadas en los comentarios. [5] Además, el experto en seguridad web Scott Helme dijo que había visto comentarios positivos de la comunidad de seguridad mientras que el uso entre el millón de sitios web principales era "tan bajo como se esperaba en este momento". [4]

En 2019, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un proyecto de directiva operativa vinculante que exige que todas las agencias federales publiquen un archivo security.txt en un plazo de 180 días. [6] [7]

El Grupo Directivo de Ingeniería de Internet (IESG) emitió una última convocatoria para security.txt en diciembre de 2019 que finalizó el 6 de enero de 2020. [8]

Un estudio realizado en 2021 encontró que más del diez por ciento de los 100 sitios web principales publicaban un archivo security.txt, y el porcentaje de sitios que publicaban el archivo disminuía a medida que se consideraban más sitios web. [9] El estudio también constató una serie de discrepancias entre la norma y el contenido del expediente.

En abril de 2022, el archivo security.txt fue aceptado por Internet Engineering Task Force (IETF) como RFC  9116. [1]

Formato de archivo

Los archivos security.txt se pueden servir en el /.well-known/directorio (es decir /.well-known/security.txt, ) o en el directorio de nivel superior (es decir, /security.txt) de un sitio web. El archivo debe entregarse a través de HTTPS y en formato de texto sin formato. [10]

Ver también

Referencias

  1. ^ ab Foudil, Edwin; Shafranovich, Yakov (6 de abril de 2022). "RFC 9116: un formato de archivo para ayudar en la divulgación de vulnerabilidades de seguridad". Datatracker.ietf.org .
  2. ^ "El archivo de texto revelador: un investigador de seguridad propone un estándar para informar vulnerabilidades". Inteligencia de Seguridad . Consultado el 14 de abril de 2019 .
  3. ^ Cimpanu, Catalin (29 de noviembre de 2019). "Las aplicaciones de iOS realmente podrían beneficiarse del estándar Security.plist recientemente propuesto". ZDNet . Consultado el 16 de junio de 2020 .
  4. ^ ab Leyden, John (3 de enero de 2018). "Esquema de búsqueda de errores: tic-tac, esta tecnología está probada por fallas ... pero ¿a quién diablos se lo cuentas?". www.theregister.co.uk . Consultado el 14 de abril de 2019 .
  5. ^ "Estándar Security.txt propuesto, similar a Robots.txt". Computadora que suena . Consultado el 14 de abril de 2019 .
  6. ^ "CISA busca comentarios sobre cómo el gobierno debería manejar los informes de vulnerabilidad". Descifrar . Consultado el 29 de enero de 2020 .
  7. ^ Kuldell, Heather (18 de diciembre de 2019). "CISA todavía quiere su opinión sobre su política de divulgación de vulnerabilidades". Nextgov.com . Consultado el 29 de enero de 2020 .
  8. ^ "Security.txt: IESG emite una convocatoria final para comentarios sobre el estándar de informes de vulnerabilidades propuesto". El trago diario | Noticias y opiniones sobre ciberseguridad . 2019-12-12 . Consultado el 30 de marzo de 2020 .
  9. ^ Poteat, Tara; Li, Frank (noviembre de 2021). "¿A quién vas a llamar?: una evaluación empírica de la implementación de seguridad.txt en sitios web". IMC '21: Actas de la 21ª Conferencia de medición de Internet de ACM . Jornada de Medición de Internet. En línea: ACM. págs. 526–532. doi :10.1145/3487552.3487841.
  10. ^ "Caracterización de la adopción de archivos Security.txt" (PDF) . "Caracterización de la adopción de archivos Security.txt" . 2022-02-11 . Consultado el 1 de marzo de 2022 .

enlaces externos