security.txt es un estándar aceptado para la información de seguridad de sitios web cuyo objetivo es permitir a los investigadores de seguridad informar fácilmente sobre vulnerabilidades de seguridad. [1] El estándar prescribe un archivo de texto llamado security.txt en una ubicación conocida , similar en sintaxis a robots.txt pero destinado a ser legible por máquinas y humanos, para aquellos que deseen ponerse en contacto con el propietario de un sitio web sobre cuestiones de seguridad. [2] Los archivos security.txt han sido adoptados por Google , GitHub , LinkedIn y Facebook . [3]
El borrador de Internet fue presentado por primera vez por Edwin Foudil en septiembre de 2017. [4] En ese momento cubría cuatro directivas: "Contacto", "Cifrado", "Divulgación" y "Reconocimiento". Foudil esperaba agregar más directivas basadas en los comentarios. [5] Además, el experto en seguridad web Scott Helme dijo que había visto comentarios positivos de la comunidad de seguridad mientras que el uso entre el millón de sitios web principales era "tan bajo como se esperaba en este momento". [4]
En 2019, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó un proyecto de directiva operativa vinculante que exige que todas las agencias federales publiquen un archivo security.txt en un plazo de 180 días. [6] [7]
El Grupo Directivo de Ingeniería de Internet (IESG) emitió una última convocatoria para security.txt en diciembre de 2019 que finalizó el 6 de enero de 2020. [8]
Un estudio realizado en 2021 encontró que más del diez por ciento de los 100 sitios web principales publicaban un archivo security.txt, y el porcentaje de sitios que publicaban el archivo disminuía a medida que se consideraban más sitios web. [9] El estudio también constató una serie de discrepancias entre la norma y el contenido del expediente.
En abril de 2022, el archivo security.txt fue aceptado por Internet Engineering Task Force (IETF) como RFC 9116. [1]
Los archivos security.txt se pueden servir en el /.well-known/
directorio (es decir /.well-known/security.txt
, ) o en el directorio de nivel superior (es decir, /security.txt
) de un sitio web. El archivo debe entregarse a través de HTTPS y en formato de texto sin formato. [10]