[1]​[2]​ El estándar consta de un archivo de texto simple denominado "security.txt" que deberá estar generalmente en la carpeta well known, dicho archivo tendrá un correo electrónico o un sitio web referente a los asuntos de seguridad, además de poder contener un enlace a una llave PGP para poder comunicarse mediante correo electrónico de manera cifrada.

[3]​ Security.txt ha sido adoptado por Google, GitHub, LinkedIn, y Facebook.

[1]​ En aquel momento abarcaba cuatro directivas: "Contacto", "Cifrado", "Divulgación" y "Reconocimiento".

Foudil esperaba añadir aún más directivas basándose en la retroalimentación.

En abril de 2022 el archivo security.txt fue aceptado oficialmente por Internet Engineering Task Force (IETF) como el RFC 9116.