Security.txt

No artigo apresentado a seguir, Security.txt será abordado sob diferentes perspectivas, com o objetivo de fornecer uma visão abrangente sobre o tema. Desde a sua origem e história, passando pela sua relevância hoje, até possíveis implicações futuras, este artigo pretende oferecer uma visão completa de Security.txt. Serão analisadas as suas diversas facetas, exploradas as suas diferentes interpretações e discutidas as controvérsias que o rodeiam. Além disso, serão examinadas as implicações que Security.txt tem em diferentes contextos e serão apresentadas reflexões e opiniões de especialistas na área. Sem dúvida, este artigo procurará lançar luz sobre Security.txt e o seu impacto na sociedade.

security.txt é um padrão aceito para reunir informações de segurança de um site, e tem como objetivo, permitir que os pesquisadores de segurança possam informar facilmente as vunerabilidades de segurança. O padrão prescreve um arquivo de texto chamado security.txt em um local bem conhecido, com sintaxe semelhante ao arquivo robots.txt destinado a ser legível por máquinas e humanos, para aqueles que desejam entrar em contato com o proprietário de um site sobre questões de segurança. Esse padrão foi Adotado pela Google, GitHub, Linkedin, e Facebook.

História

O Internet Draft foi inicialmente submetido por Edwin Foudil em setembro de 2017. Naquele momento, ele abordava quatro diretrizes: "Contato", "Criptografia", "Divulgação" e "Reconhecimento". Foudil esperava adicionar mais diretrizes com base no feedback recebido. Além disso, o especialista em segurança na web, Scott Helme, disse ter recebido feedback positivo da comunidade de segurança, embora o uso entre os 1 milhão de principais sites fosse "tão baixo quanto esperado no momento".

Em 2019, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) publicou um projeto de diretriz operacional vinculativa que exige que todas as agências federais publiquem um arquivo security.txt dentro de 180 dias.

O Internet Engineering Steering Group (IESG) emitiu uma Last Call para o arquivo security.txt em dezembro de 2019, que terminou em 6 de janeiro de 2020.

Um estudo feito em 2021 descobriu que mais 10% dos 100 principais sites, publicaram um arquivo com nome security.txt, entretanto, a porcentagem de sites que publicam o arquivo diminuiu conforme mais sites foram considerados. O estudo também observou uma série de discrepâncias entre o padrão e o conteúdo do arquivo.

Em abril de 2022, a (IETF) aceitou o arquivo security.txt como RFC 9116.

Formato de arquivo

Os arquivos security.txt podem ser encontrados nos diretórios /.well-known/ ou no nível superior, apenas com o proprio nome nos arquivos de um site. O arquivo deve ser veiculado por HTTPS e em formato de texto simples.

Ver também

Referências

  1. Foudil, Edwin; Shafranovich, Yakov (6 de abril de 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org 
  2. «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (em inglês). Consultado em 14 de abril de 2019 
  3. Cimpanu, Catalin (29 de novembro de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado em 16 de junho de 2020 
  4. at 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (em inglês). Consultado em 14 de abril de 2019 
  5. «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (em inglês). Consultado em 14 de abril de 2019 
  6. «CISA Seeks Comments on How Government Should Handle Vulnerability Reports». Decipher. Consultado em 29 de janeiro de 2020 
  7. Kuldell, Heather (18 de dezembro de 2019). «CISA Still Wants Your Thoughts on Its Vulnerability Disclosure Policy». Nextgov.com. Consultado em 29 de janeiro de 2020 
  8. «Security.txt – IESG issues final call for comment on proposed vulnerability reporting standard». The Daily Swig | Cybersecurity news and views. 12 de dezembro de 2019. Consultado em 30 de março de 2020 
  9. Poteat, Tara; Li, Frank (Novembro de 2021). «Who you gonna call?: an empirical evaluation of website security.txt deployment». IMC '21: Proceedings of the 21st ACM Internet Measurement Conference. Internet Measurement Conference. Online: ACM. pp. 526–532. doi:10.1145/3487552.3487841 
  10. «Characterizing the Adoption of Security.txt Files» (PDF). Characterizing the Adoption of Security.txt Files. 11 de fevereiro de 2022. Consultado em 1 de março de 2022