セキュリティの報告先を記述する、security.txtの提案仕様 (RFC9116)

Webサイトのセキュリティリスクを発見したものの、連絡先が適切に公開されていないがために、結局報告されず脆弱性が放置されるケースがあるようだ(国内だと、IPA脆弱性関連情報の届出受付もあるが)

発見者が脆弱性等の報告を出来るような情報を、Web作成者が提供できるようにする仕様がIETFに提出されている。

この「A Method for Web Security Policies」という提案仕様では、security.txtをドメイン直下のURLに配置し、連絡先などを記述するようになっている。

security.txt

security.txtは例えば以下のとおりである

# Our security address

Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Disclosure: Full
  • #: コメント行
  • Contact: 連絡先。メールアドレス・電話番号・URLが記述できる
  • Encryption: 暗号化用の鍵
  • Disclosure: 問題の対応後の、受け付けた報告の開示ポリシー。Full, Partial, Noneのいずれか。