最近、インターネット技術運営グループ(IESG)がリリースされ、最終的な草案ネットワーク脆弱性開示基準Security.txt、容易に可能な限り脆弱性を開示する研究者を可能にするために設計されたネットワークセキュリティポリシーを。
セキュリティ業界全体の懸念IESG脆弱性開示の標準はすぐにすべての脆弱性のサイトが推奨報告基準を開示したになります。最終審査の段階に入った後、利害関係者の基準に月未満以内に意見を提出することができます。
標準は、現在開いているWebサービスの脆弱性のための通信チャンネルに独立したセキュリティ研究者の改善を目的とした「アプローチのWebセキュリティポリシー」をお勧めします。標準的な実装は非常に簡単です:組織とサイト管理者は、ディレクトリパス指定されたサイト上のファイルSecurity.txtを標準化する必要があります。セキュリティ研究者は、会社と簡単にこのファイルを通して私たちに連絡することができます。
提案された標準のGitHubページの表示、Security.txtドキュメントはセキュリティ研究者にセキュリティ上の問題を報告する方法の明確なガイダンスを提供し、脆弱性の報酬プログラムの適用範囲を定義できます。明確なルールや規制の欠如のために、研究者は、一般的にセキュリティ侵害の通知組織を確保することができていません。