[技術] RFC9116 - security.txt
之前從 Twitter 看到 政府單位強制使用 security.txt[0]
結合最近提報銀行問題之後 覺得這是一個很好的方式
在 RFC 9116 提案中使用了 security.txt 當作一個讓安全人員回報的一種溝通標準
在提供的 security.txt 檔案下、標註回報方式 (mail / phone / ...etc) 以及其他資訊
用 Google[1] 家的當作例子
```
Contact: https://g.co/vulnz
Contact: mailto:security@google.com
Encryption: https://services.google.com/corporate/publickey.txt
Acknowledgements: https://bughunters.google.com/
Policy: https://g.co/vrp
Hiring: https://g.co/SecurityPrivacyEngJobs
```
回報管道可以直接在 https://g.co/vulnz 網站或者寄信到 security@google.com
可以透過 https://services.google.com/corporate/publickey.txt 使用 PGP 加密內容
如果想要找工作的話 也可以到 https://g.co/SecurityPrivacyEngJobs 找適合的職缺
[0]: https://netherlands.postsen.com/trends/198695/Securitytxt-now-mandatory-for-Dutch-government-websites.html
[1]: https://www.google.com/.well-known/security.txt
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.177.206 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1685675423.A.F4F.html
NetSecurity 近期熱門文章
PTT數位生活區 即時熱門文章
0
18