您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

Security.txt網路標準提案

安全研究人員Edwin Foudil於9/10向網際網路工程任務小組(Internet Engineering Task Force,IETF)提交Security.txt草案。這是一個供網站放置描述其安全政策與聯繫管道的草案,期望讓它標準化以讓安全研究人員與網站之間的溝通更為流暢。Mr. Foudil指出,當獨立安全研究人員發現網路服務的漏洞時,他們經常缺乏適當的揭露管道,於是,這些漏洞可能就沒有修補,進而危害網路安全。因此,由Mr. Foudil所設計的Security.txt標準將允許網站定義安全政策,透過清楚的準則協助安全研究人員回報網站漏洞,此一文字檔描述了網站所允許的漏洞回報範圍、漏洞種類、聯繫管道、安全頁面、抓漏專案、付款方式、獎金規模、獎金捐贈途徑及揭露政策等,也可表明並不希望研究人員測試他們的平台。

Security.txt與robots.txt的用法類似,它們都是被存放於網站根目錄的文字檔案,只是robots.txt定義的是網站的爬梳政策,對象為搜尋引擎,而Security.txt定義的則是網站的安全政策,對象為安全研究人員。目前該提案尚在草案階段(Internet Draft),距離成為正式網路標準(Internet Standards)還有一個階段,RFC (Request For Comments)。Mr. Foudil 希望該提案能儘快成為RFC,讓一些知名企業能夠試行在其網站上,進而引領其他組織仿效,達到於網際網路全面推行之目的。

Reference

資料來源:
https://www.bleepingcomputer.com/news/security/security-txt-standard-proposed-similar-to-robots-txt/
https://github.com/EdOverflow/security-txt
https://www.ietf.org/id/draft-foudil-securitytxt-00.txt
http://www.ithome.com.tw/news/116890
國家資通安全會報技術服務中心整理

Publish Date
2017/10/5 0:00:00