セキュリティ.txt
| セキュリティ.txt | |
|---|---|
 security.txt ファイルの例 | |
| 状態 | 出版 |
| 年が始まった | 2017 |
| 初版 | 2017年9月 |
| 最新バージョン | 2022年4月 |
| 著者 | エドウィン・フーディル |
| 基本基準 | RFC 9116 |
| Webサイト | セキュリティ |
security.txtは、ウェブサイトのセキュリティ情報の標準として認められており、セキュリティ研究者がセキュリティの脆弱性を簡単に報告できるようにしています。[ 1 ]この標準では、セキュリティの問題についてウェブサイトの所有者に連絡したい人のために、機械と人間が読めるように設計された、 robots.txtと構文が似ているsecurity.txtというテキストファイルをよく知られた場所に置くことを規定しています。[ 2 ] security.txtファイルは、 Google、GitHub、LinkedIn、Facebookで採用されています。[ 3 ]
歴史
インターネット草案は、エドウィン・フーディル氏によって2017年9月に初めて提出されました。[ 4 ]当時、草案は「連絡」、「暗号化」、「開示」、「確認」の4つの指令を対象としていました。フーディル氏は、フィードバックに基づいてさらに指令を追加する予定でした。[ 5 ]さらに、ウェブセキュリティの専門家であるスコット・ヘルム氏は、セキュリティコミュニティから肯定的なフィードバックを得ている一方で、上位100万ウェブサイトにおける利用率は「現時点では予想通り低い」と述べています。[ 4 ]
2019年、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、すべての米国連邦政府機関に180日以内にsecurity.txtファイルを公開することを要求する拘束力のある運用指令の草案を公表した。[ 6 ] [ 7 ]
インターネットエンジニアリングステアリンググループ(IESG)は、2019年12月にsecurity.txtの最終呼びかけを発行し、2020年1月6日に終了しました。[ 8 ]
2021年の調査によると、上位100のウェブサイトのうち10%以上がsecurity.txtファイルを公開しており、対象となるウェブサイトが増えるにつれて、ファイルを公開しているサイトの割合は減少していることがわかりました。[ 9 ]この調査では、標準とファイルの内容の間に多くの矛盾があることも指摘されています。
2022年4月にsecurity.txtファイルはインターネット技術タスクフォース(IETF)によってRFC 9116として承認されました。[ 1 ]
ファイル形式
/.well-known/security.txtファイルは、ウェブサイトのディレクトリ(例:/.well-known/security.txt)またはトップレベルディレクトリ(例: )で提供できます/security.txt。ファイルはHTTPS経由でプレーンテキスト形式で提供する必要があります。[ 10 ]
参照
参考文献
- ^ a b Foudil, Edwin; Shafranovich, Yakov (2022年4月).セキュリティ脆弱性開示を支援するファイル形式. Internet Engineering Task Force . doi : 10.17487/RFC9116 . ISSN 2070-1721 . RFC 9116 . 情報提供。
- ^ 「Telltaleテキストファイル:セキュリティ研究者が脆弱性報告の標準を提案」セキュリティインテリジェンス。2019年4月14日時点のオリジナルよりアーカイブ。 2019年4月14日閲覧。
- ^ Cimpanu, Catalin (2019年11月29日). 「iOSアプリは、新たに提案されたSecurity.plist標準から大きな恩恵を受ける可能性がある」 . ZDNet . 2020年8月11日時点のオリジナルよりアーカイブ。 2020年6月16日閲覧。
- ^ a b Leyden, John (2018年1月3日). 「バグ発見者の計画:チクタク、この技術は欠陥でテストされている…でも一体誰に伝えるんだ?」 www.theregister.co.uk . 2019年4月14日時点のオリジナルよりアーカイブ。 2019年4月14日閲覧。
- ^ 「Robots.txtに似たSecurity.txt標準の提案」BleepingComputer . 2019年4月14日時点のオリジナルよりアーカイブ。2019年4月14日閲覧。
- ^ 「CISA、政府による脆弱性報告の取り扱いについて意見を募る」 Decipher 2020年1月29日時点のオリジナルよりアーカイブ。2020年1月29日閲覧。
- ^ Kuldell, Heather (2019年12月18日). 「CISA、脆弱性開示ポリシーに関するご意見を引き続き募集」 . Nextgov.com . 2020年1月29日時点のオリジナルよりアーカイブ。2020年1月29日閲覧。
- ^ 「Security.txt – IESG、脆弱性報告標準案に関する最終コメント募集」 The Daily Swig | サイバーセキュリティのニュースと見解。2019年12月12日。2020年9月21日時点のオリジナルよりアーカイブ。 2020年3月30日閲覧。
- ^ Poteat, Tara; Li, Frank (2021年11月). 「Who you gonna call?: an empirical evaluation of website security.txt deployment」 . IMC '21: Proceedings of the 21st ACM Internet Measurement Conference . Internet Measurement Conference. Online: ACM. pp. 526– 532. doi : 10.1145/3487552.3487841 . 2025年6月9日時点のオリジナルよりアーカイブ。 2022年3月19日閲覧。
- ^ 「Security.txtファイルの採用状況の特徴」(PDF) . 「Security.txtファイルの採用状況の特徴」 . 2022年2月11日 . 2025年6月10日時点のオリジナルよりアーカイブ(PDF) . 2022年3月1日閲覧。
外部リンク
