Security.txt

Security.txt est une proposition de standard pour que les chercheurs en sécurité puissent connaître les contacts de votre organisation.

Il est basé sur le même principe que le fichier robots.txt déjà présent sur la plupart des serveurs Web pour afficher les préférences en terme d’indexation.

Ainsi, vous pouvez indiquer :

  • Une adresse mail de contact
  • Votre clé PGP publique
  • Une page de remerciement aux chercheurs qui vous ont aidé
  • La liste des langues que vous parlez
  • L’URL de votre security.txt
  • Une politique indiquant ce que peuvent faire les chercheurs qui trouvent une faille de sécurité
  • Un lien vers vos offres d’emploi en sécurité

Vous devriez ensuite chiffrer votre fichier security.txt avec GPG pour prouver qu’il est authentique.

Pour vous aider, le site https://securitytxt.org/ vous guide pas à pas.