Artikelen / 2 minuten leestijd, door Jan Henkes
Security.txt
Security.txt is een tekstbestand dat je op je website plaatst, met daarin alle relevante contactinformatie om te gebruiken bij veiligheidsgerelateerde zaken. Hiermee maak je het beveiligingsonderzoekers makkelijk. Zo kunnen ze de juiste persoon binnen je organisatie contacteren op het moment dat er een kwetsbaarheid wordt gevonden in één van je systemen. Naast contactinformatie kunnen er ook richtlijnen in staan voor ‘responsible disclosure’ – het coördineren en timen van het publiekelijk maken van kwetsbaarheden. Een security.txt bestand kan het verhelpen van kwetsbaarheden dus versnellen én verbeteren.
Veiliger internet
Beveiligingsonderzoekers (ook wel ethische hackers) speuren continu het internet af naar kwetsbaarheden in software. Dit doen ze vanuit een ethisch uitgangspunt, namelijk: het internet veiliger maken. Soms levert het de hacker ook geld op, bijvoorbeeld bij het uitkeren van ‘bug bounties’. Ook kan het vinden van een lek of kwetsbaarheden statusverhogend werken. Een voorbeeld daarvan is het publiceren van een ‘Wall of Fame‘.
Security.txt, een serieus goed idee
Het is ontzettend belangrijk om meldingen van kwetsbaarheden in je systemen serieus te nemen en te onderzoeken. Beveiligingsrisico’s laten liggen kan je bezoekers, gebruikers of zelfs klanten kosten. Een security.txt bestand helpt je om het oppakken van kwetsbaarheden in goede banen te leiden, doordat je aan de beveiligingsonderzoeker kunt aangeven wat ze moeten doen op het moment dat er een kwetsbaarheid is gevonden.
Oud gegeven, nieuw jasje
Veel websites nemen het veiligheidsniveau van hun website al erg serieus. In sommige gevallen is er zelfs al sprake van een ‘responsible disclosure’ die in de site is opgenomen, maar met een security.txt bestand doe je daar een schepje bovenop. Door het melden van kwetsbaarheden in een standaard te gieten, hoeft de security researcher namelijk niet bij elke website opnieuw te zoeken naar de responsible disclosure.
Wil je zelf aan de slag met het maken van een security.txt bestand? Dan biedt security.org een handig hulpmiddel. Heb je hulp nodig bij het maken van je security.txt bestand of het versleutelen ervan? Neem dan contact met ons op.