あなたのWebサービスの脆弱性を発見者から教えてもらう方法

ARANK

先日、RFC9116が発表されました🚀あなたのWebサービスに潜在する未知の脆弱性を誰かが見つけた時、それをあなたに連絡する方法を提示するsecurity.txtを標準化するものです。この記事では何故これが必要だったのか、そして私たちがこれを実装する方法を簡潔に説明します。 なぜこれが必要だったのか その結果、セキュリティの問題が報告されないままになる可能性があります。 security.txtは、組織がセキュリティ研究者がセキュリティの脆弱性を安全に開示するためのプロセスを定義するのに役立つ標準を定義しています。つまり、今まではセキュリティ研究者がWebサービスの運営者に脆弱性を報告する宛がなかったsecurity.txtは脆弱性報告のプロセスを発見者向けに定義するのに役立つということです。 私たちが実装する方法実はsecurity.txtはいくつかの組織で既に定義されていますし、私たちが実装するのも非常に簡単です。 実装されている例Google - - - どこに置く？あなたのドメインの/.well-known/ディレクトリ下に置きます。置く場所は自由に決められるものではない点は注意が必要です。(もし/.well-knownディレクトリってなに？という疑問を持った方はRFC8615を…