_ _    _ _____  ___   __                       
 __      _(_) | _(_)___ / ( _ ) / /_   ___ ___  _ __ ___  
 \ \ /\ / / | |/ / | |_ \ / _ \| '_ \ / __/ _ \| '_ ` _ \ 
  \ V  V /| |   <| |___) | (_) | (_) | (_| (_) | | | | | |
   \_/\_/ |_|_|\_\_|____/ \___/ \___(_)___\___/|_| |_| |_|

Security.txt

En el mundo actual, Security.txt es un tema que ha cobrado gran relevancia y que ha capturado la atención de un gran número de personas en diferentes contextos y situaciones. La importancia de Security.txt se ha vuelto evidente en diversos campos, desde la ciencia hasta la política, pasando por la cultura y la sociedad en general. Es un tema que ha despertado un debate y una conversación constante, generando opiniones encontradas y promoviendo la reflexión en torno a su impacto y significado. En este artículo, nos adentraremos en las diferentes aristas de Security.txt, explorando sus distintas facetas y su relevancia en la era actual.
Security.txt
Tipo de estándar formato de archivo
Estado Aceptado
Sitio web securitytxt.org

Es un estándar de ciber seguridad para sitios web con el objetivo de facilitar a los investigadores de seguridad que reporten de forma sencilla las vulnerabilidades de seguridad de un sitio web.​ El estándar consta de un archivo de texto simple denominado "security.txt" que deberá estar generalmente en la carpeta well known, dicho archivo tendrá un correo electrónico o un sitio web referente a los asuntos de seguridad, además de poder contener un enlace a una llave PGP para poder comunicarse mediante correo electrónico de manera cifrada.

El archivo de texto "security.txt" es similar a robots.txt pero que pretende ser leído por personas que deseen contactar al dueño o administrador de un sitio web para asuntos de seguridad.

Security.txt ha sido adoptado por Google, GitHub, LinkedIn, y Facebook.

Historia

La propuesta nació de la necesidad de los investigadores de seguridad y de los cazadores de bugs de querer comunicarse con los propietarios o administrador de un sitio web para poder reportar brechas de seguridad, pero que no tenían un medio de contacto dedicado a ello.

El Borrador de Internet fue entregado por primera vez por Edwin Foudil en septiembre de 2017.​ En aquel momento abarcaba cuatro directivas: "Contacto", "Cifrado", "Divulgación" y "Reconocimiento". Foudil esperaba añadir aún más directivas basándose en la retroalimentación.​ En aquel entonces, el experto de seguridad web Scott Helme dijo que había visto una retroalimentación positiva de la comunidad de seguridad, mientras que el uso entre el primer millón de sitios web era "tan bajo como se esperaba para ahora mismo".

En abril de 2022 el archivo security.txt fue aceptado oficialmente por Internet Engineering Task Force (IETF) como el RFC 9116.

Ubicación

Un archivo security.txt puede estar alojado en la carpeta /.well-known/ (ejemplo. /.well-known/security.txt) o en la carpeta raíz (ejemplo. /security.txt) de un sitio web.

Es recomendable que el archivo sea usado en sitios web que usen HTTPS y que esté en formato de texto simple.

Véase también

Referencias

  1. a b at 13:47, John Leyden 3 Jan 2018. «Bug-finders' scheme: Tick-tock, this tech's tested by flaws.. but who the heck do you tell?». www.theregister.co.uk (en inglés). Consultado el 14 de abril de 2019. 
  2. a b «Security.txt Standard Proposed, Similar to Robots.txt». BleepingComputer (en inglés). Consultado el 14 de abril de 2019. 
  3. «The Telltale Text File: Security Researcher Proposes Standard for Reporting Vulnerabilities». Security Intelligence (en inglés). Consultado el 14 de abril de 2019. 
  4. Cimpanu, Catalin (29 de noviembre de 2019). «iOS apps could really benefit from the newly proposed Security.plist standard». ZDNet. Consultado el 16 de junio de 2020. 
  5. Foudil, Edwin; Shafranovich, Yakov (April 2022). «RFC 9116 – A File Format to Aid in Security Vulnerability Disclosure». Datatracker.ietf.org. 
  6. «Characterizing the Adoption of Security.txt Files». Characterizing the Adoption of Security.txt Files. 11 de febrero de 2022. Consultado el 1 de marzo de 2022. 

Enlaces externos

Enciclo
Wikious
Sapientia
Scientia
Boobota
Anandapedia
Sagapedia
Wikithot