Web管理者がサイトのセキュリティ・ポリシーを記述できる「security.txt」の標準化を求める草案をIETFに提出したらしいです。
Ed Foudil, a web developer and security researcher, has submitted a draft to the IETF — Internet Engineering Task Force — seeking the standardization of security.txt, a file that webmasters can host on their domain root and describe the site’s security policies.
security.txtをドメインルートにホストすることで、Webサイトにセキュリティ上の脆弱性を発見した場合に、問題を管理者に安全に報告するための情報を入手することができるようで、IETFドラフトによると、以下のようなsecurity.txtを作成可能らしい。
#This is a comment
Contact: security@example.com
Contact: +1-201-555-0123
Contact: https://example.com/security
Encryption: https://example.com/pgp-key.txt
Acknowledgement: https://example.com/acknowledgements.html
Disclosure: Fullこのファイルは、Webおよび検索エンジンのクローラのポリシーを定義および定義するためにWebサイトによって使用される標準であるrobots.txtに似ています。
取り組みとしては素晴らしいなと思う反面、いくつか課題もある気がします。
1つめは、スパマーがメールアドレスや電話番号などを集めるためのツールになるリスク。書かれているアドレスや電話番号はWeb管理者宛なので、セキュリティ製品のスパムがわんさか届きそう。
2つめは、脆弱性の連絡なんか欲しくない管理者もそれなりにいると思うので、彼らはsecurity.txtなんで置かないんじゃないかと。
これらの課題に対する対応もきちんと整理しないと難しいんじゃ無いかというのが第一印象です。