security.txt-Validator
Fügen Sie den Inhalt Ihrer security.txt (RFC 9116) ein, um Syntaxfehler zu erkennen. Prüft Pflichtfelder wie Contact und Expires sowie deren Werteformat, damit Sie bestätigen können, dass die Datei korrekt unter /.well-known/security-text veröffentlicht ist.
Tipps
- Der offizielle Ablageort für security.txt ist
/.well-known/security-text. Aus Kompatibilitätsgründen lohnt es sich, zusätzlich eine Kopie unter/security.txt(im Website-Root) zu veröffentlichen. - Schreiben Sie Contact als URI mit Schema, etwa mailto:, https: oder tel:. Eine reine E-Mail-Adresse entspricht nicht RFC 9116 und wird von automatischen Parsern womöglich nicht erkannt.
- Setzen Sie Expires auf höchstens ein Jahr in der Zukunft und verlängern Sie es bei jeder Erneuerung. Eine abgelaufene Datei riskiert, als verwaister, ungepflegter Kontakt zu gelten.
- Die gesamte Prüfung in diesem Tool läuft vollständig im Browser ab — nichts von dem, was Sie einfügen, wird an einen Server gesendet, sodass Sie eine Datei bedenkenlos vor der Veröffentlichung prüfen können.
Häufig gestellte Fragen
https://example.com/.well-known/security-text als offiziellen Ort fest. Da viele Implementierungen auch den älteren Pfad https://example.com/security.txt prüfen, wird empfohlen, sie aus Kompatibilitätsgründen an beiden Orten zu veröffentlichen.mailto:[email protected] erforderlich ist. Ohne Schema erkennen automatische Parser den Wert womöglich nicht korrekt.
Übrigens – Die Entstehung von security.txt – der "erste Anlaufpunkt", den ein Bug-Bounty-Programm allein nicht bieten konnte
security.txt wurde 2017 von den Sicherheitsforschern Ed Overflow und Kagan Baytas vorgeschlagen. Damals hatten Forscher, die eine Sicherheitslücke fanden, oft keinen klaren Weg, sie zu melden, und mussten auf ein allgemeines Kontaktformular oder eine Direktnachricht in sozialen Netzwerken zurückgreifen. Meldungen brauchten häufig lange, bis sie die richtige Person erreichten, oder wurden schlicht ignoriert.
Der Vorschlag wurde bei der IETF (Internet Engineering Task Force) eingereicht und wurde nach Jahren der Diskussion und Überarbeitung 2022 offiziell als RFC 9116 standardisiert. Der Mechanismus ist einfach: Der Website-Betreiber veröffentlicht eine einzige Textdatei unter /.well-known/security-text, und Forscher können mechanisch ermitteln, wen sie kontaktieren sollen, in welcher Sprache und nach welcher Richtlinie.
Große Technologieunternehmen wie GitHub, Google, Facebook und LinkedIn haben security.txt übernommen, und es ist üblich, über das Policy-Feld einen Link zu einem Programm für die Offenlegung von Schwachstellen oder einem Bug-Bounty-Programm anzugeben. Es dient praktisch als "Eingangstür", die Forscher erreicht, die eine Bug-Bounty-Plattform sonst vielleicht nie gefunden hätten.
Als natürliche Erweiterung von RFC 9116 verlinken immer mehr Organisationen über das CSAF-Feld auf CSAF-Dokumente (Common Security Advisory Framework) und standardisieren so den Austausch von Sicherheitshinweisen. security.txt ist längst mehr als nur eine Kontaktdatei und entwickelt sich weiter zum Einstiegspunkt für den gesamten Sicherheitsreaktionsprozess einer Organisation.