Cloudflare 倡导更广泛采用 security.txt 标准进行漏洞报告

为了解决安全漏洞未报告的问题，Cloudflare 最近推出了一个仪表板，帮助创建和管理披露网站漏洞的 security.txt 文件。生成的文件符合 RFC9116 标准，为安全研究团队提供了一种标准化的方法来报告漏洞。

新仪表板是专为管理网站的 Cloudflare 用户设计的，它既适用于小型企业，也适用于大型公司，该仪表板将信息存储在分布式数据库中。security.txt 文件动态生成，以确保实时反映更新情况，无需人工干预或重新生成文件。Cloudflare 的威胁情报产品经理 Alexandra Moraru 和工程经理 Sam Khawasé 写道：

security.txt 正在成为具有安全意识的组织所广泛采用的标准（……）。通过免费提供自动化的 security.txt 生成器，我们的目标是帮助所有用户在不增加额外成本的情况下提升他们的安全措施。

来源：Cloudflare 官方博客

RFC9116 标准引入了一种结构清晰的文件格式，通过在域名的 .well-known 文件夹中放置一个文本文件，简化了安全漏洞报告。与 robots.txt 的语法类似，security.txt 文件既可供机器读取，也可供人工阅读，方便安全专家轻松联系网站所有者，报告潜在的漏洞。

尽管 security.txt 文件可以帮助公司高效管理漏洞报告，但当前的一个挑战是部署文件的采用率较低，且标准的合规性不足。安全专家 Freddie Leeman 在今年早些时候警告说：

我们启动了一项广泛的项目，采取三管齐下的策略：评估采用率、开发免费的 RFC 合规性测试工具，以及识别常见的实施错误。在全球排名前一百万的互联网域名中，我们发现仅有 0.7%（6816 个域名）采用了 security.txt 文件。更令人惊讶的是，这些域名中仅有 19% 通过了 RFC 合规性测试！

为确保合规性，Cloudflare 动态生成文件，并支持加密密钥和签名等可选字段，用户可以链接到其 PGP 密钥以实现安全通信，或添加签名以验证文件的真实性。此外，每个 security.txt 文件都包含一个过期时间戳，用于提醒管理员信息可能已过期。

Contact: https://hackerone.com/cloudflareContact: mailto:security@cloudflare.com# All abuse reports should be submitted to our Trust & Safety team through# our dedicated page.Contact: https://www.cloudflare.com/abuse/

Policy: https://www.cloudflare.com/disclosure/Hiring: https://www.cloudflare.com/careers/jobs/

Preferred-Languages: enCanonical: https://www.cloudflare.com/.well-known/security.txt

来源：Cloudflare 自身的 security.txt 文件

网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）称其为“一个简单却意义重大的文件”，并强调 security.txt 如何帮助简化安全管理。在 Reddit 的一个热门帖子中，一位 Cloudflare 用户写道：

周末调整设置时，我无意间发现了这个功能。这个功能现在上线了，实在是太棒了！

此前，Cloudflare 已将 security.txt 生成器的 Cloudflare Worker 开源。Moraru 和 Khawasé 补充道：

偏好自动化的用户可以通过我们的 API 管理 security.txt 文件，从而实现与现有工作流程和工具的无缝集成。该功能使开发者能够以编程方式更新 security.txt 配置，而无需手动操作仪表板。

有关 security.txt 标准和网络生成器的更多信息，请访问在线资源。此新功能免费提供给所有 Cloudflare 用户。

Renato Losio 拥有丰富的云架构师、技术主管和云服务专家经验。目前，他居住在柏林和的里雅斯特，远程担任首席云架构师。他的主要兴趣领域包括云服务和关系型数据库。此外，他还是 InfoQ 的编辑。

https://www.infoq.com/news/2024/11/cloudflare-security-txt/

声明：本文为 InfoQ 翻译，未经许可禁止转载。