Tags:
Topics: 
Node Thumbnail

IETF ผ่านมาตรฐาน RFC9116 กำหนดฟอร์แมตของการแจ้งช่องโหว่ซอฟต์แวร์ หรือไฟล์ security.txt ไว้เป็นระบบเดียวกันเพื่อให้ง่ายต่อนักวิจัยในการติดต่อ

ไฟล์ security.txt แจ้งข้อมูลการเปิดเผยช่องโหว่ โดยระบุ URL สำหรับการแสดงความขอบคุณ, ช่องทางติดต่อแจ้งช่องโหว่, กุญแจเข้ารหัสก่อนแจ้งช่องโหว่, นโยบายการเปิดเผยข้อมูลช่องโหว่, ภาษาที่ใช้ติดต่อ, และ URL สำหรับการรับสมัครงาน

ตัวไฟล์ต้องวางไว้ใน /.well-known/security.txt และมาตรฐานเปิดให้มีลายเซ็นดิจิทัลกำกับ ป้องกันในกรณีที่คนร้ายแฮกเว็บได้แล้วและแก้ไขไฟล์เสีย

ฟอร์แมตของ security.txt นั้นมีมานานตั้งแต่ปี 2015 และเสนอเข้า IETF ตั้งแต่ปี 2017 โดยผ่านการแก้ไขหลายรอบ เช่นการเพิ่มฟิลด์ระบุวันประกาศหมดอายุเพื่อป้องกันประกาศค้างไว้และข้อมูลใช้ไม่ได้จริง

ที่มา - IETF

No Description

Get latest news from Blognone