security.txt einrichten
Wie Sie Ihre RFC 9116-konforme security.txt-Datei konfigurieren, prüfen und bereitstellen -- der wichtigste Erkennungsmechanismus für ethische Hacker.
Warum es wichtig ist
security.txt ist das Standardsignal des Internets für “So melden Sie uns ein Sicherheitsproblem.” Definiert in RFC 9116, wird es von der CISA unterstützt und ist für US-Bundesbehörden gemäß Binding Operational Directive 20-01 verpflichtend. Sicherheitsforscher, Schwachstellenscanner und Regierungsbehörden fragen automatisch /.well-known/security.txt ab, wenn sie die Sicherheitslage einer Organisation bewerten.
Eine gültige security.txt signalisiert, dass Ihr Programm seriös und betreut ist. Ihr Fehlen signalisiert das Gegenteil und fällt zunehmend bei Auditoren und Enterprise-Beschaffungsteams negativ auf.
Selbst im kostenlosen Tarif veröffentlicht Kit automatisch eine security.txt, sobald Sie VDP aktivieren. Keine Konfiguration erforderlich.
Was ist security.txt
Eine Klartextdatei, die unter /.well-known/security.txt über HTTPS bereitgestellt wird. RFC 9116 definiert sechs Standarddirektiven:
| Direktive | Erforderlich | Beschreibung |
|---|---|---|
Contact |
Ja | E-Mail oder URL, an die Schwachstellenmeldungen gesendet werden sollen |
Expires |
Ja | ISO 8601-Zeitstempel, nach dem die Datei nicht mehr als vertrauenswürdig gelten soll |
Policy |
Nein | URL zu Ihrer vollständigen Disclosure Policy |
Acknowledgments |
Nein | URL zu Ihrer Hall of Fame oder Danksagungsseite |
Hiring |
Nein | URL zu den Stellenangeboten Ihres Sicherheitsteams |
Encryption |
Nein | URL zu einem öffentlichen PGP-Schlüssel für verschlüsselte Kommunikation |
Kit hängt außerdem automatisch Preferred-Languages: en an.
Eine minimal gültige Datei sieht so aus:
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/.well-known/security.txt
Preferred-Languages: en
Eine vollständig konfigurierte Datei enthält alle sechs Direktiven:
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/policy
Acknowledgments: https://example.com/security/acme/hall-of-fame
Hiring: https://example.com/careers/security
Encryption: https://keys.example.com/pgp-key.asc
Preferred-Languages: en
security.txt konfigurieren
Navigieren Sie zu VDP > Programmeinstellungen > security.txt. Konfigurieren Sie die folgenden Felder:
| Feld | Standard | Beschreibung |
|---|---|---|
| Kontakt-E-Mail | E-Mail des Kontoadministrators | Wird für die Contact:-Direktive verwendet. Verwenden Sie einen überwachten Sicherheitsalias, kein persönliches Postfach. |
| Policy-URL | Automatisch generiert | Link zu Ihrer Disclosure-Policy-Seite. Kit generiert diesen aus Ihrem Programm-Slug. |
| Acknowledgments-URL | Automatisch generiert | Link zu Ihrer Hall-of-Fame-Seite. Kit generiert diesen automatisch. |
| Hiring-URL | Leer | Link zu den offenen Stellen Ihres Sicherheitsteams. Optional. |
| PGP-Verschlüsselungs-URL | Leer | URL zu Ihrem extern gehosteten öffentlichen PGP-Schlüssel. Optional. |
| Ablauftage | 365 | Anzahl der Tage in der Zukunft, auf die die Expires:-Direktive gesetzt wird. RFC 9116 empfiehlt nicht mehr als ein Jahr. |
Kontakt-E-Mail und Ablauftage sind die einzigen Felder, die die meisten Programme ändern müssen. Policy- und Acknowledgments-URLs werden aus Ihrer Programmkonfiguration generiert und automatisch aktualisiert.
Klicken Sie auf security.txt-Vorschau, um die Rohausgabe vor dem Speichern zu sehen. Das Speichern eines beliebigen Feldes löst sofort eine Neugenerierung aus.
Wo die Datei bereitgestellt wird
Kit stellt Ihre security.txt unter zwei URLs bereit:
| URL | Verwendungszweck |
|---|---|
/security/{program-slug}/.well-known/security.txt |
Kit-gehostet – funktioniert sofort nach Aktivierung von VDP |
/.well-known/security.txt (Ihre benutzerdefinierte Domain) |
Produktion – erfordert die Einrichtung einer benutzerdefinierten Domain in den Kontoeinstellungen |
Für die Bereitstellung über eine benutzerdefinierte Domain konfigurieren Sie Ihre Domain unter Kontoeinstellungen > Benutzerdefinierte Domains. Nach der Konfiguration stellt Kit /.well-known/security.txt automatisch im Stammverzeichnis Ihrer Domain bereit. Das ist die URL, die Forscher und Scanner finden sollen.
Die Datei wird gemäß RFC 9116 mit Content-Type: text/plain; charset=utf-8 ausgeliefert. Beide URLs liefern identischen Inhalt.
Automatische Neugenerierung
Kit verwaltet den Lebenszyklus der security.txt automatisch:
- Beim Speichern der Konfiguration – Die Datei wird sofort neu generiert, wenn ein beliebiges security.txt-Konfigurationsfeld gespeichert wird. Kein manueller Veröffentlichungsschritt erforderlich.
- Ablaufüberwachung – Eine tägliche Prüfung überwacht alle veröffentlichten Dateien auf bevorstehenden Ablauf. Wenn eine Datei innerhalb von 30 Tagen vor ihrem
Expires:-Datum liegt, erhalten Kontoadministratoren eine E-Mail mit einem direkten Link zur Verlängerung. - Bei Verlängerung – Das Öffnen der security.txt-Einstellungsseite und Speichern (auch ohne Änderungen) generiert die Datei mit einem neuen
Expires:-Datum neu, berechnet ab heute plus Ihrer konfigurierten Ablauftage.
Eine abgelaufene security.txt signalisiert Forschern, dass Ihr Programm möglicherweise aufgegeben wurde. Die Ablaufwarnung von Kit gibt Ihnen einen 30-tägigen Vorlauf, um vor diesem Zeitpunkt zu verlängern.
Vorschau der Datei
Die Schaltfläche security.txt-Vorschau in den Programmeinstellungen rendert den exakten Dateiinhalt, der bereitgestellt wird. Nutzen Sie sie, um:
- Zu prüfen, ob die
Contact:-E-Mail korrekt ist und überwacht wird - Zu bestätigen, dass das
Expires:-Datum auf das beabsichtigte zukünftige Datum gesetzt ist - Zu überprüfen, ob die
Policy:- undAcknowledgments:-URLs korrekt auflösen - Optionale Direktiven (
Hiring,Encryption) vor der Veröffentlichung zu prüfen
Die Vorschau zeigt den aktuell gespeicherten Stand. Nehmen Sie Änderungen vor, speichern Sie und sehen Sie sich dann die Vorschau an, um die aktualisierte Ausgabe zu prüfen.
Ihre Einrichtung validieren
Nachdem Sie VDP aktiviert und security.txt konfiguriert haben, überprüfen Sie die Funktion:
- Öffnen Sie
https://startupkit.app/.well-known/security.txtim Browser (oder die Kit-gehostete URL, falls Sie noch keine benutzerdefinierte Domain konfiguriert haben) - Bestätigen Sie, dass die Datei als Klartext mit allen erwarteten Direktiven gerendert wird
- Überprüfen Sie, ob das
Expires:-Datum in der Zukunft liegt und innerhalb eines Jahres fällt - Prüfen Sie, ob die
Contact:-E-Mail oder -URL korrekt ist - Falls Sie eine benutzerdefinierte Domain verwenden, überprüfen Sie, ob HTTPS aktiv ist – RFC 9116 erfordert die Bereitstellung über HTTPS
Externe Validierungstools wie securitytxt.org können Ihre Datei parsen und auf RFC 9116-Konformitätsprobleme hinweisen.
Schnellcheckliste
- VDP aktivieren (security.txt wird bei der Aktivierung automatisch generiert)
- Kontakt-E-Mail auf einen überwachten Sicherheitsalias setzen (kein persönliches Postfach)
- Überprüfen, ob
/.well-known/security.txtauf Ihrer benutzerdefinierten Domain auflöst - Policy-URL setzen, damit Forscher vor der Einreichung die Regeln kennen
- Bestätigen, dass das
Expires:-Datum nicht mehr als ein Jahr in der Zukunft liegt - Kalendererinnerung nach 11 Monaten setzen, um sicherzustellen, dass die Datei nicht abgelaufen ist (oder sich auf die 30-Tage-Ablaufwarnung von Kit verlassen)
Nächste Schritte
- Ihr Programm konfigurieren – alle Programmeinstellungen einschließlich Scope, Bounty-Matrix und SLAs
- Vulnerability Disclosure im Überblick – was im kostenlosen Tarif und im VDP Add-on enthalten ist