Configuration de security.txt
Comment configurer, prévisualiser et servir votre fichier security.txt conforme à la RFC 9116 — le principal mécanisme de découverte pour les chercheurs en sécurité.
Pourquoi c’est important
security.txt est le signal standard sur internet pour indiquer « voici comment nous signaler un problème de sécurité ». Défini dans la RFC 9116, il est recommandé par la CISA et exigé des agences fédérales américaines dans le cadre de la Binding Operational Directive 20-01. Les chercheurs en sécurité, les scanners de vulnérabilités et les agences gouvernementales interrogent automatiquement /.well-known/security.txt lorsqu’ils évaluent la posture de sécurité d’une organisation.
Publier un security.txt valide signale que votre programme est légitime et actif. Son absence signale le contraire — et soulève de plus en plus de questions auprès des auditeurs et des équipes d’approvisionnement en entreprise.
Même sur le plan gratuit, Kit publie security.txt automatiquement lorsque vous activez le VDP. Aucune configuration requise.
Qu’est-ce que security.txt
Un fichier texte brut servi à /.well-known/security.txt via HTTPS. La RFC 9116 définit six directives standard :
| Directive | Obligatoire | Description |
|---|---|---|
Contact |
Oui | Adresse e-mail ou URL où les rapports de vulnérabilité doivent être envoyés |
Expires |
Oui | Date et heure ISO 8601 après laquelle le fichier ne devrait plus être considéré comme fiable |
Policy |
Non | URL vers votre page complète de politique de divulgation |
Acknowledgments |
Non | URL vers votre Hall of Fame ou page de remerciements |
Hiring |
Non | URL vers les offres d’emploi de votre équipe sécurité |
Encryption |
Non | URL vers une clé publique PGP pour les communications chiffrées |
Kit ajoute également Preferred-Languages: en automatiquement.
Un fichier valide minimal ressemble à ceci :
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/.well-known/security.txt
Preferred-Languages: en
Un fichier entièrement configuré inclut les six directives :
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/policy
Acknowledgments: https://example.com/security/acme/hall-of-fame
Hiring: https://example.com/careers/security
Encryption: https://keys.example.com/pgp-key.asc
Preferred-Languages: en
Configurer security.txt
Accédez à VDP > Paramètres du programme > security.txt. Configurez les champs suivants :
| Champ | Par défaut | Description |
|---|---|---|
| E-mail de contact | E-mail de l’administrateur du compte | Utilisé dans la directive Contact:. Utilisez un alias de sécurité surveillé, pas une boîte de réception personnelle. |
| URL de la politique | Générée automatiquement | Lien vers votre page de politique de divulgation. Kit la génère à partir du slug de votre programme. |
| URL des remerciements | Générée automatiquement | Lien vers votre page Hall of Fame. Kit la génère automatiquement. |
| URL de recrutement | Vide | Lien vers les offres d’emploi de votre équipe sécurité. Optionnel. |
| URL de chiffrement PGP | Vide | URL vers votre clé publique PGP hébergée en externe. Optionnel. |
| Jours d’expiration | 365 | Nombre de jours dans le futur pour la directive Expires:. La RFC 9116 recommande un an maximum. |
L’e-mail de contact et les jours d’expiration sont les seuls champs que la plupart des programmes doivent modifier. Les URL de politique et de remerciements sont générées à partir de la configuration de votre programme et se mettent à jour automatiquement.
Cliquez sur Prévisualiser security.txt pour voir le contenu brut avant d’enregistrer. L’enregistrement de n’importe quel champ déclenche la régénération immédiatement.
Où le fichier est servi
Kit sert votre security.txt à deux URL :
| URL | Quand l’utiliser |
|---|---|
/security/{program-slug}/.well-known/security.txt |
Hébergé par Kit — fonctionne immédiatement après l’activation du VDP |
/.well-known/security.txt (votre domaine personnalisé) |
Production — nécessite la configuration d’un domaine personnalisé dans les Paramètres du compte |
Pour le service sur domaine personnalisé, configurez votre domaine dans Paramètres du compte > Domaines personnalisés. Une fois configuré, Kit sert /.well-known/security.txt à la racine de votre domaine automatiquement. C’est l’URL que vous souhaitez que les chercheurs et les scanners découvrent.
Le fichier est servi avec Content-Type: text/plain; charset=utf-8 conformément à la RFC 9116. Les deux URL renvoient un contenu identique.
Régénération automatique
Kit gère le cycle de vie de security.txt automatiquement :
- À l’enregistrement de la configuration — Le fichier est régénéré immédiatement lorsqu’un champ de configuration security.txt est enregistré. Aucune étape de publication manuelle requise.
- Surveillance de l’expiration — Une vérification quotidienne surveille tous les fichiers publiés dont l’expiration approche. Lorsqu’un fichier est à moins de 30 jours de sa date
Expires:, les administrateurs du compte reçoivent un e-mail avec un lien direct pour le renouveler. - Au renouvellement — Ouvrir la page des paramètres security.txt et enregistrer (même sans modification) régénère le fichier avec une nouvelle date
Expires:calculée à partir d’aujourd’hui plus le nombre de jours d’expiration configuré.
Un security.txt expiré indique aux chercheurs que votre programme est peut-être abandonné. L’avertissement d’expiration de Kit vous donne une marge de 30 jours pour renouveler avant que cela ne se produise.
Prévisualiser le fichier
Le bouton Prévisualiser security.txt dans les Paramètres du programme affiche le contenu exact du fichier qui sera servi. Utilisez-le pour :
- Vérifier que l’e-mail
Contact:est correct et surveillé - Confirmer que la date
Expires:est définie à la date future prévue - Vérifier que les URL
Policy:etAcknowledgments:se résolvent correctement - Examiner les directives optionnelles (
Hiring,Encryption) avant la publication
La prévisualisation reflète l’état enregistré actuel. Apportez des modifications, enregistrez, puis prévisualisez pour voir le résultat mis à jour.
Valider votre configuration
Après avoir activé le VDP et configuré security.txt, vérifiez que tout fonctionne :
- Ouvrez
https://startupkit.app/.well-known/security.txtdans un navigateur (ou l’URL hébergée par Kit si vous n’avez pas configuré de domaine personnalisé) - Confirmez que le fichier s’affiche en texte brut avec toutes les directives attendues
- Vérifiez que la date
Expires:est dans le futur et dans un délai d’un an - Vérifiez que l’e-mail ou l’URL
Contact:est correct - Si vous utilisez un domaine personnalisé, vérifiez que HTTPS est actif — la RFC 9116 exige que le fichier soit servi via HTTPS
Des validateurs externes comme securitytxt.org peuvent analyser votre fichier et signaler tout problème de conformité RFC 9116.
Liste de contrôle rapide
- Activez le VDP (security.txt est généré automatiquement à l’activation)
- Définissez votre e-mail de contact sur un alias de sécurité surveillé (pas une boîte de réception personnelle)
- Vérifiez que
/.well-known/security.txtse résout sur votre domaine personnalisé - Définissez l’URL de la politique pour que les chercheurs connaissent les règles avant de soumettre
- Confirmez que la date
Expires:ne dépasse pas un an - Programmez un rappel de calendrier à 11 mois pour vérifier que le fichier n’a pas expiré (ou fiez-vous à l’e-mail d’avertissement d’expiration de Kit à 30 jours)
Étapes suivantes
- Configuration de votre programme — tous les paramètres du programme, y compris le périmètre, la matrice de primes et les SLA
- Aperçu de la divulgation de vulnérabilités — ce qui est inclus avec le plan gratuit et le VDP Add-on