Konfiguracja security.txt
Jak skonfigurować, podejrzeć i serwować plik security.txt zgodny z RFC 9116 — podstawowy mechanizm odkrywania programu przez etycznych hakerów.
Dlaczego to ważne
security.txt to internetowy standard sygnalizujący „oto jak zgłosić problem bezpieczeństwa”. Zdefiniowany w RFC 9116, jest rekomendowany przez CISA i wymagany od amerykańskich agencji federalnych na mocy Binding Operational Directive 20-01. Badacze bezpieczeństwa, skanery podatności i agencje rządowe automatycznie odpytują /.well-known/security.txt podczas oceny poziomu bezpieczeństwa organizacji.
Opublikowanie prawidłowego pliku security.txt sygnalizuje, że program jest wiarygodny i obsługiwany. Brak pliku sygnalizuje coś przeciwnego — i coraz częściej budzi wątpliwości u audytorów oraz zespołów procurement w sektorze enterprise.
Nawet na darmowym planie Kit publikuje security.txt automatycznie po włączeniu VDP. Zerowa konfiguracja.
Czym jest security.txt
Plik tekstowy serwowany pod adresem /.well-known/security.txt przez HTTPS. RFC 9116 definiuje sześć standardowych dyrektyw:
| Dyrektywa | Wymagana | Opis |
|---|---|---|
Contact |
Tak | Adres e-mail lub URL do zgłaszania podatności |
Expires |
Tak | Data i czas w formacie ISO 8601, po których plik nie powinien być uznawany za aktualny |
Policy |
Nie | URL do pełnej polityki ujawniania |
Acknowledgments |
Nie | URL do strony Hall of Fame lub podziękowań |
Hiring |
Nie | URL do ofert pracy w zespole bezpieczeństwa |
Encryption |
Nie | URL do klucza publicznego PGP do szyfrowanej komunikacji |
Kit automatycznie dołącza również Preferred-Languages: en.
Minimalny prawidłowy plik wygląda tak:
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/.well-known/security.txt
Preferred-Languages: en
W pełni skonfigurowany plik zawiera wszystkie sześć dyrektyw:
Contact: mailto:[email protected]
Expires: 2027-02-27T00:00:00Z
Policy: https://example.com/security/acme/policy
Acknowledgments: https://example.com/security/acme/hall-of-fame
Hiring: https://example.com/careers/security
Encryption: https://keys.example.com/pgp-key.asc
Preferred-Languages: en
Konfiguracja security.txt
Przejdź do VDP > Program Settings > security.txt. Pola do skonfigurowania:
| Pole | Domyślna wartość | Opis |
|---|---|---|
| Contact Email | E-mail administratora konta | Używany w dyrektywie Contact:. Należy użyć monitorowanego aliasu bezpieczeństwa, nie osobistej skrzynki. |
| Policy URL | Generowany automatycznie | Link do strony polityki ujawniania. Kit generuje go na podstawie sluga programu. |
| Acknowledgments URL | Generowany automatycznie | Link do strony Hall of Fame. Kit generuje go automatycznie. |
| Hiring URL | Puste | Link do ofert pracy w zespole bezpieczeństwa. Opcjonalne. |
| PGP Encryption URL | Puste | URL do klucza publicznego PGP hostowanego zewnętrznie. Opcjonalne. |
| Expiration Days | 365 | Liczba dni do przodu, na jaką ustawiana jest dyrektywa Expires:. RFC 9116 zaleca nie więcej niż rok. |
Contact Email i Expiration Days to jedyne pola, które większość programów musi zmienić. URL-e Policy i Acknowledgments są generowane na podstawie konfiguracji programu i aktualizują się automatycznie.
Kliknięcie Preview security.txt wyświetla surowe dane wyjściowe przed zapisaniem. Zapisanie dowolnego pola powoduje natychmiastową regenerację.
Gdzie jest serwowany
Kit serwuje plik security.txt pod dwoma adresami URL:
| URL | Kiedy używać |
|---|---|
/security/{program-slug}/.well-known/security.txt |
Hosting Kit — działa natychmiast po włączeniu VDP |
/.well-known/security.txt (własna domena) |
Produkcja — wymaga konfiguracji własnej domeny w Account Settings |
Aby serwować plik na własnej domenie, należy ją skonfigurować w Account Settings > Custom Domains. Po konfiguracji Kit automatycznie serwuje /.well-known/security.txt w katalogu głównym domeny. To jest URL, który powinni odkryć badacze i skanery.
Plik jest serwowany z nagłówkiem Content-Type: text/plain; charset=utf-8 zgodnie z RFC 9116. Oba URL-e zwracają identyczną treść.
Automatyczna regeneracja
Kit automatycznie zarządza cyklem życia security.txt:
- Przy zapisie konfiguracji — plik jest regenerowany natychmiast po zapisaniu dowolnego pola konfiguracji security.txt. Ręczna publikacja nie jest wymagana.
- Monitorowanie wygaśnięcia — codzienna kontrola sprawdza wszystkie opublikowane pliki pod kątem zbliżającego się wygaśnięcia. Gdy do daty
Expires:pozostaje mniej niż 30 dni, administratorzy konta otrzymują e-mail z bezpośrednim linkiem do odnowienia. - Przy odnowieniu — otwarcie ustawień security.txt i zapisanie (nawet bez zmian) regeneruje plik ze świeżą datą
Expires:obliczoną od dnia bieżącego plus skonfigurowana liczba Expiration Days.
Wygasły plik security.txt sygnalizuje badaczom, że program może być porzucony. Ostrzeżenie o wygaśnięciu w Kit daje 30-dniowy zapas na odnowienie.
Podgląd pliku
Przycisk Preview security.txt w Program Settings renderuje dokładną zawartość pliku, która będzie serwowana. Służy do:
- Weryfikacji, czy adres
Contact:jest poprawny i monitorowany - Potwierdzenia, że data
Expires:jest ustawiona na zamierzony przyszły termin - Sprawdzenia, czy URL-e
Policy:iAcknowledgments:prowadzą do prawidłowych stron - Przeglądu opcjonalnych dyrektyw (
Hiring,Encryption) przed publikacją
Podgląd odzwierciedla bieżący zapisany stan. Po wprowadzeniu zmian i zapisaniu podgląd pokazuje zaktualizowane dane wyjściowe.
Weryfikacja konfiguracji
Po włączeniu VDP i skonfigurowaniu security.txt należy zweryfikować poprawność działania:
- Otwarcie
https://startupkit.app/.well-known/security.txtw przeglądarce (lub URL hostowany przez Kit, jeśli nie skonfigurowano własnej domeny) - Upewnienie się, że plik renderuje się jako zwykły tekst ze wszystkimi oczekiwanymi dyrektywami
- Weryfikacja, czy data
Expires:jest w przyszłości i nie przekracza jednego roku - Sprawdzenie, czy adres e-mail lub URL w
Contact:jest poprawny - Jeśli używana jest własna domena — weryfikacja, czy HTTPS jest aktywny; RFC 9116 wymaga serwowania pliku przez HTTPS
Zewnętrzne walidatory, takie jak securitytxt.org, mogą przeanalizować plik i wskazać problemy ze zgodnością z RFC 9116.
Szybka lista kontrolna
- Włączenie VDP (security.txt jest generowany automatycznie przy aktywacji)
- Ustawienie adresu kontaktowego na monitorowany alias bezpieczeństwa (nie osobistą skrzynkę)
- Weryfikacja, czy
/.well-known/security.txtjest dostępny na własnej domenie - Ustawienie Policy URL, aby badacze znali zasady przed przesłaniem zgłoszenia
- Potwierdzenie, że data
Expires:nie przekracza jednego roku - Ustawienie przypomnienia w kalendarzu na 11. miesiąc w celu sprawdzenia, czy plik nie wygasł (lub poleganie na 30-dniowym e-mailu ostrzegawczym od Kit)
Kolejne kroki
- Configuring Your Program — wszystkie ustawienia programu, w tym zakres, macierz nagród i SLA
- Vulnerability Disclosure Overview — co zawiera plan Free i VDP Add-on