security.txt
Deze gegevens zijn afkomstig van https://www.forumstandaardisatie.nl/open-standaarden/Securitytxt
Over de standaard | |
---|---|
Lijst status | Verplicht (pas toe leg uit) |
Beschrijving | Publicatie van contactinformatie voor beveiligingsmeldingen |
Uitleg | |
Nut | Elke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden. |
Werking |
Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden. Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres. Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd). |
Waarvoor geldt de verplichting | |
Aanvullende verplichtingen | |
Trefwoorden | Informatiebeveiliging, Internet, Website |
Detailinformatie | |
Beheerorganisatie | IETF |
Uitstekend beheer | Nee |
Specificatiedocument | Specificatiedocument security.txt |
Volledige naam | security.txt |
Versie | RFC 9116 |
Inkoop | |
Aandachtspunten | |
Sjabloon-bestektekst | |
CPV-code(s) | |
Implementatie | |
Conformiteitstest | Internet.nl |
Domein | |
Relatie met andere standaarden | |
Toelichting | |
Toetsingsinformatie | |
Hulpmiddelen | |
Functioneel toepassingsgebied | security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is. |
Organisatorisch werkingsgebied | Nederlandse overheden (Rijk, provincies, gemeenten en waterschappen) en instellingen uit de (semi-)publieke sector. |
Toelichting bij opname | |
Datum van aanmelding | 2022-06-02 |
Datum van besluit | 2023-05-25 |
Europese status (MSP) | Nee |
Documentatie |
|
Forum-Adviezen | |
Advies aan beheerder | |
Adoptieadviezen |
Het Forum Standaardisatie geeft de volgende adviezen bij plaatsing van security.txt op de ‘pas toe of leg uit’-lijst:
|
Leveranciers |
- 20220928-Intakeadvies-securitytxt.pdf (Intakeadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20220928-Intakeadvies-securitytxt.pdf,PDF Document)
- 20230209-Expertadvies-securitytxt (Expertadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20230209-Expertadvies-securitytxt.pdf,PDF Document)
- 20230412-Forumadvies-securitytxt (Forumadvies,https://forumstandaardisatie.nl/sites/default/files/BFS/3-lijsten/standaarden/security.txt/20230412-Forumadvies-securitytxt.pdf,PDF Document)