security.txt
Security.txt
Naar navigatie springen
Naar zoeken springen
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- NORA Beheer
- nora@ictu.nl
- Status
- Actueel
- Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
- Naam
- Security.txt
- ID
- Type
- Wijzigingsdatum
- Nut: Elke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden.
- Werking: Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden.
Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres.
Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd).
- Status op lijst van Forum Standaardisatie: Verplicht (pas toe leg uit)
Waar toepasbaar
- Functioneel toepassingsgebied: security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is.
- Organisatorisch werkingsgebied:
Meer informatie
- Beheerorganisatie: IETF
Realiseert
Lijst Open Standaarden voor Pas Toe of Leg UitToepassing in voorzieningen en bouwstenen
Voorziening | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
---|---|---|---|---|---|
BAG (Basisregistratie Adressen en Gebouwen) BRK (Basisregistratie Kadaster) BGT (Basisregistratie Grootschalige Topografie) WOZ (Basisregistratie Waarde Onroerende Zaken) BRT (Basisregistratie Topografie) | De webserver biedt geen security.txt-bestand op de juiste plaats aan, het kon niet worden opgehaald, of de inhoud ervan is syntactisch niet geldig. De beheerder pakt dit op. | voldoet deels | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
BRO (Basisregistratie Ondergrond) | Het klopt dat geen van de webservers het security.txt bestand aanbieden. Een onderzoek wordt op de backlog geplaatst en dit wordt, indien nodig/relevant, geïmplementeerd. | voldoet niet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
BRV (Basisregistratie Voertuigen) | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Berichtenbox voor bedrijven | De beheerder geeft dan dat deze standaard nog niet toegepast is, maar dit zal in een volgende update worden toegevoegd. | voldoet niet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
DigiD | Voor alle (sub)domeinen van DigiD wordt doorverwezen naar de security.txt van het NCSC, zoals afgesproken binnen de Rijksoverheid. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
DigiD Machtigen | Voor het subdomein machtigen.digid.nl wordt doorverwezen naar de security.txt van het NCSC, zoals afgesproken binnen de Rijksoverheid. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Digilevering | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Digimelding | Voldoet | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Digipoort | DigiPoort voldoet aan de security.txt standaard, zie bron. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
HR (Basisregistratie Handelsregister) | Basisregistratie Handelsregister voldoet aan de security.txt standaard. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
MijnOverheid | voldoet deels | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Ondernemersplein | De webserver biedt een security.txt-bestand op de juiste plaats aan en de inhoud ervan is syntactisch geldig. Echter, security.txt zou digitaal ondertekend moeten zijn. Dit wordt naar verwachting in Q3 2024 opgepakt. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Samenwerkende catalogi | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Stelsel Elektronische Toegangsdiensten | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Stelselcatalogus | Oplossing voor dit is 'in progress'. Redirects naar het security.txt bestand (van NCSC) zijn nu opgenomen in de proxy. De productie proxy’s worden bijgewerkt. | gepland | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
WOZ Waardeloket | WOZ-Waardeloket voldoet aan de security.txt standaard. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Beheervoorziening BSN BRP-V (BRP Verstrekkingsvoorziening) | Security.txt is nog niet toegepast, maar dit staat wel op de planning van de beheerder. | voldoet niet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Doc-Direkt | De website handelingenbank.info is aan vervanging toe. Daartoe wordt een projectopdracht samengesteld. Het toevoegen van het security.txt bestand wordt opgenomen in de opdracht. | voldoet deels | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Overheid.nl | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
PDOK | PDOK voldoet aan de security.txt standaard. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
PKIoverheid | PKIoverheid maakt gebruik van security.txt. | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
Rijksoverheid.nl | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 | |
Rijksportaal | Geen verdere toelichting vanuit de beheerder. | voldoet niet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |
TenderNed | voldoet | van toepassing | Monitor Open Standaarden 2024 | 20 september 2024 |