security.txt

Uit NORA Online
Security.txt
Naar navigatie springen Naar zoeken springen


Onderdeel van
Lijsten & Verwijzingen
Contact
NORA Beheer
nora@ictu.nl
Status
Actueel
Status is afgeleid van Status bij Forum Standaardisatie (Verplicht (pas toe leg uit)
Naam
Security.txt
ID
Type

Standaard

Wijzigingsdatum
Deze informatie is (deels) overgenomen van forumstandaardisatie.nl.
Schaduwkopie: fs:securitytxt



  • Nut: Elke dag vinden beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden in websites of IT-systemen. Vaak is het niet duidelijk wáár een beveiligingsonderzoeker een gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het bereiken van de juiste afdeling of persoon binnen de verantwoordelijke organisatie. Het gebruik van de security.txt-standaard kan helpen om dit te voorkomen. De standaard beschrijft hoe een organisatie onder meer contactinformatie kan publiceren die een beveiligingsonderzoeker vervolgens kan gebruiken om een gevonden kwetsbaarheid aan de betreffende organisatie te melden.
  • Werking: Met een security.txt-bestand kan een organisatie security-contactinformatie op haar webserver publiceren. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct contact met de juiste afdeling of persoon binnen de organisatie op te nemen over kwetsbaarheden die zij in de website of IT-systemen van de organisatie hebben gevonden.

Het formaat van het bestand is bedoeld om machinaal en menselijk leesbaar te zijn. De contactinformatie kan een e-mailadres, een telefoonnummer en/of een webpagina (bijvoorbeeld een webformulier) zijn. Merk op dat gepubliceerde contactinformatie openbaar is en ook kan worden misbruikt, bijvoorbeeld om spam te sturen naar een gepubliceerd e-mailadres.

Naast contactinformatie moet het security.txt bestand ook een vervaldatum bevatten. Het is optioneel om ook andere relevante informatie voor beveiligingsonderzoekers op te nemen, zoals een link naar het beleid voor het omgaan met meldingen van beveiligingskwetsbaarheden (meestal Coordinated Vulnerability Disclosure policy genoemd).


Waar toepasbaar

  • Functioneel toepassingsgebied: security.txt moet worden toegepast op alle systemen die via HTTPS publiek benaderbaar zijn, zodat securitycontactinformatie duidelijk is.
  • Organisatorisch werkingsgebied:

Meer informatie

  • Beheerorganisatie: IETF

Realiseert

Lijst Open Standaarden voor Pas Toe of Leg Uit

Toepassing in voorzieningen en bouwstenen

VoorzieningToelichtingOordeelRelevantieVolgens bronGepubliceerd op
BAG (Basisregistratie Adressen en Gebouwen)
BRK (Basisregistratie Kadaster)
BGT (Basisregistratie Grootschalige Topografie)
WOZ (Basisregistratie Waarde Onroerende Zaken)
BRT (Basisregistratie Topografie)
De webserver biedt geen security.txt-bestand op de juiste plaats aan, het kon niet worden opgehaald, of de inhoud ervan is syntactisch niet geldig. De beheerder pakt dit op.voldoet deelsvan toepassingMonitor Open Standaarden 202420 september 2024
BRO (Basisregistratie Ondergrond)Het klopt dat geen van de webservers het security.txt bestand aanbieden. Een onderzoek wordt op de backlog geplaatst en dit wordt, indien nodig/relevant, geïmplementeerd.voldoet nietvan toepassingMonitor Open Standaarden 202420 september 2024
BRV (Basisregistratie Voertuigen)voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Berichtenbox voor bedrijvenDe beheerder geeft dan dat deze standaard nog niet toegepast is, maar dit zal in een volgende update worden toegevoegd.voldoet nietvan toepassingMonitor Open Standaarden 202420 september 2024
DigiDVoor alle (sub)domeinen van DigiD wordt doorverwezen naar de security.txt van het NCSC, zoals afgesproken binnen de Rijksoverheid.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
DigiD MachtigenVoor het subdomein machtigen.digid.nl wordt doorverwezen naar de security.txt van het NCSC, zoals afgesproken binnen de Rijksoverheid.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Digileveringvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
DigimeldingVoldoetvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
DigipoortDigiPoort voldoet aan de security.txt standaard, zie bron.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
HR (Basisregistratie Handelsregister)Basisregistratie Handelsregister voldoet aan de security.txt standaard.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
MijnOverheidvoldoet deelsvan toepassingMonitor Open Standaarden 202420 september 2024
OndernemerspleinDe webserver biedt een security.txt-bestand op de juiste plaats aan en de inhoud ervan is syntactisch geldig. Echter, security.txt zou digitaal ondertekend moeten zijn. Dit wordt naar verwachting in Q3 2024 opgepakt.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Samenwerkende catalogivoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Stelsel Elektronische Toegangsdienstenvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
StelselcatalogusOplossing voor dit is 'in progress'. Redirects naar het security.txt bestand (van NCSC) zijn nu opgenomen in de proxy. De productie proxy’s worden bijgewerkt.geplandvan toepassingMonitor Open Standaarden 202420 september 2024
WOZ WaardeloketWOZ-Waardeloket voldoet aan de security.txt standaard.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Beheervoorziening BSN
BRP-V (BRP Verstrekkingsvoorziening)
Security.txt is nog niet toegepast, maar dit staat wel op de planning van de beheerder.voldoet nietvan toepassingMonitor Open Standaarden 202420 september 2024
Doc-DirektDe website handelingenbank.info is aan vervanging toe. Daartoe wordt een projectopdracht samengesteld. Het toevoegen van het security.txt bestand wordt opgenomen in de opdracht.voldoet deelsvan toepassingMonitor Open Standaarden 202420 september 2024
Overheid.nlvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
PDOKPDOK voldoet aan de security.txt standaard.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
PKIoverheidPKIoverheid maakt gebruik van security.txt.voldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Rijksoverheid.nlvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
RijksportaalGeen verdere toelichting vanuit de beheerder.voldoet nietvan toepassingMonitor Open Standaarden 202420 september 2024
TenderNedvoldoetvan toepassingMonitor Open Standaarden 202420 september 2024
Toelichting: Bouwstenen en gebruikte standaarden