Het security.txt bestand is een door de Internet Engineering Task Force (IETF) ontwikkelde standaard. Hiermee kan je op een gestandaardiseerde manier via een vooraf bepaalde URL jouw beveiligings beleid publiekelijk beschikbaar maken. Met deze gegevens kan er snel contact worden opgenomen met de juiste persoon of een team om snel mitigerende maatregelen te nemen bij bijvoorbeeld een lek of kwetsbaarheid. Het bestand bevat informatie zoals het beleid rondom het melden van kwetsbaarheden en hoe er contact opgenomen kan worden.
Het security.txt bestand bestaat uit meerdere velden namelijk de verplichte en optionele velden. Voor een geldig bestand moeten alle verplichte velden zijn ingevuld, dit zijn de contactpersoon informatie en vervaldatum van het bestand. Meer informatie over het bestand en de optionele velden is te vinden in de RFC.
Begin met het bepalen en verzamelen van de informatie, denk hierbij aan de verplichte en optionele velden. Het is verplicht om aan te geven wie de melding moet ontvangen en tot wanneer hij geldig is.af? De vervaldatum geeft aan wanneer het bestand als ongeldig verklaart mag worden.
Tip: Maak bij het genereren van het security.txt-bestand een herinnering dat deze voor de vervaldatum vervangen dient te worden. Zo wordt het bestand tijdig vervangen en voorkom je dat het bestand ongeldig wordt verklaard.
Het is mogelijk om een geldig security.txt zelf te typen. Echter is het in veel gevallen eenvoudiger om hiervoor een tool te gebruiken welke automatisch een geldig bestand genereert. Gebruik hiervoor bijvoorbeeld de tool securitytxt.
Tip: Op https://securitytxt.org/ staan ook alle optionele velden. Daarnaast is hier ook in een oogopslag te zien welke informatie ingevuld dient te worden. Zo is het mogelijk om bijvoorbeeld ook een PGP-sleutel op te geven, zodat melders de informatie versleuteld kunnen aanleveren.
Na het genereren van de bestandsinhoud plaats je deze op de webserver. Wereldwijd is de afspraak gemaakt om deze in de ".well-known" directory te plaatsen zoals: https://www.shockmedia.nl/.well-known/security.txt.
.well-known. Dit kan via de file manager of via FTP;int
Controleer dat het bestand voor iedereen zichtbaar is door het te testen via de URL, zoals https://www.website.nl/.well-known/security.txt. Je kunt ook een externe controle uitvoeren via internet.nl om te controleren dat het bestand juist geïmplementeerd is.
https://www.digitaltrustcenter.nl/securitytxt
https://forumstandaardisatie.nl/open-standaarden/securitytxt
https://www.ncsc.nl/documenten/publicaties/2023/maart/2/handreiking-security.txt
Mocht je nog ergens tegen aan lopen, of mocht er informatie missen op deze pagina, laat het ons dan gerust weten! Wij staan dag en nacht klaar om je verder te helpen, en houden er van om feedback van onze trouwe partners/klanten te horen.