Ontwikkel je een website voor de publieke sector? Dan heb je te maken met een aantal open standaarden die worden aanbevolen of zelfs verplicht bent om toe te passen. Een daarvan is het gebruik van security.txt.
security.txt is letterlijk een tekstbestand dat je moet kunnen aanroepen bij een website of webapplicatie via https://<domeinnaam>/.well-known/security.txt. Hierin vermeld je waar beveiligingsonderzoekers een gevonden kwetsbaarheid kunnen melden. Bijvoorbeeld via een contactformulier, mailadres of telefoonnummer. Voor onze eigen website ziet dit er als volgt uit. De opbouw van dit bestand moet voldoen aan een aantal specificaties die goed zijn uitgewerkt op https://securitytxt.org.
Veel websites en applicaties op ons platform zijn onderhevig aan deze ‘Pas toe of leg uit‘-verplichting. Daarom kun je deze informatie op organisatieniveau beheren via onze portal. Voor elk project waar geen security.txt is geplaatst genereren we hiermee automatisch een bestand dat voldoen aan RFC 9116. Als digital agency hoef je hierdoor niet elk project opnieuw af om dit alsnog op te maken. Je hele portfolio voldoet daarmee aan de aanbevelingen van internet.nl.
Naast contactinformatie kun je security.txt ook inzetten als erkenning voor eerder gemelde bevindingen, bijvoorbeeld:
We would like to thank the following researchers:
(2017-04-15) Frank Denis – Reflected cross-site scripting
(2017-01-02) Alice Quinn – SQL injection
(2016-12-24) John Buchner – Stored cross-site scripting
(2016-06-10) Anna Richmond – A server configuration issue
En zelfs voor vacatures die verband houden met informatiebeveiliging:
Hiring: https://example.com/jobs.html