信息來源：安全牛

長期以來，由于缺乏透明規(guī)范的全球性 VDP（漏洞披露策略）白帽子安全研究專家和滲透測試人員的職業(yè)風險居高不下，導致政府和企業(yè)網(wǎng)絡安全防御與黑客攻擊力的對抗嚴重失衡，安全風險不斷累積。數(shù)天前獲得美國網(wǎng)絡安全與基礎設施安全局 (CISA) 發(fā)布的聯(lián)邦政府漏洞披露策略草案背書后，IESG 的全球性網(wǎng)絡漏洞披露標準 Security.txt 草案也進入了最后一輪意見征詢階段。

柳暗花明

近日，互聯(lián)網(wǎng)工程指導小組 (IESG) 發(fā)布了網(wǎng)絡漏洞披露標準 Security.txt 的最終征求意見稿，該網(wǎng)絡安全策略旨在使研究人員盡可能簡化漏洞披露過程。

廣受安全業(yè)界關注的 IESG 漏洞披露標準很快將成為所有網(wǎng)站的推薦漏洞披露報告標準。

進入最終意見征求階段后，對該標準感興趣的各方還有不到一個月的時間提交評論。

標準提案 “Web安全策略方法” 旨在改善獨立安全研究人員當前用來披露 Web 服務漏洞的通信渠道。

該標準的實施也非常簡單：組織和站點管理員只需要將標準化文件 Security.txt 放入站點指定目錄路徑中。安全研究人員可以輕松地通過這個文件與公司聯(lián)系。

該標準提案的 GitHub 頁面顯示：Security.txt 文件為安全研究人員提供了如何報告安全問題的清晰指南，并允許定義漏洞賞金計劃的范圍。

第一時間找到聯(lián)絡人

眾所周知，對于安全研究人員而言，漏洞披露過程大概率會是一場噩夢，由于缺乏清晰（安全）的規(guī)程規(guī)范，研究者常常無法及時穩(wěn)妥地將安全漏洞告知組織。

安全研究員斯科特·赫爾姆 (Scott Helme) 在去年發(fā)表的一篇博客中評論說：發(fā)現(xiàn)漏洞后企業(yè)需要迅速做出反應來解決，但無法及時找到接口聯(lián)系人拖慢了整個流程。

結果是大量漏洞沒有得到及時報告，而安全團隊成了在隔三岔五的零日漏洞和數(shù)據(jù)泄露事故中疲于奔命的消防隊。

該提案指出，Security.txt 旨在成為組織漏洞披露政策 (VDP) 的 “一站式服務”，提供不僅限于電子郵件的聯(lián)系信息。

文件名為Security.txt，文件路徑統(tǒng)一為：/.well-known/security.txt。為了兼容遺留系統(tǒng)，Security.txt文件也可以放在頂級目錄中。

簡單得就像純文本

Ed.Foudil 于 2017 年首次提出了 Security.txt 標準的草案，并已由維護 VDP 的組織在網(wǎng)站上實施。

國土安全部的網(wǎng)絡安全和基礎設施安全局 (CISA) 也在最近發(fā)布的指令中要求聯(lián)邦機構發(fā)布 VDP 時強制性部署 Security.txt。

CISA重申，Security.txt 文件應在代理機構主要 .gov 域的 /.well-known/ 路徑中發(fā)布。

該文件還將幫助美國網(wǎng)絡安全機構了解誰遵守了目前正在征求意見的指令。

IESG 的征集呼吁于 2020 年 1 月 6 日結束。