DokumentationCommerceKonfigurationshandbuch

Ein Beitrag von Kalpesh Mehta aus Corra

TXT-Sicherheitsdatei

Letzte Aktualisierung: 30. Dezember 2024
  • Themen:

Erstellt für:

  • Experte
  • Admin
  • Entwickler

Wenn Sicherheitslücken von Forschern entdeckt werden, fehlen oft geeignete Berichtskanäle. Daher werden einige Sicherheitslücken nicht gemeldet. Der Zweck der Datei security.txtDateiformat ist es, Sicherheitsforschern die Informationen bereitzustellen, die sie verwenden können, um ihre Ergebnisse zu melden.

Händler können ihre Kontaktinformationen für die Meldung von Sicherheitsproblemen über Commerce Admin eingeben. Für Entwickler bietet das Magento_Securitytxt-Modul die folgenden Funktionen:

  • Ermöglicht das Speichern von Sicherheitskonfigurationen unter "".
  • Enthält einen Router für die Anwendungsaktionsklasse für Anfragen an die .well-known/security.txt- und .well-known/security.txt.sig.
  • Stellt den Inhalt der .well-known/security.txt- und .well-known/security.txt.sig bereit.

Eine gültige security.txt-Datei könnte wie folgt aussehen:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

So erstellen Sie die security.txt Signaturdatei (security.txt.sig):

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

So überprüfen Sie die Signatur:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c