[Mitwirkende von Kalpesh Mehta aus Corra]{class="badge informative" title="Kalpesh Mehta"}

TXT-Sicherheitsdatei

Wenn von Forschern Sicherheitslücken entdeckt werden, fehlen häufig geeignete Berichtskanäle. Daher werden einige Schwachstellen nicht gemeldet. Die Datei security.txt Dateiformat dient dazu, Sicherheitsforschern die Informationen zur Verfügung zu stellen, die sie zur Meldung ihrer Ergebnisse verwenden können.

Händler können ihre Kontaktinformationen für die Meldung von Sicherheitsproblemen von Commerce Admin eingeben. Für Entwickler stellt das Modul Magento_Securitytxt die folgenden Funktionen bereit:

  • Ermöglicht das Speichern von Sicherheitskonfigurationen über den Administrator.
  • Enthält einen Router zum Abgleichen der Anwendungsaktionsklasse für Anfragen an die Dateien .well-known/security.txt und .well-known/security.txt.sig.
  • Stellt den Inhalt der Dateien .well-known/security.txt und .well-known/security.txt.sig bereit.

Eine gültige security.txt -Datei könnte wie folgt aussehen:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

So erstellen Sie die Datei mit der security.txt-Signatur (security.txt.sig):

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

Überprüfen der Signatur:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c