[Mitwirkende von Kalpesh Mehta aus Corra]{class="badge informative" title="Kalpesh Mehta"}
TXT-Sicherheitsdatei
Wenn von Forschern Sicherheitslücken entdeckt werden, fehlen häufig geeignete Berichtskanäle. Daher werden einige Schwachstellen nicht gemeldet. Die Datei security.txt
Dateiformat dient dazu, Sicherheitsforschern die Informationen zur Verfügung zu stellen, die sie zur Meldung ihrer Ergebnisse verwenden können.
Händler können ihre Kontaktinformationen für die Meldung von Sicherheitsproblemen von Commerce Admin eingeben. Für Entwickler stellt das Modul Magento_Securitytxt
die folgenden Funktionen bereit:
- Ermöglicht das Speichern von Sicherheitskonfigurationen über den Administrator.
- Enthält einen Router zum Abgleichen der Anwendungsaktionsklasse für Anfragen an die Dateien
.well-known/security.txt
und.well-known/security.txt.sig
. - Stellt den Inhalt der Dateien
.well-known/security.txt
und.well-known/security.txt.sig
bereit.
Eine gültige security.txt
-Datei könnte wie folgt aussehen:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
So erstellen Sie die Datei mit der security.txt
-Signatur (security.txt.sig
):
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Überprüfen der Signatur:
gpg --verify security.txt.sig security.txt