[Mitwirkende von Kalpesh Mehta aus Corra]{class="badge informative" title="Kalpesh Mehta"}
TXT-Sicherheitsdatei
Wenn von Forschern Sicherheitslücken entdeckt werden, fehlen häufig geeignete Berichtskanäle. Daher werden einige Schwachstellen nicht gemeldet. Die Datei security.txt Dateiformat dient dazu, Sicherheitsforschern die Informationen zur Verfügung zu stellen, die sie zur Meldung ihrer Ergebnisse verwenden können.
Händler können ihre Kontaktinformationen für die Meldung von Sicherheitsproblemen von Commerce Admin eingeben. Für Entwickler stellt das Modul Magento_Securitytxt die folgenden Funktionen bereit:
- Ermöglicht das Speichern von Sicherheitskonfigurationen über den Administrator.
- Enthält einen Router zum Abgleichen der Anwendungsaktionsklasse für Anfragen an die Dateien
.well-known/security.txtund.well-known/security.txt.sig. - Stellt den Inhalt der Dateien
.well-known/security.txtund.well-known/security.txt.sigbereit.
Eine gültige security.txt -Datei könnte wie folgt aussehen:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
So erstellen Sie die Datei mit der security.txt-Signatur (security.txt.sig):
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Überprüfen der Signatur:
gpg --verify security.txt.sig security.txt