[Mitwirkende von Kalpesh Mehta aus Corra]{class="badge informative" title="Kalpesh Mehta"}

TXT-Sicherheitsdatei

Wenn von Forschern Sicherheitslücken entdeckt werden, fehlen häufig geeignete Berichtskanäle. Daher werden einige Schwachstellen nicht gemeldet. Der Zweck der security.txt Dateiformat dient dazu, Sicherheitsforschern die Informationen zur Verfügung zu stellen, die sie für die Meldung ihrer Ergebnisse verwenden können.

Händler können ihre Kontaktinformationen für Sicherheitsfehlermeldung aus dem Handel Admin. Für Entwickler wird die Variable Magento_Securitytxt -Modul bietet die folgende Funktionalität:

  • Ermöglicht das Speichern von Sicherheitskonfigurationen über die Admin.
  • Enthält einen Router, der der Anwendungsaktionsklasse für Anforderungen an die .well-known/security.txt und .well-known/security.txt.sig -Dateien.
  • Stellt den Inhalt der .well-known/security.txt und .well-known/security.txt.sig -Dateien.

Eine gültige security.txt -Datei könnte wie folgt aussehen:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

So erstellen Sie die security.txt signature (security.txt.sig) Datei:

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

Überprüfen der Signatur:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c