[Contribuito da Kalpesh Mehta di Corra]{class="badge informative" title="Kalpesh Mehta"}
File TXT di protezione
Quando i ricercatori scoprono delle vulnerabilità di sicurezza, spesso mancano i canali di segnalazione appropriati. Di conseguenza, alcune vulnerabilità non vengono segnalate. Lo scopo del file security.txt formato file è quello di fornire ai ricercatori della sicurezza le informazioni che possono utilizzare per segnalare i risultati.
Gli esercenti possono immettere le informazioni di contatto per segnalazione dei problemi di sicurezza da Commerce Amministratore. Per gli sviluppatori, il modulo Magento_Securitytxt fornisce le funzionalità seguenti:
- Consente di salvare le configurazioni di sicurezza da Admin.
- Contiene un router che corrisponde alla classe di azione dell'applicazione per le richieste ai file
.well-known/security.txte.well-known/security.txt.sig. - Distribuisce il contenuto dei file
.well-known/security.txte.well-known/security.txt.sig.
Un file security.txt valido potrebbe avere l'aspetto seguente:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Per creare il file della firma security.txt (security.txt.sig):
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Per verificare la firma:
gpg --verify security.txt.sig security.txt