[Colaboró Kalpesh Mehta de Corra]{class="badge informative" title="Kalpesh Mehta"} [Solo PaaS]{class="badge informative" title="Se aplica solo a proyectos de Adobe Commerce en la nube (infraestructura PaaS administrada por Adobe) y a proyectos locales."}
Archivo TXT de seguridad
Cuando los investigadores descubren vulnerabilidades de seguridad, a menudo no hay canales de informes adecuados. Como resultado, no se informa de algunas vulnerabilidades. El propósito del archivo security.txt formato de archivo es proporcionar a los investigadores de seguridad la información que pueden utilizar para informar sobre sus hallazgos.
Los comerciantes pueden escribir su información de contacto para informar sobre problemas de seguridad desde el administrador de Commerce. Para los desarrolladores, el módulo Magento_Securitytxt proporciona la siguiente funcionalidad:
- Permite guardar las configuraciones de seguridad desde Admin.
- Contiene un enrutador para que coincida con la clase de acción de la aplicación para las solicitudes de los archivos
.well-known/security.txty.well-known/security.txt.sig. - Sirve el contenido de los archivos
.well-known/security.txty.well-known/security.txt.sig.
Un archivo security.txt válido puede tener el siguiente aspecto:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Para crear el archivo de firma security.txt (security.txt.sig):
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Para comprobar la firma:
gpg --verify security.txt.sig security.txt