[Contribution de Kalpesh Mehta de Corra]{class="badge informative" title="Kalpesh Mehta"} [PaaS uniquement]{class="badge informative" title="S’applique uniquement aux projets Adobe Commerce on Cloud (infrastructure PaaS gérée par Adobe) et aux projets On-premise."}
Fichier TXT de sécurité
Lorsque des vulnérabilités de sécurité sont découvertes par les chercheurs, les canaux de création de rapports appropriés font souvent défaut. Par conséquent, certaines vulnérabilités ne sont pas signalées. Le but du fichier security.txt format est de fournir aux chercheurs en sécurité les informations qu'ils peuvent utiliser pour rapporter leurs résultats.
Les commerçants peuvent saisir leurs coordonnées pour signalement des problèmes de sécurité à partir de Commerce Admin. Pour les développeurs, le module Magento_Securitytxt fournit les fonctionnalités suivantes :
- Permet l’enregistrement des configurations de sécurité depuis l’Admin.
- Contient un routeur pour faire correspondre la classe d'action de l'application pour les requêtes aux fichiers
.well-known/security.txtet.well-known/security.txt.sig. - Diffuse le contenu des fichiers
.well-known/security.txtet.well-known/security.txt.sig.
Un fichier security.txt valide peut se présenter comme suit :
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Pour créer le fichier de signature security.txt (security.txt.sig) :
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Pour vérifier la signature :
gpg --verify security.txt.sig security.txt