[Contribuito da Kalpesh Mehta di Corra]{class="badge informative" title="Kalpesh Mehta"}
File TXT di protezione
Quando i ricercatori scoprono delle vulnerabilità di sicurezza, spesso mancano i canali di segnalazione appropriati. Di conseguenza, alcune vulnerabilità non vengono segnalate. Lo scopo del file security.txt
formato file è quello di fornire ai ricercatori della sicurezza le informazioni che possono utilizzare per segnalare i risultati.
Gli esercenti possono immettere le informazioni di contatto per segnalazione dei problemi di sicurezza da Commerce Amministratore. Per gli sviluppatori, il modulo Magento_Securitytxt
fornisce le funzionalità seguenti:
- Consente di salvare le configurazioni di sicurezza da Admin.
- Contiene un router che corrisponde alla classe di azione dell'applicazione per le richieste ai file
.well-known/security.txt
e.well-known/security.txt.sig
. - Distribuisce il contenuto dei file
.well-known/security.txt
e.well-known/security.txt.sig
.
Un file security.txt
valido potrebbe avere l'aspetto seguente:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Per creare il file della firma security.txt
(security.txt.sig
):
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Per verificare la firma:
gpg --verify security.txt.sig security.txt