[寄稿:Kalpesh Meta from Corra]{class="badge informative" title="カルペシュ メッタ"}

セキュリティ TXT ファイル

研究者によってセキュリティの脆弱性が発見された場合、適切なレポートチャネルがないことがよくあります。 その結果、一部の脆弱性は報告されません。 security.txt ファイル形式ファイルの目的は、セキュリティ調査担当者が調査結果を報告するために使用できる情報を提供することです。

マーチャントは、 セキュリティの問題のレポートに関する連絡先情報をCommerceから入力できます 管理者。 開発者向けに、Magento_Securitytxt モジュールは次の機能を提供します。

  • Admin からセキュリティ設定を保存できるようにします。
  • .well-known/security.txt ファイルと .well-known/security.txt.sig ファイルへの要求に対するアプリケーション アクション クラスに一致するルーターが含まれています。
  • .well-known/security.txt ファイルと .well-known/security.txt.sig ファイルのコンテンツを提供します。

有効な security.txt ファイルは次のようになります。

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

security.txt signature (security.txt.sig)ファイルを作成するには:

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

署名を検証するには:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c