[Bijdrage van Kalpesh Mehta van Corra]{class="badge informative" title="Kalpesh Mehta"} [Alleen PaaS]{class="badge informative" title="Is alleen van toepassing op Adobe Commerce op Cloud-projecten (door Adobe beheerde PaaS-infrastructuur) en op projecten in het veld."}
Beveiligingstxtbestand
Wanneer door onderzoekers beveiligingskwetsbaarheden worden ontdekt, ontbreekt het vaak aan goede rapporteringskanalen. Hierdoor worden enkele kwetsbaarheden niet gemeld. Het doel van het security.txt dossier - formaat dossier moet veiligheidsonderzoekers de informatie verstrekken die zij kunnen gebruiken om hun bevindingen te melden.
De handelaren kunnen hun contactinformatie voor veiligheidskwestie ingaan die van Commerce meldt Admin. Voor ontwikkelaars biedt de module Magento_Securitytxt de volgende functionaliteit:
- Staat veiligheidsconfiguraties toe om van worden bewaard Admin.
- Bevat een router om toepassingsactieklasse voor verzoeken aan
.well-known/security.txten.well-known/security.txt.sigdossiers aan te passen. - De inhoud van de bestanden
.well-known/security.txten.well-known/security.txt.sig.
Een geldig security.txt bestand kan er als volgt uitzien:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Het security.txt handtekeningbestand (security.txt.sig ) maken:
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Om de handtekening te verifiëren:
gpg --verify security.txt.sig security.txt