[Contribuição de Kalpesh Mehta de Corra]{class="badge informative" title="Kalpesh Mehta"} [Somente PaaS]{class="badge informative" title="Aplica-se somente a projetos do Adobe Commerce na nuvem (infraestrutura do PaaS gerenciada pela Adobe) e a projetos locais."}
Arquivo TXT de segurança
Quando vulnerabilidades de segurança são descobertas pelos pesquisadores, geralmente faltam canais de relatórios adequados. Como resultado, algumas vulnerabilidades não são relatadas. A finalidade do arquivo security.txt formato de arquivo é fornecer aos pesquisadores de segurança as informações que eles podem usar para relatar suas descobertas.
Os comerciantes podem inserir suas informações de contato para relatórios de problemas de segurança do Administrador da Commerce. Para desenvolvedores, o módulo Magento_Securitytxt fornece a seguinte funcionalidade:
- Permite que as configurações de segurança sejam salvas do Administrador.
- Contém um roteador para corresponder à classe de ação do aplicativo para solicitações para os arquivos
.well-known/security.txte.well-known/security.txt.sig. - Serve o conteúdo dos arquivos
.well-known/security.txte.well-known/security.txt.sig.
Um arquivo security.txt válido pode ser semelhante ao seguinte:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
Para criar o arquivo de assinatura (security.txt) de security.txt.sig:
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
Para verificar a assinatura:
gpg --verify security.txt.sig security.txt