[由卡尔佩什·梅赫塔从科拉市撰写]{class="badge informative" title="卡尔佩什梅赫塔"}

安全TXT文件

当研究人员发现安全漏洞时,往往缺乏适当的报告渠道。 因此,某些漏洞未报告。 security.txt 文件格式文件的目的是为安全研究人员提供可用于报告其发现的信息。

商家可以从Commerce 管理员 ​输入安全问题报告的联系信息。 对于开发人员,Magento_Securitytxt模块提供了以下功能:

  • 允许从​ 管理员 ​保存安全配置。
  • 包含将应用程序操作类与.well-known/security.txt.well-known/security.txt.sig文件的请求匹配的路由器。
  • 提供.well-known/security.txt.well-known/security.txt.sig文件的内容。

有效的security.txt文件可能如下所示:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

要创建security.txt签名(security.txt.sig)文件:

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

验证签名:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c