安全性TXT檔案
最後更新: 2024年11月3日
- 主題:
- 設定
建立對象:
- 經驗豐富
- 管理員
- 開發人員
當研究人員發現安全性弱點時,通常就會缺乏適當的報告管道。 因此,系統不會報告某些漏洞。 security.txt 檔案格式檔案的目的是提供安全性研究人員可用於報告其發現的資訊。
商戶可以從Commerce Admin 輸入安全性問題報告的連絡資訊。 對於開發人員而言,Magento_Securitytxt模組提供下列功能:
- 允許從 Admin 儲存安全性設定。
- 包含路由器以比對要求至
.well-known/security.txt和.well-known/security.txt.sig檔案的應用程式動作類別。 - 提供
.well-known/security.txt和.well-known/security.txt.sig檔案的內容。
有效的security.txt檔案可能如下所示:
Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig
若要建立security.txt簽章(security.txt.sig)檔案:
gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt
驗證簽章:
gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c