文件Commerce設定指南

由卡拉佩什·梅赫塔從科拉市撰寫 僅限PaaS

安全性TXT檔案

Last update: Mon May 05 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • 主題:
  • 設定

建立對象:

  • 經驗豐富
  • 管理員
  • 開發人員

當研究人員發現安全性弱點時,通常就會缺乏適當的報告管道。 因此,系統不會報告某些漏洞。 security.txt 檔案格式檔案的目的是提供安全性研究人員可用於報告其發現的資訊。

商戶可以從Commerce Admin ​輸入安全性問題報告的連絡資訊。 對於開發人員而言,Magento_Securitytxt模組提供下列功能:

  • 允許從​ Admin ​儲存安全性設定。
  • 包含路由器以比對要求至.well-known/security.txt和.well-known/security.txt.sig檔案的應用程式動作類別。
  • 提供.well-known/security.txt和.well-known/security.txt.sig檔案的內容。

有效的security.txt檔案可能如下所示:

Contact: mailto:security@example.com
Contact: tel:+1-201-555-0123
Encryption: https://example.com/pgp.asc
Acknowledgement: https://example.com/security/hall-of-fame
Policy: https://example.com/security-policy.html
Signature: https://example.com/.well-known/security.txt.sig

若要建立security.txt簽章(security.txt.sig)檔案:

gpg -u KEYID --output security.txt.sig --armor --detach-sig security.txt

驗證簽章:

gpg --verify security.txt.sig security.txt
recommendation-more-help
386822bd-e32c-40a8-81c2-ed90ad1e198c