Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

I ricercatori di bug di sicurezza sapranno che fare, con “security.txt”.

Redazione RHC : 5 Maggio 2021 07:00

Spesso, quando un ricercatore di sicurezza trova un bug software, deve iniziare una serie di ricerche per comprendere se l’azienda ha attivo un programma di “responsible disclosure” (si tratta di un servizio che permette la divulgazione responsabile delle vulnerabilità tra il ricercatore e l’azienda), se ha un bug-bounty, oppure, nel caso peggiore, andare alla ricerca di una mail di supporto di qualsiasi tipo per contattare l’organizzazione in modo responsabile, e comunicarle i bug software rilevati.

Ma finalmente, forse, tutto questo è finito.

NIS2: diventa pronto alle nuove regole europee

La Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua. 
Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica.
Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Infatti, è stato definito uno standard dal nome “security.txt”, che non è altro che un file da inserire all’interno della directory “.well-known” (quindi “.well-known/security.txt”), nel quale file saranno presenti tutta una serie di informazioni che permetteranno al ricercatore di sicurezza di instradare al meglio i suoi sforzi, comunicando i bug all’azienda.

In calce, ad esempio, è quanto riportato all’indirizzo https://www.redhotcyber.com/wp-content/uploads/attachments/security.txt relativamente a Big G.

Sull’home page del progetto “security.txt”, precisamente all’interno del sommario, si legge quanto segue:

“Quando i rischi per la sicurezza nei servizi Web vengono scoperti da ricercatori indipendenti che comprendono la gravità del rischio, spesso non hanno i canali per rivelarli correttamente. Di conseguenza, i problemi di sicurezza potrebbero non essere segnalati. security.txt definisce uno standard per aiutare le organizzazioni a definire il processo per i ricercatori di sicurezza per rivelare le vulnerabilità di sicurezza in modo sicuro “.

Infatti lo scopo principale di security.txt è quello di aiutare a rendere le cose più facili per le aziende e i ricercatori di sicurezza quando cercano di proteggere le piattaforme al meglio ed in modo “etico”. Grazie a security.txt, i ricercatori di sicurezza, possono facilmente mettersi in contatto con le aziende in modo veloce.

“security.txt” è attualmente una bozza, la quale è stata inviata per la revisione RFC. Ciò significa che security.txt è ancora nelle prime fasi di sviluppo. Se volete, potete inviare ulteriori contributi all’indirizzo https://github.com/securitytxt/security-txt

Il file security.txt deve avere un tipo di supporto Internet text/plaine deve essere servito su HTTPS, mentre il valore dell’email è un campo facoltativo.

Detto questo, nel mentre questo progetto diventi a tutti gli effetti uno standard, esistono già dei bot che scansionano costantemente i 250 TOP domain degli Stati Uniti D’America, analizzando il loro “security.txt”.

Questo è possibile trovarlo accedendo all’indirizzo https://gotsecuritytxt.com/us

Insomma, Buona caccia a tutti!

Fonte

https://securitytxt.org/

https://gotsecuritytxt.com/us

https://www.redhotcyber.com/wp-content/uploads/attachments/Security.txt

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Chat Control: tra caccia ai canali illegali e freno a mano su libertà e privacy
Di Sandro Sana - 16/09/2025

La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...

Great Firewall sotto i riflettori: il leak che svela l’industrializzazione della censura cinese
Di Redazione RHC - 16/09/2025

A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente,  in modo massivo e massiccio,  quello che può essere definito il più grande leak mai subito dal Great Fir...

Violazione del Great Firewall of China: 500 GB di dati sensibili esfiltrati
Di Redazione RHC - 15/09/2025

Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...

Dal Vaticano a Facebook con furore! Il miracolo di uno Scam divino!
Di Redazione RHC - 15/09/2025

Negli ultimi anni le truffe online hanno assunto forme sempre più sofisticate, sfruttando non solo tecniche di ingegneria sociale, ma anche la fiducia che milioni di persone ripongono in figure relig...

Addio a Windows 10! Microsoft avverte della fine degli aggiornamenti dal 14 Ottobre
Di Redazione RHC - 15/09/2025

Microsoft ha ricordato agli utenti che tra un mese terminerà il supporto per l’amato Windows 10. Dal 14 ottobre 2025, il sistema non riceverà più aggiornamenti di sicurezza , correzioni di bug e ...