Cloudflare, Güvenlik Açığı Raporlaması İçin security.txt Standardının Daha Yaygın Şekilde Kullanılmasını Savunuyor!
Cloudflare, güvenlik açıklarının daha etkili bir şekilde raporlanabilmesi için security.txt dosyasının daha geniş bir şekilde benimsenmesi gerektiğini vurguladı. Şirket, bu amaca yönelik olarak security.txt dosyasını oluşturmayı ve yönetmeyi kolaylaştıracak bir dashboard (kontrol paneli) sundu. Bu yeni özellik, RFC9116 standardına uygun olarak, güvenlik araştırma ekiplerinin güvenlik açıklarını raporlarken daha düzenli ve standart bir yöntem kullanmalarına olanak tanıyor.
security.txt Nedir ve Ne İşe Yarar?
security.txt, web sitesi sahiplerinin güvenlik açıkları ve siber tehditlerle ilgili raporları yönetmelerini kolaylaştıran bir dosya formatıdır. Web sitesi sahipleri bu dosyayı ‘’.well-known’’ klasörüne yerleştirerek güvenlik uzmanlarının olası açıkları raporlaması için gerekli iletişim bilgilerini sunabilir. Bu dosya hem makineler hem de insanlar tarafından okunabilir şekilde tasarlandı.
Cloudflare, bu security.txt dosyasının oluşturulmasını otomatikleştiren bir araç sunarak kullanıcılarının güvenlik önlemlerini iyileştirmelerine yardımcı olmayı hedefliyor. Bu özellik, kullanıcıların PGP anahtarları gibi ek güvenlik önlemleri de eklemelerine olanak tanıyor.
Cloudflare, bu aracı ücretsiz olarak sunduğunu ve security.txt dosyasının kullanıcılar tarafından kolayca oluşturulabileceğini belirtti. Ancak, security.txt dosyasının yaygın kullanımı henüz çok düşük seviyelerde bulunuyor. Yapılan araştırmaya göre internetteki en büyük bir milyon alan adı arasında sadece yüzde 0.7’si security.txt dosyasını kabul etti.
Cloudflare, bu sorunu çözmek için security.txt dosyasını dinamik hale getirecek. Bununla beraber kullanıcıların doğru ve güncel bilgi sağlamasını sağlamak için son kullanım tarihini ekleyecek. Ayrıca, kullanıcılar encryption keys üzerinden ek bilgiler ekleyebilecek. Böylece güvenli iletişim süreci daha kolay hale getirilecek.
Contact: https://hackerone.com/cloudflare
Contact: mailto:[email protected]
# All abuse reports should be submitted to our Trust & Safety team through
# our dedicated page.
Contact: https://www.cloudflare.com/abuse/
Policy: https://www.cloudflare.com/disclosure/
Hiring: https://www.cloudflare.com/careers/jobs/
Preferred-Languages: en
Canonical: https://www.cloudflare.com/.well-known/security.txt
Kaynak: Cloudflare’in kendi security.txt dosyası
Cloudflare, security.txt dosyasının otomatik olarak oluşturulmasını sağlayan bir API de sunuyor. Bu sayede, kullanıcılar manuel işlem yapmadan security.txt dosyasını programlı bir şekilde güncelleyebilecek. Geliştiriciler, mevcut iş akışlarına entegrasyon yaparak bu aracı daha verimli bir şekilde kullanma desteği de elde edebilecek.
Cybersecurity and Infrastructure Security Agency (CISA), security.txt dosyasını “basit bir dosya ama büyük bir değere sahip” olarak tanımlıyor. Bu dosyanın kullanımı, güvenlik yönetimini daha verimli hale getirebilir. Böylece siber tehditlerin daha hızlı tespit edilmesine yardımcı olabilir.