Güncellendi 14 Haziran 20265 dk okuma
Şirket Web Siteleri için Vulnerability Disclosure ve security.txt
Güvenilir bir güvenlik iletişim yolu isteyen küçük şirketler için pratik security.txt ve zafiyet bildirim iş akışı.
Öne Çıkanlar
- security.txt, araştırmacıların güvenlik iletişimini bulması için öngörülebilir bir yer sağlar.
- Bu iletişimin arkasındaki posta kutusu izlenmeli ve içeride doğru kişilere yönlendirilmelidir.
- Kamuya açık bir politika, olay yaşanmadan önce belirsizliği azaltır.
security.txt neyi çözer
Araştırmacılar ve müşteriler güvenlik sorunlarının iletişim formuna mı, destek posta kutusuna mı yoksa sosyal medya mesajına mı gönderileceğini tahmin etmek zorunda kalmamalıdır. security.txt dosyası, zafiyet bildirimleri için standart bir yol oluşturur.
Dosya küçüktür; ancak gerçek bir iletişim adresi, canonical URL, policy URL ve tercih edilen dil içerdiğinde operasyonel olgunluk sinyali verir.
Minimum pratik kurulum
- Canonical domain üzerinde /.well-known/security.txt yayınlayın.
- security@example.com gibi izlenen bir güvenlik posta kutusu kullanın.
- Bir zafiyet bildirim politikasına veya güvenlik sayfasına bağlantı verin.
- Support ve contact ekiplerinin güvenlik raporlarını nereye ileteceğini bildiğinden emin olun.
Yanıt iş akışı
Web sitesi yalnızca giriş noktasıdır. Şirket seviyesinde kurulum ayrıca bir yanıt sahibi, severity triage, kanıt toplama, fix takibi ve geçerli raporları kabul etmek için kısa bir iletişim şablonu gerektirir.
Yaygın hatalar
- Kimsenin izlemediği bir güvenlik posta kutusu yayınlamak.
- Şirket aliası yerine kişisel e-posta adresi kullanmak.
- Alan adı geçişinden sonra canonical URL’yi güncellemeyi unutmak.
- Disclosure yönetimini operasyonel bir süreç yerine yalnızca hukuki sayfa olarak görmek.