Divulgation de vulnérabilités et security.txt pour sites d’entreprise
Un workflow pratique security.txt et divulgation de vulnérabilités pour petites entreprises qui veulent un chemin de contact sécurité crédible.
Points clés
- security.txt donne aux chercheurs un endroit prévisible pour trouver un contact sécurité.
- La boîte derrière ce contact doit être surveillée et routée en interne.
- Une politique publique réduit la confusion avant qu’un incident ne survienne.
Ce que security.txt résout
Chercheurs et clients ne devraient pas deviner si un problème sécurité doit aller dans un formulaire de contact, une boîte support ou un message social. Un fichier security.txt crée un chemin standard pour signaler les vulnérabilités.
Le fichier est petit, mais il signale une maturité opérationnelle lorsqu’il contient un vrai contact, une URL canonique, une URL de politique et une langue préférée.
Configuration minimale pratique
- Publiez /.well-known/security.txt sur le domaine canonique.
- Utilisez une boîte sécurité surveillée, par exemple security@example.com.
- Liez une politique de divulgation de vulnérabilités ou une page sécurité.
- Assurez-vous que les équipes support et contact savent où transférer les rapports sécurité.
Workflow de réponse
Le site web n’est que le point d’entrée. Une configuration de niveau entreprise nécessite aussi un responsable de réponse, un triage de sévérité, une capture des preuves, un suivi des corrections et un court modèle d’accusé de réception pour les rapports valides.
Erreurs fréquentes
- Publier une boîte sécurité que personne ne surveille.
- Utiliser une adresse personnelle au lieu d’un alias d’entreprise.
- Oublier de mettre à jour l’URL canonique après une migration de domaine.
- Traiter la divulgation comme une simple page juridique plutôt que comme un workflow opérationnel.