회사 웹사이트를 위한 취약점 공개와 security.txt

연구자와 고객은 보안 문제가 연락 양식, 지원 inbox, 소셜 메시지 중 어디로 가야 하는지 추측할 필요가 없어야 합니다. security.txt 파일은 취약점 보고를 위한 표준 경로를 만듭니다.

파일은 작지만 실제 연락처, canonical URL, 정책 URL, 선호 언어를 포함하면 운영 성숙도를 보여줍니다.

• canonical 도메인에 /.well-known/security.txt를 게시합니다.
• security@example.com 같은 모니터링되는 보안 메일함을 사용합니다.
• 취약점 공개 정책 또는 보안 페이지로 연결합니다.
• support와 contact 팀이 보안 보고서를 어디로 전달해야 하는지 알고 있는지 확인합니다.

웹사이트는 진입점일 뿐입니다. 회사급 구성에는 응답 담당자, severity triage, 증거 캡처, 수정 추적, 유효한 보고서를 확인하는 짧은 커뮤니케이션 템플릿도 필요합니다.

• 아무도 모니터링하지 않는 보안 메일함을 게시하는 것.
• 회사 alias 대신 개인 이메일 주소를 사용하는 것.
• 도메인 이전 후 canonical URL 업데이트를 잊는 것.
• 공개 처리를 운영 워크플로가 아니라 법률 페이지로만 다루는 것.