更新于 2026年6月14日5 分钟阅读
公司网站的漏洞披露与 security.txt
面向希望建立可信安全联系路径的小公司,提供实用的 security.txt 与漏洞披露工作流。
要点
- security.txt 为研究人员提供一个可预测的位置来查找安全联系信息。
- 该联系地址背后的邮箱必须被监控,并在内部正确流转。
- 公开政策可以在事件发生前减少混乱。
security.txt 解决什么问题
研究人员和客户不应该猜测安全问题应发送到联系表单、支持邮箱还是社交媒体消息。security.txt 文件为漏洞报告创建标准路径。
文件很小,但如果包含真实联系人、canonical URL、政策 URL 和首选语言,就能传递运营成熟度信号。
最低实用配置
- 在 canonical 域名上发布 /.well-known/security.txt。
- 使用受监控的安全邮箱,例如 security@example.com。
- 链接到漏洞披露政策或安全页面。
- 确保 support 和 contact 团队知道将安全报告转发到哪里。
响应工作流
网站只是入口。公司级配置还需要响应负责人、严重程度分级、证据记录、修复跟踪,以及用于确认有效报告的简短沟通模板。
常见错误
- 发布一个无人监控的安全邮箱。
- 使用个人邮箱而不是公司别名。
- 域名迁移后忘记更新 canonical URL。
- 把披露处理当成单纯法律页面,而不是运营工作流。