Registrar `security.txt` como referencia al reportar vulnerabilidades de seguridad
(mailarchive.ietf.org)Parece que lo está revisando el IETF (?).
Me acordé del comentario de un experto en seguridad que decía que, hace poco, incluso cuando encontraba vulnerabilidades de seguridad, muchas veces no había a quién contactar y por eso quedaban sin reportar.
Como se trata de definir la ubicación y el contenido de ese archivo, habrá que ver qué tanta utilidad tiene en adelante.
1 comentarios
Es como la versión Security de
robots.txt.Our security address
Contact: security@example.com
Encryption: https://example.com/pgp-key.txt
Sería cosa de ponerlo así en la raíz...
En nuestro país piden que se indique al responsable de protección de la información en la parte inferior del sitio web o en los términos de uso, pero esto parece un método más sistemático.
Probablemente, si se aprueba de forma definitiva, también termine aplicándose a nivel nacional.