security.txt er en standardisert tekstfil som plasseres på adressen /.well-known/security.txt på en webserver. Filen brukes til å informere om hvordan en organisasjon kan kontaktes for å rapportere sårbarheter til dem, samt annen relevant informasjon i den anledning.
Standarden er allerede påbudt på statlige og kommunale nettsider i Nederland, og andre organisasjoner i offentlig sektor blir også rådet til å bruke standarden.
Det finnes en nettside (https://securitytxt.no/) som viser hvordan security.txt brukes i norsk offentlig sektor. Et bra initiativ, med dessverre er ikke oversikten oppdatert etter 20. september 2023.
For å lage din egen security.txt finnes det en enkel generator på https://securitytxt.org. Minimum av innhold er en e-post-adresse for å ta kontakt, og en dato for når filen utløper og må oppdateres.
Hvordan du implementerer security.txt på nettsiden din vil være avhengig av plattform og teknisk løsning men i et .NET-prosjekt kan du typisk legge security.txt her.
Siden mappenavnet («.well-known») starter med punktum, noe som indikerer at det er en skjult mappe, må du kanskje inkludere den i prosjektfilen på denne måten, for at den skal inkluderes i deployment-pakken din.
<ItemGroup>
<Content Include="wwwroot\.well-known\security.txt" />
</ItemGroup>Og viktigst av alt, noen må lese e-postene som eventuelt kommer!