Bereitstellung security.txt in allen Diensten
Warum?
Für die Bereitstellung von Kontaktdaten für Sicherheitsforscher:innen, um uns im Ernstfall direkt und über einen verschlüsselten Kommunikationskanal erreichen zu können, soll eine Datei namens "security.txt" in allen Diensten hinterlegt werden. Diese Praxis folgt dem sogenannten Security.txt-Standard: https://securitytxt.org/
Die Datei security.txt dazu muss gemäß dem zugrundeliegenden Standard exakt unter der Adresse https://<DOMAIN>/.well-known/security.txt
erreichbar sein.
Beispielhaft ist eine solche Datei bereits unter docs.fitko.de hinterlegt: https://docs.fitko.de/.well-known/security.txt
Relevante Links und Bemerkungen
-
Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen
- Zielgruppe der Richtlinien sind vor allem Entwickler:innen und Sicherheitsforscher:innen, die über Sicherheitsprobleme in FIT-Connect stoßen (was hoffentlich nie passieren wird) und zielen darauf ab, diese Menschen dazu zu motivieren, die Lücken direkt an uns zu melden (sog. „Responsible Disclosure“), statt sie ohne Vorwarnung z.B. auf Twitter oder entsprechenden Mailinglisten zu veröffentlichen (sog. „Full Disclosure“).
Akzeptanzkriterien
-
Das Self-Service-Portal stellt eine security.txt in allen Umgebungen (Testing, Staging, Prod) bereit. -
Der Zustelldienst stellt eine security.txt in allen Umgebungen (Testing, Staging, Prod) bereit. -
Der Routingdienst stellt eine security.txt in allen Umgebungen (Testing, Staging, Prod) bereit.
Durchführungsplan
-
... -
... -
...
Edited by Marco Holz