Ketika menyangkut identifikasi risiko keamanan di situs web dan layanan, masalah utama di industri tersebut menjadi dua kali lipat. Pertama, periset keamanan telah mewaspadai pengujian keamanan situs dan layanan karena tindakan hukum yang mungkin dilakukan terhadap mereka, dan yang kedua ketika dan jika mereka melakukan pengujian di situs, dan mereka menemukan kerentanan di situs atau layanan, seringkali kekurangan cara yang benar untuk mengungkapkan kerentanan kepada para pengembang.
Karena kurangnya pilihan pengungkapan, seringkali kerentanan yang teridentifikasi tidak dilaporkan dan oleh karena itu tetap berada di alam bebas sehingga menimbulkan banyak peluang untuk mengeksploitasi kerentanan. Di sinilah seorang pengembang web dan peneliti keamanan, Ed Foudil, dan apa yang telah dia kirimkan ke IETF, hadir untuk mengatasi masalah tersebut. Foudil telah menyampaikan draft IETF yang berusaha melakukan standarisasi Security.txt.
Menurut securitytxt.org: “Tujuan utama dari file security.txt adalah untuk membantu mempermudah perusahaan dan peneliti keamanan saat mencoba mengamankan platform. Berkat security.txt, periset keamanan bisa dengan mudah menghubungi perusahaan mengenai masalah keamanan.”
Security.txt adalah file teks sederhana, mirip dengan file robot.txt, yang terletak di direktori root situs web yang mendefinisikan standar untuk membantu organisasi menentukan proses bagi periset keamanan dalam mengungkapkan kerentanan keamanan yang telah mereka identifikasi secara aman.
File ini tidak hanya menyediakan informasi kontak yang tepat, namun juga menyediakan cara yang aman untuk mentransfer informasi sebagaimana diuraikan dalam draft IETF yang dapat kamu simak di: https://www.ietf.org/id/draft-foudil-securitytxt-00.txt
Foudil mengatakan umpan balik dari HackerOne, Bugcrowd, Google, dan yang lainnya membantunya mengembangkan draft IETF-nya.
Draft IETF Security.txt modern hanya memperkenalkan dukungan untuk empat arahan (Contact, Encryption, Disclosure, dan Acknowledgement). Repositori GitHub Security.txt mencantumkan lebih banyak arahan, seperti In-scope, Out-of-scope-vuln, Rate-limit, Platform, Reward, Payment-method, Currency, Donate, dan Disallow.
