<p>先日、RFC9116が発表されました🚀</p>
<p>あなたのWebサービスに潜在する未知の脆弱性を誰かが見つけた時、それをあなたに連絡する方法を提示する<code>security.txt</code>を標準化するものです。</p>
<p>この記事では何故これが必要だったのか、そして私たちがこれを実装する方法を簡潔に説明します。</p>
<span class="embed-block zenn-embedded zenn-embedded-tweet"><iframe id="zenn-embedded__7f602e678f691" src="https://embed.zenn.studio/tweet#zenn-embedded__7f602e678f691" data-content="https%3A%2F%2Ftwitter.com%2FEdOverflow%2Fstatus%2F1519415583896481792%3Fs%3D20%26t%3DY_zWdYyM1UoCoBJXZyI-0w" frameborder="0" scrolling="no" loading="lazy"></iframe></span>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__336c6041f6881" src="https://embed.zenn.studio/card#zenn-embedded__336c6041f6881" data-content="https%3A%2F%2Fwww.rfc-editor.org%2Frfc%2Frfc9116" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.rfc-editor.org/rfc/rfc9116" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.rfc-editor.org/rfc/rfc9116</a></p>
<h2 id="%E3%81%AA%E3%81%9C%E3%81%93%E3%82%8C%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A0%E3%81%A3%E3%81%9F%E3%81%AE%E3%81%8B">
<a class="header-anchor-link" href="#%E3%81%AA%E3%81%9C%E3%81%93%E3%82%8C%E3%81%8C%E5%BF%85%E8%A6%81%E3%81%A0%E3%81%A3%E3%81%9F%E3%81%AE%E3%81%8B" aria-hidden="true"></a> なぜこれが必要だったのか</h2>
<p><a href="https://securitytxt.org/" target="_blank" rel="nofollow noopener noreferrer">https://securitytxt.org/</a>のSummary(概要)にはこのように書かれています。</p>
<blockquote>
<p>Webサービスのセキュリティリスクが、リスクの重大性を理解している独立したセキュリティ研究者によって発見された場合、それらを適切に開示するためのチャンネルが不足していることがよくあります。 その結果、セキュリティの問題が報告されないままになる可能性があります。 security.txtは、組織がセキュリティ研究者がセキュリティの脆弱性を安全に開示するためのプロセスを定義するのに役立つ標準を定義しています。</p>
</blockquote>
<p>つまり、</p>
<ul>
<li>今まではセキュリティ研究者がWebサービスの運営者に脆弱性を報告する宛がなかった</li>
<li>
<code>security.txt</code>は脆弱性報告のプロセスを発見者向けに定義するのに役立つ</li>
</ul>
<p>ということです。</p>
<h2 id="%E7%A7%81%E3%81%9F%E3%81%A1%E3%81%8C%E5%AE%9F%E8%A3%85%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E7%A7%81%E3%81%9F%E3%81%A1%E3%81%8C%E5%AE%9F%E8%A3%85%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 私たちが実装する方法</h2>
<p>実は<code>security.txt</code>はいくつかの組織で既に定義されていますし、私たちが実装するのも非常に簡単です。</p>
<h3 id="%E5%AE%9F%E8%A3%85%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E4%BE%8B">
<a class="header-anchor-link" href="#%E5%AE%9F%E8%A3%85%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B%E4%BE%8B" aria-hidden="true"></a> 実装されている例</h3>
<ul>
<li><a href="https://www.google.com/.well-known/security.txt" target="_blank" rel="nofollow noopener noreferrer">Google - https://www.google.com/.well-known/security.txt</a></li>
<li><a href="https://www.facebook.com/.well-known/security.txt" target="_blank" rel="nofollow noopener noreferrer">Facebook - https://www.facebook.com/.well-known/security.txt</a></li>
<li><a href="https://github.com/.well-known/security.txt" target="_blank" rel="nofollow noopener noreferrer">Github - https://github.com/.well-known/security.txt</a></li>
</ul>
<p>上の例のように、定められたフォーマットの<code>security.txt</code>をWebサイトの指定の場所に置くことで実装できます。</p>
<h4 id="%E3%81%A9%E3%81%93%E3%81%AB%E7%BD%AE%E3%81%8F%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%81%A9%E3%81%93%E3%81%AB%E7%BD%AE%E3%81%8F%EF%BC%9F" aria-hidden="true"></a> どこに置く？</h4>
<p>あなたのドメインの<code>/.well-known/</code>ディレクトリ下に置きます。置く場所は自由に決められるものではない点は注意が必要です。(もし<code>/.well-known</code>ディレクトリってなに？という疑問を持った方は<a href="https://www.rfc-editor.org/rfc/rfc8615" target="_blank" rel="nofollow noopener noreferrer">RFC8615</a>を参照してください)</p>
<h4 id="%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%83%E3%83%88%E3%81%8C%E3%81%82%E3%82%8B%E3%82%93%E3%81%A7%E3%81%97%E3%82%87%EF%BC%9F">
<a class="header-anchor-link" href="#%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%83%E3%83%88%E3%81%8C%E3%81%82%E3%82%8B%E3%82%93%E3%81%A7%E3%81%97%E3%82%87%EF%BC%9F" aria-hidden="true"></a> フォーマットがあるんでしょ？</h4>
<p>あります。詳細は<a href="https://www.rfc-editor.org/rfc/rfc9116" target="_blank" rel="nofollow noopener noreferrer">RFC9116</a>で見ることが出来ます。</p>
<p>「実際にフォーマットを見ながら書くのは労力が・・・」というあなたのためにsecuritytxt.orgに<code>security.txt</code>ジェネレータが用意されています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__7fcbdce59c621" src="https://embed.zenn.studio/card#zenn-embedded__7fcbdce59c621" data-content="https%3A%2F%2Fsecuritytxt.org%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://securitytxt.org/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://securitytxt.org/</a></p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/53004e659471-20220429.png" alt loading="lazy" class="md-img"></p>
<p>最低Contact(連絡先)とExpires(<code>security.txt</code>自体の失効日)さえ指定しておけば生成することが出来ます。</p>
<p>上の入力内容だと以下のような<code>security.txt</code>が生成されます</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/b4a5605dfd55-20220429.png" alt loading="lazy" class="md-img"></p>
<p>この内容をあなたのwebサイトの<code>/.well-knonw/security.txt</code>にコピペしておけば無問題です！(でもContactはよく見る連絡先にしておくのをおすすめします。気づけなかったら意味がありませんから・・・)</p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<ul>
<li>
<code>security.txt</code>を使って脆弱性発見者への報告先を開示するRFCが正式に発表された</li>
<li>webサイトの<code>/.well-known</code>下に<code>security.txt</code>を置く</li>
<li>web上で簡単に<code>security.txt</code>は生成できる</li>
</ul>
<p>個人的にはHiringの項目があるのがが少し面白かったです。</p>


あなたのWebサービスの脆弱性を発見者から教えてもらう方法 - RFC9116が発表されました

Discussion