Не так давно, в апреле 2022 года был опубликован стандарт RFC 9116. Владелец сайта создает файл по адресу:
https://yourdomain.com/.well-known/security.txtили
https://yourdomain.com/security.txtВ котором указывает контактную информацию для уведомления об уязвимости на сайте. Бесполезная штука? Думаю что нет, удобно когда есть контакт для уведомления и не нужно искать долго и нудно листать сайт в поиске почты для уведомления о проблеме.
Если размещаю этот файл, считает что я автоматически даю согласие на участие в программе «Bug Bounty»? Нет! Размещение контактной информации не заставлять делать выплаты за найденные уязвимости.
В каком формате должен быть файл?
# почта. Может быть несколько контактов
Contact: mailto:security@example.com
Contact: mailto:security2@example.com
# номер телефона
Contact: tel:+1-201-555-0123
# просто ссылка на страницу контактов или на форму уведомления
Contact: https://example.com/security-contact.html
# наш открытый OpenPGP ключ если есть
Encryption: https://example.com/pgp-key.txt
# ссылка на вакансии по безопасности
Hiring: https://example.com/jobs.html
# правила поиска уязвимости
Policy: https://example.com/disclosure-policy.html
# языки на которых готовы общаться
Preferred-Languages: en, ru, frУказывать просто почту или номер телефона не логично. Это сразу добавит спам на эти контакты. Рекомендую делать страницу, где скрываем почту от ботов.