Chanzo: www.hackerone.com – Mwandishi: Hackerone. Faili ya usalama.txt ni njia ya usalama ambayo inaruhusu shirika lako kutoa sera yake ya kufichua hatari na habari ya mawasiliano katika muundo na eneo sanifu. Faili imeundwa ili iwe rahisi kwa watapeli wa maadili, watafiti, na wapataji wengine kufikia shirika lako wakati wanahitaji kuripoti hatari ya usalama. Tovuti yoyote inaweza kuanzisha faili ya usalama.txt katika dakika chache, na haiitaji mpango kamili wa kufichua hatari (VDP) au fadhila ya mdudu. Wazo hilo lilitengenezwa na watafiti wawili wa usalama na kwa sasa linazingatiwa na Kikosi cha Kazi cha Uhandisi wa Mtandao (IETF). Kikundi hiki cha kushirikiana huunda viwango vya mtandao kama vile TCP/IP na SSL. Wakati usalama.txt sio kiwango rasmi bado, tayari inatumiwa na mashirika makubwa zaidi ulimwenguni, kama Google, na inashauriwa na Wizara ya Sheria ya Serikali ya Uingereza. Jinsi usalama.txt husaidia mpango wako ikiwa shirika lako lina programu rasmi ya VDP au Bug, habari hiyo inaweza kuwa tayari kuchapishwa katika maeneo mengi. Programu za Hackerone, kwa mfano, hupatikana kwa urahisi kupitia injini za utaftaji na zilizoorodheshwa kwenye saraka yetu. Kunaweza pia kuwa na ukurasa wa usalama uliojitolea kwenye wavuti yako. Kwa hivyo, usalama una thamani gani ikiwa watu wanaweza kupata programu yako tayari? Usalama.txt imeundwa kuwa chanzo cha mamlaka kwa habari ya kuripoti ya udhaifu wa wavuti yako. Vyanzo vya mamlaka vinahitajika kawaida kwenye wavuti ili watumiaji na mashine zote ziweze kuangalia eneo moja kwa habari mpya zaidi-mfumo wa DNS na robots.txt ni mifano sawa ya vyanzo kama hivyo. Kama chanzo cha mamlaka, faili ya usalama.txt inatimiza madhumuni ambayo kutuma habari yako kwenye wavuti yako hayawezi. Chaguo la kuunda faili ya usalama.txt inawaambia watu wengine habari iliyomo ndani ni sahihi na ya kuaminika. Wakati wa matukio ya haraka ambapo kila dakika huhesabu, usalama.txt husaidia kupata kupata habari ya mawasiliano wanayohitaji haraka. Fikiria tukio la usalama kama vile LOG4Shell. Shirika lako linataka kuondoa kila kizuizi kinachoweza kuchelewesha au kukatisha tamaa ripoti ya hatari. Siku hadi siku, usalama.txt pia inaweza kuwa njia inayopendelea kwa wengine kupata habari yako ya mawasiliano. Kutoa habari yako katika eneo sanifu kunaweza hata kuondoa vizuizi vya lugha, kuondoa hitaji la wapataji kutafsiri wavuti au kuzunguka mpangilio usiojulikana na mikusanyiko ya muundo. Usalama.txt pia inaweza kusomeka kwa mashine, kuruhusu zana za usalama au API kupata habari ya mawasiliano ya shirika lako moja kwa moja. Matukio haya hayawezekani wakati kila tovuti inashiriki habari hii bila miongozo na hutumia anuwai ya teknolojia ya kurudisha nyuma na miundo. Wataalam sasa wanapendekeza kwamba kila shirika kuwa na VDP. Wengine hata wanahitaji. Faili za usalama.txt ni njia rahisi ya kufanya habari yako ya mawasiliano ipatikane na kusaidia kuongeza thamani ya mpango wako. Itastahili wakati wa kusanidi ikiwa hata ripoti moja muhimu ya hatari inafanywa kwa sababu ya faili yako ya usalama.txt. Ili kusaidia wateja wetu kutumia usalama.txt, tunatoa faili zilizoandaliwa moja kwa moja ambazo zinaweza kunakiliwa na kutumiwa kama faili zao za usalama.txt. Jinsi ya kuanzisha faili ya usalama.txt Kuna hatua mbili za kusanidi faili ya usalama.txt kwa wavuti yako: Unda faili na uchapishe. Ni faili ya .txt na sehemu chache zinazohitajika na za hiari. Wavuti rasmi ya usalama.txt inaweza kutoa faili moja kwa moja na habari ya shirika lako. Ikiwa inahitajika, nyaraka kamili za uwanja na kazi zinapatikana katika hati ya RFC. Ikiwa shirika lako lina mpango wa VDP au Bug Fadhila, uwanja wa “sera” ndio muhimu zaidi na unapaswa kuorodhesha URL ya programu yako. Walakini, ikiwa shirika lako linaendesha programu ya kibinafsi, toa barua pepe katika uwanja wa “mawasiliano” ambao unaweza kukubali uwasilishaji wa umma na kuangalia kikasha mara kwa mara. Tunatoa kiotomatiki faili ya usalama.txt kwa wateja wote walio na VDP ya umma au fadhila ya mdudu wa umma. Ongeza “.txt” hadi mwisho wa URL ya ukurasa wowote ili kuiona. Kwa mfano, faili ya Hackerone hupatikana katika https://hackerone.com/security.txt. Faili inaorodhesha ukurasa wako wa uwasilishaji wa programu, lugha inayopendelea, na ukurasa wa kukiri. Thamani hizi hutolewa moja kwa moja kutoka kwa habari ya akaunti yako ili kuhakikisha usahihi. Tafadhali kumbuka: Programu yako lazima izinduliwe hadharani ili faili iliyotengenezwa. Na faili yako ya usalama.txt imeandaliwa, ichapishe kwa https://yourdomain.com/.well-nownow/security.txt. IETF imechagua saraka ya “./well-inayojulikana” kama eneo la kisheria kwa habari muhimu ya kikoa. Sasa kazi yako imefanywa. Chanzo cha mamlaka ya kuripoti kwa udhaifu wa shirika lako na habari ya mawasiliano sasa ni moja kwa moja na inapatikana. Je! Hauna mpango wa kufichua hatari au fadhila ya mdudu? Ikiwa mtu atapata hatari kwenye wavuti yako, wangeweza kuripoti? Bila njia iliyoandaliwa ya kupokea na kujibu ripoti za hatari, shirika lako lina uwezekano wa kujulikana na uwezekano mkubwa wa kuacha uso wako wa shambulio bila kinga. VDPs zote mbili na bug za bug huruhusu watu wa tatu (kwa upande wa VDPs) na watapeli (katika vifaru vya mdudu) kuripoti udhaifu unaowezekana. Ripoti zilizowasilishwa zinafuatiliwa kupitia dashibodi ya Hackerone, na kuifanya iwe rahisi kuchunguza, kudhibitisha, na kurekebisha udhaifu. Tofauti ya msingi kati ya programu hizi ni muundo wa motisha. VDPs hazihamasishi wapataji, ingawa wapataji wanapokea shukrani na, katika hali nyingine, hufunga kama t-mashati au njia zingine za kupeana. Kichocheo cha wapataji wa VDP ni kuona udhaifu utatatuliwa. Hackare huchochewa kupata mende katika mpango wa fadhila ya mdudu na hulipwa kwa kuzingatia ukali wa mdudu au udhaifu uliothibitishwa. Soma juu ya VDP dhidi ya Fadhila ya Bug na mpango gani ni sawa kwako. Ikiwa shirika lako ni kubwa, tunapendekeza mpango uliosimamiwa ambao hutoa vifaa na muundo unaohitajika kuchukua hatua kwenye ripoti kwa kiwango vizuri. Lakini ikiwa wavuti yako ni ya matumizi ya kibinafsi au shirika lako haliko tayari kwa mpango rasmi bado, hatua kubwa ya kwanza ni kuanzisha anwani ya barua pepe ya usalama na faili ya usalama.txt. Anzisha mpango na Jukwaa la Usimamizi wa Upinzani wa Hackerone Hackerone ni pamoja na majibu ya Hackerone (VDP) na mipango ya fadhila ya Hackerone ambayo inaweza kupunguzwa na kuboreshwa kusaidia shirika lolote kusimamia udhaifu wake na kulinda uso wake wa shambulio. Kudhibiti kiasi cha uwasilishaji na mpango wa kibinafsi wa VDP au nenda kwa umma kwa chanjo kubwa. Vipimo vya bug binafsi vinalenga katika kikundi kidogo cha watapeli wa mwaliko tu na ustadi maalum, wakati mipango ya umma inapeana ripoti zaidi. Na tumia huduma yetu ya triage kuchuja ripoti zisizo sahihi na zisizo sahihi. Ongeza upinzani wa shirika lako na Hackerone. Wasiliana nasi kwa habari zaidi juu ya jinsi ya kuanza. URL ya chapisho la asili: https://www.hackerone.com/blog/what-securitytxt-file-and-how-can-it-help-your-security-program