未報告のセキュリティ脆弱性の問題に対処し、ウェブサイトの脆弱性開示のために、Cloudflareは最近、security.txtファイルの作成と管理を支援するダッシュボードを立ち上げた。生成されたファイルはRFC9116標準に準拠しており、セキュリティ調査チームに脆弱性を報告するための標準化された方法を提供する。
小規模なビジネスオーナーから大企業まで、ウェブサイトを管理するあらゆるCloudflareユーザーのために設計された新しいダッシュボードは、分散データベースに情報を保存する。security.txtファイルは動的に生成されるため、手動での介入やファイルの再生成を必要とせず、更新がリアルタイムで反映される。Cloudflareの脅威インテリジェンス製品マネージャーのAlexandra Moraru氏とCloudflareのエンジニアリング・マネージャーのSam Khawasé氏は次のように述べている。
Security.txtは、セキュリティ意識の高い組織の間で広く採用される標準になりつつある(中略)自動Security.txtジェネレーターを無料で提供することで、追加コストをかけずにセキュリティ対策を強化できるよう、すべてのユーザーに力を与えることを目指しています。
/filters:no_upscale()/news/2024/11/cloudflare-security-txt/en/resources/1image1-ezgif.com-webp-to-jpg-converter-1730557712497.jpg)
出典Cloudflareブログ
RFC9116標準は、ドメインの.well-knownフォルダにテキストファイルを配置することで、セキュリティ脆弱性報告を簡素化する、よく整理されたファイル形式を導入している。robots.txtと文法が似ているsecurity.txtファイルは、機械と人間の両方が読めるように設計されており、セキュリティ専門家が潜在的な脆弱性を報告するためにウェブサイトの所有者に簡単に連絡できるようになっている。
security.txtファイルによって、企業は脆弱性報告を効率的に管理ができるが、現在の課題のひとつは、導入されたファイルの採用率と標準への適合率が低いことだ。セキュリティ専門家のFreddie Leeman氏は、今年初めにこう警告している。
私たちは、採用率の評価、RFC準拠テストのための無料ツールの開発、よくある実装ミスの特定という3つのアプローチからなる大規模なプロジェクトを立ち上げました。上位100万のインターネットドメインのうち、0.7%(6816ドメイン)がsecurity.txtファイルを採用していることがわかりました。驚くべきことに、これらのドメインのうち RFC準拠に合格しているのはわずか19%です!
準拠を確保するため、Cloudflareはファイルを動的に生成し、暗号化キーや署名などのオプションフィールドをサポートしている。これにより、ユーザーは安全な通信のためにPGPキーにリンクしたり、信頼性を確認するために署名を含めることができる。さらに、各security.txtファイルには有効期限タイムスタンプが含まれており、情報が古くなった場合に管理者に警告を発することができる。
Contact: https://hackerone.com/cloudflareContact: mailto:[email protected]# All abuse reports should be submitted to our Trust & Safety team through# our dedicated page.Contact: https://www.cloudflare.com/abuse/Policy: https://www.cloudflare.com/disclosure/Hiring: https://www.cloudflare.com/careers/jobs/Preferred-Languages: enCanonical: https://www.cloudflare.com/.well-known/security.txt出典Cloudflare独自のsecurity.txtファイル
「大きな価値を持つシンプルなファイル」と表現されるsecurity.txtについてCybersecurity and Infrastructure Security Agency (CISA)は、security.txtがセキュリティ管理の効率化に役立つことを強調している。Redditスレッドの人気スレッドでは、Cloudflareのユーザーが次のように書いている。
週末に設定を調整しているときに偶然これに遭遇しました。これが今や機能として追加されたのはとても素晴らしいです。
以前、Cloudflareはsecurity.txtジェネレータ用のCloudflare Workerをオープンソース化した。MoraruとKhawasé氏はこう付け加える。
自動化を好むユーザーは、我々のAPIを通じてsecurity.txtファイルを管理でき、既存のワークフローやツールとのシームレスな統合が可能になります。この機能により、開発者は手動でダッシュボードを操作することなく、security.txtの設定をプログラムで更新できます。
security.txt標準の詳細とウェブジェネレータはオンラインで入手できる。この新機能は、すべてのCloudflareユーザーに無償で提供される。