De Internet Engineering Task Force (IETF) heeft na een proces van vijf jaar een RFC (Request for Comments) gepubliceerd voor "security.txt", een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Door de publicatie van RFC 9116 is security.txt nu een specificatie geworden, maar geen internetstandaard.
De IETF is een standaardenorganisatie die zich via discussies binnen de internet community bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Vijf jaar geleden kwamen Edwin Foudil en Yakov Shafranovich van securitybedrijf Nightwatch Cybersecurity met het idee voor security.txt. Volgens de bedenkers van het voorstel beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd.
Het bestand security.txt moet dit voorkomen, onder andere door contactgegevens te vermelden. Verschillende grote partijen zoals Facebook, Github en Google maken gebruik van security.txt. In 2017 dienden Foudil en Shafranovich een voorstel voor security.txt in bij de Network Working Group van de Internet Engineering Task Force (IETF) zodat het een nieuwe internetstandaard zou kunnen worden.
Via een RFC documenteert de IETF internetstandaarden. Het is echter ook mogelijk om RFC's te publiceren die de status "informatief" hebben. Het gaat in dit geval om informatieve specificaties bedoeld als algemene informatie voor de internet community en geen aanbeveling. Deze specificaties zijn buiten de internet community om opgesteld en zijn geen onderdeel van het proces voor het opstellen van internetstandaarden. Dat neemt niet weg dat Foudil en Shafranovich zeer blij zijn dat ze nu een RFC hebben.
Deze posting is gelocked. Reageren is niet meer mogelijk.