De testtool Internet.nl, een initiatief van het Platform Internetstandaarden, kan websites nu ook op de aanwezigheid van een security.txt-bestand testen. Security.txt is een bestand waarmee organisaties en websites hun beleid voor het omgaan met beveiligingslekken kunnen vermelden. Beveiligingsonderzoekers kunnen deze informatie gebruiken om direct de juiste afdeling of persoon binnen de organisatie te benaderen over gevonden kwetsbaarheden.
Volgens de bedenkers van security.txt beschikken onafhankelijke beveiligingsonderzoekers vaak niet over de kanalen om kwetsbaarheden te melden. Hierdoor kan het gebeuren dat gevonden beveiligingslekken niet worden gerapporteerd. Via security.txt moet het proces rond het melden en afhandelen van gevonden beveiligingsproblemen worden gestroomlijnd en versneld.
Eerder dit jaar besloot de Internet Engineering Task Force (IETF) van security.txt een RFC (Request for Comments) te maken. De IETF is een standaardenorganisatie die zich via discussies binnen de internet community bezighoudt met het ontwikkelen van vrijwillige internetstandaarden. Door de publicatie van RFC 9116 is security.txt nu een specificatie geworden, maar geen internetstandaard.
In mei liet het Digital Trust Center (DTC) van het ministerie van Economische Zaken weten positief te zijn over de potentie van security.txt als standaard. De overheidsinstantie zou gaan kijken of het onder het Nederlandse bedrijfsleven bekend moest worden gemaakt. Internet.nl heeft nu in samenwerking met het DTC een nieuw testonderdeel voor security.txt toegevoegd. Via Internet.nl is het mogelijk om web- en mailservers op allerlei standaarden te testen. Security.txt is daar nu ook een onderdeel van geworden.
De test controleert of het security.txt-bestand op de geteste domeinnaam aanwezig is en of de opgenomen informatie het juiste formaat heeft. Voorlopig heeft de security.txt-standaard binnen Internet.nl de aanbevolen status. De resultaten van de security.txt-test wegen nog niet mee in de totaalscore van het testresultaat. Later dit jaar zal de security.txt-test ook worden toegevoegd aan de API en het dashboard van Internet.nl.
Het Forum Standaardisatie onderzoekt momenteel of de security.txt-standaard geschikt is om te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst. Dat houdt in dat overheidsinstanties security.txt verplicht moeten toepassen. Het Forum is een adviescommissie die de publieke sector adviseert over het gebruik van open standaarden en de adoptie en naleving van het open standaardenbeleid monitort.
Deze posting is gelocked. Reageren is niet meer mogelijk.