Clear
Lead Graphic Papers

ข่าวสั้น

ข้อเสนอมาตรฐานไฟล์ security.txt เพื่อใช้แจ้งเหตุภัยคุกคามไซเบอร์อยู่ในขั้นตอนสุดท้ายของการพิจารณาแล้ว

หนึ่งในปัญหาและอุปสรรคของการรายงานช่องโหว่หรือการแจ้งประสานเหตุภัยคุกคามไซเบอร์คือการที่ผู้แจ้งนั้นไม่สามารถติดต่อกับผู้ดูแลระบบหรือผู้ที่รับผิดชอบในส่วนของความมั่นคงปลอดภัยได้ เมื่อปี 2560 ได้มีความพยายามที่จะจัดทำมาตรฐานไฟล์ security.txt ขึ้นมาเพื่อใช้เป็นช่องทางระบุข้อมูลการติดต่อ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2017-09-21-01.html) โดยตัวข้อเสนอนี้ก็ได้ถูกส่งเข้าไปยังหน่วยงาน IETF เพื่อพิจารณาและปรับปรุงให้สามารถประกาศออกเป็นมาตรฐานกลางทางอินเทอร์เน็ตได้

เมื่อวันที่ 9 ธันวาคม 2562 ทาง IETF ได้ประกาศว่าข้อเสนอนี้อยู่ในขั้นตอนสุดท้ายของการพิจารณาแล้ว ซึ่งหากไม่มีอะไรผิดพลาดก็น่าจะสามารถประกาศเป็น RFC ได้ภายในปี 2563 ร่างมาตรฐานไฟล์ security.txt เวอร์ชันล่าสุดสามารถดูได้จาก https://tools.ietf.org/html/draft-foudil-securitytxt-08

การสร้างไฟล์ security.txt ผู้ใช้สามารถสร้างเองได้โดยใช้โปรแกรม text editor ทั่วไป หรือจะใช้เว็บไซต์ https://securitytxt.org/ เพื่อช่วยอำนวยความสะดวกก็ได้

ถึงแม้ปัจจุบันตัวมาตรฐานนี้จะยังไม่ถูกประกาศใช้อย่างเป็นทางการ แต่หลายเว็บไซต์หรือหลายองค์กรก็เริ่มทยอยนำมาปรับใช้กันบ้างแล้ว ตัวอย่างเช่น LinkedIn (https://www.linkedin.com/.well-known/security.txt) และ Google (https://www.google.com/.well-known/security.txt)

การมีช่องทางติดต่อประสานงานที่ชัดเจนนั้นจะช่วยลดระยะเวลาและจำกัดความเสียหายได้หากเกิดเหตุภัยคุกคามไซเบอร์ ผู้พัฒนาระบบอาจพิจารณาใช้งานมาตรฐานนี้เพื่อให้การประสานงานทำได้สะดวกขึ้น ข้อมูลอื่นๆ สามารถศึกษาเพิ่มเติมได้จากที่มา

วันที่: 2019-12-12 | ที่มา: IETF | Share on Facebook Share on Twitter Share on Google+

Clear