Internet.nl voegt test voor security.txt toe
Wat is je meldpunt voor beveiligingslekken?
Elke dag kunnen beveiligingsonderzoekers (ook wel goedwillende of ethische hackers) digitale kwetsbaarheden vinden in je website of IT-systemen. Als organisatie wil je het natuurlijk snel weten als zoiets bij jou geconstateerd wordt, zodat je snel kunt reageren en het lek kunt dichten. Nu is het vaak niet duidelijk wáár een beveiligingsonderzoeker de gevonden kwetsbaarheid kan melden. Er gaat daardoor mogelijk kostbare tijd verloren aan het zoeken naar en het bereiken van de juiste afdeling of persoon binnen een organisatie. Sterker nog, het kan zelfs zo zijn dat het goedbedoelde bericht niemand bereikt.
Sneller gewaarschuwd met security.txt
Aangezien kwaadwillenden deze kwetsbaarheden ook op het spoor kunnen komen, mag er geen onnodige tijd verloren gaan om de getroffen organisaties te waarschuwen. Dat deze snelheid belangrijk is, ervaart het Digital Trust Center (DTC) zelf ook regelmatig bij het waarschuwen van Nederlandse bedrijven. security.txt kan hierbij helpen. Door als organisatie contactgegevens beschikbaar te stellen via security.txt, kunnen beveiligingsonderzoekers direct de juiste persoon of afdeling waarschuwen. Het DTC adviseert daarom aan ieder bedrijf om een security.txt-bestand te publiceren en dat actueel te houden.
Internet.nl test op security.txt
De aan Internet.nl toegevoegde test voor security.txt is bedoeld als hulpmiddel voor bedrijven en andere organisaties. De test controleert of het security.txt-bestand op de geteste domeinnaam aanwezig is en of de opgenomen informatie het juiste formaat heeft.
Gerben Klein Baltink, voorzitter Platform Internetstandaarden:
"Samen met het DTC hebben we eraan gewerkt dat Internet.nl nu ook test op security.txt. Door een eenvoudige toevoeging van dit gestandaardiseerde format aan jouw webdomein is het voor “helpende hackers” makkelijker geworden om de juiste contacten te leggen als zij bij jou een kwetsbaarheid aantreffen. Ik wil daarom organisaties van harte aanmoedigen om een security.txt-bestand te publiceren en via Internet.nl te checken of dit op de juiste manier is gedaan. Zo houden we het internet samen open, vrij en veilig!"
Voorlopig heeft de security.txt-standaard binnen Internet.nl de aanbevolen status. De resultaten van de security.txt-test wegen nog niet mee in de totaalscore van het testresultaat. Later dit jaar zal de security.txt-test ook worden toegevoegd aan de API en het dashboard van Internet.nl. Forum Standaardisatie onderzoekt momenteel of de security.txt-standaard geschikt is om te verplichten aan de overheid via plaatsing op de 'pas toe of leg uit'-lijst.
Meer weten?
Heeft jouw bedrijf of organisatie al een security.txt-bestand? Voer je website-URL in op Internet.nl en je weet het binnen enkele seconden. Benieuwd hoe je eenvoudig een eigen security.txt-bestand maakt? Lees dan verder over security.txt op de website van DTC.
Over Internet.nl
De testtool Internet.nl is een initiatief van het Platform Internetstandaarden, een samenwerkingsverband van partijen uit de Internetgemeenschap en de Nederlandse overheid. Het doel van het platform is om gezamenlijk het gebruik van moderne internetstandaarden verder te vergroten om daarmee het internet voor iedereen toegankelijker, veiliger en betrouwbaarder te maken. De softwarecode van Internet.nl is online beschikbaar onder een open source licentie.
Release notes 1.6.0
- Add security.txt support. For all IPs of web servers, this looks for the existence and validity of a RFC 9116 security.txt file.
Upgrading to 1.6 from 1.5.x
See the change overview for the steps to upgrade if you have your own deployment of the internet.nl codebase.