Cloudflare推出安全漏洞报告管理工具

Cloudflare近期推出了一款仪表盘，旨在帮助用户创建和管理用于网站漏洞披露的security.txt文件。该文件符合RFC9116标准，为安全研究团队提供了一种标准化的漏洞报告方法。

目标用户与功能

该工具面向所有管理网站的Cloudflare用户，包括小型企业主和大型企业。仪表盘将信息存储在分布式数据库中，动态生成security.txt文件，确保更新实时反映，无需手动干预或重新生成文件。

标准化与自动化

security.txt文件遵循RFC9116标准，简化了安全漏洞报告流程，文件放置在域名的.well-known文件夹中。文件语法类似于robots.txt，既适合机器读取，也适合人类阅读，方便安全专家联系网站所有者报告潜在漏洞。

采用率与合规性挑战

尽管security.txt文件有助于有效管理漏洞报告，但目前面临的主要挑战是采用率和合规性较低。安全专家Freddie Leeman指出，全球前100万个互联网域名中，仅有0.7%采用了security.txt文件，且其中只有19%符合RFC标准。

Cloudflare的解决方案

为确保合规性，Cloudflare动态生成文件，并支持可选字段，如加密密钥和签名。用户还可以链接到其PGP密钥进行安全通信，或包含签名以验证真实性。此外，每个security.txt文件包含一个过期时间戳，提醒管理员信息可能过时。

用户反馈与未来发展

网络安全和基础设施安全局（CISA）将security.txt描述为“具有巨大价值的简单文件”，强调其有助于简化安全管理。Cloudflare用户也在Reddit上表达了对该功能的积极反馈。此前，Cloudflare开源了用于生成security.txt的Cloudflare Worker，用户还可以通过API自动化管理文件，实现与现有工作流程和工具的无缝集成。

总结

Cloudflare的这一新功能免费向所有用户提供，旨在通过标准化和自动化提升网站的安全管理水平。