之前從 Twitter 看到 政府單位強制使用 security.txt[0]
結合最近提報銀行問題之後 覺得這是一個很好的方式
在 RFC 9116 提案中使用了 security.txt 當作一個讓安全人員回報的一種溝通標準
在提供的 security.txt 檔案下、標註回報方式 (mail / phone / ...etc) 以及其他資訊
用 Google[1] 家的當作例子
```
Contact: https://g.co/vulnz
Contact: mailto:[email protected]
Encryption: https://services.google.com/corporate/publickey.txt
Acknowledgements: https://bughunters.google.com/
Policy: https://g.co/vrp
Hiring: https://g.co/SecurityPrivacyEngJobs
```
回報管道可以直接在 https://g.co/vulnz 網站或者寄信到 [email protected]
可以透過 https://services.google.com/corporate/publickey.txt 使用 PGP 加密內容
如果想要找工作的話 也可以到 https://g.co/SecurityPrivacyEngJobs 找適合的職缺
[0]: https://netherlands.postsen.com/trends/198695/Securitytxt-now-mandatory-for-Dutch-government-websites.html
[1]: https://www.google.com/.well-known/security.txt