之前从 Twitter 看到 政府单位强制使用 security.txt[0]
结合最近提报银行问题之后 觉得这是一个很好的方式
在 RFC 9116 提案中使用了 security.txt 当作一个让安全人员回报的一种沟通标准
在提供的 security.txt 档案下、标注回报方式 (mail / phone / ...etc) 以及其他资讯
用 Google[1] 家的当作例子
```
Contact: https://g.co/vulnz
Contact: mailto:[email protected]
Encryption: https://services.google.com/corporate/publickey.txt
Acknowledgements: https://bughunters.google.com/
Policy: https://g.co/vrp
Hiring: https://g.co/SecurityPrivacyEngJobs
```
回报管道可以直接在 https://g.co/vulnz 网站或者寄信到 [email protected]
可以透过 https://services.google.com/corporate/publickey.txt 使用 PGP 加密内容
如果想要找工作的话 也可以到 https://g.co/SecurityPrivacyEngJobs 找适合的职缺
[0]: https://netherlands.postsen.com/trends/198695/Securitytxt-now-mandatory-for-Dutch-government-websites.html
[1]: https://www.google.com/.well-known/security.txt