network/security-txt
The site serves /.well-known/security.txt. Reglen network/security-txt kører i network-scope med severity 'warning' og indgår i netværk og forfald-domænet sammen med 4 andre kontrakter i frameworket.
Hvorfor security-txt findes
RFC 9116 gives security researchers a disclosure route and signals operational maturity. The file needs Contact: and a future Expires: (≤1 year out).
Sådan håndhæves security-txt
Reglen security-txt evalueres mod internettet over tid via pseo monitor på cron — den må aldrig blokere et build, for netværket er ikke deterministisk. Fejler en side, får agenten en finding, hvor fix-instruktionen for security-txt er formuleret som en konkret arbejdsordre med filnavne og målbare krav — aldrig et vagt råd. Severity 'warning' betyder at et brud på security-txt rapporteres uden at blokere builds — men guld-standarden er først nået, når også advarslerne er væk.
Domænet: netværk og forfald
Network-domænet overvåger forfald over tid via pseo monitor: døde eksterne links, rådnende OG-billeder, sitemap-drift, manglende security.txt og TLS-certifikater på vej mod udløb. Born perfect klarer de andre domæner — stays perfect er dette domænes job. Netop derfor hører security-txt hjemme her: kravet kan afgøres maskinelt, og dermed kan det håndhæves i stedet for blot at blive anbefalet.
Test og fixtures
Som alle kontrakter i frameworket har network/security-txt en mutant-test, der beviser at reglen fejler, når kravet brydes — en regel uden en fejlende test er ikke en regel. Golden-fixturet beviser omvendt, at en fuldt compliant side består security-txt sammen med de øvrige 85 regler, og denne demoside er selv underlagt hele kontrakten.
Relaterede regler
Tilbage til oversigten over alle 86 regler.