# network/security-txt

The site serves /.well-known/security.txt. Reglen network/security-txt kører i network-scope med severity 'warning' og indgår i netværk og forfald-domænet sammen med 4 andre kontrakter i frameworket.

## Hvorfor security-txt findes

RFC 9116 gives security researchers a disclosure route and signals operational maturity. The file needs Contact: and a future Expires: (≤1 year out).

## Sådan håndhæves security-txt

Reglen security-txt evalueres mod internettet over tid via pseo monitor på cron — den må aldrig blokere et build, for netværket er ikke deterministisk. Fejler en side, får agenten en finding, hvor fix-instruktionen for security-txt er formuleret som en konkret arbejdsordre med filnavne og målbare krav — aldrig et vagt råd. Severity 'warning' betyder at et brud på security-txt rapporteres uden at blokere builds — men guld-standarden er først nået, når også advarslerne er væk.

## Test og fixtures

Som alle kontrakter i frameworket har network/security-txt en mutant-test, der beviser at reglen fejler, når kravet brydes — en regel uden en fejlende test er ikke en regel. Golden-fixturet beviser omvendt, at en fuldt compliant side består security-txt sammen med de øvrige 85 regler, og denne demoside er selv underlagt hele kontrakten.

## Relaterede regler

- [network/cert-expiry](https://pseo.mikkelkrogsholm.dk/regler/network/cert-expiry/)
- [network/external-link-liveness](https://pseo.mikkelkrogsholm.dk/regler/network/external-link-liveness/)
- [network/og-image-liveness](https://pseo.mikkelkrogsholm.dk/regler/network/og-image-liveness/)