Vývojář Edwin Foudil v srpnu 2017 navrhnul způsob, jakým by lidé mohli hlásit bezpečnostní problémy provozovatelům webu. Ti by na dobře známé místo na serveru uložili zvláštní soubor security,txt, v němž budou uvedeny kontakty a další údaje, jak popis problému předat. Po pěti letech se z tohoto nápadu stal internetový standard RFC 9116 pod patronací Internet Engineering Task Force.
Soubor se dle standardu musí nacházet na adrese začínající https:// a v cestě musí být /.well-known/, z historických důvodů se ale může použít i umístění v kořenové složce, kde bude kopie souboru nebo přesměrování. Typicky se tak bude nacházet na adrese https://example.com/.well-known/security.txt s tím, že lze použít i https://example.com/security.txt.
Uvnitř se musí nacházet minimálně jeden kontaktní údaj ve formátu mailto:security@example.com nebo tel:+123456789, případně lze uvést odkaz na stránku s kontakty. V dalších definovaných polích můžou být například klíč pro šifrovanou komunikaci, preferované jazyky hlášení, datum vypršení údajů nebo odkaz na stránky, kde je přesně popsána politika oznamování zranitelností. Webmasteři mohou uvést také odkaz na stránku s inzerátem, v němž hledají bezpečnostní experty.
V Česku byl hlavním propagátorem security.txt Michal Špaček, a to ještě před jeho standardizací. Na jeho blogu jsou také různé užitečné tipy a zkušenosti z praxe.
Takhle vypadá security.txt na serveru Googlu
Inspirovat se můžete i samotnými soubory: