Qué es Generador & validador security.txt?
security.txt es un archivo de texto simple publicado en /.well-known/security.txt que indica a los investigadores de seguridad cómo contactarlo sobre vulnerabilidades. Está definido por RFC 9116 y es compatible con Google, GitHub y las principales plataformas de divulgación de vulnerabilidades. El archivo contiene un campo Contact (URL o correo), una fecha Expires y campos opcionales para Canonical, Encryption, Policy, Acknowledgments y Hiring.
Respuesta rápida
security.txt es un archivo en /.well-known/security.txt que indica a los investigadores de seguridad cómo reportar vulnerabilidades. Como mínimo, incluya un campo Contact (URL o correo) y una fecha Expires. Renueve el archivo antes de que venza para mantener activo su canal de divulgación de vulnerabilidades.
Last updated: 2026-05-28
Limitaciones
- security.txt es un estándar propuesto (RFC 9116), no una recomendación W3C. La adopción de escáneres automatizados varía según la región y la industria.
- El archivo debe servirse a través de HTTPS sin redirecciones. Algunas plataformas de alojamiento estático pueden redirigir rutas /.well-known/ o servirlas con tipos de contenido inesperados.
- security.txt por sí solo no crea un programa de divulgación de vulnerabilidades o bug bounty. Solo indica a los investigadores dónde reportar — aún necesita un proceso interno para manejar los informes entrantes.
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
Cómo usar esta herramienta
- En modo Generar: complete su URL o correo de contacto, establezca una fecha de vencimiento y agregue los campos opcionales que necesite.
- En modo Validar: pegue un archivo security.txt existente para verificarlo según la especificación RFC 9116.
- Implemente el archivo en /.well-known/security.txt en su dominio y sírvalo a través de HTTPS.
Para qué puedes usarla
- Crear un contacto de divulgación de vulnerabilidades para el sitio de un proyecto de código abierto.
- Validar un security.txt existente antes de implementarlo en un dominio de producción.
- Asegurarse de que la fecha Expires no esté en el pasado y que el campo Contact use una URL o formato de correo válido.