Qu'est-ce que Générateur & validateur security.txt ?
security.txt est un fichier texte simple publie a /.well-known/security.txt qui indique aux chercheurs en securite comment vous contacter a propos de vulnerabilites. Il est defini par la RFC 9116 et soutenu par Google, GitHub et les principales plateformes de divulgation de vulnerabilites. Le fichier contient un champ Contact (URL ou e-mail), une date Expires, et des champs facultatifs comme Canonical, Encryption, Policy, Acknowledgments et Hiring.
Réponse rapide
security.txt est un fichier place a /.well-known/security.txt qui indique aux chercheurs en securite comment vous signaler des vulnerabilites. Incluez au minimum un champ Contact (URL ou e-mail) et une date Expires. Renouvelez le fichier avant son expiration pour maintenir votre canal de divulgation actif.
Last updated: 2026-05-28
Limites
- security.txt est un standard propose (RFC 9116), pas une recommandation W3C. Certaines organisations ne le connaissent pas encore, et l'adoption par les scanners automatiques varie selon les regions et les secteurs.
- Le fichier doit etre servi via HTTPS sans redirections. Certaines plateformes d'hebergement statique (dont GitHub Pages) peuvent rediriger les chemins /.well-known/ ou les servir avec des types de contenu inattendus.
- security.txt seul ne cree pas de programme de divulgation de vulnerabilites ou de bug bounty. Il indique seulement aux chercheurs ou signaler — vous avez toujours besoin d'un processus interne pour traiter les rapports entrants.
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
Comment utiliser cet outil
- En mode Generation : remplissez votre URL ou e-mail de contact, definissez une date d'expiration et ajoutez les champs facultatifs.
- En mode Validation : collez un fichier security.txt existant pour le verifier par rapport a la specification RFC 9116.
- Deployez le fichier vers /.well-known/security.txt sur votre domaine et servez-le via HTTPS.
A quoi il sert
- Creer un contact de divulgation de vulnerabilite pour le site d'un projet open-source.
- Valider un security.txt existant avant de le deployer sur un domaine de production.
- S'assurer que la date Expires n'est pas passee et que le champ Contact utilise un format d'URL ou d'e-mail valide.