GitHub Pagesツール

無料 security.txt ジェネレーター&バリデーター

RFC 9116に準拠したsecurity.txtファイルの生成と検証、ホスティングガイド付き。

ツールを読み込み中...

security.txt ジェネレーター&バリデーターとは

security.txtは/.well-known/security.txtに公開されるシンプルなテキストファイルで、セキュリティ研究者に脆弱性の連絡先を伝えます。RFC 9116で定義されており、Google、GitHub、主要な脆弱性開示プラットフォームでサポートされています。ファイルにはContactフィールド(URLまたはメールアドレス)、Expires日付、およびオプションのCanonical、Encryption、Policy、Acknowledgments、Hiringフィールドが含まれます。

クイックアンサー

security.txtは/.well-known/security.txtに配置するファイルで、セキュリティ研究者に脆弱性の報告方法を伝えます。最低限、Contactフィールド(URLまたはメール)とExpires日付を含めます。脆弱性開示チャネルをアクティブに保つため、期限切れ前にファイルを更新してください。

Last updated: 2026-05-28

制限事項

  • security.txtは提案標準(RFC 9116)であり、W3C勧告ではありません。一部の組織ではまだ認知されておらず、自動スキャナーの採用状況は地域や業界によって異なります。
  • ファイルはHTTPS経由でリダイレクトなしで配信する必要があります。一部の静的ホスティングプラットフォーム(GitHub Pagesを含む)では、/.well-known/パスをリダイレクトしたり、予期しないコンテンツタイプで配信したりする場合があります。
  • security.txt単体では脆弱性開示プログラムやバグ報奨金制度は作成されません。研究者に報告先を伝えるだけで、実際の報告を処理する内部プロセスは別途必要です。

Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub

使い方

  1. 生成モード:連絡先URLまたはメールアドレスを入力し、有効期限日を設定して、オプションフィールドを追加します。
  2. 検証モード:既存のsecurity.txtファイルを貼り付けて、RFC 9116仕様に準拠しているかチェックします。
  3. ファイルをドメインの/.well-known/security.txtにデプロイし、HTTPSで配信します。

主な用途

  • オープンソースプロジェクトサイト向けに脆弱性開示の連絡先を作成する。
  • プロダクションドメインにデプロイする前に既存のsecurity.txtを検証する。
  • Expires日付が過去になっていないか、Contactフィールドが有効なURLまたはメール形式かを確認する。

用途

使用例

SaaSサイトのセキュリティ連絡先ページ

SaaS企業が専用のsecurity@メールアドレスと脆弱性開示ポリシーページへのリンクを含むsecurity.txtを作成します。ファイルは/.well-known/ディレクトリに配置され、HTTPSで配信されます。

オープンソースの静的サイト

GitHub Pagesでホストされているオープンソースツールサイトが、GitHub Security Advisoriesページへのリンクを含むsecurity.txtを追加します。Preferred-LanguagesとPGP暗号化レポート用のEncryptionキーも含まれます。

よくあるミス

  • security.txtをサイトルートではなく/.well-known/security.txtに配置する必要があります。RFC 9116では/.well-known/パスが必須です。
  • Expires日付を更新せずに期限切れにすると、自動スキャナーは期限切れのsecurity.txtファイルを無視します。
  • HTTPではなくHTTPSでファイルを配信する必要があります。リダイレクトなしでHTTPS経由でアクセス可能でなければなりません。

検証

  1. ブラウザでhttps://yourdomain.com/.well-known/security.txtにアクセスし、HTTPS経由でリダイレクトなしに直接読み込まれることを確認します。
  2. curl -I https://yourdomain.com/.well-known/security.txt を使用して、Content-Typeがtext/plainでレスポンスステータスが200であることを確認します。

FAQ

security.txt ジェネレーター&バリデーターのFAQ

security.txtファイルは正確にはどこに配置すべきですか?

/.well-known/security.txtに配置します。完全なURLはhttps://yourdomain.com/.well-known/security.txtになります。GitHub Pagesの場合は、公開サイトルートに.well-knownディレクトリを作成し、その中にsecurity.txtを配置します。ファイルはリダイレクトなしで直接配信される必要があります。

Expires日付はどのくらいの頻度で更新すべきですか?

RFC 9116では、Expires日付を現在の日付から12ヶ月以内に設定することを推奨しています。期限切れになる前に更新するようカレンダーリマインダーを設定してください。自動スキャナーやバグ報奨金プラットフォームは期限切れのsecurity.txtファイルを無視するため、ファイルを設置する意味がなくなります。

Contactフィールドは複数持てますか?

はい。RFC 9116では複数のContactフィールドを許可しています。これはセキュリティ連絡先と不正利用連絡先が別々にある場合や、WebフォームURLとバックアップメールアドレスの両方を記載したい場合に便利です。優先順に連絡先をリストしてください。

関連ツール

その他のgithub pagesツール

こちらもお試しください

こちらもお試しください