security.txt ジェネレーター&バリデーターとは
security.txtは/.well-known/security.txtに公開されるシンプルなテキストファイルで、セキュリティ研究者に脆弱性の連絡先を伝えます。RFC 9116で定義されており、Google、GitHub、主要な脆弱性開示プラットフォームでサポートされています。ファイルにはContactフィールド(URLまたはメールアドレス)、Expires日付、およびオプションのCanonical、Encryption、Policy、Acknowledgments、Hiringフィールドが含まれます。
クイックアンサー
security.txtは/.well-known/security.txtに配置するファイルで、セキュリティ研究者に脆弱性の報告方法を伝えます。最低限、Contactフィールド(URLまたはメール)とExpires日付を含めます。脆弱性開示チャネルをアクティブに保つため、期限切れ前にファイルを更新してください。
Last updated: 2026-05-28
制限事項
- security.txtは提案標準(RFC 9116)であり、W3C勧告ではありません。一部の組織ではまだ認知されておらず、自動スキャナーの採用状況は地域や業界によって異なります。
- ファイルはHTTPS経由でリダイレクトなしで配信する必要があります。一部の静的ホスティングプラットフォーム(GitHub Pagesを含む)では、/.well-known/パスをリダイレクトしたり、予期しないコンテンツタイプで配信したりする場合があります。
- security.txt単体では脆弱性開示プログラムやバグ報奨金制度は作成されません。研究者に報告先を伝えるだけで、実際の報告を処理する内部プロセスは別途必要です。
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
使い方
- 生成モード:連絡先URLまたはメールアドレスを入力し、有効期限日を設定して、オプションフィールドを追加します。
- 検証モード:既存のsecurity.txtファイルを貼り付けて、RFC 9116仕様に準拠しているかチェックします。
- ファイルをドメインの/.well-known/security.txtにデプロイし、HTTPSで配信します。
主な用途
- オープンソースプロジェクトサイト向けに脆弱性開示の連絡先を作成する。
- プロダクションドメインにデプロイする前に既存のsecurity.txtを検証する。
- Expires日付が過去になっていないか、Contactフィールドが有効なURLまたはメール形式かを確認する。