Wat is security.txt Generator & Validator?
security.txt is een eenvoudig tekstbestand dat op /.well-known/security.txt wordt geplaatst en beveiligingsonderzoekers vertelt hoe zij u kunnen bereiken over kwetsbaarheden. Het wordt gedefinieerd door RFC 9116 en wordt ondersteund door Google, GitHub en grote platforms voor kwetsbaarheidsmeldingen. Het bestand bevat een Contact-veld (URL of e-mail), een Expires-datum en optionele velden voor Canonical, Encryption, Policy, Acknowledgments en Hiring.
Snel antwoord
security.txt is een bestand op /.well-known/security.txt dat beveiligingsonderzoekers vertelt hoe zij kwetsbaarheden aan u kunnen melden. Voeg minimaal een Contact-veld (URL of e-mail) en een Expires-datum toe. Vernieuw het bestand voordat het verloopt om uw kanaal voor kwetsbaarheidsmeldingen actief te houden.
Last updated: 2026-05-28
Beperkingen
- security.txt is een voorgestelde standaard (RFC 9116), geen W3C-aanbeveling. Sommige organisaties zijn er nog niet van op de hoogte en de adoptie van geautomatiseerde scanners verschilt per regio en sector.
- Het bestand moet via HTTPS zonder omleidingen worden geserveerd. Sommige statische hostingplatforms (waaronder GitHub Pages) kunnen /.well-known/ paden omleiden of met onverwachte inhoudstypen serveren.
- security.txt alleen creëert geen programma voor kwetsbaarheidsmeldingen of bug bounty. Het vertelt onderzoekers alleen waar ze moeten melden — u heeft nog steeds een intern proces nodig om binnenkomende meldingen af te handelen.
Sources:MDN Web Docs · W3C Specifications · jquery.app on GitHub
Zo gebruik je deze tool
- Vul in de Genereer-modus uw contact-URL of e-mail in, stel een vervaldatum in en voeg eventuele optionele velden toe.
- Plak in de Valideer-modus een bestaand security.txt-bestand om het te controleren tegen de RFC 9116-specificatie.
- Plaats het bestand op /.well-known/security.txt op uw domein en serveer het via HTTPS.
Waarvoor je het kunt gebruiken
- Maak een contactpersoon voor kwetsbaarheidsmeldingen voor een open-source projectsite.
- Valideer een bestaande security.txt voordat u deze naar een productiedomein implementeert.
- Zorg ervoor dat de Expires-datum niet in het verleden ligt en dat het Contact-veld een geldige URL of e-mail bevat.