security.txt

[OEHC]

Som dokumenteret på https://securitytxt.org/ foreslås det at hjemmesider har en /.well-known/security.txt med information om hvordan man kan rapportere fundne sikkerhedshuller på et givent website. Mange store websites er allerede med på bølgen, og det gør det mere ensartet for security researchers at finde relevant kontaktinformationen hurtigt.

Jeg foreslår at vi:
[ ] Laver et nyt mailalias, security@TKET, til kontakt
[ ] Laver en ny GPG nøgle for at tillade krypteret kontakt
[ ] Skriver en security.txt og clearsigner den med vores GPG nøgle

[Mortal]

Jeg synes det er en god idé at lave security@ og lave en security.txt med den mailadresse, men jeg tror ikke jeg er så vild med idéen om at lave en ny GPG-nøgle til formålet. Vi har ikke rigtig nogen infrastruktur til at holde godt nok styr på sådan en nøgle i forhold til hvad jeg ville forvente hvis jeg så en security.txt der linkede til en GPG-nøgle.