A vulnerability disclosure policy (VDP), also referred to as a responsible disclosure policy, describes how an organization will handle reports of vulnerabilities submitted by ethical hackers. A VDP must thus be easily identifiable via a simple way, a security.txt notice.

# security.txt - RFC 9116
# Файл для ответственного раскрытия информации о уязвимостях

Contact: mailto:security@lentulen.ru
# Замените на реальный email для сообщений о безопасности

Expires: 2026-12-31T23:59:59.000Z
# Обновите дату истечения (макс. 1 год от даты публикации)

Preferred-Languages: ru, en

# Encryption: https://yourdomain.com/pgp-key.txt
# Добавьте ссылку на PGP ключ если используете шифрование

Canonical: https://yourdomain.com/.well-known/security.txt
# Замените yourdomain.com на ваш реальный домен

Policy: https://yourdomain.com/security-policy
# Добавьте ссылку на политику безопасности (опционально)

Acknowledgments: https://yourdomain.com/security-acknowledgments
# Добавьте ссылку на список исследователей безопасности (опционально)

Hiring: https://yourdomain.com/careers
# Добавьте ссылку на вакансии (опционально)