WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Dove deve essere pubblicato security.txt?

Pubblicatelo su /.well-known/security.txt sul vostro sito web pubblico affinche gli strumenti automatizzati e i ricercatori possano scoprirlo in modo prevedibile.

Ho bisogno di un programma di bug bounty per usare security.txt?

No. security.txt e utile anche senza ricompense finanziarie. Fornisce un canale chiaro per la divulgazione responsabile e stabilisce aspettative di comunicazione.

Con che frequenza devo aggiornare il file?

Revisonatelo ogni volta che cambiano i proprietari, i canali di segnalazione o le pagine di policy, e aggiornate la data di scadenza secondo un calendario regolare affinche il file resti credibile.

I team legali devono revisionare la policy di divulgazione?

Si. I responsabili legali, di prodotto e tecnici devono allinearsi sulle aspettative di risposta, il linguaggio di safe harbor e i confini dell'ambito prima della pubblicazione.

Guida security.txt — Divulgazione delle vulnerabilita per siti web

Perche un file security.txt e importante

Quando un ricercatore, cliente, partner o sistema automatizzato rileva una possibile vulnerabilita sul vostro sito web, la parte piu difficile spesso non e il bug in se. E sapere dove segnalarlo senza perdere giorni in caselle di posta di supporto generiche o post sui social media. security.txt risolve questo problema di scoperta con un punto di ingresso semplice e standardizzato.

Per le PMI, non si tratta solo di apparire maturi. Si tratta di ridurre la frizione nella divulgazione. Piu velocemente i segnalatori legittimi possono raggiungere il contatto giusto, piu probabilmente risolverete i problemi privatamente, documenterete le decisioni ed eviterete una gestione caotica quando la scoperta e reale.

Un punto di ingresso pubblico per la divulgazione segnala anche qualcosa di importante internamente: le segnalazioni di sicurezza sono attese, classificate e prese in carico. Questa mentalita e piu sana di fingere che le segnalazioni non arriveranno mai o che il supporto possa improvvisare un processo sicuro sotto pressione.

Cosa deve contenere un security.txt minimo

Il file e intenzionalmente semplice. Pubblicatelo su /.well-known/security.txt e mantenete il contenuto leggibile per umani e macchine. Non serve un grande programma di bug bounty per trarne beneficio. Servono informazioni di contatto chiare, aspettative sull'ambito e un processo mantenuto alle spalle.

Contact: un indirizzo email monitorato o un canale di segnalazione sicuro gestito da persone in grado di instradare rapidamente le scoperte di sicurezza.
Expires: una data che dimostri che il file e mantenuto e non abbandonato.
Policy: una pagina che descriva come gestite le segnalazioni, i tempi di risposta attesi e il linguaggio base di safe harbor se lo fornite.
Preferred-Languages: opzionale, utile quando il vostro team operativo lavora principalmente in italiano o inglese.
Acknowledgments o Hiring: opzionale, solo se riflettono un processo reale e mantenuto.

Come operazionalizzare la gestione delle divulgazioni

Pubblicare il file e la parte facile. Il lavoro reale e assicurarsi che le segnalazioni non scompaiano in una casella di posta. Qualcuno deve gestire l'intake, validare la gravita, richiedere i passaggi di riproduzione, assegnare la remediation e chiudere il ciclo con il segnalatore quando appropriato.

Qui molte aziende falliscono. Aggiungono un file security.txt per l'immagine, ma l'indirizzo instrada verso una casella condivisa che nessuno monitora, o verso un team legale che non sa cosa fare con le segnalazioni tecniche. Se non potete rispondere responsabilmente, mantenete l'ambito semplice e documentate aspettative di risposta realistiche.

Collegate la gestione delle divulgazioni al vostro processo esistente di gestione degli incidenti e delle vulnerabilita. Anche un piccolo team puo eseguire un workflow leggero: intake, triage, assegnazione, correzione, validazione e archiviazione delle prove. La postura affidabilita-first di WarDek si integra bene qui perche il prodotto e costruito attorno a prove, contesto di remediation e processo decisionale verificabile piuttosto che avvisi vaghi.

Passaggi di implementazione per un sito web in produzione

Prima di tutto, pubblicate il file sul vostro dominio canonico e confermate che sia raggiungibile senza redirect o sorprese di content-type. Poi replicate la stessa policy di divulgazione su una pagina leggibile da umani se volete spiegare le aspettative di risposta in modo piu dettagliato.

Secondo, testate il workflow di contatto da un capo all'altro. Inviate una segnalazione di prova, confermate che le persone giuste la ricevano e definite chi decide se una scoperta e valida, duplicata, fuori ambito o urgente. security.txt e utile solo se il percorso operativo alle spalle funziona.

Terzo, mantenetelo. Un file scaduto o una casella email morta e peggio di nessun file perche crea falsa fiducia. Mettete i controlli di rinnovo e proprieta sulla stessa cadenza di altre superfici di fiducia come TLS, pagine sulla privacy e documenti di conformita.

Errori che indeboliscono la fiducia

Non pubblicate un contatto di divulgazione che invia risposte automatiche e nient'altro. Non promettete un bug bounty se non esiste. Non copiate una dichiarazione di safe harbor da una grande piattaforma se i vostri team legale e tecnico non si sono mai accordati su come gestire i test esterni.

Evitate anche di trattare security.txt come una casella di spunta di conformita. Il suo valore e pratico: accorcia il percorso tra la scoperta e la gestione responsabile. Quando e collegato a un processo reale, rafforza la fiducia con ricercatori, clienti e operatori interni.