CSIRT/PSIRTへの連絡パスを、ということですな『必要な情報を記載した「security.txt」ファイルをWebサイトの「/.well-known/」パスの下に公開することを要求』:脆弱性の報告や開示を円滑に~4月公開の「RFC 9116」解説 | ScanNetSecurity