Se ha anunciado que el RFC 9116: A File Format to Aid in Security Vulnerability Disclosure ya es un «protocolo formal» tras cinco años de trabajo, a pesar de que los ingenieros llaman a estas cosas Request for Comments («Petición de comentarios»). Su objetivo es servir como formato estándar legible por los robots, en forma de un fichero llamado security.txt que contenga datos sobre la empresa propietaria de un sitio web, sus políticas de seguridad, cómo informar sobre vulnerabilidades y algunas cosas más relacionadas.

Cuando los investigadores descubren vulnerabilidades de seguridad, a menudo faltan canales de comunicación adecuados. Como resultado, las vulnerabilidades pueden quedar sin notificarse. Este documento define un formato ("security.txt") para ayudar a las organizaciones a describir sus prácticas de de vulnerabilidades para facilitar a los investigadores la notificación de las mismas.