Una direttiva è un'istruzione di configurazione che indica al software come comportarsi. In sistemi come NGINX, le direttive definiscono dettagli come il routing delle richieste, la memorizzazione nella cache, la registrazione, le regole di accesso, le impostazioni TLS e il comportamento dei moduli. Di solito vengono scritte in un file di configurazione e interpretate quando il servizio si avvia o viene ricaricato.
Le direttive sono importanti nella sicurezza informatica perché possono ampliare o ridurre l'esposizione. Una versione sicura di un server può comunque essere rischiosa se una direttiva abilita una funzionalità insicura, espone un percorso interno, indebolisce l'autenticazione o carica un modulo che modifica la gestione delle richieste. Gli aggressori spesso cercano configurazioni errate nelle direttive per raggiungere pannelli di amministrazione, aggirare i controlli o attivare comportamenti di analisi non sicuri. I difensori usano un'attenta revisione delle direttive, baseline di configurazione e test delle modifiche per assicurarsi che il servizio distribuito corrisponda alla postura di sicurezza prevista. In pratica, sia l'applicazione delle patch al software sia il controllo delle direttive sono importanti, perché il rischio dipende dalla build esatta e dalla configurazione esatta in esecuzione in produzione.



