La maggior parte delle persone che navigano in Internet riceve un avviso dal proprio browser se si avvicina a un sito Web con un certificato SSL emesso da un'autorità sconosciuta o addirittura noto come luogo malevolo.
Ora, migliaia di sviluppatori - over L'80% dei progetti relativi a Java che utilizzano Maven Central - scarica componenti software noti per avere vulnerabilità , a volte ci sono anche conseguenze giudiziarie.
Quindi, ho pensato di discutere un plugin per un repository binario accoppiato con il database NVD per emettere un'intestazione HTTP di avviso se un client richiede un componente con una vulnerabilità nota.
Quale codice HTTP deve essere usato per questo - se un'opzione non opinabile è comunque possibile? Non riesco a identificarlo personalmente nell'elenco dei codici noti.
UPD la risposta del server è fondamentalmente il download del file, se questo accade vedi il log di Maven come "download ok" e se questo non è ok, la build si interromperà. Quindi cerca un metodo "soft" per filtrare le risorse problematiche.