Abhängigkeiten zu spring-web und snakeyamle verhindern Build des Java-SDKs in geschützter Umgebung

Unser zentrales Maven-Repository ist überwacht. Artefakte mit bekannten CVEs ab einem bestimmten Level oder mit unklaren Lizenzmodellen können nicht verwendet werden.

spring-web hat (seit Jahren) ein offenes CVE (https://nvd.nist.gov/vuln/detail/CVE-2016-1000027)
~~snakeyaml scheint in einer seiner Abhängigkeiten eine GPL mitzubringen, die die Nutzung hier ausschließt~~

Die institutionellen Anforderungen sind gesetzt.

EDIT snakeyaml enthält eine Quelldatei, deren Autor die Verwendung einer beliebigen Lizenz zulässt, darunter GPL. Sonatype springt offenbar auf das Pattern an, ohne die Multilizenz zu erkennen. Dieser Fall ist mit unserem QM-Team sicher verhandelbar.

Edited Sep 29, 2022 by Michael Grübsch

To upload designs, you'll need to enable LFS and have an admin enable hashed storage. More information