Abhängigkeiten zu spring-web und snakeyamle verhindern Build des Java-SDKs in geschützter Umgebung
Unser zentrales Maven-Repository ist überwacht. Artefakte mit bekannten CVEs ab einem bestimmten Level oder mit unklaren Lizenzmodellen können nicht verwendet werden.
- spring-web hat (seit Jahren) ein offenes CVE (https://nvd.nist.gov/vuln/detail/CVE-2016-1000027)
snakeyaml scheint in einer seiner Abhängigkeiten eine GPL mitzubringen, die die Nutzung hier ausschließt
Die institutionellen Anforderungen sind gesetzt.
EDIT snakeyaml enthält eine Quelldatei, deren Autor die Verwendung einer beliebigen Lizenz zulässt, darunter GPL. Sonatype springt offenbar auf das Pattern an, ohne die Multilizenz zu erkennen. Dieser Fall ist mit unserem QM-Team sicher verhandelbar.