security.txt API
Rufen Sie die RFC 9116 security.txt einer beliebigen Domain ab und parsen Sie sie – die maschinenlesbare Datei unter /.well-known/security.txt, die Sicherheitsforschern mitteilt, wie sie Schwachstellen melden können. Übergeben Sie eine Domain, und der Dienst lokalisiert die Datei (den kanonischen .well-known-Pfad mit einem Legacy-Root-Fallback), parst jedes Feld – Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring und CSAF – und meldet, ob sie gültig ist (mindestens ein Contact und ein einzelnes, nicht abgelaufenes Expires), ob sie PGP-signiert ist, ob sie abgelaufen ist (mit der Anzahl verbleibender Tage) und eine Liste von Problemen mit konkreten Ratschlägen. Ein begleitender Endpunkt gibt die Rohdatei zurück. Die Anfrage wird serverseitig gestellt; private und interne Ziele werden abgelehnt (SSRF-geschützt). Entwickelt für Sicherheitsaudits, Lieferanten- und Drittanbieter-Risikobewertungen, Angriffsflächenüberprüfungen und Compliance-Prüfungen von Richtlinien zur Offenlegung von Schwachstellen. Ein security.txt-Parser und -Validator – unterschieden vom HTTP-Sicherheitsheader-Grader (secheaders), der SSL/TLS-Zertifikatsprüfung (sslcheck) und der Host-Erreichbarkeit (hostcheck). Kein Upstream-Key, kein Cache.
api.oanor.com/securitytxt-api
