security.txt API
Haal het RFC 9116 security.txt-bestand van elk domein op en parse het — het machineleesbare bestand op /.well-known/security.txt dat beveiligingsonderzoekers vertelt hoe ze kwetsbaarheden kunnen melden. Geef een domein door en de service lokaliseert het bestand (het canonieke .well-known-pad met een legacy root fallback), parseert elk veld — Contact, Expires, Encryption, Acknowledgments, Preferred-Languages, Canonical, Policy, Hiring en CSAF — en rapporteert of het geldig is (minstens één Contact en een enkele, niet-verlopen Expires), of het PGP-ondertekend is, of het is verlopen (met het aantal resterende dagen) en een lijst met problemen met concreet advies. Een bijbehorend eindpunt retourneert het ruwe bestand. Het verzoek wordt server-side gedaan; privé- en interne doelen worden geweigerd (SSRF-beveiligd). Gebouwd voor beveiligingsaudits, leveranciers- en externe risicobeoordeling, aanvalsoppervlaktebeoordelingen en controles op naleving van het beleid voor het melden van kwetsbaarheden. Een security.txt-parser en -validator — verschillend van de HTTP-beveiligingsheader-grader (secheaders), de SSL/TLS-certificaatcontrole (sslcheck) en hostbereikbaarheid (hostcheck). Geen upstream-sleutel, geen cache.
api.oanor.com/securitytxt-api
