Vue d'ensemble¶
CVE Intelligence Panel aide les équipes sécurité et plateforme à surveiller les flux publics de vulnérabilités pour une pile d'infrastructure définie. L'objectif produit est une conscience situationnelle rapide : quoi de neuf, quoi de critique, quels composants de la pile sont touchés — sans API de threat intelligence payantes.
Ce chapitre présente l'audience, les capacités et les limites du panneau. Les chapitres suivants couvrent l'installation, le SubNav unifié, les modes de scan, l'UI multilingue et l'API HTTP.
Licence et périmètre¶
CVE Radar est entièrement open source (MIT). Il n'y a pas de niveau enterprise, d'add-on payant ni de fonctionnalité verrouillée par licence. Journaux d'audit, RBAC, historique multi-tenant, métriques Prometheus, enrichissement EPSS, mapping de contrôles compliance, découverte Kubernetes et miroirs offline sont disponibles pour tous ; les variables d'environnement n'ajustent que le comportement opérationnel (airgap, Postgres optionnel, export métriques). Guides self-host : 11 Self-host (6 langues dans extended-docs).
Pour qui ?¶
Opérateurs et ingénieurs qui connaissent déjà leur pile et veulent un tableau de bord unique fusionnant NVD, OSV, GitHub Advisories, KEV CISA et des flux RSS sécurité sélectionnés. L'UI supporte RTL et LTR et six langues d'interface. Le panneau complète — sans remplacer — les avis éditeurs, la gestion des changements et les workflows de risque formels.
Les utilisateurs typiques exécutent le panneau sur un poste de confiance ou un serveur interne, définissent des noms d'outils comme Redis ou HAProxy, et examinent les résultats après un scan complet ou une veille continue.
Capacités principales¶
Le panneau est volontairement étroit : agréger, dédupliquer, présenter et notifier. Il ne déploie pas de correctifs ni n'ouvre de tickets.
- Gestion de la pile — ajout/suppression de noms d'outils et presets (Ceph, Nginx, Kubernetes, etc.).
- Scan complet — toutes les sources incluant NVD pour un inventaire de base.
- Mode veille — polling fréquent sans NVD pour une découverte plus rapide.
- Tableau de bord — donut de sévérité, barres par type, points critiques, cartes d'état par outil (cliquables pour la liste CVE complète de l'outil).
- Onglet Vulnérabilités — filtres, recherche, cartes extensibles ; filtré par outil, toutes les lignes correspondantes s'affichent (sans plafond de pagination).
- Six locales UI — fa, en, ar, ru, zh, fr avec dates et nombres localisés.
- Traduction du texte CVE — traduction auto optionnelle des titres/descriptions vers la langue UI active (cache serveur +
POST /api/translate). - Échelle de police — 85 %–140 % de la taille de base dans la barre supérieure.
- SubNav unifié — navigation, liste d'outils avec compteurs, filtres rapides de sévérité, sources avec heures de dernière mise à jour, résumé de scan.
- Thèmes — clair, sombre (palette teal inspirée teal accent palette), système.
- Alertes — toast et bannière lors de nouveaux CVE (configurable).
- Assistant de configuration initial — modal en quatre étapes (pile → paramètres → sources → fin) avant le tableau de bord principal ; stocké dans
cve-radar:setup-complete. - Cache de scan — dernier scan complet persisté dans
localStorage(clé pile viasrc/lib/scanCache.ts) ; le tableau de bord affiche une bannière de résultats en cache jusqu’à un nouveau scan. - Limites de débit serveur — buckets séparés par minute pour
POST /scanetPOST /watch;POST /scan/validateest exempt (voir Configuration).
Sources de données (icônes de marque locales)¶
Les flux intégrés utilisent des icônes de marque locales (SVG/PNG depuis Simple Icons, favicons officiels, etc.) sous public/icons/brands/sources/ (miroir dans extended-docs/docs/assets/icons/brands/). Attribution : BRANDS_ATTRIBUTION.md. Mise à jour : npm run icons:download.
Services de la pile (icônes preset)¶
Les presets d'infrastructure (Ceph, HAProxy, Redis, Kubernetes, …) utilisent les icônes correspondantes dans services/.
Plan de la documentation¶
Modes de scan en un coup d'œil¶
Les deux modes diffèrent par sources et latence. Un mauvais choix entraîne soit des polls lents, soit une couverture NVD incomplète.
| Mode | Sources | Durée typique | Idéal pour |
|---|---|---|---|
| Scan complet | NVD, OSV, GitHub, KEV, RSS | Minutes (NVD limité) | Inventaire de base, audits |
| Veille | OSV, GitHub, RSS | Secondes par poll | Surveillance continue |
Diagramme de contexte produit¶
flowchart TB
classDef user fill:#e9edf5,stroke:#00baba,color:#253343
classDef app fill:#f3fcfc,stroke:#008c8c,color:#253343
classDef feed fill:#fff7ed,stroke:#eda232,color:#253343
Operator[Ingénieur sécurité / plateforme]:::user
Panel[CVE Intelligence Panel SPA]:::app
API[Express API]:::app
NVD[NVD]:::feed
OSV[OSV]:::feed
GH[GitHub Advisories]:::feed
KEV[CISA KEV]:::feed
RSS[Security RSS]:::feed
Operator --> Panel
Panel --> API
API --> NVD
API --> OSV
API --> GH
API --> KEV
API --> RSS
Parcours du diagramme¶
L'opérateur configure une pile dans le navigateur. Le SPA appelle l'API Express pour scan ou veille. Le serveur récupère les flux externes en parallèle, fusionne par id CVE, enrichit les flags KEV, traduit optionnellement le texte et renvoie du JSON. Le navigateur met en cache le dernier scan localement et affiche graphiques et listes.
Étapes (journée type)¶
- Ajoutez ou confirmez les outils de la pile sous Infrastructure.
- Lancez un scan complet pour remplir le tableau de bord et les horodatages par source.
- Activez la veille live et les alertes pour une découverte continue.
- Cliquez une carte outil sur le tableau de bord ou une entrée SubNav pour revoir tous les CVE du composant.
- Changez la langue d'interface si besoin ; attendez la traduction auto si activée.
- Triez les éléments critiques et suivez les liens externes vers NVD ou les pages éditeur.
Limites¶
La correspondance heuristique peut produire des faux positifs ou manquer des produits renommés. Les items RSS peuvent avoir des id synthétiques sans CVE dans l'article. Les tiers de traduction gratuits sont best-effort. Le texte source anglais reste autoritaire pour les décisions de conformité.
Résumé :
- APIs publiques gratuites uniquement ;
NVD_API_KEY/GITHUB_TOKENoptionnels pour de meilleures limites. - Ni CMDB, ni orchestrateur de correctifs.
- La qualité de traduction CVE dépend de MyMemory, LibreTranslate ou Ollama local.
Suite : Installation