Skip to content

Обзор

CVE Intelligence Panel помогает командам безопасности и платформенным инженерам отслеживать публичные ленты уязвимостей для заданного стека инфраструктуры. Цель продукта — быстрая ситуационная осведомлённость: что нового, что критично и какие компоненты стека затронуты — без платных API threat intelligence.

В этой главе представлены аудитория, возможности и границы панели. Следующие главы описывают установку, единый боковой SubNav, режимы сканирования, многоязычный интерфейс и HTTP API.

Лицензия и охват

CVE Radar полностью open source (MIT). Нет enterprise-уровня, платных дополнений или функций, закрытых лицензией. Audit-логи, RBAC, мультитenant-история сканов, метрики Prometheus, обогащение EPSS, mapping контролей compliance, обнаружение Kubernetes и offline-зеркала доступны всем; переменные окружения меняют только операционное поведение (airgap, опциональный Postgres, экспорт метрик). Self-host: 11 Self-host (6 языков в extended-docs).

Для кого предназначена панель?

Операторы и инженеры, которые уже знают свой стек и хотят единый дашборд, объединяющий NVD, OSV, GitHub Advisories, KEV CISA и выбранные RSS-ленты по безопасности. Интерфейс поддерживает RTL и LTR и шесть языков UI. Панель дополняет, но не заменяет vendor advisory, change management и формальные процессы управления рисками.

Типичные пользователи запускают панель на доверенной рабочей станции или внутреннем сервере, задают имена инструментов вроде Redis или HAProxy и просматривают находки после полного сканирования или непрерывного мониторинга.

Основные возможности

Панель намеренно узкая по функциям: агрегировать, дедуплицировать, показывать и уведомлять. Она не разворачивает патчи и не создаёт тикеты.

  • Управление стеком — добавление и удаление имён инструментов и пресетов (Ceph, Nginx, Kubernetes и т.д.).
  • Полное сканирование — все источники, включая NVD, для базового инвентаря.
  • Режим мониторинга — частый опрос без NVD для более быстрого обнаружения.
  • Дашборд — пончик по severity, столбчатая диаграмма по типу, критические находки, карточки статуса по инструментам (клик открывает полный список CVE для инструмента).
  • Вкладка «Уязвимости» — фильтры, поиск, раскрывающиеся карточки; при фильтре по инструменту показываются все совпадающие строки (без лимита пагинации).
  • Шесть локалей UI — fa, en, ar, ru, zh, fr с локализованными датами и числами.
  • Перевод текста CVE — опциональный автоперевод заголовков и описаний на активный язык UI (кэш сервера + POST /api/translate).
  • Масштаб шрифта — 85%–140% базового размера текста в верхней панели.
  • Единый SubNav — навигация, список инструментов стека со счётчиками, быстрые фильтры severity, источники данных с временем последнего обновления, сводка сканирования.
  • Темы — светлая, тёмная (бирюзовая палитра в духе teal accent palette), системная.
  • Оповещения — toast и баннер при появлении новых CVE (настраивается).
  • Мастер первоначальной настройки — модальное окно из четырёх шагов (стек → настройки → источники → завершение) перед главным дашбордом; сохраняется в cve-radar:setup-complete.
  • Кэш сканирования — последний полный scan сохраняется в localStorage (по ключу стека через src/lib/scanCache.ts); дашборд показывает баннер кэшированных результатов до нового scan.
  • Rate limits сервера — отдельные поминутные bucket для POST /scan и POST /watch; POST /scan/validate не ограничивается (см. Конфигурация).

Источники данных (локальные брендовые иконки)

Встроенные ленты используют локальные брендовые иконки (SVG/PNG из Simple Icons, официальные favicon и т.д.) в public/icons/brands/sources/ (копия в extended-docs/docs/assets/icons/brands/). Атрибуция: BRANDS_ATTRIBUTION.md. Обновление: npm run icons:download.

NVD
NVD (NIST)
OSV
OSV Database
GitHub
GitHub Advisories
CISA KEV
CISA KEV
THN
The Hacker News
TuxCare
TuxCare
RSS
Пользовательский RSS

Сервисы стека (иконки пресетов)

Пресеты инфраструктуры (Ceph, HAProxy, Redis, Kubernetes, …) используют соответствующие иконки из services/.

Ceph
Ceph
HAProxy
HAProxy
Nginx
Nginx
Redis
Redis
PostgreSQL
PostgreSQL
Docker
Docker
Kubernetes
Kubernetes
Другое
Другие инструменты

Карта разделов документации

01 Обзор
02 Установка
03 Интерфейс
04 Скан
05 i18n
06 API
07 Конфиг
08 Архитектура
09 Оповещения
10 Эксплуатация

Режимы сканирования в одном взгляде

Два режима различаются источниками и задержкой. Неверный выбор приводит либо к медленным опросам, либо к неполному покрытию NVD.

Режим Источники Типичная длительность Лучше всего для
Полное сканирование NVD, OSV, GitHub, KEV, RSS Минуты (NVD с throttling) Базовый инвентарь, аудиты
Мониторинг OSV, GitHub, RSS Секунды на опрос Непрерывный контроль

Контекстная диаграмма продукта

flowchart TB
  classDef user fill:#e9edf5,stroke:#00baba,color:#253343
  classDef app fill:#f3fcfc,stroke:#008c8c,color:#253343
  classDef feed fill:#fff7ed,stroke:#eda232,color:#253343

  Operator[Инженер безопасности / платформы]:::user
  Panel[CVE Intelligence Panel SPA]:::app
  API[Express API]:::app
  NVD[NVD]:::feed
  OSV[OSV]:::feed
  GH[GitHub Advisories]:::feed
  KEV[CISA KEV]:::feed
  RSS[Security RSS]:::feed

  Operator --> Panel
  Panel --> API
  API --> NVD
  API --> OSV
  API --> GH
  API --> KEV
  API --> RSS

Разбор диаграммы

Оператор настраивает стек в браузере. SPA обращается к Express API для сканирования или мониторинга. Сервер параллельно загружает внешние ленты, объединяет результаты по id CVE, обогащает флагами KEV, при необходимости переводит текст и возвращает JSON. Браузер кэширует последнее сканирование локально и отрисовывает графики и списки.

Пошагово (типичный день)

  1. Добавьте или подтвердите инструменты стека во вкладке Инфраструктура.
  2. Запустите полное сканирование, чтобы заполнить дашборд и метки времени по источникам.
  3. Включите живой мониторинг и оповещения для постоянного обнаружения.
  4. Кликните карточку инструмента на дашборде или запись в списке инструментов SubNav, чтобы просмотреть все CVE компонента.
  5. При необходимости смените язык интерфейса; дождитесь автоперевода, если он включён.
  6. Разберите критические пункты и перейдите по внешним ссылкам на NVD или страницы vendor.

Ограничения

Эвристическое сопоставление может давать ложные срабатывания или пропускать переименованные продукты. Элементы RSS иногда получают синтетические id, если в статье нет CVE. Бесплатные тарифы перевода работают best-effort. Исходный английский текст остаётся авторитетным для решений по compliance.

Итого:

  • Только бесплатные публичные API; опциональные NVD_API_KEY / GITHUB_TOKEN улучшают лимиты.
  • Не CMDB и не оркестратор патчей.
  • Качество перевода текста CVE зависит от MyMemory, LibreTranslate или локального Ollama.

Далее: Установка