icetray - Fotolia
L'essentiel sur Saucs, la plateforme qui fluidifie le suivi des vulnérabilités
La plateforme Saucs permet d'être d'alerté de nouvelles vulnérabilités et changement concernant celles déjà connues. Mais pas sans filtre : il s'agit de se concentrer sur celles qui concernent les produits présents dans son environnement.
C’est en juillet dernier que deux membres des équipes DevOps d’OVH, Nicolas Crocfer et Laurent Durnez, ont lancé Saucs. Dans un billet de blog, ils expliquent leur démarche : « en tant que DevOps, nous gérons quotidiennement des produits logiciels et matériels. Comme tout dans l’IT, ils souffrent potentiellement de vulnérabilités. Nous devons suivre leurs mises à jour de sécurité ». Mais ce suivi n’a rien de trivial : « par chance, le standard CVE existe déjà et nous donne ces informations, mais les données fournies ne sont pas aisément ‘requêtables’ : nous devons vérifier tous les CVE pour savoir si nous sommes affectés ».
L’idée est donc de confier à Saucs cette tâche de collecte en masse : « nos robots examinent la liste de mises à jour CVE, traitent le flux XML et le formatent ». Après, la plateforme permet de parcourir les CVE en filtrant par éditeur/constructeur, par produit, et par niveau de gravité des vulnérabilités – sur la base de leur score CVSS.
Surtout, Saucs permet de recevoir des alertes personnalisables : changement de score CVSS, de résumé ou de références de CVE. Et pas forcément pour toutes les vulnérabilités : il est possible de demander de ne recevoir des alertes qu’à partir d’un certain niveau de gravité.
Quant à la fréquence des alertes par e-mail, elle est aussi personnalisable : dès qu’un changement est identifié, ou bien une fois par jour.
List of references for #Spectre : https://t.co/UsoQ7nVTcn, https://t.co/sCZ4mAURQS and #Meltdown https://t.co/m9DTRSELo5 pic.twitter.com/jk3HJvKCcX
— Nicolas Crocfer (@ncrocfer) January 5, 2018
Depuis la fin décembre, Saucs a même été enrichi d’une API Json permettant d’intégrer rapports, alertes et bien plus, à des systèmes tiers. De quoi aider à l’industrialisation du suivi des vulnérabilités pour son environnement.