Aller au contenu
monsys.ai

Correspondance CVE

Monsys relie les packages installés sur chaque hôte à plusieurs sources de CVE et attribue un score de risque pondéré pour chaque correspondance.

Sources

  • NVD v2 — Base de données de vulnérabilité nationale, avec des scores CVSS 3.1 et des chaînes CPE (incluant les contraintes de plage de version).
  • OSV.dev — Vulnérabilités spécifiques aux packages pour apt, rpm, pip, npm, cargo, gem.
  • EPSS — Système de scoring de prédiction d’exploit (FIRST.org). Attribue une probabilité (0–1) que la CVE soit exploitée dans les 30 prochains jours.

Algorithme de correspondance

  1. Pour chaque package installé (nom, version) est effectuée une correspondance CPE et une requête écosystème OSV en parallèle.
  2. Les hits NVD sont soumis à des contraintes de plage de version (versionStartIncluding, versionEndExcluding …) — l’installation doit tomber dans la plage vulnérable.
  3. Les hits OSV qui ont déjà été trouvés par NVD sont dédupliqués sur l’ID CVE.

Formule du score de risque

risque = cvss * (epss > 0 ? epss : 0,05)
     * 1,5 si publié > 30 jours
     * 2,0 si exploit public connu (ExploitDB / Metasploit)
     * 1,5 si le service affecté écoute sur une interface publique
cadré à 10,0

Limites

  • Backporting Debian/Ubuntu : Canonical patche souvent les trous de sécurité dans une version plus ancienne. Notre matcher ne peut pas distinguer entre “1.18.0” upstream et “1.18.0-6ubuntu0.4” (où la correction se trouve). Cela entraîne des faux positifs pour les distributions LTS.
  • Windows : WMIC/winget affichent uniquement les MSI installés, pas les applications portables.
  • Versions bêta/RC : Les chaînes CPE NVD couvrent les versions de lancement ; les pré-releases peuvent ne pas correspondre correctement.