Veille proactive des vulnérabilités avec OpenCVE

OpenCVE est une plateforme open source de surveillance des CVE. Elle agrège les données du NVD et permet de s’abonner à des alertes par vendor ou produit. Pas d’agent, tout passe par API – l’abonnement aux alertes est manuel par produit.

📎 Repo GitHub : github.com/opencve/opencve 📎 Documentation officielle : docs.opencve.io

Limites à connaître avant de déployer#

• Pas d’agent de découverte – OpenCVE ne détecte pas automatiquement les services installés sur tes serveurs
• Pas d’intégration ITSM native – pas de lien automatique avec GLPI pour récupérer l’inventaire et souscrire aux bonnes alertes
• Les abonnements aux alertes CVE sont manuels – tu souscrits par vendor/produit depuis l’interface

Déploiement avec Docker#

Prérequis#

• Docker et Docker Compose installés
• Accès internet pour télécharger les images

Cloner le repo#

git clone https://github.com/opencve/opencve-docker.git
cd opencve-docker

Configuration#

cp ./conf/opencve.cfg.example ./conf/opencve.cfg
nano ./conf/opencve.cfg

Paramètres à modifier :

Build et démarrage#

# Construire les images
docker compose build

# Démarrer les services principaux
docker compose up -d postgres redis webserver celery_worker

Initialisation de la base de données#

docker exec -it webserver opencve upgrade-db

Import des données CVE#

docker exec -it webserver opencve import-data

⚠️ Cette étape importe l’ensemble des données NVD

Création du compte administrateur#

docker exec -it webserver opencve create-user login login@example.com --admin

Démarrer le scheduler d’alertes#

docker compose up -d celery_beat

Accès à l’interface#

http://XX.XX.XX.XX:8000

Abonnement aux alertes CVE#

Une fois connecté, va dans Vendors & Products (CPE) et recherche les vendors/produits que tu veux surveiller (ex: nginx, openssh, linux_kernel).

OpenCVE t’enverra une alerte dès qu’une CVE est publiée ou mise à jour pour les produits auxquels tu es abonné.