Компания R-Vision сделала открытым новый раздел на портале документации, где теперь можно посмотреть, как устроена и развивается собственная база уязвимостей, используемая в системе управления уязвимостями R-Vision VM.
Теперь пользователи и заказчики могут напрямую оценить, какие технологии поддерживаются, насколько полно покрытие, как часто база обновляется и какие изменения в неё вносились.
Это может пригодиться тем, кто хочет сопоставить возможности системы со своим ИТ-ландшафтом и понять, подходит ли им такое решение.
В разделе собрана информация о поддерживаемых ОС, СУБД, сетевом оборудовании и софте. Всё это поделено на три режима работы системы:
- поиск уязвимостей (режим «белого ящика»),
- тестирование на проникновение («чёрный ящик»),
- проверка стандартов (технический комплаенс).
Для каждого режима указаны системы, с которыми он работает, и дополнительные данные — например, статусы поддержки и рекомендации по обновлению компонентов.
Также публикуется история изменений базы: какие технологии добавлены, что доработано или исправлено. При желании можно подать запрос на добавление новой системы — такие обращения, как утверждает компания, учитываются в дальнейшей работе.
Как устроено обновление и верификация
Базу наполняет команда из нескольких десятков специалистов. Источников больше трёхсот — от NVD и БДУ ФСТЭК до внутренних отчётов и бюллетеней вендоров. Обновления происходят раз в сутки, а перед попаданием в продуктив данные проходят проверку на тестовых стендах.
Кроме стандартной информации об уязвимостях, в базе есть:
- рекомендации по снижению рисков,
- описание на русском языке,
- вероятность эксплуатации (EPSS),
- данные о наличии эксплойтов,
- принадлежность уязвимости к списку CISA KEV,
- и информация о завершении поддержки уязвимого ПО.
Ещё один важный момент — учёт специфики российских систем и дистрибутивов, что особенно актуально для заказчиков с локальной инфраструктурой.
Открытие доступа к этим данным делает работу с R-Vision VM более прозрачной и может помочь командам ИБ точнее понимать возможности инструмента, не дожидаясь общения с техподдержкой.
