Conversion d'une liste de CVE en correctifs de vulnérabilité (v2019 et supérieur)

Nos clients reçoivent parfois de sources externes une liste de CVE, et ils veulent appliquer les correctifs correspondant via l'outil Correctif et conformité. Si la liste des CVE est au format de fichier .csv, vous pouvez l'importer et demander à Correctif et conformité d'afficher les correctifs de vulnérabilité figurant dans sa base de données pour corriger les CVE importées.

Pour importer un fichier CVE

1. Cliquez sur Outils > Sécurité et conformité > Correctif et conformité, puis cliquez sur le bouton Importer un fichier CVE dans la barre d'outils.
2. Naviguez jusqu'au format de votre fichier .csv de CVE.
3. Sélectionnez la colonne contenant les données CVE et cliquez sur le bouton Importer des CVE depuis la colonne.
4. La boîte de dialogue de progression de l'importation des CVE s'affiche et montre l'état de la recherche de vulnérabilités. Une fois la recherche terminée, la fenêtre Vulnérabilités CVE affiche les résultats.

Vous pouvez faire une recherche dans les résultats ou utiliser le bouton Exporter vers un fichier CSV pour les exporter. Utilisez le bouton Créer un groupe personnalisé pour créer un groupe afin d'appliquer des correctifs aux CVE de la liste. Le groupe s'affiche dans Correctif et conformité, sous l'entrée d'arborescence Mes groupes personnalisés.

Les vulnérabilités détectées comportent les champs ID de définition et ID de définition remplacée. Le champ ID de définition contient la dernière version du correctif de vulnérabilité correspondant à la CVE. Par exemple, une CVE Java datant de trois ans peut correspondre à un correctif de vulnérabilité bien plus récent, qui corrige plusieurs CVE, au lieu du correctif de vulnérabilité créé pour la CVE lors de la découverte initiale de cette vulnérabilité (ID de définition remplacée).

Les éléments ne correspondant à aucune CVE ou qui sont introuvables portent un ID de définition de valeur N/A.