not_exploitableFaux positif ou inatteignable. Déprioritisé.
La sévérité seule ne vous a jamais dit quoi corriger. CybeDefend score chaque vulnérabilité et classe chaque projet par risque réel et exploitable, pour que votre équipe passe son temps là où ça compte.
Un nombre transparent de 0 à 100 qui mêle quatre signaux honnêtes, pour qu'un bug de faible sévérité sur un chemin exposé et activement exploité passe devant un critique enterré dans du code mort.
Score environnemental CVSS 4.0, probabilité d'exploitation EPSS, exploitabilité et contexte métier, pondérés en un seul nombre.
Chaque vulnérabilité reçoit un verdict sur son atteignabilité réelle, issu de l'analyse statique, d'une revue IA ou d'un choix manuel. C'est ce qui évite à votre équipe de se noyer dans le bruit.
not_exploitableFaux positif ou inatteignable. Déprioritisé.
theoreticalPossible, pas encore confirmé atteignable.
provenExploitabilité confirmée dans votre flux de données réel.
actively_exploitedExploitation connue dans la nature. Tout arrêter.
Le priority scoring dit quoi corriger dans un projet. Le CybeRisk score répond à une plus grande question sur tout votre portefeuille : lequel de vos cent projets regarder en premier. Un nombre par projet, sommé de chaque vulnérabilité active.
Pondéré par CVSS et non borné, donc un projet vraiment risqué score dans les centaines et les pires ressortent.
Les deux scores partent du CVSS 4.0. Le même CVE score plus haut sur un service exposé et critique que sur un outil interne isolé.
La sévérité intrinsèque de la vulnérabilité, conservée pour une auditabilité totale.
Remodelé par votre Contexte de sécurité, et recalculé automatiquement quand il change.
Le score de priorité classe les vulnérabilités au sein d'un projet pour savoir quoi corriger en premier. Le CybeRisk score classe des projets entiers dans votre portefeuille pour savoir quel projet regarder en premier. L'un est au niveau vulnérabilité, l'autre au niveau projet.
Il mêle quatre signaux normalisés : score environnemental CVSS 4.0, probabilité d'exploitation EPSS, exploitabilité et contexte métier. Le résultat pondéré est un transparent 0 à 100, et chaque vulnérabilité peut être décomposée en ses contributions exactes.
C'est un verdict sur l'atteignabilité réelle d'une vulnérabilité, de not_exploitable à actively_exploited, issu de l'analyse statique, d'une évaluation IA ou d'une surcharge manuelle. C'est le plus grand levier de suppression des faux positifs.
Parce qu'il somme les contributions de chaque vulnérabilité active plutôt qu'un pourcentage. Un projet avec beaucoup de vulnérabilités critiques peut légitimement scorer dans les centaines, ce qui sépare clairement les pires.
Oui. Les utilisateurs autorisés peuvent épingler une priorité, ce qui gèle le recalcul jusqu'à sa levée. Les vulnérabilités surchargées sont signalées, pour qu'il soit toujours clair qu'un humain a fixé le score.
Une commande branche chaque agent de coding de votre machine à CybeDefend : vos règles métier, vos frameworks de conformité, et des guards qui bloquent les appels destructeurs avant qu’ils ne se déclenchent.
npx -y @cybedefend/vibedefend@latest install