Remediacja i patching 1-click#

To, co odróżnia ZEUS od „pasywnych" narzędzi raportujących, to zamykanie pętli — nie tylko znajdujemy, ale naprawiamy i weryfikujemy.

Bulk-patch — naprawa wielu hostów naraz#

Endpoint /api/v1/vulnerabilities/bulk-patch kolejkuje uruchomienia naprawcze na wszystkich maszynach z otwartymi findings. Body przyjmuje m.in.:

{
  "scope": "lab" | "all",
  "auto_approve": true,
  "dry_run": false,
  "finding_ids": [123, 456]
}

Zwraca { planned, enqueued, runs: [...] }. Każdy run ma run_id, target i script_id.

Czy działa dla wszystkiego?#

Nie — i to ważne, by mówić uczciwie. Bulk-patch działa dla findings, które mają zmapowany skrypt naprawczy (script_id):

• ✅ aktualizacje pakietów Linux (apt/yum/dnf)
• ✅ Windows Update (wybrane KB)
• ✅ upgrade obrazów kontenerów (PR z przypiętą wersją)
• ❌ poprawki konfiguracji (workflow manualny)
• ❌ remediacja driftu IaC (PR ręczny)
• ❌ mitygacje zero-day bez oficjalnego patcha

Zasada uczciwości w demo: mów „1-click bulk patching dla podatności ze zmapowanym skryptem (~70% korpusu CVE)". Nie obiecuj, że naprawi wszystko.

Maszyna stanów findingu#

Każdy finding przechodzi przez:

open → triaged → fix-in-progress → resolved → verified

Po wykonaniu skryptu ZEUS weryfikuje zamknięcie (ponowny skan potwierdza, że finding zniknął) — stąd stan verified, a nie tylko resolved.

SLA i eskalacja#

Remediacja jest spięta z SLA per severity (Critical 7 dni · High 30 · Medium 90). Przekroczenie progu generuje eskalację na Slack/Teams. Studio Remediation pokazuje historię uruchomień i statystyki (np. KPI „resolved_last_7d").

Auto-remediacja przez politykę#

Worker remediation_policy_tick (ARQ) co kilka minut ewaluuje polityki remediacyjne — każda ma własny schedule_cron i bramki bezpieczeństwa (np. guard na wiek CVE 24 h). To pozwala automatyzować naprawę bez ręcznego klikania.

---

Remediacja to powód, dla którego ZEUS to platforma operacyjna, a nie kolejny dashboard. Znajdujemy → naprawiamy → weryfikujemy.