No solo ver los CVE — cerrarlos en automático

El problema: detectar vulnerabilidades es solo la mitad del trabajo

Los escáneres de vulnerabilidades clásicos son buenos encontrando problemas. Al final queda una lista: «14 CVE abiertos en este servidor». Lo que viene después es trabajo manual — alguien tiene que revisar, priorizar, encontrar una ventana de mantenimiento, aplicar la actualización y documentar que se hizo. En equipos sin personal de operaciones 24/7 dedicado, ese paso suele quedar pendiente. La brecha está detectada, pero sigue abierta.

Cuantos más servidores opera una empresa, más insostenible se vuelve este ciclo de parcheo manual. El panel parpadea en rojo, pero la verdadera reducción del riesgo solo ocurre cuando una persona actúa. Precisamente esa brecha entre detectar y remediar es lo que Server Monitor resuelve de otra forma.

El ciclo cerrado: detectar → alertar → remediar → reportar

Server Monitor no solo automatiza la detección, sino también la remediación. El agente en Go registra las actualizaciones pendientes, el hardening de SSH, el estado del firewall y la versión del kernel, y a partir de ahí calcula un Security Score. Las vulnerabilidades detectadas pueden cerrarse después directamente desde la plataforma — de forma controlada y trazable.

Primero un dry-run, después la actualización real

La remediación se ejecuta a través de una cadena de comandos deliberadamente acotada. Primero, un dry-run muestra de forma transparente qué se parchearía, sin cambiar nada. Solo tras la aprobación, el agente lanza el `security_update` real; un reinicio solo se produce si está autorizado y cae dentro de una ventana de mantenimiento válida. Para ello, el agente detecta por sí mismo si es necesario reiniciar.

Clave para la seguridad: el agente ejecuta exclusivamente una allowlist de comandos definida de forma fija (`dry_run`, `security_update`, `reboot`). Los datos del usuario no se interpolan en comandos del sistema. Así, la ejecución remota de código queda excluida por arquitectura — la automatización no amplía la superficie de ataque.

Seis fuentes de vulnerabilidades — incluida la BSI alemana

La calidad de la remediación depende de la calidad de la detección. Server Monitor coteja los paquetes encontrados contra seis fuentes:

• OSV — Open Source Vulnerabilities, la base de datos transversal para vulnerabilidades de código abierto.
• NVD — la National Vulnerability Database como referencia internacional.
• Debian y Ubuntu — trackers de seguridad específicos de cada distribución para un emparejamiento preciso de paquetes.
• CISA-KEV — el catálogo de vulnerabilidades conocidas y explotadas activamente.
• BSI — el feed de la Oficina Federal Alemana de Seguridad de la Información.

La comparación de versiones consciente de dpkg está optimizada para Debian y Ubuntu. Este cotejo multifuente aumenta la calidad de los aciertos y reduce los falsos positivos de forma notable frente a herramientas que consultan una única base de datos.

Cada paso registrado a prueba de auditoría

Cada cambio de estado de una vulnerabilidad se recoge en un registro de auditoría append-only — las entradas no pueden sobrescribirse ni borrarse. Así, de «tienes 14 CVE» no solo pasas a «se cerraron 14 CVE», sino a una evidencia sólida y verificable: cuándo se detectó cada brecha, cuándo se remedió y en qué paso. Exactamente lo que necesitas para auditorías de seguridad y de cumplimiento.

Las paradas planificadas pueden representarse mediante ventanas de mantenimiento, de modo que ni las alertas ni los reinicios deriven en falsos positivos o en reinicios no deseados. Así, la automatización de Server Monitor sigue siendo predecible, incluso cuando parchea por la noche de forma autónoma.