OpenSVM es una herramienta web diseñada para la gestión de vulnerabilidades del software instalado en diversos sistemas operativos: Windows, macOS y Linux.
Cuenta con múltiples funciones, entre las que destaca el inventario automático de software mediante sondas en Python. Estas sondas verifican si los nodos están activos y recopilan información en tiempo real sobre el software instalado, asegurando que los reportes sean confiables.
La información recopilada se compara con la National Vulnerability Database (NVD) del NIST, obteniendo métricas detalladas y posibles vulnerabilidades identificadas con sus respectivos códigos CVE (CVE-XXXX-XXXX). Además, esta información puede ser utilizada para documentar y mitigar vulnerabilidades, siguiendo prácticas típicas de un analista Blue Team.
OpenSVM también facilita la exportación de los análisis a formato PDF, de manera rápida y sencilla, para generar reportes claros y profesionales.
Contenedores & despliegue
- Docker / Docker Compose: ejecuta todos los servicios de OpenSVM de forma rápida y consistente.
Base de datos
- PostgreSQL: guarda de manera segura toda la información.
Backend
- Django, Python 3: lógica de la aplicación y API para comunicar frontend y base de datos.
Frontend
- Vue.js + JavaScript: Web dinámica.
- Vuetify, Pinia, Axios: componentes UI, gestión de estado y comunicación con backend.
IA / Mitigación
- Google Gemini: Mitigación de vulnerabilidades proyeccion "Blue Team".
Gestión de datos
- JSON y archivos: sondas, configuraciones y análisis.
Reportes
- LaTeX: PDF profesionales y unicos.
- API REST completa: gestión de usuarios, hosts, eventos y reportes.
- Inventario automático de software: sondas Python recopilan datos en tiempo real.
- Correlación con NVD: identifica vulnerabilidades CVE y su criticidad.
- Despliegue sencillo: todos los servicios con Docker Compose.
- Exportación de reportes PDF: informes claros y personalizables con LaTeX.
- Frontend moderno: panel web SPA para visualizar datos y reportes.
- Generador de agentes: creación de scripts/ZIP para inventario remoto.
- Mitigación con IA: recomendaciones estilo Blue Team usando Google Gemini.
- Multiplataforma: compatible con Windows, Linux y macOS.
-
Frontend:
- Local: http://localhost:5173
- Contenedor Docker: URL interna según red Docker
-
Backend API REST:
- Local / Docker: http://localhost:8000
- Todos los endpoints se encuentran definidos en:
backend\svm_open\urls.py
Antes de empezar, asegúrate de tener instalados los siguientes componentes:
\svm-open\
- Copiar la plantilla
.env.exampley renombrarla a.env:
cp .env.example .env
Para que el frontend Vue 3 (Vite) sepa dónde está corriendo el backend Django, se utiliza la variable de entorno VITE_API_URL en el archivo .env.
Permite acceder al backend desde otros dispositivos en la misma red local (LAN) usando la IP de tu ordenador.
⚠️ El stack Necesita 3 API_TOKEN. Dos necesario para funcionalidad y otro como ADDON.
(National Vulnerability Database) es la base de datos oficial de vulnerabilidades de software mantenida por el gobierno de EE. UU. Contiene información detallada sobre CVEs (Common Vulnerabilities and Exposures), incluyendo su criticidad, descripción, referencias y métricas de impacto. OpenSVM usa esta base de datos para correlacionar el software instalado en tus hosts con vulnerabilidades conocidas.
- Accede a NVD Developers.
- Completa el formulario con tus datos:
- Nombre completo
- Correo electrónico
- Propósito de uso (por ejemplo: "Academic / Personal project for vulnerability management")
OpenSVM incluye un módulo avanzado de mitigación de vulnerabilidades con IA, que permite generar recomendaciones operativas estilo Blue Team y análisis CVSS de forma automática.
| Modelo | Descripción |
|---|---|
| gemini-2.5-flash-lite | Rápido, suficiente para texto técnico breve |
| gemini-2.0-flash-lite | Alternativa rápida y ligera |
| gemini-2.5-flash | Mayor calidad en texto largo y análisis detallado |
| gemini-2.0-flash | Último fallback, máxima calidad |
Para usar este módulo, necesitas obtener tu Google Gemini API Key y añadirla a tu archivo .env como GEMINI_API_KEY.
- Accede a Google AI Studio – API Keys
- Crea una nueva API Key para tu proyecto
- Copia la clave en
.env:
- Accede a OpenWeatherMap.
- Crea una cuenta si no tienes.
- Genera una nueva API Key para tu proyecto.
- Guarda la clave de forma segura.
⚠️ La Weather API es opcional; si no se configura, la funcionalidad de clima no estará disponible.
Para un uso avanzado y detalles completos sobre la instalación, configuración y funcionalidades de OpenSVM, consulte el manual de usuario disponible en:
⚠️ Recomendamos leerlo antes de desplegar el sistema en entornos de producción o en múltiples hosts. Contiene instrucciones detalladas sobre agentes, configuración de API_KEYS y buenas prácticas de seguridad.
Este proyecto está publicado bajo la MIT License.
© 2025 Iñigo Retamero
Para consultas, propuestas de colaboración o networking profesional, puede contactarme a través de mi perfil de LinkedIn: https://www.linkedin.com/in/i%C3%B1igo-retamero-fernandez-732181238/?originalSubdomain=es
⚠️ Aviso adicional: OpenSVM se comparte como herramienta open source para fines educativos, de investigación y profesionales de ciberseguridad. El uso comercial está permitido bajo los términos de la MIT License, pero no nos hacemos responsables de un uso indebido o no autorizado del software.