Aproximativ 26.000 de CVE-uri noi au fost publicate în 2025. Această cifră nu încetinește în 2026 — accelerează. Dacă organizația ta nu scanează activ vulnerabilitățile cunoscute, nu gestionezi riscul; pur și simplu speri că nu se va întâmpla nimic rău. OpenVAS este un pilon al scanării open source de vulnerabilități de peste un deceniu și rămâne un instrument cu adevărat util, în ciuda proliferării alternativelor comerciale. Întrebarea nu este dacă este bun. Întrebarea este dacă este potrivit pentru situația ta specifică.
Acest ghid explică ce este OpenVAS de fapt, cum funcționează, cum se compară cu alte instrumente din lista de vulnerability scanning tools și unde se află limitele sale reale. Fără hype de vendor. Doar realitatea tehnică.
Ce este OpenVAS, cu adevărat?
OpenVAS — Open Vulnerability Assessment System — a apărut ca un fork al Nessus după ce Tenable a închis codul sursă în 2005. Astăzi este întreținut de Greenbone Networks și servește ca motor de scanare pentru Greenbone Community Edition. Arhitectura a evoluat semnificativ, dar conceptul de bază rămâne: scanare de rețea autentificată și neautentificată împotriva unui feed actualizat continuu de Network Vulnerability Tests (NVT-uri).
La mijlocul anului 2026, Greenbone Community Feed conține peste 160.000 de NVT-uri care acoperă CVE-uri, slăbiciuni de configurare, credențiale implicite și configurații greșite la nivel de serviciu. Testele rulează pe daemonul OpenVAS Scanner (ospd-openvas), gestionat prin stratul API GVM. Stiva este: GVM → ospd-openvas → OpenVAS Scanner. Interfața web GSA stă deasupra GVM.
Ce face OpenVAS cu adevărat puternic este scanarea autentificată. Oferă-i credențiale — SSH, SMB, ESXi — și nu sondează doar porturile deschise; se conectează și inspectează pachete instalate, chei de registry, servicii active și niveluri de patch-uri. Așa detectezi CVE-2024-21338 pe un host Windows care arată bine din exterior, dar are un driver de kernel vulnerabil neactualizat.
Instalare și configurare inițială
Cea mai curată cale de a rula OpenVAS în 2026 este abordarea Greenbone Community Containers folosind Docker Compose. Uită instalările vechi bazate pe apt — dependency hell pe Ubuntu 22.04 este real. Stiva containerizată pornește GVM, ospd-openvas, baza de date PostgreSQL și cache-ul Redis ca servicii discrete. Prima sincronizare a feed-ului NVT durează 30–60 de minute. Sincronizările ulterioare sunt incrementale.
Kali Linux rămâne cea mai simplă opțiune pentru deployment pe bare-metal sau VM, deoarece pachetele Greenbone sunt menținute în repo-ul Kali. Cine folosește OpenVAS în laboratoarele TryHackMe cunoaște fluxul gvm-setup/gvm-check-setup. Pas critic de configurare pe care mulți îl omit: ajustați preferințele scanerului. Configurația implicită Full and Fast echilibrează acoperirea și viteza, dar pentru medii de producție ar trebui să dezactivezi NVT-urile zgomotoase și să setezi timeout-uri adecvate per host.
OpenVAS față de alte instrumente de scanare a vulnerabilităților
OpenVAS versus Nessus: Tenable are peste 200.000 de plugin-uri față de ~160.000 NVT-uri. Integrarea EPSS a Tenable este mai bună pentru prioritizare. Nessus Essentials este limitat la 16 IP-uri; dincolo de aceasta, Nessus Professional costă circa 3.990 $/an. OpenVAS este gratuit.
OpenVAS versus Nuclei: Nuclei de la ProjectDiscovery este un scanner bazat pe template-uri, excelent pentru testarea endpoint-urilor API și probe web CVE-specifice. Nu este un înlocuitor pentru OpenVAS — este un complement. Folosește ambele instrumente.
Pentru scanarea containerelor, niciun instrument nu este potrivit în locul altuia. Container Image Scanning necesită o abordare fundamental diferită — inspecția manifestelor de layer, a pachetelor OS și a dependențelor la nivel de limbaj în interiorul imaginii. OpenVAS care scanează serviciile expuse ale unui container nu este același lucru.
Construirea unui flux de vulnerability management cu OpenVAS
Un scaner care rulează o dată pe trimestru este o bifă de conformitate, nu un control de securitate. Vulnerability Management eficient necesită o frecvență de scanare adaptată la rata de schimbare a mediului tău. Dacă faci deploy în producție zilnic, scanarea ar trebui să fie cel puțin săptămânală și declanșată la fiecare deployment semnificativ.
OpenVAS generează fals pozitive. Disciplina constă în triage. Construiește liste de suprimare pentru fals pozitivele cunoscute. Folosește scorurile de bază CVSS v3.1 ca punct de plecare, dar nu te opri acolo. Un CVSS 9.8 fără expunere la rețea este mai puțin urgent decât un CVSS 7.5 cu un scor EPSS de 0.94 și un modul Metasploit disponibil.
Biblioteca GVM Python (gvm-tools) expune un API scriptabil. Combină asta cu tooling SAST pentru constatări la nivel de cod și ai o postură shift-left solidă care prinde problemele de infrastructură înainte să ajungă în producție.
OpenVAS pentru medii cloud: evaluarea onestă
Mediile cloud adaugă complexitate pentru care scanerele tradiționale de rețea nu au fost concepute. Instanțele efemere, grupurile de auto-scaling și funcțiile serverless nu rămân fixe suficient de mult timp pentru ca un scan programat să le prindă. OpenVAS poate scana instanțele cloud la fel cum scanează hosturile on-prem — dar nu are conștientizare a posturii cloud, configurărilor greșite IAM, politicilor bucket sau driftului grupurilor de securitate de rețea.
Aici devine esențial tooling-ul dedicat CSPM. Dacă stiva ta de securitate este doar OpenVAS și rulezi workload-uri în AWS, GCP sau Azure, ai un unghi mort semnificativ. Completează scanarea la nivel de host a OpenVAS cu un strat de posture management care înțelege construcțiile cloud-native.
OpenVAS în contexte de conformitate
PCI-DSS 4.0 necesită scanări externe trimestriale de către un Approved Scanning Vendor — OpenVAS nu se califică ca ASV. NIS2 Articolul 21 cere măsuri tehnice de vulnerabilitate, dar nu prescrie instrumente. ISO 27001:2022 Annexa A Control 8.8 este similar tool-agnostic. OpenVAS poate susține postura ta de conformitate, dar nu va satisface cerințele specifice ASV. Dacă navighezi cerințele de Conformitate pe mai multe framework-uri, documentează explicit configurațiile de scanare și SLA-urile de remediere.
Când să treci dincolo de OpenVAS?
OpenVAS este potrivit pentru: medii mici până la medii, echipe cu bugete limitate și organizații care își construiesc primul program structurat de vulnerability management. Începe să fie solicitat la 10.000+ hosturi, medii multi-cloud și contexte în care raportarea gata de audit este obligatorie.
Capabilitatea VM Scans din platformele moderne integrează constatările de vulnerabilitate cu inventarul de active, contextul cloud și fluxurile de remediere într-un mod pe care un deployment OpenVAS de sine stătător nu îl poate egala. Asta nu îl face pe OpenVAS obsolet — înseamnă să știi unde sunt limitele instrumentului și să construiești arhitectura programului tău în consecință.