ui(qualys/agents): separation RHEL5 (early exit, decom) vs RHEL6 (agent legacy ok, CA bundle a jour)

2026-04-28 01:33:10 +02:00 · 2026-04-28 01:33:10 +02:00 · f0043eb481
commit f0043eb481
parent 4db0cf6a56
1 changed files with 15 additions and 6 deletions
--- a/app/services/realtime_audit_service.py
+++ b/app/services/realtime_audit_service.py
@ -675,13 +675,12 @@ def _analyze_qualys_audit(r):
    s_ver = (r.get("agent_version") or "")
    s_os_lower = (r.get("os_release") or "").lower()

-    # Early exit : si OS EOL (RHEL 5/6), on n'affiche qu'un seul constat global
-    # — les autres warnings (TLS faible, agent vieux) sont des conséquences attendues.
-    if "release 5" in s_os_lower or "release 6" in s_os_lower:
+    # Early exit RHEL 5 uniquement (vraiment EOL / agent moderne incompatible)
+    if "release 5" in s_os_lower:
        return [{
            "severity": "info",
-            "title": "OS en fin de vie — agent legacy",
-            "fix": "Constat : RHEL 5/6 EOL. L'agent installé est forcément ancien (Qualys 7.x non supporté). "
+            "title": "OS en fin de vie (RHEL 5) — agent legacy",
+            "fix": "Constat : RHEL 5 EOL. L'agent installé est forcément ancien (Qualys 7.x non supporté). "
                   "Les éventuels warnings TLS, version agent, etc. sont des conséquences attendues "
                   "et ne sont pas actionnables tant que le serveur est en place. "
                   "Proposition : à intégrer au plan de migration / décommissionnement de la VM."
@ -832,7 +831,17 @@ def _analyze_qualys_audit(r):
                   "Proposition : ticket support pour analyse approfondie."
        })

-    # (OS EOL géré en early-exit en haut de la fonction)
+    # OS RHEL 6 : agent peut tourner si CA bundle à jour
+    if "release 6" in s_os_lower:
+        suggestions.append({
+            "severity": "info",
+            "title": "OS RHEL 6 — agent legacy supporté avec CA bundle à jour",
+            "fix": "Constat : RHEL 6, OS proche/en EOL mais agent Qualys 6.x fonctionnel. "
+                   "Hypothèse : si erreurs TLS observées, souvent dues au bundle CA système obsolète "
+                   "(certificat racine DigiCert manquant). "
+                   "Proposition : ticket support pour mise à jour ca-certificates si TLS KO. "
+                   "Sinon, à intégrer au plan de migration à terme."
+        })

    return suggestions