diff --git a/app/services/realtime_audit_service.py b/app/services/realtime_audit_service.py index 248009f..4dc4f6c 100644 --- a/app/services/realtime_audit_service.py +++ b/app/services/realtime_audit_service.py @@ -675,13 +675,12 @@ def _analyze_qualys_audit(r): s_ver = (r.get("agent_version") or "") s_os_lower = (r.get("os_release") or "").lower() - # Early exit : si OS EOL (RHEL 5/6), on n'affiche qu'un seul constat global - # — les autres warnings (TLS faible, agent vieux) sont des conséquences attendues. - if "release 5" in s_os_lower or "release 6" in s_os_lower: + # Early exit RHEL 5 uniquement (vraiment EOL / agent moderne incompatible) + if "release 5" in s_os_lower: return [{ "severity": "info", - "title": "OS en fin de vie — agent legacy", - "fix": "Constat : RHEL 5/6 EOL. L'agent installé est forcément ancien (Qualys 7.x non supporté). " + "title": "OS en fin de vie (RHEL 5) — agent legacy", + "fix": "Constat : RHEL 5 EOL. L'agent installé est forcément ancien (Qualys 7.x non supporté). " "Les éventuels warnings TLS, version agent, etc. sont des conséquences attendues " "et ne sont pas actionnables tant que le serveur est en place. " "Proposition : à intégrer au plan de migration / décommissionnement de la VM." @@ -832,7 +831,17 @@ def _analyze_qualys_audit(r): "Proposition : ticket support pour analyse approfondie." }) - # (OS EOL géré en early-exit en haut de la fonction) + # OS RHEL 6 : agent peut tourner si CA bundle à jour + if "release 6" in s_os_lower: + suggestions.append({ + "severity": "info", + "title": "OS RHEL 6 — agent legacy supporté avec CA bundle à jour", + "fix": "Constat : RHEL 6, OS proche/en EOL mais agent Qualys 6.x fonctionnel. " + "Hypothèse : si erreurs TLS observées, souvent dues au bundle CA système obsolète " + "(certificat racine DigiCert manquant). " + "Proposition : ticket support pour mise à jour ca-certificates si TLS KO. " + "Sinon, à intégrer au plan de migration à terme." + }) return suggestions