Aperçu de l'API Scan
L'API Scan Cert-IX offre un accès programmatique à 10 moteurs d'analyse de sécurité de niveau entreprise via une API REST unifiée. Soumettez des analyses, recevez des résultats en temps réel et intégrez les évaluations de vulnérabilités directement dans vos workflows, pipelines CI/CD et automatisations de sécurité.
Pourquoi utiliser l'API Scan ?
- Interface unifiée — Une seule API pour 10 moteurs d'analyse de référence
- Architecture asynchrone — Soumettez des analyses et recevez des notifications via webhooks
- Échelle entreprise — Conçue pour les environnements à haut débit avec traitement Kafka
- Contrôle d'accès granulaire — Clés API avec portées, allowlisting IP et limites par clé
- Notifications en temps réel — Webhooks avec vérification de signature HMAC-SHA256
- Modèles réutilisables — Sauvegardez des configurations et lancez d'un seul appel API
- Observabilité complète — Analytique d'utilisation, suivi des quotas et journaux d'appels
URL de base
Tous les endpoints sont disponibles à l'adresse :
https://api.cert-ix.com/scan-api/api/v1
Toutes les requêtes doivent utiliser HTTPS. Les connexions HTTP sont rejetées.
Moteurs d'analyse disponibles
L'API Scan prend en charge 10 moteurs de sécurité professionnels, chacun conçu pour un domaine spécifique :
| Moteur | Type | Cas d'utilisation |
|---|---|---|
| Nmap | nmap | Découverte réseau, scan de ports, détection de services, identification d'OS |
| OWASP ZAP | zap | Tests dynamiques de sécurité applicative (DAST), OWASP Top 10 |
| Trivy | trivy | Analyse de vulnérabilités de conteneurs, mauvaises configurations IaC, secrets |
| Nuclei | nuclei | Détection de vulnérabilités basée sur des templates pour des milliers de CVE |
| Nikto | nikto | Scan de serveurs web pour fichiers dangereux, logiciels obsolètes, mauvaises configs |
| SQLMap | sqlmap | Détection et test automatisés d'injection SQL |
| Wapiti | wapiti | Analyse de vulnérabilités d'applications web en boîte noire |
| theHarvester | harvester | OSINT — collecte d'emails, énumération de sous-domaines, métadonnées |
| Sublist3r | sublist3r | Énumération de sous-domaines via moteurs de recherche et services DNS |
| Sentinel | sentinel | Analyse orchestrée multi-moteurs propriétaire Cert-IX avec corrélation |
Aperçu de l'API
| Ressource | Endpoint | Description |
|---|---|---|
| Analyses | POST /scans | Soumettre une nouvelle analyse |
GET /scans/:id | Vérifier le statut d'une analyse | |
GET /scans/:id/results | Récupérer les résultats | |
POST /scans/:id/cancel | Annuler une analyse en cours | |
GET /scans | Lister toutes les analyses | |
| Modèles | POST /scan-templates | Créer un modèle réutilisable |
POST /scan-templates/:id/launch | Lancer une analyse depuis un modèle | |
GET /scan-templates | Lister les modèles | |
| Webhooks | POST /webhooks | Enregistrer un endpoint webhook |
POST /webhooks/:id/test | Envoyer un événement de test | |
GET /webhooks/:id/deliveries | Consulter les journaux de livraison | |
| Utilisation | GET /usage/summary | Statistiques d'utilisation agrégées |
GET /usage/history | Données d'utilisation chronologiques | |
GET /usage/by-scan-type | Répartition par moteur | |
| Clés API | POST /api-keys | Créer une clé API |
POST /api-keys/:id/rotate | Rotation avec période de grâce | |
DELETE /api-keys/:id | Révoquer une clé |
Authentification
Toutes les requêtes API nécessitent une clé API transmise via l'en-tête X-API-Key :
curl -X GET https://api.cert-ix.com/scan-api/api/v1/scans \
-H "X-API-Key: cix_sk_votre_cle_api_ici"
Les clés API prennent en charge :
- Portées granulaires — Contrôlez précisément ce que chaque clé peut faire
- Restrictions par type d'analyse — Limitez les moteurs qu'une clé peut invoquer
- Allowlisting IP — Restreignez l'utilisation à des IP sources spécifiques
- Expiration automatique — Définissez une durée de vie pour les clés
- Rotation sans interruption — Périodes de grâce pour un remplacement transparent
En savoir plus sur l'authentification →
Sécurité et conformité
L'API Scan est conçue pour répondre aux exigences de sécurité entreprise :
- TLS 1.3 — Toutes les connexions chiffrées avec TLS moderne
- Cryptographie post-quantique (PQC) — Échange de clés CRYSTALS-Kyber, signatures CRYSTALS-Dilithium
- HMAC-SHA256 — Vérification de signature des webhooks
- Hachage SHA-256 des clés — Clés API hachées avant stockage
- Isolation des tenants — Séparation complète des données entre organisations
- Journalisation d'audit — Chaque appel API journalisé via Kafka (ANSSI, NIS2, DORA)
- Limitation de débit — Limites configurables par clé, par minute/heure/jour
Format de réponse standard
Toutes les réponses suivent une enveloppe JSON cohérente :
Succès :
{
"success": true,
"data": { ... }
}
Erreur :
{
"success": false,
"error": "Message d'erreur lisible",
"code": "CODE_MACHINE_LISIBLE"
}
Limites de débit
| Fenêtre | Défaut | Plage configurable |
|---|---|---|
| Par minute | 60 | 1 – 1 000 |
| Par heure | 1 000 | 1 – 50 000 |
| Par jour | 10 000 | 1 – 500 000 |
Les en-têtes de limite de débit sont inclus dans chaque réponse :
X-RateLimit-Limit: 60
X-RateLimit-Remaining: 42
X-RateLimit-Reset: 1709654460
Obtenir de l'aide
- Documentation — Parcourez les guides de cette section
- Bobby IA — Demandez à Bobby de l'aide pour les configurations d'analyse
- Support — Contactez [email protected]
- Page de statut — Vérifiez le statut à status.cert-ix.com
Prochaines étapes :
- Prise en main → — Votre première analyse en moins de 5 minutes
- Authentification → — Gestion des clés API et sécurité
- Exemples de code → — Clients prêts pour la production en Python, Go et Node.js