VROEGTIJDIGE VULN-WAARSCHUWING

Weet welk package op het punt staat te breken — dagen voor de rest.

Het security team van Anthropic vindt kwetsbaarheden in open-source software en meldt ze bij de maintainers. Wij volgen hun publieke dashboard dagelijks en matchen het tegen de software die jij draait. Je krijgt een heads-up vóór de CVE publiek wordt — tijd om je versie te pinnen en de patch te plannen in plaats van te scrambelen.

Lees de docs Bekijk een live voorbeeld

Twee zaken in één product

De meeste klanten gebruiken de early-warning kant. Software vendors gebruiken ook de publish-kant, om aan te tonen dat ze kwetsbaarheden netjes afhandelen — precies het soort bewijs dat de nieuwe EU Cyber Resilience Act vraagt.

Vroegtijdige waarschuwing voor packages die jij gebruikt

We checken Anthropic's publieke lijst elke dag. Als ze op het punt staan iets te disclosen in nginx, jq, ImageMagick, mastodon, freerdp — wat je ook draait — landt het in je monsys-dashboard met een duidelijke volgende stap: pin de huidige versie en wacht de upstream release af.

Bewijs voor software vendors (CRA)

Bouw je software voor de EU-markt? De nieuwe Cyber Resilience Act vraagt je om aan te tonen dat je gemelde kwetsbaarheden verantwoord afhandelt. Publiceer je eigen findings hier, met cryptografisch bewijs van de datum waarop je je eraan committeerde. Auditors verifiëren het zelf — geen Vanta-achtig gesloten dashboard nodig.

Iedereen kan het bewijs nakijken

Elke entry maakt deel uit van een publieke, append-only log. Een auditor — of een journalist, of een nieuwsgierige klant — kan met één commando verifiëren dat jouw commitment bestond op de datum die je claimt. Geen vertrouwen in monsys vereist.

Hoe het voor jou werkt

1. Anthropic publiceert een verzegelde entry

Hun security-AI vindt een kwetsbaarheid in een open-source project. Ze waarschuwen de maintainer privé en publiceren publiek een verzegeld record — naam van het project, type bug, maar geen exploit-details — zodat de wereld weet dat er iets aankomt.

2. monsys spot een match in jouw stack

Elke dag checken we Anthropic's lijst tegen de software die op jouw servers draait — OS-packages, applicatiebibliotheken, container images. Heb je nginx 1.24 draaien en wordt die net geflagd? Dan weet jij dat.

3. Jij koopt jezelf tijd

Een alert verschijnt in je monsys-dashboard met de naam van het project, het type bug, en een link naar de bron. Pin je versie, abonneer je op de release-feed van het project, plan een onderhoudsvenster. Wanneer de publieke CVE dropt, beweeg jij in uren in plaats van dagen.

Het draait al

Deze cijfers komen uit de check van vandaag tegen onze eigen infrastructuur. Ze updaten dagelijks naarmate Anthropic meer entries onthult — je eigen fleet zou andere cijfers zien, afhankelijk van wat jij geïnstalleerd hebt.

1611

kwetsbaarheden die Anthropic tracket

projecten tot nu toe publiek genoemd

matches op monsys.ai's eigen servers

Voor software vendors: toon aan dat je kwetsbaarheden afhandelt

Verkoop je software in de EU na september 2027? De Cyber Resilience Act vraagt je om aan te tonen dat aan jou gemelde kwetsbaarheden binnen een redelijke termijn afgehandeld worden. Het gebruikelijke antwoord — Vanta, Drata, OneTrust — is een gesloten dashboard waar je €2k/maand voor betaalt; je auditor ziet een PDF. Wij geven je iets sterker: een publieke URL die iedereen kan checken, inbegrepen in je monsys-abonnement.

Een finding vastleggen — Wanneer je team een interne kwetsbaarheid ontdekt, maakt monsys een verzegeld record aan. De naam van het project en het type bug worden direct publiek; de exploit-details blijven versleuteld tot je patch live is.
Je eigen publieke ledger-pagina — Elke tenant krijgt een publieke URL — bijvoorbeeld monsys.ai/v/jouw-bedrijf/ledger — met elke finding, de datum, het project, het type bug, en (na de patch) het CVE-nummer en een link naar de fix.
Verifieerbaar voor iedereen — Elke entry wordt verankerd in een publieke hash-chain. Een externe auditor kan verifiëren dat jouw record bestond op de exacte datum die erop staat — zonder jouw woord, of dat van ons, te hoeven geloven.
Klaar voor je audit-pack — Je maandelijkse compliance audit-pack toont automatisch groen op de CRA vulnerability-handling control als je recente entries hebt. Geen spreadsheet om bij te houden, geen losse tool om in te loggen.

Hoe dit zich verhoudt

De meeste tools in dit gebied verkopen je een gesloten dashboard. Wij geven je een verifieerbaar record dat iedereen kan lezen.

vs. Vanta / Drata / OneTrust — Hun bewijs is een PDF-export uit een privé-dashboard, €2k+ per maand. Het onze is een live URL die je auditor in drie seconden zonder account verifieert — inbegrepen in je monsys-abonnement.
vs. zelf GitHub Security Advisories publiceren — GHSA is geweldig als je één open-source repo onderhoudt. Het past niet bij een bedrijf met meerdere producten, intern-gevonden kwetsbaarheden, of klanten die één centrale waarheid willen.
vs. gewoon CVEs indienen — CVEs documenteren wat er gebeurde nadat een fix bestond. De ledger is het audit-vriendelijke record van wat je wist wanneer, en hoe snel je reageerde. Dat is de vraag die compliance-frameworks daadwerkelijk stellen.

Veelgestelde vragen

Komt Anthropic te weten welke software wij draaien?

Nee. We downloaden hun publieke lijst één keer per dag — op dezelfde manier als je browser dat zou doen — en matchen tegen jouw data in onze hub. Anthropic ziet geen verkeer van jouw servers en geen lijst van je packages.

Wat kost dit?

Het zit in monsys inbegrepen. €3 per server per maand, eerste 5 servers gratis voor altijd. Geen los compliance-abonnement, geen add-on-kosten, geen per-finding charges.

Moet ik een software vendor zijn om dit te gebruiken?

Nee. De early-warning kant is nuttig voor iedereen die Linux- of Windows-servers draait. De publish-kant is optioneel — daar voor als je software verkoopt en CRA-bewijs nodig hebt, of gewoon een tamper-evident record wil van de pen-test findings van je eigen team.

Hoe snel kan ik live zijn?

Ben je nieuw bij monsys: één install-commando, en de agent verschijnt binnen een minuut in je dashboard. De CVD-feed draait op de achtergrond — je eerste matches verschijnen typisch binnen 24 uur.