Fonctionnalités

Tout ce que fait Vigo — application d'état, conformité, sécurité, accès distant, orchestration et bien plus. Toutes les fonctionnalités incluses à chaque niveau.

Bientôt disponible Vigo est en version alpha et approche de sa première version stable. Attendez-vous à des changements incompatibles entre les versions d'ici là — nous recherchons des partenaires de test disposant de parcs conséquents sur des architectures variées. En savoir plus →

⚡ Application d'état

Le cœur de Vigo. Définissez l'état souhaité en YAML, les agents l'appliquent de manière idempotente.

69 types de ressource

Fichiers, paquets, services, utilisateurs, cron, pare-feu, Docker, IIS, registre, ACL, certificats, points de montage, sysctl, équipements réseau et bien plus — 68 intégrés, plus un exécuteur personnalisé fourni par l'utilisateur pour votre propre logique. Chaque type de ressource vérifie l'état avant d'agir — aucun changement inutile.

7 systèmes d'exploitation

Linux, macOS, FreeBSD, OpenBSD, NetBSD, illumos et Windows. Rédigez une configuration unique, l'agent la distribue vers le bon moteur, y compris 16 exécuteurs SSH pour les équipements réseau Cisco, Arista et Juniper.

Logique conditionnelle & gabarits

Les expressions when: avec logique booléenne et fonctions intégrées (os_family, has_command, arch, version_ge, is_container, has_service) conditionnent toute ressource — le serveur évalue ce qu'il peut et transmet le reste à l'agent. Les gabarits Go dans content: et les fichiers source: externes rendent .Traits et .Vars pour une configuration dynamique. Pas de DSL, pas de plugins.

Exécution ordonnée par DAG

depends_on crée un graphe acyclique dirigé. Les ressources s'exécutent dans l'ordre topologique. notify et subscribes déclenchent une ré-application lorsqu'une dépendance change. Les dépendances circulaires sont rejetées au chargement de la configuration.

Rétraction de configcrate

Déclarez state: absent sur un configcrate et Vigo inverse ce qu'il a appliqué à la prochaine vérification : fichiers supprimés, paquets désinstallés, services arrêtés et désactivés, commandes défaites via leur rollback déclaré. C'est simplement de la configuration — déclarative, versionnée, et résolue du plus spécifique au plus général, ce qui permet de rétracter à l'échelle du parc tout en maintenant un hôte sur present. Côté serveur ; sans redéploiement d'agent. Pour une ressource qui ne peut pas être inversée automatiquement, Vigo génère un .retract à examiner et publier.

Convergence hors ligne

Les agents mettent en cache des bundles de politique signés dans LMDB. Lorsque le serveur est inaccessible, la convergence continue avec la dernière politique connue. Les résultats se mettent en file d'attente localement et se vident à la reconnexion.

Mode observation

Simulation contrôlée par le serveur. Par nœud ou à l'échelle du parc. Les agents signalent ce qu'ils feraient sans rien appliquer. Un chemin de migration sécurisé depuis votre gestion de configuration existante.

YAML rendu par envoy montrant un configcrate cis-ubuntu-access avec la ressource service 5.1.1-cron-enabled et la ressource exec 5.1.2-crontab-permissions — exactement ce que l'agent a reçu après héritage de chemin et fusion
Configuration rendue par envoy — plus d'incertitude sur ce que l'agent appliquera
Page de configuration du serveur Vigo montrant 11 sections activées et 29 sections disponibles — server, database, auth, checkin, watcher, secrets, bootstrap, spanner, tuning, smtp, ai, backup, export, publish, rate_limit, maintenance — chacune avec des boutons d'activation/désactivation
Configuration serveur — 29 sections activables, rechargement à chaud

🔒 Conformité & Sécurité

22 cadres réglementaires mappés à des contrôles applicables. Des affirmations honnêtes — Vigo indique ce qu'il applique, ce qu'il atteste et ce qui nécessite une validation externe.

22 cadres de conformité

HIPAA, SOC 2, PCI DSS v4.0, NIST 800-53, ISO 27001, CIS Benchmarks (Ubuntu, RHEL, Windows), GDPR, NERC CIP, HITRUST, IEC 62443, SOX, FINRA, MiFID II, FDA 21 CFR Part 11, Cyber Essentials Plus, CCSS, UKGC, Nevada GCB, MGA, NY DFS 23 NYCRR 500.

Suivi de conformité par envoy

Pourcentage de couverture du cadre par nœud. Explorez les contrôles satisfaits, les contrôles manquants et les configcrates qui combleraient l'écart. Dérogations de conformité avec approbateur, motif et date d'expiration.

Application des benchmarks CIS

Configcrates préconstruits pour les benchmarks CIS Ubuntu, RHEL et Windows Server. Plus de 260 contrôles de niveau 1 et niveau 2 appliqués via des ressources idempotentes, pas seulement analysés.

Quantification des risques

Évaluation des risques par nœud (0–100) à partir de sept facteurs pondérés : CVE, durcissement, rootkits, intégrité, ports ouverts, convergence et connectivité. Tableau de bord des risques à l'échelle du parc avec courbes de tendance sur 30 jours.

Analyse d'impact des CVE

Les agents collectent les données CVE depuis Trivy, Debsecan et Windows Update — dédupliquées entre les scanners. Recherchez dans le parc depuis le CLI ou l'interface web : quels nœuds sont affectés par un CVE donné, ventilation par sévérité et chemins de remédiation. Enrichissement NVD optionnel avec scoring CVSS.

Remédiation rédigée par IA

Cliquez sur Demander à Claude pour tout CVE ou constat de durcissement. L'assistant IA lit l'état de votre parc et rédige une stratégie de remédiation — le configcrate .vgo exact à publier, l'ordre de mise à niveau, les contraintes de version et les notes de dépendances. Plus de page blanche pour votre équipe opérationnelle.

Agent de vérification Connwaer

Agent autonome pour la vérification active de la conformité. Valide les contrôles qui ne peuvent pas être prouvés par l'application seule : stockage WORM, qualité du générateur aléatoire, chiffrement au repos, segmentation réseau, cycle de vie HSM. 18 capacités de vérification.

Volet de détail d'impact CVE de Vigo regroupant 7 paquets affectés par CVE, avec colonnes de scanner Trivy / Debsecan / Lynis / rkhunter / ClamAV / AIDE et boutons de remédiation Demander à l'IA

🖥 Accès distant (Scrier)

SSH et RDP dans le navigateur via le tunnel mTLS existant de l'agent. Pas de VPN, pas de bastion, pas de redirection de port.

Terminal SSH — navigateur ou CLI

Terminal complet dans le navigateur via xterm.js — octets PTY bruts sur WebSocket, pas de Guacamole pour SSH. Ou exécutez vigocli scrier ssh <envoy> depuis votre poste de travail sur le même tunnel : TTY natif, redimensionnement de fenêtre, codes de sortie. Dans les deux cas, aucun port entrant sur l'envoy et aucun bastion SSH à gérer.

Bureau graphique RDP

Bureau complet Windows ou Linux via Guacamole. Ajustement à la fenêtre ou mise à l'échelle 1:1 avec barres de défilement. Fonctionne avec xrdp sur Linux, RDP natif sur Windows.

Identifiants éphémères

Les clés SSH sont générées par session et ne sont jamais stockées sur le serveur. Mappage nom d'utilisateur web-vers-OS via CLI. Aucun identifiant permanent dans la base de données Vigo.

Piste d'audit

Chaque session est enregistrée dans le journal d'audit inviolable : qui s'est connecté, quand, quel protocole, quel envoy. Les sessions sont tracées et peuvent être interrompues depuis le serveur.

Mode observation / assistance

Visualisez et contrôlez la session bureau en direct d'un utilisateur en temps réel. Le support peut observer l'écran de l'utilisateur ou prendre le contrôle pour l'assister. Invites de consentement utilisateur avec politiques configurables (toujours, une fois, jamais). Linux via x11vnc, Windows via TightVNC.

Zéro infrastructure supplémentaire

Scrier passe par la connexion gRPC existante de l'agent. Pas de bastion SSH, pas de concentrateur VPN, pas de jump box. Une surface d'attaque de moins à gérer et à auditer.

🔧 Orchestration

Commandes ad hoc, tâches réutilisables, flux de travail multi-étapes et exécution progressive à travers votre parc.

Tâches ad hoc

Distribuez des commandes à n'importe quel envoy ou groupe d'envoys depuis le CLI ou l'interface web. Les résultats arrivent en temps réel. La validation pré-distribution bloque les commandes dangereuses à moins que --force ne soit spécifié.

Requêtes en direct

Interrogez l'état du parc en temps réel. Demandez l'utilisation du disque, les processus en cours, les versions de paquets ou n'importe quel trait sur tous les envoys. Les résultats sont agrégés et retournés en quelques secondes.

Flux de travail nommés

Orchestration multi-étapes avec branchement conditionnel et prise en charge de l'abandon. Définissez en YAML, déclenchez depuis le CLI ou l'API. Les étapes peuvent attendre les résultats avant de continuer.

Exécution progressive

Divisez les cibles en lots avec une taille de lot configurable et des vérifications de santé entre les cycles. Si un lot échoue, le déploiement s'arrête avant d'affecter le reste du parc.

11 intégrations natives + webhooks vers tout

Slack, PagerDuty, Opsgenie, Teams, ConnectWise, Autotask, ServiceNow, Splunk, Datadog, Elastic et Loki — plus des webhooks sortants signés HMAC vers tout autre système. Alertes pilotées par événements pour la sécurité, la conformité, la convergence et la rotation des secrets.

Assistant IA

Posez des questions sur votre parc en langage naturel. Alimenté par Claude, OpenAI ou Ollama. L'assistant IA a accès à des outils pour interroger les envoys, lire les configurations, vérifier la conformité et expliquer les résultats de convergence.

Page des intégrations Vigo montrant les intégrations natives regroupées par catégorie — Alertes/Chat, ITSM/PSA, SIEM/Observabilité — avec des contrôles d'activation/configuration par intégration

💻 Infrastructure

Cycle de vie du matériel nu, inventaire système et visibilité à l'échelle du parc.

Fonctionne derrière tout pare-feu

Les agents se connectent en sortie vers le serveur — le serveur ne se connecte jamais en entrée. Ordinateurs portables derrière des routeurs domestiques, VM derrière des groupes de sécurité, appareils mobiles sur réseau cellulaire — tout fonctionne sans VPN, redirection de port ni règles de pare-feu. Seulement deux ports sortants requis.

50 collecteurs de traits

OS, matériel, réseau, disque, CPU, GPU, firmware, résultats d'analyse de sécurité, nombre de paquets, TPM, pilotes NIC et plus encore. Collecteurs de traits personnalisés pour l'inventaire spécifique au site. Tous les traits disponibles dans les gabarits et les expressions when:.

Trace de configuration

Une seule commande affiche la chaîne de résolution complète pour tout nœud : héritage de chemin, résolution de configcrate, substitutions de variables, DAG de dépendances, balises de conformité, dérogations et expressions conditionnelles — toutes tracées jusqu'au fichier source exact.

Métriques Prometheus

Plus de 80 métriques exposées sur /metrics : ventilation de la convergence, posture de sécurité (CVE par sévérité, durcissement, rootkit/malware/intégrité), distribution des risques et compteurs de parc. Cinq tableaux de bord Grafana préconstruits.

Fédération concentrateur-satellite (Spanner)

Quand un seul serveur ne suffit pas, distribuez l'enrôlement, les requêtes et les tâches entre des serveurs satellites. Chaque satellite gère son propre parc. Le concentrateur agrège. Pas de base de données partagée.

Piste d'audit inviolable

Chaque action administrative — enrôlement, révocation, distribution de tâches, accès aux secrets, publication de configuration, session Scrier — enregistrée dans un journal d'audit à chaîne de hachage. Exportable comme preuve de conformité.

Page d'inventaire Vigo avec les compteurs du parc (envoys, familles d'OS, versions d'OS) et une recherche de trait interactive explorant blockdevices.nvme0n1.readonly avec des résultats par nom d'hôte
Inventaire du parc — recherche de trait interactive
Page par envoy de Vigo pour girlslaptop avec le statut Convergé, la date d'enrôlement, les onglets Historique de dérive / Exécutions récentes / Traits / Voir la config / Trace de config / Conformité aux standards / Surface d'attaque / Sessions, et les boutons d'action SSH / RDP / Observation
Vue détaillée par envoy — historique de dérive, traits, trace de config, accès distant

🕸 Pair-à-pair (Swarm)

Un réseau pair-à-pair entre envoys uniquement — distribution de contenu, synchronisation de fichiers, git privé, artefacts et journal ordonné, servis directement entre vos propres machines sans que le serveur soit dans le chemin des données.

Swarm — le substrat P2P

Blobs adressés par contenu découpés par SHA256 et servis en pair-à-pair via mTLS, avec ordonnancement en priorité des plus rares, régulation adaptative de la bande passante et découverte multicast des pairs sur le LAN. Pas de serveur dans le chemin des données — tout ce qui suit repose sur Swarm.

Filecast — distribution de fichiers poussée par l'administrateur

Envoyez des charges utiles arbitraires de l'opérateur vers le parc. Amorcez un fichier avec vigocli swarm filecast distribute (ou depuis l'interface d'administration), et chaque envoy ciblé le télécharge en pair-à-pair via Swarm. Suivi de progression en temps réel par envoy avec visualisation de la source des fragments.

Longdrawer — synchronisation de fichiers LAN par utilisateur

Déposez un fichier dans ~/longdrawer/ et il apparaît sur chaque autre machine où vous avez un compte. Supprimez-le et il disparaît partout. LAN uniquement, entièrement pair-à-pair, sans implication du serveur, sans configuration, sans commandes.

Lockbox — synchronisation de fichiers chiffrés par utilisateur

Comme Longdrawer mais avec le texte chiffré au repos sur chaque envoy. Déposez un fichier en clair sur le principal, Lockbox le chiffre vers la clé publique de chaque pair et distribue le texte chiffré. Déverrouillez avec vigo swarm puddle unlock pour déchiffrer. Choisissez ceci pour tout ce que vous souhaitez garder illisible sur une machine volée.

Gitback — votre code source reste sur votre réseau

Si vous préférez ne pas pousser du code propriétaire vers un hébergeur git tiers, Gitback réplique vos dépôts sur les envoys que vous gérez déjà. Exécutez vigo swarm gitback project init dans n'importe quel dépôt ; chaque push est distribué sous forme de bundle vers vos autres envoys via mTLS. Si votre poste de travail tombe en panne, git clone gitback://<your-name>/<repo> depuis une autre machine récupère l'historique complet. Pas de service git externe, pas de webhooks, pas de code quittant votre réseau.

Curator — registre d'artefacts adressé par contenu

Un registre pair-à-pair pour les binaires et les images de conteneurs, ancré dans l'identité puddle par utilisateur. Les artefacts sont adressés par contenu et servis entre envoys via Swarm — pas de registre externe, pas de serveur dans le chemin des données.

Poolq — journal de parc ordonné en ajout seul

Un journal et une file d'attente ordonnés en ajout seul partagés à travers le parc, ancrés dans l'identité puddle par utilisateur. Les producteurs ajoutent, les consommateurs lisent dans l'ordre — tout en pair-à-pair via Swarm.

Essayez maintenant

Gratuit jusqu'à 100 nœuds.* Toutes les fonctionnalités incluses. Sans carte bancaire.

Commencer gratuitement Pourquoi Vigo

* Le niveau gratuit est fourni EN L'ÉTAT sans obligation de support. Voir les Conditions commerciales.