:tada: 宣布ThreatMapper v2

ThreatMapper版本v1.x已被弃用。请升级到最新版本。

ThreatMapper - 针对云原生的运行时威胁管理和攻击路径枚举

Deepfence ThreatMapper在您的生产平台上搜索威胁,并根据它们的利用风险对这些威胁进行排名。它发现易受攻击的软件组件、暴露的秘密和违背良好安全实践的行为。ThreatMapper结合代理检查和无代理监控,提供最广泛的覆盖范围来检测威胁。

借助ThreatMapper的ThreatGraph可视化,您可以确定对应用程序安全性构成最大风险的问题,并将其列为计划保护或修复的优先事项。

• 在产品文档中了解更多关于ThreatMapper的信息。

• 在实时演示沙箱中查看ThreatMapper的运行。

何时使用ThreatMapper

ThreatMapper延续了您已在开发管线中采用的良好"左移"安全实践。它继续监控生产应用程序是否存在新的软件漏洞,并根据行业专家基准监控主机和云配置。

使用ThreatMapper为您的生产工作负载和基础设施提供安全性可观测性,涵盖云、Kubernetes、无服务器(Fargate)和本地部署平台。

规划您的部署

ThreatMapper由两个组件组成:

• ThreatMapper Management Console是一个基于容器的应用程序,可部署在单个Docker主机或Kubernetes集群上。
• ThreatMapper使用无代理Cloud Scanner任务和代理Sensor Agent监控正在运行的基础设施。

Management Console

您需要首先部署Management Console,放在合适的Docker主机或Kubernetes集群上。例如,在Docker上:

# ThreatMapper Management Console的Docker安装过程

wget https://github.com/deepfence/ThreatMapper/raw/release-2.3/deployment-scripts/docker-compose.yml
docker-compose -f docker-compose.yml up --detach

安装好Management Console后,您可以注册管理员帐户并获取API密钥。

Cloud Scanner任务

ThreatMapper的Cloud Scanner任务负责查询云提供商API,收集配置信息并识别与合规基准的偏差。

该任务使用Terraform模块部署。ThreatMapper Management Console将提供一个基本配置,可以用Terraform部署,或者您可以参考专家配置来微调部署(AWS、Azure、GCP)。

Sensor Agents

在生产或开发平台上安装sensor agents。传感器会向Management Console报告,告诉它发现了哪些服务,提供遥测数据并生成软件依赖项清单。

ThreatMapper支持以下生产平台的传感器代理:

• Kubernetes:ThreatMapper传感器以daemonset形式部署在Kubernetes集群中,使用helm图表。
• Docker:ThreatMapper传感器以轻量级容器形式部署。
• Amazon ECS:ThreatMapper传感器以daemon服务形式部署,使用任务定义。
• AWS Fargate:ThreatMapper传感器以sidecar容器形式部署,使用任务定义。
• 裸机或虚拟机:ThreatMapper传感器在轻量级Docker运行时内部署。

例如,运行以下命令在Docker主机上启动ThreatMapper传感器:

以下是翻译成中文的内容:

docker run -dit \
    --cpus=".2" \
    --name=deepfence-agent \
    --restart on-failure \
    --pid=host \
    --net=host \
    --log-driver json-file \
    --log-opt max-size=50m \
    --privileged=true \
    -v /sys/kernel/debug:/sys/kernel/debug:rw \
    -v /var/log/fenced \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /:/fenced/mnt/host/:ro \
    -e USER_DEFINED_TAGS="" \
    -e MGMT_CONSOLE_URL="---CONSOLE-IP---" \
    -e MGMT_CONSOLE_PORT="443" \
    -e DEEPFENCE_KEY="---DEEPFENCE-API-KEY---" \
    quay.io/deepfenceio/deepfence_agent_ce:2.3.0

注意: 镜像标签 `quay.io/deepfenceio/deepfence_agent_ce:2.3.0-multiarch` 支持 amd64 和 arm64/v8 架构。

在 Kubernetes 平台上, 传感器可以使用 [helm chart](https://community.deepfence.io/threatmapper/docs/v2.3/sensors/kubernetes/) 进行安装。

### 后续步骤

访问 [Deepfence ThreatMapper 文档](https://community.deepfence.io/threatmapper/docs/v2.3/)了解如何入门和如何使用 ThreatMapper。


# 联系我们

感谢您使用 ThreatMapper。欢迎加入 [ThreatMapper 社区](COMMUNITY.md)。

* [Deepfence 社区网站](https://community.deepfence.io)
* [<img src="https://yellow-cdn.veclightyear.com/ab5030c0/f84e85c3-62d1-422d-bc68-69d4e01bb4da.svg?logo=slack">](https://join.slack.com/t/deepfence-community/shared_invite/zt-podmzle9-5X~qYx8wMaLt9bGWwkSdgQ) 有问题或需要帮助? 在 Slack 上找到 Deepfence 团队
* [![GitHub issues](https://img.shields.io/github/issues/deepfence/ThreatMapper)](https://github.com/deepfence/ThreatMapper/issues) 有新功能要求或发现 bug? 提出一个 issue
* [![Documentation](https://img.shields.io/badge/documentation-read-green)](https://community.deepfence.io/threatmapper/docs/v2.3/) 阅读[Deepfence ThreatMapper 文档](https://community.deepfence.io/threatmapper/docs/v2.3/)
* [productsecurity at deepfence dot io](SECURITY.md): 发现安全问题? 请机密地与我们分享
* 在 [deepfence.io](https://deepfence.io/) 了解更多信息

# 获取企业版 ThreatStryker

ThreatStryker 是 ThreatMapper 的企业版, 具有更多面向企业安全团队的功能。 ThreatStryker 可以作为云服务或内部部署方式使用。

<a href="https://deepfence.io/view-enterprise-sandbox" target="_blank"><img src="https://yellow-cdn.veclightyear.com/ab5030c0/46e7faa3-5b38-4370-a4b7-dc1d4796065d.png">

# 安全和支持

对于 ThreatMapper 项目中的任何安全相关问题, 请联系 [productsecurity *at* deepfence *dot* io](SECURITY.md)。

如有需要, 请提交 GitHub 问题, 并加入 Deepfence 社区 [Slack 频道](https://join.slack.com/t/deepfence-community/shared_invite/zt-podmzle9-5X~qYx8wMaLt9bGWwkSdgQ)。


# 许可证

Deepfence ThreatMapper 项目(本仓库)提供 [Apache2 许可证](https://www.apache.org/licenses/LICENSE-2.0)。

Deepfence ThreatMapper 项目的[贡献](CONTRIBUTING.md)也同样遵循 Apache2 许可证, 如 [GitHub 的 inbound=outbound 政策](https://docs.github.com/en/github/site-policy/github-terms-of-service#6-contributions-under-repository-license)所述。

# deepfence/ThreatMapper - 过去28天的性能统计

<a href="https://next.ossinsight.io/widgets/official/compose-last-28-days-stats?repo_id=238662977" target="_blank" style="display: block" align="center">
  <picture>
    <source media="(prefers-color-scheme: dark)" srcset="https://next.ossinsight.io/widgets/official/compose-last-28-days-stats/thumbnail.png?repo_id=238662977&image_size=auto&color_scheme=dark" width="662" height="auto">
    <img alt="deepfence/ThreatMapper - 过去28天的性能统计" src="https://next.ossinsight.io/widgets/official/compose-last-28-days-stats/thumbnail.png?repo_id=238662977&image_size=auto&color_scheme=light" width="662" height="auto">
  </picture>
</a>