Gapps

💰 请考虑支持该项目

:cloud: 尝试SaaS应用
:snowflake: 查看Gapps网站

目录

1. 关于
2. 开始使用
3. 支持的框架
4. 路线图
5. 需要了解的事项
6. 常见问题

• SaaS应用：https://gapps.darkbanner.com
• 对某种形式的合作或新许可感兴趣？请在Discord上联系我
• 及时了解变更：联系方式
• Discord：https://discord.gg/9unhWAqadg

新功能 :snowflake:

• 新增SOC2、NIST CSF、NIST-800-53、CMMC、HIPAA、ASVS、ISO27001、CSC CIS18、PCI DSS和SSF！现在共有10个框架
• 全面改版UI
• 现已支持多租户！
• 与审计人员协作
• 供应商调查问卷
• 直接在Gapps中添加证据

下一步主要功能 :snowflake:

• 控制自动化？
• 合规性终端代理？
• 更多框架？
• 查看当前路线图或提交问题

关于

Gapps是一个安全合规平台，可以轻松跟踪您在各种安全框架方面的进度。Gapps目前处于Alpha模式 - 虽然运行良好，但随着发展可能会有一些重大变更。请暂时不要在生产环境中使用！

• 支持10个安全合规框架（更多即将推出）
• 框架内包含1500多个控制项和25多个现成的策略（大部分策略来源于strongdm/comply）
• 跟踪每个控制项的状态
• 添加自定义控制项/策略
• 所见即所得内容编辑器
• 供应商调查问卷

平台截图

控制面板

项目概览

跟踪控制项进度

开始使用

使用Docker在2分钟内设置服务器

以下说明可以帮助您快速入门。镜像将从Docker Hub拉取

$ git clone https://github.com/bmarsh9/gapps.git; cd gapps
$ docker-compose up -d

服务器应该在http://<your-ip>:5000上运行
默认邮箱/密码是admin@example.com:admin

接下来，创建一个租户和一个包含所需框架（如SOC2）的项目。根据选择的标准，控制项和策略将自动添加到您的项目中。开始探索您的项目吧！

邮件

您也可以通过设置以下环境变量（在docker-compose文件或其他地方）来设置邮件（用于发送用户邀请）

MAIL_SERVER : 默认 'localhost'
MAIL_PORT : 默认 25
MAIL_USERNAME : 默认 None
MAIL_PASSWORD : 默认 None
MAIL_USE_TLS : 默认 False
MAIL_USE_SSL : 默认 False
MAIL_DEBUG : 默认 app.debug
MAIL_DEFAULT_SENDER : 默认 None
MAIL_MAX_EMAILS : 默认 None
MAIL_SUPPRESS_SEND : 默认 app.testing
MAIL_ASCII_ATTACHMENTS : 默认 False

主机名

设置您的ENV实例主机名，以便邀请和邮件包含正确的URL。URL末尾的正斜杠是必需的！

HOST_NAME=https://your-host.com/

支持的框架

• SOC2
• CMMC
• ASVS
• ISO27001
• HIPAA
• NIST CSF
• NIST 800-53
• CSC CIS 18
• PCI DSS
• SSF（自定义框架"创业公司安全框架"）

路线图

查看项目

需要了解的事项

• 控制项的缓解细节未记录。因此，它不会告诉您如何缓解特定的控制项。这需要大量工作才能完成，但已有相关工单
• 实施难度（dtc）是附加在控制项上的字段，每个控制项都被标记为"简单"（这并不意味着它真的简单）。更新这一点也需要大量工作。

常见问题

如果在尝试启动Gapps时遇到数据库连接错误，您需要更新（或删除）环境变量

[INFO] Checking if we can connect to the database server: postgresql://db1:db1@localhost/db1
[ERROR] could not connect to server: Connection refused
        Is the server running on host "localhost" (127.0.0.1) and accepting
        TCP/IP connections on port 5432?
could not connect to server: Cannot assign requested address
        Is the server running on host "localhost" (::1) and accepting
        TCP/IP connections on port 5432?

如果在Docker内运行，通常可以通过取消设置两个变量来解决。如果您想使用外部数据库，请参阅下一个常见问题

unset SQLALCHEMY_DATABASE_URI
unset POSTGRES_HOST

为数据库连接设置环境变量

db1是用户名、数据库和密码的默认值。如果您想更改它，请用相应的值更新db1，并将postgres作为主机。

export POSTGRES_HOST=${POSTGRES_HOST:-postgres}
export POSTGRES_PASSWORD=${POSTGRES_PASSWORD:-db1}
export POSTGRES_USER=${POSTGRES_USER:-db1}
export POSTGRES_DB=${POSTGRES_DB:-db1}
export SQLALCHEMY_DATABASE_URI="postgresql://db1:db1@postgres/db1"

重置数据库

首次启动Gapps时，它会自动创建数据库模型。如果您想重置数据（例如删除所有数据），可以设置RESET_DB环境变量，如export RESET_DB=yes。

用于开发的Gapps运行

有时您可能想在Docker外运行Gapps。您可以通过启动Postgres容器然后在前台启动Gapps来实现这一点。

1. 取消此处端口声明的注释
2. 启动postgres容器：docker-compose up -d postgres
3. 设置以下环境变量：

export POSTGRES_HOST=${POSTGRES_HOST:-localhost}
export POSTGRES_PASSWORD=${POSTGRES_PASSWORD:-db1}
export POSTGRES_USER=${POSTGRES_USER:-db1}
export POSTGRES_DB=${POSTGRES_DB:-db1}
export SQLALCHEMY_DATABASE_URI="postgresql://db1:db1@localhost/db1"

4. 运行 export FLASK_CONFIG=development;bash run.sh
5. Gapps应该正在运行并已连接到数据库。现在你可以对代码进行修改。

使用Docker Desktop运行

1. 下载docker-compose.yml文件
2. 打开一个提升权限的命令提示符，并切换目录(cd)到docker-compose.yml文件下载的位置（可能在Downloads文件夹）
3. 运行 docker compose up

查看环境变量以进行调试

docker exec -e ONESHOT=yes gapps env

执行数据库迁移

docker exec -e INIT_MIGRATE=yes -e MIGRATE=yes -e ONESHOT=yes gapps bash run.sh

或者

docker-compose up -d
docker exec -it gapps bash
python3 manage.py db migrate
python3 manage.py db stamp head
python3 manage.py db upgrade
exit

手动创建数据库

警告 - 这将删除数据库中的所有数据！

docker exec -it gapps bash
python3 tools/check_db_connection.py
python3 tools/check_db_models.py
python3 manage.py init_db

升级版本

1.) 使用Docker Hub中的所需版本编辑docker-compose.yml文件。在compose文件中看到旧版本的任何地方（应该有4个实例），都更新为所需的版本。（例如：bmarsh13/gapps:3.3.9 -> bmarsh13/gapps:3.4.0） 2.) docker-compose up -d 3.) 如有必要，执行数据库迁移

将新框架加载到Gapps中

你始终可以在UI中创建新的框架和控制项 - 但这会花费很长时间。相反，你可以将JSON文件加载到Gapps中。

格式包括控制项和子控制项。下面的代码片段显示了一个控制项有一个(1)子控制项的示例，但你可以根据需要添加任意数量。控制项不必要有子控制项（可以为零）。但是，如果你想将一个控制项分解为可跟踪的具体操作，这可能会很有意义。以CIS 18框架为例。你可以将所有18个"域"作为控制项，而每个域内的控制项将作为Gapps中的子控制项。

[
    {
        "name": "将信息系统访问限制为授权用户、代表授权用户行事的进程或",       
        "description": "维护授权用户列表，定义他们的身份和相关角色，并与系统同步",       
        "guidance": "列出批准的用户、服务和设备，并有逻辑控制措施防止未经授权",
        "ref_code": "AC.L1-3.1.1",
        "system_level": false,
        "subcategory": "身份和访问管理（IAM）",
        "category": "访问控制",
        "dti": "easy",
        "dtc": "easy",
        "meta": {},
        "subcontrols": [
            {
                "ref_code": "3.1.1.a",
                "name": "已识别授权用户。",
                "description": "已识别授权用户。",
                "meta": {},
                "tasks": [
                    {
                        "title": "任务标题",
                        "description": "任务描述"
                    }
                ]
            }
        ]
    }
}

接下来，将上述JSON格式保存到一个文件中（例如my_framework.json，但必须以.json结尾）。当Gapps加载时，你的框架名称将取自文件名（在本例中为my_framework）。将文件保存在app/files/base_controls/目录中。你也可以通过设置FRAMEWORK_FOLDER环境变量来更改加载目录。一旦你的新框架保存到文件并放在框架目录中，你就可以在UI中创建一个新的租户。Gapps将自动加载你的框架。如果你想将框架添加到现有租户，请转到"租户"页面，编辑租户并点击"重新加载框架"按钮。

构建和推送

docker build -t gapps:3.4.3 .
docker tag gapps:3.4.3 bmarsh13/gapps:3.4.3
docker push bmarsh13/gapps:3.4.3

API认证

你可以通过在浏览器中查看以下路由来生成API令牌

# 创建15分钟后过期的令牌
<gapps-host>/api/v1/token

# 创建30秒后过期的令牌
<gapps-host>/api/v1/token?expiration=30

# 创建永不过期的令牌
<gapps-host>/api/v1/token?expiration=0

以下是如何使用令牌进行认证（以curl为例）

TOKEN="在此处填写令牌"
curl <gapps-host>/api/v1/tenants -H "token: $TOKEN"